همه‌چیز درباره IPS و NGFW؛ کدام‌یک انتخاب بهتری است؟

سیستم جلوگیری از نفوذ (Intrusion Prevention System) اساس ایمن‌سازی در هر شبکه درون‌شرکتی و مرکز داده است. سیستم IPS در هر لحظه از شبانه‌روز به شناسایی محتوای مخرب در ترافیک شبکه می‌پردازد تا از انواع حملات و سوء‌استفاده‌ها جلوگیری کند. با تغییراتی که در زیرساخت‌های دیجیتال روی می‌دهد بازار سنتی سیستم جلوگیری از نفوذ نیز به سمت تکامل قدم برمی‌دارد.

اکثر سازمان‌ها مدت‌هاست که برای محافظت از شبکه و مرکز داده خود به دستگاه مستقلی از IPS متکی هستند. امروزه شرکت‌ها بررسی می‌کنند که آیا به استفاده از دستگاه IPS مستقل ادامه دهند یا سیستم جلوگیری از نفوذ را با سایر عملکردهای امنیتی در فایروال نسل جدید (NGFW) ادغام کنند. شما نیز در نظر بگیرید که کدام گزینه می‌تواند متناسب با سازمانتان باشد. درست مثل باقی تصمیماتی که در سازمان می‌گیرید؛ هر انتخابی در این حوزه داشته باشید، مزایا و معایب خودش را به همراه خواهد داشت.

سیستم جلوگیری از نفوذ (IPS) چیست؟

سیستم جلوگیری از نفوذ یا IPS از ملزومات هر سازمان برای استراتژی امنیتی است. IPS در ابتدا به‌عنوان سیستمی کمکی توسعه یافته بود تا در کنار فایروال به فعالیت در شبکه شما بپردازد. تفاوتش در این است که فایروال ترافیک شبکه را فیلتر یا مسدود می‌کند در حالی که IPS طراحی شده تا محتوای آن ترافیک را در لحظه تجزیه‌وتحلیل کند، حملات را بشناسد و از آن جلوگیری کند.

بیایید برای این‌که نقش IPS در امنیت شبکه را بهتر درک کنیم، آن را با امنیت فرودگاه مقایسه کنیم. اگرچه امنیت فرودگاه چندین وجه دارد اما برای مقایسه بهتر به ابعاد گسترده آن نمی‌پردازیم.

بررسی بلیط و شناسایی هویت مسافر اولین قدم در امنیت فرودگاه است. تنها دسته‌ای از مسافران اجازه ورود به ترمینال و در نهایت سوار هواپیماشدن را دارند که دارای بلیط معتبر و شناسه قانونی باشند. بنابراین وقتی صحبت از امنیت شبکه به میان می‌آید فایروال‌ها ترافیک را با توجه به مجموعه‌ای از قوانین (معادل با بلیط معتبر و شناسه قانونی) بررسی می‌کنند و فقط ترافیک مجاز را به شبکه (مصداق هواپیما) منتقل می‌کنند.

آنچه خواندید تنها بخشی از فرآیند امنیت در فرودگاه است. علاوه‌بر بلیط، چمدان مسافران نیز بررسی می‌شود. وقتی نوبت به بررسی لباس مسافر و چمدان‌ها می‌رسد تنها بلیط معتبر و شناسه قانونی کفایت نمی‌کند. مسافران مجاز نیز باید از بازرسی بدن و تفتیش چمدان‌ها بگذرند تا اطمینان حاصل شود که محموله خطرناکی ندارند.

این روند شبیه به کاری است که سیستم جلوگیری از نفوذ برای امنیت شبکه انجام می‌دهد. فایروال کیفیت محموله (همان چمدان‌ها) را بررسی نمی‌کند بلکه بر شاخص‌هایی تمرکز می‌کند که نشان می‌دهد ترافیک مجاز است یا خیر. این شاخص‌ها شامل مبدأ ترافیک، فرستنده ترافیک و نوع برنامه مورد استفاده می‌شود.

IPS به مثابه بررسی چمدان در فرودگاه است. بدافزار را چمدانی در نظر بگیرید که خطر امنیتی ایجاد می‌کند. بازرسی سیستم جلوگیری از نفوذ تمامی ترافیک شبکه را بازسازی می‌کند تا بتواند محتوای آن را به‌درستی بررسی کند و فایل‌های ناخواسته، آسیب‌پذیری‌ها یا تهدیدهایی را که تنها با بازرسی دقیق بار اطلاعات قابل شناسایی‌اند، تشخیص دهد.

انتخاب میان ترکیب فایروال با IPS و ترکیب NGFW با IPS

به طور خلاصه سازمان‌ها حق انتخاب بین دو گزینه از سیستم جلوگیری از نفوذ را دارند:

۱. سیستم جلوگیری از نفوذ را از طریق دستگاه‌های IPS مستقل به کار بیندازند.
۲. NGFW را با عملکردهای سیستم جلوگیری از نفوذ یکپارچه ادغام کنند.
هر دو مورد مزایای خود را دارند. سازمان‌ها باید با توجه به بودجه و نیازهای امنیتی‌شان تصمیم بگیرند تا نهایت استفاده را از سرمایه‌گذاری خود ببرند.

سازمان‌هایی که دستگاه‌های IPS مستقل را برمی‌گزینند تمایل به تقویت عملکرد خود دارند اما سازمان‌هایی که راه‌حل ترکیبی NGFW با IPS یکپارچه را انتخاب می‌کنند اغلب به دنبال ساده‌سازی وظایف اداری و کاهش هزینه‌ها هستند. هزینه‌های مرتبط با مورد آخر‌ معمولا به تعداد ویژگی‌های NGFW بستگی دارد که مختص کارآمدی عملیات تعبیه شده‌اند. در کل اندازه پیوندهای شبکه و الزامات امنیتی سازمان‌ها تعیین می‌کند که آیا از مسیر نخست یعنی IPS از طریق دستگاه مستقل، یا مسیر دوم، ترکیب NGFW با IPS، استفاده کنند.

گزینه نخست: ترکیب فایروال با سیستم جلوگیری از نفوذ

به‌طور کلی سازمان‌های بزرگ، شبکه‌های پیچیده‌تر و مراکز داده بزرگ‌تری دارند که امنیت داده‌های آن از اهمیت بالایی برخوردار است. محتویات سیستم جلوگیری از نفوذ مستقل در این سازمان‌ها باید به‌دقت بازرسی شوند چرا که این سازمان‌ها می‌خواهند ترافیک‌ها را بررسی کنند و از ایمنی محتوا مطمئن شوند. این بدان معناست که قابلیت‌های IPS که در دستگاه‌های سیستم جلوگیری از نفوذ مستقل وجود دارد نسبت به عملکردهای مشابه در بیشتر NGFW‌ها نظیر موتورهای بازرسی چندگانه و گردش کار تخصصی قوی‌تر است.

برای مثال، فایروال‌های نسل جدید معمولا ترافیک شبکه را با استفاده از یک موتور ساده و ابتدایی IPS بررسی می‌کنند که صرفا بر اساس تطبیق با امضاهای تهدیدات شناخته‌شده عمل می‌کند. این رویکرد ممکن است برای برخی سازمان‌ها از نظر تطابق با الزامات قانونی کفایت کند. اما بدافزارهای تغییرپذیر (Morphing Malware) برای این نوع موتور چالش‌برانگیز هستند، چرا که هر نسخه‌ جدید از آن‌ها دارای امضای منحصربه‌فردی است. این یعنی باید حجم عظیمی از امضاهای جدید به‌صورت مداوم توسط ارائه‌دهنده سیستم جلوگیری از نفوذ فراهم شود و سازمان‌ها نیز مجبورند مدام این امضاها را به سیستم خود اضافه کنند تا از تهدیدات جدید عقب نمانند. این فرایند مقیاس‌پذیر نیست و احتمالا یکی از دلایلی است که باعث شده عملکرد بازرسی NGFWها در بازار ضعیف‌تر از IPSهای مستقل تلقی شود.

عملکرد IPS مستقل معمولا یکی دیگر از مزایای آن به شمار می‌آید. بسیاری از فایروال‌های نسل جدید که دارای سیستم جلوگیری از نفوذ یکپارچه هستند، در مقیاس‌پذیری و رسیدن به سرعت‌های مورد نیاز مراکز داده با چالش مواجه‌اند. استفاده از توانایی‌‌های موتور IPS عملکرد NGFW را به میزان جالب‌توجهی پایین می‌آورد. نکته اصلی این است که اگر شرکتی برای مرکز داده یا شبکه شرکتی خود به عملکرد و امنیت فوق‌العاده نیاز داشته باشد، به‌کارگیری فایروال‌های جداگانه و راه‌حل‌های IPS مستقل معمولا بهترین انتخاب است.

گزینه دوم: ترکیب سیستم جلوگیری از نفوذ با NGFW

اگرچه سازمان‌ها در هر اندازه‌ای که باشند از NGFW با قابلیت‌های سیستم جلوگیری از نفوذ استفاده می‌کنند اما سازمان‌های کوچک و متوسط، همین‌طور شعب سازمان‌های بزرگ‌تر، به دلیل صرفه‌جویی در هزینه‌ها ترجیح می‌دهد امنیتشان را به خطر بیندازند و این گزینه را برگزینند. ترکیب سیستم جلوگیری از نفوذ با سایر عملکردهای امنیتی مانند فایروال، شبکه خصوصی مجازی (Virtual Private Network)، آنتی‌ویروس و… مدیریت دستگاه را به شدت ساده می‌سازد و بار متخصصان امنیتی را سبک‌تر می‌کند. با توجه به کمبود متخصصان ماهر در زمینه امنیت سایبری این موضوع بخش مهمی از معادله محسوب می‌شود.

صرفه‌جویی‌ای که در  هزینه تمام‌شده مالکیت (Total Cost of Ownership) ناشی از ترکیب IPS با NGFW حاصل می‌شود را نمی‌توان نادیده گرفت. سازمان‌ها همواره سعی می‌کنند مدیریت امنیت خود را با هزینه‌های کمتر پیش ببرند. پس این رویکرد که در آن قابلیت‌های سیستم جلوگیری از نفوذ با NGFW ترکیب می‌شود می‌تواند الزامات پیکربندی را ساده سازد و چشم‌انداز دستگاه را مشخص کند. کارکنان فناوری اطلاعات بدون این ترکیب مجبور به تکرار وظایف خود هستند. سرعت‌بخشیدن به کارکنان جدید در چنین محیط‌های خلوتی بیشتر طول می‌کشد و معمولا به تیم‌های امنیتی بزرگ‌تری نیاز دارند تا همه سیستم‌ها را مدیریت کند. این راه‌حل که کاملا ترکیبی از IPS با NGFW است تمامی مشکلات مرتبط با بهینه‌سازی کارایی و همچنین اثربخشی فرآیندهای امنیتی سازمان را حل می‌کند. باید مدلی از NGFW را تهیه کنید که شاخص‌های IPS را مطابق با نیاز روز و بدون به خطر انداختن عملکرد ارائه دهد.

انتخاب مناسب‌ترین گزینه

مدیران امنیت شبکه به دنبال استفاده از دستگاه IPS مستقل یا دستگاه IPS ترکیبی با عملکردهای امنیتی NGFW هستند. آن‌ها باید مسائل کلیدی متعددی را در نظر بگیرند. اگر سازمان آن‌ها به بازرسی پیچیده نیاز داشته باشد، بی‌شک IPS مستقل انتخاب درخوری است اما اگر اولویت، کاهش هزینه‌ها و ساده‌سازی مدیریت باشد ترکیب سیستم جلوگیری از نفوذ با NGFW می‌تواند گزینه کاربردی‌تری باشد. درک الزامات امنیتی، تشخیص میزان ریسک‌پذیری و همراهی تیم متخصص امنیت به سازمان‌ها کمک می‌کند تا انتخاب دقیق‌تری داشته باشند. منبع

برای دریافت مشاوره اختصاصی و امنیتی، با ما در تماس باشید.

• تفاوت IPS با فایروال چیست؟

  فایروال ترافیک شبکه را بر اساس یک‌سری قوانین بررسی و عبور یا مسدود می‌کند، اما IPS (سیستم جلوگیری از نفوذ) محتوای همین ترافیک را عمیق‌تر تحلیل می‌کند تا تهدیداتی مثل بدافزار، آسیب‌پذیری یا حملات شبکه را شناسایی و در لحظه مسدود کند.

• استفاده از IPS مستقل بهتر است یا نسخه ترکیب‌شده با فایروال نسل جدید (NGFW)؟

  پاسخ به این پرسش به نیازهای امنیتی و منابع هر سازمان بستگی دارد. در صورتی که دقت در بازرسی ترافیک، توان پردازشی بالا و امنیت پیشرفته اولویت داشته باشد، انتخاب سیستم جلوگیری از نفوذ مستقل منطقی‌تر خواهد بود. اما اگر سازمان به دنبال کاهش هزینه‌ها، سادگی در مدیریت و یکپارچگی عملکردهای امنیتی باشد، گزینه ترکیبی NGFW با قابلیت‌های IPS می‌تواند انتخاب مناسبی باشد. تصمیم‌گیری نهایی باید با در نظر گرفتن ابعاد شبکه، سطح ریسک‌پذیری و ظرفیت تیم امنیتی انجام شود.

• آیا استفاده از IPS ترکیبی امنیت سازمان را به خطر می‌اندازد؟

  در بسیاری از موارد خیر. NGFWهای پیشرفته قابلیت‌های خوبی در حوزه سیستم جلوگیری از نفوذ دارند، اما در برابر تهدیدات پیچیده یا پیشرفته، IPS مستقل عملکرد دقیق‌تری ارائه می‌دهد. انتخاب نهایی به میزان ریسک‌پذیری سازمان و حساسیت داده‌ها بستگی دارد.