بررسی ویژگی های تکنولوژی IPS به عنوان عوامل کلیدی پیش از انتخاب یک راهکار امنیتی

سیستم‌های پیشگیری از نفوذ یا IPSها در قلب امنیتِ دیتاسنترهای سازمانی و محل‌های دیگری که امنیت در آن‌ها مهم است، قرار دارند. اما دستگاه‌های IPS مختلف برای برخی از سازمان‌ها بهتر از سازمان‌های دیگر کار می‌کنند. انتخاب تکنولوژی IPS مناسب برای یک نهاد نیازمند بررسی دقیق مسائل مختلف از مقیاس‌پذیری و عملکرد گرفته تا استفاده از هوش تهدید و قابلیت حفاظت از داده‌ها و برنامه‌های کاربردی در کلودهای عمومی و خصوصی می باشد. در ادامه راهنمایی ارائه می‌شود که معرف عواملی کلیدی ای بوده که مدیر امنیتی باید پیش از انتخاب یک راهکار IPS آن‌ها را مد نظر قرار دهد.

 بررسی تکنولوژی IPS در Flux

تکنولوژی IPS محتوای Packetهایی را که از شبکه عبور می‌کنند بررسی می‌کند، درست همانطور که چمدان‌های مسافران از امنیت فرودگاه عبور می‌کند. برای دیتاسنترها و Campusهای سازمانی و برای کسب‌و‌کارهایی که نیازهای امنیتی حادی دارند، عملکرد IPS نقشی حیاتی را در زیرساخت امنیت سازمانی ایفا می‌کند. اما انتخاب یک راهکار IPS می‌تواند چالش‌برانگیز باشد. بازار IPSها در حال حاضر پر از آشفتگی است و حرکت در این آشوب چالشی کلیدی برای مدیران امنیتی است که سازمان‌هایشان نیازمند بررسی دقیقی است که تکنولوژی IPS ارائه می‌دهد. شرکت‌ها می‌توانند یا از طریق دستگاه‌های IPS مستقل یا از طریق فایروال‌های نسل جدید یا NGFWها که شامل عملکردهای IPS هستند IPS را پیاده‌سازی کنند. دستگاه‌های مستقل معمولاً قابلیت‌ها و عملکرد قدرتمندتری را برای بررسی فراهم می‌کنند. از طرف دیگر، استفاده از IPS با NGFW یکپارچه‌سازی‌شده وظایف ادمین‌ها را تسهیل کرده و هزینه‌ها را کاهش می‌دهد.

بیشتر بخوانید: بهترین قابلیت‌ها و کاربردهای NSX Distributed IDS/IPS

مقدار صرفه‌جویی بستگی دارد به اینکه چند مورد از ویژگی‌های NGFW دیگر در دستگاه یکسانی فعال‌سازی شده‌اند و اینکه سازمان به چه توان عملیاتی نیاز دارد. به‌طورکلی نیازهای عملیاتی و امنیتی مشخص می‌کنند که چه شکلی از IPS مناسب است. بازارها برای IPS مستقل و یکپارچه‌سازی‌شده با NGFW به‌سرعت در حال تغییر است. در چند سال اخیر، برخی از Vendorها حضور خود را در این فضا گسترش داده‌اند، درحالی‌که دیگران تکنولوژی‌های IPS خود را فروخته یا متوقف کرده‌اند. تکنولوژی IPS با چنان سرعتی در حال تغییر است که ارتقای دوره‌ای سخت‌افزار عملاً الزامی است. مدیران امنیتی در سازمان‌هایی که به قابلیت‌های IPS نیاز دارند باید به‌طور منظم گزینه‌های خود را ارزیابی نمایند. در این بازار در حال تکامل، این مدیران کار سختی پیش رو دارند.

ویژگی‌های یک IPS موفق

اولین نقطه برای ارزیابی دستگاه‌های IPS، مجموعه وِیژگی‌های ابتدایی آن‌ها بوده، تطبیق Signature یکی از ویژگی‌های اساسی هر IPS می باشد، پس مدیران امنیتی باید در هر کدام از گزینه‌های IPS خود، موتور تطبیق Signature را درک کنند. ابتدایی‌ترین نوع Signature، تطبیق String است که در آن یک Signature صرفاً به دنبال  تطبیق دقیق با Payloadهای بدِ شناخته‌شده می‌گردد. این رویکرد نیازمند مجموعه‌های بزرگ‌تری از Signatureها می باشد، زیرا Vendorها باید یک Signature جدید را نه‌تنها برای هر تهدید جدید، بلکه همچنین برای هر گونه‌ای از تهدید ایجاد کنند. این Signatureها فقط با یک Payload تطبیق خواهند داشت. سازمان‌ها نباید وسوسه‌ی Vendorهایی شوند که بزرگ‌ترین مجموعه Signatureها را دارند، زیرا این امر می‌تواند نشان دهد که آن‌ها شدیداً روی تطبیق String تمرکز می‌کنند که نیازمند مجموعه Signature بسیار بزرگ‌تری از مجموعه‌هایی است که رویکردهای دیگر به آن نیاز دارند. توجه کافی می‌تواند حجم مجموعه Signature را مشخص کند و نشان دهد که Vendor در رابطه با Signatureها چقدر پیچیده و کارآمد است. برای برخی از راهکارهای IPS که پیچیدگی کمتری دارند، حفاظت در موتور Signature تمام می‌شود.

اما سازمان هایی که به بررسی IPS کارآمدتری نیاز دارند باید Vendorهایی را مد نظر قرار دهند که می‌توانند کاری بیشتر از تطبیق String انجام دهند. مجموعه Signatureهای پیچیده شامل فهرست‌هایی از آسیب‌پذیری‌های شناخته شده هستند که باعث می‌شود یک Signature بتواند انواع مختلفی از یک حمله را که آسیب‌پذیری یکسانی را هدف قرار می‌دهند مسدود کند. این رویکرد به Signatureها کارآمدتر از تطبیق String است و منجر به تعداد کمتری از کل Signatureها می‌شود. بررسی تعداد Signatureهای IPS و ارجاع متقابل آن با نرخ شناسایی Benchmarkهای Third-Party معتبر، مثل NSS Labs باید مشخص کند که این Vendorها امتیاز بالا و تعداد Signatureهای پایینی دارند.  Vendorهایی که تعداد Signatureهای خیلی کم اما نرخ شناسایی پایینی دارند، تحقیقات لازم برای حفاظت از شرکت‌ها را انجام نمی‌دهند، درحالی‌که Vendorهایی که تعداد Signatureهای خیلی زیادی دارند در طراحی‌های خود کارآمد نیستند و احتمالاً از تکنولوژی‌های قدیمی استفاده می‌کنند. دستگاه‌های IPS پیچیده همچنین تصمیمات Block خود را با اطلاعات بافتی تکمیل می‌کنند؛ اطلاعاتی مثل رفتار کاربر و فرایندهای کاوشی، شناسایی شبکه و ناهنجاری‌های پروتکل برنامه کاربردی و گونه‌هایی دیگر از هنجارهای تاریخی. این ویژگی‌ها قابلیت‌های سیستم‌های پیشگیری از نفوذ و شناسایی نفوذ را تکمیل می‌کنند و تعداد هشدارها و مثبت‌های کاذب را کاهش می‌دهند. این ویژگی‌های تکنولوژی IPS بسیار حیاتی بوده، در بین راهکارهای IPS که در این حوزه‌ها کارآمد هستند، مدیر امنیت باید مواردی را انتخاب کند که دارای الزامات زیر باشند:

مقیاس‌پذیری و عملکرد

 عملکرد فاکتوری کلیدی است که بسیاری از شرکت‌ها را به سمتی می‌راند که یک IPS مستقل را انتخاب کنند، نه عملکردی که در یک NGFW یکپارچه‌سازی شده باشد. بار اضافی روی یک تجهیز فایروال که اکنون باید Packetها و Payloadها را برای یک IPS بررسی کند، ترافیک شبکه را کُند می‌کند. تطبیق Signature به تنهایی می‌تواند سرعت NGFW را تا 30 درصد کاهش دهد. IPS باید برای افزایش رشد در Volumeهای ترافیک هر دو i2 توسعه یابد. چندین راه وجود دارد که Vendorهای IPS می‌توانند مقیاس‌پذیری را وارد دستگاه‌های خود کنند، یکی از این راه‌ها استفاده از یک واحد پردازش امنیتی است. معماری مبتنی بر CPU دستگاه‌های امنیتی قدیمی می‌تواند برای یک فایروال یا یک IPS ایجاد مشکل کند.  یک پردازنده‌ی سطح بالای واحد ممکن است در رسیدگی به تقاضاهای شبکه برای پهنای باند بالا همراه با تقاضای امنیتی برای بررسی عمیق به مشکل بخورد. تصمیم‌گیرندگان امنیتی باید به دقت به معماری‌هایی که پردازش شبکه را از پردازش امنیتی جداسازی می‌کنند، توجه کنند، تا بتوان منابع را تا جای ممکن به‌صورت کارآمدی اعمال کرد و یک فرایند توسط فرایند دیگر آسیب نبیند، که این امر باعث کاهش توان عملیاتی برای هر دو پردازش می‌گردد. توانایی بررسی ترافیک رمزگذاری‌شده برای هر IPS ضروری است. درنتیجه، توان عملیاتی کلی کاهش پیدا می‌کند یا بدتر از آن، IPS ترافیک رمزگذاری‌شده را بدون بررسی عبور می‌دهد. برداشتن بار این کار از پردازنده‌ی اصلی و محول کردن آن به یک پردازنده‌ی محتوای تخصصی باعث حل این چالش می‌شود. هرچند اضافه کردن یک پردازنده‌ی محتوا به یک IPS توان عملیاتی کلی یک دستگاه را افزایش نمی‌دهد، بلکه تضعیف عملکردی را کاهش می‌دهد که ممکن است از فعال‌سازی برخی از قابلیت‌های امنیتی مثل رمزگشایی ناشی شود.

قابلیت‌های پیشگیری از تهدید پیشرفته که از هوش تهدید استفاده می‌کنند

 پیشگیری از تهدید پیشرفته یا ATP طراحی شده اند تا بدافزار یا باج‌افزارهایی را کشف نمایند که به‌طور خاص شکاف‌های امنیتی یک شبکه را هدف قرار می‌دهند. این قابلیت یک عملکرد حیاتی در رقابت مداوم بین متخصصان امنیتی و مجرمان سایبری است. فقط در طول سه ماه در سال 2017، FortiGuard Labs در مورد 14904 بدافزار جدید گزارش داد، این یعنی 160 مورد در روز. به همین دلیل است که مدیران امنیتی باید انتظار داشته باشند که راهکارهای IPS آن‌ها شامل ATP در دستگاه‌ها باشند. آن‌ها همچنین باید انتظار داشته باشند که آن قابلیت‌های ATP با یک سرویس هوش تهدید یکپارچه‌سازی شوند. برخی از ارائه‌دهندگان تکنولوژی IPS قابلیت‌های هوش تهدید خود را دارند که مکمل عملکرد Native دستگاه‌هایی با بروزرسانی‌های مداوم در مورد تهدیدات Zero-Day و نوظهور هستند. یکپارچه‌سازی کاملی که هوش تهدیدات یک Vendor فراهم می‌کند، معمولاً مساوی زمان پاسخ‌دهی سریع‌تری از طریق این خودکارسازی است.

حذف موانع بین NOCها و SOCها

معمولاً اینطور است که مرکز عملیات امنیتی یا SOC یک شرکت جدا از مرکز عملیات شبکه یا NOC شرکت کار می‌کند. این مراکز کارمندان و فرایندهای مدیریتی متفاوتی دارند. اما این عملیات‌های منفرد قطعاً منجر می‌شوند به تکرار تلاش‌ها و شاید حتی کارمندان مجبور شوند با چند هدف مختلف کار کنند. نتیجه‌ی بدتر این است که موانع موجود بین NOC و SOC ممکن است وضعیت امنیتی کلی شرکت را تضعیف کند. NOC حاوی اطلاعات زیادی در مورد شبکه سازمانی است، ازجمله اینکه یک برنامه کاربردی به‌خصوص کجا اجرا می‌شود و آیا Patchهای امنیتی بروز هستند یا خیر.

بیشتر بخوانید: ویژگی و امکانات FortiSIEM به همراه تحلیل و بررسی پکپارچه سازی NOC و SOC

وقتی که حمله‌ای خود را نشان دهد، NOC می‌تواند به سؤالاتی در مورد اینکه کدام Endpointها آسیب‌پذیرند و تیم امنیتی باید چقدر مراقب باشد، پاسخ دهد. این اطلاعات می‌تواند برای ارائه‌ی یک پاسخ سریع و کارآمد به هر نوعی از حمله حیاتی باشد. NOC دارای اطلاعات لازم برای شناسایی و ریشه‌کن کردن آن حملات نیست. SOC اطلاعات دقیقی را در مورد تهدیدات نوظهور ذخیره می‌کند که می‌توانند به سازمان کمک کنند حملات احتمالی را پیش از اینکه روی سیستم‌های سازمانی تأثیر بگذارند، شناسایی کنند. اما یک SOC بدون مبنای دانش NOC بینش‌های شبکه لازم را ندارد که کارمندان بتوانند به‌طور کارآمدی آسیب‌پذیری سازمان را شناسایی کرده و به آن پاسخ دهند. مطالعه‌ی جدیدی نشان داد که در بین شرکت‌هایی که یک SOC دارند، 22 درصد NOC نداشتند، 12 درصد گزارش دادند که تیم‌های NOC و SOC آن‌ها ارتباط مستقیم اندکی دارند و 21 درصد گفتند که تیم‌های NOC و SOC آن‌ها فقط در شرایط اضطراری با هم کار می‌کنند. کارآمدترین وضعیت امنیتی با یکپارچه‌سازی داده‌های NOCها و SOCها حاصل می‌شود. وقتی شرکتی به دنبال قابلیت‌های IPS است، باید راهکارهایی را جستجو کند که با ترکیب اطلاعات در مورد تهدیدات امنیتی با داده‌هایی در مورد آسیب‌پذیری‌های شبکه، Siloهای NOC و SOC را از بین ببرد.

یکپارچه‌سازی با یک اکوسیستم امنیتی جامع

معمولاً اینطور است که مرکز عملیات امنیتی یا SOC یک سازمان جدا از مرکز عملیات شبکه یا NOC سازمان کار می‌کند. این مراکز کارمندان و فرایندهای مدیریتی متفاوتی دارند، اما این عملیات‌های منفرد قطعاً منجر می‌شوند به تکرار تلاش‌ها و شاید حتی کارمندان مجبور شوند با چند هدف مختلف کار کنند. دلیل دیگری برای یکپارچه‌سازی کامل راهکارهای امنیتی سازمانی، بهینه‌سازی کارآمدی و به حداقل رساندن هزینه‌ها است. اجرای سیستم‌های منفرد معمولاً به این معنی است که کارمندان باید وظایف یکسانی را به شیوه‌های مختلف در سیستم‌های مختلف انجام دهند. در همین حال، انجام دادن این وظایف بیشتر زمان می‌برد، زیرا حرکت از رابط کاربری یک راهکار به راهکار دیگر نیازمند تغییر رویه است. مسلماً آماده‌سازی کارمندان به شیوه‌ی منفرد بیشتر زمان می‌برد و شاید حتی شرکت مجبور شود یک تیم امنیتی بزرگ‌تر را حفظ کند تا برای تمام سیستم‌های متفاوت کارمند داشته باشد. در مقابل، راهکارهایی که یکپارچه‌سازی کاملی دارند و رابط‌های کاربری و جریان‌های کاری مشابهی را ارائه می‌کنند به کارمندانی که از یک سیستم استفاده می‌کنند توانایی مدیریت سیستم‌های دیگر را می‌دهند. برای بهینه‌سازی کارآمدی و بهره‌وری فرایندهای امنیتی شرکت،  مدیران باید به دنبال راهکارهای IPS بگردند که با محصولات امنیتی دیگرِ شرکت یکپارچه‌سازی می‌شوند تا عملکرد دقیق و قابلیت دید واضحی را فراهم کنند.

 آخرین حوزه‌ای که باید به آن توجه شود، حفاظت از برنامه‌های کاربردی و داده در کلود است. تقریباً همه‌ی شرکت‌ها نوعی برنامه کاربردی مبتنی بر کلود را اجرا می‌کنند و اکثراً چند مورد از این برنامه‌ها را اجرا می‌کنند. Fortinet متوجه شده است که یک شرکت معمولاً از 62 برنامه کاربردی مختلف در Cloud استفاده می‌کند. کلود استفاده می‌کنند و دارای چندین کلود عمومی، چندین کلود خصوصی یا یک محیط Hybrid هستند که شامل هر دو مورد باشد. درنتیجه منطقی است که یک راهکار IPS نه‌تنها باید از نرم‌افزار و داده‌های On-Premises حفاظت کند، بلکه باید توانایی عملکرد در Cloudهای عمومی و خصوصی را داشته باشد. بخشی از فرایند گوش‌به‌زنگ بودن این است که مدیر امنیت باید ارزیابی کند که داده‌ها و برنامه‌های کاربردی شرکت کجا قرار دارند و راهکار IPS بتواند فارغ از محل، از این داده‌ها حفاظت کند. با وجود ضرورت به حداقل رساندن ریسک، مخصوصاً با توجه به بازار متلاطم تکنولوژی IPS، مدیران امنیت در زمان تصمیم‌گیری نباید دقت را در انتخاب سیستم IPS از یاد ببرند. آن‌ها باید اطمینان حاصل کنند که راهکارهای IPS آن‌ها توسعه پیدا می‌کند تا با توان عملیاتی کنونی و رشد در آینده تطبیق داشته باشد. آن‌ها باید ارزیابی کنند که آیا آن سیستم‌ها به‌طور کارآمدی با اکوسیستم امنیتی‌شان یکپارچه‌سازی می‌شوند یا مشکل Siloهای اطلاعاتی ایجاد می‌کند و یا آن مشکل را گسترش می‌دهند. مثل هر فرایند انتخاب راهکار امنیتی دیگری، باید مسائل قیمتی و عملکردی را نیز مد نظر قرار دهند. شاید انجام دادن همه‌ی این کارها دشوار باشد. اما با افزایش تعهد Vendorها به IPS نسل جدید، خریداران اکنون می‌توانند مطمئن باشند که راهکاری را پیدا خواهند کرد که پاسخگوی نیازهایشان باشد.