وبلاگ

ایمن سازی فوری و استفاده از Remote ایمن با کمک سیمانتک

ایمن سازی زیرساخت شبکه هرگز یک فعالیت ثابت نبوده است. تنظیمات و پیشگری همیشه مورد نیاز است، اما معمولاً مربوط به فناوری های مخربی است که در طول زمان معرفی می شوند. آنچه ما اکنون در حال تجربه آن هستیم یک تغییر عظیم در معماری شبکه در یک دوره زمانی کوتاه بی سابقه است. مهاجرت نیروی کار از داخل یک شبکه به مکان‌های دورافتاده، منابع شرکتی (و دولتی) را تحت فشار قرار داده است، اما این موج اولیه ارتقاء فناوری اطلاعات تنها چالشی نیست که سازمان‌ها با آن مواجه خواهند شد. ما معتقدیم که این مهاجرت اجباری سه مرحله دارد:

– گسترش زیرساخت فیزیکی IT

– گسترش شناسایی حوادث امنیتی

– توسعه معماری Zero-Trust

 

افزایش سطح امنیت با Symantec سیمانتک

گسترش فیزیکی قبلاً از طریق گسترش VPN، فایروال‌های متعادل ، شکل‌دهنده‌های ترافیک و غیره حل شده است. معماران شبکه بر مفهوم تقویت اتصال موجود به‌عنوان یک معیار توقف برای مدیریت داده افزایش‌یافته تکیه کردند. تحول Cloud برای آن دسته از سازمان‌هایی که قبلاً به آن فعالیت‌ها متعهد شده‌اند ادامه خواهد یافت. این محیط محاسباتی چالش‌برانگیز، سازمان‌ها را مجبور می‌کند با استفاده از قابلیت‌هایی مانند Symantec Secure Access Cloud برای دستیابی به اتصال نقطه به نقطه در سطح برنامه،  مخفی کردن همه منابع از دستگاه‌های کاربر نهایی و اینترنت، زیرک و ایمن باشند. سطح حمله سطح شبکه به طور کامل حذف می شود و جایی برای حرکت جانبی و تهدیدات مبتنی بر شبکه باقی نمی گذارد.

معماران شبکه، خواستار استفاده از VPN برای امنیت اطلاعات هستند، اما موقعیت مکانی و وضعیت امنیتی Endpoint در دفاع از یک شرکت بسیار مهم است، همانطور که تکامل فرآیندهای تجاری مرکز عملیات امنیت (SOC) اهمیت دارد. یافتن که از دستورات سیستم داخلی استفاده می کنند، یک فرآیند فشرده دستی بدون مجموعه ابزار صحیح (مانند چارچوب Symantec Targeted Adversary Analytics از Broadcom) است.

 

افزایش کاربران راه دور و انتقال آنها به سیستم های خانگی که اغلب کمتر از ساختارهای شرکتی محافظت می‌شوند، بسیاری از SOC‌ها را با داده‌های اضافی از این کاربران غرق می‌کند و شناسایی فعالیت‌های مخرب در میان ورودی‌های گزارش خوش‌خیم را دشوارتر می‌کند.

استفاده از (SOE) در مقابل Endpointها که از دستگاه خود استفاده کنید (UYOD) یک تصمیم مهم حیاتی برای راهبران امینت شبکه خواهد بود. ما برخی از تهدیدات را معرفی خواهیم کرد که ممکن است وجود داشته باشند و تحت نظارت بسیاری از سازمان هایی هستند که با نیروی کار از راه دور آشنا نیستند. سپس چهار مورد استفاده و یک وضعیت امنیتی توصیه شده را ارائه خواهیم کرد که حفاظت و نظارت پیشرفته را ارائه می دهد.

 

VPN به عنوان یک تهدید مهم:

از آنجایی که قابلیت VPN استاندارد فعلی برای ایمن کردن دسترسی از راه دور به یک شبکه است، کانون حمله برای مهاجمین به شبکه می باشد.  اخیراً در مورد VPN های SSL و استفاده گسترده از نقص های اصلاح نشده که به بازیگران اجازه حمله به زیرساخت های یک سازمان را می دهد، مطالب زیادی نوشته شده است. سازمان‌هایی که متمرکزکننده‌های VPN را اضافه می‌کنند به حجم کاری کارکنان فناوری اطلاعات خود اضافه می‌کنند، اما همچنین سطحی را که باید برای حمله نظارت شود افزایش می‌دهند. پایان کاربر VPN نیز به یک تهدید افزایش یافته تبدیل می شود، زیرا سیستم هایی که فقط از طریق شبکه شرکتی متصل می شوند اکنون از طریق یک شبکه خانگی متصل می شوند. این ماشین‌ها در معرض عوامل تهدید اضافی (سایر ماشین‌های در معرض خطر در شبکه خانگی، حملات انسان در وسط علیه ارائه‌دهنده شبکه خانگی، شبکه‌های WI-FI جعلی و غیره) قرار دارند و در صورت به خطر افتادن، دسترسی مستقیم به شبکه داخلی شرکت از طریق وی پی ان دارند.

 

از روش تونل های تقسیم split tunnels می توان برای هدایت ترافیک شرکت ها به یک تونل VPN با سایر اتصالات اینترنتی که به هاپ بعدی دستگاه هدایت می شوند، استفاده کرد. مزیت عملیاتی این نوع پیکربندی VPN، کاهش بار فیزیکی روی متمرکزکننده‌های VPN و ورودی‌های کمتری است که باید توسط SOC تجزیه و تحلیل شوند. تونل های تقسیم بار داده را بر دوش نقطه پایانی می گذارد و کاربر هم از نظر فنی ایمن است و هم به طور ایمن هوشیار می باشد!

اگر یک کمپین فیشینگ در پیکربندی تونل تقسیم شده موفقیت آمیز باشد، در صورت و زمانی که تونل VPN فعال باشد، تهدیدی برای سازمان واقعی است.

 

به عنوان مثال، سازمان‌های نظامی از کارت‌های دسترسی مشترک (CAC) به عنوان ابزاری برای احراز هویت به یک سیستم یا سرویس استفاده می‌کنند. سازمان‌های غیرنظامی از کارت‌های تأیید هویت شخصی (PIV) برای انجام همان عملکرد استفاده می‌کنند. استفاده از کارت CAC برای احراز هویت، کاربر را در برابر تهدیدات مشابهی که با استفاده از یک تونل تقسیم می شود، باز می کند. اگر CAC کاربری را احراز هویت کند که پس از آن فیشینگ شده است، تهدید می تواند به هر سرویس دیگری که توسط کاربر بازدید شده است منتقل شود. تهدید Sykipot از سال 2006 دقیقاً این کار را انجام داد. سرقت PIN CAC، سپس احراز هویت به منابعUSG به عنوان کاربر تأیید شده!

 

دفع آناتومی حملات پیشرفته به وسیله سیمانتک Symantec

تا همین اواخر، حملات از نظر پیچیدگی متفاوت بودند، اما یک ویژگی سطح بالا مشترک داشتند. بیشتر تلاش‌های توسعه نرم‌افزار سفارشی بود. این امر با در دسترس بودن ابزارهای برنامه نویسی قدرتمند مانند Microsoft PowerShell شروع به تغییر کرد. ابزارها، تکنیک‌ها و رویه‌های (TTP) به سرعت به سمت این مسیر تغییر یافتند، که صنعت و زندگی در خارج از زمین را برچسب‌گذاری کرده است. اکنون تنها یک حمله موفقیت آمیز برای یک حمله کننده لازم است تا بتواند به سرعت در سراسر یک شرکت رسوخ کند! فقط یک اشتباه!!

 

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

2 × 2 =