مدیریت یکپارچه تهدید (UTM) چیست و چگونه کار می‌کند؟

مدیریت یکپارچه تهدید (UTM) یک سیستم امنیت اطلاعات (infosec) را توصیف می‌کند که یک نقطه حفاظتی واحد در برابر تهدیداتی از جمله ویروس‌ها، کرم‌ها، جاسوس‌افزارها و سایر بدافزارها و حملات شبکه را فراهم می‌کند. UTM همچنین امنیت، عملکرد، مدیریت و قابلیت‌های انطباق را یکجا ارائه می‌دهد و مدیریت شبکه‌ها را برای مدیران آسان‌تر می‌کند.

برخلاف آنتی‌ویروس‌ها، یک سیستم UTM فقط از رایانه‌های شخصی و سرورها محافظت نمی‌کند بلکه با اسکن تمام ترافیک شبکه، فیلترینگ محتوای خطرناک و مسدود کردن نفوذها، از کل شبکه و کاربران محافظت می‌کند.

امروزه بسیاری از کسب‌وکارهای کوچک و متوسط سیستم‌های UTM را بکار گرفته‌اند و مدیریت infosec خود را با یک سیستم ساده‌تر به جای چندین سیستم کوچک آسان‌تر کرده‌اند.

سیستم‌های UTM چند ویژگی امنیتی را در یک دستگاه یا برنامه نرم افزاری ترکیب می‌کنند. پنج نوع تهدید اصلی وجود دارد که سازمان‌ها باید در برابر آنها محافظت ایجاد کنند:

1. بدافزار
2. فیشینگ و مهندسی اجتماعی
3. ویروس‌ها، کرم‌ها و تروجان‌ها
4. هکرها
5. انکار سرویس (DoS)

معمولاً برای مقابله با هر کدام از این تهدیدها به یک تکنولوژی جداگانه نیاز است که این مساله به پیچیدگی کار میافزاید، به همین دلیل است که سیستم‌های UTM وجود دارند.

UTM و فایروال‌های نسل بعدی (NGFW) هر دو تکنولوژی‌های فایروال هستند که اهداف مشابهی دارند، اما در برخی زمینه‌های کلیدی با یکدیگر تفاوت دارند.

NGFW ها در ابتدا برای پر کردن شکاف‌های امنیتی شبکه که همچنان در فایروال‌های سنتی وجود داشت، توسعه یافتند و شامل هوشمندی برنامه‌ها و سیستم پیشگیری از نفوذ (IPS) و نیز حفاظت از DoS می‌شدند.

UTM به توانایی یک دستگاه برای انجام عملکردهای NGFW، فایروال و شبکه خصوصی مجازی (VPN) اشاره دارد، درحالی‌که NGFW یک پلتفرم امنیتی شبکه است که یک دروازه بین شبکه‌های داخلی و خارجی فراهم می‌کند.

تفاوت عمده بین این دو نوع فایروال این است که یک سیستم UTM معمولاً امکانات بیشتری مانند سیستم تشخیص نفوذ (IDS) و فیلتر اسپم را نسبت به NGFW ارائه می‌دهد، زیرا قادر به نظارت و محافظت از شبکه‌های داخلی در برابر مهاجمان است.

در ادامه بیشتر به تفاوت‌های مدیریت یکپارچه تهدید و فایروال‌های نسل بعدی خواهیم پرداخت.

UTM چگونه کار می‌کند؟

درک تهدیدها و شناسایی نقاط ضعف شبکه یک سازمان برای حفظ امنیت آن حیاتی است. یک سیستم UTM می‌تواند با استفاده از دو روش بازرسی که انواع مختلفی از تهدیدات را شناسایی می‌کنند، به انجام این کار کمک کند:

1. بازرسی مبتنی بر flow: که به عنوان بازرسی مبتنی بر جریان نیز شناخته می‌شود، از داده‌هایی که وارد یک دستگاه امنیتی شبکه مانند فایروال یا IPS می‌شوند نمونه‌برداری می‌کند. دستگاه‌ها داده‌ها را برای فعالیت‌های مخربی مانند ویروس‌ها، نفوذها و سایر اقدامات هک بررسی می‌کنند.
2. بازرسی مبتنی بر پروکسی: بازرسی مبتنی بر پروکسی یک تکنیک امنیتی شبکه است که برای بررسی محتویات بسته‌هایی که به دستگاه امنیتی شبکه وارد و خارج می‌شوند (مانند فایروال، IPS یا سرور VPN) استفاده می‌شود. با استفاده از یک سرور پروکسی برای بازرسی این بسته‌ها، دستگاه امنیتی شبکه می‌تواند به عنوان یک پروکسی برای بازسازی محتوای ورودی به دستگاه عمل کند.

دستگاه‌های UTM سخت‌افزار یا نرم‌افزاری‌هایی هستند که ویژگی‌های امنیتی شبکه را در یک وسیله ساده برای استفاده و مدیریت آسان به هم پیوند می‌دهند.

علاوه بر داشتن فایروال، VPN و IPS، هر دستگاه UTM از مدیریت متمرکز مبتنی بر شبکه یا ابر پشتیبانی می‌کند. به عنوان مثال، تجهیزات Cisco Meraki از یک ابزار مدیریت مبتنی بر ابر استفاده می‌کنند که می‌تواند از راه دور بر اساس هر دستگاه به کار گرفته شود.

ویژگی‌های مدیریت یکپارچه تهدید

UTM ها معمولاً دارای ویژگی‌های امنیتی زیر هستند:

• سرویس‌های آنتی اسپم

سرویس‌های آنتی اسپم یا فیلترهای اسپم با اسکن ترافیک ایمیل‌های ورودی و خروجی برای یافتن نشانه‌های حمله احتمالی، برای مسدودسازی یا برچسب‌گذاری حملات مبتنی بر ایمیل‌های دریافتی طراحی شده‌اند.

سیستم‌های آنتی اسپم برای شناسایی اسپم از الگوریتم‌های اسکن محتوای پیام برای الگوهای مرتبط با اسپم استفاده می‌کنند. برخی از سیستم‌ها با استفاده از فرآیندی به نام آنالیز Bayesian به دنبال کلمات خاص، برخی دیگر به دنبال الگوهای زبانی خاص و برخی به دنبال الگوهای کل کلمات هستند.

اگر به نظر رسید که پیام اسپم یا بدافزار است، محتویات برچسب‌گذاری شده و یا قرنطینه می‌شود.

• فیلتر کردن URL و کنترل برنامه

دستگاه‌های UTM می‌توانند عملکردهای زیادی را ارائه دهند که به ایمن کردن شبکه شرکت یا سایر سازمان‌ها کمک می‌کند، از جمله فیلتر کردن Uniform Resource Locator) URL) و کنترل برنامه.

با کنترل برنامه، دستگاه UTM می‌تواند برنامه‌های خاصی را در لیست مجاز قرار دهد تا بتوانند بدون فیلتر کردن محتوای اسپک یا سایر اقدامات امنیتی به اینترنت متصل شوند. کنترل برنامه معمولاً با فایروال دستگاه UTM و سایر ویژگی‌ها ترکیب می‌شود تا اطمینان حاصل شود که تمام ترافیک ورودی به شبکه شرکت محافظت می‌شود.

• فایروال ها

فایروال یک اقدام امنیتی مبتنی بر سخت افزار یا نرم افزار است که با نظارت بر ترافیک ورودی و خروجی بین شبکه‌های مختلف، امکان دسترسی به یک شبکه خصوصی را محدود کرده و کاربران غیرمجاز یا مخرب را از دسترسی به داده‌ها یا منابعی مانند سرورهای فایل، چاپگرها و سرورهای وب بازمی‌دارد.

سه نوع فایروال اصلی وجود دارد: فیلترینگ بسته، دروازه circuit-level و دروازه application-level

• سیستم‌های تشخیص نفوذ و سیستم‌های پیشگیری از نفوذ

یک IDS شبکه را برای یافتن نشانه‌های حمله سایبری رصد می‌کند، درحالی‌که IPS برای توقف حملات، ترافیک مخرب را خنثی می‌کند.

هدف IDS تشخیص رفتار غیرعادی است تا بتوان آن را آنالیز، ثبت و گزارش داد. در واقع IDS نمی‌تواند هیچ تهدید ورودی را مسدود کند، اما می‌تواند یک مدیر را در مورد نفوذ مطلع کرده و فعالیت را برای تجزیه و تحلیل بعدی ثبت کند.

از سوی دیگر، IPS نوعی تکنولوژی امنیتی است که می‌تواند ترافیک شبکه را برای جلوگیری از فعالیت‌های مخرب تغییر دهد. ویژگی IPS را می‌توان به IDS یا فایروال موجود اضافه کرد.

• VPN

VPN وظیفه ایجاد یک ارتباط امن بین دو کامپیوتر از طریق یک شبکه عمومی را دارد. این کار امکان اشتراک گذاری ایمن فایل بین همکاران، دسترسی به داده‌ها از راه دور یا استفاده از هر تعداد سرویس را بدون ترس از رهگیری داده‌ها توسط یک عامل خارجی، ممکن می‌سازد.

VPN ها با استفاده از رمزگذاری برای محافظت از داده‌ها در برابر دسترسی غیرمجاز هنگام عبور بین شبکه‌های عمومی و خصوصی کار می‌کنند. بدین ترتیب اتصال امنی ایجاد می‌شود که در داخل یک تونل از طریق اینترنت عمومی رمزگذاری شده است.

• فیلتر کردن محتوا

فیلتر محتوای وب روشی برای کنترل اطلاعاتی است که می‌تواند به شبکه منتقل یا از آن خارج شود (با استفاده از روش‌های مختلف فیلتر کردن، مانند آدرس IP، شماره پورت یا آدرس MAC).

فیلترینگ محتوا در شبکه‌ها به منظور مسدودسازی محتوای ناخواسته و محافظت در برابر گم شدن داده‌ها، با فیلتر داده‌های خروجی برای جلوگیری از انتقال اطلاعات حساس استفاده می‌شود.