آشنایی با معماری امنیت تطبیقپذیر (Adaptive Security)
امنیت تطبیقپذیر (Adaptive Security)، یک مدل یا رویکرد امنیتی بلادرنگ است که به طور مستمر رفتارها و رویدادها را بررسی می کند تا از تهدید محافظت کند و بر این اساس با تهدیدها قبل از وقوع آنها سازگار شود. هدف اولیه امنیت تطبیقی ایجاد یک حلقه بازخورد تهدید است. رصد، تشخیص تهدید و پیشگیری که به طور مداوم بروزرسانی میشود. این مدل شامل چهار روند مهم است که عبارتند از: پیشگیری، تشخیص، پاسخگویی و پیشبینی.
شیوه عملکرد معماری امنیت تطبیقپذیر
در ادامه روند کلی عملکرد معماری امنیت تطبیق پذیر را مورد بررسی قرار میدهیم.
پیشگیری
این مرحله، اولین گام برای حفاظت از سازمانها در برابر تهدیدات سایبری است. اجرای رویکرد امنیت تطبیقپذیر به سازمانها امکان میدهد محصولات، فرایندها و سیاستهایی را برای پیشگیری از حمله ایجاد کنند. تیمهای امنیتی در این مرحله تصمیم میگیرند آیا یک شی امن است یا خیر و بر اساس آن اقدامات لازم را از طریق فایروالها، موتورهای تشخیص مبتنی بر امضا و فناوریهای حفاظتی مجهز به یادگیری ماشینی انجام میدهند. در این مرحله حدود 99 درصد از مخاطرات و تهدیدات سایبری مسدود میشوند. البته همان یک درصد باقیمانده میتواند آسیبهای چشمگیری را به سازمانها وارد کند.
تشخیص
در این مرحله، راهکارهای امنیتی به گونه ای طراحی میگردند تا قابلیت تشخیص تهدیدات امنیتی و ارسال گزارش فعالیتها و عملیات مشکوک به تیمهای امنیتی را بدون مسدود کردن تهدیدات امکان پذیر کنند. کارشناسان امنیتی نیز پس از دریافت گزارشها اقدامات لازم جهت واکنش به حملات را در نظر میگیرند. راهکارهای امنیتی در این مرحله فقط قابلیت شناسایی تهدیدات سایبری را داشته و نمیتوانند آنها را مسدود کنند. این بخش متشکل از سیستمهای تحلیل و ارزیابی پویای رفتار کد است. اجرای این مرحله به کاهش زمان تشخیص کمک نموده و از تبدیل مخاطرات بالقوه به حملات واقعی جلوگیری میکنند.
واکنش
پاسخ منطقی ترین مرحله در معماری امنیتی تطبیقی است. در مرحله «واکنش» اقدامات امنیتی و همچنین شیوه واکنش به انواع تهدیدات امنیتی (که در لایههای پیشین مسدود نشدهاند) مشخص میگردند. معماری امنیت تطبیقپذیر در این مرحله ابتدا حوادث را شناسایی نموده و براساس آنها سیاستهای لازم را اجرا میکند. این مدل امنیتی همچنین در صورت لزوم سیاستها را اصلاح و قوانین امنیتی جدید را اضافه میکند. به طور خاص، این مرحله حوادث را بررسی میکند، تغییرات خطمشی را طراحی میکند و تجزیه و تحلیل مبتنی بر تجربیات گذشته را انجام میدهد.
پیشبینی
لایه پیشبینی هشدارهای لازم در رابطه با رویدادهای بیرونی را به تیمهای فناوری اطلاع میدهد. این لایه همچنین با نظارت بر روی فعالیتهای مهاجمان، انواع حملات جدید را پیشبینی نموده و اطلاعات لازم در رابطه با تقویت لایههای تشخیص و پیشگیری را فراهم میکند.
در پیش گرفتن معماری امنیت تطبیق پذیر
امنیت تطبیق پذیر فارغ از شبکه سازمان، ماهیت کسبوکار یا تهدیدات پیش روی سازمان بوده و میتواند متناسب با رویهها و سیاستهایی که برای آن تعریف شده تغییر و تکامل یابد.
امنیت تطبیقی به اندازه شبکه سازمان، ماهیت کسبوکار یا تهدیدات پیش روی سازمان ارتباطی ندارد بلکه میتوان آن را بدون توجه به این موارد اتخاذ کرد. این معماری قادر است متناسب با رویهها و سیاستهای تعریف شده برای آن، تغییر و تکامل پیدا کند. اقدامات زیر از جمله مواردی هستند که انجام آنها به طراحی دقیق یک مدل امنیتی تطبیقپذیر کمک میکند:
- انواع مخاطراتی که سازمانها را تهدید میکنند و ویژگیهای آنها باید شناسایی شوند. کوچکترین رفتار مشکوک یک فرایند هم باید شناسایی و ضبط گردد؛
- اجزا، رفتارها و اقدامات مورد اطمینان و رضایتبخش باید مشخص شوند؛
- محرکهای لازم برای نظارت بر روی تهدیدات تنظیم شوند؛
- در صورت لزوم سیستمهای واکنش به تهدیدات متناسب با این محرکها فعال گردند.
- یکسری افزونگیها برای عملکردهای حیاتی باید پیادهسازی شوند؛
- براساس اصل اعتماد صفر هیچ عنصر حیاتی نباید کاملاً مورد اعتماد باشد چون میتواند کل سیستم را از کار بیاندازد؛
- اقدامات واکنشی به تهدیدات باید بهگونهای تنظیم گردند که منجر به از کار افتادن کل سیستم نشوند؛
- مراحل فرایند بازیابی از حادثه با جزئیات کامل مشخص و تعریف شوند؛
- ابزارهای موردنیاز برای اعتبارسنجی اقدامات واکنشی تعریف و مهیا شوند.
چالشها موجود در مسیر ایجاد معماری امنیت تطبیق پذیر
موارد زیر از جمله دلایلی هستند که طراحی یک مدل امنیتی تطبیقپذیر را با مشکلات فراوانی مواجه کردهاند:
- راهکارهای پیشگیری از حمله و مسدودسازی فعلی قابلیت مقابله با مهاجمان پیشرفته و ابزارهای حمله مجهز امروزی را ندارند.
- سازمانها همچنان معمولاً سرمایهشان را صرف رویکردهای «فقط پیشگیرانه» میکنند.
- سازمانها قابلیت پیشبینی حملات پیشرفته و حتی شناسایی حملات در حال وقوع را ندارند.
- سیستمهای سازمانی به صورت پیوسته مورد هدف حملات سایبری و نشتهای دادهای قرار میگیرند. از این رو پیادهسازی یک راهکار امنیتی که فقط مختص یک نوع تهدید سایبری میباشد کار چندان عاقلانهای نیست.
مواردی که پیش از طراحی یک معماری امنیتی تطبیق پذیر باید مورد توجه قرار بگیرند عبارتند از:
- تغییر فرهنگ سازمان از «واکنش به حادثه» به سمت «واکنش مستمر»؛
- در پیش گرفتن یک معماری امنیت تطبیقپذیر؛
- کاهش سرمایهگذاری برای پیشگیری و تأمین بودجه جهت فراهم نمودن ابزارها و طراحی راهکارهای موردنیاز برای تشخیص، واکنش و پیشبینی؛
- طراحی یک مرکز عملیات امنیتی در سازمان جهت پشتیبانی و نظارت مستمر بر روی فرایندهای در حال اجرا.
چرا امنیت تطبیقپذیر مهم است؟
تهدیدات سایبری و روشهای حمله همچنان رو به پیشرفت هستند. از این رو سازمانها باید روشهای مقابله با حملاتشان را تغییر داده و تا حد امکان از وقوع و پیشروی چنین حملاتی جلوگیری کنند. مدل امنیتی تطبیقپذیر امکان تشخیص زودهنگام نفوذهای امنیتی و واکنش خودکار و مستقل به رویدادهای مخرب را برای سازمانها فراهم میکند. یکسری از ویژگیهای کاربردی معماری امنیت تطبیقپذیر علاوه بر مزایای اساسی آن شامل موارد زیر هستند:
- امنیت تطبیقپذیر یک فرایند نظارتی مستمر است و متناسب با انواع تهدیدات و تغییراتشان رشد و تکامل مییابد؛
- پیادهسازی این معماری منجر به کاهش سطح و نرخ حمله، میزان آسیبپذیریهای موجود در محصولات و خدمات و زمان بازیابی میشود؛
- اجرای مدل امنیت تطبیقپذیر امکان مقابله با مخاطراتی که بر سر راه تجهیزات اینترنت اشیا و دادههای حجیم وجود دارند را فراهم میکند.
- فناوری هوش مصنوعی و یادگیری ماشینی در معماری امنیتی تطبیقپذیر امکان تحلیل پیشرفته را فراهم میکند. به این ترتیب نفوذهای امنیتی در حال وقوع که با نظارت بر روی سیستم قابل شناسایی نیستند به راحتی تشخیص داده میشوند.
چه تفاوتی در بین امنیت تطبیقپذیر و امنیت سنتی وجود دارد؟
در دنیای دیجیتال امروزی سازمانها و کارشناسان امنیت سایبری با چالشهای بسیار زیادی از جمله تغییر تعریف محیط (سازمان یا شبکه)، تحول پیوسته مخاطرات امنیتی، تجهیزات اینترنت اشیا، حرکت از IPv4 به IPv6 مواجه میشوند. بنابراین شیوههای نظارتی سنتی همواره بیاثرتر شده و سازمانها معمولاً قابلیت پیشبینی حملات سایبری و پیشگیری از نفوذشان را ندارند. هچنین با توجه تغییرات پیوسته حملات سایبری امروزی، نصب فایروالها و سیستمهای تشخیص و پیشگیری از نفوذ که حملات را براساس آنچه که دیدهاند شناسایی میکنند چندان کارایی ندارد.
بنابر توصیه کارشناسان امنیتی سازمانها باید معماری امنیت تطبیقپذیر را در پیش گرفته و سیاست امنیتیشان را بر مبنای «واکنش پیوسته به حادثه» (به جای «واکنش به حادثه») تنظیم کنند.
امنیت سایبری و امنیت تطبیقپذیر
امروزه تهدیدات سایبری بسیار متداول هستند. از این رو سازمانها باید برنامههایی را جهت پیشبینی، ایجاد آمادگیهای امنیتی و واکنش به حملات سایبری پیادهسازی و اجرا کنند. ایجاد یک مدل امنیتی تطبیقپذیر که قابلیت پیشبینی تهدیدات سایبری و انطباق سریع با آنها را دارد از سازمانها در برابر حملات سایبری جدید و پیشرفته محافظت میکند. رشد و تحول حملات و گسترش سطح حمله از جمله دلایل مهمی هستند که سازمانها را ملزم به طراحی معماری امنیتی تطبیقپذیر میکند.
اصول امنیت تطبیقپذیر
پیش از طراحی مدل امنیت تطبیقپذیر و جهت کاهش میزان آسیبپذیری در برابر تهدیدات، مقابله با انبوه مخاطرات امنیتی و کنترل شرایط، باید اصول زیر را بکار ببرید:
- تشخیص الگو
سیستمهای فناوری اطلاعات باید توانایی اجرای رویکردهای پیچیده تطبیق الگو را جهت شناسایی رفتارهای عادی و غیرعادی در کد، فرمانها، پروتکلهای ارتباطی و غیره داشته باشند.
- زیرساخت فناوری اطلاعات یکبار مصرف
در این سیاست که بیشتر در سرویسهای ابری کاربرد دارد، زیرساخت مورد نظر از ابتدا تنظیم گردیده است تا پس از پایان استفاده یا قدیمی شدن حذف گردد. این سیاست ایجاد زیرساخت میتواند، به ایجاد انعطافپذیری در سازمانها و تقویت زیرساختها کمک کند.
- تشخیص ناهنجاری
از آنجا که کاربرد اصلی مدل امنیتی تطبیقپذیر پیشبینی مخاطرات امنیتی و تهدیدات جدید است، سیستم فناوری اطلاعات باید قابلیت تشخیص و واکنش خودکار به تهدیدات شناخته شده یا رفتارهای غیرعادی را داشته باشد.
- معماری پردازشی امنیت تطبیقپذیر
معماری پردازشی امنیت تطبیقپذیر شامل سلسله مراتب زیر است:
- دورسنجی (Telemetry): فرایند دورسنجی شامل جمعآوری اطلاعات درباره یک سیستم، شبکه و سایر فعالیتهایی است که میتوانند بر زیرساخت فناوری اطلاعات تأثیر بگذارند. اگر اطلاعات دورسنجی به صورت بلادرنگ جمعآوری شوند میتوانند مخاطرات امنیتی را به صورت کارآمد پیشبینی کنند.
- ارتباط دادن: این مرحله اشاره به ارزیابی دادههای دورسنجی بلادرنگ همزمان با اطلاعات تاریخچهای دارد.
- واکنش: سازوکارهایی که بر اساس مجموعه قوانین و سیاستهای امنیتی مناسب، اقدامات خاصی را انجام میدهند. این اقدامات معمولاً شامل تغییر پیکربندی، خصوصیات، رفتار و در صورت نیاز متوقف نمودن سیستمها است. اجرای این مرحله منجر به کاهش مخاطرات امنیتی و تأثیرات نامطلوب آنها بر سیستمها و خدمات میشود.
نتیجهگیری
در این مطلب به بررسی اهمیت امنیت تطبیق پذیر در حوزه فناوری اطلاعات امروزی پرداختیم که در آن همه چیز به صورت خودکار انجام میشود. این رویکرد نسبت به رویکرد امنیتی سنتی کارآمدتر و اثربخشتر است اما پیاده سازی آن چندان ساده نیست چون یک معماری امنیت تطبیق پذیر کارآمد نیاز به راهکارهایی قوی دارد که شامل چندین قابلیت و تدابیر امنیتی مختلف برای پیش بینی تهدیدات و پیشگیری از آنها میشود. یک راهکار امنیت تطبیقی باید قابلیت رصد شبانه روزی و صدور هشدار درباره تهدیدات را داشته باشد. میتوان از هوش مصنوعی و یادگیری ماشینی برای افزایش قدرت و دقت پیش بینی این راهکارها استفاده کرده و آنها را در چرخه DevOps به کار بست.
منبع: xenonstack