حمله باج افزاری را با سکته قلبی مقایسه کرده اند. این حمله چیزی است که به لحاظ نظری همه را تهدید می کند ولی وقتی روی می دهد، شوک این تجربه همیشه غافلگیرکننده است.
در ثانیه ها، دقایق و گاهی ساعت های اولیه حمله، سازمان ها به حال خود رها می شوند. این لحظه ای از ضربه است که بسیاری از سازمان ها آن را فلج کننده می دانند، چیزی که حمله کنندگان برای آن برنامه دارند.
این امر باعث می شود اثرات حمله بدتر شود. در نهایت، شمار فزاینده ای از درخواست های کمک به وجود می آید و این درخواست ها، ارزش تجربه های آن شرکت تامین کننده خدماتی را برجسته می کند که شاهد مورد حمله قرار گرفتن شرکت های بسیار دیگر بوده است.
یکی از شرکت هایی که این گونه درخواست های کمک را دریافت می کند، AT&T و واحد کسب و کار خدمات امنیتی آن است. رئیس این شرکت، دارای تجربه مستقیم کمک به قربانیان در اولین روز حمله است. او به کسانی که نگران این تهدید هستند، چه توصیه ای می کند؟
او می گوید «وقتی یک مشتری در زمان یک حمله باج افزاری تماس می گیرد، همیشه وضعیت نابهنجاری است که توانایی مشتری در انجام کسب و کار به طور کامل متوقف شده است. نوعا، این اولین باری است که آن ها دچار توقف کار در چنین سطحی شده اند.»
اولین ضربه به خود تیم IT به عنوان یک واحد عملکردی وارد می شود. در بسیاری از مواقع، تیم IT احساس می کند مقصر حادثه است و این ترس در کل تیم گسترش می یابد.
بنا به تجربه او، مهم ترین مسئله این نیست که برنامه پاسخ به حادثه وجود ندارد، بلکه قبلا به درستی تست نشده است و خود زنجیره فرماندهی ارتباط و تصمیم گیری اولین موردی است که باید تست خود را پس دهد.
بنابراین، باید به صورت منظم برنامه پاسخ به حادثه امنیت سایبری خود را در کنار افراد و تکنولوژی امکان دهنده آن تست کنید. در صورتی که تنها تست شما برگرفته از گفتگویی در یک جلسه ساده و بدون هیچ گونه فشار مختل شدن فعالیت کل سازمان باشد، حس امنیت شما کاذب خواهد بود.
تصمیم گیرنده نهایی در چنین حادثه ای کیست؟ اغلب متوجه می شوید که همزمان چند نفر دست خود را بالا می آورند که نشان دهنده وضعیت مطلوبی نیست. توصیه من این است که تنها یک فرد می تواند مسئول تصمیم گیری باشد.
تنها کنار هم قرار دادن چند فرد از یک MSSP طرف سوم، مشکل را حل نمی کند. آن شرکت نمی تواند به جای شما تصمیم گیری کند.
یکی از مسئولان خود شرکت باید مسئولیت را بر عهده داشته باشد که در حالت ایده آل کسی است که قبلا حمله باج افزاری را دیده باشد. زیرا در صورت لزوم یک نفر باید با تامین کنندگان خارجی، شرکا و نیروهای انتظامی صحبت کند.
اولین سوال مد نظر هر قربانی در زمان حمله آن است که آیا حمله کننده هنوز در شبکه است و اگر این طور است، خود را کجا پنهان کرده است.
اولین چیزی که تیم IT به سراغ آن می رود، لوگ ها است که امید دارند بخش هایی از حرکت و رویه ها و تکنیک های ابزار (TTPها) حمله کنندگان را آشکار نماید.
نقص این کار آن است که لوگینگ همیشه در تنظیمات پیش فرض دربردارنده داده های کافی نیست؛ برای مثال، تنها حاوی 30 روز آخر در یک کنترل کننده فهرست فعال (AD) است.
توصیه این است که لوگینگ را حداقل در مورد سرورهای مهم به چند ماه افزایش دهید. تنها در این صورت چنین امکانی وجود خواهد داشت که ریشه نقضی که برای اجتناب از تکرار حادثه لازم است را کشف کنید.
حمله کنندگان می توانند در برخی موارد تا 230 روز در شبکه شما باشند و لوگ های شرکت شما تنها مربوط به 30 روز پیش هستند. این مدت 30 روزه دیگر جواب نمی دهد.
چاره جویی بعدی استفاده از پچینگ است که از آن چه به نظر می رسد دشوارتر است. در بسیاری موارد، افراد دارای موجودی دارایی مشخصی نیستند.
در صورتی که ندانید در شبکه شما چیست و موجودی های شما چه زمانی به روز شده است، کار زیادی نمی توان به لحاظ توقف انتشار انجام داد.
برای بازیابی حمله، تنها موجودی معنادار دارای، آنی است که در زمان واقعی عمل کند و هر زمانی که دارایی جدیدی دیده می شود، افزوده گردد. سازمان ها نمی توانند آن چه را که قادر به دیدن یا دانستن نیستند، ایمن نگه دارند، که این مورد نه تنها شامل ابزارهای فیزیکی می شود بلکه اندوختگاه های ابری، ذخیره ها، اپلیکیشن ها و هر نوع سروری را نیز در بر می گیرد.
سال ها است که امکان کشف دارایی زمان واقعی به واسطه موتورهای موجودی دارایی آنلاین وجود دارد و این نشان می دهد که این کار، تکلیف چندان سنگینی نیست.
همه سازمان ها پشتیبان گیری را اجباری می کنند اما همه پشتیبان ها در زمان حمله باج افزاری مفید نیستند.
اولین مشکل آن است که سازمان ها همیشه آن ها را تست نمی کنند. این به معنای در ذهن داشتن مفروضات بدبینانه در مورد وضعیت خود شبکه است.
پشتیبان گیری مسئله ساده ای است، اما باید آن ها را از آن نقطه نظر تست نمایید که با استفاده از آن ها، بدون دسترسی به منابع خاص، قادر به راه اندازی مجدد سیستم باشید.
پشتیبان اصلی سنتی دارای قالب 3-2-1 است که به واسطه آن پشتیبان هایی از انواع مختلف رسانه ها در مکان های مختلف از جمله آفلاین و آنلاین تولید می کنند.
اما در صورتی که یک یا تعداد بیشتری از آن ها به نحوی مختل شده باشد – یک مسئله اتصال نشات گرفته از حمله – استراتژی پشتیبان گیری نقطه ضعف خود را آشکار می کند.
در مواد زیادی سازمان ها فکر می کنند پشتیبان را تست کرده اند اما اغلب آن را به اندازه کافی در شرایط واقعی تست نکرده اند. علاوه بر این، تمرین بازیابی می تواند کشف سایر نقاط ضعف را در پی داشته باشد.
معمولا این گونه نقاط ضعف در ارتباط با کیفیت پشتیبان هستند که به نوبه خود با شکل گیری پشتیبان های بهتر در زمان نیاز به آن ها خواهد شد. ساده ترین راه برای گنجاندن تست های کامل و دقیق آن است که فردی به عنوان مسئول این کار مشخص کنید.
این که باید باج را پرداخت کرد یا خیر از همان حملات ابتدایی در حدود یک دهه پیش، مورد اختلاف بوده است و هنوز پاسخ مشخصی برای آن وجود ندارد. آیا پرداخت باج می تواند به سادگی مشکلات بیشتری را در آینده به دنبال داشته باشد؟
توصیه ما این است که باج را پرداخت نکنید زیرا احتمال این که داده های خود را پس بگیرید، مشخص نیست. مهم تر آن که بدین صورت، امکانات بیشتری برای تهدید خود در اختیار آن ها قرار می دهید. یک نگرانی دیگر این است که تبدیل پرداخت باج به بخشی از استراتژی امنیت سایبری خطر تضعیف اقدامات کنترلی را در پی دارد که با استفاده از آن ها می توانید در همان مرحله اول از نیاز به پرداخت باج اجتناب کنید.
می توانید به جای این کار، همان پول را روی امنیت سایبری خود سرمایه گذاری کنید و خطر افشا را کاهش دهید.
یک مسئله عمده برای بسیاری از سازمان های کوچک تر، هدایت مهارت ها و سرمایه گذاری لازم جهت دفاع از خود بوده است. وقتی نیاز به جراحی داشته باشید به سراغ جراح می روید. اگر فکر می کنید این کار را خودتان می توانید انجام دهید، به خود آسیب خواهید رساند.
انتخاب یک MSSP در بازاری مزدحم، آسان نیست. بهترین کار گشتن به دنبال شریکی است که نه تنها بتواند به شما بگوید مشکل چیست بلکه آن را حل کند. با این حال، از آن جا که وضعیت با ظاهر شدن حملات جدید، تقریبا به سرعت در حال تغییر است، چنین امری مستلزم آن است که تامین کننده قادر باشد نشان دهد از توانایی سرمایه گذاری و نوآوری در طول زمان برخوردار است.
فورتی نت یک شرکت آمریکایی است که تمرکز فعالیت های آن بر ارائه محصولات امنیت شبکه می باشد. این شرکت در سال 2000 تاسیس شده و اولین تجهیز امنیتی Unified threat management را در سال 2002 با نام فورتی گیت ارائه کرده است.
UTM (مدیریت تهدید یکپارچه)، یک راه حل جامع امنیت در شبکه می باشد که از سال 2004 رسما به عنوان یک راه حل دفاعی در برابر تهدیدات شبکه در سازمان ها تبدیل شده است.
تجهیزات شرکت فورتی نت طوری طراحی شده اند تا امنیت یکپارچه واقعی را به صورت end to end فراهم آورند. به دلیل انعطاف بالا، تولیدات این کمپانی قابل استفاده در هر سطحی از شبکه (بسیار کوچک تا شبکه های گسترده) هستند.
محصولات کمپانی فورتی نت
1- Interruption (قطع ارتباط)
مهاجم جلوی ارسال اطلاعات را می گیرد و اطلاعات به مقصد نمی رسد.
2- Interception (شنود اطلاعات)
اطلاعات به مقصد می رسد اما مهاجم اطلاعات را استراق سمع می کند و این حمله باعث نقض محرمانگی می شود.
3- Modification (تغییر اطلاعات)
مهاجم روی اطلاعات تغییراتی ایجاد کرده سپس آن را به مقصد می رساند. بنابراین صحت اطلاعات زیر سوال می رود.
4- Fabrication (فریب و جعل اطلاعات)
مهاجم خود را بعنوان مبدا جا زده و اطلاعاتی را از طرف مبدا به مقصد ارسال می کند. در این حمله اصالت اطلاعات زیر سوال می رود.
مثلث امنیت:
براساس تعریف انواع حملات یکسری اهداف امنیتی تدوین شد که به آن مثلث امنیتی می گویند. اگر یکی یا چند تا از اضلاع این مثلث برقرار نباشد یعنی امنیت شبکه وجود ندارد.
- Confidentiality (محرمانگی)
یعنی محرمانگی اطلاعات حفظ شود.
- Integrity (جامعیت یا یکپارچگی)
یعنی اطلاعات بدون کم و کاست از مبدا به مقصد ارسال شود.
- Availability (دسترسی)
مقصد به اطلاعات مبدا دسترسی داشته باشد.
بعدها "استفاده قانونی از اطلاعات" به این اهداف امنیتی اضافه شد یعنی آیا من قانونا اجازه استفاده از اطلاعاتی که در دسترس من هستند را دارم یا نه؟
به این اهداف امنیتی +CIA گفته می شود.
طبق بررسی Gartner ، مشتریان سازمانی روز به روز بیش از پیش برای اتصال خود فقط به اینترنت عمومی تکیه می کنند.
فورتی نت و VMware و چند شرکت دیگر، با یکدیگر برای پیشتازی در آخرین Gartner Magic Quadrant برای زیرساخت WAN edge رقابت می کنند.
این شش شرکت در سال 2020 نیز «رهبران» چارت Gartner در این حوزه بوده اند: Fortinet ، VMware ، Versa Networks ، Palo Alto Networks ، Cisco و HPE.
این رقابت از سال 2019 ، زمانی که تنها VMware و Silver Peak (از زمانی که توسط شرکت HPE/Aruba خریداری شد) در میان رهبران قرار داشتند، سخت تر شده است.
در بخش Visionaries این چارت، تنها نام کمپانی Juniper Networks به چشم می خورد.
این بخش در سال گذشته شامل Juniper و HPE Aruba شده بود، اما HPE پس از ادغام Silver Peak به سرعت پیشرفت کرده و خود را به بخش Leaders رساند. کمپانی های Citrix و Huawei نیز مشابه سال قبل همچنان در بخش Challengers قرار دارند.
Teldat تنها شرکتی بوده که بدلیل عدم براورد معیارهای ورودی Gartner دیگر در این چارت حضور ندارد. زیرا یکی از شروط اصلی Gartner برای حضور در چارت خود این بوده است که تولیدکنندگان، سخت افزار یا نرم افزار شبکه WAN edge شبکه ای را که در دسترس عموم قرار داده اند، بصورت 24/7 پشتیبانی کنند.
گارتنر SD-WAN و روترهای شاخه سنتی را زیرساخت WAN edge می داند. گارتنر از فروشندگان می خواهد که سخت افزار یا نرم افزار شبکه WAN edge شبکه ای را که در دسترس عموم است، 24/7 پشتیبانی کنند.
تعداد مشتریان
گارتنر برآورد خود را از تعداد مشتریان WAN edge یا SD-WAN که هر تولید کننده دارد به ترتیب زیر بیان نموده است:
Cisco: 40000 مشتری WAN edge
Fortinet: 34000 مشتری WAN edge (و بیش از 10000 مشتری SD-WAN)
Huawei: 20000 مشتری WAN edge
Juniper Networks: 18000 مشتری WAN edge
VMware: 14000 مشتری SD-WAN
Peplink: 14000 مشتری WAN edge
Barracuda: 12000 مشتری WAN edge
Versa Networks: 12000 مشتری WAN edge
Cradlepoint: 9000 مشتری WAN edge
Riverbed: 3000 مشتری SD-WAN
HPE Aruba: 3000 مشتری WAN edge
Nuage Networks: 2500 مشتری WAN edge
FatPipe Networks: 2000 مشتری WAN edge
Networks Palo Alto: 2000 مشتری WAN edge
Citrix: 1700 مشتری WAN edge
این اعداد بدیهی است که نباید بصورت یک به یک بین تولید کننده های مختلف مقایسه شود. با این حال، این اعداد دید جالبی در خصوص اندازه بازار، به مخاطب می دهند.
گزارش گارتنر نشان دهنده حرکت مشتریان سازمانی از شبکه های MPLS خصوصی به اینترنت عمومی به عنوان منبع اصلی اتصال آنها است.
به عنوان مثال ، گارتنر پیش بینی می کند که 40 درصد از سازمان های بزرگ و Enterprise فقط از اتصال WAN اینترنتی استفاده خواهند کرد، که در حال حاضر تنها 15 درصد از آنها از بستر اینترنت برای این کار استفاده می کنند.
گارتنر دریافت که 40 درصد از مشتریان SD-WAN از یک محیط secure access service edge (SASE) استفاده می کنند. علاوه بر این، گارتنر پیش بینی می کند که این رقم تا سال 2024 به بیش از 70 درصد خواهد رسید.
این مطالعه همچنین افزایش ویژگی های هوش مصنوعی مرتبط با استقرار SD-WAN را پیش بینی کرده است.
گارتنر تخمین می زند که کمتر از 5 درصد از مشتریان SD-WAN از «هوش مصنوعی» برای فعالیت های فاز دومی یا Day 2 Operations استفاده می کنند. با این حال، انتظار می رود این درصد تا سال 2025 به 40 درصد افزایش یابد.
گارتنر پیش بینی کرده است که بازار Edge WAN از سال 2019 تا 2025 سالانه 2.6% رشد کند.
از یک سو ، SD-WAN سالانه 18% رشد می کند، در حالی که روترهای سنتی شعبه 16.5% کاهش خواهند یافت.
گروه Dell’Oro در اوایل این ماه گزارش داد که بازار نیمه اول SD-WAN سال 2021 به میزان 39% از نیمه اول سال 2020 بهتر شده است. Dell’Oro همچنین بیان کرده است که شش فروشنده رهبر در این حوزه، تقریبا 70% از سهم بازار را در اختیار دارند.
منبع: https://www.fortinet.com/blog
قبل از به وجود آمدن شبکه های کامپیوتری، بحثی به نام انتقال داده ها وجود داشت. بدون وجود شبکه های کامپیوتری برای انتقال داده ها از ابزارهایی مثل CD و انواع مموری ها استفاده می شد.
در این روش انتقال اطلاعات با مشکلات زیادی همراه بود:
1) صرف زمان زیاد
2) هزینه بالای انتقال اطلاعات
3) محدودیت های جغرافیایی
4) این روش برای انتقال داده های حجیم مناسب نبود
این مشکلات باعث مطرح شدن بحث وجود شبکه های کامپیوتری برای اشتراک گذاری منابع و متمرکز کردن اطلاعات شد.
شبکه های کامپیوتری منابع را به اشتراک گذاشتند و اطلاعات را متمرکز کردند تا افراد بتوانند از این منابع بدون صرف زمان و هزینه زیاد و بدون در نظر گرفتن محدودیت های جغرافیایی، استفاده کنند.
بعد از مدتی با بالا رفتن حجم اطلاعات، کند شدن سرعت شبکه های کامپیوتری آزار دهنده شد (هنوز هم بحث Big Data جزو مسائل روز دنیا می باشد)، بنابراین هدف اولیه در بحث شبکه های کامپیوتری ارائه روش هایی برای انتقال سریع تر و رساندن اطلاعات به مقصد در کمترین زمان ممکن بود.
بعدها گسترش شبکه ها و امکان دسترسی همه افراد به شبکه های کامپیوتری از یک طرف و از طرف دیگر بالا رفتن دانش افراد در استفاده از شبکه های کامپیوتری، باعث شد هدف اولیه دستخوش تغییر شود.
به دلیل سوءاستفاده و سودجویی برخی افراد از دانش شبکه های کامپیوتری، مبحث انتقال ایمن اطلاعات در شبکه مطرح شد.
مطرح شدن موضوع امنیت انتقال اطلاعات باعث شد هدف اولیه طراحی و پیاده سازی شبکه های کامپیوتری به این شکل اصلاح شود: انتقال ایمن اطلاعات در کمترین زمان ممکن
بنابراین دو پارامتر اساسی سرعت و امنیت همواره در طراحی شبکه های کامپیوتری مورد نظر قرار گرفته می شود.
