مدیریت یکپارچه تهدیدات چیست؟

سیستم های مدیریت یکپارچه UTM چه قابلیت هایی دارند؟

 

مدیریت یکپارچه تهدیدات (Unified Threat Management) یا به‌طور خلاصه UTM نوعی سخت‌افزار شبکه، سرویس ابری یا Virtual Appliance (یک ماشین مجازی) است که کسب‌وکارها را از تهدیدات امنیتی از طریق ترکیب و یکپارچه‌سازی چندین سرویس و ویژگی امنیتی، حفاظت می‌کند.

دستگاه‌های مدیریت یکپارچه تهدیدات (UTM) اغلب اوقات به عنوان اپلاینس‌­های امنیت شبکه بسته‌بندی می‌شوند و می‌توانند از شبکه‌ها در برابر تهدیدات امنیتی ترکیبی شامل حملات بدافزاری و حملاتی که به‌صورت هم‌زمان چندین قسمت شبکه را هدف می‌گیرند، محافظت کنند.

سرویس‌های ابری UTM و اپلاینس‌های مجازی شبکه به طور چشمگیری در حال افزایش هستند، خصوصاً در کسب‌وکارهای کوچک و متوسط کاربرد زیادی دارند. در حقیقت هر دوی آن‌ها در کنار اپلاینس‌های تخصصی امنیت، کار می‌کنند و مزایای کنترل متمرکز و سهولت در استفاده را برای ایجاد ساختار امنیت دفاعی شبکه در عمق به ارمغان می‌آورند.

با اینکه UTM‌ها و (Next-Generation firewall(NGFW‌ها (فایروال‌های نسل بعد) گاهی اوقات با هم قابل مقایسه هستند ولی دستگاه‌های مدیریت یکپارچه تهدیدات ویژگی‌هایی را ارائه می‌دهند که فایروال‌های نسل بعد قادر به ارائه آن‌ها نیستند.

فایروال‌های نسل بعد به منظور پرکردن شکاف ها و حفره های امنیتی موجود در فایروال‌های قدیمی توسعه داده شدند، و معمولاً  فهم اپلیکیشن (Application Intelligence)، سیستم‌های جلوگیری از نفوذ (IPS) و سرویس‌های حفاظت در برابر حملات منع سرویس (DOS) را شامل می‌شوند.

دستگاه‌های مدیریت یکپارچه تهدیدات (UTM) چندین لایه از امنیت شبکه را ارائه می‌دهند، که شامل فایروال‌های نسل بعد، سیستم‌های جلوگیری یا تشخیص نفوذ (IDS/IPS)، آنتی‌ویروس ها، شبکه‌های خصوصی مجازی (VPN)، فیلتر اسپم و URL برای محتویات وب می‌باشند.

سیستم مدیریت یکپارچه تهدیدات

قابلیت‌های سیستم های مدیریت یکپارچه تهدیدات (UTM)

سیستم‌های مدیریت یکپارچه تهدیدات (UTM) اغلب شامل چندین تکنولوژی امنیتی هستند که شامل موارد زیر می‌باشند:

  1. سرویس‌های آنتی اسپم، حملات مبتنی بر ایمیل ورودی را از طریق اسکن “پروتکل ارسال ایمیل” بلاک یا تگ گذاری می‌کنند. فیلتر آنتی اسپم باعث می‌شود که کسب‌وکارها از سرورهای مبتنی بر بلاک اسپم استفاده کنند یا لیست‌های سفید و سیاه محلی مختص به خود را داشته باشند تا پیام‌های ایمیل را فیلتر نمایند. اسکن آنتی‌ویروس برای وب و ایمیل به این معنی است که دستگاه‌های UTM ترافیک ایمیل و اپلیکیشن‌های وب را برای بدافزار اسکن می‌کنند. برخی دیگر از سیستم‌هایمدیریت یکپارچه تهدیدات (UTM)  سایر تهدیدات امنیتی در ترافیک اپلیکیشن­‌ها مثل سرویس‌های پیام‌رسان که هکرها برای انتشار بدافزار از آن استفاده می‌کنند را اسکن می‌کنند.
  2. دستگاه‌های مدیریت یکپارچه تهدیدات (UTM) می‌توانند اپلیکیشن­‌های لیست سفید را نیز کنترل کنند، به این معنی که کدام اپلیکیشن و هر کدام چه زمانی اجازه استفاده و یا عدم استفاده را دارد. کنترل اپلیکیشن برای امنیت شبکه نیز مهم است به این دلیل که تعداد زیادی اپلیکیشن یا مخرب هستند یا شامل آسیب‌پذیری‌هایی هستند که حمله‌کنندگان می‌توانند به وسیله آن‌ها امنیت شبکه را در معرض خطر قرار دهند.
  3. فایروال، قدیمی‌ترین و ابتدایی‌ترین دستگاه امنیت شبکه است. فایروال‌ها در حقیقت ارتباط بین هاست‌های داخل و خارج سازمان را با هدف کاهش یا جلوگیری از نفوذ به هاست‌های متصل به اینترنت و شبکه‌ها یا پروتکل‌های آسیب‌پذیر محدود می‌کنند.
  4. تکنولوژی‌های تشخیص و جلوگیری از نفوذ (IDS/IPS)‌، حملات را از طریق فهمیدن اینکه حمله‌کننده چه زمانی در تلاش برای نفوذ به شبکه است، شناسایی می‌کنند تا از بروز این نوع حملات جلوگیری کنند. مؤثرترین دستگاه‌ها و سرویس‌های UTM این نوع تهدیدات امنیتی را با ترکیب روش‌هایی مثل تشخیص حملات از طریق سابقه رفتاری بدافزار و تشخیص از طریق آنومالی برای جلوگیری از حملات معروف و غیر معروف سایبری به کار می‌گیرند.
  5. VPN در دستگاه‌ها و سرویس‌های مدیریت یکپارچه تهدیدات (UTM) نیز استفاده می‌شود. در حالی که اکثر کاربردهای دستگاه‌های امنیت شبکه برای کشف و توقف حملات است، VPN برای حفاظت از شبکه سازمان در برابر دست‌کاری یا شنود غیرمجاز بکار برده می‌شود. VPN یک تونل حفاظت شده می‌سازد که فعالیت‌های شبکه از آن عبور می‌کنند. VPNمی‌تواند به گونه‌ای پیکربندی شود که از طریق یک تونل، تمام ترافیک را از هاست‌ها به دستگاه مدیریت یکپارچه تهدیدات ارسال کند، که باعث می‌شود تمامی بررسی‌های امنیتی به ترافیک اعمال شوند و تعداد رخدادهای امنیتی برای این دستگاه‌ها کاهش یابند.
  6. فیلتر محتویات وب و URL می‌تواند به این صورت باشد که آیا یک درخواست وب یا URL مجاز است یا خیر. برخی از UTM‌ها از تکنیک‌های آنالیزی که می‌توانند وب‌سایت‌ها را برای تخطی از امنیت اسکن کنند، استفاده می‌کنند.

همان‌طور که از نام این دستگاه‌ها برداشت می‌شود،UTMها، سرویس‌های مدیریت تهدیدات یکپارچه را ارائه می‌دهند. تعداد سرویس‌های امنیتی که در پلتفرم مدیریت یکپارچه تهدیدات (UTM) ارائه می‌شوند، با ارائه و تغییر راهکارهای جدید امنیتی شاید به مرور زمان گسترش یابند. یکی از مزایای استفاده از UTM برای بسیاری از کسب‌وکارها این است که دستگاه مدیریت یکپارچه تهدیدات (UTM) تنها یک پلتفرم برای تعداد زیادی از مکانیزم های امنیت اطلاعات ارائه می‌دهد.

سیستم های مدیریت یکپارچه تهدیدات (UTM) چگونه کار می‌کند؟

سیستم‌های UTM علاوه بر کنترل امنیت شبکه، حفاظت و دید بهتری را ارائه می‌دهند که پیچیدگی کار را نیز کاهش می‌دهند. سیستم‌های UTM اغلب این کار را از طریق چندین روش بازرسی انجام می‌دهند و چندین نوع تهدید را مرتفع می سازند.

این روش‌ها شامل:

  1. بازرسی مبتنی بر جریان (Flow-based inspection) است که به آن stream-based inspection نیز می‌گویند، داده‌های نمونه وارد دستگاه UTM می‌شوند، سپس UTM تطبیق الگو می‌دهد تا محتویات مخرب را در جریان داده پیدا کند.
  2. بازرسی مبتنی بر پروکسی (Proxy-based inspection) به عنوان یک پروکسی (نماینده) برای بازسازی محتویاتی که وارد دستگاه UTM می‌شوند، کار می‌کند، سپس یک بازرسی کامل از محتویات انجام می‌دهد تا تهدیدات امنیتی بالقوه را پیدا کند. اگر محتویات پاک باشند، دستگاه محتویات را برای کاربر ارسال می‌کند. اگر یک ویروس یا سایر تهدیدات امنیتی دیده شوند، دستگاه محتویات مشکوک را پاک می‌کند و سپس فایل یا صفحه وب را به کاربر ارسال می‌کند.

چگونه UTM استقرار می‌یابد؟

کسب‌وکارها می‌توانند UTM را به عنوان دستگاه UTM که به شبکه سازمان متصل می‌شود، یا به عنوان نرم‌افزاری که بر روی سرور شبکه اجرا می‌شود و یا سرویسی که روی محیط ابری کار می‌کند، پیاده‌سازی کنند.

UTM‌ها عموماً برای سازمان‌هایی که تعداد زیادی شاخه یا بخش دارند و از WAN‌های اختصاصی سنتی و یا اینترنت عمومی برای ارتباط با دیتاسنتر یا دفتر مرکزی استفاده می‌کنند، مفید می‌باشند. استفاده از یک سیستم مدیریت یکپارچه تهدیدات (UTM)  در این موارد می‌تواند کنترل بهتری بر روی نظارت امنیتی بخش‌های مختلف شبکه کسب‌وکار فراهم آورد.

کسب‌وکارها می‌توانند از یک یا چند روش برای استقرار UTM در پلتفرم مناسب استفاده کنند، اما شاید استفاده ترکیبی از پلتفرم‌ها مناسب‌تر باشد. برخی از این گزینه‌ها شامل نصب نرم‌افزار UTM بر روی سرور کمپانی در دیتاسنتر می‌باشد. روش‌های دیگر عبارت‌اند از استفاده از محصولات نرم‌افزاری UTM که مبتنی بر سرورهای ابری هستند، استفاده از سیستم های مدیریت یکپارچه تهدیدات (UTM)  سنتی که نرم‌افزار و سخت‌افزار یکپارچه شده‌ای دارند و یا استفاده از اپلاینس‌های مجازی که مجموعه‌ای از نرم‌افزارهای یکپارچه هستند و قابلیت پیاده‌سازی در محیط‌های مجازی را دارند.

خروج از نسخه موبایل