آیا فقط آنتی‌‌ویروس سرور (تحت شبکه) کافی است؟

در دنیای امروز که دورکاری تبدیل به یک روال عادی کاری شده است، ارتباط مداوم دستگاه‌های خارج از محل کار با سرورهای سازمان که داده‌های حساس و دارایی‌های با ارزش کسب‌و‌کار را دارند، یک مسیر  حمله مجدد برای مهاجمین سایبری شده ‌است. همچنین بیشتر سرورها در حال اجرای برنامه‌های کاربردی با داشبورد تحت وب هستند که سطح مستقیم حمله را برای نفوذگران بیشتر فراهم می‌کند.

برای آنکه بتوان تصمیم گرفت، آیا آنتی‌‌ویروس سرور (Server Antivirus) برای محافظت از سایت به‌تنهایی کافی است یا خیر؟ باید به چند موضوع توجه داشت و ما در پیرامون امنیت شبکه گستر به بررسی آن‌ها خواهیم پرداخت.

رویکرد متخاصمین نسبت به سرورها چگونه است؟

در بسیاری از موارد حمله به یک سرور با نقطه پایانی (Endpoint) کلاینت متفاوت است. هدف مهاجم باقی‌ماندن در سرور برای جمع‌آوری داده‌های شبکه، اطلاعات شخصی قابل تشخیص و یا اطلاعات مالی است.

هرچقدر نفوذگر بتواند بیشتر مخفی بماند سود بالاتری خواهد داشت. حملات ساده‌ای مانند بدافزار و یا worm به ‌راحتی قابل شکست و مقابله است. مهاجمین مدرن‌تر، از ابزارهایی مانند «وب شل» (به انگلیسی webshell) به‌عنوان تروجان دسترسی از راه دور استفاده می‌کنند. چند خط کد ساده که بسیار شبیه به خود کدهای سرور است و به‌راحتی دسترسی از راه دور و یا دسترسی به فایل سرور را برای نفوذگر فراهم می‌آورد. در اینجاست که آنتی‌‌ویروس سرور به‌تنهایی کارایی نخواهد نداشت.

تنوع سیستم عامل های سرور و سرویس‌ها

ویندوزهای سرور، لینوکس و سرویس‌های مختلف هرکدام ضعف‌ها و حملات مخصوص به خود را دارند. بدین ترتیب باید از راهکاری استفاده بشود که به ‌صورت چند بستری  قابلیت پیاده‌سازی داشته باشند. همچنین، حملات می‌تواند در لایه‌های مختلف سیستم اتفاق بیفتد که باعث می‌شود آنتی‌ویروس سرور در برابر آن‌ها کور باشد.

در بحث امنیت سرور، باید رویکرد دفاع هوشمند از سرور را دنبال کرد. لذا استفاده‌ی به‌تنهایی از آنتی‌‌ویروس سرور، کمکی به حفاظت از آن نمی‌کند. برای محافظت بیشتر از سرور به‌عنوان نقطه نهایی، باید از بستر محافظت نقاط نهایی (Endpoint Protection Platform) سازگار با سرور استفاده شود.

بستر محافظت از نقاط پایانی و یا EPP

راهکارهای امنیت نقطه نهایی و یا Endpoint Security راهکاری است، که تمامی کنترل‌های لازم جهت تامین امنیت کامل نقطه پایانی را در یک بستر واحد فراهم می‌کند و در نسخه‌های مناسب سرور، امکانات ویژه‌ای برای آن‌ها وجود دارد.

از آنتی‌ویروس فایل سرور تا آنتی‌ویروس وب (Web Antivirus) و پست الکترونیک (EMail Antivirus) ، و از کنترل دستگاه‌های متصل به سیستم تا فناوری‌های ضد باج‌افزار، فقط بخشی از لایه‌های مختلف حفاظتی است که در راهکار امنیت نقطه نهایی به‌کار رفته‌ است.

برای مثال در راهکارهای امنیت نقاط پایانی پیشرفته‌ای مانند Trellix Endpoint Security (مکافی سابق) از چندین موتور مخصوص برای محافظت، شناسایی و پاسخ به حملات بر روی سرورهای ویندوز و لینوکس  استفاده می‌شود. همچنین قابلیت‌های پاسخ‌دهی به رخداد در شناسایی بلادرنگ و تحقیقات رخداد نیز برای سرورها پیش بینی شده‌ است. برای شناسایی حملات گریزنده و پیچیده که به ‌راحتی از آنتی ویروس سرور ساده عبور خواهند کرد،  Trellix از هوش مصنوعی قدرتمند، شناسایی رفتارهای غیرمعمول و یادگیری ماشین (Machine Learning) کمک می‌گیرد.

سخن پایانی

در دنیای مدرن امروز امنیت سایبری، یک آنتی‌ویروس سرور (تحت شبکه) ساده دیگر جایگاهی نداشته و برای محافظت از سرورها ابدا کافی نخواهد بود. سرورهای یک سازمان و کسب و کار، جذابترین نقاط حمله و دسترسی برای مجرمین سایبری هستند، که از روش‌ها و تکنیک‌های پیشرفته و جدید برای مخفی ماندن و بقای طولانی‌تر در سیستم استفاده می‌کنند. به همین منظور برای دفاع از سرور باید یک رویکرد چند جانبه داشت. در سطح میزبان استفاده از راهکارهای Endpoint Security  و EDR، و در سطح شبکه راهکار پیشرفته‌ای مانند XDR می‌تواند به کشف حملات در سطح بالا کمک شایانی بکند. قیمت آنتی ویروس تحت شبکه به همین دلیل میتواند متغیر باشد.

به طبع هر چقدر که راهکارهای مورد استفاده پیشرفته‌تر و پیچیده‌تر باشند، نیاز به تخصص بالا و تجربه زیاد دارند. اما این موضوع نباید برای شما جای نگرانی داشته باشد، زیرا شرکت شبکه گستر با تجربه‌ای  طولانی در ارائه راهکارهای امنیت شبکه، شما را در تمامی مسیر طراحی و پیاده سازی راهکارهای امنیت سرور همراهی خواهد کرد.

منابع: Trellix-endpoint /Trellix-server