امنیت اطلاعات در شبکه های محلی؛ گذشته متزلزل، آینده متحول
روزگاری نه چندان دور، حملات ویروس های مخرب و شیوع سایر تهدیدهای رایانه ای در صدر داغ ترین اخبار جهان قرار می گرفت و صدمات اطلاعاتی و تجهیزاتی ناشی از آن، توسط رسانه های مختلف، به طور اغراق آمیزی مورد توجه واقع می شد
شاید خاطر بسیاری مانده باشد که همین اخبار پی در پی و بزرگنمایی های بیهوده، شایعات فراوانی را نیز میان کاربران ایجاد می کرد، نظیر انتشار ویروسی که در یک ساعت معین تمام رایانه های آلوده ( حتی سیستم های خاموش ! ) در سرتاسر جهان را به طور همزمان منفجر خواهد کرد!! و ...
اما در عین حال، کابوس ترسناک ابر ویروس هایی چون "I Love you" ،"SQL Slammer" ، "NetSky" و ... هنوز هم برای بسیاری از مدیران شبکه های محلی، تداعی کننده روزهای تلخی ست که هیچ گاه از یاد نخواهند رفت.
با نگاهی منطقی تر می توان ادعا کرد که این ویروس ها هر چند از وسعت انتشار و قدرت تخریب قابل توجهی برخوردار بودند، اما به هیچ وجه "غیر قابل ردیابی" یا "غیرقابل کنترل" نبوده اند و تنها سرعت پراکندگی آن ها اندکی بیش از سرعت بروز رسانی و تجهیز نرم افزارهای امنیتی نصب شده در شبکه ها ( البته در صورت وجود ! ) بود .
البته در برخی از موارد، علی رغم استفاده از نرم افزارهای امنیتی مجهز و به روز، ویروس ها باز هم راه نفوذی به درون شبکه ها پیدا می کردند؛ به این دلیل که متاسفانه در بسیاری از شبکه های گسترده، همیشه یک یا چند رایانه و یا تعدادی از سیستم های پردازش اطلاعات، به نحوی و به علتی خارج از شبکه محلی قرار گرفته و از سیاست های امنیتی اعمال شده و محدودیت حفاظتی تعریف شده عبور می کنند.
رفته رفته برای مقابله با بدافزارهای پیشرفته تر و نیز به منظور کاهش آسیب پذیری و کنترل فعالیت های مخرب، راهکارهای دیگری به اجرا گذاشته شد. ابزار و نرم افزارهای حفاظتی از آن پس علاوه بر سیستم های کلاسیک ضد کدهای مخرب ( بررسی کننده فایل های مقیم در حافظه سیستم ها)، به سامانه های راهبردی دیگری مانند فایروال های پیشرفته و قابل تنظیم، برنامه های ضد جاسوس افزار ، ضد هرزنامه و ... مجهز شدند .
با این وجود، امروزه فن آوری های خرابکارانه به حدی پیشرفت کرده که مدیران شبکه برای تأمین امنیت مؤثر در لایه های مختلف دسترسی به اینترنت، ناچار به استفاده از ابزار مستقلی چون سیستم های شناسایی بدافزارهای ناشناخته و بسیار جدید، ابزار جلوگیری از اجرای حملات نامحسوس، سیستم هایHIDS , NDS , IPS و از این دست هستند .
البته باید اعتراف کرد که در خصوص ویروس های پیشرفته و توانمند که به ویژه به شکل نامحسوس عمل می کنند، درصد پیشگیری اندک است. اما همین واژه "اندک" نکته مثبت و قابل توجهی به نظر می رسد.
پیشگیری به سبک پیشدستی، در خارج از محیط عملکرد!
اگر تنها یک سیستم متصل به شبکه، توسط یک نوع کاملا جدید و "ردیابی نشده" از ویروس های اینترنتی آلوده شود، قاعدتاً از لایه های امنیتی موجود عبور کرده و کل شبکه را در معرض خطر آلودگی و تخریب قرار خواهد داد.
هیچ تضمینی وجود ندارد... با نفوذ یک تروژان و یا یک جاسوس افزار کلیه بسته های اطلاعاتی مبادله شده بین کارکنان و یا داده های ورودی و خروجی شبکه قابل دسترسی ست. حتماً تأیید می کنید که این دیگر یک شرایط بحرانی و فوق العاده خطرناک است که در آن بسیاری از اطلاعات محرمانه، حساس و استراتژیک در معرض خطر خروج از شبکه و یا استفاده های بدخواهانه قرار می گیرند. برای کاهش و حتی حذف احتمال این مسئله چه باید کرد؟ یا بهتر است بگوییم ویروس های "غیرقابل کشف" و یا بدافزارهای "ردیابی نشده" چگونه باید کنترل شوند؟
در مرحله اول باید در نظر داشت که چیزی به عنوان "ویروس غیر قابل ردیابی" وجود ندارد . در سال های گذشته این عنوان به کدهای مخربی اطلاق می شد که با چنان سرعتی پراکنده و منتشر می شدند که فرصت کافی برای به روز رسانی نرم افزارهای حفاظتی باقی نمی ماند. اما این ویروس های به اصطلاح غیر قابل ردیابی، دیر یا زود (اغلب زود!) به دام می افتادند و تکنیک های خاص آن ها لو می رفت و نرم افزارهای امنیتی در به روز رسانی های بعدی خود، قدرت جلوگیری از انتشار آن ها را بدست می آوردند.
امروز نیز وضع به همین منوال است:
بکار گیری عنوان "غیرقابل ردیابی" و یا "ردیابی نشده" برای یک ویروس رایانه ای به این علت نیست که فن آوری بکار گرفته شده در آن به حدی پیچیده، پیشرفته و نو آورانه است که تکنولوژی فعلی حفاظت از اطلاعات قادر به ردیابی و کشف آن نباشد، بلکه دقیقاً به این دلیل ساده است که ابزار امنیتی موجود در هر لحظه دارای دامنه عملکرد مشخصی بوده و کاملاً طبیعی ست اگر برخی از کدهای مخرب جدید و ناشناخته بتوانند از آن عبور کنند. مسئله اساسی در این جا، تعداد کدهای عبوری ست که کم و بیش آن ملاک خوبی برای ارزیابی قدرت ابزار حفاظتی ست.
در وضعیت سرسام آور کنونی، به هیچ وجه نمی توان تعداد کدهای مخرب فعال و پراکنده در اینترنت را برآورد کرد. گاهی اوقات این تعداد بر اساس آمار و اطلاعات موجود، تا نیم میلیون ویروس و گاهی نیز تا حدود یک میلیون کد مخرب اعلام شده است. البته در بدبینانه ترین وضعیت این تعداد تا بیش از صد میلیون نیز تخمین زده شده است.
دراین شرایط، یک سیستم امنیتی (به ویژه در شبکه های محلی) ملزم است تا تجهیزات تحت پوشش خود را در برابر میلیون ها کد مخرب، میلیون ها حمله اینترنتی و هزارن روش نفوذ محافظت کند. پرواضح است که پردازش اطلاعات امنیتی در این صورت، به بخش عظیمی از منابع و فضای عملیاتی آزاد نیاز خواهد داشت.
حقیقت ساده این است که رفته رفته ارزیابی امنیتی یک فایل، در مقایسه با کلیه اطلاعات امنیتی موجود و ثبت شده، موجب اشفال درصد زیادی از ظرفیت قابل دسترسی شده و سرورها یا دیسک های سخت را نیز با ذخیره حجم انبوهی از اطلاعات غیر ضروری مواجه خواهد نمود که تنها کاربرد آن ها کمک به تأمین امنیت در سیستم است.
بنابر این، فرایندهای امنیتی لازم الاجرا در لایه های مختلف شبکه های محلی نیاز به منابع و ظرفیت های عملکردی بیشتری دارند که در صورت تخصیص نیافتن آن، عملکردهای طبیعی و اصلی شبکه با اختلال و کندی مواجه خواهند شد.
شرکت های امنیتی راهکارهای مختلفی را برای حل این موضوع ارائه کرده اند.
برای مثال مرکز امنیتی Panda Security، با ایجاد ابر سرورهای تحت وب، به شبکه های سازمانی گسترده، شبکه های محلی کوچکتر و حتی کاربرهای خانگی پیشنهاد کرده است که درصد زیادی از فرآیندهای امنیتی خود را به شکل خود کار از طریق این سرورها پی گیری کنند. این فرآیندهای امنیتی می توانند شامل عملکرد خودکار ضد کدهای مخرب، ضد هرزنامه، پالایش و فیلترینگ محتوا و نیز عملکرد ضد کلاهبرداری آنلاین باشد.
پاندا ادعا کرده است که انسداد نفوذ فایل های مخرب و محتویات ناخواسته، هم چنین توقیف موارد مشکوک، ارسال آنها به ابرسرورهای پردازش اطلاعات امنیتی، تعیین قابلیت تخریبی آنها و اتخاذ تدابیر حفاظتی متناسب برای کلیه شبکه ها و کاربران فعال در سرتاسر دنیا، از جمله اقداماتی ست که می تواند به طور کاملاً خودکار و در جایی خارج از محیط شبکه ها و رایانه های خانگی (on-the-cloud) اجرا شود. البته باید منتظر ماند تا آثار و منافع این تحول امنیتی بتواند خود را اثبات کند، اما بدون شک، مقابله با ابزار مخرب و انسداد موارد مشکوک در خارج از محیط فعالیت های سازمانی قطعاً ضریب امنیت این فعالیت ها را به حدی بالا می برد که نیاز به برنامه های حفاظتی مقیم در سرورهای محلی تا حد زیادی کاهش یافته و این مسئله به نوبه خود منابع و ظرفیت های عملیاتی در شبکه را افزایش می دهد.
اما به هر حال با وجود متحول شدن روش های حفاظتی و ابداع راهکارهای نوین، ما محکوم به استفاده از نرم افزارهای سنتی و برنامه های قابل نصب در سامانه های رایانه ای هستیم و ناچاریم روزانه حتی چند نوبت آن ها را به روز کنیم تا کلیه روزنه ها و رخنه های امنیتی موجود را تحت کنترل بگیریم.
با تمام این اوصاف، باید اعتراف کرد که هیچ کاربر و یا مدیر شبکه ای نمی تواند به طور یقین تضمین کند که رایانه و شبکه تحت مدیریت وی با آلودگی رایانه ای مواجه نیست، حتی با این وجود که لایه های حفاظتی قدرتمندی در اختیار داشته باشد؛ اما می توان ادعا کرد که با بهره گیری از ابزار مکمل حفاظتی (ترکیبی از برنامه های قابل نصب و ابزار امنیتی تحت وب و غیرقابل نصب)، میزان احتمال آلودگی به پایین ترین حد ممکن سقوط خواهد کرد و اطمینان مدیران شبکه به بالاترین حد ممکن ارتقا خواهد یافت.
هر چند که قلمرو تهدیدهای رایانه ای به وسعت جهان پیرامون ماست، اما شبکه های محلی به ظاهر بی دفاع، با استفاده از سیاست های صحیح امنیتی، دژهایی مستحکم خواهند بود به وسعت بیکران...
