مقاوم سازی امنیت شبکه (Hardening)
مقاومسازی امنیت شبکه (Hardening) به معنی استفاده از مجموعهای از ابزارها، تکنیکها و بهترین رویکردها برای کاهش آسیبپذیری در applicationها، سیستمها، زیرساخت و دیگر نواحی فناوری است. هدف مقاومسازی سیستمها کاهش خطرات امنیتی با حذف راههای بالقوه حمله و کاهش سطح حمله میباشد. با حذف برنامهها، applicationها، portها، دسترسیها، اختیارات و دیگر موارد اضافه، حملهکنندگان و بدافزارها فرصتهای کمتری برای ورود به اکوسیستم خواهند داشت. هرچقدر بلوغ امنیت سازمان در سطوح بالاتری قرار داشته باشد، مقامسازی یا Hardening بصورت کاملتر در آن انجام گرفته است. بلوغ امنیت سازمان دارای سطوح مختلفی است که شامل موارد زیر است:
سطح یک:
- هیچ کدام از کنترلهای امنیتی همچون: Firewall، UTM، WAF، IPS/IDS، DLP، PAM و… نصب و راهاندازی نشده است.
- طراحی شبکه و زیرساخت، Zoneبندیها و محل قرارگیری تجهیزات امنیتی در توپولوژی همبندی به درستی و طبق معماریهای رایج و استاندارد نیست.
- بر روی سرورها و دامین Based-line Policyها اعمال نشده است.
- مکانیزمهای Hardening بر روی تجهیزات زیرساخت فیزیکی، زیرساخت مجازی و سرورها و سرویسها در نظر گرفته نشده است.
- Firewall Ruleها به درستی نوشته نشده و بهینه نیستند.
- سیستم آنتیویروس در شبکه بر روی کلاینتها و سرورها نصب نشده است.
- پروسه شکار تهدیدات یا Threat Hunting بر روی کلاینت ها انجام نشده است.
- پروسههای Endpoint Protection به درستی رعایت نشدهاند.
- پروسه Vulnerability Assessment اجرا نشده است.
- پروسه Penetration Testing اجرا نشده است.
- سیستمها و ساختارهای Backupگیری و Recovery در مواقع بحرانی در نظر گرفته نشده است.
- جداسازی شبکه LAN از شبکه Internet انجام نشده است.
سطح دو:
- کنترلهای امنیتی همچون Firewall، UTM و WAF نصب و راهاندازی شدهاند، اما دارای Ruleهای بهینه نیستند و نیاز به بازنگری پالیسیها دارند.
- سرویسهای DLP، PAM و IPS/IDS نصب و راهاندازی نشدهاند.
- مکانیزمهای Hardening بر روی تجهیزات زیرساخت فیزیکی، زیرساختمجازی، سرورها و سرویسها در نظر گرفته نشده است.
- بر روی سرورها و دامین Base-line Policyها اعمال شدهاند.
- سیستم آنتیویروس در شبکه بر روی کلاینتها نصب شده اما بر روی سرورها نصب نشده است.
- آگاهیرسانی و آموزش سازمانی در مقابله با تهدیدات به پرسنل داده نشده است.
- پروسه Threat Hunting بر روی کلاینتها انجام نشده است.
- پروسه Vulnerability Assessment اجرا نشده است.
- پروسه Penetration Testing اجرا نشده است.
- پروسه Admin Audit انجام نشده است.
سطح سه:
- سرویسهای DLP، PAM و IPS/IDS به درستی نصب و راهاندازی شدهاند.
- مکانیزمهای مقاومسازی یا Hardening بر روی تجهیزات زیرساخت فیزیکی، زیرساخت مجازی، سرورها و سرویسها در نظر گرفته شده است.
- سیستم آنتیویروس در شبکه بر روی کلاینتها و سرورها بطور کامل نصب و پیکربندی شده است.
- جداسازی شبکه LAN از شبکه Internet انجام شده است.
- آگاهیرسانی و آموزش سازمانی در مقابله با تهدیدات به پرسنل داده شده است.
- پروسه Threat Hunting بر روی کلاینتها انجام نشده است.
- پروسههای Endpoint Protection به درستی رعایت شده است.
- پروسه تست نفوذ یا Penetration Test اجرا نشده است.
- پروسه Admin Audit انجام نشده است.
سطح چهار:
- تمامی کنترلهای امنیتی همچون: Firewall، UTM، WAF، IPS/IDS، DLP، PAM و… به درستی نصب، راهاندازی و پیکربندی شدهاند.
- طراحی شبکه و زیرساخت، Zoneبندیها و محل قرارگیری تجهیزات امنیتی در توپولوژی همبندی به درستی و طبق معماریهای رایج و استاندارد است.
- بر روی سرورها و دامین Based-line Policyها به درستی با توجه به نیاز سازمان اعمال شدهاند.
- مکانیزمهای Hardening بر روی تجهیزات زیرساخت فیزیکی، زیرساخت مجازی، سرورها و سرویسها در حد مطلوب پیکربندی و پیادهسازی شدهاند.
- Firewall Ruleها به درستی نوشته شده و بهینه هستند.
- سیستم آنتیویروس در شبکه بر روی کلاینتها و سرورها بطور کامل نصب و پیکربندی شده است.
- پروسه Threat Hunting بر روی کلاینتها انجام شده است.
- پروسههای Endpoint Protection به درستی رعایت شدهاند.
- پروسه Vulnerability Assessment اجرا شده است.
- پروسه Penetration Testing اجرا شده است.
- سیستمها و ساختارهای Backup و Recovery در مواقع بحرانی در نظر گرفته نشده است.
- جداسازی شبکه LAN از شبکه Internet انجام شده است.
- پروسه Admin Audit انجام شده است.
- آگاهیرسانی و آموزش سازمانی در مقابله با تهدیدات به پرسنل به طور کامل داده شده و از این لحاظ پرسنل از سطح دانش مطلوبی برخوردارند.
- سامانه SIEM به درستی نصب و راه اندازی و Tune شده است.
مقاومسازی امنیت شبکه یا Hardening چه مزایایی دارد
- شناخت عمیق از وضعیت موجود شبکه و بلوغ سازمان
- اصلاح زیرساختهای اساسی شبکه براساس استانداردهای روز
- امنسازی لایههای مختلف شبکه و سرویسهای حیاتی سازمان
- امکان نیازسنجی و ارتقای سطح امنیت سازمان
خدمات ما در حوزه مقاومسازی امنیت شبکه (Hardening):
- امنسازی سامانه های سازمان در مقابل حملات و تهدیدات
- امنسازی زیرساخت های سازمان در مقابل حملات و تهدیدات
- بررسی و شناسایی وضعیت فعلی و نقاط ضعف و قوت سازمان
- نصب و راه اندازی سرویس های جدید در جهت برطرف سازی نقاط ضعف
- اجرای چک لیست های امنیتی ( مرکز افتا، پدافند غیر عامل و CISBenchmarks)