کسب و کارهای شما همواره از جهات مختلف با تهدیدات مختلفی روبرو میشوند. هر چه کاربران، دستگاهها و برنامههای کاربردی بیشتری را به کسب و کار خود اضافه کنید، شبکه شما هم آسیبپذیرتر میشود.
امنیت شبکه شامل تمام فعالیتهایی است که برای حفاظت از کاربردپذیری و صحّت شبکه و دادههای شما طراحی شدهاند. این حوزه هم فناوریهای سختافزاری و هم فناوریهای نرمافزاری را در بر میگیرد. در امنیت مؤثر برای شبکه، دسترسیها را کنترل میکنند. در اینگونه شبکهها تهدیدات مختلف را هدف گرفته و اجازه نمیدهند که این تهدیدات به شبکه وارد شده یا در آن پخش شوند.
در امنیت شبکه، چندین لایه دفاعی در لبه edge و در خود شبکه با هم ترکیب شده و در کنار هم کار میکنند. در هر لایه از شبکه نیز سیاستها policies و کنترلهای مختلفی اجرا میشوند. کاربران مجاز به منابع شبکه دسترسی دارند، اما دسترسی بازیگران مخرب به منابع شبکه مسدود است تا نتوانند از منابع سوء استفاده کرده یا تهدیداتی را به شبکه وارد کنند.
دیجیتالیکردن دنیا را متحول ساخته است. نحوه زندگی، کارکردن، بازی و یادگیری برای ما همه و همه تغییر کردهاست. همه سازمانهایی که میخواهند خدماتی را به مشتریان و کارمندان خود ارائه کنند، باید از شبکه خود حفاظت کنند. با استفاده از امنیت شبکه میتوانید از اطلاعات شخصی و اختصاصی خود هم محافظت و مراقبت کنید. در نهایت اینکه امنیت شبکه از شهرت و اعتبار شما هم محافظت میکند.
اکنون که مبانی امنیت شبکه را یاد گرفتید، شش گام را توضیح میدهیم که با استفاده از آنها میتوانید یک راهکار امنیتی جامع و فراگیر برای حفاظت از کسب و کارهای کوچک خود فراهم کنید.
ترافیک ورودی به شبکه و خروجی از فایروال خود را پایش کرده و تمامی گزارشات آن را به دقت بخوانید. منتظر اعلام هشدار برای فعالیتهای خطرناک نباشید. حتماً یک نفر در تیم خود داشته باشید که دادهها را میشناسد و برای اقدامات ضروری آماده است.
همواره به تهدیدات جدیدی که کشف شده و بر روی سایتها به صورت آنلاین اعلام میشوند، توجه داشته باشید. مثلاً سایت Trend Micro’s TrendWatch همواره تهدیدات روز را اعلام میکند. میتوانید ایمیلهای تیم آمادگی در برابر شرایط اضطراری کامپیوتری (US-CERT که بخشی از سازمان امنیت سرزمین در ایالات متحده است) را هم دریافت کنید. آسیبپذیریها و سوء استفادههای امنیتی (exploits) جدید از طریق این ایمیلها به اطلاع شما میرسند.
در ایران نیز مرکز ماهر به صورت روزانه اخبار مربوط به آسیب پذیری های نوین را اطلاع رسانی میکند. یکی دیگر از سایتهای مناسب برای بررسی آمار و اطلاعات آسیب پذیری ها سامانه آوا می باشد.
(برای اطلاعات بیشتر در این زمینه می توانید مقاله 10 تکنیک برتر حفاظت در برابر بد افزار را مطالعه کنید.)
برای آنکه تهدیدات نتوانند به شبکه شما وارد شوند، باید یک لایه دفاعی قدرتمند در خط مقدم شبکه خود پیاده کنید. این خط مقدم، همان لبه شبکه edge of the network شما است. حتماً دقت داشته باشید که نرمافزارهای فایروال و آنتیویروسهای شما مرتباً به روز میشوند و همواره به روز هستند.
یک برنامه منظم برای آموزش کارمندان داشته باشید تا همواره از تغییراتی که در سیاستها policies مورد قبول خود میدهید، آگاه شوند. از روش «نگهبانی توسط همسایه» (neighborhood watch) نیز برای برقراری امنیت استفاده کنید. اگر کارمند شما با یک وضعیت مشکوک روبرو شود، مثلاً اگر نمیتواند به ایمیل خود وارد شود، باید بلافاصله این وضعیت را به شخص درست و مناسب اطلاع دهد.
یک راهکار مناسب برای حفاظت از دادههای خود نصب کنید. اگر امنیت شبکه شما به خطر افتاده و نقض شود، این دستگاهها کمک میکنند تا دادههای کسب و کار شما از دست نروند.
پیشنهاد میکنیم راهکارهای Dell EMC Power Protect و مترونود Dell EMC را مطالعه نمایید.
از راهکارهای امنیتی اضافی دیگری هم استفاده کنید تا از شبکه شما بیشتر حفاظت شود و قابلیتهای شرکت شما افزایش یابد.
انواع مختلفی از راهکارهای امنیتی وجود دارند که میتوانید از آنها استفاده کنید:
کنترل دسترسی: همه کاربرها نباید به شبکه شما دسترسی داشته باشند. برای آنکه بتوانید از ورود مهاجمین پیشگیری کنید، باید تمام کاربران و همه دستگاههای خود را بشناسید. پس از آن است که میتوانید سیاستها policies امنیتی خود را اجرا کنید. شما باید تمام دستگاههای نقطه انتهایی که سیاستها policies شما را رعایت نمیکنند، مسدود کرده یا فقط دسترسیهای محدودی به آنها بدهید.
آنتیویروسها و نرمافزارهای ضد بدافزار: «بدافزار»(Malware) که عملاً مخفف کلمه «نرمافزار مخرب» است، شامل همان ویروسها، کرمها، تروجانها، باجافزارها (ransomware) و جاسوسافزارها (spyware) است. بعضی وقتها یک بدافزار شبکه شما را درگیر میکند، اما روزها یا حتی هفتهها در شبکه شما مخفی باقی میماند. برنامههای خوب ضد بدافزار، نه تنها بدافزارها را به محض ورود تشخیص داده و اسکن میکنند، بلکه همواره فایلها را پس از تشخیص بدافزار ردیابی میکنند تا رفتارهای غیرعادی آنها را بیابند، بدافزارها را از بین برده و آسیبهای وارده را اصلاح کنند.
امنیت برنامههای کاربردی (application): تمام نرمافزارهایی که در کسب و کار خود به کار میگیرید، باید محافظت شوند و فرقی نمیکند که این محافظت را کارکنان IT شما انجام میدهند یا اینکه امنیت را از بیرون تأمین میکنید. متأسفانه، همه برنامههای کاربردی حفرهها و آسیبپذیریهایی دارند که مهاجمین از آنها برای نفوذ به شبکه شما استفاده میکنند. امنیت برنامههای کاربردی شامل سختافزارها، نرمافزارها و فرآیندهایی است که از آنها برای رفع این حفرهها استفاده میکنید.
تحلیل رفتار: برای آنکه بتوانید رفتارهای غیرعادی در شبکه را بشناسید، باید بدانید که رفتار عادی به چه شکلی است. ابزارهای تحلیل رفتار، فعالیتهایی که نسبت به وضعیت عادی منحرف میشوند را به صورت خودکار تشخیص میدهند. پس از تشخیص رفتار غیرعادی، تیم امنیت شما میتواند مواردی که منجر به مشکل میشوند را بهتر تشخیص داده و تهدیدات را به سرعت برطرف نماید.
جلوگیری از «از دسترفتن داده» (Data loss prevention): سازمان باید تدابیری داشته باشند تا مطمئن شوند که کارکنان آنها اطلاعات حساس سازمان را به جایی خارج از شبکه ارسال نمیکنند. فناوریهایی که از آنها برای پیشگیری از «از دسترفتن داده» یا DLP استفاده میشود، اجازه نمیدهند که افراد اطلاعات حیاتی را به شیوهای غیرامن بارگذاری کرده، فوروارد نموده یا حتی پرینت بگیرند.
فایروالها: فایروال، مانعی را بین شبکه معتمد داخلی با شبکههای غیرمعتمد بیرونی مانند اینترنت ایجاد میکند. در فایروالها از مجموعهای از قواعد تعریفشده استفاده میشود تا ترافیک داده مجاز شده یا مسدود شود. فایروال به صورت سختافزاری، نرمافزاری یا ترکیبی از هر دو حالت است. شرکت سیسکو دستگاههای مدیریت تهدید یکپارچه (UTM) (unified threat management) و فایروالهای نسل بعدی مبتنی بر تهدید (threat-focused next-generation firewalls (NGFW)) ارائه کرده است.
برای اشنایی بیشتر با فایروال ها میتوانید مقاله فایروال چیست؟ رو مطالعه کنید.
سیستمهای پیشگیری از نفوذ (Intrusion prevention systems): سیستمهای پیشگیری از نفوذ (IPS) ترافیک شبکه را اسکن کرده و حملات را به شکل فعال مسدود میکنند. در دستگاههای IPS نسل بعدی (NGIPS) شرکت سیسکو، از حجم وسیعی از اطلاعات تهدید در سطح جهان استفاده شده و بر اساس آنها فعالیتهای مخرب مسدود میشوند. در این سیستمها پیشرفت فایلهای مشکوک و بدافزارها در شبکه ردیابی میشود تا از انتشار این فایلها در شبکه و درگیرشدن مجدد آن جلوگیری شود.
امنیت دستگاههای موبایل: امروزه مجرمین سایبری، بیش از پیش به دستگاهها و اپلیکیشنهای موبایلی حمله میکنند. ظرف مدت 3 سال آینده، 90 درصد از شرکتهای IT نرمافزارهای کاربردی خود را بر روی دستگاههای شخصی موبایل ارائه خواهند کرد. بنابراین، حتماً باید بدانید که چه دستگاههایی به شبکه شما وصل میشوند. همچنین باید اتصالات شبکه خود را هم به شکلی تنظیم کنید که ترافیک شبکه شما به صورت خصوصی باشد.
بخشبندی شبکه (network segmentation): در بخشبندی بر اساس نرمافزار، ترافیک شبکه در دستههای مختلفی قرار گرفته و امکان اعمال سیاستها policies امنیتی راحتتر میشود. ایدآل آن است که این دستهبندیها را بر اساس موجودیت نقطه انتهایی و نه فقط بر اساس آدرسهای IP انجام دهید. میتوانید حقوق دسترسی را بر اساس نقش، محل و چیزهایی شبیه به اینها تعریف کنید تا سطح دسترسیهای درست به افراد درست تخصیص داده شده و دستگاههای مشکوک، محدود شده و برطرف شوند.
VPN: در شبکههای خصوصی مجازی (virtual private network) اتصال بین نقطه انتهایی تا شبکه که معمولاً بر روی اینترنت برقرار میشود را امن میسازند. در VPN دسترسی از راه دور (remote-access VPN)، به منظور احراز هویت ارتباطات بین دستگاه و شبکه از پروتکلهای IPsec یا لایه سوکت امن (Secure Sockets Layer) استفاده میشود.
امنیت وب: راهکارهای امنیتی وب، استفاده از وب توسط کارکنان شما را کنترل میکنند، تهدیدات وارده از وب را مسدود ساخته و از دسترسی به وبسایتهای مخرب پیشگیری میکنند. این راهکارها از دروازه وب (web gateway) شما در سایت یا بر روی ابر حفاظت میکنند. به گامهایی که شما برای حفاظت از وبسایت خود بر میدارید هم «امنیت وب» گفته میشود.
بخش IT سازمان شما باید مسائل را به سرعت تشخیص داده و کنترل کند. نقضهای امنیتی رخ میدهند. با استفاده از این چکلیست میتوانید احتمال وقوع را کم کنید، اما هیچ راهکاری وجود ندارد که بتواند به طور کامل جلوی نفوذ را بگیرد. شما باید سیستم و راهکاری برقرار سازید که مسائل شبکه را تشخیص داده و کنترل کند.
چنانچه قصد امنسازی شبکه خود را دارید، میتوانید از متخصصین افق داده ها کمک بگیرید. این متخصصین در ارزیابی و طراحی شبکه و تأمین مالی و پیادهسازی راهکارها به شما کمک میکنند. این متخصصین، در محل از شما پشتیبانی کرده و سرویسهای شما را هم مدیریت میکنند.
آمادهاید که شروع کنید؟ با یکی از متخصصین صحبت کنید تا در خصوص نیازمندیهای امنیتی و شبکه، شما را راهنمایی کند.