استراتژی دفاع عمیق، موسوم به استراتژی امنیت عمیق، به یک رویکرد امنیت سایبری متشکل از چندین لایه امنیتی برای حفاظت کامل و جامع اشاره دارد. سیستم دفاع لایه‌ای به کاهش آسیب‌پذیری‌ها و همچنین مهار بهتر تهدیدات در یک سازمان امنیتی کمک کرده و در نتیجه خطر را کاهش می‌دهد. به زبان ساده‌تر، با رویکرد دفاع عمیق، اگر یکی از عوامل مخرب شبکه، یک لایۀ دفاعی را نقض کند، ممکن است توسط لایه‌های دفاعی بعدی مهار شود.

• مدیریت ریسک امنیت اطلاعات چیست؟
• ارزیابی آسیب پذیری چیست؟

مفهوم دفاع عمیق در ابتدا توسط آژانس امنیت ملی امریکا (NSA) مطرح شد و نام آن با یک استراتژی نظامی مشترک می‌باشد. (استراتژی امنیت سایبری دفاع عمیق، گاهی به عنوان رویکرد قلعه (Castle approach) شناخته می‌شود. زیرا شبیه به سیستم دفاعی چند لایۀ متعلق به قلعه‌های قرون وسطایی , شامل خندق، پل‌های متحرک، برج و… است).

استراتژی دفاع عمیق NSA، افراد، فناوری‌ها و عملیات مختلف را پوشش می‌دهد. این سیستم، دستورالعمل‌ها و بهترین شیوه‌های عملیاتی را برای ایمن‌سازی زیرساخت‌های فیزیکی، فرآیندهای سازمانی و سیستم های فناوری اطلاعات (IT) ارائه می‌دهد.

از لحاظ تاریخی، بیشتر کسب‌وکارها توسعه استراتژی‌های دفاع عمیق را به‌دلیل محافظت از زیرساخت‌های فناوری اطلاعات، حول مدل‌های سنتی امنیتیِ Perimeter Based طراحی کرده‌اند. پیاده‌سازی کلاسیک امنیت عمیق، شامل طیف گسترده‌ای از عناصر امنیتی است از جمله:

راهکارهای امنیتی نقاط انتهایی:

• مانند نرم‌افزارهای آنتی‌ویروس و ابزار «تشخیص و واکنش نقطۀ انتهایی (EDR)» برای محافظت در مقابل تهدیداتی که از رایانه های شخصی، سیستم‌های مک‌، سرورها و دستگاه های تلفن همراه نشأت گرفته است؛ و هم‌چنین راهکارهای مدیریت نقاط انتهایی برای کنترل دسترسی آن‌ها به حساب‌های ویژه.

• نه معیار برتر هنگام انتخاب یک راه حل EDR مناسب
• FortiEDR چیست؟
  

  ---

ابزارهای مدیریت پچ ( Patch) :

• برای به‌روز نگه داشتن سیستم‌عامل‌ها و اپلیکیشن‌های نقطۀ انتهایی و رسیدگی به «آسیب‌پذیری‌ها و افشا شدن‌های رایج (CVE)».

راهکارهای امنیتی شبکه :

•  مانند فایروال‌ها،VPN ها،VLAN ها، و… برای محافظت از شبکه‌های سازمانی و سیستم‌های IT  معمول که دسترسی فیزیکی به آن‌ها داریم.

ابزارهای تشخیص/پیشگیری از نفوذ (IDS/IPS) :

• برای شناسایی فعالیت‌های مخرب و خنثی کردن حملاتی که هدفشان زیرساخت‌های IT-ای است که دسترسی فیزیکی به آن‌ها داریم.

راهکارهای مدیریت دسترسی و شناسۀ کاربری:

• مکانیسم ثبت‌نام واحد، ابزارهای احراز هویت چندعاملی ، مدیریت چرخۀ حیات برای احراز هویت و مجوز دادن به کاربران.

EDR : Endpoint Detection and Response 

مدل‌های سنتی perimeter based در امنیت اطلاعات، که برای کنترل دسترسی در شبکه‌های قابل اعتماد سازمانی طراحی شده‌اند، برای دنیای دیجیتال مناسب نیستند. امروزه، سازمان‌ها اپلیکیشن‌هایی را با همکاری مراکز داده سازمانی، شبکه‌های ابری خصوصی و عمومی (مانند AWS، Azure، GCP و…) توسعه داده و پیاده‌سازی می‌کنند، و همچنین از محصولات ارائه شده در زمینۀ SaaS (مانند Microsoft 365، Google Workspace، Box و…) نیز استفاده می‌کنند. بیشتر کسب‌وکارها به دلیل تحولات دنیای دیجیتال، به طور پیوسته در حال توسعه استراتژی‌های دفاع عمیق خود برای محافظت از ترافیک ابری، و دفاع در برابر روش‌های جدید حملات هستند.

اپلیکیشن‌ها چه در محیط فیزیکی ما اجرا شوند و چه در فضای ابری، تجربه نشان می‌دهد که مهاجمان پیشرفته می‌توانند به شبکه‌ها نفوذ کرده و برای هفته‌ها یا بیشتر، ناشناخته باقی بمانند. برای مثال، حمله زنجیره تامین SolarWind در سال 2020، به مدت 9 ماه کشف نشد و بیش از 000,18 سازمان را تحت تاثیر قرار داد.

برای مقابله با این موضوع، بسیاری از سازمان‌ها در حال به‌کارگیری یک مدل دانش صفر موسوم به «Assume-Breach» در استراتژی های امنیتی خود هستند؛ این کار با استفاده از ترکیب مکانیسم‌های کنترل‌ پیشگیری و‌ تشخیص، به منظور شناسایی مهاجمان و جلوگیری از رسیدن آن‌ها به اهدافشان پس از نفوذ به شبکه انجام می‌گیرد. اصول کلیدی یک استراتژی مدرن دفاع عمیق عبارتند از:

از دسترسی‌ به حساب‌های ویژه محافظت کنید:

• از راهکارهای پیشرفتۀ مدیریت دسترسی برای نظارت و ایمن کردن دسترسی به حساب‌های ویژه (اکانت‌های اَبَرکاربر، اکانت‌های local و domain ادمین، اکانت‌های مدیریت برنامه و…) توسط عوامل انسانی و غیر انسانی (برنامه ها، اسکریپت‌ها، بات‌ها و غیره) استفاده کنید.

نقاط انتهایی خیلی مهم را قرنطینه کنید:

• از راهکارهای پیشرفتۀ مدیریت نقاط انتهایی برای قرنطینه کردن حساب‌های ویژه استفاده کرده تا از دسترسی‌های خاص به نقاط انتهایی مهم و ویژه جلوگیری کرده، از دسترسی‌های افراد به حساب‌های هم‌سطح و هم‌ردۀ خود ممانعت ورزیده و از باج‌افزارها و سایر اشکال بدافزارها، جلوگیری به عمل آورید.

احراز هویت چندعاملی تطبیقی ​​را فعال کنید:

• از اطلاعات زمینه‌ای مانند موقعیت مکانی، موقعیت زمانی، آدرس IP، نوع دستگاه، قوانین تجاری و غیره استفاده کنید تا تعیین کنید که کدام‌یک از عوامل احراز هویت برای یک کاربر خاص در یک موقعیت خاص اعمال شود.

امنیت ابزارهای توسعه‌دهنده را بالا ببرید:

• از راهکارهای مدیریت کلید‌های مخفی برای ایمن‌سازی، مدیریت، چرخش و نظارت بر کلیدهای مخفی و سایر اعتبارنامه‌های مورد استفاده توسط برنامه‌های کاربردی، اسکریپت‌های خودکار و سایر عوامل غیرانسانی استفاده کنید.

شرکت‌ها معمولاً راهکارهای مدیریت دسترسی‌ به حساب‌های ویژه، راه‌حل‌های مدیریت دسترسی‌های ویژه به نقاط انتهایی، راه‌کارهای احراز هویت چندعاملی تطبیقی ​​و راه‌حل‌های مدیریت کلیدهای مخفی را افزون بر راهکارهای امنیتی سازمانی معمول (EDR، فایروال، IDS/IPS، و غیره) به عنوان بخشی از یک استراتژی دفاع عمیق جامع و مدرن به کار می‌گیرند.