نظارت بر امنیت شبکه راهکارها و مواردی که باید بدانید
در مقالات گذشته در مورد امنیت شبکه و موارد مربوط به اون زیاد صحبت کردیم و در این مقاله میخواهیم نظارت بر امنیت شبکه را مورد بحث قرار بدیم.طبق نظرسنجی از ۲۲۲ مدیر فناوری اطلاعات که توسط SANS انجام شده، بیشترین کنترل های امنیتی پیاده سازی شده در شرکتهای بزرگ و کوچک مواردی است شامل: فایروال، آنتی ویروس و IDS / IPS مبتنی بر میزبان، جزو تکنولوژی های امنیتی بودند که بیشترین استقرار را در هر دو سازمان بزرگ و کوچک دارند. شبکه های در مقیاس بزرگ دارای چندین “نقطه دسترسی” هستند که تجهیزات مختلفی برای نظارت و اجرای سیاست های امنیتی مورد نیاز هستند. بدین معنی که بسیاری از سازمان های بزرگ ده ها فایروال، NGFW و IDS / IPS در مناطق مختلف شبکه دارند که به صورت متمرکزتر امنیت ترافیک را برقرار می کنند.
Secure email gateways تقریباً توسط همه سازمان های بزرگ مورد استفاده قرار می گیرد ولی معمولااکثر سازمانهای کوچک و متوسط فقط یک e-mail gateway دارند که بیشتر ایمیل های آنها از طریق آن جریان می یابد. و از تکنولوژی های امنیت ایمیل کمتر استفاده می کنند.
فناوری های جدید مانند فایروال های برنامه های وب WAF و امنیت دسترسی به ابر به ترتیب در ۷۵٪ و ۵۰٪ سازمان ها مستقر شده اند، با این وجود شاهد هستیم تعداد آسیب پذیری های آنها به دلیل مهاجرت به ابر و افزایش کاربرد سال به سال افزایش می یابد.
نظارت بر امنیت شبکه با تجزیه و تحلیل پکت ها و جریان ترافیک
شبکه و دستگاه های امنیتی در کنار هم، اطلاعات عمیق و کاربردی را ارائه می دهند که می توانند به ایجاد دید امنیتی و مدیریت ترافیک در شبکه کمک کنند.
در حال حاضر دو نوع تحلیل برای نظارت بر امنیت شبکه استفاده می شود:
تجزیه و تحلیل پکت ها: این روش رویکرد سنتی تری برای نظارت بر امنیت است. از بسته های شبکه به عنوان منبع داده استفاده می کند و سپس metadata را از payload ها استخراج می کند تا حالت کاملی را تجزیه و تحلیل کند. این نتایج غنی تر از تجزیه و تحلیل جریان شامل وب سایت های ورودی و خروجی، کاربران، برنامه ها، پرونده ها، میزبان ها، منابع و محتوای تبادل است. اما بار بیشتری در پردازش محاسباتی دارد.
تجزیه و تحلیل جریان ترافیک: تجزیه و تحلیل جریان داده های خلاصه ای از داده ها را برای تجزیه و تحلیل رفتار شبکه را فراهم می کند. به عنوان مثال، از تجزیه و تحلیل جریان در تحقیقات جرم شناسی استفاده می شود تا مشخص شود که آیا نقض از داده ها در یک میزبان رخ داده است و اگر این مورد اتفاق افتاده است و در چه زمانی بوده؟ این روش همچنین برای مشخص کردن ترافیک شبکه شامل پروتکل های مورد استفاده و سایتهای مورد بازدید استفاده می شود
تفاوت آنالیز پکت و جریان
تجزیه و تحلیل جریان به طور معمول نمای ۱۰۰۰۰ متری است در حالی که تحلیل بسته دیدگاه عمیق تری در داده ها است. ثبت بسته ها به دلیل مقدار داده ای که باید جمع آوری و ذخیره شود و تعداد دستگاه هایی که باید مستقر شوند، گران است.
تجهیزات امنیتی اکتیو و پسیو
دستگاه های امنیتی اکتیو شامل فایروال، سیستم های جلوگیری از نفوذ IPS) ، پراکسی های وب، فایروال های برنامه های کاربردی وب (WAF) و ضد بدافزار باشند زیرا این موارد به صورت آنلاین کار می کنند. به این معنی که آنها بسته های داده را دریافت کرده و به مقصد مورد نظر هدایت می کنند.
توجه – دستگاههای امنیتی فعال در شناسایی و متوقف کردن تهدیدها در زمان واقعی بسیار عالی هستند زیرا ترافیک باید از طریق دستگاه عبور کند. نکته منفی این است که دستگاه ها معمولاً ترافیک را کند یا متوقف می کنند و بنابراین عملکرد شبکه را کاهش می دهند.
دستگاه های امنیتی پسیو: این شامل سیستم های تشخیص نفوذ (IDS) ، تجزیه و تحلیل رفتار کاربر (UBA) ، بیشتر راه حل های تشخیص و پاسخ Endpoint (EDR) و سیستم های اطلاعات امنیتی و مدیریت رویدادها (SIEM) است. آنها با بازرسی یک کپی از ترافیک شبکه یا ثبت اطلاعات تولید شده توسط ابزارهای مختلف IT برای شناسایی ترافیک غیر عادی یا رفتار مخرب در خارج از شبکه فعالیت می کنند.
توجه: دستگاههای امنیتی پسیو به منظور ایجاد بینش برای تحلیلگران امنیتی جهت بررسی پس از عبور ترافیک از شبکه، طراحی شده اند. بنابراین، دستگاه های غیرفعال (پسیو) به طور معمول عملکرد شبکه را کاهش نمی دهند، با این حال، آنها قادر به “مسدود کردن” ترافیک ناخواسته نیستند همانطور که دستگاه های اکتیو می توانند.
در نظرسنجیSANS ، بسیاری از مدیران فناوری اطلاعات در مورد استقرار دستگاه های امنیتی اکتیو ابراز نگرانی می کنند و این نشان می دهد که آنها بیشترین نگرانی را در مورد تأثیر اشتباه دستگاه های امنیتی فعال بر روی شبکه دارند. نگرانی مدیران فناوری اطلاعات در مورد تاثیر اشتباه، قطع سرویس های شبکه و تاخیر اضافی latency است.
هنگامی که از رهبران فناوری اطلاعات در این نظرسنجی سال شد که چرا آنها دستگاههای امنیتی فعال را نصب نمی کنند یا چرا آنها معمولاً ۱۰۰٪ ویژگیهای امنیتی آنها را فعال نمی کنند، پاسخ دهندگان دلایل را به شرح زیر طبقه بندی کردند:
- تأثیر منفی در عملکرد: ۶۸٪
- مثبت کاذب: ۵۹٪
- اعلان اشتباه هشدار: ۵۵٪
- خرابی شبکه: ۲۶٪
نظارت بر امنیت شبکه با ثبت وقایع امنیتی
تحلیلگران معمولاً به دنبال گزارش هایی هستند که اطلاعات مربوط به مجوز ها و تأیید اعتبار سیستم ها، تغییر سیستم ها و داده ها، فعالیت های شبکه، دسترسی به منابع، فعالیت بدافزار ها را ارائه دهد.
دو نوع ثبت وقایع امنیتی عبارتند از:
SIEM: ثبت و جمع آوری گزارش های مربوط به منابع مختلف، از جمله منابع خبری اطلاعات تهدید، موجودی دارایی و خدمات دایرکتوری و همچنین فعالیت های مشکوک را از طریق قوانین همبستگی شناسایی کرده تا با هشدار به تحلیلگران SOC اقدامات مناسب انجام شود. SIEM به طور معمول ، یک فناوری است که توسط تحلیلگران SOC برای نظارت و بررسی هشدارهای مربوط به همه فن آوری های امنیتی موجود در شبکه استفاده می شود.
Security Analytics: نسخه جدیدتر از SIEM که امکانات بیشتری مانند UBA/UEBA را در خود جای داده است.
مطالب زیر را حتما بخوانید
-
اکتیو دایرکتوری (Active Directory) چیست و چگونه کار می کند؟
102 بازدید
-
بخش بندی شبکه (Network Segmentation) چیست؟
169 بازدید
-
۸ راه برای افزایش امنیت شبکه
2.65k بازدید
-
۲۰ اصطلاح مهم امنیت شبکه که باید بدانید
3.11k بازدید
-
SOC چیست؟ تکنولوژی، اهداف و ابزارهای مرکز عملیات امنیت
6.34k بازدید
-
فیشینگ (Phishing) چیست؟ بررسی و نحوه پیشگیری از آن چگونه است
2.54k بازدید
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.