1- امنیت شبکه چیست و چرا اهمیت دارد؟

امنیت شبکه مجموعه‌ای از سیاست‌ها، ابزارها و فناوری‌ها برای محافظت از شبکه در برابر دسترسی غیرمجاز، حملات و سوء‌استفاده‌ها است.

اهمیت آن به این دلیل است که شبکه بستر انتقال داده‌های حیاتی، کاربران و سرویس‌هاست و نفوذ به آن می‌تواند منجر به نشت اطلاعات، توقف سرویس و خسارت مالی شود.

2- تهدیدات رایج شبکه کدام‌اند؟

تهدیدات امنیتی (Security Threats) به هر اقدام، رویداد یا وضعیتی گفته می‌شود که می‌تواند از طریق سوءاستفاده از آسیب‌پذیری‌ها، به دارایی‌های اطلاعاتی (داده‌ها، سیستم‌ها، شبکه‌ها، نرم‌افزارها و سخت‌افزارها) خسارت وارد کند، آنها را تخریب کند، حریم خصوصی یا یکپارچگی آنها را نقض کند، یا دسترسی غیرمجاز به آنها ایجاد کند.موارد زیر نمونه ای از تهدیدات است.

بدافزارها (Malware، Ransomware)

حملات DDoS

حملات Man-in-the-Middle

حملات Brute Force

فیشینگ

Exploit آسیب‌پذیری‌ها

دسترسی غیرمجاز داخلی (Insider Threat)

3- چرا فقط فایروال برای امنیت شبکه کافی نیست؟

فایروال یک سیستم امنیتی شبکه (هم نرم‌افزاری و هم سخت‌افزاری) است که مانند یک دیوار محافظ یا فیلتر بین شبکه داخلی مورد اعتماد شما (مثل شبکه خانگی یا شرکتی) و شبکه‌های خارجی غیرقابل اعتماد (مثل اینترنت) عمل می‌کند.

فایروال تنها برای امنیت شبکه کافی نیست چون:

– فایروال نمی‌تواند همه حملات لایه کاربرد را تشخیص دهد

2- تهدیدات داخلی را به‌خوبی پوشش نمی‌دهد

3- حملات Zero-Day را کامل متوقف نمی‌کند
 4- امنیت شبکه نیازمند چند لایه دفاعی است.

4- مفهوم Defense in Depth چیست؟

Defense in Depth (دفاع لایه‌ای یا دفاع در عمق)  یک استراتژی امنیتی است که در آن از چندین لایه حفاظتی به صورت همزمان و پشت سر هم برای محافظت از دارایی‌های اطلاعاتی استفاده می‌شود. که هدف اصلی آن این است که اگر یک لایه امنیتی شکسته شود یا با شکست مواجه گردد، لایه بعدی همچنان مهاجم را متوقف یا کند می‌کند. این رویکرد احتمال موفقیت یک حمله را به شدت کاهش می‌دهد.

همچنین یک رویکرد امنیتی که در آن چندین لایه امنیتی مستقل (فایروال، IDS/IPS، MFA، مانیتورینگ، آنتی‌ویروس و …) استفاده می‌شود تا در صورت شکست یک لایه، لایه‌های دیگر مانع نفوذ شوند.

5- نقش Segmentation در امنیت شبکه چیست؟

Segmentation (قطعه‌بندی یا تقسیم‌بندی شبکه) یک استراتژی امنیتی است که در آن یک شبکه بزرگ کامپیوتری به بخش‌های کوچکتر و مجزای منطقی تقسیم می‌شود. این بخش‌ها معمولاً بر اساس معیارهایی مانند زیر است :

· نوع دستگاه‌ها (سرورها، کاربران، دستگاه‌های IoT)
· سطح حساسیت داده‌ها (بخش مالی، بخش تحقیق و توسعه)
· عملکرد یا دپارتمان (بخش اداری، بخش تولید)
· سطح نیاز به اعتماد (Trust Level)

که این قابلیت تقسیم شبکه به بخش‌های جداگانه (VLAN / Subnet) برای: محدود کردن حرکت مهاجم (Lateral Movement)، افزایش کنترل دسترسی وکاهش دامنه آسیب در صورت نفوذ میشود تا امنیت یک سازمان برقرار شود.

DMZ -6 چیست و چرا استفاده می‌شود؟

DMZ مخفف Demilitarized Zone (منطقه غیرنظامی) است. در امنیت شبکه، DMZ یک بخش یا زیرشبکه منطقی است که بین شبکه داخلی (Internal Network/Trusted Zone) و شبکه خارجی غیرقابل اعتماد (معمولاً اینترنت/Untrusted Zone) قرار می‌گیرد.

 که سرویس‌های عمومی مثل:  Web Server وMail Server در آن قرار می‌گیرند تا در صورت نفوذ، شبکه داخلی محافظت شود.

7- فایروال چیست و تفاوت Stateful و Next-Gen چیست؟

فایروال Stateful (یا Stateful Inspection Firewall) یک نوع پیشرفته‌تر از فایروال است که نه تنها سرآیند (Header) بسته‌های شبکه (مانند آدرس IP و پورت) را بررسی می‌کند، بلکه وضعیت (State) اتصالات فعال شبکه را نیز ردیابی و تحلیل می‌کند. همچنین فایروال دیگر یعنی فایروال نسل بعدی (Next-Generation Firewall یا NGFW) یک فایروال پیشرفته است که قابلیت‌های فایروال سنتی (مانند فیلتر کردن پورت و آدرس IP) را با فناوری‌های امنیتی جدیدتر و عمیق‌تر در یک پلتفرم یکپارچه ترکیب می‌کند.

 Stateful Firewall:

بررسی وضعیت اتصال (Session-based)

تمرکز روی IP و Port

مانند فایروال pfsense , Juniper

 Next-Generation Firewall (NGFW):

تشخیص برنامه‌ها (Application Awareness)

IPS، کنترل کاربران، SSL Inspection

امنیت لایه 7

مانند Fortigate , Cisco

MFA -8 چیست و چرا امنیت شبکه را افزایش می‌دهد؟

MFA (احراز هویت چندعاملی)که مخففMulti-factor authentication است که یک روش امنیتی که برای تأیید هویت کاربر، به جای تکیه فقط بر یک چیز (مثلاً رمز عبور)، از دو یا چند عامل مختلف از دسته‌های مستقل استفاده می‌کند. که هدف اصلی آن افزایش چشمگیر امنیت با این منطق که شکستن یا سرقت همزمان چند عامل مختلف، برای مهاجم بسیار سخت‌تر است.

چیزی که می‌دانید (رمز عبور)

چیزی که دارید (OTP، Token)

چیزی که هستید (Biometric)

 حتی اگر رمز عبور لو برود، دسترسی غیرمجاز دشوار می‌شود.

9- تفاوت Site-to-Site و Remote Access VPN چیست؟

VPN Site-to-Site یک نوع اتصال VPN (شبکه خصوصی مجازی) است که دو یا چند شبکه محلی (LAN) ثابت در مکان‌های فیزیکی مختلف (مانند دفتر مرکزی و شعب یا دیتاسنترها) را از طریق یک شبکه ناامن (معمولاً اینترنت) به طور ایمن به یکدیگر متصل می‌کند ولی VPN Remote Access (دسترسی از راه‌دور) یک نوع اتصال VPN است که به یک کاربر منفرد یا دستگاه خاص (مثل لپ‌تاپ، موبایل یا رایانه خانگی) اجازه می‌دهد تا از طریق یک شبکه ناامن (معمولاً اینترنت) به یک شبکه خصوصی داخلی (مثل شبکه شرکت یا سازمان) متصل شود و انگار که به صورت فیزیکی در داخل آن شبکه قرار دارد. تفاوت این دو مورد مانند موارد زیر است:

 Site-to-Site VPN:

اتصال دائمی بین دو شبکه

مناسب شعب سازمان

 Remote Access VPN:

اتصال کاربران از راه دور

مناسب کارمندان و مدیران

10- حملات DDoS چگونه شبکه را از کار می‌اندازند؟

حمله DDoS مخفف Distributed Denial-of-Service (حملۀ مح distributed از سرویس) است. DDOS یک حملۀ مخرب که در آن، مهاجم با سیل عظیمی از ترافیک جعلی و غیرواقعی از هزاران یا میلیون‌ها دستگاه آلوده (که اغلب به صورت ربات‌های تحت کنترل او هستند)، سرور، سرویس یا زیرساخت شبکه یک هدف خاص را غرق (Flood) می‌کند تا آن را از دسترس کاربران واقعی خارج کند.

این حملهع با ارسال حجم عظیمی از ترافیک جعلی به شبکه ای مورد نظر موارد زیر را دار اختلال میکند:

-مصرف پهنای باند

-اشغال منابع سرور

-عدم پاسخ‌گویی به کاربران واقعی

11- مستندسازی امنیت شبکه چرا مهم است؟

مستندسازی امنیتی شبکه (Network Security Documentation) به فرآیند سیستماتیک ثبت، سازماندهی و نگهداری اطلاعات مربوط به طراحی، پیکربندی، سیاست‌ها، رویه‌ها و وضعیت امنیت یک شبکه کامپیوتری گفته می‌شود.

 که هدف اصلی این ساماندهی ایجاد یک منبع متمرکز، دقیق و به‌روز از تمام جوانب امنیت شبکه که به عنوان مرجع معتبر برای مدیریت، عیب‌یابی، آموزش، بازرسی و پاسخ به حوادث عمل می‌کند.

چرا مستند سازی را مهم است :

1- افزایش آمادگی تیم

2- کاهش خطا در بحران

3- تطابق با استانداردها (ISO 27001)

4- انتقال دانش بین نیروها

5- کاهش زمان خرابی

6- مدیریت ریسک آگاهانه

7- پاسخگویی و ممیزی

SOC –12 چه نقشی در امنیت شبکه دارد؟

SOC یک تیم تخصصی و یکپارچه است که مسئولیت نظارت، شناسایی، تحلیل و پاسخ به تهدیدات امنیت سایبری یک سازمان را به‌صورت ۲۴ ساعته و ۷ روز هفته بر عهده دارد. SOC اغلب به‌عنوان «اتاق جنگ امنیتی» یا «سیستم عصبی مرکزی امنیت» سازمان توصیف می‌شود.

در کل نقش اصلی  SOC که مخفف Security Operations Center است نیز باعث  کاهش خطر و تأثیر حملات سایبری از طریق نظارت فعال، تشخیص به‌موقع و پاسخ سریع است. به‌عبارتی دیگر، SOC «چشم‌ها و گوش‌های» سازمان در فضای سایبر است.

وظایف و فعالیت های کلیدی تیم SOC به صورت زیر است :

• نظارت مستمر (Continuous Monitoring)
• شناسایی تهدیدات (Threat Detection)
• تحلیل و بررسی (Analysis & Triage)
• پاسخ به حوادث (Incident Response)
• بهبود مستمر (Continuous Improvement)
• مدیریت آسیب‌پذیری و تهدید (Vulnerability & Threat Intelligence)