آشنایی با معماری امنیت تطبیق‌پذیر (Adaptive Security)

امنیت تطبیق‌پذیر (Adaptive Security)، یک مدل یا رویکرد امنیتی بلادرنگ است که به طور مستمر رفتارها و رویدادها را بررسی می کند تا از تهدید محافظت کند و بر این اساس با تهدیدها قبل از وقوع آنها سازگار شود. هدف اولیه امنیت تطبیقی ایجاد یک حلقه بازخورد تهدید است. رصد، تشخیص تهدید و پیشگیری که به طور مداوم بروزرسانی می‌شود. این مدل شامل چهار روند مهم است که عبارتند از: پیشگیری، تشخیص، پاسخگویی و پیش‌بینی.

شیوه عملکرد معماری امنیت تطبیق‌پذیر

در ادامه روند کلی عملکرد معماری امنیت تطبیق‌ پذیر را مورد بررسی قرار می‌دهیم.

پیشگیری

این مرحله، اولین گام برای حفاظت از سازمان‌ها در برابر تهدیدات سایبری است. اجرای رویکرد امنیت تطبیق‌‌پذیر به سازمان‌ها امکان می‌دهد محصولات، فرایندها و سیاست‌هایی را برای پیشگیری از حمله ایجاد کنند. تیم‌های امنیتی در این مرحله تصمیم می‌گیرند آیا یک شی امن است یا خیر و بر اساس آن اقدامات لازم را از طریق فایروال‌ها، موتورهای تشخیص مبتنی بر امضا و فناوری‌های حفاظتی مجهز به یادگیری ماشینی انجام می‌دهند. در این مرحله حدود ۹۹ درصد از مخاطرات و تهدیدات سایبری مسدود می‌شوند. البته همان یک درصد باقیمانده می‌تواند آسیب‌های چشمگیری را به سازمان‌ها وارد کند.

پیشگیری از وقوع تهدیدات سایبریتشخیص

در این مرحله، راهکارهای امنیتی به گونه ای طراحی می‌گردند تا قابلیت تشخیص تهدیدات امنیتی و ارسال گزارش فعالیت‌ها و عملیات مشکوک به تیم‌های امنیتی را بدون مسدود کردن تهدیدات امکان پذیر کنند. کارشناسان امنیتی نیز پس از دریافت گزارش‌ها اقدامات لازم جهت واکنش به حملات را در نظر می‌گیرند. راهکارهای امنیتی در این مرحله فقط قابلیت شناسایی تهدیدات سایبری را داشته و نمی‌توانند آنها را مسدود کنند. این بخش متشکل از سیستم‌های تحلیل و ارزیابی پویای رفتار کد است. اجرای این مرحله به کاهش زمان تشخیص کمک نموده و از تبدیل مخاطرات بالقوه به حملات واقعی جلوگیری می‌کنند.

واکنش

پاسخ منطقی ترین مرحله در معماری امنیتی تطبیقی است. در مرحله «واکنش» اقدامات امنیتی و همچنین شیوه واکنش به انواع تهدیدات امنیتی (که در لایه‌های پیشین مسدود نشده‌اند) مشخص می‌گردند. ‌معماری امنیت تطبیق‌پذیر در این مرحله ابتدا حوادث را شناسایی نموده و براساس آنها سیاست‌های لازم را اجرا می‌کند. این مدل امنیتی همچنین در صورت لزوم سیاست‌ها را اصلاح و قوانین امنیتی جدید را اضافه می‌کند. به طور خاص، این مرحله حوادث را بررسی می‌کند، تغییرات خط‌مشی را طراحی می‌کند و تجزیه و تحلیل مبتنی بر تجربیات گذشته را انجام می‌دهد.

پیشبینی

لایه پیش‌بینی هشدارهای لازم در رابطه با رویدادهای بیرونی را به تیم‌های فناوری اطلاع می‌دهد. این لایه همچنین با نظارت بر روی فعالیت‌های مهاجمان، انواع حملات جدید را پیش‌بینی نموده و اطلاعات لازم در رابطه با تقویت لایه‌های تشخیص و پیشگیری را فراهم می‌کند.

پیش‌بینی حوادث سایبری

در پیش گرفتن معماری امنیت تطبیق‌ پذیر

امنیت تطبیق‌ پذیر فارغ از شبکه سازمان، ماهیت کسب‌وکار یا تهدیدات پیش روی سازمان بوده و می‌تواند متناسب با رویه‌ها و سیاست‌‌هایی که برای آن تعریف شده تغییر و تکامل یابد.

امنیت تطبیقی به اندازه شبکه سازمان، ماهیت کسب‌وکار یا تهدیدات پیش روی سازمان ارتباطی ندارد بلکه می‌توان آن را بدون توجه به این موارد اتخاذ کرد. این معماری قادر است متناسب با رویه‌ها و سیاست‌های تعریف شده برای آن، تغییر و تکامل پیدا کند. اقدامات زیر از جمله مواردی هستند که انجام آنها به طراحی دقیق یک مدل امنیتی تطبیق‌پذیر کمک می‌کند:

  1. انواع مخاطراتی که سازمان‌ها را تهدید می‌کنند و ویژگی‌های آنها باید شناسایی شوند. کوچکترین رفتار مشکوک یک فرایند هم باید شناسایی و ضبط گردد؛
  2. اجزا، رفتارها و اقدامات مورد اطمینان و رضایت‌بخش باید مشخص شوند؛
  3. محرک‌های لازم برای نظارت بر روی تهدیدات تنظیم شوند؛
  4. در صورت لزوم سیستم‌های واکنش به تهدیدات متناسب با این محرک‌ها فعال گردند.
  5. یکسری افزونگی‌ها برای عملکردهای حیاتی باید پیاده‌سازی شوند؛
  6. براساس اصل اعتماد صفر هیچ عنصر حیاتی نباید کاملاً مورد اعتماد باشد چون می‌تواند کل سیستم را از کار بی‌اندازد؛
  7. اقدامات واکنشی به تهدیدات باید به‌گونه‌ای تنظیم گردند که منجر به از کار افتادن کل سیستم نشوند؛
  8. مراحل فرایند بازیابی از حادثه با جزئیات کامل مشخص و تعریف شوند؛
  9. ابزارهای موردنیاز برای اعتبارسنجی اقدامات واکنشی تعریف و مهیا شوند.

معماری امنیتی تطبیق‌پذیر

چالش‌ها موجود در مسیر ایجاد معماری امنیت تطبیق‌ پذیر

موارد زیر از جمله دلایلی هستند که طراحی یک مدل امنیتی تطبیق‌پذیر را با مشکلات فراوانی مواجه کرده‌اند:

  • راهکارهای پیشگیری از حمله و مسدودسازی فعلی قابلیت مقابله با مهاجمان پیشرفته و ابزارهای حمله مجهز امروزی را ندارند.
  • سازمان‌ها همچنان معمولاً سرمایه‌شان را صرف رویکردهای «فقط پیش‌گیرانه» می‌کنند.
  • سازمان‌ها قابلیت پیش‌بینی حملات پیشرفته و حتی شناسایی حملات در حال وقوع را ندارند.
  • سیستم‌های سازمانی به صورت پیوسته مورد هدف حملات سایبری و نشت‌های داده‌ای قرار می‌گیرند. از این رو پیاده‌سازی یک راهکار امنیتی که فقط مختص یک نوع تهدید سایبری می‌باشد کار چندان عاقلانه‌ای نیست.

مواردی که پیش از طراحی یک معماری امنیتی تطبیق‌ پذیر باید مورد توجه قرار بگیرند عبارتند از:

  • تغییر فرهنگ سازمان از «واکنش به حادثه» به سمت «واکنش مستمر»؛
  • در پیش گرفتن یک معماری امنیت تطبیق‌پذیر؛
  • کاهش سرمایه‌گذاری برای پیشگیری و تأمین بودجه جهت فراهم نمودن ابزارها و طراحی راهکارهای موردنیاز برای تشخیص، واکنش و پیش‌بینی؛
  • طراحی یک مرکز عملیات امنیتی در سازمان جهت پشتیبانی و نظارت مستمر بر روی فرایندهای در حال اجرا.

عملیات امنیتیچرا امنیت تطبیق‌پذیر مهم است؟

تهدیدات سایبری و روش‌های حمله همچنان رو به پیشرفت هستند. از این رو سازمان‌ها باید روش‌های مقابله با حملات‌شان را تغییر داده و تا حد امکان از وقوع و پیشروی چنین حملاتی جلوگیری کنند. مدل امنیتی تطبیق‌پذیر امکان تشخیص زودهنگام نفوذهای امنیتی و واکنش خودکار و مستقل به رویدادهای مخرب را برای سازمان‌ها فراهم می‌کند. یکسری از ویژگی‌های کاربردی معماری امنیت تطبیق‌پذیر علاوه بر مزایای اساسی آن شامل موارد زیر هستند:

  • امنیت تطبیق‌پذیر یک فرایند نظارتی مستمر است و متناسب با انواع تهدیدات و تغییرات‌شان رشد و تکامل می‌یابد؛
  • پیاده‌سازی این معماری منجر به کاهش سطح و نرخ حمله، میزان آسیب‌پذیری‌های موجود در محصولات و خدمات و زمان بازیابی می‌شود؛
  • اجرای مدل امنیت تطبیق‌پذیر امکان مقابله با مخاطراتی که بر سر راه تجهیزات اینترنت اشیا و داده‌های حجیم وجود دارند را فراهم می‌کند.
  • فناوری هوش مصنوعی و یادگیری ماشینی در معماری امنیتی تطبیق‌پذیر امکان تحلیل پیشرفته را فراهم می‌کند. به این ترتیب نفوذهای امنیتی در حال وقوع که با نظارت بر روی سیستم قابل شناسایی نیستند به راحتی تشخیص داده می‌شوند.

چه تفاوتی در بین امنیت تطبیق‌‌پذیر و امنیت سنتی وجود دارد؟

در دنیای دیجیتال امروزی سازمان‌ها و کارشناسان امنیت سایبری با چالش‌های بسیار زیادی از جمله تغییر تعریف محیط (سازمان یا شبکه)، تحول پیوسته مخاطرات امنیتی، تجهیزات اینترنت اشیا، حرکت از IPv4 به IPv6 مواجه می‌شوند. بنابراین شیوه‌های نظارتی سنتی همواره بی‌اثرتر شده و سازمان‌ها معمولاً قابلیت پیش‌بینی حملات سایبری و پیشگیری از نفوذشان را ندارند. هچنین با توجه تغییرات پیوسته حملات سایبری امروزی، نصب فایروال‌ها و سیستم‌های تشخیص و پیشگیری از نفوذ که حملات را براساس آنچه که دیده‌اند شناسایی می‌کنند چندان کارایی ندارد.

بنابر توصیه کارشناسان امنیتی سازمان‌ها باید معماری امنیت تطبیق‌پذیر را در پیش گرفته و سیاست امنیتی‌شان را بر مبنای «واکنش پیوسته به حادثه» (به جای «واکنش به حادثه») تنظیم کنند.

چه تفاوتی بین امنیت تطبیق‌پذیر و امنیت سنتی وجود دارد؟

امنیت سایبری و امنیت تطبیق‌پذیر

امروزه تهدیدات سایبری بسیار متداول هستند. از این رو سازمان‌ها باید برنامه‌هایی را جهت پیش‌بینی، ایجاد آمادگی‌های امنیتی و واکنش به حملات سایبری پیاده‌سازی و اجرا کنند. ایجاد یک مدل امنیتی تطبیق‌پذیر که قابلیت پیش‌بینی تهدیدات سایبری و انطباق سریع با آنها را دارد از سازمان‌ها در برابر حملات سایبری جدید و پیشرفته محافظت می‌کند. رشد و تحول حملات و گسترش سطح حمله از جمله دلایل مهمی هستند که سازمان‌ها را ملزم به طراحی معماری امنیتی تطبیق‌پذیر می‌کند.

اصول امنیت تطبیق‌پذیر

پیش از طراحی مدل امنیت تطبیق‌پذیر و جهت کاهش میزان آسیب‌پذیری در برابر تهدیدات، مقابله با انبوه مخاطرات امنیتی و کنترل شرایط، باید اصول زیر را بکار ببرید:

  • تشخیص الگو

سیستم‌های فناوری اطلاعات باید توانایی اجرای رویکردهای پیچیده تطبیق الگو را جهت شناسایی رفتارهای عادی و غیرعادی در کد، فرمان‌ها، پروتکل‌های ارتباطی و غیره داشته باشند.

  • زیرساخت فناوری اطلاعات یکبار مصرف

در این سیاست که بیشتر در سرویس‌های ابری کاربرد دارد، زیرساخت مورد نظر از ابتدا تنظیم گردیده است تا پس از پایان استفاده یا قدیمی شدن حذف گردد. این سیاست ایجاد زیرساخت می‌تواند، به ایجاد انعطاف‌پذیری در سازمان‌ها و تقویت زیرساخت‌ها کمک کند.

حفاظت از زیرساخت فناوری اطلاعات

  • تشخیص ناهنجاری

از آنجا که کاربرد اصلی مدل امنیتی تطبیق‌پذیر پیش‌بینی مخاطرات امنیتی و تهدیدات جدید است، سیستم فناوری اطلاعات باید قابلیت تشخیص و واکنش خودکار به تهدیدات شناخته شده یا رفتارهای غیرعادی را داشته باشد.

  • معماری پردازشی امنیت تطبیق‌پذیر

معماری پردازشی امنیت تطبیق‌پذیر شامل سلسله مراتب زیر است:

  1. دورسنجی (Telemetry): فرایند دورسنجی شامل جمع‌آوری اطلاعات درباره یک سیستم، شبکه و سایر فعالیت‌هایی است که می‌توانند بر زیرساخت فناوری اطلاعات تأثیر بگذارند. اگر اطلاعات دورسنجی به صورت بلادرنگ جمع‌آوری شوند می‌توانند مخاطرات امنیتی را به صورت کارآمد پیش‌بینی کنند.
  2. ارتباط دادن: این مرحله اشاره به ارزیابی داده‌های دورسنجی بلادرنگ همزمان با اطلاعات تاریخچه‌ای دارد.
  3. واکنش: سازوکارهایی که بر اساس مجموعه قوانین و سیاست‌های امنیتی مناسب، اقدامات خاصی را انجام می‌دهند. این اقدامات معمولاً شامل تغییر پیکربندی، خصوصیات، رفتار و در صورت نیاز متوقف نمودن سیستم‌ها است. اجرای این مرحله منجر به کاهش مخاطرات امنیتی و تأثیرات نامطلوب آنها بر سیستم‌ها و خدمات می‌شود.

نتیجه‌گیری

در این مطلب به بررسی اهمیت امنیت تطبیق پذیر در حوزه فناوری اطلاعات امروزی پرداختیم که در آن همه چیز به صورت خودکار انجام می‌شود. این رویکرد نسبت به رویکرد امنیتی سنتی کارآمدتر و اثربخش‌تر است اما پیاده سازی آن چندان ساده نیست چون یک معماری امنیت تطبیق پذیر کارآمد نیاز به راهکارهایی قوی دارد که شامل چندین قابلیت و تدابیر امنیتی مختلف برای پیش بینی تهدیدات و پیشگیری از آنها می‌شود. یک راهکار امنیت تطبیقی باید قابلیت رصد شبانه روزی و صدور هشدار درباره تهدیدات را داشته باشد. می‌توان از هوش مصنوعی و یادگیری ماشینی برای افزایش قدرت و دقت پیش بینی این راهکارها استفاده کرده و آنها را در چرخه DevOps به کار بست.

 

منبع: xenonstack

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.

سبد خرید
  • هیچ محصولی در سبدخرید نیست.
0