امنیت شبکه از صفر تا ۱۰۰ | راهنمای مقدماتی امنیت شبکه

توجه به امنیت شبکه برای محافظت از زیرساخت‌های دیجیتالی، اپلیکیشن‌ها، دستگاه‌ها و سیستم‌ها در مقابل تهدیدات آنلاین، ضرورت دارد. امنیت شبکه دارایی‌های سخت‌افزاری و نرم‌افزاری و فرایندهای دیجیتالی سازمان شما را زیر چتر خودش می‌گیرد تا از محرمانگی، صحت و دسترس‌پذیری شبکه‌های کامپیوتری در مقابل تهدیدات سایبری محافظت کند.

امنیت شبکه را می‌توان زیرشاخه‌ای از امنیت سایبری دانست. از آن‌جایی که ماهیت اینترنت و نقش آن در گردش آزاد اطلاعات، منبع اصلی تهدیدات سایبری محسوب می‌شود، امنیت شبکه یکی از حوزه‌های کلیدی امنیت سایبری محسوب می‌شود و در واقع هیچ سازمانی نمی‌تواند بدون سرمایه‌گذاری روی امنیت شبکه، در مقابل تهدیدات سایبری از خودش محافظت کند.

مقدمه‌ای بر امنیت شبکه سازمان

منظور از امنیت شبکه، به کارگیری فناوری‌ها، سیاست‌ها، و پروتکل‌هایی برای حفاظت از زیرساخت‌های شبکه سازمان در مقابل تهدیدات سایبری مانند دسترسی غیر مجاز و فعالیت‌های مخرب است. امنیت شبکه سازمان از مؤلفه‌های متعددی مانند به کارگیری تجهیزات امنیت شبکه مثل فایروال‌ها، سیستم‌های شناسایی نفوذ (IDS)، سیستم‌های پیشگیری از نفوذ (IPS)، استقرار راهکارهای ورود و خروج امن فایل و پروتکل‌های رمزنگاری در کنار اقداماتی جداسازی شبکه از اینترنت، کنترل دسترسی، مدیریت گذرواژه، مدیریت بروزرسانی و تعریف سیاست‌های امنیتی تشکیل می‌شود.

امنیت شبکه چیست؟

امنیت شبکه، نوعی رویکرد دفاع استراتژیک برای محدود کردن دسترسی غیر مجاز و خارجی به شبکه‌ IT سازمان شما با سه هدف اصلی زیر است:

• حفظ محرمانگی اطلاعات: منظور از حفظ محرمانگی اطلاعات این است که اطلاعات حساس و محرمانه به خارج از سازمان نشت نکنند و در مقابل دسترسی غیر مجاز از آن‌ها محافظت شود.
• حفظ صحت اطلاعات: داده‌های سازمان را می‌توان از مهم‌ترین دارایی‌های هر سازمانی دانست که هرگونه آسیبی در آن‌ها می‌تواند منجر به خسارت‌های جبران‌ناپذیری شود. داده‌ها می‌توانند حاوی اطلاعات حساسی باشند که برای فعالیت‌های سازمان ضروری هستند.
• حفظ دسترس‌پذیری داده‌ها: در صورتی که دسترسی به داده‌ها امکان‌پذیر نباشد، آن داده‌ها هیچ اهمیتی ندارند. در واقع، هدف اصلی استقرار شبکه‌های IT در سازمان‌ها، دسترسی گردش داده‌ها و دسترسی مجاز به داده‌ها است. بنابراین، ضرورت دارد که دسترسی مجاز به داده‌ها، حفظ شود تا در صورت نیاز، مورد استفاده قرار بگیرند.

مؤلفه‌های اصلی امنیت شبکه در سازمان ها

امنیت شبکه سازمان از مؤلفه‌های زیر تشکیل می‌شود:

۱- امنیت پیرامونی

امنیت پیرامونی (perimeter security) روی امن سازی مرز بین شبکه داخلی سازمان و تهدیدات داخلی متمرکز است. معمولا، سازمان‌ها برای تأمین امنیت پیرامونی از ابزارها و روش‌های زیر کمک می‌گیرند:

استقرارفایروال: فایروال‌ها، راهکارهایی سخت‌افزاری و نرم‌افزاری هستند که می‌توانند ترافیک ورودی و خروجی شبکه سازمان را رصد کنند و بر اساس قوانینی که ادمین شبکه آن‌ها را تعریف می‌کند، محدودیت‌ها و فیلترهایی روی ترافیک اعمال کنند. برای مثال، ادمین شبکه می‌تواند به فایروال دستور دهد تا امکان دسترسی به شبکه سازمان با IPهای خارج از کشور را ندهد.

برای مثال، سازمان‌های دولتی با محدود کردن دسترسی IPهای خارجی به شبکه‌های خود، لایه‌ای امنیتی در مقابل حملات سایبری، به ویژه حملات محروم سازی از سرویس توزیع شده یا DDoS، با منشاء خارج از کشور، ایجاد می‌کنند. همچنین، سازمان‌ها می‌توانند برای جلوگیری از بازدید کارکنان خود از وبسایت‌های ناامن، از فیلترینگ هدفمند با استفاده از فایروال استفاده کنند.

استقرار سیستم‌های تشخیص و پیشگیری از نفوذ (IDS/IPS): سامانه تشخیص نفوذ (IDS) کار شناسایی فعالیت‌های مشکوک در شبکه را انجام می‌دهد و سامانه پیشگیری از نفوذ، فعالیت‌های مشکوک شناسایی شده را مسدود یا سیستم‌های مشکوک را ایزوله می‌کند.

جداسازی شبکه از اینترنت: یکی از استراتژی‌های بسیار سخت‌گیرانه که به ویژه سازمان‌های دولتی و شرکت‌های حساس مانند زیرساخت‌های انرژی، وزارتخانه‌ها، سازمان‌های نیازمند حفاظت اطلاعات، سازمان‌های نظامی و امنیتی، رسانه‌های بزرگ و ملی، بیمارستان‌ها، سازمان‌های قضایی و حقوقی، سازمان‌های مالی مانند بانک‌ها و … از آن برای تأمین امنیت شبکه سازمان استفاده می‌کنند، جداسازی شبکه از اینترنت با ایجاد شبکه AirGap است. با اینکه ایجاد شبکه ایرگپ، حفاظت کاملا مؤثری در مقابل تهدیدات آنلاین محسوب می‌شود اما سازمان‌ها را مجبور می‌کند که برای ورود و خروج امن اطلاعات، به دستگاه‌های USB و حافظه‌های قابل حمل متکی باشند که امنیت آن‌ها به شدت زیر سوال است. بنابراین، سازمان‌های دارای سامانه ایرگپ، باید برای تکمیل سد دفاعی خود در برابر تهدیداتی مانند تهدیدات USB، دو کار بسیار مهم انجام دهند:

۱) بستن پورت USB و درایوهای نوری در تمامی سیستم‌های سازمان و ۲) استقرار کیوسک امن برای ورود و خروج امن فایل.

کنترل دسترسی شبکه (NAC): با این اقدام می‌توان دسترسی دستگاه‌ها به شبکه را تحت کنترل داشتن و تضمین کرد که فقط دستگاه‌های مجاز به شبکه دسترسی داشته باشند. در این روش از احراز هویت کاربر، احراز هویت دستگاه و کنترل دسترسی مبتنی بر نقش استفاده می‌شود. راهکارهای NAC، وضعیت امنیتی دستگاه را پیش از اتصال به شبکه بررسی می‌کنند و تنها به دستگاه‌ها و کاربران مجاز، امکان دسترسی به شبکه را می‌دهند. بدین ترتیب، از دسترسی غیر مجاز به شبکه جلوگیری می‌شود و خطر تهدیدات خارجی، به طور قابل توجهی کاهش پیدا می‌کند. گذشته از این، می‌توان با یکپارچه‌سازی NAC با سیاست‌های امنیتی، محدودیت‌هایی انعطاف‌پذیر برای دسترسی به شبکه ایجاد کرد، دستگاه‌های غیر مجاز را قرنطینه کرد و به صورت لحظه به لحظه، دسترسی به شبکه را تحت نظارت داشت.

۲- دسترسی نقطه پایانی

نقاط پایانی مانند لپ تاپ‌ها، گوشی‌های موبایل و دستگاه‌های IoT اهداف اصلی بسیاری از حملات سایبری هستند. نفوذ به هر کدام از این نقاط پایانی متصل به شبکه سازمان می‌تواند کل شبکه را در معرض خطر قرار دهد.

• نصب نرم‌افزارهای امنیت نقطه پایانی: تمامی دستگاه‌های متصل به شبکه سازمان باید مجهز به آنتی ویروس‌های قدرمندی برای مقابله با بدافزارها و حملات فیشینگ باشند.
• بروزرسانی و پچ کردن منظم: اول اینکه سیستم‌های متصل به شبکه سازمان نباید دارای نرم‌افزارهای غیرضروری باشند. دوم اینکه هر نرم‌افزاری که روی نقاط پایانی شبکه نصب است، باید به طور منظم، بروزرسانی و پچ شود. همچنین، سیستم عامل نقاط پایانی نیز باید بروز باشد.
• احراز هویت: ورود به همه دستگاه‌های متصل به شبکه سازمان باید با احراز هویت انجام شود. افراد متفرقه نباید به هیچ وجه بتوانند به نقاط پایانی شبکه دسترسی داشته باشند.
• آموزش کارکنان: گاهی اوقات و در بعضی از سازمان‌ها، اتصال دستگاه‌های شخصی کارکنان به شبکه سازمان اجتناب‌ناپذیر است. بنابراین، باید آموزش‌های لازم به کارکنان داده شود و از آن‌ها خواسته شود تا سه مورد بالا را برای دستگاه‌های شخصی خود نیز رعایت کنند.
• نظارت بر نقاط پایانی: تمامی نقاط پایانی متصل به شبکه سازمان باید تحت نظارت قرار داشته باشند و فعالیت‌های آن‌ها رصد شود تا امکان شناسایی هر گونه رفتار مشکوک و پاسخ به موقع به تهدیدات وجود داشته باشد. با استفاده از یک سامانه تشخیص و پاسخ نقطه پایانی یا EDR می‌توان تمامی سیستم‌های متصل به شبکه سازمان را به طور لحظه به لحظه تحت رصد داشت و با بالاترین سرعت به هر تهدیدی پاسخ داد.

۳- کنترل دسترسی

کنترل دسترسی از مؤلفه‌های اساسی امنیت شبکه سازمان است که تضمین می‌کند تا دسترسی به داده‌ها و سیستم‌های حساس، فقط محدود به افراد تأییدشده باشد. در واقع، می‌توان کنترل دسترسی را یکی از لایه‌های ابتدایی امنیت سازمان در مقابل نقض داده و دسترسی غیرمجاز دانست. چندین مدل کنترل دسترسی برای ارتفاء امنیت شبکه وجود دارند که از مهم‌ترین آن‌ها می‌توان به موارد زیر اشاره کرد:

• کنترل دسترسی نقش‌پایه (RBAC): مدل کنترل دسترسی نقش‌پایه، یکی از رایج‌ترین مدل‌های کنترل دسترسی در سازمان‌های مدرن است. این مدل، دسترسی کاربر به سیستم‌ها را بر اساس نقش‌های سپرده‌شده به آن‌ها محدود می‌کند. در این مدل، به جای دسترسی دادن به افراد، به نقش‌ها دسترسی داده می‌شود. بدین ترتیب، مدیریت مجوزها در سازمان‌های بزرگ، بسیار ساده‌تر می‌شود. هر نقش شامل مجموعه‌ای از وظایف و مسئولیت‌هاست و افراد بر اساس شغلی که در سازمان دارند، یک یا چند نقش را بر عهده دارند. بنابراین، کارکنان فقط به اطلاعات و سیستم‌هایی دسترسی دارند که از برای انجام شغل خود، نیازمند آن‌ها هستند و بنابراین، خطر دسترسی غیرضروری به داده‌ها، کاهش پیدا می‌کند و اصل حداقل دسترسی یا least privilege رعایت می‌شود.
• احراز هویت چند-عاملی (MFA): احراز هویت چند-عاملی یکی از شناخته‌شده‌ترین روش‌های کنترل دسترسی است که مانند لایه‌ امنیتی دیگری روی لایه‌های قبلی عمل می‌کند. در این مدل، کاربر برای دسترسی به یک سیستم باید چندین مرحله و چندین نوع احراز هویت را انجام دهد. برای مثال، ارسال کد یکبار مصرف به تلفن همراه همراه با ورود گذرواژه، نوعی روش MFA بسیار رایج است. در این مدل می‌توان از روش‌های بایومتریک مانند اثرانگشت نیز استفاده کرد.
• مدل حداقل دسترسی (LPA): در این مدل، تلاش بر این است تا دسترسی غیر ضروری کاربران به حداقل برسد. بنابراین، با به حداقل رساندن تعداد کاربرانی که به سیستم‌ها و داده‌های حساس دسترسی دارند، خطر به حداقل می‌رسد.

چطور می‌توانیم امنیت شبکه سازمان خود را تقویت کنیم؟

برای تقویت امنیت شبکه باید اقدامات زیر را انجام دهیم:

احراز هویت کاربر

هر کاربری که می‌خواهد به هر بخش حساسی از شبکه دسترسی داشته باشد، باید احراز هویت شود و رایج‌ترین روش احراز هویت، استفاده از نام کاربری و گذرواژه است. با این حال، می‌توان با روش احراز هویت چند عاملی، مثل ارسال پیامک رمز یکبار مصرف به کاربر، احراز هویت را تقویت کرد. همچنین، روش‌های بیومتریک نیز از امنیت بالایی برای احراز هویت کاربران برخوردار هستند.

سیستم‌های جلوگیری از نفوذ

سیستم جلوگیری از نفوذ یا IPS نوعی فناوری شبکه است که به صورت فعالانه، ترافیک شبکه را رصد و تهدیدات بالقوه را خنثی می‌کند. برخلاف فایروال‌ها که در ورودی/خروجی شبکه سازمان قرار می‌گیرند، IPSها درون شبکه سازمان مستقر می‌شوند و ترافیک داخلی شبکه را بازرسی می‌کنند تا اگر نشانه‌ای از نقض خطی مشی‌های امنیتی سازمان، حملات بدافزاری و دیگر فعالیت‌های غیرطبیعی دیدند، هشدارهای لازم را بدهند و آن تهدیدات را خنثی کنند.

حفاظت در مقابل حملات DDoS

حملات محرم‌سازی از سرویس یا دیداس (DDoS) با سرازیر کردن سیلی از درخواست‌ها به سمت شبکه‌ها و سرورها، سبب از دسترس خارج شدن آن‌ها می‌شوند. سازمان‌ها باید راه حل‌هایی برای شناسایی و مقابله با حملات DDoS که از رایج‌ترین تهدیدات سایبری هستند، داشته باشند.

حفاظت پیشرفته در مقابل تهدید

سیستم‌های حفاظت پیشرفته در مقابل تهدید (Advanced Threat Protection) از تکنیک‌های مختلفی برای شناسایی حملات بدافزای پیچیده که لایه‌های امنیتی سنتی را دور زده‌اند و دفاع در مقابل آن‌ها استفاده می‌کنند. از تکنیک‌های مورد استفاده در این سیستم‌ها می‌توان به تحلیل هیوریستیک کد و جعبه شن اشاره کرد.

امنیت لایه انتقال

بسیاری از سازمان‌ها از فرایندی به نام امنیت لایه انتقال یا TLS برای امن‌سازی ترافیک شبکه بین وب سرورها و مرورگرها استفاده می‌کنند که نوعی پروتکل رمزنگاری است و جلوی هکرها را می‌گیرد تا نتوانند با روش‌هایی مثل حملات man-in-the-middle، اطلاعات محرمانه را به سرقت ببرند.

کنترل دسترسی

دسترسی‌های کاربران در شبکه سازمان شما نباید بدون محدودیت باشد و هر کاربری باید تنها دسترسی‌های لازم را داشته باشد.

چرا امنیت شبکه اهمیت دارد؟

سرورهای هر سازمانی می‌توانند حاوی اطلاعات محرمانه‌ای باشند که نشت آن‌ها به خارج از سازمان یا حتی دسترسی پرسنل فاقد مجوز به آن‌ها می‌تواند با خسارت‌های سنگینی همراه باشد. بنابراین، ضرورت دارد که هر سازمانی، روی امنیت شبکه به عنوان بخشی کلیدی از امنیت سایبری و حفاظت اطلاعات، سرمایه‌گذاری کند.

از سوی دیگر، سالم ماندن و حفظ دسترس‌پذیری داده‌ها نیز از اهمیت بسیار بالایی برخوردار است؛ گاهی اوقات داده‌ها می‌توانند ارزشمندترین دارایی سازمان باشند و نقض آن‌ها می‌تواند منجر به خسارت‌های سنگینی با سازمان شود. گذشته از این، دسترسی آسان و بدون دردسر به بعضی از داده‌ها و گردش روان داده‌ها درون شبکه سازمان برای انجام بسیاری از کارها ضرورت دارد و اختلال در دسترسی به داده‌ها می‌تواند فعالیت‌های سازمان را با مشکل مواجه کند.

با نگاهی به آمار خسارت‌های سالانه به سازمان‌ها در سرتاسر دنیا به دلیل حملات هکری، می‌توان به حساسیت امنیت شبکه سازمان پی برد:

• به گزارش IBM، تنها در سال ۲۰۲۳، هزینه متوسط هر مورد نقض داده در دنیا، حدود ۴.۴۵ میلیون دلار برآورد شده که ۱۵ درصد نسبت به سال ۲۰۲۰، افزایش داشته است. این آمار در سال ۲۰۲۴، نسبت به سال ۲۰۲۳، افزایش ۱۰ درصدی نشان می‌دهد.
• برآوردها نشان می‌دهد که خسارت‌های حملات باج‌افزاری تا سال ۲۰۳۱ از ۲۶۵ میلیارد دلار بر سال، فراتر می‌رود.
• به گزارش PwC در سال ۲۰۲۲ حدود ۸۷ درصد از مشتریان شرکت‌ها در سرتاسر دنیا بیان کرده‌اند که در صورت اطمینان نداشتن به امنیت شبکه سازمان، خدمات و محصولات خود را از شرکت دیگری می‌خرند.
• در سال ۲۰۲۰، حمله‌ای باج‌افزاری به یک بیمارستان در آلمان، منجر به وقوع اولین مرگ مستقیم با یک حمله سایبری در دنیا شد. در آن حادثه، به دلیل حمله باج‌افزاری، بیماری اورژانسی به بیمارستان دیگری ارجاع داده شد که به دلیل تأخیر در اقدامات اورژانسی، منجر به مرگ او شد.

همه این‌ها به کنار، حملات سایبری موفق به شبکه‌های سازمان‌ها می‌توانند با خارج کردن کنترل شبکه از دست افراد مجاز و گذاشتن آن در اختیار هکرها و مجرمین سایبری، نه تنها اعتبار سازمان را زیر سوال ببرند، بلکه سبب مشکلات مالی، امنیتی و در بعضی موارد، حتی خسارت‌های جانی شوند.

بنابراین، ضرورت دارد که هر سازمانی برای حفاظت از محرمانگی، صحت و دسترس‌پذیری داده‌ها در شبکه IT خود، تمامی اقدامات و سرمایه‌گذاری‌های لازم را انجام دهد تا خسارت‌های تهدیدات سایبری را به حداقل برساند.مهم‌ترین تهدیدات برای امنیت شبکه سازمان شما کدامند؟

طیف وسیعی از عوامل و تهدیدات سایبری می‌توانند سه اصل محرمانگی، صحبت و دسترس‌پذیری داده‌ها در شبکه سازمان شما را به خطر بیاندازند که از مهم‌ترین آن‌ها می‌توان به عوامل زیر اشاره کرد:

• ویروس‌ها: بدافزارهایی هستند که می‌توانند پس از نفوذ به شبکه، به داده‌ها، نرم‌افزارها و سخت‌افزارهای شما آسیب وارد کنند یا سبب نفوذ و نقض داده شوند. این بدافزارها قابلیت تکثیر دارند.
• تروجان‌ها: بدافزارهایی در قالب اپلیکیشن‌های طبیعی و بی‌خطر هستند که می‌توانند سبب فریب خوردن کاربران شبکه شوند و پس از اجرا به شبکه و داده‌های شما نفوذ کنند یا به آن‌ها آسیب بزنند.
• فیشینگ: نوعی حمله سایبری است که در آن از مهندسی اجتماعی برای فریب دادن کاربران به منظور انجام اشتباهی امنیتی مثل کلیک کردن روی لینک دانلود بدافزار یا وارد کردن اطلاعات حساس در صفحات وب جعلی استفاده می‌شود.
• محروم‌سازی از سرویس (DDoS): در رابطه با حملات دیداس پیش از این صحبت کردیم و گفتیم که در این نوع حملات، حجم بالایی از ترافیک غیر مشروع به سمت شبکه و سرورهای سازمان ارسال می‌شود تا آن را از خدمت خارج کند.
• جعل IP: در این نوع حمله هکر از جعل یک IP خاص برای دور زدن فایروال‌ها و دسترسی غیرمجاز به شبکه شما استفاده می‌کند.

سوالات پرتکرار

۱- چطور می‌توانیم از شبکه سازمان خود در مقابل تهدیدات سایبری محافظت کنیم؟

با رعایت اصول امنیت شبکه مثل کنترل دسترسی، احراز هویت کاربران، استقرار فایروال‌ها، استفاده از پروتکل‌های ارتباطی امن برای گردش اطلاعات بر بستر اینترنت، استفاده از VPNها، محافظت در مقابل حملات DDoS و … می‌توان تا زیادی از شبکه سازمان در مقابل تهدیدات سایبری محافظت کرد.

۲-تفاوت امنیت شبکه و امنیت سایبری چیست؟

امنیت سایبری مفهوم گسترده‌تری در مقایسه با امنیت شبکه دارد و شامل حفاظت از سیستم‌ها، شبکه و نرم‌افزار در مقابل تهدیدات سایبری است اما امنیت شبکه تنها روی حفاظت از امنیت زیرساخت‌های شبکه در مقابل دسترسی غیر مجاز، نقض داده و تهدیدات سایبری تمرکز دارد. در واقع، می‌توان گفت که امنیت شبکه، زیرشاخه‌ای از امنیت سایبری است.

---

لینک کوتاه : https://rezaforuzan.ir/uwnx