مدیریت یکپارچه تهدید (UTM) یک سیستم امنیت اطلاعات (infosec) را توصیف میکند که یک نقطه حفاظتی واحد در برابر تهدیداتی از جمله ویروسها، کرمها، جاسوسافزارها و سایر بدافزارها و حملات شبکه را فراهم میکند. UTM همچنین امنیت، عملکرد، مدیریت و قابلیتهای انطباق را یکجا ارائه میدهد و مدیریت شبکهها را برای مدیران آسانتر میکند.
برخلاف آنتیویروسها، یک سیستم UTM فقط از رایانههای شخصی و سرورها محافظت نمیکند بلکه با اسکن تمام ترافیک شبکه، فیلترینگ محتوای خطرناک و مسدود کردن نفوذها، از کل شبکه و کاربران محافظت میکند.
امروزه بسیاری از کسبوکارهای کوچک و متوسط سیستمهای UTM را بکار گرفتهاند و مدیریت infosec خود را با یک سیستم سادهتر به جای چندین سیستم کوچک آسانتر کردهاند.
سیستمهای UTM چند ویژگی امنیتی را در یک دستگاه یا برنامه نرم افزاری ترکیب میکنند. پنج نوع تهدید اصلی وجود دارد که سازمانها باید در برابر آنها محافظت ایجاد کنند:
- بدافزار
- فیشینگ و مهندسی اجتماعی
- ویروسها، کرمها و تروجانها
- هکرها
- انکار سرویس (DoS)
معمولاً برای مقابله با هر کدام از این تهدیدها به یک تکنولوژی جداگانه نیاز است که این مساله به پیچیدگی کار میافزاید، به همین دلیل است که سیستمهای UTM وجود دارند.
UTM و فایروالهای نسل بعدی (NGFW) هر دو تکنولوژیهای فایروال هستند که اهداف مشابهی دارند، اما در برخی زمینههای کلیدی با یکدیگر تفاوت دارند.
NGFW ها در ابتدا برای پر کردن شکافهای امنیتی شبکه که همچنان در فایروالهای سنتی وجود داشت، توسعه یافتند و شامل هوشمندی برنامهها و سیستم پیشگیری از نفوذ (IPS) و نیز حفاظت از DoS میشدند.
UTM به توانایی یک دستگاه برای انجام عملکردهای NGFW، فایروال و شبکه خصوصی مجازی (VPN) اشاره دارد، درحالیکه NGFW یک پلتفرم امنیتی شبکه است که یک دروازه بین شبکههای داخلی و خارجی فراهم میکند.
تفاوت عمده بین این دو نوع فایروال این است که یک سیستم UTM معمولاً امکانات بیشتری مانند سیستم تشخیص نفوذ (IDS) و فیلتر اسپم را نسبت به NGFW ارائه میدهد، زیرا قادر به نظارت و محافظت از شبکههای داخلی در برابر مهاجمان است.
در ادامه بیشتر به تفاوتهای مدیریت یکپارچه تهدید و فایروالهای نسل بعدی خواهیم پرداخت.
UTM چگونه کار میکند؟
درک تهدیدها و شناسایی نقاط ضعف شبکه یک سازمان برای حفظ امنیت آن حیاتی است. یک سیستم UTM میتواند با استفاده از دو روش بازرسی که انواع مختلفی از تهدیدات را شناسایی میکنند، به انجام این کار کمک کند:
- بازرسی مبتنی بر flow: که به عنوان بازرسی مبتنی بر جریان نیز شناخته میشود، از دادههایی که وارد یک دستگاه امنیتی شبکه مانند فایروال یا IPS میشوند نمونهبرداری میکند. دستگاهها دادهها را برای فعالیتهای مخربی مانند ویروسها، نفوذها و سایر اقدامات هک بررسی میکنند.
- بازرسی مبتنی بر پروکسی: بازرسی مبتنی بر پروکسی یک تکنیک امنیتی شبکه است که برای بررسی محتویات بستههایی که به دستگاه امنیتی شبکه وارد و خارج میشوند (مانند فایروال، IPS یا سرور VPN) استفاده میشود. با استفاده از یک سرور پروکسی برای بازرسی این بستهها، دستگاه امنیتی شبکه میتواند به عنوان یک پروکسی برای بازسازی محتوای ورودی به دستگاه عمل کند.
دستگاههای UTM سختافزار یا نرمافزاریهایی هستند که ویژگیهای امنیتی شبکه را در یک وسیله ساده برای استفاده و مدیریت آسان به هم پیوند میدهند.
علاوه بر داشتن فایروال، VPN و IPS، هر دستگاه UTM از مدیریت متمرکز مبتنی بر شبکه یا ابر پشتیبانی میکند. به عنوان مثال، تجهیزات Cisco Meraki از یک ابزار مدیریت مبتنی بر ابر استفاده میکنند که میتواند از راه دور بر اساس هر دستگاه به کار گرفته شود.
ویژگیهای مدیریت یکپارچه تهدید
UTM ها معمولاً دارای ویژگیهای امنیتی زیر هستند:
- سرویسهای آنتی اسپم
سرویسهای آنتی اسپم یا فیلترهای اسپم با اسکن ترافیک ایمیلهای ورودی و خروجی برای یافتن نشانههای حمله احتمالی، برای مسدودسازی یا برچسبگذاری حملات مبتنی بر ایمیلهای دریافتی طراحی شدهاند.
سیستمهای آنتی اسپم برای شناسایی اسپم از الگوریتمهای اسکن محتوای پیام برای الگوهای مرتبط با اسپم استفاده میکنند. برخی از سیستمها با استفاده از فرآیندی به نام آنالیز Bayesian به دنبال کلمات خاص، برخی دیگر به دنبال الگوهای زبانی خاص و برخی به دنبال الگوهای کل کلمات هستند.
اگر به نظر رسید که پیام اسپم یا بدافزار است، محتویات برچسبگذاری شده و یا قرنطینه میشود.
- فیلتر کردن URL و کنترل برنامه
دستگاههای UTM میتوانند عملکردهای زیادی را ارائه دهند که به ایمن کردن شبکه شرکت یا سایر سازمانها کمک میکند، از جمله فیلتر کردن Uniform Resource Locator) URL) و کنترل برنامه.
با کنترل برنامه، دستگاه UTM میتواند برنامههای خاصی را در لیست مجاز قرار دهد تا بتوانند بدون فیلتر کردن محتوای اسپک یا سایر اقدامات امنیتی به اینترنت متصل شوند. کنترل برنامه معمولاً با فایروال دستگاه UTM و سایر ویژگیها ترکیب میشود تا اطمینان حاصل شود که تمام ترافیک ورودی به شبکه شرکت محافظت میشود.
- فایروال ها
فایروال یک اقدام امنیتی مبتنی بر سخت افزار یا نرم افزار است که با نظارت بر ترافیک ورودی و خروجی بین شبکههای مختلف، امکان دسترسی به یک شبکه خصوصی را محدود کرده و کاربران غیرمجاز یا مخرب را از دسترسی به دادهها یا منابعی مانند سرورهای فایل، چاپگرها و سرورهای وب بازمیدارد.
سه نوع فایروال اصلی وجود دارد: فیلترینگ بسته، دروازه circuit-level و دروازه application-level
- سیستمهای تشخیص نفوذ و سیستمهای پیشگیری از نفوذ
یک IDS شبکه را برای یافتن نشانههای حمله سایبری رصد میکند، درحالیکه IPS برای توقف حملات، ترافیک مخرب را خنثی میکند.
هدف IDS تشخیص رفتار غیرعادی است تا بتوان آن را آنالیز، ثبت و گزارش داد. در واقع IDS نمیتواند هیچ تهدید ورودی را مسدود کند، اما میتواند یک مدیر را در مورد نفوذ مطلع کرده و فعالیت را برای تجزیه و تحلیل بعدی ثبت کند.
از سوی دیگر، IPS نوعی تکنولوژی امنیتی است که میتواند ترافیک شبکه را برای جلوگیری از فعالیتهای مخرب تغییر دهد. ویژگی IPS را میتوان به IDS یا فایروال موجود اضافه کرد.
- VPN
VPN وظیفه ایجاد یک ارتباط امن بین دو کامپیوتر از طریق یک شبکه عمومی را دارد. این کار امکان اشتراک گذاری ایمن فایل بین همکاران، دسترسی به دادهها از راه دور یا استفاده از هر تعداد سرویس را بدون ترس از رهگیری دادهها توسط یک عامل خارجی، ممکن میسازد.
VPN ها با استفاده از رمزگذاری برای محافظت از دادهها در برابر دسترسی غیرمجاز هنگام عبور بین شبکههای عمومی و خصوصی کار میکنند. بدین ترتیب اتصال امنی ایجاد میشود که در داخل یک تونل از طریق اینترنت عمومی رمزگذاری شده است.
- فیلتر کردن محتوا
فیلتر محتوای وب روشی برای کنترل اطلاعاتی است که میتواند به شبکه منتقل یا از آن خارج شود (با استفاده از روشهای مختلف فیلتر کردن، مانند آدرس IP، شماره پورت یا آدرس MAC).
فیلترینگ محتوا در شبکهها به منظور مسدودسازی محتوای ناخواسته و محافظت در برابر گم شدن دادهها، با فیلتر دادههای خروجی برای جلوگیری از انتقال اطلاعات حساس استفاده میشود.