«تور امنیت سایبری» چیست و اشاره به چه مفهومی دارد؟

عصر نوین بر این نکته تاکید دارد که سازمان‌ها باید از حداکثر توان تجهیزات به بهترین شکل استفاده کنند و علاوه بر این، از فضای ابری و مراکز داده برای دستیابی به قابلیت‌های کارآمدتر استفاده کنند. به بیان دقیق‌تر، در عصر جدید منابع اطلاعاتی و داده‌ها محدود به محیط درون‌سازمانی نیستند و جالب آن‌که دورکاری نیز باعث شده تا بخش زیادی از کارکنان از خارج شبکه اصلی شرکت به داده‌ها و اطلاعات سازمانی دسترسی پیدا کنند. وابستگی روزافزون به منابع برون‌سازمانی در تعامل با استفاده بهینه از منابع درون‌سازمانی باعث شده تا الزامات دنیای امنیت دستخوش تغییراتی شوند. تغییراتی که منجر به شکل‌گیری مفهومی شده که «تور امنیت سایبری» (Cybersecurity Mesh) نام دارد. تور امنیت سایبری یکی از مفاهیم کمتر شنیده‌شده دنیای امنیت است که برخی کارشناسان امنیتی در مورد آن اطلاع کمی دارند، اما در جلسات تحلیل‌گران و گردهمایی‌های بین‌المللی به‌شکل مشروح مورد بررسی قرار می‌گیرد. در این مقاله قصد داریم به واکاوی این مفهوم دنیای امنیت بپردازیم. 

مطلب پیشنهادی

شغلی جذاب در حوزه امنیت

چگونه به یک مهندس امنیت سایبری تبدیل شویم

تور امنیت سایبری چیست؟

معماری تور امنیت سایبری CSMA سرنام Cybersecurity Mesh Architecture یک استراتژی امنیتی است. گارتنر در خصوص توضیح این فناوری می‌گوید: «معماری تور امنیت سایبری با طراحی و پیاده‌سازی یک زیرساخت امنیت فناوری اطلاعات به‌وجود می‌آید و هدفش این است که نه‌تنها یک محیط واحد پیرامون همه گره‌ها یا دستگاه‌های شبکه فناوری اطلاعات ایجاد کند، بلکه برای هر نقطه دسترسی یک محیط کوچک‌تر منحصربه‌فرد ایجاد کند تا بتوان به‌شکل دقیق‌تری بر آن نظارت کرد». به‌طور کلی، معماری تور امنیت سایبری، روش‌های سنتی پیاده‌سازی لایه‌های مختلف امنیتی را کنار می‌گذارد و متمرکز بر نقاط دسترسی و دارایی‌های حیاتی می‌شود تا اطمینان دهد معماری امنیتی از همه نقاط در برابر رخنه‌های احتمالی محافظت می‌کند. 

استراتژی تور امنیت سایبری کارآمد است؟

آمارها نشان می‌دهند استراتژی فوق به‌شکل قابل توجهی قادر به دفع حمله‌های سایبری است. ارزیابی حمله‌های سایبری اخیر نشان می‌دهد هکرها دیگر تمایل چندانی برای نفوذ به نقاط خارج از شبکه ارتباطی سازمان ندارند و به‌دنبال ساخت راه‌هایی برای نفوذ به نقاط دسترسی و حرکت عرضی در زیرساخت سازمان هستند تا به ارزشمندترین داده‌ها، دارایی‌ها یا سیستم‌های سازمان نفوذ کنند. در حال حاضر دسترسی به هر نقطه پایانی به‌شکل فردی برای هکرها جذاب است و نقاط دسترسی شخص ثالث در گروه آسیب‌پذیرترین نقاط شرکت قرار می‌گیرند. به این ترتیب هدف قرار دادن اشخاص ثالث‌، به‌‌ویژه در زیرساخت‌های حیاتی صنایعی مثل مراقبت‌های بهداشتی و تولیدی برای هکرها ارزشمندتر است. بر مبنای این تعریف باید بگوییم تور امنیت سایبری، یک رویکرد توزیعی برای کنترل و حفظ امنیت فضای سایبری به‌گونه‌ای مقیاس‌پذیر و انعطاف‌پذیر است که تاکید خاصی بر دسترس‌پذیری به دارایی‌های سازمانی دارد. الگوی مش همان‌گونه که از نامش مشخص است، شبیه به شبکه تارهای درهم‌تنیده‌شده یک عنکبوت عمل می‌کند و به‌جای این‌که روی محافظت از یک محیط فناوری اطلاعات سنتی در مقیاس محدود متمرکز شود، روی محیطی گسترده‌تر متمرکز است. در این‌جا نکته ظریفی وجود دارد؛ این معماری تاکید خاصی بر حفظ و هماهنگی خط‌مشی‌های سازمانی به‌شکل متمرکز دارد، اما سعی می‌کند این خط‌مشی‌ها را به‌شکل توزیعی و پراکنده اجرا کند. 

در چنین شرایطی واحدهای فناوری اطلاعات قادر به پیاده‌سازی محیط‌های کوچک و منفرد هستند تا بتوانند از نقاط دسترسی پراکنده محافظت کنند. به بیان دقیق‌تر، افراد خارج از شرکت که قصد ارتباط با زیرساخت سازمان را دارند، هرکدام یک محیط محافظت‌شده برای دسترسی به شبکه دارند و مدیران فناوری اطلاعات برای هر کدام سطوح دسترسی خاصی را تعریف می‌کنند. 

گارتنر پیش‌بینی می‌کند تا سال 2023 میلادی سازمان‌هایی که معماری تور امنیتی را پیاده‌سازی کنند، به میزان 90 درصد آسیب اقتصادی کمتری را از حمله‌های سایبری تجربه خواهند کرد. چنین آمار و ارقامی منطقی به‌نظر می‌رسد، زیرا اگر هکری به سیستمی نفوذ کند که همه نقاط دسترسی داخلی آن محافظت شده باشند راهی برای نفوذ به سازمان یا حرکت به‌سمت لایه‌های زیرین شبکه سازمانی نخواهد داشت. به این ترتیب محدوده سطح حمله به صفر می‌رسد.

مطلب پیشنهادی

راهنمای گواهی‌نامه‌ها و دوره‌های آموزشی امنیت سایبری

سازمان‌ها بر مبنای چه الگویی قادر به پیاده‌سازی معماری تور امنیت سایبری هستند؟

در استراتژی فوق، «دسترسی» یک واژه کاملا کلیدی است. بر همین اساس، ضروری است با مراحلی که برای ایمن‌سازی نقاط پایانی و ساخت زیرساخت امنیت سایبری پیشرفته‌تر و متصل‌تر به آن نیاز داریم، آشنا شویم. 

• در مرحله اول، باید نقاط دسترسی سازمان را شناسایی کنید و برای آن‌ها خط‌مشی دسترسی پیاده‌سازی کنید. آشنایی با دارایی‌های مهم سازمان و آسیب‌پذیری‌های آن‌ها (به‌طور مثال، اتصال به یک نقطه دسترسی شخص ثالث) کمک می‌کند تا بهترین محل برای استقرار ابزارهای امنیتی را شناسایی کنید. 
• در مرحله دوم، برای اعمال محدودیت در دسترسی به منابع باید از روش‌های کنترل دسترسی مثل احراز هویت چند مرحله‌ای و رویکرد «اعتماد صفر» استفاده کنید. کنترل دسترسی به دارایی‌ها، داده‌ها و سیستم‌های ارزشمند، ساده‌ترین روش برای پیشگیری از حرکت عرضی هکرها در شبکه در صورت نفوذ به یک نقطه خاص است.
• در مرحله سوم، همه دسترسی‌ها باید تحت کنترل باشند. با استفاده از روش‌های مختلف مثل ثبت لحظه‌ای نشست‌های فعال، تحلیل واکنشی و بازبینی‌های منظم می‌توانید به اطلاعات موردنیاز برای پیشگیری از نفوذ به شبکه دست پیدا کنید. 

استراتژی اعتماد صفر (Zero Trust)

تور امنیت سایبری بر مبنای پیاده‌سازی یک اصل مهم که ساخت «شبکه‌‌ با اعتماد صفر» (Zero Trust Network) است، متمرکز است. به بیان دقیق‌تر، شبکه با اعتماد صفر، یک مدل امنیتی مدیریت و کنترل شبکه است که توسط سازمان‌های بزرگی که دارایی‌های حساسی دارند، مانند سازمان‌های فعال در امور مالی، مورد استفاده قرار می‌گیرد. این شبکه به هیچ ماشین، سرویس یا شخصی در شبکه اعتماد نمی‌کند و همواره به این نکته تاکید دارد که در تمام مراحل و از هر نقطه‌ای، کاربران برون و درون سازمانی و دستگاه‌ها که قصد اتصال به شبکه را دارند باید احراز و تایید هویت شوند. 

بر مبنای این دیدگاه، هیچ دستگاهی به‌شکل پیش‌فرض امکان دسترسی به شبکه را ندارد. امنیت مبتنی بر محیط در بیشتر موارد با مشکلات جدی روبه‌رو می‌شود، به‌طوری‌که نزدیک به 34 درصد نشت داده‌ها و نفوذ به شبکه از درون خود شبکه اتفاق می‌افتد. تور امنیت سایبری با استفاده از مدل اعتماد صفر، با تهدید‌های نوین مقابله کرده و به نیازهای متفاوت برای دسترسی به شبکه پاسخ می‌دهد. بر مبنای معماری تور امنیت سایبری می‌توان تهدید‌ها را به‌شکل لحظه‌ای شناسایی کرد و به‌جای استفاده از یک رمز عبور ساده، به‌شکل بهتری از داده‌ها و دیگر دارایی‌های شرکت محافظت کرد. تور امنیتی تضمین می‌کند که تمام داده‌ها، سیستم‌ها و تجهیزات به‌شکل یکسان و امن محافظت می‌شوند. به بیان دقیق‌تر، مهم نیست دارایی‌ها داخل یا خارج از شبکه سازمانی قرار داشته باشند، در هر دو حالت، به بهترین شکل از دارایی‌ها محافظت می‌شود. در چنین شرایطی هرگونه تلاشی برای دسترسی به داده‌ها به‌شکل پیش‌فرض غیرمعتبر در نظر گرفته می‌شود تا زمانی که پروتکل امنیتی اعتبار این دسترسی و اتصال را تایید کند.

مطلب پیشنهادی

برترين گواهینامه‌های InfoSec

معرفی مدارک و دوره‌های امنیت که هر کارشناس امنیتی به آن‌ها نیاز دارد

تور امنیت سایبری چه تاثیری بر توسعه فناوری اطلاعات دارد؟ 

در مکانیزم‌ها و الگوهای سنتی امنیت سایبری هنگامی که اجازه دسترسی به یک شبکه صادر می‌شود، در عمل به بخش‌های مختلفی از محیط دسترسی خواهید داشت و تنها عامل محافظت از شبکه، رمز عبور و سطوح دسترسی است که توسط مدیر شبکه تعریف می‌شود. تور امنیت سایبری فرآیند پیکربندی را به‌طور کامل دست‌خوش تغییر کرده و راهکارهای متفاوتی برای توسعه و محافظت از شبکه را پیشنهاد می‌کند. به بیان دقیق‌تر، امنیت فناوری اطلاعات، دیگر مرحله‌ای پس از ساخت شبکه نیست و در همان زمان طراحی ساختار شبکه مورد توجه قرار می‌گیرد. 

استفاده از تور امنیت سایبری چه مزایایی برای شرکت‌ها دارد؟

گارتنر به شرکت‌ها پیشنهاد می‌کند برای مدیریت بهتر مهم‌ترین تهدیدات سایبری و افزایش امنیت در حوزه فناوری اطلاعات از مکانیزم‌های اثبات هویت، مدیریت دسترسی، خدمات حرفه‌ای مدیریت هویت و دسترسی (IAM) و اثبات هویت از روش غیرمتمرکز استفاده کنند. تور امنیت سایبری به روش‌های زیر به شرکت‌ها در این زمینه کمک می‌کنند. 

تور امنیت سایبری توانایی پشتیبانی از نیمی از درخواست‌های IAM را دارد

• بیشتر دارایی‌های دیجیتال، هویت‌ها و دستگاه‌ها خارج از محل شرکت قرار دارند که باعث می‌شوند حفظ امنیت شبکه بر مبنای الگوهای سنتی سخت باشد. گارتنر می‌گوید: «تور امنیت سایبری توانایی رسیدگی به بیشتر درخواست‌های IAM را دارد و اجازه می‌دهد مدیریت دسترسی و تخصیص مجوزها به کاربران راه دور به‌شکل ساده‌تری انجام شود.»

ارائه خدمات IAM، تعداد ارائه‌دهندگان خدمات مدیریت امنیتی (MSSPها) را بیشتر می‌کند

• شرکت‌های ارائه‌دهنده خدمات مدیریت امنیت (MSSP) می‌توانند منابع مناسب و مهارت‌های لازم را برای برنامه‌ریزی، توسعه و اجرای راه‌حل‌های جامع مدیریت هویت و دسترسی (IAM) در اختیار شرکت‌ها بگذارند. گارتنر پیش‌بینی کرده تا سال 2023 چهل درصد وظایف این حوزه به این شرکت‌ها واگذار می‌شود. همین مسئله باعث خواهد شد تعداد فروشندگان محصولاتی که برنامه‌های منفرد در حوزه امنیت ارائه می‌دهند کاهش پیدا کند و در مقابل تعداد ارائه‌دهندگان خدمات مدیریت امنیت، بیشتر شود.  

ابزار‌های اثبات هویت به چرخه تایید هویت نیروی کار اضافه می‌شوند

• افزایش چشم‌گیر همکاری‌های از راه دور، بیش از قبل نیازمند تدابیر امنیتی و فرایند احیا و بهبود است. در فضای دورکاری تشخیص مهاجم از کاربر واقعی سخت است. گارتنر می‌گوید: «تا سال 2024، سی درصد شرکت‌های بزرگ برای برطرف کردن نقاط ضعفی که در فرآیند اثبات هویت نیروی کار دارند، از ابزار‌های جدیدی برای اثبات هویت استفاده می‌کنند.»

استاندارد‌های هویت غیر‌متمرکز ظهور خواهند کرد 

• محافظت از حریم خصوصی و امنیت با رویکردی متمرکز برای مدیریت داده‌های هویتی، فرآیند سخت و پیچیده‌ای است. درست در همین نقطه است که فناوری زنجیره بلوکی به میدان وارد می‌شود. اگر به یاد داشته باشید در ماهنامه شبکه شماره 242  فصل امنیت، مقاله‌ای تحت عنوان «به‌کارگیری زنجیره بلوکی در امنیت سایبری چه معنایی دارد» داشتیم و به این نکته اشاره کردیم که شرکت‌ها به‌دنبال به‌کارگیری فناوری زنجیره بلوکی در صنعت امنیت سایبری هستند. با استفاده از مدل غیر‌متمرکزی که امنیت سایبری بر مبنای الگوی مش از آن استفاده خواهد کرد، کارشناسان امنیتی می‌توانند از حریم خصوصی به بهترین شکل محافظت کنند و با درخواست اطلاعات حداقلی از شخصی که می‌خواهد به شبکه دسترسی داشته باشد، هویت و دسترسی فرد را تایید کنند. گارتنر پیش‌بینی کرده است که برای رفع نیاز‌های شخصی، اجتماعی و امکان استفاده از منابع سازمانی به بهترین شکل، ضروری است که استانداردی جهانی برای هویت غیر متمرکز ایجاد شود.  

شفاف‌سازی بیشتری درباره ابزارهای هماهنگ‌سازی، اتوماسیون و واکنش امنیتی انجام خواهد گرفت

ابزارهای هماهنگ‌سازی، اتوماسیون و واکنش امنیتی (SOAR) سرنام Security Orchestration, Automation and Response هنوز در حال توسعه هستند. از این‌رو تیم‌های مرکز عملیات امنیتی برداشت‌های اشتباهی در مورد محدوده عملکرد و اثربخشی آن‌ها دارند. به‌طور مثال، در حال حاضر قابلیت خودکارسازی همه فعالیت‌ها و فرایندهای امنیتی وجود ندارد. برخی از عملیات امنیتی نیازمند نظارت‌های پیوسته و تایید دستی هستند. حتا درباره حمله‌های فیشینگ هم سازمان باید توازنی بین اتوماسیون ماشین‌محور و تصمیم‌گیری انسانی برقرار کند. تصمیم‌گیری درباره مخرب بودن یک ایمیل فقط توسط یک متخصص قابل انجام است، اما امکان خودکارسازی اقدامات ابتدایی و قرنطینه‌های نهایی وجود دارد. 

بر مبنای یک اصل اثبات‌شده در مورد خودکارسازی، ماشین‌ها عملکرد بهتری در زمینه انجام عملیات تکراری دارند. درباره هشدارها، تشخیص‌های مثبت کاذب و تکراری بخش قابل توجهی از زمان تیم‌های مرکز عملیات امنیتی را به خود اختصاص می‌دهند. خودکارسازی می‌تواند معضل زمان تلف‌شده را حل کند. به‌طور معمول، تحلیل‌گران بخش عمده‌ای از وقت خود را برای کپی و پیست اطلاعات بین ابزارهای شناسایی مختلف صرف می‌کنند. در این‌جا، هشداردهی و به‌روزرسانی‌ها در گروه کارهای تکراری قرار می‌گیرند که نیاز به تفکر زیادی ندارند، در نتیجه خودکارسازی مفید خواهد بود. نکته‌ای که باید در این بخش به آن اشاره داشته باشیم این است که ابزارهای هماهنگ‌سازی امنیتی و ابزارهای SIEM شباهت‌های زیادی دارند. SIEM به جمع‌آوری داده‌های ماشینی، ارتباط‌دهی و تجمیع داده‌ها می‌پردازد، اما قابلیت هماهنگ‌سازی واکنش به هشدارها و غنی‌سازی هشدارها را ندارند. از این‌رو، ابزارهای هماهنگ‌سازی امنیتی می‌توانند واکنش‌های چند محصول به هشدارها را هماهنگ‌سازی و خودکارسازی کنند، اما امکان تشخیص هشدارها در همان گام اول را ندارند. در این حالت SIEM داده‌های پراکنده را جمع‌آوری کرده و در قالب هشدار تجمیع می‌کند و ابزارهای هماهنگ‌سازی امنیتی، هشدارها را دریافت و واکنش‌دهی را خط‌دهی می‌کنند.

کلام آخر

سازمان‌ها با انجام این مراحل ساده، در صورت وقوع حمله قادر به ارزیابی و تحلیل وضعیت و بازگرداندن شرایط به حالت عادی هستند. تور امنیت سایبری به این مسئله مهم اشاره دارد که باید نظارت دقیقی بر روابط اشخاص ثالث با سازمان داشته باشید. اشخاص ثالث و زنجیره تامین از نقاط ضعف‌ سازمان‌ها هستند. بر اساس پژوهش‌های انجام‌شده، بیش از 50 درصد سازمان‌ها حداقل یک رخنه امنیتی در اثر ضعف امنیتی اشخاص ثالث را تجربه کرده‌اند. از این‌رو، سازمان‌ها باید کنترل بهتری بر اشخاص ثالث و کاربرانی داشته باشند که مرتبط با زیرساخت‌های ارتباطی هستند. با توجه به این‌که بخش منابع انسانی قادر به نظارت بر این ارتباطات نیست، سازمان‌ها باید از راهکارهای نرم‌افزاری برای کنترل دسترسی اشخاص ثالث به سرویس‌های سازمانی استفاده کنند.