فایروال شما چنین ویژگی‌هایی را دارد؟ - بخش نخست

جلوگیری از نفوذها به صورت خودکار برای حفظ پویایی مجموعه شما

هنگامی که با هیئت رئیسه و مدیران فناوری اطلاعات در سازمان‌ها پیرامون امنیت سایبری گفتگو می‌شود، همگی آنها در رابطه با این مسئله نگران هستند و می‌خواهند بدانند که چگونه از سازمان، کارمندان و مشتریان خود محافظت کنند. در این میان به نظر می‌رسد، سه نگرانی عمده همیشه در بالای این لیست قرار می‌گیرد: فایروال NGFW سیسکو

• جلوگیری از نفوذ: "ما مطمئن نیستیم که بتوانیم از تاثیرگذاریِ نفوذ بزرگ بعدی بر سازمان خود جلوگیری نماییم، آیا ما مصون خواهیم ماند؟"
• فقدان مشاهده‌پذیری: "ما مطمئن نیستیم از اینکه آیا ابزار امنیتی‌مان تصویر و قاب کاملی از وقایع را به ما نشان می‌دهد یا خیر. ما در رابطه با هر آنچه که رخ می دهد نیاز به قابلیت رویت داریم. ما نیاز داریم که تهدیدهای بالقوه در سرتاسر شبکه خود را مشاهده نماییم. بدون تواناییِ مشاهده‌پذیری، قادر نخواهیم بود که به سرعت تهدیدهای فعال را تشخیص دهیم و پیش از اینکه آسیبی را به شبکه وارد نمایند، آنها را حذف نماییم."
• منابع محدود: "ما بودجه، کارکنان و زمان محدودی را در رویارویی با تهدیدات سایبریِ مداوم داریم. مجموعه ما مستاصل است. تنها واکنش نشان می‌دهیم، با تهدیدها بازی می‌کنیم و تلاش می‌کنیم تا پابه‌پای آنها برویم به جای اینکه یک راهکار پایدار را برای این مسئله پرورش دهیم."

اغلب مواقع، سازمان‌ها به دنبال ابزارهای امنیتی جدید و پر زرق و برق هستند تا این مسائل را برطرف نماید. اما به جای افزودن ابزارهای بیشتر، آیا تا به حال پرسیده‌اید که فایروال شما چگونه می‌تواند در این فرآیند شما را یاری دهد؟

در این نوشته، نگرانی‌های بالا را بررسی می‌کنیم و نشان می‌دهیم که چگونه یک فایروال NGFW سیسکو ، به عنوان مولفه اصلی در سیستم دفاعی امنیت، یک راهکار را می‌تواند ارائه دهد. شما باید از فایروال خود خواسته‌های بیشتری داشته باشید. باید از خود بپرسید "آیا فایروال من می‌تواند چنین راهکاری را ارائه دهد؟".

در این قسمت به اولین نگرانی، یعنی جلوگیری از نفوذ، می‌پردازیم. امروزه سازمان‌ها در رویارویی با حملات و نفوذهای امنیتی مستمر، در رابطه با نفوذهای بزرگ بعدی در امنیت سایبری دلواپس هستند. یک نفوذ در سازمان می تواند به داده‌های حساس لطمه زند، اطمینان موجود نسبت به برندِ آن سازمان را از بین ببرد، شبکه را به هم بریزد و منجر به از دست رفتن بهره‌وری و میلیون‌ها دلار شود. چگونه یک فایروال سیسکو از نفوذها جلوگیری می‌کند و پویایی مجموعه شما را حفظ می‌کند؟

threat intelligence کاربردی می‌تواند تهدیدها را در مسیرهای موجودشان متوقف نماید

همه اینها با حضور بهترین threat intelligence آغاز می‌شود. فایروال به عنوان یک فیلتر و دروازه برای ترافیک شبکه عمل می‌کند، باید ترافیک شبکه و فایل‌ها را با استفاده از بزرگترین، قدرتمندترین و به‌روزترین threat intelligence موجود به دقت بررسی نماید. Cisco Talos برای فایروال NGFW سیسکو، threat intelligence را فراهم می‌کند. Cisco Talos بزرگترین تیم تجاری threat intelligence در جهان است که از بیش از 250 محقق، تحلیلگر و مهندس در سطح جهانی تشکیل می‌شود. این تیم از طریق سیستم‌های پیچیده و سنجش از راه دور بی‌نظیر پشتیبانی می‌شود تا یک threat intelligence کاربردی، سریع و با دقت را ایجاد نماید که به طور پیوسته و بدون هزینه به محصولات سیسکو (از جمله فایروال) فرستاده می‌شود. وسعت و عمق تحلیل‌ها و هوشمندی Talos سرسام‌آور است. برای نمونه:

• Talos تقریبا 200 میلیارد ایمیل مخرب را در یک روز مسدود می‌کند که تقریبا برابر با 2.3 میلیون مسدودی به ازای هر ثانیه است.
• Talos نزدیک به 17 میلیارد درخواست های وب را در هر روز بازرسی می‌کند.
• Talos از طریق کامپیال نمودن داده‌های به دست آمده به وسیله‌ی سنجش از راه دورِ محصولات در کنار honeypot ها[note]مجموعه‌ای از مکانیز‌های امنیت برای شناسایی و شکست دادن تهدیدها به نحوی است که تلاش‌های صورت گرفته برای استفاده غیرمجاز از سیستم‌های اطلاعاتی را خنثی نماید.[/note]، sandbox ها[note]مکانیزمی امنیتی برای تفکیک برنامه‌های در حال اجراست، در تلاش به جهت اینکه انتشارِ خطاهای سیستمی یا نقاط آسیب‌پذیر در نرم‌افزارها را کاهش دهد.[/note] و شرکای تجاری در حوزه بدافزار، بیش از 5 میلیون از نمونه‌های نرم‌افزاریِ مخرب را در یک روز تحلیل و گردآوری می‌کند.

Talos از این داده‌ها برای ایجاد حفاظت‌های امنیتی استفاده می‌کند تا از مشتریان سیسکو در برابر تهدیدهای نوظهور و شناخته شده دفاع نماید، پرده از نقاط آسیب‌پذیر جدید در نرم‌افزارهای رایج بردارد و پیش از آنکه تهدیدها بتوانند آسیبی را در سطح وسیعی از اینترنت گسترش دهند، آنها را باز می‌دارد.

سیستم IPS تعبیه شده برای مسدود کردنِ پیشگیرانه‌ی حملات

فایروال NGFW سیسکو همچنین قابلیت‌های NGIPS تعبیه شده‌ای را در خود پشتیبانی می‌کند. حال آنکه NGIPS وظایفی بیشتر از یک سیستم پیشگیری از نفوذ را انجام می‌دهد، NGIPS به عنوان ردیف اول سیستم دفاعی دربرابر حملات است. به دنبال نشان ویژه‌ی حملات شناخته شده می‌گردد و آنها را مسدود می‌کند، همچنین از یک لیست گسترده از پروتکل‌های شبکه استفاده می‌کند تا محدوده‌ی وسیع‌تری از حملات را شناسایی کند و آنها را به خوبی مسدود نماید. برای جلوگیری از نقاط آسیب‌پذیر، فایروال می‌تواند فایل‌های مشکوک را نشاندار کند، به منظور برملا کردن تهدیدهای تعریف شده آنها را تحلیل نماید و نقاط آسیب‌پذیرِ با اولویت بالاتر را اصلاح کند. هم اکنون شما نیازی به استقرار مجزای یک IPS ندارید، تمامی اینها بخشی از یک راهکار فایروال سیسکو با کنسول مدیریت واحد است.

نتیجه

ترکیب threat intelligence و عملیات IPS درون فایروال سیسکو نتایج بسیاری را معنا می‌دهد. برخی از بزرگترین نفوذهای چند سال اخیر از جمله WannaCry، Nyetya و VPNFilter را در نظر بگیرید. Cisco Talos تمامی اینها و همچنین نفوذهای دیگر را شناسایی کرد و از مشتریانِ فایروال سیسکو به طور اتوماتیک در برابر آنها حفاظت شد، بدون اینکه خودشان مجبور به انجام کاری شوند.

یه طور مثال شناسایی WannaCry را در نظر بگیرید. دو ماه پیش از اینکه این نفوذ در سطح وسیعی خسارت وارد نماید، Cisco Talos حفاظتی امنیتی در شکل یک قاعده Snort ایجاد کرد تا از محصولات در برابر WannaCry محافظت نماید. WannaCry در تاریخ 12 ماه می 2017 در صدر اخبار جهانی قرار گرفت. مشتریان فایروال NGFW سیسکو از مدت‌ها پیش در تاریخ 14 ماه مارس در برابر آن حفاظت می‌شدند. به این خاطر که WannaCry چندین نقطه ضعف شناخته شده از پیش را برای آسیب رساندن به سیستم‌ها به کار می‌بست. به واسطه‌ی قوانین IPS نوشته شده توسط Talos، که به منظور حمایت در برابر حملاتی است که در تلاشند تا از این نقاط آسیب‌پذیر بهره‌برداری کنند، مشتریان فایروال NGFW سیسکو به طور خودکار حمایت‌هایی را دریافت کردند. Talos از آن زمان تا کنون چندین نفوذ بسیار مهم دیگر را نیز بررسی و متوقف کرده است، تمامی این اطلاعات در گزارش هفتگی با نام “Threat roundup” در وبلاگ آنها فهرست‌بندی می‌شود.