آیا network segmentationهای قدیمی، به اندازه کافی اثربخش هستند؟
حملات fragmenting که غالبا ناشی از فضاهای ابری چندگانه است، منجر به تضعیف تیم IT در حفظ کیفیت عملکرد شبکه و همچنین امنیت و قابلیت اطمینان آن می گردد. به طور کلی این حملات زمانی رخ می دهند که یک پکت دیتا به دلیل از دست رفتن بخشی از داده ها، نتواند به طور کامل دوباره assemble شود. که می تواند نشان دهنده ی حمله denial of service و یا تلاش برای مقابله با پالیسی های امنیتی باشد.
لازم به ذکر است network segmentationهای قدیمی حتی اگر در کنار تکنیک های جدیدِ microsegmentation باشند، باز هم امنیت لازم را تامین نخواهند کرد. در واقع باید گفت بیشتر از آنکه استراتژیک باشند، تاکتیکی هستند. ضمن اینکه از پویایی لازم برخوردار نیستند و چنانچه یک بار کاربر، دستگاه و یا اپلیکیشنی را مجاز شناسایی کنند، برای همیشه اجازه دسترسی به segmentهای مختلف را به آن ها خواهند داد. یکی دیگر از محدودیت های network segmentationهای قدیمی، فقدان نظارت امنیتی جامع بر روی شبکه و ترافیک رمزنگاری شده می باشند و به این ترتیب اثربخشی مدیریت موثر ریسک کاهش می یابد.
چه چالش هایی در مدیریت شبکه های disparate وجود دارد؟
همان طور که دستگاه ها و اپلیکیشن های متصل به شبکه های سازمانی روز به روز گسترده تر می شوند، user baseهایی که بر روی یک شبکه ی معمولی سازمانی هستند نیز از نظر جغرافیایی پراکنده شده اند. از طرفی به این دلیل که شبکه های سازمانی، میزبان تکنولوژی هایی مانند IoT و اپلیکشن های SaaS در محیط های متعدد کلود می باشند، محافظت در برابر حملات سایبری، حتی با وجود امنیت قوی در محیط فیزیکی، باز هم بسیار دشوار خواهد بود.
بنابراین یکی از چالش هایی که در زمینه حملات fragmenting به وجود می آید، ایجاد مجموعه ای از pathهای جدید است که طی آن، مجرمان سایبری حملات خود را شکل می دهند. و چالش دیگری که ممکن است ظهور کند پیچیده تر شدن تهدیدات سایبری است. آنچه که شرایط را باز هم پیچیده تر می کند، این است که فعالیت merger and acquisition (M&A) ممکن است منجر به پیدایش زیرساخت های گوناگون با نظارت محدودی بین بخش های مختلف سازمان گردد. مقوله امنیت در بسیاری از سازمان ها به یک اقدام واکنشی (reactive) تبدیل شده، زیرا تیم IT قادر به جلوگیری از همه دسترسی های غیر مجاز به دستگاه ها و اپلیکیشن های متصل به شبکه نمی باشد.
مهندسان شبکه برای سال های طولانی، راهکار network segmentation را برای مقابله با این دسته از چالش ها انتخاب کرده بودند. تکنیک های قدیمیِ segmentation، که بر اساس IP address بودند، با VLAN segmentation و VMware NSX segmentation برای فرایندهای کاری مجازی تعریف شده بودند. شبکه های مبتنی بر Cisco gear نیز با استفاده از سوییچ های فیزیکی و VXLANها راهکارِ Cisco ACI segmentation را انتخاب کرده اند. این تکنیک های microsegmentation به پالیسی های access control امکان می دهند با فرایندهای کاری و یا اپلیکیشن هایی تعریف شوند که مانند virtual machine (VM)، میزبان اپلیکیشن ها، داده ها و سیستم عامل ها باشند.
به طور کلی در رویکردهای segmentation، از فایروال به عنوان عاملی برای جداسازی منابع شبکه برای همه گروه ها استفاده می شود. به این ترتیب ترافیکی که اجازه ی انتقال بین segmentهای مختلف را ندارد، مسدود خواهد شد. و در صورت بروز تهدید سایبری در یکی از بخش های شبکه، این رویکرد مانع از حرکت آن به سمت سایر بخش ها می گردد.
متاسفانه باید گفت microsegmentation، یک راهکار قطعی نیست که بتوان همیشه آن را مورد استفاده قرار داد. ایده های اصولی و اساسی، همواره از منطق قدرتمندی برخوردار بوده اند، اما در صورتی که یک زیرساخت شبکه ی مبتنی بر microsegmentation به درستی طراحی نشده باشد، می تواند امنیت را مختل کند. بنابراین باید گفت با تقسیم بندی شبکه های سازمانی به تعداد زیادی از segmentهای کوچک، احتمال محدود سازی نظارت بر تهدیدات در کل شبکه وجود دارد.
دلایل کافی نبودن امنیتِ network segmentationهای قدیمی
- طراحی access control برای segmentهای شبکه های داخلی به گونه ای است که توانایی سازگاری با نیازهای در حال تغییر تجاری را ندارد.
- پایه های ارزشگذاری که مبنای پالیسی های access می باشند، معمولا از پویایی لازم برخوردار نبوده و به سرعت منسوخ می شوند.
- پالیسی های access control را نمی توان با توجه به فقدان امنیت پیشرفته (لایه 7) در دیتاسنترها و لبه ی شبکه اجرا نمود، ضمن اینکه امکان کنترل و نظارت بر روی این المان های امنیتی نیز وجود ندارد.
مشکلات فوق الذکر غالبا به دلیل طراحی ساختار segmentation بدون توجه به ملاحظات امنیتی رخ می دهد. شناخت هر یک از این موضوعات و تاثیر آن ها می تواند به اتخاذ رویکرد مناسب تری منتهی شود.
غالبا دیده می شود شبکه های سازمانی بدون در نظر گرفتن نکات امنیتی، طراحی می شوند. گاها تیم های فناوری اطلاعات قادر به یکپارچه سازی طرح های “امنیت” و “شبکه” نیستند؛ در صورتی که کنار هم قرار گرفتن این دو واژه، کاملا ضروری است. در نتیجه ی این ناهماهنگی، پیچیدگی های شبکه افزایش می یابد.
اتخاذ رویکرد bottom-up برای access control
این طور به نظر می رسد که طراحی شبکه های سازمانی توسط نیازهای در حال تکامل یک کسب و کار تعیین می شود؛ و اینکه “چه کسی” و “چه چیزی” می تواند به منابع شبکه دسترسی داشته باشد توسط “پالیسی های تجاری”، “استانداردهای صنعتی” و همین طور “مقررات دولتی” مشخص می گردد. بنابراین متخصصان شبکه با پیروی از این قوانین، اقدام به اجرای تنظیمات مربوط به access control در سوییچ ها و روتر کرده و به این ترتیب به کاربران، تجهیزات و یا اپلیکیشن های خاص اجازه ی دسترسی به برخی منابع مشخص شده را می دهند.
به طور کلی مهندسان شبکه دو مورد از معایب این رویکرد را به سرعت تشخیص می دهند. مورد اول این است که فرایندهای کاری تجاری، الزمات انطابق با مقررات و همین طور نیازهای دسترسی به شبکه بسیار پیچیده تر از ساختار شبکه است. در نتیجه استفاده از ساختار شبکه به منظور تعریف segmentهای امنیتی برای منابع شبکه بسیار دشوار خواهد شد. به عبارتی مدیریت در دسترس قرار دادن منابع شبکه برای کاربران و اپلیکیشن های مجاز و همزمان غیر قابل دسترس کردن آن ها برای سایرین، بسیار پیچیده است. در این صورت باگ های امنیتی زیادی مشاهده خواهد شد که مهندسان شبکه حتی تصور آن ها را نیز نمی کردند.
مورد دوم این است که همه فرایندها، قوانین و یا ساختار سازمانی مدام در حال تغییر و تحول است. بنابراین حتی اگر طراحی شبکه با لحاظ نکات ایمنی انجام شود، باز هم نیاز به اصلاحات وجود دارد. در این صورت نیز، امکان بروز تهدیدات امنیتی افزایش خواهد یافت؛ مضاف بر این که نیازمند صرف هزینه های گزاف برای پیکربندی مجدد می باشد.
|
|
مشاهده محصول : Fortigate 1800f |
عدم پویایی Trust Valuationها
برای مدیریت موثر ریسک به اطلاعات به روز و دقیق در مورد “کابران”، “اپلیکیشن ها” و “شبکه” نیاز است. ضمن اینکه فایروال های داخلی و یا سایر مکانیزم های access control که جریان ترافیک بین segmentهای مختلف شبکه را مدیریت می کنند، نیز می بایست اطلاعات معتبر و آپدیت در اختیار داشته باشند. در غیر این صورت، تکنولوژی های segmentation اثربخشی لازم را در جلوگیری از تهدیدات شبکه نخواهد داشت.
با توجه به اینکه اعتبار منابع شبکه می تواند به طور غیر منتظره ای تغییر کند، بنابراین trust data از اهمیت ویژه ای در مقوله ی network segmentation برخوردار خواهد بود. در حقیقت سازمان های بسیاری هستند که با حملات سایبریِ ناشی از کارمندان شان و یا سایر منابع مورد اعتماد خود، غافلگیر شده اند. بیش از یک سوم از نقض داده های گزارش شده، مربوط به کاربران داخلی و 29 درصد، ناشی از دسترسی غیر مجاز به پسوردها بوده است.
برخی از سازمان ها برای جلوگیری از مشکل فوق، اقدام به “قفل کردن شبکه های خود”، “عدم اعتماد به کلِ کاربران و یا اپلیکیشن ها” و همین طور “ایجاد لایه های بیشتر برای احراز هویت” نموده اند. در صورتی که روش های موثر تامین امنیت شبکه، هرگز برای کاربران معتبر، محدودیتی ایجاد نمی کنند.
محدودیت های access control
چنانچه شبکه ای فاقد المان های کلیدی برای زیرساخت های امنیتی موثر باشد، نمی توان انتظارِ عملکرد مطلوبی از پالیسی های access control داشت. رویکردهای قدیمیِ segmentation بر این فرض بودند که مولفه های ضروری امنیت شبکه وجود دارند تا کلیه ی پالیسی های اکسس کنترلی که توسط تیم IT تعریف شده، اجرا گردند. هرچند که به دلایل متعدد، ممکن است این فرضیه صادق نباشد.
هزینه های مالکیت (TCO)
این فاکتور را می توان، اصلی ترین دلیل برای عدم برخورداری سازمان ها از امنیت پیشرفته در کلیه ی بخش ها دانست. به عنوان مثال، ممکن است افرادی که تکنولوژیِ segmentation را اجرا می کنند، تصمیم بگیرند برخی از بخش های کوچک تر که کمترین احتمال تهدیدات سایبری را دارند بدون پیاده سازیِ Level 7 Advanced Security محافظت شوند. گاها کارشناسان شبکه به دلیل محدودیت بودجه و یا نیاز به منابع فراوان، از استفاده ی فایروال های نسل جدید (NGFW) و یا سایر راهکارهای امنیتی پیشرفته برای همه بخش ها خودداری می کنند.
کاربردی نبودن برخی از المان های امنیت
گاهی اوقات کارشناسان شبکه، قابلیت هایی مانند secure sockets layer (SSL)/transport layer security (TLS) inspection را در فایروال های نسل جدید خود، غیر فعال کرده تا پرفورمنس شبکه را بهبود بخشند. با این کار جریان ترافیک شبکه بین segmentهای مختلف تسریع می شود، اما از طرف دیگر مسیر ورود ترافیک های غیر قانونی نیز هموار خواهد شد. و با توجه به اینکه اکنون 72 درصد از ترافیک شبکه رمزنگاری می شود، مجرمان سایبری از آن برای نفوذ به شبکه های سازمانی و استخراج داده ها، استفاده می کنند؛ که این یک چالش بسیار نگران کننده است.
عدم یکپارچگی المان های امنیتی
چنانچه فاکتورهای امنیتی، از یکپارچگی لازم برخوردار نباشند، شاهد کاهش اثربخشی کلی خواهیم بود. به طور کلی باید گفت فقدان یکپارچگی، پیامدهای مختلفی دارد.
یک) زمانی که یک فایروال، پکت دیتای مشکوکی را شناسایی می کند، چندین ساعت یا حتی بیشتر طول می کشد تا کارشناس امنیت، از وجود آن مطلع گردد.
دو) راهکارهای امنیتی متفاوت و ناهمگون نمی توانند به سادگی اطلاعات جمع آوری شده در مورد تهدیدات امنیتی را با هم به اشتراک بگذارند. شاید به همین دلیل است که میانگین زمان شناسایی یک نقض داده بسیار بالاست. (197 روز)
سه) غالبا سازمان ها توانایی مقابله موثر با تهدیدات امنیتی را ندارند. تیم امنیت بدون فناوری یکپارچه ی sandboxing، که به طور خودکار پکت های مشکوک دیتا را شناسایی و قرنطینه می کند، یا به طور کلی بدون در اختیار داشتن راهکارهای خودکار، چالش های فراوانی را تجربه خواهند کرد.
بنابراین ممکن است کارشناسان شبکه که معتقدند شبکه های segment شده ی آن ها به خوبی محافظت می گردند، امنیت کاذب به وجود آورده باشند. در این نقطه است که یک ارزیابی جامع می تواند اطلاعات کاملی در خصوص نحوه عملکرد پلتفرم امنیتی و همچنین عدم موفقیت یا موفقیت آمیز بودن پالیسی هایaccess control در دستیابی به اهداف تجاری ارائه دهد. متاسفانه باید گفت بدون نظارتی کامل، ارزیابی قابل اطمینان امکانپذیر نیست؛ ضمن اینکه مانع از ارائه گزارش های صحیح و معتبر در مورد وضعیت امنیتی سازمان توسط متخصصان شبکه می گردد.
چالش های اصلی segmentation
با اینکه network segmentation امری ضروری است، اما کافی نیست.
سازمان هایی که ارزیابی مناسبی برای اکسس کنترل بین segmentهای مختلف خود لحاظ نمی کنند، در حقیقت احتمال آسیب پذیریِ کاربران و داده های خود را افزایش می دهند. در صورتی که اولویت های عملکردی جای خود را به چالش های امنیتی بدهد، نقش segmentation در تامین امنیت به صورت غیر موثر و reactive خواهد بود. در ضمن شبکه هایی که فاقد نظارت کامل بر وضعیت امنیت هستند، ممکن است قادر به یکپارچه سازی با لایه 7 امنیتی که برای جلوگیری از تهدیدات امنیتی بسیار حیاتی است، نباشد.
حصول اطمینان از اجرای صحیح پالیسی های access control برای segmentهای داخلی شبکه، در عصر امروزه که سطح حملات امنیتی در حال گسترش و fragment شدن است، یکی از وظایف اصلی مهندسان شبکه می باشد. مقوله طراحی network segmentation تا جایی اهمیت دارد که می توان گفت تنها با توجه دقیق به این موضوع، یک سازمان می تواند به توانایی خود در خنثی کردن تهدیدات امنیتی، اطمینان داشته باشد.
دفتر تهران
