امنیت چند لایه

از کجا، به کجا – تکامل امنیت شبکه

🕓 زمان مطالعه: 3 دقیقه

برای بخش بزرگی از دهه 90 و اوایل 2000، کتاب راهنمای sysadmin می‌گفت: «ترافیک ورودی‌ را فیلتر کنید، همه، آن‌جا خوب نیستند» (که بعداً توسط گندالف با عنوان «تو نمیتوانی عبور کنی» ابداع شد). بنابراین CIOها برای محافظت در برابر ترافیک ورودی (معروف به INGRESS)، شروع به شارژ کردن حصارهای شبکه خود با هر وسیله‌ای که می‌توانستند کردند.

در پی اولین کمپین های فیشینگ انبوه در اوایل دهه 2010، به طور کامل آشکار شد که شخصی باید با کارمندان و به طور خاص، ظرفیت خیره کننده آنها برای کلیک کردن بر روی هر لینکی که دریافت می کنند، سر و کار داشته باشد. فیلتر کردن ترافیک خروجی (موسوم به EGRESS) به یک وسواس تبدیل شد. امنیت مرورگرها، پروکسی‌ها و سایر آنتی‌ویروس‌های برجسته به موارد ضروری تبدیل شده‌اند که هر شرکت مشاوره‌ای به مشتریان خود توصیه می‌کند تا در اسرع وقت آنها را تهیه کنند.

خطر واقعی بود، و پاسخ نسبتاً منطبق شده بود، اما با اینحال به موضع معروف “ابر سرباز” کمک کرد. من در برابر یک ارتش تنها هستم؟ همینطور باشد!!! من یک سنگر حفر می کنم، دارایی هایم را در داخل آن، پشت انبوهی از نرم افزارها دفن می کنم و تبدیل به یک سرباز فوق العاده می شوم تا جایگاهم را حفظ کند.

اما «زمین» یک هدف متحرک بود. SaaS ،shadow IT ،Public Cloud، بار کاری موقت و کار از خانه این دیوارها را شکستند. محیطی که زمانی بسیار واضح بود به طور فزاینده ای تار می شد. مفاهیم «درون» و «بیرون» مبهم شد. ابر سرباز نمی توانست از همه مناطق به طور همزمان دفاع کند. او همچنین با ارتش رو به رشدی از مجرمان سایبری که به خوبی آموزش دیده و با بودجه مالی زیادی تامین می شدند، روبرو بود. سوپرمن دیگر نمی‌توانست همه جا در آن واحد باشد.

و سپس، در اواخر دهه 2010 و اوایل دهه 2020، باج افزار ظهور پیدا کرد. روشی بسیار هوشمندانه برای کسب درآمد از بدهی فنی با بالاترین قیمت ممکن. همان تکنیک‌های قدیمی هک، به لطف ظهور ارزهای دیجیتال، اکنون ارزش پلاتینی داشتند. ابر سرباز ما ناگهان بسیار تنها و … کاملاً بی فایده بود.

Egress پس از نفوذ فیلتر می کند، در حالیکه Ingress قبل از نفوذ فیلتر را انجام میدهد

مدیریت ترافیک ورودی در آن زمان کمتر مرسوم بود، قرار بود کار تمام شده باشد. با یک فایروال و برخی نظارت های مناسب، ما باید آماده می­بودیم. اما نفوذ به یک کسب و کار یا موسسه دولتی می تواند بیشتر با استفاده از یکی از سه استراتژی اصلی انجام شود:

    • کاربران را فریب دهید و روی فیلتر ضعیف Egress شرط ببندید.
    • از بهره برداری انبوه، مانند روز-صفر، آسیب پذیری منطقی، رمزهای عبور ضعیف و غیره استفاده کنید، و شرط ببندید که فیلتر Ingress چندان هوشمندانه عمل نمی کند (چه کسی دسترسی به پورت های 53، 80، 443، 465 و … را در لیست سفید قرار می دهد).
    • از حملات هدفمند، بسیار شبیه به موارد فوق استفاده کنید، اما فقط یک موجودیت خاص را در کل سطح آن هدف قرار دهید. به جای فیشینگ گسترده با یک تفنگ گاتلینگ، امید به “محافظت” از RDP با 123456 داشته باشید. در اینجا دوباره، موضوع مدیریت Ingress می­باشد.

بر اساس گزارش‌های IBM X-force، تقریباً 47٪ از نفوذهای اولیه مربوط به سوء استفاده از آسیب‌پذیری است در حالی که فیشینگ 40٪ را تشکیل می‌دهد. 3٪ از اطلاعات حساب­های دزدیده شده و 3٪ از brute force را نیز اضافه کنید، و تهاجم Ingress از نظر احتمال نفوذ از بیرون به داخل وزن 53٪ دارند. (من 7٪ رسانه‌های قابل حمل را حساب نمی‌کنم، زیرا صادقانه بگویم، اگر کاربران شما به اندازه کافی احمق هستند که یک USB ناشناخته را وصل کنند و قوانین شما این اجازه را می‌دهد، در این صورت موضوع متفاوت است که من آن را داروینیسم دیجیتال می‌نامم.)

هنگامی که یک کاربر به بدافزار آلوده می شود، بازی جلوگیری از تبدیل ایستگاه کاری او به پایگاه عملیاتی مجرمان سایبری است. اکنون اینجاست که فیلتر خروجی شروع می شود. بسیار خوب، خیلی دیر است، شما هک شده­اید، اما بیایید پیامدها را کاهش دهیم و از سوء استفاده بیشتر ایستگاه در داخل دیوارها و ارتباط آن با مرکز فرماندهی و کنترل جنایتکاران جلوگیری کنیم.

اکنون حفاظت از ترافیک ورودی ضروری است زیرا نه تنها باعث نفوذهای اولیه بیشتر می شود، بلکه به این دلیل که محیط بزرگتر و ناهمگون تر از همیشه است. “محیط” شرکت اغلب در حال حاضر شامل HQ LAN و DMZ، برخی از ماشین های میزبانی شده در مراکز داده، و در نهایت چندین دفتر با VPN، کارکنان راه دور، حجم کاری ابری، ارائه دهندگان زنجیره تامین و ابزارهای SaaS است. نظارت بر همه اینها یک شاهکار است، به خصوص زمانی که فروشندگان SIEM بخواهند برای هر گزارشی که ذخیره می کنید درآمد کسب کنند. اینکه فکر کنید فقط Egress CTI یا ابزاری از شما محافظت می کند، واقع بینانه نیست.

از واکنشی تا پیشگیرانه

امروزه مدیریت ترافیک ورودی کمتر مرسوم است زیرا قرار بود در دهه 90 به آن رسیدگی شود. اما اگر اطلاعات خود را در مورد حملات ورودی جمع‌سپاری کرده و آن‌ها را به اندازه کافی گلچین و منظم کنید تا از این داده‌های CTI در دستگاه‌هایتان استفاده شود، این یک پیروزی خالص برای وضعیت امنیتی کلی شما خواهد بود. و حدس بزنید چه کسی امنیت جمع‌سپاری را بر اساس ابزار منبع باز DevSecops انجام می‌دهد؟

درست است! CrowdSec! نحوه محافظت از ترافیک ورودی خود را در اینجا بررسی کنید.

دیدگاه ها بسته شده اند.