ایمن سازی زیرساخت شبکه هرگز یک فعالیت ثابت نبوده است. تنظیمات و پیشگری همیشه مورد نیاز است، اما معمولاً مربوط به فناوری های مخربی است که در طول زمان معرفی می شوند. آنچه ما اکنون در حال تجربه آن هستیم یک تغییر عظیم در معماری شبکه در یک دوره زمانی کوتاه بی سابقه است. مهاجرت نیروی کار از داخل یک شبکه به مکانهای دورافتاده، منابع شرکتی (و دولتی) را تحت فشار قرار داده است، اما این موج اولیه ارتقاء فناوری اطلاعات تنها چالشی نیست که سازمانها با آن مواجه خواهند شد. ما معتقدیم که این مهاجرت اجباری سه مرحله دارد:
– گسترش زیرساخت فیزیکی IT
– گسترش شناسایی حوادث امنیتی
– توسعه معماری Zero-Trust
افزایش سطح امنیت با Symantec سیمانتک
گسترش فیزیکی قبلاً از طریق گسترش VPN، فایروالهای متعادل ، شکلدهندههای ترافیک و غیره حل شده است. معماران شبکه بر مفهوم تقویت اتصال موجود بهعنوان یک معیار توقف برای مدیریت داده افزایشیافته تکیه کردند. تحول Cloud برای آن دسته از سازمانهایی که قبلاً به آن فعالیتها متعهد شدهاند ادامه خواهد یافت. این محیط محاسباتی چالشبرانگیز، سازمانها را مجبور میکند با استفاده از قابلیتهایی مانند Symantec Secure Access Cloud برای دستیابی به اتصال نقطه به نقطه در سطح برنامه، مخفی کردن همه منابع از دستگاههای کاربر نهایی و اینترنت، زیرک و ایمن باشند. سطح حمله سطح شبکه به طور کامل حذف می شود و جایی برای حرکت جانبی و تهدیدات مبتنی بر شبکه باقی نمی گذارد.
معماران شبکه، خواستار استفاده از VPN برای امنیت اطلاعات هستند، اما موقعیت مکانی و وضعیت امنیتی Endpoint در دفاع از یک شرکت بسیار مهم است، همانطور که تکامل فرآیندهای تجاری مرکز عملیات امنیت (SOC) اهمیت دارد. یافتن که از دستورات سیستم داخلی استفاده می کنند، یک فرآیند فشرده دستی بدون مجموعه ابزار صحیح (مانند چارچوب Symantec Targeted Adversary Analytics از Broadcom) است.
افزایش کاربران راه دور و انتقال آنها به سیستم های خانگی که اغلب کمتر از ساختارهای شرکتی محافظت میشوند، بسیاری از SOCها را با دادههای اضافی از این کاربران غرق میکند و شناسایی فعالیتهای مخرب در میان ورودیهای گزارش خوشخیم را دشوارتر میکند.
استفاده از (SOE) در مقابل Endpointها که از دستگاه خود استفاده کنید (UYOD) یک تصمیم مهم حیاتی برای راهبران امینت شبکه خواهد بود. ما برخی از تهدیدات را معرفی خواهیم کرد که ممکن است وجود داشته باشند و تحت نظارت بسیاری از سازمان هایی هستند که با نیروی کار از راه دور آشنا نیستند. سپس چهار مورد استفاده و یک وضعیت امنیتی توصیه شده را ارائه خواهیم کرد که حفاظت و نظارت پیشرفته را ارائه می دهد.
VPN به عنوان یک تهدید مهم:
از آنجایی که قابلیت VPN استاندارد فعلی برای ایمن کردن دسترسی از راه دور به یک شبکه است، کانون حمله برای مهاجمین به شبکه می باشد. اخیراً در مورد VPN های SSL و استفاده گسترده از نقص های اصلاح نشده که به بازیگران اجازه حمله به زیرساخت های یک سازمان را می دهد، مطالب زیادی نوشته شده است. سازمانهایی که متمرکزکنندههای VPN را اضافه میکنند به حجم کاری کارکنان فناوری اطلاعات خود اضافه میکنند، اما همچنین سطحی را که باید برای حمله نظارت شود افزایش میدهند. پایان کاربر VPN نیز به یک تهدید افزایش یافته تبدیل می شود، زیرا سیستم هایی که فقط از طریق شبکه شرکتی متصل می شوند اکنون از طریق یک شبکه خانگی متصل می شوند. این ماشینها در معرض عوامل تهدید اضافی (سایر ماشینهای در معرض خطر در شبکه خانگی، حملات انسان در وسط علیه ارائهدهنده شبکه خانگی، شبکههای WI-FI جعلی و غیره) قرار دارند و در صورت به خطر افتادن، دسترسی مستقیم به شبکه داخلی شرکت از طریق وی پی ان دارند.
از روش تونل های تقسیم split tunnels می توان برای هدایت ترافیک شرکت ها به یک تونل VPN با سایر اتصالات اینترنتی که به هاپ بعدی دستگاه هدایت می شوند، استفاده کرد. مزیت عملیاتی این نوع پیکربندی VPN، کاهش بار فیزیکی روی متمرکزکنندههای VPN و ورودیهای کمتری است که باید توسط SOC تجزیه و تحلیل شوند. تونل های تقسیم بار داده را بر دوش نقطه پایانی می گذارد و کاربر هم از نظر فنی ایمن است و هم به طور ایمن هوشیار می باشد!
اگر یک کمپین فیشینگ در پیکربندی تونل تقسیم شده موفقیت آمیز باشد، در صورت و زمانی که تونل VPN فعال باشد، تهدیدی برای سازمان واقعی است.
به عنوان مثال، سازمانهای نظامی از کارتهای دسترسی مشترک (CAC) به عنوان ابزاری برای احراز هویت به یک سیستم یا سرویس استفاده میکنند. سازمانهای غیرنظامی از کارتهای تأیید هویت شخصی (PIV) برای انجام همان عملکرد استفاده میکنند. استفاده از کارت CAC برای احراز هویت، کاربر را در برابر تهدیدات مشابهی که با استفاده از یک تونل تقسیم می شود، باز می کند. اگر CAC کاربری را احراز هویت کند که پس از آن فیشینگ شده است، تهدید می تواند به هر سرویس دیگری که توسط کاربر بازدید شده است منتقل شود. تهدید Sykipot از سال 2006 دقیقاً این کار را انجام داد. سرقت PIN CAC، سپس احراز هویت به منابعUSG به عنوان کاربر تأیید شده!
دفع آناتومی حملات پیشرفته به وسیله سیمانتک Symantec
تا همین اواخر، حملات از نظر پیچیدگی متفاوت بودند، اما یک ویژگی سطح بالا مشترک داشتند. بیشتر تلاشهای توسعه نرمافزار سفارشی بود. این امر با در دسترس بودن ابزارهای برنامه نویسی قدرتمند مانند Microsoft PowerShell شروع به تغییر کرد. ابزارها، تکنیکها و رویههای (TTP) به سرعت به سمت این مسیر تغییر یافتند، که صنعت و زندگی در خارج از زمین را برچسبگذاری کرده است. اکنون تنها یک حمله موفقیت آمیز برای یک حمله کننده لازم است تا بتواند به سرعت در سراسر یک شرکت رسوخ کند! فقط یک اشتباه!!