بررسی راهکارهای امنیتی Advanced Threat Protection

با توجه به آنکه تهدیدات پیشرفته مستمر در دنیای بدافزارها فراگیر شده‌اند، شناسایی تهدیدات مبتنی بر Signature، دیگر در شرایط رو به ‌رشد تهدیدات، کارایی لازم و کافی را ندارد و امنیت مورد نیاز را فراهم نمی کند. شناسایی مبتنی بر Signature بر بروزرسانی‌هایی تکیه دارد که شرکت‌های ارائه‌دهنده محصولات بر روی پلتفرم‌های خود اعمال می‌کنند. متأسفانه امروزه تعداد زیادی از تهدیدات هدفمند هستند و یا مشخصاً برای نفوذ به یک سازمان خاص طراحی شده‌اند. اغلب اوقات از این تهدیدات فقط یک‌بار استفاده می‌شود و سپس آن‌ها Repackage شده و دستکاری می‌شوند تا مورد شناسایی قرار نگیرند.

برخلاف راهکارهای شناسایی و جلوگیری از نفوذ تهدیدات، سیستم‌های Advanced Threat Protection یا به اختصار ATPها موارد مشکوک را پیش از ورود آن‌ها به سیستم گیر انداخته و از بین می‌برند؛ از همین‌ رو اطمینان حاصل می‌گردد که ترافیک درحال بررسی، برای Endpoint بی‌خطر است. همچنین سیستم‌های ATP حتی می‌توانند جلوی تهدیداتی را بگیرند که پیش از این مشاهده نکرده‌اند، از آن جمله می‌توان به حملات Zero-Day اشاره نمود. از آن‌جایی که سیستم‌های ATP در جلوگیری از بدافزارها بسیار کارآمد هستند، برای دستیابی به سهم بالایی از ترافیک Ingress و Egress، تعداد بیشتری از این سیستم‌ها درحال پیاده‌سازی می‌باشد. این پیاده‌سازی روبه‌رشد سه حوزه را مشخص نموده که می‌توان با بهبود آن‌ها، کارایی سیستم‌های ATP را گسترش داد: SSL Assistance، راهکارهای با دسترس پذیری بالا یا HA و هدایت ترافیک (Traffic Steering).

در عصر تکنولوژی و امنیتی امروز، استفاده از SSL در حال گسترش می‌باشد. پروتکل‌های Cryptographic با طول کلیدهای طولانی‌تر، پیچیده‌تر شده‌اند درحالی‌که Payloadهای مخرب با SSL رمزگذاری می‌شوند. این Trendها نه تنها نشانگر نیاز به بازبینی SSL می‌باشند، بلکه باری بر روی دوش سیستم‌های ATP قرار می‌دهند که روز به روز سنگین‌تر می‌شود. در نتیجه به راهکاری نیاز است تا فرآیند پردازش SSL، بصورت Offload شده و سیستم‌های ATP کمی آزاد شوند و بتوانند به‌طور مشخص برروی شناسایی Objectهای مخرب تمرکز نمایند.

همانند دیگر تجهیزات محاسبه، سیستم‌های ATP نیز ممکن است خراب شده و گاهی اوقات ترافیک را Block نمایند. سایت‌های حیاتی باید درصورت بروز خرابی یک سنسور، High Availability را فعال نمایند. مقیاس‌پذیری در مسیر موجب تسهیل رشد و انعطاف‌پذیری می‌گردد. یک راهکار به‌صورت ایده‌آل باید بار را به‌صورت هوشمند میان چندین سیستم ATP تقسیم نماید تا در صورت بروز خرابی یک سنسور یا Overload، سایت در دسترس باقی بماند. علاوه‌براین، این پیکربندی به مدیران اجازه می‌دهد که بدون آسیب رساندن به دسترس‌پذیری سایت، اقدام به اضافه و یا حذف سنسور نمایند. این انعطاف‌پذیری از توانایی مقیاس‌پذیری، بدون بروز اختلال اطمینان حاصل می‌نماید.

یک شبکه در حالت ایده‌آل می‌تواند به‌صورت هوشمند ترافیک را یا از طریق سیستم‌های ATP یا سیستم‌های اطراف آن‌ها شناسایی و هدایت نماید. همین هدایت ترافیک باید از رمزگشایی SSL در سایت‌های حساس همچون وب‌سایت‌های بانکداری آنلاین جلوگیری نماید.

راهکار جامع ATP

یک راهکار جامع ATP که نمایشگر هر دو جریان ترافیک ورودی و خروجی می‌باشد.

شکل فوق، راهکار جامعی را نشان می‌دهد که در عین ارائه‌ی مقیاس‌پذیری منعطف، از تمامی قابلیت‌های یک سیستم ATP استفاده می‌کند. یک گروه عملیات‌های شبکه‌ای می‌تواند راهکاری را مهندسی کند که با استفاده از تکنولوژی Application Delivery Controller یا به اختصار ADC موجود، SSL Visibility، دسترس‌پذیری بالا و هدایت ترافیک را عرضه نماید.

این شکل یک جفت ADC را نشان می‌دهد که همانند نان ساندویچ، دو طرف Pool از دستگاه‌های ATP را فراگرفته‌اند. ADC نزدیک به مرز (سمت چپ) فعالیت‌های ذیل را به انجام می‌رساند:

1. رمزگشایی ترافیک SSL ورودی جهت انتقال به ATP Pool
2. رمزگذاری ترافیک SSL خروجی که از  ATP Pool رد شده است
3. اعمال Load Balancing بر روی ATP Pool جهت ارائه‌ی دسترس‌پذیری بالا
4. فعال‌سازی یک Pool Bypass هنگامی‌که تمامی اعضا Down باشند.
5. هدایت ترافیک صحیح در اطراف ATP Pool بدون رمزگشایی آن و در نتیجه کاهش بار بر روی دستگاه‌های ATP

ADC درون ATP Pool (سمت راست) نیز فعالیت‌های مشابهی را به انجام می‌رساند:

1. رمزگشایی ترافیک SSL خروجی جهت انتقال به ATP Pool
2. رمزگذاری ترافیک SSL ورودی که از ATP Pool رد شده است
3. اعمال تعدیل بار بر روی ATP Pool جهت ارائه‌ی دسترس‌پذیری بالا
4. فعال‌سازی یک Hairpin در زمان Down بودن تمام اعضا جهت Bypass از Pool
5. هدایت ترافیک صحیح در اطراف ATP Pool بدون رمزگشایی آن و در نتیجه کاهش بار بر روی دستگاه‌های ATP

این معماری به دستگاه‌های ATP اجازه می‌دهد که با تمام توان و بدون ایجاد اخلال در توان عملیاتی ترافیک، فعالیت کنند. مدیریت کلیدی در محل ADC بیرونی متمرکزسازی شده است و ATP Pool را در عین بهره‌مندی از دید کامل به ترافیک، از اعمال هرگونه عملکرد SSL آزاد می‌سازد. هدایت ترافیک به ترافیک غیرقابل‌توجه (همچون VDI) اجازه می‌دهد که ATP Pool را Bypass نماید و از همین‌رو ظرفیت مؤثر Pool افزایش می‌یابد.  Hairpin به ترافیک اجازه می‌دهد که حتی در صورت بروز Slowdown و یا خرابی تمامی سنسورهای ATP، به جریان‌یافتن ادامه دهد. این معماری در عین از بین بردن تمام Bottleneckها، از ترافیک به بهترین نحو محافظت می‌نماید.

ابزار ATP در بطن راهکارهای جامع امنیتی قرار دارد. به‌عنوان کمپانی اول در فهرست Cybersecurity 500 منتشر شده در سال 2015، ابزار کمپانی FireEye حتی اگر آسیب‌پذیری‌ها پیش‌تر مشاهده نشده باشند، جهت شناسایی و مهار بدافزارها، برای کاربران Advanced Threat Protection فراهم می‌آورد. دستگاه‌های ATP این کمپانی پیش از آنکه سیستم‌های مبتنی بر Signature حتی از رخداد یک حمله باخبر شده باشند، حملات Zero-Day را متوقف می‌نمایند. سایت‌ها نیز جهت جلوگیری از تهدیدات به‌صورت Real-Time بر FireEye تکیه می‌کنند.

جهت بهبود ابزار کمپانی FireEye، ADCهای F5 BIG-IP با فعال‌سازی HA و SSL Offload به‌وسیله‌ی پروکسی، هدایت ترافیک هوشمند و Load Balancingهای متداول، به وب‌سایت‌ها کمک می‌نمایند که همواره قابل دسترس باشند.

ترکیب خدمات FireEye و F5 به شرکت‌ها بهترین نوع Threat Protection را ارائه داده و آن میزان از دسترس‌پذیری حیاتی برنامه‌های کاربردی که به آن احتیاج دارند را در اختیارشان قرار می‌دهد.

چالش‌های امنیتی نفس‌گیر امروزه به Advanced Threat Protection و قابلیت‌های آن جهت اطمینان حاصل نمودن از دسترس‌پذیر بودن برنامه‌های کاربردی نیاز دارند. شرکت‌های FireEye و F5 با همکاری یکدیگر راهکارهایی ارائه داده‌اند که از مؤثرترین تکنولوژی، هوشمندی و تخصص جهت شناسایی و مهار فعالیت‌های مخرب بهره‌مند هستند. راهکارهای این دو کمپانی به سازمان‌ها اجازه می‌دهند که با SSL Visibility تهدیدات پنهانی را شناسایی نموده، با مقیاس‌پذیری گسترده‌تری Advanced Threat Protection را اعمال کرده و با بهره‌مندی از معماری ارتقا ‌یافته، بازده عملیاتی را بهبود بخشند.