فایروال Threat-Focused NGFW – قسمت اول
هوشیاری غیر منتظره
در ابتدا با برخی مفاهیم در غالب یک داستان شروع می کنیم.
من در قسمت بدی از شهر زندگی می کنم و همیشه نگران هستم که ماشینم دزدیده شود یا اینکه آسیب ببیند. بنابراین بیش از هزار دلار برای سیستم امنیتی (دزدگیر) ماشین سرمایه گذاری کردم. یکی از آن سیستم های فوق پیشرفته که به اپلیکیشنی بر روی گوشی هوشمند متصل است، شامل کلید اطفای حریق، ردیاب ماشین، دوربین ها و تشخیص حرکت می شود به اضافه ی همه ویژگی های متداولی که شما انتظار دارید. اگر کسی بدون کلید من وارد ماشین شود به تلفن من زنگ خواهد زد و حتی تصاویری از درون ماشین می گیرد. در نتیجه هنگامی که ماشینم را در خیابان پارک می کردم، احساس خیلی بهتری داشتم. شرکتی که به من آن سیستم را فروخته بود موجب شد من احساس کنم که ماشینم غیرقابل سرقت است و حتی اگر دزدیده شود، من تصاویری را از دزد ماشین دارم و او را به راحتی می توانم بیایم، این عالی است. احساس می کنم که از من محافظت شده است و اکنون شب را به راحتی می توانم سپری کنم.
یک روز صبح، بیرون رفتم و با منظره شگفت آوری روبرو شدم، ماشین نبود… سنسور ضربه و سیم هایش بریده شده و بر روی زمین، جایی که پیش از این ماشین قرار داشت افتاده بود. یادم می آید پیش از اینکه به انجام کاری فکر کنم، یک دقیقه کامل با دهانی باز آنجا ایستادم. گوشی خود را بررسی کردم هیچ تماسی نبود. به app نگاهی انداختم اما هیچ خبری از تصاویر یا تشخیص حرکت داخلی نبود. همه چیز نرمال به نظر می رسید. لعنت!! چطور این اتفاق افتاد؟ شرکت فروشنده ی زنگ خطر، به من تضمین داده بود که چنین چیزی غیرممکن است. آنها معروف ترین سیستم در بازار هستند – اقبال همه به این محصولات زیاد است. آن محصولات همه ویژگی های نوآورانه و بهترین را دارا هستند و هیچ کسی ساده تر از آنها امنیت خودرو را تامین نکرده است. و من برترین مدل، تنها سیستم ورود بیومتریک موجود، با انواع آلارم ها و زنگ ها را خریده بودم. شگفت آور بود!! چطور این اتفاق افتاد؟
من برای گزارش واقعه با پلیس تماس گرفتم تا در صورت امکان با استفاده از ردیاب ماشین گمشده ام را پیدا کنم اما فهمیدیم که ردیاب به اتصالی نیاز دارد که موجود نیست. App بی استفاده بود مگر اینکه چیزی آن را فعال می کرد و شرکت فروشنده کمک بیشتری نکرد. آنها گفتند: “به نظر می رسد که کسی واقعا ماشین شما را می خواست”. این داستان طولانی را کوتاه می کنم، ماشین 26 روز بعد سوخته و بی دیواره در مکزیک پیدا شد.
امنیت به سادگی به دست نمی آید
نتیجه این داستان دو چیز است. یک اینکه چنین چیزی با عنوان امنیت ساده در هر قیمتی وجود ندارد. به محض اینکه شما فکر می کنید که امنیتی به دست آورده اید، به طور غیرقابل باوری اتفاقی رخ می دهد. دوم اینکه هیچ حجمی از پیشگیری یا تشخیص نمی تواند بر انگیزه ها و نبوغ انسان غلبه کند. می دانیم که حمله کنندگان امروزی نوآوری های تکنولوژی کل صنعت را در دستان خود دارند (نبوغ نامحدود است). حمله کنندگان هر سال بیلیون ها دلار با سرقت اطلاعات ما به دست می آورند. چه انگیزه ای بهتر از پول است.
اما چرا این زمان را برای داستانی درمورد ماشین دزدیده شده ی من گذاشتیم؟ ساده است؛ این داستان نکته بسیار مهمی را نشان می دهد. آن سیستم امنیت خودرو uber-cool همانند بسیاری از محصولات امروزی NGFW، کار بزرگی را برای ایجاد احساس امنیتی محلی انجام می دهد. اگر فکر می کنید که تا به حال نفوذ به اطلاعات شما رخ نداده است، حقیقت این است که شما تاکنون آن را نیافته اید. مطمئن هستم هنگامی که بسته های جدید و پر زرق و برق فایروال را نصب می کنید و همه ی آن وعده ها را در اختیار دارید که کار با آنها به سادگی از طریق checkbox قابل انجام است، احساس بسیار خوبی دارید.
اگر فکر می کنید که یک فایروال NGFW با برخی ویژگی های پیشرفته از جمله شناسایی اپلیکیشن ها و کاربرها، دسته بندی URL ها و انجام برخی موارد پیشگیری از نفوذ، حمله کنندگان را از سرقت اطلاعات شما یا وضعیتی بدتر از آن باز می دارد، در نتیجه این محصولات کاملا برای شما ساخته شده اند. خیلی از مواقع NGFW های معمولی حتی به شما نخواهند گفت که چه چیزی رخ داده است چون برای این که از همه چیز آگاه باشد ساخته نشده است.
بی خبری سعادت است ؟
نه.
سعادت حافظت واقعی است. فروشندگان NGFW حیاتشان را بر روی ترس شما بنا می کنند و در همان لحظه به شما می گویند: “کسب امنیت آسان است”، ما از شما در برابر ناشناخته ها محافظت می کنیم و همه کاری که باید انجام دهید، نصب این باکس است، این لایسنس ها را بخرید و بر روی checkbox کلیک کنید. کسب محافظت واقعی آسان نیست. این محافظت هرگز انجام نشده است و نخواهد شد. اگر چنین بود، ما جنگ را در برابر حامیان تهدید برده بودیم، اما چنین نیست.
شما چه مسئول حفاظت از مدارک پزشکی، داده های مالی، اطلاعات طبقه بندی شده یا غیر از اینها باشید، حفاظت مسئولیت نهایی شماست. داده های شخصی من (و شما) بر روی شبکه شما هم هست و همراه با نفوذ در داده های شما دزدیده خواهد شد. گزارشی از اخبار جدید نشان می دهد که مشخصات شخصی من کمتر از 1 دلار آمریکا می ارزد و بیشتر داده های فروخته شده روی dark web دارای تضمین برگشت پول هستند.
آیا شما محافظت شده اید (و آماده اید)؟
چگونه به راهکارهای خود اعتماد دارید؟ چه مکانیزم هایی برای پیشگیری و قابلیت رویت در محل وجود دارد؟ آیا طرحی برای پاسخگویی به رویداد دارید؟ زمانی که نفوذ رخ می دهد، چه مدتی طول می کشد تا سازمان شما فعالیت پاسخگویی به رویداد را آماده و اجرا کند؟ آمارهای امروزه در صنعت کاملا شما را شگفت زده خواهند کرد. به طور عجیبی مضمون “بی خبری سعادت است” فراگیر شده است. شرکت ها شانس خود را بر روی ذخیره سازی و محاسبات می گذارند و تا حد امکان هزینه کمی برای امنیت داده صرف می شود. حمله کنندگان بر روی این عوامل حساب می کنند. در حقیقت چنین چیزی به عنوان “امنیت ارزان” وجود ندارد.
زمانی که چیزی اتفاق می افتد، سعادت واقعی توانایی درک کامل این است که چگونه، چرا، به وسیله چه کسی و دقیقا چه چیزی اتفاق افتاده است. مواردی نظیر شناسایی گستره نفوذ، میدان عمل و توانایی تضمین پیشگیری سریع، حیاتی هستند. اینها کمک می کنند که شب را به راحتی سپری کنید.
آماری وجود دارد که مدعی است بیشتر تهدیدها پیش از اینکه تشخیص داده شوند به طور میانگین 229 روز بر روی شبکه موجود بودند. چه مقداری از اکتشاف، توسعه و فشرده سازی وجود دارد که به چنین زمان زیادی برای تشخیص تهدید بر روی منابع ارزشمند شما نیاز است؟
در اینجا ما به مسئله اصلی رسیدیم. به وضوح اکثر مردم آماده نیستند، برخی حتی انکار می کنند. داشتن NGFW در لایه edge، برخی ابزارهای خوب برای واقعه نگاری و جرم شناسی، شاید SIEM و یک محصول endpoint که حداقل حفاظت AV را دارد، چیزهای هستند که خیال اکثر مردم را آسوده می کند زیرا کاری که می توانستند را انجام داده اند. بیایید فرض کنیم که این معیاری است و از آن جهت اثر می کند.
فراتر از سیاستی صرف
چشم انداز مرزها، در جایی که فایروال ها پیش از این در آن برجسته بودند، در طول سال ها به طور چشم گیری تغییر کرده است. خود مرز به علت تغییر مفهوم کار از لحاظ مکانی و موضوعی ناپدید شده است (شما ممکن است در هرمکانی باشید). هر مکانی که در آن و هر وسیله ای که با آن میتوانیم کار کنیم باید به عنوان مسیرهایی برای حمله در نظر گرفته شود.
بنابراین چرا فایروال threat-focused NGFW با ارزش به نظر می رسد؟ در مقایسه با threat-focused ، NGFW در حقیقت تنها درصد کمی از چیزی است که واقعا برای محافظت از شما انجام می شود. صنعت NGFW را به عنوان بسته ای واحد تعریف می کند که ساختارهای سیاستی پیشرفته ای را مبتنی بر فایروال های از نوع stateful، قابلیت رویت و کنترل اپلیکیشن، کنترل های مبتنی بر کاربر، امنیت محتوای وب یا برخی از URL ها و سیستم پیشگیری از نفوذ، فراهم می کند.
این برای دستگاه کنترل دسترسی مبتنی بر سیاست بسیار ساده به نظر می رسد. NGFW یا UTM به واسطه اعطای مجوز/ممنوعیت مبتنی بر هر ترکیبی از عناصر گفته شده در بالا، عمقی را برای سیاست گذاری فراهم می کند. مهم نیست که شما چگونه به آن می نگرید، مجوز/ممنوعیت، بدون توجه به عمق سیاست گذاری و هوشمندی، هنوز هم یک تصمیم گیری دوگانه است. تصویب کنید که چه چیزی باید مجاز شمرده شود و چه چیزی باید ممنوع شود؛ قطعا علم در اینجا به سرعت اوج نمی گیرد (نیاز به درگیری شما در آن وجود دارد). اکثر فروشندگان بازرسی ها و تصمیمات سیاست گذاری حاصله خود را به محصولات دیگری همچون sandboxing 1 یا Threat Intelligence 2 پیوند می دهند تا محتوایی اضافی را درباره داده های واقعی دیده شده فراهم کنند، به این منظور که تصمیم گیری دوگانه دقیق تری داشته باشند.
از دیدگاه شاغلان امنیت، سیاست ها قطعا بخشی از راهکار امنیتی است، اما این نقطه تقریبا جایی است که شاغلان کارشان را از سر می گیرند و آغاز می کنند. دستیابی به درک عمیقی از شاخص های عملکردی درون جریان ها و داده ها (حتی در ارتباطات ترکیبی)، فعالیت های ناهنجار endpoint، ناهنجاری های نوسانی پیش از اعلان به عنوان تهدید، کنترل های رویداد، مدیریت آسیب پذیری ها، کنترل های شیوع یا نفوذ و ترمیم، تنها چند چیزی هستند که برای شاغلان به عنوان “داشته های ضروری” در نظر گرفته شده اند. اجازه دهید که واقعه نگاری، گزارش گیری، جرم شناسی و ابزار correlation را فراموش نکنیم که به کارشناس امکان مدیریت همه ی این چیزها را می دهد. اینها به همان اندازه ی سیستم های فراهم کننده داده حیاتی هستند.
از آنجایی که بسیاری از سازمان ها رویکرد “بهترین نوع” را پیاده سازی می کنند، شاغلان به سرعت به کسی می توانند تبدیل شوند که از لحاظ ابزاری قوی اما از لحاظ اطلاعاتی ضعیف هستند و قطعا به تشخیص سریع و نابودی انواع تهدیدهای دیده شده ی امروزی توجه نمی کنند. این دلیلی بالقوه بر وجود میانگین 229 روز زمان تشخیص است. در این هنگام است که threat-focused NGFW واقعا می تواند کمک کند.
فاکتور دیگریِ که به نظر می رسد مکررا توسط NGFW نادیده گرفته می شود این است که واقعا تا چه حدی مقصد حمله شناخته می شود. چگونه کسی بداند که چه چیزی در خطر است مگر اینکه شما مجموعه ای از agent ها را روی هر کلاینت (window، Mac، Linux، iOS، Android و …) اجرا کنید؟ برای مثال، آیا من یک کلاینت AV، یک Anti-Malware agent، یک ردیاب فرآیند و … را روی هر کلاینتی اجرا می کنم؟ در حالی که ممکن است این از دیدگاه visibility مطلوب باشد، فرسودگی agent از جمله نتایج حاصله از آن است و هر OS نمی تواند در سطحی یکسان پوشش داده شود، هر فروشنده محدودیت های خودش را برای پشتیبانی از کلاینت دارد. صرف نظر از پیشینه، واقعیت این است که دستیابی به فهم عمیق از مقصد تنها راهی است که داده تولید شده می تواند از همه ابزارها با سطح بالایی از قابلیت اطمینان استفاده کند. این مسئله به کارکنان اجازه می دهد که بر روی رویدادهایی تمرکز کنند که صحتشان تایید شده است و به آنها توانایی اولویت دهی به تلاش ها و فعالیت هایشان را بر طبق بزرگترین خطرات می دهد. Noise، دشمن آن حفاظتی است که قابلیتی برای تشخیص هوشمندانه خطر و تاثیرش ندارد. Noise رویدادی طبیعی بود و منجربه ابهام می شد که چه رویدادهایی از هزاران رویداد نیاز به بررسی دارند یا مورد سوظن اصلی هستند. بنابراین وجود سیستمی که می تواند به طور صحیحی خطرات را ارزیابی کند،بازدارنگی پویا داشته باشد و مبتنی بر آنچه که در حال وقوع است در سیاست گذاری اصلاحاتی را ایجاد کند، سعادتی کامل است.
در قسمت دوم، تعریفی از treat-focused NGFW، یک NGFW یکپارچه شده با دفاع در برابر تهدیدها ارائه خواهد شد.
نویسنده: مایک استورم