در اغلب موارد، راهکارهای فنی بدون در نظر گرفتن نتایج برای استراتژی امنیت کلی سازمان پیادهسازی میشوند. برای اجتناب از این اشتباه، باید اطمینان حاصل کرد که Policyها بهروز هستند و راهکارهای تکنولوژی انتخابی از یک استراتژی امنیتی جامع پشتیبانی میکنند.
وقتی راهکارهای تکنولوژی مختلفی را مد نظر قرار میدهیم، مهم است که درک دقیقی از الزامات سازمان خود داشته باشیم. بنا به گفتهی Gartner در بازار فایروالهای سازمانی نقاط تمایز کمتری وجود دارد و در نتیجه سازمانها باید انتخاب محصول نهایی خود را طبق الزامات بهخصوص خود انجام دهند.
در این مقاله انواع کنترلهایی که باید در Policyهای امنیتی یک سازمان لحاظ شوند، شرح داده خواهد شد و مثالهای بهخصوصی از الزامات فنی که باید مورد بررسی قرار گیرند نیز مطرح میگردد تا سازمانها بتوانند الزامات خود را تعریف کرده و یک درخواست پیشنهاد (Request For Proposal) یا RFP را برای فروشندگان ایجاد کنند. نهایتاً اهمیت بخشبندی مناسب شبکه و دادههای حساس و نحوهی رسیدگی به کاربران از راه دور پوشش داده میشود.
توانمندسازی ایمن، از طریق Policyهای هوشمند
توانمندسازی اولین و مهمترین مسئله در مورد آموزش و دانش نسبت به برنامههای کاربردی، رفتارها، ریسکها و کاربران اس. نقش IT مشابه نقش یک مشاور و مربی است که به کاربران در مورد ریسکها و رفتارها مشاوره داده و آنها را هدایت میکند تا متوجه شوند کدام برنامههای کاربردی قابلدسترس، برای حل الزاماتشان بهترین هستند. اما توانمندسازی به افزایش آگاهی در مورد ریسکهای مربوط به برنامههای کاربردی نیز هست. به همین دلیل، کارمندان IT باید نیز باید به ابرکاربرهای واقعی تبدیل شوند، البته به معنای دیگر کلمه. یک ابرکاربر Enterprise 2.0 کسی است که درون برنامه کاربردی «زندگی» میکند و برای انجام کارهایی اصلی به آن اتکا میکند. برای اینکه IT کارآمد باشد، باید بدون تعصب از Enterprise 2.0 بهره بگیرد. وقتیکه IT به این مهم دست پیدا کرد، میتواند با موفقیت کاربران را از تمام ریسکهای مربوط به برنامههای کاربردی Enterprise 2.0 آگاه کند؛ حتی ریسکهایی که مربوط به تأثیرات اجتماعی و اعتباری استفاده از آنها هستند.
برای اینکه نظارت کارآمد باشد، IT باید نقشی اساسی در تعریف Policyهای هوشمند ایفا کند. اما حیاتی است که IT تنها صاحب این Policyها نباشد، زیرا کارآمدی و کاربرد آنها با تفکر سنتی IT رابطه معکوس دارد. ممکن است عجیب به نظر برسد، اما برنامههای کاربردی Enterprise 2.0 معمولاً تبدیل به «میوه ممنوعه» میشوند. بااینکه استفاده از Enterprise 2.0 معمولاً از پایین به بالا اتفاق میافتد، بدون حمایت و پشتیبانی اجرایی راه دوری نخواهد رفت. این نشان میدهد که هرچند ممکن است IT سعی کند جلوی استفاده از برنامههای کاربردی Enterprise 2.0 را بگیرد، وقتیکه با موفقیت مورداستفاده قرار گرفتند، IT دیگر نمیتواند برای این کار روی حمایت اجرایی حساب باز کند.
معمولاً در بحث در مورد نظارت مثالهایی از اشتباهاتی مطرح میشود که کاربران در حین استفاده از برخی برنامههای کاربردی Enterprise 2.0 مثل رسانههای اجتماعی انجام دادهاند. مطرح کردن این استدلال برای IT ساده است، اما درنهایت قانعکننده نیست. همچنین هوشمندانه نیست که IT بخواهد استدلال مبتنی بر تطبیقپذیری را دنبال کند، آن هم فقط به این دلیل که قانونی وجود ندارد که استفاده از برنامههای کاربردی Enterprise 2.0 را کنترل کند. مسئله استفاده از ابزار مناسب برای کار و رفتار هوشمندانه است. مثلاً در محیطی مثل معاملات سهام که بهشدت تحت نظارت است استفاده از پیامرسانی فوری میتواند مستعد قوانین حفظ و حسابرسی باشد. نقش IT این است که به معاملهگرها در مورد تأثیرات هر ابزار آموزش دهد، در ایجاد Policy استفاده مشارکت کند و سپس استفاده از آن را مانیتور و اعمال کند. در این مثال، آن Policy میتوانست از اینکه کاربران از Facebook Chat برای پیامرسانی فوری استفاده کنند، جلوگیری کند، اما در عوض اجازهی استفاده از MSN را بدهد.
نظارت و مدیریت در صورتی بهترین نتیجه را میدهند که براساس مجموعهای از Policyهای شرکتی هوشمند باشند که توسط سه ذینفع اصلی در چشمانداز Enterprise 2.0 توسعهیافته باشد؛ یعنی IT، نیروی انسانی، مدیریت اجرایی و کاربران. مشخص است که IT نقش برجستهای دارد، اما این نقش نباید بیشازحد سختگیرانه باشد و همچنین نباید نسبت به توانمندسازی نظارت روی برنامههای کاربردی و تکنولوژی سهلانگارانه برخورد کند.
اگر قرار است کنترلهای برنامه کاربردی پیادهسازی و اعمال شوند، باید بخشی از Policy امنیت سازمانی کلی باشند. IT بهعنوان جزئی از فرایند پیادهسازی Policy کنترل برنامه کاربردی، باید تلاش کند که در مورد برنامههای کاربردی Enterprise 2.0 اطلاعات کسب کند. این کسب اطلاعات شامل استقبال از آنها با توجه به تمام اهدافشان و درصورت نیاز نصب یا فعالسازی زودهنگام آنها در محیط آزمایشی است تا مشخص شود که چگونه کار میکنند. بحث بین همتایان، وبسایتهای متمرکز روی Enterprise 2.0، بوردهای پیامرسانی، بلاگها و جوامع توسعهدهندگان منابع اطلاعاتی ارزشمندی هستند.
کنترلهای کارمندان
اکثر شرکتها نوعی Policy استفاده از برنامه کاربردی دارند که نشان میدهد کدام برنامههای کاربردی مجاز هستند و کدام برنامههای کاربردی غیرمجاز. از هر کارمند انتظار میرود که محتوای این Policy و عواقب پیروی نکردن از آن را درک کند، اما چندین سؤال بدون جواب همچنان وجود دارد، از جمله:
- با توجه به افزایش تعداد روزافزون برنامههای کاربردی «بد»، یک کارمند از کجا متوجه خواهد شد که کدام برنامههای کاربردی مجاز و کدام غیرمجاز هستند؟
- فهرست برنامههای کاربردی تاییدنشده چگونه بروزرسانی میشود و چه کسی اطمینان حاصل میکند که کارمندان بدانند فهرست تغییر کرده است؟
- چه چیزی نقض امنیتی Policy محسوب میشود؟
- عواقب نقض امنیتی Policy شامل چه مواردی است؟ اخراج یا جریمه؟
توسعهی دستورالعملهای Policy معمولاً چالشبرانگیز است، زیرا تنش بین ریسک و پاداش باعث شده است نظرات در مورد اینکه چه کاری مجاز و چه کاری غیرمجاز است دوقطبی شود. در هستهی این مشکل این مسئله وجود دارد که دو گروه سازمانی که معمولاً در توسعهی Policy شرکت دارند (یعنی امنیت IT و نیروی انسانی) در زمان استفاده از تکنولوژیهای جدید به حاشیه رانده شدهاند. ساختن یک Policy برای استفادهی ایمن پس از پیادهسازی برنامههای کاربردی و تکنولوژیهای جدید کار سادهای نیست.
Policyهای ثبت شدهی کارمندان باید بخشی کلیدی از پازل کنترل برنامه کاربردی باشد، اما کنترل روی کارمندان بهعنوان یک مکانیزم مستقل برای توانمندسازی ایمن برنامههای کاربردی Enterprise 2.0 ناکارآمد خواهد بود.
کنترلهای دسکتاپ
کنترلهای دسکتاپ چالش قابلتوجهی را برای دپارتمانهای IT ایجاد میکنند. باید دقت زیادی به جزئی و دقیق بودن کنترلهای دسکتاپ و تأثیر آنها روی بهرهوری کارمندان انجام شود. درست مثل Policyهای کارمندان، کنترلهای دسکتاپ بخشی کلیدی برای توانمندسازی ایمن برنامههای کاربردی Enterprise 2.0 در سازمان هستند و اگر بهتنهایی مورداستفاده قرار بگیرند، به چند دلیل ناکارآمد خواهند بود.
مرحلهی سخت Lockdown دسکتاپ برای اینکه کاربران نتوانند برنامههای کاربردی خود را نصب کنند کاری است که در حرف راحتتر از عمل است.
- اتصال لپتاپها از راه دور، دانلودها از اینترنت، درایوهای USB و ایمیل، همگی به معنای نصب برنامههای کاربردی هستند که ممکن است مورد تایید باشند یا نباشند..
- حذف کامل دسترسی Administrative کار دشواری است و در برخی از موارد توانایی کاربر نهایی را محدود میکند.
- درایوهای USB اکنون توانایی اجرای برنامههای کاربردی را دارند، درنتیجه پس از کسب اجازهی شبکه، یک برنامه کاربردی Enterprise 2.0 عملاً میتواند مورد دسترسی قرار بگیرد.
کنترلهای دسکتاپ میتوانند بهعنوان راهی برای فعالسازی برنامههای کاربردی Enterprise 2.0 بهطور ایمن، Policyهای ثبتشدهی کارمندان را تکمیل کنند.
کنترلهای شبکه
در سطح شبکه، به روشی برای شناسایی برنامههای کاربردی Enterprise 2.0 و مسدود کردن و کنترل آنها نیاز است. با پیادهسازی کنترلها در سطح شبکه، IT میتواند احتمال تهدیدات و اختلالهایی را که از برنامههای کاربردی Enterprise 2.0 ناشی میشوند کاهش دهد. میتوان در سطح شبکه، از چندین مکانیزم کنترلی مختلف استفاده کرد که هر کدام معایب خاصی دارند که کارآمدیشان را کاهش میدهد.
- میتوان فایروالهای Stateful را در خط اول دفاعی مورداستفاده قرار داد که این کار موجب فراهم شدن فیلترینگ ترافیک و بخشبندی شبکه به چندین Zone میشود که با رمز عبور حفاظتشدهاند. یکی از معایب فایروالهای Stateful این است که آنها برای شناسایی و کنترل اینکه چه چیزی وارد شبکه و از آن خارج میشود، از پورت و پروتکل استفاده میکنند. این طراحی مبتنی بر پورت برای برنامههای کاربردی Enterprise 2.0 نسبتاً بیفایده است، زیرا این برنامههای کاربردی از پورتی به پورت دیگر میپرند تا وقتیکه یک اتصال باز به شبکه را پیدا کنند.
- IPS اضافهشده به یک پیادهسازی فایروال با بررسی زیرمجموعه ترافیک و مسدود کردن تهدیدات یا برنامههای کاربردی بد شناساییشده، قابلیت پیشگیری از تهدید شبکه را تقویت میکند. ارائههای IPS دارای برنامههای کاربردی و عملکرد لازم برای دیدن کل ترافیک روی تمام پورتها نیستند و به همین دلیل نمیتوانند یک راهکار کامل باشند.
- تکنولوژیهای IPS معمولاً طوری طراحی شدهاند که فقط به بخشی از ترافیک نگاه کنند تا عملکرد دچار مشکل نشود و به همین دلیل نخواهند توانست میزان برنامههای کاربردی موردنیاز در سازمانهای امروزی را پوشش دهند. درنهایت، مدیریت ترکیبِ فایروال و IPS معمولاً کار دشواری است که نیازمند چندین رابط کاربری مدیریتی با جدولهای Policy جداگانه است. به زبان ساده، راهکارهای افزودنی (Bolt-On) کنونی دارای دقت، Policy یا عملکرد لازم برای رسیدگی به الزامات قابلیت دید و کنترل برنامههای کاربردی امروز نیستند.
- راهکارهای پراکسی روش دیگری برای کنترل ترافیک هستند اما آنها نیز به تعداد محدودی از برنامههای کاربردی یا پروتکلها نگاه میکنند و به همین دلیل فقط بخش کوچکی از ترافیکی که باید مانیتور شود را میبینند. پس یک برنامه کاربردی Enterprise 2.0 فقط یک پورت را میبیند که توسط یک پراکسی مسدود شده است و به سراغ پورت باز بعدی میرود. پراکسیها طوری طراحی شدهاند که از برنامه کاربردی که سعی در کنترلش را دارند تقلید کنند، در نتیجه با بروزرسانی برای برنامههای کاربردی موجود و همچنین توسعه پراکسی برای برنامههای کاربردی دچار مشکل میشوند. مشکل نهایی که در راهکارهای پراکسی وجود دارد، عملکرد توان عملیاتی است که با توجه به نحوهی متوقف شدن برنامه کاربردی توسط پراکسی و سپس Forward شدن آن به مقصدش ایجاد میشود.
چالش هر کدام از این کنترلهای شبکه این است که توانایی شناسایی برنامههای کاربردی Enterprise 2.0 را ندارند، فقط به بخشی از ترافیک نگاه میکنند و دچار مشکلات عملکردی هستند.