دفاع در عمق یا Defense In Depth چیست؟
دفاع در عمق یا Defense In Depth چیست؟
امنیت در لایه های مختلف شبکه و یا دفاع در عمق Defence in depth چه نقش های کلیدی عصر دیجیتال بازی خواهد کرد. در یک مقاله کامل راجب امنیت شبکه صحبت کردیم و تو این مقاله میخوایم راجب دفاع در عمق و امنیت لایه ای دو مفهوم یکسان در امنیت اطلاعات صحبت کنیم. زمان زیادی نگذشته که این دو مفهموم در عصر طلایی اطلاعات شناخته شدند. در زمان های قدیم زمان سرورهای وب ابزاری برای معرفی شرکت ها به دنیای خارج شدند. در آن زمان فایروال ها DMZ و سایر تکنیک های امنیتی سعی در دور نگه داشتن افراد بد داشتند. ولی اکنون زمان تغییر کرده.
در دنیایی محاسبات ابری، محاسبات موبایل، مراکز داده مبتنی بر software defined، تهدیدات مداوم پیشرفته advanced persistent threats، اکسپلویت های Zero-Day، سیستم های داده بزرگ big data و اینترنت اشیاء (IoT) دفاع در عمق و امنیت لایه ای از اهمیت بالای برخوردار است.
چرا دفاع در عمق یا Defense In Depth مهم است؟ با توجه به اینکه ما مثال خودمان را در خصوص جنگ بین ایران و آمریکا و اسرائیل می خواهیم بیان کنیم، بهتر است قبل از اینکه به بررسی فنی مفهوم دفاع در عمق بپردازیم شرایط را مطالعه نمایید.
لطفا اگر شرایط زیر را برای درک این مفهوم متوجه نمی شوید، مطلب را ادامه ندهید و نخوانید:
- اگر بر این باور هستید که ایران در یک جنگ نظامی نیست این مطلب را نخوانید
- اگر بر این باور هستید که این مطلب از روی تعصبات حزبی و سیاسی نوشته شده است مطلب را نخوانید
- اگر انسان منطقی نیستید و رسانه ها را فقط یک جانبه نگاه می کنید این مطلب را نخوانید
- و اساسا اگر قبل از خواندن مطلب با دیدن عنوان به بخش نظرات مراجعه می کنید هم این مطلب را نخوانید
بررسی مفهوم Defense In Depth در امنیت اطلاعات
وقتی صحبت از دفاع در عمق می شود برخی تصور می کنند که یعنی خطرات و تهدیدات امنیتی را باید به داخل هدایت کنند و بعد به حساب کارشان برسند!! بر خلاف این تصور ، مفهوم دفاع در عمق چندان هم با واژه هایی که در کنار هم آمده اند شاید متناسب نباشد. هر موقع صحبت از دفاع در عمق در امنیت اطلاعات شد، شما دو کلمه را به خاطر بیاورید، امنیت لایه ای یا Layered Security … به این شکل شما می توانید به بهترین شکل مفهوم Defense In Depth را درک کنید.
یعنی شما برای دسترسی افراد به داده های اصلی و امنیتی سازمانی خود یک ساختار امنیتی لایه لایه از بیرون به داخل طراحی می کنید که هر کدام از این لایه ها یک سپر تدافعی برای سازمان و اطلاعات شما محسوب می شوند . اگر خطری از بیرون شما را تهدید کند شما در بیرونی ترین لایه با آن مواجه می شوید و فرصت این را دارید که از دارایی های خود به بهترین شکل حفاظت کنید.
این فیلم ها را حتما مشاهده نمایید:
نقشه راه ورود به هک و امنیت (چگونه هکر شویم)
آموزش امنیت و راه های مقابله با نقوذ (امنیت شبکه)
مثال قلعه امنیتی:
دفاع در عمق را با مثال یک قلعه امنیتی هم می شود بیان کرد. در زمان های قدیم قلعه ها برای دفاع از مردم یک شهر در برابر مهاجمین ساخته می شدند. قلعه ها راه های ورودی محدودی داشتند که هر کدام دارای کنترل های امنیتی برای خودشان بودند و به شدت محافظت شده بودند.
دور تا دور قلعه ها دیوارهای بلند و غیرقابل نفوذ طراحی می شدند تا مهاجمین نتوانند از آنها عبور کنند، بالای سر دیوارهای قلعه ها نگهبان هایی بصورت شیفتی نگهبانی می داند، پشت دیوارهای قلعه از بیرون معمولا دالان ها (چاله های بزرگ) طراحی می شدند که در آنها آب یا چیزی که امروز ما به عنوان سیم خاردار می شناسیم یا همان شاخ و برگ برای کند کردن روند حمله مهاجمین استفاده می شد. اگر مهاجمی موفق می شد از این لایه های امنیت عبور کند تازه به نگهبان های درون شهر، بادی گاردهای حاکم شهر و … می رسید که هر کدام از منظر امنیت لایه بندی شده یک سطح از امنیت را برای ساکنین شهر ایجاد می کردند.
Defense In Depth در شبکه های کامپیوتری به چه شکل است؟
حالا فرض کنید شما مفهوم DiD را می خواهید برای اطلاعات سازمانی خودتان ایجاد کنید. برای داده های خود در لایه اول رمزنگاری و سطوح دسترسی تعیین می کنید. برای سیستم عامل خود در لایه بعدی سطوح دسترسی و محدودیت های استفاده در نظر می گیرید. در لایه بعدی نرم افزاری که به داده ها دسترسی پیدا می کند را امن می کنید تا حداقل آسیب پذیری های امنیتی را داشته باشد. در سیستم عامل آنتی ویروس یا ابزارهای ضد بدافزار نصب می کنید .
در لایه شبکه خودتان از انواع و اقسام فایروال ها و تجهیزات امنیتی استفاده می کنید و در نهایت برای فریب دادن مهاجمین از اینکه دلخوش به هک کردن شما و آسیب زدن به شبکه شما هستند از مکانیزمی مثل هانی پات یا هانی نت استفاه می کنید و روی آنها مطالعه می کنید. قطعا همه اینها در سایه یک مکانیزم امنیت فیزیکی قدرتمند وجود دارد که اگر وجود نداشت! امکان داشتن امنیت اطلاعات هم وجود نداشت بنابراین هر سازمان برای خودش حراست فیزیکی مختص خودش را دارد. تبریک می گویم به این مکانیزم که شما تهدیدات را از بیرونی ترین قسمت سازمان خودتان مدیریت می کنید و با آنها برخورد می کنید دفاع در عمق می گوییم.
یعنی شما اجازه ورود تهدیدات را به عمق اطلاعات نمی دهید و در بیرونی ترین لایه با آنها مقابله می کنید. جالب است بدانید که ما در لایه های امنیت شبکه واژه ای به نام Behavioral Analysis داریم یا تجزیه و تحلیل رفتار ، که این مورد برای تهدیدات بیرون سازمان یا لبه شبکه هم کاربرد دارد که شما قبل از اینکه اتفاق بدی بیوفتند متوجه آن می شود و تمهیدات امنیتی را لحاظ می کنید.
DiD یا دفاع در عمق در جنگ ایران و آمریکا و اسرائیل
اگر گزینه 1 را هنوز مطالعه نکردید برگردید و مطالعه کنید و فقط در صورتیکه باور دارید ادامه مطلب را بخوانید. ایران از سال 1357 خورشیدی در حال جنگ است و وضعیت ما همیشه یک وضعیت جنگی بوده است. از 8 سال دفاع مقدس گرفته تا جنگ در لبنان ، سوریه، عراق، یمن و فلسطین … حالا پاراگراف بالا را با هم مرور می کنیم.
اگر فرض را بر این بگیریم که مردم و امنیت مردم ایران مهم باشد که هست و بخواهیم تدابیر دفاع در عمق یا امنیت لایه بندی شده را برای این مثال در نظر بگیریم برای شما جالب می شود که چرا در این کشورها هزینه می کنیم! چرا بیشتر از اینکه درون ایران بعضا هزینه کنیم برای لبنان و سوریه و … هزینه می کنیم. ( خیلی جای بحث داره ، اگر دوست داشتید در ادامه Comment کنید صحبت می کنیم.)
در واقع ایران لایه های Perimeter یا انتهایی شبکه خودش را به جای اینکه در مرزهای خودش قرار بدهید در برابر دشمنی که اسرائیل است، در مرزهای کشورهایی مثل سوریه، عراق، لبنان و فلسطین طراحی کرده است و در همانجا مشغول حمله و دفاع است. تصور کنید که جنگ های نیابتی که از طرف نیروهایی که قطعا با حمایت ایران در آن مناطق مشغول جنگیدن هستند، انجام نمی شدند! چه اتفاقی رخ می داد؟ خیلی ساده به این نتیجه می رسید که به جای اینکه جنگ در نوار غزه باشد در مرز مهران، در مرز بازرگان، در مرز کردستان و … جنگ داشتیم و اینبار نیروی نیابتی هم در کار نبود و آنگاه بود که ما هم باید به جنگ می رفتیم.
نکته:
اما لایه های امنیتی که در جنگ و تهدیدات جنگی بر علیه ایران وجود دارد و پیاده سازی شده اند چه چیزهایی هستند که ارتباط به دفاع در عمق پیدا می کنند؟ لایه اول حزب الله لبنان، لایه دوم الحشد الشعبی در عراق، لایه سوم حزب الله یمن (ابعاد استراتژیک)، لایه بعدی در سوریه و کردستان و … بنابراین این لایه های امنیتی باید وجود داشته باشند تا دارایی های یک سازمان به نام مردم ایران در امنیت به سر ببرند.
اگر فرض را بر امنیت اطلاعات سازمانی هم بگذاریم بعد از این لایه های امنیت که تا لب مرزها وجود دارند به لایه های مرزبانی، پلیس، حراست سازمان، وزارت اطلاعات و … می رسیدم … و همینجا از شما می خواهیم تحلیل کنید که Behavioral Analysis یا رفتار شناسی برای پیشبینی تهدیدات چقدر می تواند برای کارهایی که ایران در خاورمیانه انجام می دهد توجیه پذیر باشد که از نظر خیلی ها در جهان تهدید و خصمانه به نظر می رسد اما در واقع پیشگیری از یک خطر بالقوه برای داخل کشور بوده است.
این فیلم را حتما مشاهده نمایید: هکر قانونمند ورژن 10 (CEH10)
سخن آخر:
این تفسیر بنده از دفاع در عمق و اینکه چرا در این کشورها هزینه می کنیم است. قطعا باور دارم که خیلی از مواردیکه در این روند انجام می شود نادرست است. قطعا به اشکالات، فساد و بی تدبیری و خودفروختگی و خیانت هایی که در کشور وجود دارد و باعث نارضایتی های زیاد هم می شود باور دارم اما از دیدگاه یک کارشناس امنیت اطلاعات نظر شخصی خودم را بیان کردم. قطعا در این بحث بی اشتباه نیستم چون من یک آدم سیاسی نیستم و با رویکرد سیاسی هم این مطلب نوشته نشده است. با کمال احترام هر Comment ای که در خصوص این مفهوم با رویکرد جنگ علیه ایران در ادامه مطرح شود و فاقد توهین و افترا باشد هم بحث و تبادل نظر خواهیم کرد .
سپاسگزارم از لطف شما
نویسنده : محمد نصیری
لطفا نظرات خود در ارتباط با مقاله دفاع در عمق یا Defense In Depth چیست؟با ما به اشتراک بگذارید.
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.