یک استراتژی ارتباطات «گروهی» و «نظیر به نظیر» چه مزیت‌هایی نسبت به‌ شبکه‌های مجزای قدیمی در مواجهه با تهدیدات امنیتی دارد؟

همانطور که می‌دانیم تحلیل امنیت شبکه از کار گروهی که از دیرباز رایج بوده است سخن به میان نمی‌آورد؛ و امنیت سازان شبکه‌ نیز از ترس آسیب‌ دیدن اطلاعاتشان به ندرت اطلاعات تحلیلی را با همتایان خود در دیگر سازمان‌ها به اشتراک می‌گذارند. البته این امر دلایل مختلفی دارد و از جمله آن می‌توان به ترس اشتراک گذاری اطلاعات مهم و حساس، کمبود حضور کارمند، فقدان کارآموز و در نهایت فقدان ابزار و تجهیزات اشاره کرد. بدین ترتیب در این روش مرسوم، تحلیل امنیت شبکه به تنهایی ملزم به حضور و بازبینی افراد بسیار و به اشتراک گذاری تحلیل های غیرمشابه می‌باشد؛ آن هم در شرایطی که بیشتر سازمان‌ها از نرم‌افزارهای سفارشی یا نرم‌افزارهای مختلف در دسترس و از پیش تهیه شده استفاده می‌کنند و تحلیل کنندگان سیستم‌ها به منظور بررسی تهدیدها باید گزارش دیگر سازمان‌ها را به صورت دستی با هم مقایسه کنند. بدتر از همه آنکه اعضای سازمان‌های مختلف باید زمانی را صرف کنند تا همکارشان ایمیلی را دریافت کند، زمانی را برای خواندنش در نظر بگیرد و رسیدگی به آن را در اولویت وظایف خود قرار دهد، و در نتیجه جواب امیدوار کننده‌ای بدهد که این امر متحمل تاخیر بسیار زیادی خواهد شد.

این روند کند تحلیل ترافیک شبکه‌ها جهت کشف تهدیدات امنیتی باعث شد که سازمان‌ها در مقابله با حمله کنندگان جدیدی از جمله: نسل جدید بات نت‌ها (botnet)، ابزارهای دیداس (Ddos)، حضور فزاینده‌ی دستگاه‌های شخصی غیرقابل اعتماد در شبکه‌های گروهی و امنیت محدود دستگاه‌های LoT در موقعیت تدافعی قرار گرفتند.

 

بیشتر بخوانید  برای امنیت شبکه و انتخاب ابزار متناسب با نیازهای سازمانتان با ما همراه باشید

 

بدین ترتیب، ما به اتومات شدن تحلیل الگوهای ترافیکی ثابت و فناوری سریع ‌و غیر انسانی نیاز داریم تا نتایج را مقایسه کنیم و پاسخ مناسبی به دست آوریم. در این شرایط، یکی از رویکردهای در حال ظهور استفاده شده در این حوزه، پیدایش زیربنای سیستم‌های گروهی یا همتا به همتا (P2P) می‌باشد که به صورت خودکار ناهمسانی اطلاعات را تشخیص می‌دهد و آن را به اشتراک می‌گذارد. در نتیجه، تدارک دیدگان ابرها یا کلود، ISPs، شرکت‌های VoiP و دانشگاه‌ها به راحتی می‌توانند اطلاعاتشان را در حجم بالا و با شالوده‌ی فناوری اطلاعات (IT) مستحکمی در فضای اطلاعاتی سایبری با یکدیگر به اشتراک بگذارند و تحلیل ‌‌کنند.

 

مزایای رویکرد تحلیلی همتا به همتا

بد نیست بدانید که رویکرد تحلیلی همتا به همتا یا گروهی مزیت‌هایی دارد که بواسطه‌ی آن‌ بر تکنولوژی‌های دیگر سبقت گرفته است، از جمله: سرعت، بهینه سازی بازبینی، کاهش یافتن آسیب‌ها و در نهایت شناسایی حملاتی که سیستم‌های مجزا قابل به شناسایی آن نیستند.

 

سرعت

مدیران شبکه‌های ارتباطی و سیستم‌ها مقدار غیرقابل قبولی از زمانشان را به منظور بازرسی و جست‌وجوی لگاریتم‌های ترافیک و مراکز ترافیکی صرف می‌کنند؛ که متاسفانه همتا کردن نتایج در این شرایط هم منجر به ایجاد ناهمسانی شده و هم هفته‌ها یا حتی‌ ماه‌ها به طول می‌انجامد.

بدتر از همه آنکه تمام این زمان‌هایی که به صورت دستی صرف رسیدگی‌ و بازبینی می‌شود، تحلیل تهدیدی دقیق و سریع را ارائه نمی‌دهد. بدین ترتیب رویکرد همتا به همتا مطرح شده است که مزایایی مانند دارا بودن چکیده‌ی ترافیک اطلاعات و نشان‌‌دادن داده‌ی مشکوک نشانه گذاری شده توسط یک مدیر، و در آخر مقایسه‌ ترافیک داده‌ها با سایت‌های دیگری که ادمین‌های دیگر نشانه گذاری کرده‌اند را دارا می‌باشد؛ برای مثال، این رویکرد را می‌توان در جهت تشخیص بدافزارهای دستوری کنترلی و شناسایی آدرس‌ سایت‌های کلاهبرداری افشا شده به عنوان قسمتی از یک حمله استفاده کرد.
همچنین، یکی دیگر از مزایای سیستم‌های همتا به همتا امکان اشتراک گذاری همزمان دانش داده‌ها با شبکه می‌باشد، بدین ترتیب امکان رشد و ارتقای علوم و دانش اشتراک گذاری شده را برای کاربران دیگر فراهم می‌کند، تا جایی که اطلاعات کافی برای به رسمیت نشناختن و یا تکذیب یک ناهمسانی را به دست آورند.

 

بهینه سازی بازبینی، کاهش یافتن آسیب‌ها

جالب است بدانید که سرمایه گذارانِ ریسک ناپذیر برای شناخت مزایای دو سویه رویکرد گروهی وقت زیادی را صرف نکردند. با این حال عده‌ای تنها خطرهای اشتراک گذاری صحیح اطلاعاتِ شبکه‌هایشان با همتایان دیگر را در نظر می‌گیرند و نسبت به آن تردید دارند، البته ناگفته نماند که شناخت این افراد نسبت به سیستم‌های دفاعی سایبری مرسوم رو به افزایش است و موثر نبودن روش گذشته شان به آن‌ها ثابت شده است.

حملات باج افزاری یکی از مثال‌های پیش پا افتاده در این مبحث است. شدت این حملات به قدری است که در اوایل سال جاری انجمن بیمارستان تگزاس پاسخ و بازیابی حملات باج افزاری را بزرگ‌ترین مشکل در برقراری امنیت در فضای مجازی خواند. همچنین تلاش برای شناسایی و معرفی ‌باج افزارها و یا دیگر تهدیدات بدافزاری در شبکه‌های مجزا نیز چالش دیگری‌ است که بیمارستان‌ها با آن‌ دست و پنجه نرم می‌کنند، مخصوصا بیمارستان‌هایی که فاقد سیستم زیربنایی امنیتی قابل توجه و تیم واکنش به حوادث امنیتی اینترنتی می‌باشند. به همین منظور استفاده از رویکرد همتا به همتا در بیمارستان‌ها الزامی شد، رویکردی که به سازما‌ن‌های همسویی که با چالش‌هایی مشابه‌ و فزاینده‌‌ روبرو هستند، امکان اشتراک گذاری ترافیک اطلاعاتی شبکه را به گونه‌ای که حمله باج افزارها در آن‌ به صورت بهتری نمایان شود را فراهم کرده است.

 

بیشتر بخوانید  امنیت اطلاعات خود را تامین کنید تا پایداری کسب و کارتان تضمین شود

 

در شبکه‌های همتا به همتای استفاده شده در سایت بیمارستان‌های مختلف اطلاعاتی درباره ترافیک داده‌ها که شامل باج افزارها می‌شود به صورت خودکار به اشتراک گذاشته می‌شود. بدین ترتیب اگر باج افزاری در یکی از سایت‌ها رخ بدهد، اطلاعات ترافیک شبکه‌ای که تحت تاثیر آن قرار گرفته است با دیگر شبکه‌ها به اشتراک گذاشته می‌شود، و در صورتی که دیگر شبکه‌ها آن الگوی مشابه را در ترافیک دیتای خود مشاهده کنند، می‌توانند قبل از آنکه باج افزار مذکور تاثیرگذاری خود را شروع کند آن را شناسایی کنند و از شدت آن بکاهند.

با اینکه شناسایی زودهنگام این حملات کلید اصلی کاهش آسیب‌‌های احتمالی آن‌ می‌باشد، به همان نسبت تاخیر انداختن مابین زمان هجوم باج افزارها و شروع عملیات فرونشانی یکی از مسائل جدی است که ممکن است حملات دیگری را نیز متحمل شود، مانند دیداس‌ که در آن زمان اضافی امکان بازخورد مثبت بیشتری به حمله کننده را فراهم می‌کند و باج افزار دیتای ترافیک بیشتر و بیشتری را به شبکه‌ی هدف ارسال خواهد کرد. به همین منظور، در شرایطی که از رویکرد همتا به همتا استفاده شود، امکان شناسایی زود هنگام و فرونشانی دیداس‌ها برای مدافعان متعدد با پاسخ‌های هماهنگ فراهم می‌شود و آسیب‌های موازی و پرماجرا جلوگیری می‌شود.

 

شناسایی حملاتی که سیستم‌های مجزا قابل به شناسایی آن نیستند

شالوده‌ی همتا به همتا نه تنها قادر به شناسایی خودکار ناهمسانی‌ها و اشتراک گذاری دیتا با استفاده از توزیع کننده است، بلکه می‌تواند « تصویری جامع از تحلیل داده‌ها » را نیز فراهم کند، و این مزیتی است که در سایت‌های فردی و مجزا وجود ندارد. الگوهای حملات در طول شبکه، اطلاعاتی را درباره‌ی هدف حمله‌ کننده، انگیزه آن‌ها از حمله و نیز پیش بینی رفتار بعدی آن‌ها نیز فراهم می‌کنند. در سطوح پایین‌تر نیز سنسورهای ترافیکی در نقاط مختلف در طول اینترنت حملات ترافیکی انحرافی را افشا می‌کند و بدین ترتیب مکانیسم هدفمند بیشتری را برای سرکوب آن ارائه می‌دهد.

همچنین سیستم‌های شبکه‌ای گر‌وهی در هردو لایه‌ زیربنایی _هسته ISPs و شبکه سازان اصلی_ به خوبی نسل پر سرعت تر شبکه GSM اجرا می‌شود و بدین بوسیله‌ الگوی کل پایگاه‌های کاربری به اپراتورها نشان داده خواهد شد. بعنوان نمونه، ISP  پرسرعت با سرعت بیشتری علائم تجهیزات خانگی به خطر افتاده loT و نیز ترافیک دیتای کنترل شده را در دستگاه‌های خانگی کشف می‌کند.

در آخر، بد نیست بدانید که مدیران به هردو رویکرد ترافیک شبکه اعم از بازبینی ثابت و همیشگی و همچنین همکاری با دیگر مدیران به جهت فهمیدن آن ترافیک نیاز دارند. متاسفانه مدیران زمان، انرژی و یا دانش کافی برای تحلیل تمام داده‌های خود را ندارند. بدین جهت ابزارهای تحلیلی داده‌ی ترافیک خودکار به حل این مشکل شتافته است، هرچند باید توجه کرد که ظرفیت بالای این رویکرد به جهت استفاده از مکانیسم همتا به همتا می‌باشد.