5 ویژگی مهم فایروال که کمتر توسط متخصصین مورد استفاده قرار می‌گیرد

فایروال‌ها به صورت مداوم بهبود می‌یابند تا جز اصلی امنیت شبکه باقی بمانند و این امر شامل اقداماتی مانند ادغام عملکرد تجهیزات Stand Alone، پذیرش تغییرات معماری شبکه و یکپارچه‌سازی منابع خارجی داده‌ها برای افزودن اطلاعات به تصمیماتی که گرفته می‌شوند، است. بخاطر غنی بودن ویژگی‌ها، تسلط بر فایروال‌های نسل بعدی سخت است و برخی اوقات ویژگی‌های مهم نادیده گرفته می‌شوند. در این مطلب به بیان 5 ویژگی مهم فایروال که متخصصان IT باید از آنها آگاه باشند، اما برخی از این ویژگی‌ها کمتر توسط متخصصین، مورد استفاده قرار می‌گیرند، می‌پردازیم.

جداسازی بخش‌های شبکه

تقسیم‌بندی یک شبکه فیزیکی واحد به چندین شبکه منطقی تحت عنوان بخش‌بندی شبکه شناخته می‌شود که درآن هر بخش طوری رفتار می‌کند که گویا شبکه فیزیکی خودش را اجرا می‌کند. ترافیک یک بخش نمی‌تواند نادیده گرفته شود یا به بخش دیگری ارجاع داده شود.

استفاده از این ویژگی مهم فایروال، بصورت چشم‌گیری نقاط آسیب‌پذیر را درصورت وقوع نقض ایمنی کاهش می‌دهد. به عنوان مثال یک بیمارستان می‌تواند تمامی تجهیزات پزشکی خود را درون یک بخش و سابقه بیماران را در بخش دیگر قرار دهد. بنابراین، اگر هکرها به یک بخش از اطلاعات بیماران که به درستی از آن حفاظت نشده نفوذ کنند، نمی‌توانند به دیگر بخش‌های اطلاعات شخصی بیماران دسترسی پیدا کنند.

نکته مهم این است که بسیاری از ابزارهای متصل که اینترنت اشیا را تشکیل می‌دهند سیستم‌های عملیاتی قدیمی‌تری داشته و ذاتا ناامن هستند و می‌توانند به عنوان نقطه‌ی ورود مهاجمان عمل کنند، بنابراین رشد IoT و طبیعت توزیع‌شده‌ی آن نیاز به بخش‌بندی شبکه را بیشتر می‌کند.

بهینه‌سازی Policy در فایروال

Policy‌ها و قوانین فایروال موتوری هستند که باعث کارکرد فایروال‌ها می‌شوند. بیشتر افراد حر‌فه‌ای در زمینه امنیت از برداشتن Policy‌های قدیمی‌تر وحشت دارند زیرا نمی‌دانند چه موقع و چرا آنها تعیین شده بودند. در نتیجه اضافه شدن قوانین بدون هیچ فکری درباره کاهش تعداد کلی ادامه پیدا می‌کند. برخی سازمان‌ها می‌گویند که میلیون‌ها Policy فایروالی ایجاد کرده‌اند. حقیقت این است که تعداد زیاد Policyها باعث پیچیدگی شده  و برخی از آنها می‌توانند با یکدیگر در تقابل باشند و همچنین عیب‌یابی آنها زمان‌بر است.

بهینه‌سازی Policy، قوانین Policy امنیتی قدیمی را به قوانین مبتنی بر برنامه کاربردی که ترافیک را براساس برنامه کاربری درحال استفاده رد کرده یا تصدیق می‌کند می‌فرستد. این امر امنیت کلی را با کاهش نقاط آسیب‌پذیر بهبود می‌بخشد و همچنین قابلیت دید برای فعال سازی دسترسی به برنامه کاربردی را فراهم می‌کند. بهینه‌سازی Policy قوانین مبتنی بر Port را تعریف می‌کند بنابراین آنها می‌توانند به قوانین Whitelist مبتنی بر برنامه کاربردی تبدیل شوند، یا برنامه‌های کاربردی را از یک قانون مبتنی بر Port به یک قانون موجود مبتنی بر برنامه کاربردی اضافه کند، بدون اینکه دسترسی برنامه کاربردی را تحت خطر قرار دهد. همچنین این ویژگی مهم فایروال قوانین فوق مشروط مبتنی بر برنامه کاربردی را تعریف می‌کند. بهینه‌سازی Policy کمک می‌کند تا کدام قانون مبتنی بر Port در الویت جابجایی قرار گیرد، قوانین مبتنی بر برنامه کاربردی که به برنامه‌های کاربردی استفاده نشده اجازه تعریف شدن می‌دهند و کاراکترهای استفاده از قانون تحلیل شوند مانند تعداد ضربه که میزان کاربرد یک قانون خاص را با کاربرد تمامی قوانین مقایسه می‌کند.

استفاده از این ویژگی مهم فایروال و تبدیل قوانین مبتنی بر Port به قوانین مبتنی بر برنامه کاربردی وضعیت امنیتی را بهبود می‌بخشد زیرا سازمان می‌تواند برنامه‌های کاربردی مورد نظر را در Whitelist قرار داده و مابقی برنامه‌های کاربردی را رد کند. بدین طریق ترافیک مخرب و ناخواسته از شبکه حذف می‌گردد.

بیشتر بخوانید: نحوه‌ی شناسایی Phishing و مقابله با آن

جلوگیری از سرقت اعتبار

در گذشته، کارکنان از دفاتر شرکت به برنامه‌های کاربردی سازمانی دسترسی داشتند. امروزه آنها به برنامه‌های کاربردی قدیمی، برنامه‌های کاربردی SaaS و سایر سرویس‌های Cloud از دفتر، خانه، فرودگاه و هرجای ممکن دیگر دسترسی دارند. این امر باعث ‌می‌شود که تهدید کنندگان به سادگی سرقت اعتبار کنند. طبق گزارش بازرسی نقاط آسیب‌پذیر Verizon، در %81 از موارد نقض امنیتی مربوط به هک کردن رمز عبورهای ضعیف یا دزدیده‌ شده، بوده است.

جلوگیری از سرقت اعتبار استفاده کارمندان از کلمات عبور سازمانی در سایت‌هایی مانند Facebook و یا Twitter را منع می‌کند. با وجود اینکه ممکن است آنها برنامه‌های کاربردی تحریم‌شده باشند، استفاده و دسترسی به Credentialها سازمانی باعث تحت خطر قرار گرفتن فعالیت‌های سازمان می‌گردد.

جلوگیری از سرقت کلمات عبور با اسکن کردن اطلاعات ارسالی نام کاربری و رمز عبور به وبسایت‌ها و مقایسه آن اطلاعات با لیست Credentialها سازمانی رسمی، صورت می‌گیرد. سازمان‌ها می‌توانند بر اساس نوع URL وبسایت انتخاب کنند که به چه وبسایت‌هایی اجازه ارسال Credentialها سازمانی را بدهند و کدام وبسایت‌ها را بلاک کنند.

زمانی که فایروال یک کاربر را شناسایی کند که قصد ارسال اعتبار به وبسایت غیر مجاز را دارد، می‌تواند یک صفحه اخطار ارسال را نمایش دهد که کاربر را از این کار منع می‌کند یا به صورت جایگزین، می‌تواند یک صفحه مرورگر را باز کند که درمقابل ارسال Credentialها به وبسایت‌های غیر مجاز به کاربر هشدار داده اما همچنان به کاربر امکان ادامه ارسال را می‌دهد. متخصصان امنیتی می‌توانند این صفحات منع کننده را تنظیم کنند تا درباره استفاده دوباره Credentialها سازمانی حتی درباره‌ی سایت‌های قانونی و بدون Phishing کاربران را آگاه کنند.

امنیت DNS

یک ترکیب از یادگیری ماشینی، تحلیل و خودکارسازی می‌تواند از حملاتی جلوگیری کند که از DNS استفاده می‌کنند. در بسیاری از سازمان‌ها، سرورهای DNS برای حملاتی که کاربران را به سایت‌های  فیشینگ و دزدی داده‌ها هدایت می‌کنند، ناامن و کاملا باز هستند. مهاجمان شانس موفقیت بسیاری با حملات مبتنی بر DNS دارند زیرا تیم‌های امنیتی قابلیت دید بسیارکمی به چگونگی استفاده از سرویس از سوی مهاجمان برای برای حفظ کنترل تجهیزات آلوده دارند. برخی سرویس‌های Stand Alone امنیتی DNS وجود دارند که نسبتا موثر هستند اما دچار کمبود داده‌ها برای شناخت تمامی حملات هستند.

زمانی که امنیت DNS با فایروال‌ها یکپارچه می‌شود، یادگیری ماشینی می‌تواند حجم زیادی از داده‌های شبکه را تحلیل کند و نیاز به ابزارهای تحلیل Stand Alone را از بین ببرد. امنیت DNS یکپارچه‌شده با یک فایروال می‌تواند دامین‌های مخرب را با خودکارسازی و تحلیل به موقع که آنها را پیدا می‌کند، پیش‌بینی و بلاک نماید. همانطور که تعداد دامین‌های مخرب رشد می‌کند، یادگیری ماشینی می‌تواند آنها را به سرعت پیدا کند و مطمئن شود که آنها مشکل‌ساز نخواهند شد.

همچنین امنیت DNS یکپارچه‌شده می‌تواند از تحلیل یادگیری ماشینی برای خنثی نمودن DNS Tunneling که با پنهان کردن داده‌ها درون درخواست‌های DNS آنها را قاچاق می‌کند، استفاده کند. همچنین امنیت DNS می‌تواند سرویس‌های Command & Control بدافزار را پیدا کند. این سیستم در بالای سیستم‌های مبتنی بر Signature ساخته می‌شود تا روش‌های Tunneling پیشرفته را شناسایی کند و غیرفعال سازی حملات DNS-Tunneling را خودکارسازی کند.

گروه‌های کاربر پویا

ممکن است Policy‌هایی ایجاد شوند که Remediation فعالیت‌های مخرب کارکنان را خودکار سازی کند. فرضیه اولیه این است که نقش کاربران در گروه بدان معناست که رفتارهای شبکه‌ای آنها باید مشابه یکدیگر باشد. برای مثال، اگر یک کارمند دچار فیشینگ شده و برنامه‌های کاربردی بیگانه نصب شده‌اند، این امر برجسته و متمایز بوده و ممکن است حاکی از وجود آسیب‌پذیری باشد.

در گذشته، قرنطینه کردن گروهی از کاربران بسیار زمان‌بر بود چرا که باید به هر عضو گروه رسیدگی شده و Policy‌ها برای هرکس منحصر به فرد اعمال می‌شد. با گروه‌های کاربر پویا، زمانی که فایروال یک اختلال را مشاهده می‌کند، Policy‌هایی ایجاد می‌کند که ضد آن اختلال عمل می‌کنند و آن را به خارج از گروه کاربران می‌فرستند. این ویژگی مهم فایروال باعث می‌شود کل گروه بدون نیاز به ایجاد دستی Policy برای انجام این کار به صورت خودکار بروزرسانی می‌شود. بنابراین برای مثال، تمامی افراد در حسابرسی Policy یکسانی دریافت می‌کنند تا به صورت خودکار و همزمان بروزرسانی شوند بجای اینکه اینکار به صورت دستی صورت گیرد. یکپارچه‌سازی با فایروال باعث می‌شود فایروال بتواند Policy‌ها را برای گروه کاربران و تمامی زیرساخت‌های دیگر که به آن نیاز دارد توزیع کند که شامل فایروال‌های دیگر، Log Collectorها و برنامه‌های کاربردی می‌شود. 

فایروال‌ها همواره مجری اصلی امنیت سایبری بوده‌اند و خواهند بود. آنها اولین خط دفاعی هستند و می‌توانند بسیاری از حملات را خنثی کنند پیش از این که به شبکه سازمان نفوذ کنند. به حداکثر رساندن قابلیت‌های فایروال به معنای فعال کردن بسیاری از ویژگی‌های پیشرفته است که برخی از آنها  سال‌ها در فایروال بوده‌اند اما به دلایل گوناگون فعال نشده نبوده‌اند.