برای محافظت از تهدیدات سایبری و بهبود امنیت شبکه در سازمان خود، میتوانید اقدامات زیر را انجام دهید:
1. ارزیابی ریسک: ابتدا باید تهدیدات امنیتی محتمل را شناسایی کنید و ارزیابی ریسک امنیتی انجام دهید. این فرایند شامل بررسی ضعفها و آسیبپذیریهای موجود در شبکه شما است.
2. استفاده از رمزنگاری: استفاده از رمزنگاری برای محافظت از اطلاعات محرمانه و حساس در شبکه بسیار مهم است. از رمزنگاری قوی برای ارتباطات شبکه، فایلها، دادهها و رمز عبور استفاده کنید.
3. بهروزرسانی نرمافزارها و سیستمعامل: اطمینان حاصل کنید که تمامی نرمافزارها و سیستمعاملهای استفاده شده در شبکه بهروزرسانی شده و آخرین آپدیتها و بهبودهای امنیتی را دارند. این کار میتواند ضعفها و آسیبپذیریهای موجود را کاهش دهد.
4. استفاده از راهکارهای تشخیص و پیشگیری از نفوذ: نصب و پیکربندی سیستمهای تشخیص نفوذ (IDS) و سیستمهای پیشگیری از نفوذ (IPS) میتواند به شناسایی و جلوگیری از حملات و نفوذهای سایبری کمک کند.
5. رمزنگاری ارتباطات شبکه: استفاده از پروتکلهای امنیتی مانند TLS/SSL برای رمزنگاری ارتباطات شبکه استفاده شده در سازمان، از همزمانی و تهدیدات مربوط به امنیت شبکه جلوگیری میکند.
6. آموزش کارکنان: آموزش کارکنان درباره مسائل امنیتی و رفتارهای امنیتی در استفاده از شبکه بسیار مهم است. آنها باید آگاهی کافی در مورد رمزنگاری، رمز عبور قوی، ایمیلهای پیشرفته و پیامرسانهای امن داشته باشند.
7. ایجاد سیاستهای امنیتی: تعیین سیاستهای امنیتی قوی برای سازمان و اجرای آنها از اهمیت بالایی برخوردار است. این سیاستها شامل ایجاد رمز عبور قوی، محدودیت دسترسی، مدیریت منابع شبکه و نگهداری پشتیتدام دادهها و سیستمهای موجود در شبکه است.
8. پشتیبانی و بازیابی: باید راهحلهای پشتیبانی و بازیابی قوی را برای مواقع حملات سایبری و خرابی سیستم در نظر بگیرید. ایجاد نسخه پشتیبان از دادهها و سیستمها، تعیین سیاستهای بازیابی و اجرای تستهای بازیابی منظم میتواند در مواقع بحرانی به شما کمک کند.
9. پیگیری و نظارت مداوم: باید فعالیتها و رویدادهای شبکه را به طور مداوم پیگیری کرده و نظارت داشته باشید. استفاده از سیستمهای نظارت شبکه (Network Monitoring) و سیستمهای تشخیص تهدیدات (Threat Detection) میتواند به شناسایی زودهنگام تهدیدات و حملات کمک کند.
10. اجرای سیستمهای حفاظت در لایههای مختلف: استفاده از (Firewalls)، سیستمهای تشخیص تهدیدات و پیشگیری از نفوذ (Intrusion Prevention Systems)، سیستمهای مدیریت دسترسی (Access Management Systems) و سیستمهای ضد ویروس (Antivirus Systems) در لایههای مختلف شبکه میتواند امنیت شبکه را بهبود بخشد.
11. آزمایشهای امنیتی: اجرای تستهای امنیتی، مانند تست نفوذ (Penetration Testing) و تست آسیبپذیری (Vulnerability Testing)، میتواند ضعفها و نقاط ضعف امنیتی را در شبکه شناسایی و بهبود بخشد.
12. همکاری با تیمهای امنیتی: در صورت امکان، همکاری با تیمهای امنیتی داخلی یا خارجی را در نظر بگیرید. آنها میتوانند به شما در شناسایی و رفع تهدیدات سایبری کمک کنند و به روزرسانیهای امنیتی را پیشنهاد دهند.
13. مدیریت دسترسی: مدیریت دسترسی به سیستمها و منابع شبکه، از جمله نقاط اتصال، کارتهای شبکه و دستگاهها، بسیار مهم است. فقط افراد مجاز باید به اطلاعات و منابع حساس دسترسی داشته باشند.
14. پشتیبانی از سیاستهای امنیتی در بستر فیزیکی: بهطور مثال، اطمینان حاصل کنید که کابلها و دستگاههای شبکه در مکانهای مناسب و محافظت شده قرار دارند
شبکه های سازمانی مدام در حال تغییر از ساختار قدیمیِ hub-and-spoke به hybrid IT می باشند. و اما تنها فاکتوری که همچنان ثابت باقی مانده، جدایی ناپذیر بودنِ دیتاسنترها از سازمان های مدرن می باشد. به طور کلی دیتاسنترها، از اپلیکیشن ها، کاربران و تجهیزات پشتیبانی می کنند؛ بنابراین بدیهی است که تامین امنیت آن ها دشوارتر باشد. فایروال های نسل جدید یا همان NGFWها که مسئولِ تامین امنیت مراکز داده هستند، می بایست از قابلیت های رده بالا برخوردار بوده و threat protection را به طور جامع و گسترده تری در کل زیرساخت ها ارائه دهند. ضمنا این اطمینان باید حاصل شود که زیرساخت های فناوری اطلاعات، از جمله دیتاسنترها و همین طور راهکارهای امنیت شبکه به گونه ای عمل می کنند که با صرفه جویی در مصرف انرژی، اثرات زیست محیطی را به حداقل برسانند.
این در حالی است که فایروال های جدید فورتی گیت؛ FG-3200F و FG-900G به طور خاص طراحی و ساخته شده اند تا به نیازهای امنیتی مراکز داده ی مدرن و محیط های hybrid پاسخ دهند. آن ها با ادغام خدمات امنیتی مبتنی بر هوش مصنوعی و عملکرد بی نظیر و بهینه این کار را انجام می دهند. فورتی گیت های مدل FG-900G و FG-3200F نیز مانند سایر FortiGate NGFWها از مدیریت متمرکز و یکپارچه برای محافظت از hybrid IT و hybrid mesh firewall پشتیبانی می کنند.
شکل1- نحوه محافظت از یک محیط ترکیبی توسط Hybrid Mesh firewall
لازم به ذکر است امروزه سیاست سازمان ها از اتخاذ راهکار تک فایروالی برای محافظت از کل ترافیک شبکه تغییر کرده است. آن ها دیگر فایروال های NGFW را به منظور بازرسی ترافیک های مختلف مانند محیط های ابری و یا شبکه های OT انتخاب می کنند.
ضمن اینکه ساختار فایروال های hybrid mesh به گونه ای است که قدرت محافظتِ NGFW را فراتر از دیتاسنترها برده و شبکه های campus، شعب سازمانی، شبکه های OT، محیط های کلود و به طور کلی لوکیشن های خارج سازمانی را نیز پشتیبانی می کنند تا با ارتقا امنیت سازمانی، سطح حملات را هرچه کمتر کنند. بر اساس گزارش گارتنر، 60 درصد از سازمان ها تا سال 2026 از لایه های فایروالی متعددی در استراتژی امنیتی خود استفاده خواهند کرد که این امر به “به کارگیری hybrid mesh firewall” خواهند انجامید.
به لطفِ سیستم عامل انحصاری FortiOS، فایروال های نسل جدید فورتی گیت به طور اختصاصی به پشتیبانی از ساختار hybrid mesh firewall می پردازند که امنیتی مبتنی بر AI و همین طور عملکردی بهینه را ارائه می دهند. از طرفی کلیه ی فایروال های فورتی گیت قادر به یکپارچگی با FortiManager بوده تا علاوه بر ارتقا اتوماسیون، بتوان کنترل بهتر و ساده تری بر روی تمامیِ form factorهای فایروال اعم از سخت افزاری، مجازی، کلود و همین طور Firewall-as-a-Service داشت.
فایروال های فورتی گیت FG-3200F به طور خاص برای دیتاسنترهای بزرگ طراحی شده اند که در مقایسه با محصول مشابه سایر برندها، 4 برابر firewall throughput بیشتر، 4.7 برابر SSL Inspection throughput بیشتر و 3.5 برابر IPsec VPN throughput بیشتر ارائه می دهند؛ این در حالی است که 72 درصد مصرف انرژی پایین تری دارند. از چهار اینترفیس 400GE برخوردار بوده که به مدیریت ترافیک های پرحجم کمک می کند. در ضمن از 800.000 کانکشن همزمان پشتیبانی می کنند، بنابراین می توان ظرفیت و منابع دیتاسنتر را طوری تنظیم نمود که با نیازهای تجاری، هماهنگ باشد.
فورتی گیت مدل FG-900G نیز با ارائه عملکرد مناسب برای دیتاسنترها، استاندارد صنعتی جدیدی را تعریف کرده است. این تجهیز که در فرم فاکتور 1U عرضه شده در مقایسه با میانگین صنعتی، 6 برابر firewall throughput بیشتر، 5 برابر IPsec VPN throughput بیشتر، سه برابر threat protection throughput بیشتر (20 Gbps) ارائه داده و بهره وری و امنیت بهینه را برای سازمان شما تضمین می کند.
FortiGate 3200F series
فایروال های فورتی گیت مدل FG-3200F و FG-900G به واسطه ی برخورداری از پردازنده های اختصاصی امنیت (SPU) از دیتاسنترها به بهترین نحو ممکن محافظت نموده و در عین حال در مقایسه با سایر محصولاتِ این صنعت، بهره وری انرژی بالاتری دارند. این امر به انتخاب تیم شبکه کمک فراوانی می کند، زیرا صرفه جویی انرژی برای آن ها یک اولویت مهم است.
اگر بخواهیم جزیی تر نگاه کنیم باید بگوییم مصرف انرژی در SPUهای فورتی گیت در مقایسه با CPUهای استاندارد موجود در سایر فایروال ها به طور میانگین 88 درصد کمتر انرژی مصرف می کنند. میزان مصرف انرژی در دو مدل مذکور به طور خاص تری مورد توجه قرار گرفته، به طوری که می توان گفت FG-3200F 4.6 برابر کمتر از استاندارد صنعتی و FG-900G 6.6 برابر کمتر مصرف انرژی دارند.
این SPUها با مدیریت کارآمدِ وظایفِ resource-intensive و آزاد سازی CPU اصلی، تمرکز را به سوی عملکرد بهینه و روانِ شبکه سوق می دهد، حتی در شرایطی که شبکه با ترافیک های بسیار سنگین روبرو می باشد. از وظایفِ resource-intensive می توان به “فایروالینگ”، “SSL/TLS inspection”و همین طور “IPS” اشاره نمود.
در جدول زیر مقایسه ای بین برترین فایروال های موجود در بازار شبکه با فایروال های FortiGate 3200F و FortiGate 900G انجام شده است. رتبه بندی پردازش امنیتی، معیاری است که متریک های مختلف عملکرد فورتی گیت را با محصولات مشابه که در رده قیمتی یکسانی نیز قرار دارند، مقایسه می کند. در ضمن متریک های power و heat (BTU) نیز برای محصولات رقبا گنجانده شده تا بهره وری واقعی این دو فورتی گیت را نشان دهد.
عملکرد بی نظیر و خدمات امنیتی جامعی که توسط FortiGate 3200F و FortiGate 900G ارائه می شود، تنها محدود به این دو مدل نیست، بلکه به کل خانواده FortiGate NGFW تعمیم داده می شود. همان طور که در 2022 Gartner® Magic Quadrant™در بخش Network Firewalls و همچنین 2022 The Forrester Wave در بخش Enterprise Firewalls آمده، جمعی از تحلیلگران و متخصصان صنعت امنیت سایبری، فورتی نت را در حوزه های مذکور برتر می دانند و عنوان leader را به وی اعطا کرده اند.
البته افتخارات FortiGate NGFW باز هم فراتر رفته و موفق شده رتبه Recommended را توسط CyberRatings.org در آخرین گزارش فایروالهای سازمانی در سال 2023 دریافت کند. فایروال های فورتی گیت امتیاز اثربخشی 99.88 درصد و رتبه AAA را در دسته های مختلف آزمایشی به دست آورده و به دلیل ارائه بالاترین ROI در میان فروشندگان اصلی فایروال، به شدت مورد توجه قرار گرفته اند.
با توجه به پیچیدگی روزافزونِ حملات سایبری در دنیای امروزه، فورتی گیت های 3200F و 900G به عنوان گزینه ای بی رقیب در زمینه ی تامین امنیت زیرساخت های شبکه، وارد میدان شده اند. آن ها با مدیریتی متمرکز در قالب یک راهکار hybrid mesh firewall به سازمان ها این امکان را می دهند که همواره از داده های ارزشمند خود محافظت نموده و در عین حال از آپتایم شبکه اطمینان حاصل کنند.
باج افزارهای Fileless malware، باج افزارهایی هستند که از ابزارهای تعبیه شده در سیستم های کامپیوتری برای اجرای حملات سایبری استفاده می کنند. به عبارت دیگر با استفاده از آسیب پذیریِ نرم افزارهای نصب شده، فرایند حملات را تسهیل می کنند. یکی از نکات قابل توجه در این نوع بدافزار این است که برای اجرای کد مخرب بر روی سیستم قربانی، به هیچ مهاجمی نیاز نیست. بنابراین باید گفت Fileless malwareها بسیار خطرناک بوده و شناسایی آن ها بسیار دشوار است.
با توجه به اهمیت بالای Fileless malwareها، در این مطلب به مفاهیم اولیه، مراحل حمله و همچنین تکنیک های رایج توسط مهاجمان سایبری پرداخته و سپس به نکاتی در خصوص شناسایی این نوع تهدیدات اشاره خواهیم کرد.
بدافزارهای Fileless تهدیدی هستند که بر روی دیسک قرار نمی گیرند. به طور کلی زمانی که یک بدافزار به صورت فیزیکی بر روی SSD یا هارد درایو قرار می گیرد، توسط نرم افزارهای امنیتی، به سادگی قابل شناسایی می باشد. در ضمن، محققان امنیتی می توانند آنها را مورد بررسی قرار داده و به وجود آن ها پی ببرند.
قطعا هیچ مهاجمی تمایل ندارد بدافزار مورد نظرش مورد تجزیه و تحلیل قرار گیرد. بنابراین بهترین روش برای جلوگیری از تجزیه وتحلیل و موثر ماندن بدافزارها، برای مهاجمان سایبری این است که آن ها بر روی دیسک قرار نگیرند. بر اساس همین ایده بود که باج افزارهای Fileless به وجود آمدند.
حال برای شما این سوال مطرح می شود که اگر بدافزار بدون فایل بر روی دیسک نیست، پس در کجا قرار دارد؟! با یک پاسخ کوتاه باید گفت “در داخل حافظه”. مهاجمان سایبری سال های زیادی را با تکنیک های مختلف صرف کرده اند تا بدافزار مورد نظر خود را وارد حافظه کنند.
بدافزارهای Frodo و Dark Avenger دو نمونه ابتدایی از بدافزارهای Fileless هستند که در سال 1989 به وجود آمدند. بدافزار Dark Avenger نوعی حمله است که برای آلوده سازی فایل های اجرایی در هر بار استفاده بر روی سیستم آلوده به کار برده می شد. حتی فایل های کپی شده را نیز آلوده می کردند.
امروزه Fileless malwareها به قدری پیشرفته شده اند که کدهای وارد شده در داخل حافظه، قادر به اجرا و دانلود کدهای جدیدتر می باشند. بدافزارهای Fileless به هیچ فایلی نیاز ندارند، اما باید محیطی که مورد هدف قرار می دهند را اصلاح کنند. و این یک روش بسیار پیشرفته برای استفاده از بدافزارهای Fileless می باشد.
استفاده از این تکنیک، نرم افزارهای امنیتی را گمراه کرده و آنها دیگر نمی توانند به سادگی تشخیص دهند Fileless malware در حال اجرای کدام کد است، زیرا اتفاقات زیادی در حافظه رخ می دهد. راهکارهای امنیتی نیز نمی توانند تشخیص دهند که آیا فعالیتی مخرب در حال اجرا است یا خیر. همین موارد است که از بدافزارهای fileless، حملاتی کاملا موثر ساخته است.
حال که به موثر بودن این بدافزارها پی بردیم، این سوال برای مان ایجاد می شود که چرا حملات مبتنی بر بدافزارهای fileless به وفور دیده نمی شوند؟
البته در سال های اخیر، استفاده از بدافزارهای بدون فایل، رواج بیشتری داشته، اما یکی از معایب آن ها برای مهاجمان سایبری، این است که در مقایسه با بدافزارهای معمولی، بسیار پیچیده تر می باشند. بنابراین مهاجمان سایبری به مهارت و تخصص بالاتری نیاز دارند. به همین دلیل است که معمولا حملات سایبری مبتنی بر بدافزارهای Fileless با حمایت گروه های فوق حرفه ای صورت می گیرد.
حتی بدافزارهای Fileless برای دستیابی به قابلیت ها و ویژگی هایی که بدافزارهای معمولی دارند، به مهارت بالاتری نیاز دارند. تنها چالش این دسته از بدافزارها، فضای محدود در حافظه ی سیستم است. علاوه بر این که اجرای Fileless malwareها بسیار دشوار بوده، مهاجمین سایبری می بایست به فضایی در حافظه دسترسی داشته باشند. در ضمن سرعت عمل Fileless malwareها باید بسیار بالا باشد، زیرا با reboot شدن سیستم، حذف می شوند. در نتیجه، برای اجرایFileless malwareها به مجموعه ای از شرایط مناسب و ایده آل نیاز است.
مراحل اجرای بدافزارهای Fileless نیز مانند سایر malwareها به قرار زیر است:
مهاجمان سایبری که قصد استفاده از Fileless malware را دارند، می بایست به منظور اصلاح ابزارها، به سیستم مورد نظر دسترسی داشته باشند. در حال حاضر، دسترسی به اطلاعات ورود به سیستم (stolen credentials) رایج ترین تکنیک برای این کار است.
هنگامی که یک fileless malware به سیستم مورد نظر دسترسی پیدا کند، می تواند اقدام به راه اندازی سایر بدافزارهای معمولی نیز نماید. تکنیک های زیر، زمانی که با fileless malware ترکیب می شوند، میزان بالاتری از موفقیت را خواهند داشت:
معرفی فایروال فورتی گیت 200F
بهترین راهکار برای شناسایی و مقابله با حملات مبتنی بر بدافزارهای fileless، در اختیار داشتن رویکردی کاملا جامع به همراه وضعیت امنیتی چندلایه می باشد. و بهترین اقدامی که هر سازمان می تواند در راستای شناسایی تهدیدات fileless malware در پیش گیرد، راهکاری است که شامل indicators of attack (IOAs) و indicators of compromise (IOCs) باشد.
با توجه به اینکه بدافزارهای fileless از ابزارهای تعبیه شده در داخل سیستم ها برای تسهیل حملات سایبری استفاده می کنند و مسیر ردیابی خود را مسدود می کنند، تیم های امنیت می بایست کاملا آگاه و هوشیار بوده و نسبت به روش های مختلفی که مهاجمان سایبری در راستای حملات fileless malware به کار می برند، آشنایی کامل داشته باشند. این تمامی چیزی است که برای نظارت بر عملکرد مهاجمان سایبری که قصد دارند فعالیت خود را در حافظه ی سیستم ها پنهان کنند، نیاز است.
یک راهکار دسترسیِ zero-trust است که امکان نظارت دقیق بر روی تجهیزات internet of Things (IoT) را در شبکه های سازمانی فراهم می کند.
نزدیک به دو دهه است که از پیدایش تکنولوژی امنیتی NAC می گذرد، اما نسل جدید آن برای مقابله با تهدیدات در حال گسترش امروزی، ضروری بوده؛ ضمن این که امکان نظارت و اجرای پالیسی های مختلف را فراهم می کند. با استفاده از این فناوری می توان به طور خودکار از تجهیزات داخلی و خارج از شبکه محافظت نمود.
یکی دیگر از دستاوردهای این راهکار جدید، امکان نظارتی دقیق بر روی شبکه می باشد. به این ترتیب سازمان ها می توانند امنیت لازم الاجرا بر اساس قوانین و دستورالعمل های نظارتی را بر روی همه ی دستگاه های موجود در شبکه اعمال کنند؛ حتی محیط های مجازی که دستگاه ها به صورت مداوم در حال اتصال و قطع شدن های مکرر می باشند.
قابلیت های نظارتی و مقابله با تهدیدات، از اهمیت فوق العاده ای برخوردار می باشند. زیرا بسیاری از تجهیزات از طریق نرم افزارهای دارای باگ و به روز نشده و بسیاری فاکتورهای دیگر در معرض خطر قرار می گیرند.
راهکارهای NAC را می توان بخش مهمی از مدل Zero Trust Access در تجهیزات، اپلیکیشن ها و کاربرانی دانست که در تلاش برای دسترسی به شبکه هستند. ضمنا تیم IT نظارتی کامل در خصوص افراد و میزان دسترسی آن ها به شبکه پیدا خواهد کرد.
همه ما شاهد پیچیده تر شدن عملکردهای سازمانی و افزایش شعب و تجهیزات می باشیم. تجهیزاتی مانند دستگاه های headless IoT به شبکه ها افزوده می شوند، در حالی که تعداد نیروهای انسانی ثابت می ماند. از این رو، FortiNAC به عنوان بخشی از پلتفرم Security Fabric فورتی نت ارائه شده تا نظارت و کنترل مورد نیاز برای سازمان ها و شعب آن ها را فراهم کند.
فایروال فورتی گیت FG-200f یک راهکار SD-WAN برنامه محور ، انعطاف پذیر و ایمن را به همراه قابلیت های فایروال نسل جدید (NGFW) برای سازمان هایی با مقیاس متوسط تا بزرگ مانند دانشگاه ها و یا در سطح شعبه یک سازمان ارائه می دهد و با تسریع و هدایت SD-WAN Secure می تواند با داشتن یک ساختار پیاده سازی ساده ، مقرون به صرفه و آسان، از شبکه در برابر تهدیدات سایبری محافظت کند.
در فایروال fortigate 200f قابلیت Security-Driven Networking فورتی نت رویکرد یکپارچه سازی دقیق شبکه را در نسل جدید امنیت فراهم می کند.