بررسی رویکردهای مختلف در پلتفرم‌های امنیتی، مزایا و معایب هرکدام – قسمت دوم

در قسمت اول در خصوص رویکردهای مختلفی که در پلتفرم‌های امنیتی وجود دارند صحبت کردیم و گفتیم که در دنیای امنیت پیچیده امروز راهکارها باید بتوانند بصورت یکپارچه و تیم عمل کنند، در غیر اینصورت به جای تقویت امنیت، سازمان با مشکلات جدی نقض امنیتی روبرو خواهد شد. در این قسمت به بررسی رویکردهای مختلف در پلتفرم‌های امنیتی می‌پردازیم.

سه رویکرد برای پلتفرم‌های امنیتی

این‌ موارد سه نوع پلتفرم اصلی موجود در بازار کنونی هستند

پلتفرم‌های امنیتی مبتنی بر راهکار

اولین پلتفرمی که ممکن است بخواهید درباره آن جستجو کنید نوع مبتنی بر راهکار است. در این نوع، سه قابلیت اصلی وجود دارد. شبکه، Endpoint و Cloud. بطور طبیعی هر قابلیت نقاط ضعف و قوت خود را دارد.

شبکه

فایروال‌های نسل بعد (NGFWها) عملکرد فایروال‌های قدیمی مانند بررسی ترافیک Stateful را با جلوگیری از نفوذ، کنترل و آگاهی برنامه‌کاربردی، هوش تهدیدات یکپارچه و فراتر از اینها ترکیب می‌کنند. آنها با فراهم‌سازی قابلیت دید، کنترل و محافظت جامع شبکه، راهکاری موثر برای محافظت در مقابل نقض‌های امنیتی میان بخش‌های شبکه و اینترنت هستند. با وجود اینکه آنها برای امنیت شبکه بنیادی هستند، NGFWها تهدیدات Vectorهای محیط ناهمگن که باعث Interconnect شدن شبکه‌ها، تجهیزات، کاربران و داده‌ها می‌شود را کاهش نمی‌دهند.

اگر یک فایل مخرب از طریق ایمیل وارد شود، NGFW نمی‌تواند فایل را در Endpoint آلوده‌شده قرنطینه کند. از سوی دیگر، به کاربر تحت خطر اجازه Log In از تجهیزات شخصی به یک برنامه کاربردی Cloud را نمی‌دهد. به علاوه، NGFWها مانند فایروال‌های مجازی در یک محیط Cloud مانند AWS تاثیر کمتری دارند.

Endpoint

پلتفرم محافظتی Endpoint (EPP) از راه‌اندازی بدافزار مبتنی بر فایل و برنامه‌های کاربردی مخرب یا ناخواسته جلوگیری می‌کند. همچنین بسیاری از راهکارهای EPP قابلیت‌های شناسایی و پاسخگویی Endpoint را برای محافظت مداوم در مقابل تهدیدات دور زننده کنترل‌های اولیه ارائه می‌دهد. یک EPP یکپارچه و راهکار EDR می‌تواند سطح حمله  Endpoint را کاهش دهد و فعالیت‌های آینده‌نگرانه را پشتیبانی‌کند مانند شکار تهدیدات،  محافظت در مقابل بدافزار و باج‌افزار بدون فایل.

با وجود اضافه کردن قابلیت‌های پیشرفته، این راهکار محدود به قابلیت دید و کنترل Endpoint است. به عنوان مثال، حتی اگر یک EPP یک فایل مخرب را شناسایی کند، نه ایمیل را از Microsoft Exchange حذف می‌کند نه Endpoint آلوده را قرنطینه می‌کند. نکته مهم این است که آیا این پلتفرم‌ها کنترل و قابلیت دید کافی برای محافظت موثر از محیط را فراهم می‌کنند یا خیر.

Cloud 

راهکارهای امنیتی Cloud که برخی اوقات با عنوان Gatewayهای اینترنت امن از آنها یاد می‌شود، طیفی از تکنولوژی‌ها مانند فایروال لایه 3-7، Gateway امن وب و امنیت لایه DNS را با هم ترکیب می‌کنند. این راهکارها با ارائه یک راهکار توسعه‌پذیر که شامل قابلیت دید، کنترل و محافظت کامل از ترافیک اینترنت و استفاده از SaaS است، ما را قادر می‌سازند تا به اتخاذکردن Cloud و SD-WAN خود شتاب دهیم. 

با وجود اینکه امنیت Cloud در مقابل تهدیدات دنیای تجهیزات سیار که کاربران در آن از هرجایی امکان دسترسی به شبکه مورد نظر را دارند موثر است،  قابلیت دید برای Endpointها، ایمیل‌ها و فعالیت‌های شبکه IaaS یا داخلی را فراهم نمی‌کند.

اگر راهکار امنیتی Cloud ما فعالیت‌های صدور و کنترل را شناسایی کند، برای مثال می‌تواند «تماس به خانه» را متوقف کند – اما لزوما داد‌ه‌های مورد نظر را به شما نمی‌دهد تا جایی که تهدید از آنجا آمده را تعیین کنید و بدانید که چه چیز دیگری با آن در تعامل بوده است. به علاوه، این راهکار، عاملین درونی که دسترسی غیر مجاز به تمامی منابع حیاتی را کسب کردند را شناسایی نمی‌کند. باید از خودمان بپرسیم که آیا یک راهکار امنیتی Cloud محافظت کامل از تمامی موارد استفاده را ارائه می‌دهد تا به عنوان یک پلتفرم امنیتی واقعی درنظر گرفته شود یا خیر.

آشنایی با SIEM یا امنیت اطلاعات و مدیریت رویداد

ویدیوهای بیشتر درباره SIEM

پلتفرم‌های مبتنی بر تکنولوژی  

نوع دیگر پلتفرم امنیتی قابل دسترس مبتنی بر تکنولوژی است. این پلتفرم‌های شامل SIEMها، SOARها و معادل‌های نسل بعدی است.

SIEM یا امنیت اطلاعات و مدیریت رویدادها

تکنولوژی SIEM با مرتب سازی، جمع‌آوری و تحلیل اطلاعات از منابع گوناگون، قابلیت‌دید و چشم‌اندازی منطقی را ارائه می دهند. وقتی که این تکنولوژی برای اولین بار بیش از 10 سال پیش معرفی شد به عنوان یک انقلاب از آن یاد شد اما بسیاری از از راهکارهای Vendor اکوسیستم‌هایی که به خوبی با آن یکپارچه نشده بودند و پیچیدگی و زحمت زیادی داشتند را بستند. نسل‌های جدیدتر پیشرفت‌هایی داشتند مانند توسعه قابلیت‌ها با تحلیل‌ها. درحالی که SIEM تمرکز خود را از تطبیق‌پذیری به شناسایی تهدیدات و پاسخگویی به رویدادها تغییر داد، نقاط کوری باقی ماندند زیرا داده‌ها محتوا را محدود کردند. به عنوان مثال، یک راهکار SIEM معمولا شامل هوش تهدیدات خارجی نمی‌شود. یک SIEM آماده با حذف تعدادی از هشدارها و فعال‌سازی اقدامات اولیه مانند بلاک کردن بهره‌وری را افزایش می‌دهد اما گردش‌های کاری خودکار را برای پاسخگویی فراهم نمی‌کند. همچنان نیاز است تا بطور دستی به چندین سیستم‌ Log کرد تا داده‌های اضافی را به هنگام الویت‌بندی رویدادها جمع‌آوری نمود.

SOAR  یا Security Orchestration, Automation And Response

تکنولوژی SOAR که یک بازار درحال ظهور دارد مشابه SIEMهاست زیرا داده‌ها را جمع‌آوری و مرتبط ساخته و تحلیل می‌کند (بدون Data Lake). تکنولوژی SOAR با یکپارچه‌سازی هوش تهدیدات و خودکارسازی گردش‌کار پاسخگویی و رسیدگی به رویدادها براساس Playbookهایی که تیم‌های امنیتی ارائه می‌دهند، از سایرین پیشی می‌گیرد.

  بزرگ‌ترین مزیت تکنولوژی SOAR، الویت‌بندی فعالیت‌های امنیتی و خودکارسازی پاسخگویی است که منجر به شناسایی و پاسخگویی سریع‌تر در یک داشبورد تعریف‌شده است. یکی از جنبه‌هایی که باید در نظر گرفت کمبود یکپارچگی معماری Backend وControl Pointهای Native است – SOAR این قابلیت‌ را ندارد تا بطور همه‌جانبه اقدامات مرتبطی را در تمام محیط انجام دهد. همانند SIEM، یکپارچه‌سازی درست تکنولوژی SOAR با سیستم‌های خارجی زیرساخت و هویت معمولا پیچیده و هزینه بر است که باعث محدود شدن اتخاذ می‌گردد. 

بیشتر بخوانید: سرعت‌بخشی به عملیات امنیتی با استفاده از ترکیب فناوری SOAR و Fortinet’s Security Fabric

پلتفرم‌های یکپارچه مبتنی بر Portfolio

انتخاب سوم ما پلتفرم‌های نوظهور مبتنی بر Portfolio هستند. با یک پلتفرم باز، تیم‌های امنیتی به سادگی می‌توانند محصولاتی که اکنون از آنها استفاده می‌کنند را یکپارچه کنند؛ درست همانند محصولات Cutting Edge که در آینده می‌خواهند استفاده کنند. به منظور فراهم‌سازی بیشترین گستره و تداوم پوشش End-to-End در تمام Vectorهای اصلی تهدیدات و برای بهره‌وری بیشتر این پلتفرم‌ها به شما کمک می‌کنند تا:

• ایمن‌سازی تمامی اقدامات تجاری در برآورده‌سازی نیازهای امنیتی درحال حاضر و آینده
• راه‌اندازی پتانسیل‌های جدید از سرمایه‌گذاری‌های امنیتی و سرازیر ساختن آنها در تمامی زیرساخت.
• ایمن‌سازی موثر کسب‌وکار از طریق تصمیم‌گیری‌های درست با دید منطقی به هر یک از Control Pointها.
• تقویت امنیت در سراسر شبکه، Endpoint، Cloud و برنامه‌های‌کاربردی.
• تشخیص درآمد مدنظر که توسط معیارها و تحلیل‌های قابل اندازه‌گیری و منطقی بدست آمده است.
• شتاب‌دهی به زمان شناسایی تهدیدات و بازیابی با حداقل خطای انسانی
• افزایش دقت و بهره‌وری عملیاتی در تمامی اقدامات امنیتی
• افزایش پاسخگویی به تغییرات امنیتی با هزینه کمتر
• پیشرفت سطح بلوغ امنیتی با استفاده از منابع موجود
• ارائه دستمزد اشتراکی که ITOps و NetOps به آنها اهمیت می‌دهند
• همکاری بهتر از قبل در تمامی گردش‌های‌کاری اشتراکی و تیم‌ها

موثرترین پلتفرم امنیتی، پلتفرمی است که بطور Native به سرویس‌ها و محصولات Portfolio متصل می‌گردد، Control Pointهای مختلف Backend با گردش‌کار هماهنگ Frontend را اندازه‌گیری می‌کند. بدون این ترکیب، با حجم زیادی از کار باقی می‌مانیم تا داده‌های ایجاد‌شده توسط Backend را به یک داشبورد که تجربه کاربری منطقی ارائه می‌دهد تغییر دهیم. هر زمان که Vendor تغییراتی در Portfolio ایجاد می‌کند یا زمانی که می‌خواهیم قابلیت‌های پاسخگویی خود را به تهدیدات و چالش‌های جدید گسترش دهیم، این تغییر کاری است که همیشه باید انجام دهیم. پلتفرم‌های مبتنی بر Portfolio این کار را با قادرساختن ما در اضافه کردن سرمایه‌های موجود خود و کاهش هزینه‌های یکپارچه‌سازی، برای ما انجام می‌دهند.

چرا پلتفرم‌های یکپارچه مبتنی بر Portfolio ایده‌آل هستند

برای بسیاری از سازمان‌ها، یک پلتفرم امنیتی مبتنی بر Portfolio که بطور Native یکپارچه‌شده کارکرد بیشتری نسبت به پلتفرم‌های امنیتی مبتنی بر راهکار و تکنولوژی دارد. پلتفرم‌های یکپارچه مبتنی بر Portfolio با یکدست کردن قابلیت دید و فعال‌کردن خودکارسازی، امنیت را ساده‌تر و قوی‌تر می‌سازند. آنها بخاطر این موارد ارزشمند هستند:

• یکدست کردن قابلیت دید در تمامی بخش‌های زیرساخت – فارغ ازینکه کدام محصول Vendor را داریم – برای تصمیم‌گیری بهتر براساس شناسایی جامع تهدیدات، تحلیل منطقی امنیت و مدیریت پالیسی امنیتی شبکه
• کاهش پیچیدگی توسط یکپارچه‌سازی محصولات امنیتی با تعامل متقابل Out of the box.
• خودکارسازی گردش‌کار امنیتی مانند رسیدگی و شکار تهدیدات، بازیابی دقت و بهره‌وری عملیاتی و کاهش هزینه‌های عملیاتی
• شتابدهی به زمان ارزش‌دهی در 15 دقیقه
• تغییر تعامل تیم‌های امنیتی با محصولات برای حل مشکلات
• رشد طبیعی در محصولات و مرتبط ساختن آنها به یک چرخه بی‌نقص ارزش افزایش یافته از Location مرکزی
• پیروی از کاربر به منظور حفظ آگاهی محتوایی در هر سطحی از رسیدگی به تهدیدات
• شتاب‌دهی به پاسخگویی در تمام چرخه عمر امنیت با هزینه کمتر برای پشتیبانی بهتر از کسب‌وکار درحال تحول و نیازهای فنی در عین پیشی گرفتن از چشم انداز تهدیدات درحال تغییر.
• به اشتراک گذاشتن ساختار به منظور تقویت همکاری در تمامی تیم های امنیتی و بارکاری که شامل هماهنگی امنیت شبکه و پالیسی می‌شود.

بیشتر بخوانید: سریعترین پاسخ‌گویی به حوادث امنیت سایبری با خودکارسازی و Orchestration

این لیست به هیچ وجه کامل نیست – این موارد تنها روش‌هایی هستند که پلتفرم‌های امنیتی یکپارچه مبتنی بر Portfolio برای کسب‌وکار ارزش می‌آفرینند.  با این حال، قابلیت مهم دیگری برای ذکر کردن وجود دارد: پلتفرم‌های یکپارچه مبتنی بر Portfolio با ایجاد سطوح جدیدی از همکاری میان تیم‌های امنیتی و ساده‌سازی امنیت در تمامی دیتاسنتر، شبکه، Cloud، اینترنت، ایمیل و Endpointها به کسب‌وکارها در رسیدگی به مشکل کمبود توانایی کمک می‌کند.

تقویت امنیت با مدیریت پالیسی هماهنگ

امروزه بخاطر اینکه چندین میکروپارامتر با پارامتر شبکه Sign و Control Point جابجا شده‌اند، قوی نگه‌داشتن امنیت نیازمند پالیسی‌های مداوم در تمام فایروال‌های On-Premise و Cloud است.

این امر از آنچه به نظر می‌رسد سخت تر است. درحالی که 95% سازمان‌ها بر این باور هستند که داشتن پالیسی‌های مداوم در تمام Control Pointهای امنیت شبکه لازم است، 94% آنها نگران این هستند که افزایش پیچیدگی شبکه آنها باعث آسیب‌پذیری بیشتر می‌شود.

این نگرانی تعجبی ندارد. به عنوان مثال، انتقال برنامه‌های کاربردی از زیرساخت On-Premise به Cloud را در نظر بگیرید. در یک سازمان عادی، فایروال‌های Cloud-Native در رابط‌های کاربری SILO هستند که هیچ‌ قابلیت دیدی فراهم نمی‌کند و از روش‌شناسی متفاوتی استفاده می‌کند. تبدیل فایروال‌ها و پالیسی‌های On-Premise به Cloud ممکن است ساعت‌ها کاردستی NetOps را به دنبال داشته باشد و در را برای خطاها باز بگذارد – و متعاقبا آسیب‌پذیری‌ها.

 یک پلتفرم مناسب می‌تواند مدیریت پالیسی را ساده کرده و قابلیت دید پالیسی را در تمام محیط Hybrid فراهم کند، NetOps را برای تعریف سریع و هماهنگی پالیسی‌ها فعال کند و زمان محافظت در مقابل تهدیدات را از چند ساعت به چند دقیقه کاهش دهد. برای تمامی فایروال‌های On-Premise و Cloud-Native متصل به یک رابط کاربری مرکزی، NetOps می‌تواند نفوذ را ببیند و برای بلاک کردن آنها فعالیت‌ها را هماهنگ و مرتبط سازد و سریعا در دسترسی به پالیسی‌ها در هرجا تغییراتی اعمال کند تا تهدیدات بلاک شوند.

مقاله های مرتبط: