دیوار آتش نسل بعدی؛ ناتوان در جلوگیری از خطرات آینده

کارشناس امنیتی infosecisland می‌گوید طی صحبتی که با یکی از مشتریان داشتیم، او گفت که تغییر روش و قاعده دیوار آتش نسل بعدی آن‌قدر ناگهانی و غیرمنتظره است که فقط می‌تواند کار خدا باشد. روش‌هایی که درون سازمان‌‌ها نهادینه شده‌اند، از تغییرات آسان قوانین در سیاست‌های دیوار آتش جلوگیری می‌کنند. امروزه سازمان‌ها برای کنترل دسترسی‌ها و جلوگیری از رخنه‌ها، از دیوارهای آتش (نسل بعد) NG روی شبکه داخلی‌شان استفاده می‌کنند. این راه‌حل در عین بهترین بودن محدودیت‌هایی هم دارد.

این دیوارهای آتش نمی‌تواند رخنه‌ها یا تهدیدها و خطرات داخلی را شناسایی کنند که سه دلیل مهم برای آن وجود دارد:

•سیاست‌ها ثابت است و نمی‌توانند خود را با تهدیدها و خطرات پویا وفق دهند.

•این دیواره‌های آتش قادر به فهم و تشخیص رفتار کاربر نمی‌باشند.

•نبود ریزدانگی در توانایی پاسخ به یک تهدید و یا بهره‌برداری

اول اینکه دیوار آتش نسل بعدی (NG) در تعیین خوب یا بد بودن حوادث خیلی قطعی و محدود عمل می‌کند. در علوم احتمال کلمه قطعی در مقابل استفاده از عنصر احتمال قرار می‌گیرد. آنچه که کارشناسان از خطرات و رخنه‌های امنیتی داخلی فهمیدند این است که مهاجمان اغلب با استفاده از اعتبارات در معرض خطر، رفتار کاربران قانونی را تقلید می‌کنند؛ بنابراین با اینکه کاربری ممکن است قانونی باشد، اما رفتار شخصی که از آن اعتبارات استفاده می‌کند ممکن است این‌طور نباشد. این وضعیت با زمانی که شخصی درون شبکه بخواهد از اعتباراتش استفاده کند، چندان تفاوتی با هم ندارند. دیوارهای آتش NG به کاربر اطمینان می‌دهد که قانونی است و اگر اعتباراتش هم قانونی باشد اجازه دسترسی به وی داده خواهد شد.

دوم، با وجود اینکه دست‌یابی به نمایه کاربران ممکن است اما ایجاد قوانین دیوار آتش با جزئیات کامل عملی نیست. نقش کاربران، پروژه‌هایشان، گروه‌ها و غیره تغییر می‌کند. برای مدیر دیواره آتش، همراهی با تغییراتی که امنیت را تضمین کند، غیرعملی است اما ناممکن نه. فهم، تشخیص و به دست آوردن درک عمیق‌تری از هر کاربر و هر ورودی به شبکه برای متوقف کردن خطرات بعدی لازم و ضروری است و دیوارهای آتش NG هم برای کنترل چنین تغییرات سریعی ساخته نشده ‌است.

سوم اینکه وقتی تهدیدی شناسایی شد، اگر تنها پاسخی که این دیوار آتش می‌تواند بدهد، «مجاز» یا «مسدود» است، بنابراین هرگونه پاسخ مثبت-نادرست یا تغییر قانونی در عملکرد کاربر می‌تواند منجر به متوقف کردن کاربر از انجام کارش شود؛ بنابراین، به‌ندرت اتفاق می‌افتد که قوانین «مسدودسازی » در پیمانه‌های شناسایی و جلوگیری از نفوذ دیواره‌های آتش NG دیده شوند. مدیران امنیتی نمی‌خواهند برای مسدود کردن ترافیک شبکه مدیرعامل به علت یک هشدار اشتباه اخراج شوند.

بنابراین اگر شما هم می‌خواهید تهدیدهای داخلی و رخنه‌های امنیتی را شناسایی کنید، آنچه که لازم دارید یک دیوار آتش رفتاری است. دیوار آتش رفتاری سه توانایی کلیدی دارد که می‌تواند بر محدودیت‌های دیوارهای آتش NG غلبه کند:

•توانایی تشخیص رفتار کاربر

•تطابق پویای روش‌ها و خط‌مشی این دیوار آتش با رفتار کاربر

•پاسخ‌ها به خوبی ریزدانه شده‌اند بنابراین فرآیندهای کاری تحت تأثیر قرار نمی‌گیرند.

دیوارهای آتش رفتاری کاربران خطرناک، نقاط انتهایی، حساب‌های به خطر افتاده و رفتار کاربر با حق امتیاز ویژه را شناسایی می‌کند. با نظارت و تشخیص رفتار هر کاربر، هر گروه و هر دستگاه روی شبکه هنگام ورود به آن شبکه، نقش آن‌ها، امتیاز ویژه سامانه آن‌ها، قدرت کلمات عبور و غیره، دیوار آتش رفتاری می‌تواند رفتار عادی و پیش‌بینی‌شده‌ی کاربران و نقاط انتهایی را تشخیص دهد.

وقتی چنین پایه‌ای ایجاد شد، پس از آن سیاست‌ها را می‌توان هم به‌صورت دستی و هم به‌صورت خودکار به گونه‌ای ایجاد کرد که بتواند تعیین کند چگونه در برابر انواع مختلف تهدیدها و خطرات عکس‌العمل نشان دهد. مثلاً اگر کاربری از راه دور به مجموعه‌ای از کارگزاران شبکه دسترسی یافت، در حالی که پیش از این نمی‌توانست چنین کاری کند و خارج از قانون و معیار همیشگی سازمان است، سامانه می‌تواند تقاضای تأییدیه‌ی شناسایی از طریق ۲FA (احراز هویت دو عاملی) کند. یا اینکه مدیران امنیتی می‌توانند قانونی بگذارند که به کاربران اجازه دسترسی به کارگزاران جدید از راه دور را ندهند. چنین روشی به مدیران امنیتی این اطمینان را می‌دهد که هنگام شناسایی یک خطر محتمل، سامانه می‌تواند چنین تهدیدی را شناسایی و به آن پاسخ دهد.

در پایان، پاسخ به چنین تهدیدی به‌ویژه اگر یکی از خطاهای تائید نشده باشد، نوعی قمار محسوب می‌شود. علاوه بر پاسخ‌های معمول از طرف دیوارهای آتش NG یعنی مجاز و مسدود، آنچه که لازم است مکانیسم‌های پاسخ‌دهی خودکار با ریزدانگی مناسب است، همانند احراز هویت دو عاملی، هشدار دادن، تائید دوباره و غیره. چنین ریزدانگی این اطمینان را می‌دهد که در حالی که امنیتی حفظ می‌شود، کاربران هم از انجام کارشان منع نمی‌شوند.

دیوار‌های آتش NG ده سال است که به خوبی کار کرده‌اند و هنوز هم برای محیط شبکه‌ها مناسب‌اند؛ اما هنگام محافظت از درون محیط شبکه، به‌طور چشمگیری با ناتوانایی‌هایی‌ مواجه می‌شود و مشخص هم نیست چگونه می‌توان آن‌ها را برای غلبه بر چنین محدودیت‌هایی دوباره طراحی کرد.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap