اتفاقات روزمره ، اخبار مهم و دیگر مطالب میهن وب هاست را می توانید در این قسمت مطالعه کنید

Network security بسیاری از فناوری‌ها، دستگاه‌ها و حتی فرایندها را پوشش می دهد. در واقع Network security شامل مجموعه‌ای از قوانین، سیاست‌گذاری‌ها و تنظیمات امنیتی است که یکپارچگی، محرمانگی اطلاعات و دسترسی‌پذیری به داده‌ها را به صورت ایمن و محافظت‌شده، ممکن می‌سازند. امنیت شبکه یا Network security از داده‌ها در برابر حملات محافظت نموده و تضمین می‌کند که شبکه همواره در دسترس و قابل استفاده خواهد بود. یک استراتژی موفق ایمن‌سازی شبکه، از چندین راهکار امنیتی در لایه‌های مختلف، برای محافظت از کاربران در برابر بدافزارها و حملات سایبری همچون DDoS، استفاده می‌نماید.

تصویر(1)

هر شبکه شامل دستگاه‌های به هم متصل مانند کامپیوتر‌ها، سرور‌ها، موبایل‌ها و دستگاه‌های بی سیم است. بسیاری از این دستگاه ‌ها در معرض خطر حملات احتمالی قرار دارند. امنیت شبکه یا Network security شامل استفاده از چندین نرم افزار و سخت افزار مختلف به صورت واحد، تحت عنوان software as a service یا SaaS است. وقتی شبکه گسترده تر شود و به پیچیدگی آن اضافه گردد، سازمان‌ها نیز بخش‌های بیشتری از داده‌های خود را درون شبکه قرار می دهند. در این وضعیت، اهمیت وجود امنیت در شبکه، بیش از پیش نمایان خواهد شد. روش‌های ایمن سازی نیز باید بر اساس تغییرات ایجاد شده در حملات، تغییر یابند.

فارغ از استراتژی امنیتی و هر روش خاصی که پیاده سازی می‌شود، مسئله امنیت یک تعهد عمومی است. زیرا هر کاربر شبکه، می تواند تبدیل به یک نقطه آسیب پذیر گردد.

چرا امنیت شبکه یا Network security مهم است؟

وجود امنیت شبکه یا Network security حیاتی است. زیرا از دستیابی مجرمان سایبری به داده‌های با ارزش و اطلاعات حساس جلوگیری می‌کند. وقتی هکر‌ها به این اطلاعات ارزشمند دستیابی پیدا کنند، می توانند مشکلاتی مانند جعل هویت را ایجاد نمایند. دلایل مهمی که باید از شبکه محافظت گردد، عبارتند از:

خطرات عملیاتی

اگر سازمانی فاقد امنیت شبکه کافی باشد، تمام عملیات‌های تحت شبکه آن، در معرض خطر قرار خواهند داشت. شبکه‌های شخصی یا کسب‌و‌کار‌ها، مبتنی بر دستگاه‌ها و نرم افزار‌هایی هستند که در مقابل ویروس‌ها، بدافزارها و حملات سایبری ایمن نبوده و می توانند آسیب پذیر باشند. از طرفی  کسب‌و‌کار‌ها برای ارتباطات داخلی و خارجی خود بیشتر به همین شبکه‌ها وابسته هستند.

 خطرات مالی برای اطلاعات هویتی شخصی

تصویر(2)

نقص داده ها می تواند برای افراد و کسب‌و‌کار‌ها بسیار گران تمام شود. سازمان‌هایی که اطلاعات هویتی اشخاص مانند شماره تامین اجتماعی، اطلاعات بانکی و گذرواژه‌های آنها را ذخیره می کنند، باید از آنها محافظت نمایند. اگر این اطلاعات در اختیار مجرمان قرار گیرند آنها می توانند از پول افراد برای اهداف مجرمانه استفاده کنند. نفوذ به داده‌ها و افشا اطلاعات، می‌تواند موجب از بین رفتن شهرت یک شخص یا شرکت شده و حتی آنها را با محکومیت‌های قضایی روبرو سازد. طبق گزارش "Cost of a Data Breach Report" شرکت IBM، میانگین هزینه افشا داده‌ها در سال 2022، معادل 4.35 میلیون دلار بوده است.

ریسک‌های مالی برای مالکیت معنوی

امکان از دست رفتن دارایی‌های معنوی شرکت‌ها نیز وجود دارد که می تواند هزینه سنگینی را به آنها متحمل سازد. فاش شدن ایده‌ها، نوآوری‌ها و اطلاعات مربوط به محصولات یک شرکت، می تواند موجب نابودی کامل آن گردد.

مسائل مربوط به مقررات

بسیاری از دولت‌ها در سراسر جهان، از  کسب‌و‌کار‌ها می خواهند که قوانین امنیتی شامل ایمن سازی شبکه را رعایت نمایند. به عنوان نمونه، در کشور ایالات متحده، سازمان‌های دارویی موظف هستند از قوانین Health Insurance Portability and Accountability Act یا به اختصار HIPAA پیروی نمایند. در اروپا نیز هر کسب‌و‌کاری که با داده‌های مربوط به ساکنان اروپا در ارتباط است باید قوانین General Data Protection Regulation یا GDPR را رعایت نماید. تخطی از این قوانین می تواند منجر به جرایم نقدی، انواع محدودیت‌ها و حتی زندان گردد.

تصویر(3)

امنیت شبکه یا Network security چگونه عمل می‌کند؟

Network security با به کارگیری ترکیبی از سخت افزار و نرم افزار پیاده سازی می گردد. هدف اصلی امنیت شبکه یا Network security جلوگیری از دسترسی‌های غیر مجاز به شبکه یا اجزای آن شبکه است.

تیم‌های امنیتی با تعریف استراتژی و سیاست‌های لازم، امنیت شبکه سازمان‌ها را برقرار می‌سازند و کمک می‌کنند استاندارد‌ها و قوانین امنیتی لازم را پیاده سازی نمایند. هر شخص در آن شبکه، باید به سیاست‌های امنیتی پایبند باشد. هر بخش از شبکه که یک کاربر تایید شده بتواند به اطلاعات دسترسی یابد، نقطه‌ای است که داده‌ها می‌توانند در معرض خطر قرار گیرند.

انواع نرم افزار و ابزار‌های امنیتی

سیاست‌های امنیتی شبکه‌های مختلف، می توانند متفاوت باشند و در طول زمان نیز تغییر یابند. امنیت بالا، معمولا نتیجه استفاده همزمان از چندین رویکرد امنیتی است. به این نوع رویکرد، layered security یا defense in depth گفته می‌شود و ابزار کنترلی امنیتی زیادی را در اختیار سازمان‌ها قرار می‌دهد. برخی از رایج ترین ابزارهای امنیتی عبارتند از:

کنترل دسترسی یا Access control: این روش، محدودیت دسترسی به نرم افزار‌ها و سیستم‌های موجود در شبکه را برای گروه‌های مشخصی ایجاد می نماید. این تکنیک امنیتی، مشخص می‌کند که چه کسی یا چه دستگاهی به کدام منابع شبکه دسترسی داشته باشد. ابزار‌های Access control به دو صورت فیزیکی و منطقی استفاده می شوند.

تصویر(4)

انواع Access control عبارتند از:

Mandatory access control یا MAC: این روش بر اساس مجوز‌های امنیتی که همراه دستگاه‌ها هستند، اجازه دسترسی به منابع را صادر یا رد می‌کند.

Discretionary access control یا DAC: شامل دسترسی‌هایی است که از سوی مدیران شبکه به اجزای آن اعطا می گردد.

Role-based access control یا RBAC: اقدام به گروه بندی و تعیین نقش اجزای شبکه نموده و بر همین اساس میزان دسترسی‌ آنها را تعیین می‌کند.

Rule-based access control: در این روش قوانینی توسط مدیران شبکه تعریف می شود که بر اساس آنها میزان دسترسی‌ به اجزای شبکه مشخص می گردد.

Attribute-based access control: در این روش نیز بر اساس مجموعه‌ای از قوانین، سیاست‌ها و ارتباطات که از طریق ویژگی‌های کاربران و سیستم‌های آنها تعیین شده، دسترسی‌ها مدیریت می‌شوند.

ضد ویروس و بد افزار: این نرم افزار‌ها برای شناسایی، حذف و جلوگیری از ورود ویروس‌ها، بدافزارها، تروجان‌ها، باج افزار‌ها و جاسوس افزار‌ها استفاده می شوند. در نتیجه از آلودگی کامپیوتر‌ها و شبکه جلوگیری می نمایند.

ایمن سازی نرم افزار‌ها: مانیتور و حفاظت از نرم‌افزار‌هایی که سازمان‌ها برای اجرا و پیاده سازی کسب‌و‌کار خود استفاده می‌کنند، امری حیاتی است. سازمان ها یا نرم افزاری را می سازند یا آن را خریداری می‌کنند. بدافزار‌های مدرن نیز کد‌های متن بازی را هدف قرار می‌دهند که سازمان‌ها از آنها برای ساخت نرم افزار خود استفاده می کنند.

تصویر(5)

آنالیز رفتاری: این ابزار با تحلیل رفتار شبکه می تواند فعالیت‌های غیرمعمولی را به صورت خودکار شناسایی نموده به سازمان‌ها اطلاع رسانی کند.

امنیت مبتنی بر ابر: ارائه‌دهندگان خدمات ابری، معمولا یک ابزار امنیتی مبتنی بر ابر را جداگانه به فروش می‌رسانند تا قابلیت‌های امنیتی را در سرویس ابری خود فراهم سازند. ارائه‌دهندگان خدمات ابری امنیت زیرساخت خود را تامین می‌کنند و با ارائه ابزارهای امنیتی بیشتر، به کاربران در حفاظت از داده‌هایشان کمک می‌نمایند.

جلوگیری از گم شدن داده (Data loss prevention) یا DLP: این ابزارها به تحلیل و مانیتور داده‌های در حال پردازش، منتقل یا ذخیره شده کاربران می پردازند تا از افشا داده‌ها جلوگیری نمایند. معمولا DPL‌ ها داده‌های مهم و در خطر را دسته بندی نموده و محافظت از داده‌ها را توسط بهترین روش‌ها به کارمندان آموزش می دهند. برای نمونه، عدم ارسال فایل‌های مهم به صورت ضمیمه ایمیل‌ها، یکی از موارد آموزشی این ابزار‌ها است.

تصویر(6)

امنیت ایمیل: ایمیل‌ها بدون شک آسیب پذیرترین نقاط شبکه هستند. کارمندان معمولا با کلیک روی لینک‌های موجود در ایمیل‌ها و حتی دانلود فایل‌های پیوست، دچار حملات بدافزاری و کلاهبرداری‌های اینترنتی می شوند. همچنین ایمیل‌ها غیر ایمن ترین روش برای ارسال فایل‌های حساس بوده و متاسفانه کارمندان ناخواسته این کار را انجام می دهند.

دیوار آتش: دیوار آتش یا Firewall، نرم‌افزار‌ها و firmware های نرم‌افزاری هستند که با بازرسی ترافیک داده‌های ورودی و خروجی، از دسترسی‌های غیر‌مجاز به شبکه جلوگیری می کنند. Firewall‌ها از پر استفاده ترین ابزارهای امنیتی هستند. این ابزارها در بخش‌های مختلفی از شبکه امکان پیاده سازی دارند. Firewall‌های نسل جدید امنیت بیشتری را فراهم ساخته و با حملات لایه نرم افزار نیز مقابله می کنند. این ابزارها می توانند با بررسی کامل بسته‌های داده، از شبکه در برابر بدافزار‌های پیشرفته محافظت نمایند.

سیستم تشخیص نفوذ (Intrusion detection system) یا IDS: این سیستم دسترسی‌های غیرمجاز را شناسایی و آنها به عنوان عامل خطرناک علامت گذاری می نماید اما آنها را حذف نمی‌کند. معمولا IDS‌ها و سیستم‌های پیشگیری از نفوذ، به همراه یک Firewall استفاده می شوند.

سیستم پیشگیری از نفوذ (Intrusion prevention system) یا IPS: طراحی سیستم‌های IPS به این گونه است که با شناسایی و انسداد دسترسی‌های غیرمجاز، از نفوذ احتمالی جلوگیری می کنند.

تصویر(7)

امنیت در تلفن همراه: با گسترش نرم‌افزار‌های موبایل کسب‌و‌کار‌ها، تلفن‌های همراه تبدیل به بخش مهمی از امنیت شبکه شده اند. مانیتور، کنترل و پی بردن به کارهایی که دستگاه‌های موبایل در زمان اتصال به شبکه انجام می‌دهند امری حیاتی برای امنیت شبکه یا Network security مدرن است.

احراز هویت چندگانه (Multifactor authentication) یا MFA: احراز هویت چندگانه روشی بسیار مرسوم و پیاده سازی آن آسان است. در این روش، کاربران از طریق دو یا چند معیار، اعتبار سنجی می شوند. یک نمونه از این ابزارها، Google Authenticator می باشد. نرم افزاری که کد‌های منحصر به فرد تولید نموده و کاربران می توانند با استفاده از آن کد و گذرواژه، هویت خود را تایید و وارد سیستم شوند.

بخش بندی شبکه یا Network segmentation: سازمان‌هایی که شبکه گسترده‌ای دارند، معمولا اقدام به بخش‌بندی شبکه خود تحت قطعات کوچکتر می نمایند تا بتوانند راحت تر آنها را مدیریت کنند. این رویکرد موجب می‌شود که کنترل روی شبکه بهتر شده و جریان ترافیک داده‌ها، نمایان تر گردد. یکی از زیر مجموعه‌های روش Network segmentation، امنیت شبکه صنعتی می‌باشد. نتیجه پیاده سازی این روش نیز به وجود آمدن دیدی بهتر نسبت به سیستم‌های کنترل صنعتی یا industrial control systems به اختصار ICS ها است. Network segmentation می تواند راهکار مناسبی برای جلوگیری از حملات سایبری روی ICS‌ها باشد.

تصویر(8)

ایزوله سازی با Sandboxing: هدف Sandboxing فراهم سازی محیطی جهت یافتن بدافزار‌ها است. در این محیط ایزوله می توان اقدام به باز کردن و اسکن فایل‌ها قبل از ورود به شبکه نمود. در صورت عدم وجود مشکل، اجازه ورود آن فایل به شبکه صادر می گردد. وقتی که یک فایل در محیط Sandboxing گشوده شود، سازمان‌ها می‌توانند بررسی کنند که آیا آن فایل رفتار مشکوک داشته و می‌تواند یک بدافزار باشد یا خیر.

اطلاعات امنیتی و مدیریت رویداد‌ها (Security information and event management) یا SIEM: این تکنیک اقدام به جمع آوری داده از نرم افزار‌ها و سخت افزار‌های شبکه کرده و سپس با آنالیز آنها، رفتار‌های مشکوک را شناسایی می نماید. وقتی یک ناهنجاری یافت شود، سیستم SIEM، به سازمان هشدار داده و سایر اقدامات مورد نیاز را انجام خواهد داد.

تعریف محیط نرم افزاری (Software-defined perimeter) یا SDP: در واقع SDP یک روش امنیتی است که خارج از شبکه قرار گرفته و آن را از دید مهاجمان و کاربران غیرمجاز پنهان می سازد. این روش از احراز هویت برای محدودسازی دسترسی به منابع داخل شبکه بهره می‌برد و عملا مرزی مجازی برای محافظت از منابع شبکه ایجاد می‌نماید.

شبکه خصوصی مجازی (Virtual private network) یا VPN: یک VPN می تواند ارتباط بین مبدا و شبکه سازمان را ایمن سازد. VPN‌ها از تکنیک تونل سازی برای کد کردن اطلاعات ارسالی در سطح شبکه استفاده می نمایند. Remote access VPN، اجازه دسترسی از راه دور را برای کارمندان سازمان‌ها فراهم می سازد.

امنیت سطح وب: در این روش با مسدود سازی برخی سایت‌ها و تهدیدات امنیتی، از دسترسی کارمندان به آنها جلوگیری و در عین حال یکپارچگی وب سایت اصلی سازمان نیز حفظ می گردد.

امنیت شبکه بی سیم: بدون شک شبکه‌های بی سیم از آسیب پذیرترین بخش‌های یک شبکه سازمانی هستند و باید نظارت دقیق و حفاظت بیشتری از آنها صورت گیرد. باید از Service Set Identifier یا به اختصار SSID برای جداسازی کاربران Wi-Fi استفاده شود. همچنین اعتبارسنجی بر اساس استاندارد 802.1X (یک استاندارد برای دسترسی دهی مبتنی بر پورت‌ها که از سوی IEEE ارائه شده است) صورت پذیرد. استفاده از ابزارهای مانیتورینگ و مدیریت حساب مناسب نیز بخشی از روند ایمن سازی شبکه‌های بی سیم هستند.

تصویر(9)

امنیت حجم کار یا Workload: یک روش پایدار سازی شبکه‌ها، توزیع حجم کاری بین دستگاه‌های مختلف است. وقتی سازمان‌ها اقدام به بالانس حجم کاری بین چند دستگاه در فضای ابری و محیط چندگانه خود می‌نمایند، تنوع دستگاه‌های در معرض حمله را نیز افزایش می‌دهند. انجام اقدامات امنیتی و ایمن سازی بالانس کننده‌های Workload، در حفاظت از داده‌های سیستم‌ها نقشی حیاتی ایفا خواهد نمود.

Zero-trust network access: این ابزار نیز مانند Access control عمل نموده و فقط به کاربرانی که برای انجام وظایف خود به آن نیاز دارند، اجازه دسترسی به شبکه را می‌دهد.

چالش‌های پیش روی امنیت شبکه یا Network security

مبحث امنیت شبکه یا Network security دارای چالش های مهمی است که برخی از آنها عبارتند از:

روش‌های حمله در حال تکامل هستند: بزرگترین چالش پیش روی network security، سرعت تکامل حملات سایبری است. با رشد و تغییر تکنولوژی، حملات و حمله کنندگان تغییر می یابند. برای نمونه، ظهور تکنولوژی‌های جدید مانند بلاک چین موجب به وجود آمدن نوعی حمله بدافزاری جدید به نام cryptojacking شده است. از این رو، استراتژی‌های امنیت شبکه یا Network security نیز باید برای رویارویی با این مخاطرات نوظهور، آماده و مهیا گردند.

پایبند سازی کاربران: امنیت یک تعهد عمومی برای همه کاربران شبکه است. استراتژی‌های مقابله با تهدیدات امنیتی در حال تغییر هستند. اطمینان از این که همه کارمندان یک سازمان به آموزش‌های مبتنی بر استراتژی‌های امنیتی پایبند بمانند، کاری بس دشوار خواهد بود.

دسترسی‌های از راه دور و وسایل اتصال به شبکه قابل حمل: امروزه شرکت‌های بیشتری در حال سازگارسازی سیاست‌های درون سازمانی خود با سیاست استفاده از دستگاه‌های شخصی (bring your own device policies) هستند. این موضوع باعث پیچیدگی و گسترده تر شدن شبکه می گردد. در نتیجه محافظت از این شبکه‌ها نیز دشوار تر خواهد شد. امروزه کار از راه دور بسیار رواج یافته است. امنیت شبکه‌های بی سیم شخصی یا عمومی که کارمندان از آنها برای دستیابی به شبکه شرکت و سازمان خود استفاده می‌نمایند، چالشی مهم خواهد بود.

شرکای متفرقه (Third-party partners): ارائه دهندگان خدمات ابری، سرویس‌های امنیتی مدیریت شده و محصولات امنیتی، معمولا به شبکه‌های داخلی شرکت‌ها دسترسی می یابند. این امر خود می تواند منجر به یک آسیب پذیری در شبکه گردد.

امنیت در لایه‌های شبکه

شبکه شامل لایه‌هایی است که در مدل جهانی Open Systems Interconnection یا به اختصار OSI تعریف شده اند. داده‌هایی که بین دستگاه‌های مختلف رد و بدل می‌گردند، همواره از لایه‌های مدل OSI عبور می‌کنند و ممکن است حملات مختلفی در این لایه‌ها، رخ دهد. لذا هر لایه باید به صورت جداگانه ایمن سازی گردد تا بتوان آن شبکه را ایمن دانست. در جدول (1) هر لایه از مدل OSI به همراه ابزار امنیتی قابل استفاده در آن لایه، نشان داده شده است:

جدول(1)

درست است که طبق جدول(1) لایه سوم (از پایین) به نام Network یا شبکه می‌باشد اما امنیت شبکه یا Network security صرفا برای این لایه پیاده سازی نمی‌شود. هر دستگاه کامپیوتری موجود در شبکه، روی چندین لایه عملیات انجام می دهد تا بتواند پردازش داده داشته باشد. از این رو، هر لایه باید ایمن سازی شود تا کل شبکه ایمن گردد. در اینجا منظور از شبکه، مجموع همه لایه‌ها است.

عناوین شغلی و گواهی نامه‌های امنیت شبکه یا Network security

شغل‌های مرتبط با network security عبارتند از:

• Chief information security officers یا CISOs یکی از پردرآمدترین شغل‌ها در امنیت شبکه یا Network security است. CISO‌ها مسئول توسعه و پیاده سازی برنامه اصلی امنیت اطلاعات هستند.
• Penetration testers یا pen tester‌ها، افرادی هستند که تست نفوذ به شبکه را انجام می دهند تا آسیب پذیری‌های احتمالی را نمایان سازند. این تست می‌تواند به صورت خودکار توسط برخی از نرم‌افزار‌ها انجام گردد یا به صورت دستی از سوی یک شخص صورت پذیرد.
• Security engineers روی کیفیت زیرساخت‌های مورد استفاده تمرکز می‌کند.
• Security architects اقدام به طراحی شبکه می نماید که شامل برنامه‌ریزی، بررسی، طراحی و آزمایش زیرساخت‌های شبکه است.
• Security analysts روی بررسی، تجزیه و تحلیل استراتژی‌های امنیتی تمرکز دارد.

برخی از گواهی نامه‌های مهم امنیت شبکه یا Network security عبارت اند از:

EC-Council's Certified Ethical Hacker یا CEH

Global Information Assurance Certification Security Essentials یا GSEC

ISACA's Certified Information Security Manager یا CISM

ISACA's Certified Information Systems Auditor یا CISA

Certified Cloud Security Professional یا CCSP

Certified Information Systems Security Professional یا CISSP

تصویر(10)

جمع بندی

امنیت شبکه یا Network security برای هر سازمانی که امروزه در حال فعالیت است امری حیاتی می‌باشد. امنیت شبکه کمک شایانی به موفقیت کسب‌و‌کار‌ها می‌کند. از مزایای اصلی network security می توان به این موارد اشاره نمود:

کارایی: network security تضمین می نماید که کارایی شبکه در بهترین حالت خود قرار خواهد گرفت. در این صورت کسب‌و‌کار‌ها و کاربران می توانند به آن شبکه اتکا نمایند.

امنیت و حریم خصوصی: سازمان‌هایی که با داده‌های کاربران سر‌وکار دارند، باید سه مفهوم Confidentiality، Integrity و Availability به اختصار CIA، به معنی محرمانگی، یکپارچگی و دسترسی به داده‌ها را فراهم سازند. network security از افشا اطلاعات جلوگیری کرده و می تواند از داده‌های محرمانه و حساس کاربران محافظت نماید.

حفظ مالکیت معنوی: مالکیت معنوی نقشی غیر قابل انکار در ایجاد توانایی رقابت بین شرکت‌ها را دارد. امنیت شبکه یا Network security ساز و کاری ایمن جهت دسترسی به اطلاعات محرمانه محصولات و خدمات ارائه می کند. چون این اطلاعات تحت مالکیت معنوی یک سازمان قرار دارند، به آنها کمک خواهد کرد تا مزیت‌های رقابتی خود را حفظ نمایند. 

انطباق با قوانین: رعایت سیاست‌های امنیت داده‌ها و حریم خصوصی مانند HIPAA و GDPR، در بسیاری از کشور‌ها اجباری و جزئی از قانون می‌باشد. شبکه‌های ایمن بخشی کلیدی برای پایبندی به این قوانین هستند.