مدیریت یکپارچه تهدیدات (Unified Threat Management) یا بهطور خلاصه UTM نوعی سختافزار شبکه، سرویس ابری یا Virtual Appliance (یک ماشین مجازی) است که کسبوکارها را از تهدیدات امنیتی از طریق ترکیب و یکپارچهسازی چندین سرویس و ویژگی امنیتی، حفاظت میکند.
دستگاههای مدیریت یکپارچه تهدیدات (UTM) اغلب اوقات به عنوان اپلاینسهای امنیت شبکه بستهبندی میشوند و میتوانند از شبکهها در برابر تهدیدات امنیتی ترکیبی شامل حملات بدافزاری و حملاتی که بهصورت همزمان چندین قسمت شبکه را هدف میگیرند، محافظت کنند.
سرویسهای ابری UTM و اپلاینسهای مجازی شبکه به طور چشمگیری در حال افزایش هستند، خصوصاً در کسبوکارهای کوچک و متوسط کاربرد زیادی دارند. در حقیقت هر دوی آنها در کنار اپلاینسهای تخصصی امنیت، کار میکنند و مزایای کنترل متمرکز و سهولت در استفاده را برای ایجاد ساختار امنیت دفاعی شبکه در عمق به ارمغان میآورند.
با اینکه UTMها و (Next-Generation firewall(NGFWها (فایروالهای نسل بعد) گاهی اوقات با هم قابل مقایسه هستند ولی دستگاههای مدیریت یکپارچه تهدیدات ویژگیهایی را ارائه میدهند که فایروالهای نسل بعد قادر به ارائه آنها نیستند.
فایروالهای نسل بعد به منظور پرکردن شکاف ها و حفره های امنیتی موجود در فایروالهای قدیمی توسعه داده شدند، و معمولاً فهم اپلیکیشن (Application Intelligence)، سیستمهای جلوگیری از نفوذ (IPS) و سرویسهای حفاظت در برابر حملات منع سرویس (DOS) را شامل میشوند.
دستگاههای مدیریت یکپارچه تهدیدات (UTM) چندین لایه از امنیت شبکه را ارائه میدهند، که شامل فایروالهای نسل بعد، سیستمهای جلوگیری یا تشخیص نفوذ (IDS/IPS)، آنتیویروس ها، شبکههای خصوصی مجازی (VPN)، فیلتر اسپم و URL برای محتویات وب میباشند.
قابلیتهای سیستم های مدیریت یکپارچه تهدیدات (UTM)
سیستمهای مدیریت یکپارچه تهدیدات (UTM) اغلب شامل چندین تکنولوژی امنیتی هستند که شامل موارد زیر میباشند:
- سرویسهای آنتی اسپم، حملات مبتنی بر ایمیل ورودی را از طریق اسکن “پروتکل ارسال ایمیل” بلاک یا تگ گذاری میکنند. فیلتر آنتی اسپم باعث میشود که کسبوکارها از سرورهای مبتنی بر بلاک اسپم استفاده کنند یا لیستهای سفید و سیاه محلی مختص به خود را داشته باشند تا پیامهای ایمیل را فیلتر نمایند. اسکن آنتیویروس برای وب و ایمیل به این معنی است که دستگاههای UTM ترافیک ایمیل و اپلیکیشنهای وب را برای بدافزار اسکن میکنند. برخی دیگر از سیستمهایمدیریت یکپارچه تهدیدات (UTM) سایر تهدیدات امنیتی در ترافیک اپلیکیشنها مثل سرویسهای پیامرسان که هکرها برای انتشار بدافزار از آن استفاده میکنند را اسکن میکنند.
- دستگاههای مدیریت یکپارچه تهدیدات (UTM) میتوانند اپلیکیشنهای لیست سفید را نیز کنترل کنند، به این معنی که کدام اپلیکیشن و هر کدام چه زمانی اجازه استفاده و یا عدم استفاده را دارد. کنترل اپلیکیشن برای امنیت شبکه نیز مهم است به این دلیل که تعداد زیادی اپلیکیشن یا مخرب هستند یا شامل آسیبپذیریهایی هستند که حملهکنندگان میتوانند به وسیله آنها امنیت شبکه را در معرض خطر قرار دهند.
- فایروال، قدیمیترین و ابتداییترین دستگاه امنیت شبکه است. فایروالها در حقیقت ارتباط بین هاستهای داخل و خارج سازمان را با هدف کاهش یا جلوگیری از نفوذ به هاستهای متصل به اینترنت و شبکهها یا پروتکلهای آسیبپذیر محدود میکنند.
- تکنولوژیهای تشخیص و جلوگیری از نفوذ (IDS/IPS)، حملات را از طریق فهمیدن اینکه حملهکننده چه زمانی در تلاش برای نفوذ به شبکه است، شناسایی میکنند تا از بروز این نوع حملات جلوگیری کنند. مؤثرترین دستگاهها و سرویسهای UTM این نوع تهدیدات امنیتی را با ترکیب روشهایی مثل تشخیص حملات از طریق سابقه رفتاری بدافزار و تشخیص از طریق آنومالی برای جلوگیری از حملات معروف و غیر معروف سایبری به کار میگیرند.
- VPN در دستگاهها و سرویسهای مدیریت یکپارچه تهدیدات (UTM) نیز استفاده میشود. در حالی که اکثر کاربردهای دستگاههای امنیت شبکه برای کشف و توقف حملات است، VPN برای حفاظت از شبکه سازمان در برابر دستکاری یا شنود غیرمجاز بکار برده میشود. VPN یک تونل حفاظت شده میسازد که فعالیتهای شبکه از آن عبور میکنند. VPNمیتواند به گونهای پیکربندی شود که از طریق یک تونل، تمام ترافیک را از هاستها به دستگاه مدیریت یکپارچه تهدیدات ارسال کند، که باعث میشود تمامی بررسیهای امنیتی به ترافیک اعمال شوند و تعداد رخدادهای امنیتی برای این دستگاهها کاهش یابند.
- فیلتر محتویات وب و URL میتواند به این صورت باشد که آیا یک درخواست وب یا URL مجاز است یا خیر. برخی از UTMها از تکنیکهای آنالیزی که میتوانند وبسایتها را برای تخطی از امنیت اسکن کنند، استفاده میکنند.
همانطور که از نام این دستگاهها برداشت میشود،UTMها، سرویسهای مدیریت تهدیدات یکپارچه را ارائه میدهند. تعداد سرویسهای امنیتی که در پلتفرم مدیریت یکپارچه تهدیدات (UTM) ارائه میشوند، با ارائه و تغییر راهکارهای جدید امنیتی شاید به مرور زمان گسترش یابند. یکی از مزایای استفاده از UTM برای بسیاری از کسبوکارها این است که دستگاه مدیریت یکپارچه تهدیدات (UTM) تنها یک پلتفرم برای تعداد زیادی از مکانیزم های امنیت اطلاعات ارائه میدهد.
سیستم های مدیریت یکپارچه تهدیدات (UTM) چگونه کار میکند؟
سیستمهای UTM علاوه بر کنترل امنیت شبکه، حفاظت و دید بهتری را ارائه میدهند که پیچیدگی کار را نیز کاهش میدهند. سیستمهای UTM اغلب این کار را از طریق چندین روش بازرسی انجام میدهند و چندین نوع تهدید را مرتفع می سازند.
این روشها شامل:
- بازرسی مبتنی بر جریان (Flow-based inspection) است که به آن stream-based inspection نیز میگویند، دادههای نمونه وارد دستگاه UTM میشوند، سپس UTM تطبیق الگو میدهد تا محتویات مخرب را در جریان داده پیدا کند.
- بازرسی مبتنی بر پروکسی (Proxy-based inspection) به عنوان یک پروکسی (نماینده) برای بازسازی محتویاتی که وارد دستگاه UTM میشوند، کار میکند، سپس یک بازرسی کامل از محتویات انجام میدهد تا تهدیدات امنیتی بالقوه را پیدا کند. اگر محتویات پاک باشند، دستگاه محتویات را برای کاربر ارسال میکند. اگر یک ویروس یا سایر تهدیدات امنیتی دیده شوند، دستگاه محتویات مشکوک را پاک میکند و سپس فایل یا صفحه وب را به کاربر ارسال میکند.
چگونه UTM استقرار مییابد؟
کسبوکارها میتوانند UTM را به عنوان دستگاه UTM که به شبکه سازمان متصل میشود، یا به عنوان نرمافزاری که بر روی سرور شبکه اجرا میشود و یا سرویسی که روی محیط ابری کار میکند، پیادهسازی کنند.
UTMها عموماً برای سازمانهایی که تعداد زیادی شاخه یا بخش دارند و از WANهای اختصاصی سنتی و یا اینترنت عمومی برای ارتباط با دیتاسنتر یا دفتر مرکزی استفاده میکنند، مفید میباشند. استفاده از یک سیستم مدیریت یکپارچه تهدیدات (UTM) در این موارد میتواند کنترل بهتری بر روی نظارت امنیتی بخشهای مختلف شبکه کسبوکار فراهم آورد.
کسبوکارها میتوانند از یک یا چند روش برای استقرار UTM در پلتفرم مناسب استفاده کنند، اما شاید استفاده ترکیبی از پلتفرمها مناسبتر باشد. برخی از این گزینهها شامل نصب نرمافزار UTM بر روی سرور کمپانی در دیتاسنتر میباشد. روشهای دیگر عبارتاند از استفاده از محصولات نرمافزاری UTM که مبتنی بر سرورهای ابری هستند، استفاده از سیستم های مدیریت یکپارچه تهدیدات (UTM) سنتی که نرمافزار و سختافزار یکپارچه شدهای دارند و یا استفاده از اپلاینسهای مجازی که مجموعهای از نرمافزارهای یکپارچه هستند و قابلیت پیادهسازی در محیطهای مجازی را دارند.
