حتما تا به حال اخبار بسیاری در مورد حملات سایبری شنیده اید و اینکه چگونه این مشکلات می توانند منجر به زیان مالی یا آسیب به اعتبار یک سازمان شوند. تنها راه محافظت از اطلاعات و منابع مهم، محدودسازی دسترسی به فایل ها، شبکه ها و سایر منابع محرمانه است. سال 2020 سالی پر از خبرها و اتفاقات غیرمنتظره در سراسر جهان بود، برخی مشاغل با استفاده از مجازی سازی به خوبی با این شرایط سازگار شده اند. حملات سایبری همچنان ادامه داشت، در واقع فرصت دیگری برای این حملات در این شرایط فراهم شد. بخاطر این مشکلات بود که امنیت در شبکه در دنیای تجارت جایگاه ویژه ای پیدا کرد. سیستم امنیتی شبکه خطر از دست رفتن و سرقت داده ها را به حداقل می رساند. در این راستا UTMها معمولاً شامل بسته های امنیتی کامل برای محافظت از شبکه در مقابل تهدیدات یکپارچه می باشد که در این مقاله قصد داریم آشنایی نسبی در رابطه با آن بدست آوریم.
سیستم مدیریت یکپارچه تهدیدات UTM
مدیریت یکپارچه تهدیدات UTM یا Unified Threat Management یک سیستم امنیت اطلاعات یا infosec را توصیف می کند که یک مرکز حفاظتی واحد در برابر تهدیدات از جمله ویروس ها، کرم ها، جاسوس افزارها و سایر بدافزارها و حملات شبکه را فراهم می کند. امنیت، عملکرد، مدیریت و قابلیت های انطباق را با هم ترکیب می کند و مدیریت شبکه ها را برای مدیران آسانتر می کند. برخلاف ابزارهای آنتی ویروس، یک سیستم Unified Threat Management فقط از رایانه های شخصی و سرورها محافظت نمی کند. با اسکن تمام ترافیک شبکه، فیلتر کردن محتوای بالقوه خطرناک و مسدود کردن نفوذها، از کل شبکه و کاربران فردی محافظت می کند. بسیاری از کسب وکارها سیستم های UTM را پذیرفته اند و مدیریت اطلاعات خود را با یک سیستم ساده تر بجای چندین سیستم کوچک و بزرگ، مناسب تر می دانند.
UTMها معمولاً دارای ویژگی های امنیتی زیر هستند:
1. سرویس های آنتی اسپم
سرویس های آنتی اسپم یا فیلترهای اسپم با اسکن ترافیک ایمیل های ورودی و خروجی برای یافتن نشانه های حمله احتمالی، برای مسدودسازی یا برچسب گذاری حملات مبتنی بر ایمیل های دریافتی طراحی شده اند. سیستم های آنتی اسپم برای شناسایی اسپم از الگوریتم های اسکن محتوای پیام برای الگوهای مرتبط با اسپم استفاده می کنند. برخی از سیستم ها با استفاده از فرآیندی به نام آنالیز Bayesian به دنبال کلمات خاص، برخی دیگر به دنبال الگوهای زبانی خاص و برخی به دنبال الگوهای کل کلمات هستند. اگر به نظر رسید که پیام اسپم یا بدافزار است، محتویات برچسب گذاری شده و یا قرنطینه می شود.
2. فیلتر کردن URL و کنترل برنامه
دستگاه های UTM می توانند عملکردهای زیادی را ارائه دهند که به ایمن کردن شبکه شرکت یا سایر سازمان ها کمک می کند، از جمله فیلتر کردن Uniform Resource Locator) URL) و کنترل برنامه. با کنترل برنامه، دستگاه UTM می تواند برنامه های خاصی را در لیست مجاز قرار دهد تا بتوانند بدون فیلتر کردن محتوای اسپک یا سایر اقدامات امنیتی به اینترنت متصل شوند. کنترل برنامه معمولاً با فایروال دستگاه UTM و سایر ویژگی ها ترکیب می شود تا اطمینان حاصل شود که تمام ترافیک ورودی به شبکه شرکت محافظت می شود.
3. فایروال ها
فایروال یک اقدام امنیتی مبتنی بر سخت افزار یا نرم افزار است که با نظارت بر ترافیک ورودی و خروجی بین شبکه های مختلف، امکان دسترسی به یک شبکه خصوصی را محدود کرده و کاربران غیرمجاز یا مخرب را از دسترسی به داده ها یا منابعی مانند سرورهای فایل، چاپگرها و سرورهای وب بازمی دارد. سه نوع فایروال اصلی به نام های فیلترینگ بسته، دروازه circuit-level و دروازه application-level وجود دارد.
4. سیستم های تشخیص نفوذ و سیستم های پیشگیری از نفوذ
یک IDS شبکه را برای یافتن نشانه های حمله سایبری رصد می کند، درحالی که IPS برای توقف حملات، ترافیک مخرب را خنثی می کند. هدف IDS تشخیص رفتار غیرعادی است تا بتوان آن را آنالیز، ثبت و گزارش داد. در واقع IDS نمی تواند هیچ تهدید ورودی را مسدود کند، اما می تواند یک مدیر را در مورد نفوذ مطلع کرده و فعالیت را برای تجزیه و تحلیل بعدی ثبت کند. از سوی دیگر، IPS نوعی تکنولوژی امنیتی است که می تواند ترافیک شبکه را برای جلوگیری از فعالیت های مخرب تغییر دهد. ویژگی IPS را می توان به IDS یا فایروال موجود اضافه کرد.
5. VPN
VPN وظیفه ایجاد یک ارتباط امن بین دو کامپیوتر از طریق یک شبکه عمومی را دارد. این کار امکان اشتراک گذاری ایمن فایل بین همکاران، دسترسی به داده ها از راه دور یا استفاده از هر تعداد سرویس را بدون ترس از رهگیری داده ها توسط یک عامل خارجی، ممکن می سازد. VPN ها با استفاده از رمزگذاری برای محافظت از داده ها در برابر دسترسی غیرمجاز هنگام عبور بین شبکه های عمومی و خصوصی کار می کنند. بدین ترتیب اتصال امنی ایجاد می شود که در داخل یک تونل از طریق اینترنت عمومی رمزگذاری شده است.
6. فیلتر کردن محتوا
فیلتر محتوای وب روشی برای کنترل اطلاعاتی است که می تواند به شبکه منتقل یا از آن خارج شود با استفاده از روش های مختلف فیلتر کردن، مانند آدرسIP، شماره پورت یا آدرس. فیلترینگ محتوا در شبکه ها به منظور مسدودسازی محتوای ناخواسته و محافظت در برابر گم شدن داده ها، با فیلتر داده های خروجی برای جلوگیری از انتقال اطلاعات حساس استفاده می شود.
سیستم مدیریت یکپارچه تهدیدات چندین ویژگی امنیتی را در یک دستگاه یا برنامه نرم افزاری واحد ترکیب می کنند. مدیریت یکپارچه تهدیدات یا UTM فرآیندی است برای مقابله با حملات و تهدیدات بدافزار در یک شبکه، بطوری که ایمنی همۀ دستگاه ها در طول اتصال حفظ شود. برای درک بهتر نقش سیستم مدیریت یکپارچۀ تهدیدات می بایست خطرات اصلی که سیستم های رایانه ای را تهدید می کنند شناخته شوند. پنج نوع تهدید اصلی وجود دارد که سازمان ها باید از آنها محافظت کنند:
• بد افزار
• فیشینگ و مهندسی اجتماعی
• ویروس ها، کرم ها و تروجان ها
• هکرها
• انکار سرویس یا DoS
دستگاه های UTM سخت افزار یا نرم افزاری هایی هستند که ویژگی های امنیتی شبکه را در یک وسیله ساده برای استفاده و مدیریت آسان به هم پیوند می دهند. درک تهدیدها و شناسایی نقاط ضعف شبکه یک سازمان برای حفظ امنیت آن حیاتی است. یک سیستم UTM می تواند با استفاده از دو روش بازرسی که انواع مختلفی از تهدیدات را شناسایی می کنند، به انجام این کار کمک کند:
1. بازرسی مبتنی بر flow : که به عنوان بازرسی مبتنی بر جریان نیز شناخته می شود، از داده هایی که وارد یک دستگاه امنیتی شبکه مانند فایروال یا IPS می شوند نمونه برداری می کند. دستگاه ها داده ها را برای فعالیت های مخربی مانند ویروس ها، نفوذها و سایر اقدامات هک بررسی می کنند.
2. بازرسی مبتنی بر پروکسی: بازرسی مبتنی بر پروکسی یک تکنیک امنیتی شبکه است که برای بررسی محتویات بسته هایی که به دستگاه امنیتی شبکه وارد و خارج می شوند. مانند فایروال،IPS یا سرور VPN استفاده می شود. با استفاده از یک سرور پروکسی برای بازرسی این بسته ها، دستگاه امنیتی شبکه می تواند به عنوان یک پروکسی برای بازسازی محتوای ورودی به دستگاه عمل کند.
معمولاً برای مقابله با هر کدام از این تهدیدها به یک تکنولوژی جداگانه نیاز است که این مسأله به پیچیدگی کار می افزاید، به همین دلیل است که سیستم های UTM وجود دارند. UTM و فایروال های نسل بعدی یا NGFW هر دو تکنولوژی های فایروال هستند که اهداف مشابهی دارند، اما در برخی زمینه های کلیدی با یکدیگر تفاوت دارند. NGFW ها در ابتدا برای پر کردن شکاف های امنیتی شبکه که همچنان در فایروال های سنتی وجود داشت، توسعه یافتند و شامل هوشمندی برنامه ها و سیستم پیشگیری از نفوذ یا IPS و نیز حفاظت از DoS می شدند. UTM به توانایی یک دستگاه برای انجام عملکردهای NGFW، فایروال و شبکه خصوصی مجازی اشاره دارد، درحالی که NGFW یک پلتفرم امنیتی شبکه است که یک دروازه بین شبکه های داخلی و خارجی فراهم می کند. تفاوت عمده بین این دو نوع فایروال این است که یک سیستم UTM معمولاً امکانات بیشتری مانند سیستم تشخیص نفوذ یا IDS و فیلتر اسپم را نسبت به NGFW ارائه می دهد، زیرا قادر به نظارت و محافظت از شبکه های داخلی در برابر مهاجمان است.
سیستم های مدیریت تهدید یکپارچه یا UTM پلتفرم های امنیتی شبکه یکپارچه ای هستند که به دنبال ارائه سادگی، نصب و استفاده ساده و همچنین توانایی بروزرسانی همزمان کلیه عملکردهای امنیتی هستند. این سیستم ها، مانند NGFWها، به وضوح یک مزیت عمده نسبت به انواع فن آوری های امنیتی شبکه دارند، زیرا نیازی به داشتن محصولات امنیتی متفاوت نبوده و همه آنها با هم کار می کنند. UTMها عمدتاً به SMBها به جای سازمان های بزرگ سرویس می دهند. مزیت فایروال های نسل بعدی اینست که عموماً گسترده تر بوده و برای ایمن کردن شبکه های کسب وکارها از SMB تا شرکت های بزرگ کار می کنند. برخلاف UTMها، NGFWها ممکن است اطلاعات تهدید، درجه ای از امنیت موبایل و جلوگیری از از دست دادن داده ها را ادغام کرده و از یک معماری باز استفاده کنند که به مشتریان اجازه می دهد از کارهای سیستمیک برای تنظیم کنترل برنامه ها و حتی برخی از تعاریف قوانین فایروال استفاده کنند. با این وجود معمولاً فروشندگان تجهیزات امنیتی تعاریف مختلفی از UTM و NGFW دارند، به همین دلیل درک تفاوت بین فایروال های نسل بعدی با UTMها مهم است.