Understanding Defense in Depth

0 196

Understanding Defense in Depth

زیر ساخت هر طراحی امنیتی بستگی به مفهوم “Defense in Depth” دارد. به عبارت دیگر، برای جلوگیری از نفوذ یک اتکر یا پیشگیری از تبدیل شدن یک اشتباه به یک رخداد در شبکه، تنها یک اقدام دفاعی کافی نیست. به این دلیل که راه‌های بالقوه زیادی برای نقض امنیت وجود دارد، در طراحی لایه دفاعی، باید محدوده وسیعی از اقدامات دفاعی مختلف در نظر گرفته شود تا این اطمینان حاصل شود که بخطر افتادن یکی از سیستم‌ها، خطری را برای اطلاعات محرمانه، سیستم‌های دیگر و یا شبکه ایجاد نخواهد کرد.

Layered Security

یکی از مفاهیم مهم در defense in depth، ایده طراحی لایه‌های امنیتی است.  یعنی آنکه هر لایه امنیتی استحکام بیشتری به ساختار ببخشد تا بتواند با پوشاندن ضعف‌های لایه قبلی، از ورود مهاجم به زیرساخت شبکه جلوگیری نماید.

شکل زیر دیاگرام ساده‌ای از یک راه‌کار امنیتی لایه‌بندی شده در سطحی بالا را نشان می‌دهد. در این طراحی، data security در هسته این مدل قرار دارد؛ جایی که پالیسی‌ها، مستندات و طبقه‌بندی اطلاعات در آنجا پیاده‌سازی می‌شوند.  هرلایه ، پارامترهای امنیتی خاصی را به این سیستم دفاعی اضافه می‌کند.

همانطور که مشاهده می‌شود، یک راهکار لایه‌بندی شده می‌تواند تکنولوژی‌هایی را باهم ترکیب کند که هرکدام بطور خاص مناسب لایه‌ای خاص هستند و در نهایت ترکیب آن‌ها باهم یک مدل لایه‌بندی شده مناسب را ایجاد خواهد کرد. در چنین مدل امنیتی، ساختاربندی‌های صورت گرفته در هر لایه، بسته به نیازهای موجود، می‌تواند مختلف باشد. به عنوان مثال، در مورد لپ‌تاپ‌ها و دیوایس‌های موبایل، نیاز به گونه‌ایست که برای حفظ امنیت اطلاعات لازم است تا کل دیسک رمزنگاری شود؛ در حالی که در مورد سیستم‌های دسکتاپ، این نیاز، تنها با استفاده از نرم‌افزارهای موسوم به ” data loss prevention” مرتفع خواهد شد.

نکته: defense in depth باید به گونه‌ای پیاده‌سازی شود که به هر سه پارامتر موجود در سه ضلع مثلت CIA دلالت کند.

طراحی امنیت لایه‌ای می‌تواند گهگاهی پیچیده باشد. تعامل داخلی بین کنترل‌های امنیتی، نیازهای سازمانی کسب و کار و بکارگیری آن‌ها، تماما در حین طراحی یک راهکار امنیتی لایه‌بندی شده، باید بدقت مورد توجه قرار گیرند. برای برآورده کردن این پیش‌نیازها، چهار مدل به عنوان بخشی از طراحی لایه‌های امنیتی مطرح می‌شوند::

•    Uniform Protection
•    Protected Enclaves
•    Risk or Threat analysis (Based designs)
•    Information Classification (Based designs)

مدل uniform protection برای همه سیستم ها و شبکه‌های تحت پوشش، سطح یکسانی از محافظت را ایجاد میکند. پیاده سازی و طراحی امنیت شبکه بر اساس تعریف لایه‌هایی با سطح محافظتی مختلف و غیر یکسان، به علت آنکه تصمیم گیری و فرآیند طراحی را ساده‌تر می‌کند، می‌تواند در نوع خود جذاب باشد اما در مدل uniform protection، به علت آنکه برای هر سیستمی باید بالاترین سطح امنیت لحاظ شود، می‌تواند بسیار پرهزینه و گران باشد. البته باید توجه داشت که صرف این هزینه فقط در محیطی قابل توجیه و معقولانه است که به لحاظ پیاده سازی پیچیدگی خاصی داشته باشند؛ در غیر این صورت در سازمان هایی که سطوح مختلفی از امنیت مورد نیاز باشد، مدل های دیگر غالبا استفاده خواهند شد.

شکل زیر نمونه طراحی uniform protection برای گروهی از ‌دیوایس‌ها نشان می‌دهد. Patch های اعمال شده، مانیتورینگ، نرم‌افزارهای تراست شده، سطح حفاظتی تعریف شده آنتی ویروس و فایروال، همه و همه برای هریک از دیوایس‌ها یکسان می‌باشد. در این مدل طراحی، بخش‌های منابع انسانی، مالی و فروش همگی دارای طراحی لایه امنیتی یکسانی هستند؛ این موضوع ممکن است برای واحد فروش که به لحاظ کاری نیازی به سطح امنیتی ایجاد شده به نسبت واحد مالی را ندارند، مشکل ساز شود.

بجای استفاده از مدل uniform protection، برخی سازمان‌ها بسته به نوع طراحی شبکه‌شان، تصمیم به استفاده از مدل protected enclaves می‌گیرند. این موضوع می‌تواند به سگمنت‌های شبکه، سیستم‌ها و یامکان‌های فیزیکی که به کنترل بیشتری نیاز دارند، به لحاظ تامین امنیت بیشتر، شکل و فرم دهد.

شکل زیر مثالی از یک شبکه طراحی شده بر اساس مدل protected enclaves را نشان می‌دهد. در این مثال از طراحی، اطلاعات فوق العاده محرمانه کارت اعتباری، در یک شبکه محصور شده، با پارامترهای امنیتی اضافه بر سازمان، توسط یک دیوایس امنیتی که ترکیبی از فایروال، DLP و IPS است، مراقبت می‌شود. بطور کلی پیاده سازی پارامترهای امنیتی برای سیستم‌هایی اجرا خواهد شد که بخواهیم اطلاعات حساس و محرمانه آن ها در حصاری امنیتی محافظت شوند.

نکته: با وجود آنکه در این مثال، تمرکز بر مدل شبکه‌ای است، اما به یاد داشته باشید که طراحی امنیتی کامل است که شامل کنترل‌های مدیریتی و شخصی علاوه بر طراحی‌های فنی و ابزارها ‌باشد.

مدل طراحی دیگر، threat analysis دارد؛ این مدل طراحی با مرور پارامترهای بالقوه تهدید، تلاش می‌کند هریک از آن‌ها را در طراحی انجام شده، آدرس‌دهی کند. این موضوع کمک خواهد کرد تا فقط کنترل‌هایی که برای آدرس‌دهی تهدیدات نیاز هستند، در طراحی گنجانده شوند؛ بنابراین هزینه‌های کنترل محدود شده و طرح ارائه شده بیشترین کارائی را خواهد داشت.

نقطه ضعف این مدل طراحی اینست که بدون بروزرسانی و مرور مجدد، تهدیدات جدید و اورژانسی را تشخیص نخواهد داد و صدالبته تمام این موارد بسته به انجام دقیق تحلیل تهدیدات است.

و در نهایت آخرین مدل طراحی، مدل information (برخی اوقات classification نامیده می‌شود) است؛ که از طبقه‌بندی اطلاعات، برچسب‌زنی یا روش‌های دیگر برای هدایت اپلیکیشن کنترل‌های امنیتی استفاده می‌کند. طراحی‌های information classification، میزان محافظت لازم از اطلاعات را به نسبت سطح محرمانگی شان به آن‌ها تخصیص می‌دهند. به عبارت دیگر از اطلاعات حساس همانند سیستم‌ها و شبکه‌هایی که به توجه امنیتی بیشتری نیاز دارند، محافظت می‌شود و به تبع آن، اطلاعاتی که حساسیت کمتری داشته باشند، کنترل‌های کمتر و محدودتری بر روی آن‌ها صورت می‌پذیرد.

شکل زیر سگمنتی از یک شبکه را نشان می‌دهد که طوری طراحی شده تا اطلاعات فوق محرمانه را با کنترل‌های خاصی که با نیازهای سازمان همخوانی دارد، پردازش نماید. سیستم‌ها و دیوایس‌های موجود در این سگمنت که با اطلاعاتی کلاس‌بندی نشده مواجه هستند، فقط بواسطه یک فایروال و پالیسی‌های امنیتی تعریف شده بر روی سیستم لوکال محافظت می‌شوند؛ این در حالی است که اگر این سیستم‌ها با اطلاعاتی محرمانه و کلاس‌بندی شده مواجه باشند بر خلاف روش محافظتی ساده قبل، توسط DLP (Data Loss Prevention)، یک فایروال اختصاصی و پالیسی‌ها و تمهیدات سخت‌گیرانه بر روی خود سیستم لوکال محافظت خواهند شد.

در حالت کلی این چهار مدل معمولا بصورت ترکیبی در یک شبکه استفاده می‌شوند.شرکتی که شبکه آن دارای وب‌سایت‌های پابلیش شده در اینترنت، سرورهای داخلی، نقاط امینتی و حساس و .. دارد، به تبع ممکن است طراحی لایه‌های امنیتی آن بر حسب یک مدل چاره‌ساز نباشد. بنابراین در این‌گونه شبکه‌ها معمولا ترکیبی از مدل ها برای طراحی امنیتی استفاده می‌شود.

Control Types and Classification

طراحی‌های امنیتی به کنترل‌هایی که در پیشگیری، تشخیص، خنثی‌سازی و یا محدود کردن اثر ریسک‌های امنیتی تاثیرگذارند، وابسته هستند. کنترلها نوعا بر دو دسته کلاس‌بندی می‌شوند:

•    چگونه پیاده‌سازی می‌شوند.
•    چه زمانی آن‌ها به رخدادهای امنیتی و تهدیدات عکس العمل نشان می‌دهند.

کلاس‌بندی کنترل‌ها بر اساس نوع پیاده‌سازی، با استفاده از مدل‌های زیر انجام می‌شوند:

•    Technical Controls: شامل فایروال‌ها، سیستم‌های IDS/IPS، Network Segmentation، سیستم‌های احراز هویت و مجوز عبور است. علاوه بر این، technical controlها بازه متنوعی از سیستم‌ها و قابلیت‌های تکنیکال که به منظور تامین امنیت از طریق مفاهیم تکنیکال طراحی شده‌اند را نیز در بر می‌گیرد.

•    Administrative Controls: (برخی اوقات Procedural Control نامیده می‌شود) شامل پردازش‌ها و روش‌هایی است که مشابه آن را می‌توان در پلن پاسخگویی به رخدادها و ایجاد و مدیریت اکانت‌ها مشاهده کرد.

•    Physical Controls: شامل قفل‌ها، حفاظ‌ها و دیگر کنترل‌هایی است که دسترسی فیزیکی را محدود و مدیریت می‌کنند.

نکته: برخی از طرح‌های ارائه شده برای کلاس‌بندی کنترل‌ها، علاوه بر سه مدل توضیح داده شده در بالا، نوع چهارمی هم قائل هستند:

•    Legal Controls: کنترل‌هایی هستند که با مجوز قانونی در جایی پیاده‌سازی می‌شوند. برخی این نوع کنترل‌ها را به عنوان نوعی از کنترل‌های Administrative می‌دانند که با مجوز قانونی در جایی قرار داده می‌شوند.

کلاس‌بندی کنترل‌ها بر اساس زمان عکس‌العمل آن‌ها، از مدل‌های زیر تبعیت می‌کنند:

•    Preventive Controls: کنترل‌هایی هستند که با استفاده از اقدامات بالفعل و پیشگیرانه در مقابل تهدیدات، تمرکزشان بر روی پیشگیری از ثبت شدن یک رخداد (incident) است. این کنترل‌ها شامل فایروال‌ها، مجموعه آموزش‌ها و گاردهای امنیتی است.

•    Detective Controls: کار این کنترل‌ها شناسایی رخدادها (incidents) و جمع آوری اطلاعات درباره آن‌هاست؛ علاوه بر این پاسخی شبیه Alarm و یا Notification صادر می‌کنند.

•    Corrective Controls: این کنترل‌ها یا رخداد موجود را رفع می‌کنند و یا میزان خسارتی را که ممکن است یک رخداد به همراه داشته باشد را محدود می‌کند. این کنترل‌های اصلاح کننده معمولا به عنوان بخشی از فرآیند پاسجگویی به یک رخداد استفاده خواهند شد.

برای مثال patching، antimalware و restore کردن سیستم از طریق backup اش، نمونه‌هایی از این کنترل‌ها هستند.

مانا باشید
احسان امجدی / کارشناس و مدرس دوره‌های تحلیل امنیت

“اگر بر این باورید که با نقض قانون کپیرایت، وضعیتی بهتر در انتظارمان خواهد بود، بدون ذکر نامِ نویسنده و منبع، مجاز به انتشار مطالب هستید. “

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.