ساناپرداز

برسی راه های ایجاد امنیت در شبکه ۱- کنترل دسترسی (Access Control) : هر کاربری اجازه ورود به شبکه شما را نخواهد داشت. به منظور جلو گیری از حمله شما نیازمند تشخیص کاربران و دستگاه هایی دارید که به شبکه شما متصل می شوند. شما می توانید دستگاه های نقطه پایانی ناسازگار را مسدود و یا به آنها تنها دسترسی محدود ارائه دهید که به این فرایند network access control یا NAC اطلاق می شود. مطلب حائز اهمیت در مورد محصولات NAC در سازمان ها این می باشد که با زیر ساخت امنیتی موجود مخصوصا SIEM و یا security information and event management و IPS و همچنین NGFW یا نسل جدید فایروال ها یکپارچه شده است. بعضی از سیستم های NAC نیز با Active Directory ادقام شده اند تا بتوانند کنترل دسترسی مطابق با group policy داشته باشند. ۲- نرم افزاری ضد ویروس و ضد بدافزار: بدافزار یا Malware مخفف malicious software شامل ویروس، کرم، تروجان، باج افزار (Ransomware) و نرم افزار های جاسوسی (Spyware) می باشند. بدافزار ها گاها به شبکه شما نفوذ می کنند اما روز ها و یا هفته ها در شبکه شما بی حرکت و خفته باقی می مانند. بهترین ضد بدافزار ها نه تنها شبکه شما را مورد ارزیابی امنیتی قرار می دهند بلکه متداوما فایل های شما را ردیابی نموده تا بتوانند فعالیت های مخرب و غیر نرمال را شناسایی نمایند و بدافزار را حذف کنند. ۳- امنیت نرم افزار (Application Security): چه شما جزو تیم پیاده سازی نرم افزار باشید و چه نرم افزاری را خریداری کرده اید تمامی نرم افزار هایی که شما در جهت پیشبرد کسب و کار خود استفاده می نمایید می بایستی ایمن شوند . متاسفانه تمامی نرم افزار ها ممکن است دارای سوراخ ها و آسیب پذیری های امنیتی باشند که هکر از طریق آنها می تواند به شبکه شما آسیب وارد نماید از این رو امنیت نرم افزار شامل برطرف نمودن آسیب پذیری ها توسط سخت افزار، نرم افزاری و فرایند هایی می باشد که به نحوی جلوی اعمال آسیب پذیری ها را می گیرند. ۴- تجزیه و تحلیل ترافیک رفتاری (Behavioral analytics): به منظور جلوگیری از رفتاری های غیر عادی می بایستی با رفتار های عادی آشنا شد. ابزار های تجزیه و تحلیل ترافیک به صورت خودکار رفتارهایی که از حالت نرمال منحرف می شوند را تشخیص می دهد. تیم امنیتی با استفاده از این نوع ابزارها امکان برخورد مناسب تری در جهت رفع آن فعالیت ها و برطرف نمودن مشکلات امنیتی خواهد داشت. ۵- پیشگیری از دست دادن داده ها: سازمان ها می بایستی از ارسال اطلاعات حیاتی به خارج از شبکه توسط پرسنل اطمینان حاصل نمایند. پیشگیری از دست دادن داده یا DLP می تواند از آپلود، ارجاع و حتی پرینت داد های حیاتی از طریق رفتار های غیر نرمال ممانعت نماید. ۶- امنیت پست الکترونیکی (Email Security): درگاه ایمیل بعنوان اولین انتخاب هکر ها در جهت نقض امنیت می باشد. هکر ها از اطلاعات شخصی، شبکه های اجتماعی به منظور ساخت کمپین های فیشینگ (Phishing) استفاده کرده تا کاربر را به وب سایت های دارای بدافزار هدایت نمایند. نرم افزارهای امنیت ایمیل حملات وارده را مسدود نموده و از خروج اطلاعات حیاتی توسط ایمیل جلوگیری می کنند. ۷- دیوار آتش (Firewall): دیوار های آتش مانعی بین شبکه های ایمن شده و شبکه خارجی غیر ایمن همانند اینترنت می باشند. آنها از قوانین از پیش تعریف شده ای به منظور جلوگیری و یا اجازه ورود ترافیک به شبکه داخلی استفاده می کنند. فایروال ها می توانند سخت افزاری و یا نرم افزاری باشند ۸- سیستم های پیشگیری از نفوذ (Intrusion prevention systems): یک IPS ترافیک شبکه را در جهت مسدود نمودن حمله اسکن می نماید. یک IPS خوب نه تنها ترافیک را اسکن نموده بلکه فایل های مشکوک و همچنین بدافزارها را رصد کرده تا از گسترش آنها و آلودگی مجددشان در شبکه جلوگیری کند. ۹- امنیت موبایل: مجرمان سایبری جدیدا دستگاه های موبایل و همچنین App ها را مورد حمله قرار می دهند. پیش بینی می شود در ۳ سال آینده، ۹۰ درصد شرکت های فناوری اطلاعات به سمت پیاده سازی و پشتیبانی از نرم افزار ها و دستگاه های موبایل حرکت کنند. اگرچه نیاز به کنترل دسترسی دستگاه ها در شبکه وجود دارد اما می بایستی دسترسی به ترافیک شبکه نیز اختصاصی گردد. ۱۰- تقسیم بندی شبکه (Network segmentation): نرم افزار های تعریف کننده تقسیم بندی Software-defined segmentation شبکه شما را در دسته بندی مختلف قرار داده و در نتیجه موجب آسان تر شدن اجرای سیاست های امنیتی می شوند. تقسیم بندی بر اساس هویت endpoint می باشد و نه IP آدرس ها. حق دسترسی بر اساس نقش ها و موقعیت تبیین شده و لذا دسترسی به کاربران به درستی داده شده و از ورود دستگاه های مشکوک ممانعت به عمل می آید. ۱۱- VPN: یک virtual private network ارتباط بین endpoint و شبکه را رمز نگاری می کند. عموما یک دسترسی از طریق VPN با استفاده از IPSec یا لایه امن سوکت به منظور تصدیق ارتباط بین دستگاه و شبکه می باشد. ۱۲- امنیت وب (Web Security): یک راه حل امنیتی برای دسترسی به وب باعث کاهش تهدید ها و دسترسی به وب سایت های دارای بدافزار می گردد و از درگاه وب در سایت و یا در Cloud حمایت می کند. ۱۳- امنیت وایرلس (Wireless Security): امنیت وایرلس از امنیت شبکه های Wire بیشتر نمی باشد. بدون ارزیابی قدرت امنیتی، ایجاد بستر وایرلس بسیار خطرناک می باشد. به منظور ایجاد بستری امن برای شبکه های وایرلس نیاز به محصولات امنیتی در این خصوص است. وب سایت نصیررضایی نژاد

برسی راه های ایجاد امنیت در شبکه

۱- کنترل دسترسی (Access Control) :

هر کاربری اجازه ورود به شبکه شما را نخواهد داشت. به منظور جلو گیری از حمله شما نیازمند تشخیص کاربران و دستگاه هایی دارید که به شبکه شما متصل می شوند. شما می توانید دستگاه های نقطه پایانی ناسازگار را مسدود و یا به آنها تنها دسترسی محدود ارائه دهید که به این فرایند network access control یا NAC اطلاق می شود.

مطلب حائز اهمیت در مورد محصولات NAC در سازمان ها این می باشد که با زیر ساخت امنیتی موجود مخصوصا SIEM و یا security information and event management و IPS و همچنین NGFW یا نسل جدید فایروال ها یکپارچه شده است. بعضی از سیستم های NAC نیز با Active Directory ادقام شده اند تا بتوانند کنترل دسترسی مطابق با group policy داشته باشند.

۲- نرم افزاری ضد ویروس و ضد بدافزار:

بدافزار یا Malware مخفف malicious software شامل ویروس، کرم، تروجان، باج افزار (Ransomware) و نرم افزار های جاسوسی (Spyware) می باشند. بدافزار ها گاها به شبکه شما نفوذ می کنند اما روز ها و یا هفته ها در شبکه شما بی حرکت و خفته باقی می مانند. بهترین ضد بدافزار ها نه تنها شبکه شما را مورد ارزیابی امنیتی قرار می دهند بلکه متداوما فایل های شما را ردیابی نموده تا بتوانند فعالیت های مخرب و غیر نرمال را شناسایی نمایند و بدافزار را حذف کنند.

۳- امنیت نرم افزار (Application Security):

چه شما جزو تیم پیاده سازی نرم افزار باشید و چه نرم افزاری را خریداری کرده اید تمامی نرم افزار هایی که شما در جهت پیشبرد کسب و کار خود استفاده می نمایید می بایستی ایمن شوند . متاسفانه تمامی نرم افزار ها ممکن است دارای سوراخ ها و آسیب پذیری های امنیتی باشند که هکر از طریق آنها می تواند به شبکه شما آسیب وارد نماید از این رو امنیت نرم افزار شامل برطرف نمودن آسیب پذیری ها توسط سخت افزار، نرم افزاری و فرایند هایی می باشد که به نحوی جلوی اعمال آسیب پذیری ها را می گیرند.

۴- تجزیه و تحلیل ترافیک رفتاری (Behavioral analytics):

به منظور جلوگیری از رفتاری های غیر عادی می بایستی با رفتار های عادی آشنا شد. ابزار های تجزیه و تحلیل ترافیک به صورت خودکار رفتارهایی که از حالت نرمال منحرف می شوند را تشخیص می دهد. تیم امنیتی با استفاده از این نوع ابزارها امکان برخورد مناسب تری در جهت رفع آن فعالیت ها و برطرف نمودن مشکلات امنیتی خواهد داشت.

۵- پیشگیری از دست دادن داده ها:

سازمان ها می بایستی از ارسال اطلاعات حیاتی به خارج از شبکه توسط پرسنل اطمینان حاصل نمایند. پیشگیری از دست دادن داده یا DLP می تواند از آپلود، ارجاع و حتی پرینت داد های حیاتی از طریق رفتار های غیر نرمال ممانعت نماید.

۶- امنیت پست الکترونیکی (Email Security):

درگاه ایمیل بعنوان اولین انتخاب هکر ها در جهت نقض امنیت می باشد. هکر ها از اطلاعات شخصی، شبکه های اجتماعی به منظور ساخت کمپین های فیشینگ (Phishing) استفاده کرده تا کاربر را به وب سایت های دارای بدافزار هدایت نمایند. نرم افزارهای امنیت ایمیل حملات وارده را مسدود نموده و از خروج اطلاعات حیاتی توسط ایمیل جلوگیری می کنند.

۷- دیوار آتش (Firewall):

دیوار های آتش مانعی بین شبکه های ایمن شده و شبکه خارجی غیر ایمن همانند اینترنت می باشند. آنها از قوانین از پیش تعریف شده ای به منظور جلوگیری و یا اجازه ورود ترافیک به شبکه داخلی استفاده می کنند. فایروال ها می توانند سخت افزاری و یا نرم افزاری باشند

۸- سیستم های پیشگیری از نفوذ (Intrusion prevention systems):

یک IPS ترافیک شبکه را در جهت مسدود نمودن حمله اسکن می نماید. یک IPS خوب نه تنها ترافیک را اسکن نموده بلکه فایل های مشکوک و همچنین بدافزارها را رصد کرده تا از گسترش آنها و آلودگی مجددشان در شبکه جلوگیری کند.

۹- امنیت موبایل:

مجرمان سایبری جدیدا دستگاه های موبایل و همچنین App ها را مورد حمله قرار می دهند. پیش بینی می شود در ۳ سال آینده، ۹۰ درصد شرکت های فناوری اطلاعات به سمت پیاده سازی و پشتیبانی از نرم افزار ها و دستگاه های موبایل حرکت کنند. اگرچه نیاز به کنترل دسترسی دستگاه ها در شبکه وجود دارد اما می بایستی دسترسی به ترافیک شبکه نیز اختصاصی گردد.

۱۰- تقسیم بندی شبکه (Network segmentation):

نرم افزار های تعریف کننده تقسیم بندی Software-defined segmentation شبکه شما را در دسته بندی مختلف قرار داده و در نتیجه موجب آسان تر شدن اجرای سیاست های امنیتی می شوند. تقسیم بندی بر اساس هویت endpoint می باشد و نه IP آدرس ها. حق دسترسی بر اساس نقش ها و موقعیت تبیین شده و لذا دسترسی به کاربران به درستی داده شده و از ورود دستگاه های مشکوک ممانعت به عمل می آید.

۱۱- VPN:

یک virtual private network ارتباط بین endpoint و شبکه را رمز نگاری می کند. عموما یک دسترسی از طریق VPN با استفاده از IPSec یا لایه امن سوکت به منظور تصدیق ارتباط بین دستگاه و شبکه می باشد.

۱۲- امنیت وب (Web Security):

یک راه حل امنیتی برای دسترسی به وب باعث کاهش تهدید ها و دسترسی به وب سایت های دارای بدافزار می گردد و از درگاه وب در سایت و یا در Cloud حمایت می کند.

۱۳- امنیت وایرلس (Wireless Security):

امنیت وایرلس از امنیت شبکه های Wire بیشتر نمی باشد. بدون ارزیابی قدرت امنیتی، ایجاد بستر وایرلس بسیار خطرناک می باشد. به منظور ایجاد بستری امن برای شبکه های وایرلس نیاز به محصولات امنیتی در این خصوص است.

وب سایت نصیررضایی نژاد