https://virgool.io/feed/@Ravro_ir سامانه پرداخت پاداش به ازای گزارش آسیب پذیری fa 2026-06-16 05:02:57 https://files.virgool.io/upload/users/33895/avatar/fqzBPj.png?height=120&width=120 https://virgool.io/@Ravro_ir https://virgool.io/RavroGAP/%D8%AF%D9%88%D8%B1%DA%A9%D8%A7%D8%B1%DB%8C-%D8%B1%D8%A7%D9%87%DA%A9%D8%A7%D8%B1%DB%8C-%D8%A8%D8%B1%D8%A7%DB%8C-%D9%85%D9%82%D8%A7%D8%A8%D9%84%D9%87-%D8%A8%D8%A7-%DA%A9%D8%B1%D9%88%D9%86%D8%A7-%D9%88-%D9%81%D8%B1%D8%B5%D8%AA%DB%8C-%D8%A8%D8%B1%D8%A7%DB%8C-%D8%A8%D8%A7%D8%AC-%D8%A7%D9%81%D8%B2%D8%A7%D8%B1%D9%87%D8%A7-drbuh5nvtpa6 با توجه به شیوع ویروس کرونا در کشور، خوشبختانه شاهد آن هستیم که دورکاری در برخی از شرکت‌ها، خبرگزاری‌ها و استارتآپ‌ها در دستور کار قرار گرفته است. بررسی رخدادهای باج­ افزاری در سال ۲۰۱۹ حاکی از آن است که نقطه ورود حدود ۶۰ درصد حملات باج ­افزار‌ی از طریق سرویس RDP بوده است. با توجه به افزایش دورکاری در میان کاربران ایرانی در روزهای آتی، نیاز است تا کارمندان، شرکت‌ها و سازمان‌ها با رعایت نکات و موارد امنیتی زیر، تهدیدهای احتمالی را به حداقل برسانند.باج افزار چیست؟یکی از روش‌هایی که در سال‌های اخیر مورد توجه بسیاری از نفوذگران قرار گرفته است، کسب درآمد از طریق باج ­خواهی از قربانیان می‌باشد. نفوذگران سایبری با استفاده از روش‌های مهندسی اجتماعی، حدس رمزهای عبور و استفاده از فایل‌های آلوده یا ضعف‌های موجود در پیکربندی سرویس‌دهنده‌ها و موارد دیگر... می‌توانند موفق به گرفتن دسترسی از سیستم قربانی شوند، که این امر منجر به سرقت اطلاعات و یا افشای اطلاعات خواهد شد. در سال‌های اخیر با گسترش رمزارز‌های دیجیتال، نفوذگران به دنبال کسب درآمد مستقیم از قربانیان با سوء استفاده از رمزگذاری و از دسترس خارج کردن فایل‌های سیستم قربانی بوده‌اند، که متاسفانه تا حدود زیادی در این کار موفق بوده‌اند. رمزگذاری اطلاعات به نحو‌ی انجام می‌گیرد که حتی کاربر اصلی نیز امکان دسترسی به اطلاعات خود را نداشته باشد و نفوذگر در ازای رمزگشایی اطلاعات، از قربانیان مبالغ هنگفتی باج طلب می‌نماید. در سال‌های اخیر خسارات مالی چشمگیری توسط باج‌افزارها متوجه شرکت‌ها و سازمان‌های سراسر جهان شده است، به طوری که برخی از کارشناسان مجموع خسارات حملات گزارش شده و گزارش نشده در سال ۲۰۱۹ میلادی را حدود ۱۷۰ میلیارد دلار برآورد می‌نمایند. در اکثر موارد احتمال بازگرداندن فایل‌هایی که توسط باج‌افزار‌ها رمز می‌شوند، بسیار کم و نزدیک به صفر است.‌ متاسفانه بسیاری از قربانیان حتی پس از پرداخت باج نیز موفق به بازیابی اطلاعات خود نشده‌اند. باج افزارها و RDPدر سال ۲۰۱۹ میلادی ۶۳ درصد از قربانیان باج‌افزار، کسب‌وکارهای کوچک بوده‌اند. همچنین آمارها نشان می‌دهد که در همان سال حدود ۶۰ درصد از حملات باج‌افزاری، مربوط به سرویس RDP و آسیب‌پذیری‌های آن بوده‌است. سرویس RDP یکی از پرکاربردترین روش‌های اتصال از راه دور به کامپیوترها در بستر شبکه می‌باشد که جهت مدیریت و کنترل کردن فایل­ها و اطلاعات کامپیوترها استفاده می‌گردد.حدود ۶۰ درصد حملات باج افزارها در سال ۲۰۱۹ مربوط به آسیب پذیری RDP بودند.از مشهورترین باج‌افزارهایی که از آسیب‌پذیری‌های سرویس RDP در حملات خود بهره می‌برند، می‌توان به Samsam، Dharma و ACCDFISA اشاره کرد. استفاده از نسخه‌های آسیب‌پذیر سرویس RDP، عدم اعمال محدودیت‌های دسترسی، استفاده از تنظیمات پیش‌فرض، استفاده از رمز عبور ضعیف، تنظیمات ناقص یا بی‌احتیاطی در حفاظت از رمز عبور از مهمترین عوامل نفوذ باج‌افزارها به داخل سرورها و سیستم‌های سازمان‌ها بوده است. لذا فعال بودن دسترسی Remote Desktop ‌به صورت حفاظت نشده در سطح اینترنت، سرور و داده‌های شما را بیش از آن که تصورش را بکنید، در معرض خطر قرار خواهد داد.راهکار امن سازیبا توجه به پرکاربرد بودن استفاده از RDP در مواقع دورکاری، در صورت لزوم رعایت موارد جهت امن‌سازی این سرویس ضروری است. برخی از اقداماتی که تا حد زیادی می‌توانند منجر به کاهش آثار مخرب حملات و همچنین کاهش میزان آسیب‌پذیری سازمان‌شما در مقابل حملات مربوط به RDP شود، به شرح زیر می‌باشند:- انجام منظم و سخت‌گیرانه پشتیبان‌گیری از اطلاعات، آزمایش نسخه‌های پشتیبان پس از هر مرتبه پشتیبان‌گیری.- استفاده از راه­های ارتباط امن با شبکه‌ داخلی از طریق تانل‌های VPN.- به‌روزرسانی منظم سیستم‌عامل و نرم ­افزارهای کاربردی.- استفاده از آنتی‌ویروس‌های معتبر و به‌روزرسانی مداوم آنها.- عدم استفاده از کاربر با سطح ادمین (Administrator) برای دسترسی از راه دور و تعریف کاربران مجاز با دسترسی مشخص و محدود شده.- سیاست‌گذاری‌های مناسب جهت استفاده از رمز‌عبور پیچیده با طول حداقل ۸ کاراکتر، تغییر دوره‌ای رمزهای عبور‌ و استفاده از مکانیزم‌های ورود چند مرحله‌ای.- تنظیم کردن سرورها به شکلی که برای ورود موفق، سقف مشخص و محدودی از تلاش‌های ناموفق تعیین شود، این فرآیند در سیستم‌عامل‌های مختلف متفاوت بوده و بسیار ساده اما تاثیرگذار است و سبب پیشگیری از موفقیت بسیاری از حملات بر پایه دیکشنری یا دزدیدن رمز عبور می‌شود.- استفاده از دیواره آتش و اعمال قوانین و تنظیمات محدودیت حداکثر، به نحو‌ی که تمامی ارتباطات قطع شوند و صرفا به سرویس‌های مجاز اجازه‌ی دسترسی داده شود.- استفاده از نرم ­افزارهای گزارش‌گیری جهت بررسی وقایع و رخداد‌های ورود و خروج کاربران از طریق ارتباطات راه دور و ...- دقت مضاعف در زمان استفاده از نام کاربری و گذرواژه برای دسترسی از راه دور، مخصوصا در زمانی که برای اتصال از رایانه دیگران استفاده می‌شود. انواع Key logger ها و تروجان‌ها می‌توانند با دزدیدن مخفی اطلاعات تایپ شده، دسترسی مهاجمین به سرورها را ممکن کنند.- محدودیت دسترسی از راه دور تنها به آدرس‌های IP مشخص.- عدم دانلود و استفاده از فایل‌های ضمیمه از آدرس‌های ایمیل نامعتبر و ناشناخته.- تغییر پورت پیش‌فرض.بکآپ و دیگر هیچ!تجربه‌ی همکاران ما در بیش از 100 مورد امداد به سازمان‌ها و شرکت‌های آلوده به باج ­افزار در سطح کشور حاکی از آن است که تنها راه‌کار عملی جهت جلوگیری از خسارت حملات باج‌افزار‌ها، تهیه و تدوین راهکارهای مناسب و دوره‌ای جهت پشتیبان ­گیری آفلاین از اطلاعات حیاتی و بررسی سلامت فایل‌های پشتیبان می‌باشد.با روند رو به رشد تهدیدات سایبری در سال­های اخیر، امکان مورد حمله قرار گرفتن کسب‌وکارها بیش از پیش شده است، شاید نتوان جلوی ماشین حملات و تهدیدات سایبری را گرفت اما می‌توان با رعایت نکاتی ساده، ریسک خسارت و میزان آسیب‌های احتمالی را کاهش داد. در صورت نیاز به اطلاعات بیشتر و راهنمایی جهت امن­ سازی سرویس‌های خود می‌توانید از طریق راه‌های ارتباطی با کارشناسان ما در ارتباط باشید.در سختی ها، همراهتان هستیم... راورو راورو Tue, 25 Feb 2020 01:52:38 +0330 https://virgool.io/RavroGAP/%D8%AA%D9%86%D9%87%D8%A7-%DB%8C%DA%A9-%DA%AF%D8%A7%D9%85-%D8%A8%D8%A7-%D8%A7%D9%85%D9%86%DB%8C%D8%AA-%D9%88%D8%A7%D9%82%D8%B9%DB%8C-%D9%81%D8%A7%D8%B5%D9%84%D9%87-%D8%AF%D8%A7%D8%B1%DB%8C%D8%AF-ylnnq30enmgd چشم‌ها را باید شست جور دیگر باید دید…هنگامی که صحبت از پرداخت هزینه به ازای گزارش آسیب‌پذیر‌ی‌ و یا راه‌کارهای مقابله با آثار مخرب حملات سایبری به میان می‌آید، اغلب کسب‌وکار‌های آنلاین بدلیل عدم درک صحیح از مقوله‌ی هک‌ و امنیت با انتخاب ساده‌ترین راهکار، اقدام به انکار تهدید‌های موجود در این حوزه می‌کنند. متاسفانه در برخی موارد شاهد آن هستیم که حتی پس از رخداد سایبری نیز این مجموعه‌ها با بستن چشم‌ خود بر روی حقایق در تلاشند تا با کم اهمیت نشان دادن این موضوع از تبعات و آثار مخرب آن بکاهند. اما اگر در دنیای واقعی و حرفه‌ای‌تر‌ها به این موضوع بپردازیم، خواهید دید که امنیت دیگر یک ویژگی نیست و به یک اصل و نیاز برای دوام کسب‌وکار تبدیل شده است. قدم اول برای بدست‌آوردن امنیت، پذیرفتن این حقیقت است که هر سامانه‌‌ای می‌تواند هک شود. بله، این یک واقعیت است و زمان آن رسیده است تا با تغییر دیدگاه به مقوله‌ی هک و نفوذ، از این تهدید برای کسب‌وکار خود یک فرصت بسیار با ارزش خلق کنید. متاسفانه در اکثر کسب‌وکار‌ها به دلیل عدم درک صحیح و برنامه‌‌ریزی مناسب، رویارویی با این واقعیت، تبدیل به یک کابوس شده است. با پذیرش این نکته که هیچ مکانیزم امنیتی مطلق و پایدار نبوده و نمی‌تواند باشد به شما کمک می‌کنیم تا با استفاده از راه‌کار‌های بروز و کارآمد گام‌های مثبتی در جهت افزایش ضریب تامین امنیت در سامانه‌های خود بردارید. افتخار این را داریم تا در این مسیر سخت و پر حادثه همواره در کنارتان باشیم، متخصصان راورو با انتقال دانش و تجربیات موفق و با بهره‌گیری از روش‌های کارآمد و استاندارد جهانی به شما کمک خواهندکرد تا پس از شناخت دارایی‌های با‌ارزش کسب‌وکار خود، سازوکاری چند لایه برای رسیدن به امنیتی پایدار، طراحی و پیاده‌سازی کنید. در سختی‌ها همراهتان هستیم…ارزش دارایی‌های کسب‌وکار شما چقدر است؟اگر شما هم صاحب یکی از کسب‌وکارهای اینترنتی هستید، اهمیت اعتماد مشتری را بیش از پیش درک کرده‌اید و می‌دانید که یکی بدیهی‌ترین اصول برای تضمین بقا‌، حفظ اطلاعات محرمانه‌ی مربوط به کسب‌وکار و همچنین رعایت محرمانگی اطلاعات مربوط به مشتریان می‌باشد. سوالی که مطرح می‌شود این است که در کسب‌و کار شما چه اطلاعاتی و یا خدماتی حیاتی محسوب می‌شوند و چه داده‌های در سطح طبقه بندی شده و محرمانه قرار می‌گیرند؟ برای ارایه پاسخی مناسب به این پرسش ابتدا باید میزان دارایی‌ها، اهمیت و ارزش انواع‌ داده‌ها، خدمات و همچنین گستره‌ اطلاعات را مشخص کنید. نمونه‌ سوالات زیر به شما کمک می‌کند تا با ابعاد، اهمیت و ارزش اطلاعاتی که در اختیار دارید بیشتر آشنا شوید.مشتری‌ خدمات شما چه کسانی هستند؟ سازمان‌ها و شرکت‌های خصوصی، ‌دولتی‌، حکومتی نظامی‌،گروه‌های خاص جامعه و یا عموم مردم.چه تعداد مشتری دارید؟ مشتریان شما بیش از چند ده هزار یا چند ده میلیون هستند.در حوزه‌ي کسب‌وکار خود چه جایگاهی دارید؟ جز برترین‌ها هستید یا در آینده‌ی نزدیک جز برترین‌ها خواهید شد.اطلاعات محرمانه در کسب‌وکار شما شامل چه داده‌هایی می‌شود؟ چه میزان از اطلاعات مشتریانتان در سامانه‌های شما ذخیره می‌شود؟چه مقدار از این اطلاعات مربوط به حریم شخصی افراد می‌باشد؟روابط خدماتی و اطلاعاتی شما با شرکای تجاریتان به چه میزان است؟چه میزان از داده‌های حساس شما در اختیار مشتریانتان است؟در صورت از بین رفتن اطلاعات،چه میزان از داده‌‌ها از بین می‌رود و در چه مدت زمانی قابل بازیابی هستند؟نشت کدام اطلاعات و یا اختلال در کدام خدمت بیشترین ضربه را به کسب‌وکار شما وارد خواهد‌ کرد؟پس از پاسخ دادن به سولات فوق شما می‌توانید با آگاهی و شناخت کامل نسبت به اطلاعات و خدمات حیاتی مربوط به کسب‌وکارتان، سازوکار‌های امنیتی را بصورت هدفمند برنامه‌ریزی کرده و با تشخیص داده‌های آسیب‌پذیر و غیرقابل جبران، مکانیزم‌های کنترلی بیشتری برای حفاظت از آنها اعمال کنید. همچنین این شناخت به شما کمک می‌کند تا برآورد مناسبی بر روی میزان خسارات احتمالی در مواقع بحرانی داشته باشید.حفره‌های امنیتی که از فضا می‌آیند!در سامانه‌ها به دلیل خطای انسانی یا نادیده گرفتن برخی از مسايل امنیتی و یا ضعف‌ در ساختار پیاده‌سازی، ممکن است آسیب‌پذیری‌های متنوعی وجود داشته باشد. برخی از این آسیب‌پذیری‌ها که منجر به نشت اطلاعات یا امکان ایجاد دسترسی غیرمجاز و یا باعث اختلال در عملکرد سامانه می‌شود را حفره‌های امنیتی می‌نامند. زمانی که سامانه‌ شما آنلاین می‌شود، حفره‌ها و آسیب‌پذیری‌های موجود در دسترس همه از جمله هکرها قرار خواهد گرفت. شاید قبل از آنکه شما متوجه وجود حفره‌ها و آسیب‌پذیری‌ها شوید هکر با استفاده از آن‌ها به زیرساخت شبکه یا اطلاعات محرمانه کسب‌وکارتان دسترسی پیدا کرده‌ باشد. متاسفانه هکر می‌تواند اطلاعات حیاتی و محرمانه شما را در بازارهای سیاه به حراج گذاشته و اقدام به باج خواهی کند و یا حتی می‌تواند با ایجاد اختلال در فرآیندهای ارایه خدمات به پایداری و اعتبار کسب‌وکار شما ضربه‌های جبران ناپذیری وارد کند. سوالی که مطرح می شود این است که با چه راهکاری می‌توان جلوی این گونه تهدید‌ها را گرفت؟!برای امن‌تر شدن، ابتدا باید هک شوید!سرعت زیاد تغییر تکنولوژی و الزام بازار به ایجاد ویژگی‌های جدید در کمترین زمان ممکن، جز چالش‌های همیشگی در کسب‌وکارهای آنلاین بوده است. در این میان به دلیل زمانبر بودن فرآیند ارزیابی امنیتی و بازنگری ساختار‌های سیستم، امنیت همیشه قربانی کارایی ‌می‌شود. با این اوصاف شما چه تدابیری برای حفظ امنیت در سامانه‌های خود اندیشیده‌اید؟ اغلب سازمان‌ها و شرکت‌ها در تلاش هستند که با راهکارهایی همانند استفاده از تجهیزات سخت افزاری و نرم‌افزاری و یا اعمال سیاست‌های کنترلی، محدودیتی و یا ارزیابی امنیتی جلوی اقدام‌های تهدیدآمیز هکرها را بگیرند، اما تجربه نشان داده است که به دلیل هوش، نبوغ و انگیزه‌‌های بی‌پایان هکر‌ها نمی‌توان جلوی رسیدن آنها به اهدافشان را گرفت. از طرفی یک نفوذگر تنها و تنها با یافتن یک حفره می‌تواند به هدف خود برسد در حالی که در مقابل، برای امن سازی باید تمامی حفره‌ها را شناسایی و برطرف کرد و همانطور که می‌دانید این فرآیند زمانبر و پرهزینه است. معمولا شرکت‌ها و سازمان‌ها به دلیل نداشتن قواعد و الگو‌های مشخص برای برخورد مناسب با هکرها، همیشه در تلاش هستند تا با صرف هزینه‌های بسیار زیاد و اتلاف وقت آنها را شکست دهند. اما آیا تا به حال به این موضوع فکر کرده‌اید که بجای مقابله با هکرها می‌توان از ظرفیت و استعداد آنها در جهت امن سازی سامانه‌ها استفاده کرد؟راورو به عنوان پلتفرم پرداخت به ازای گزارش آسیب‌پذیری (BugBounty) به شما کمک می‌کند تا در محیطی کاملا امن و قانونی سامانه‌های خود را در معرض ارزیابی متخصصان امنیتی قرار دهید و با پرداختی هدفمند و مقرون بصرفه امنیت را برای سامانه‌های خود به ارمغان بیاورید.چرا راورو را انتخاب کنیم؟پرداخت هدفمند پرداخت هزینه صرفا به ازای گزارش‌های آسیب‌ پذیری تایید شده، نه بیشتر و نه کمتر امکان پرداخت هزینه هر گزارش به صورت آنلاینامن رمزنگاری اطلاعات حساس مربوط به گزارش‌هابدون محدودیت ارزیابی امنیتی نامحدود، توسط شکارچیان حرفه‌ایشفافیت بررسی گزارش‌ها بصورت کاملا شفاف با قابل پیگیری برای میدان و شکارچیکاملا قانونی امکان استفاده از مشاوره وکلای حقوقی در حوزه‌ي سایبریبررسی سریع بررسی گزارش‌ها بصورت استاندارد و بر اساس زمانبندی مشخصتیم داوری حرفه‌ای استفاده از متخصصان خبره با سابقه‌ی موفق جهانیپشتیبانی ۷/۲۴ پشتیبانی بصورت ۲۴ساعت شبانه روز، حتی روزهای تعطیلاستفاده از روش‌های استاندارد‌ دسته بندی آسیب‌پذیری‌ها بر اساس روش VRT ارزش گذاری بر اساس استاندارد CVSS V3مدیریت آسان مدیریت آسان آسیب‌پذیری‌های گزارش شده در میزکار اطلاع رسانی خودکار رخداد‌ها از طریق پیامک و ایمیلامکان انتخاب متخصصان همکاری با شکارچیان تایید هویت شده دعوت از شکارچیان حرفه‌ایتنها یک گام با امنیت واقعی فاصله دارید!برای استفاده از خدمات راورو چه کارهایی باید انجام داد؟ثبت نام در وب سایت راورو به عنوان میدان کارشناسان ما در اولین فرصت با شما تماس خواهند گرفت و فرآیند کاری شما را پیگیری خواهند کرد.مشخص کردن ضریب ارزش‌گذاری برند و مجموعه این کار جهت برآورد قیمت گزارش‌های آسیب‌پذیری صورت خواهد گرفت.مشخص کردن نوع دسترسی به اهداف بر اساس خواسته‌های شما نوع دسترسی به اهداف می‌تواند: عمومی، دعوت‌نامه‌ای، خصوصی باشد.مشخص کردن قوانین و محدوه‌های مجاز بر اساس نیاز شما قوانین، لیست آسیب پذیري‌ها و محدوده‌های مجاز و غیرمجاز به ازای هر هدف تعیین خواهد شد.امضا قرارداد تعهدات و تضامین قانونی لازم در خصوص آغاز فرآیند مابین مجموعه شما و راورو تبادل خواهد شد.آغاز فعالیت ورود شما را به جمع متخصصان امنیت تبریک می‌گوییم. از این پس به راحتی و تنها با دسترسی به میزکار خود در وب سایت راورو می‌توانید از آخرین حفره‌ها و آسیب‌پذیری‌های خود اطلاع پیدا کرده و اقدام به رفع آنها کنید.مراحل عضویت به عنوان میدان در سختی ها همراهتان هستیم... راورو راورو Wed, 25 Dec 2019 15:04:33 +0330 https://virgool.io/RavroGAP/%DA%86%DA%AF%D9%88%D9%86%D9%87-%DA%AF%D8%B2%D8%A7%D8%B1%D8%B4-%D8%A2%D8%B3%DB%8C%D8%A8%D9%BE%D8%B0%DB%8C%D8%B1%DB%8C-%D8%AF%D8%B1-%D8%B1%D8%A7%D9%88%D8%B1%D9%88-%D8%A7%D8%B1%D8%B2%D8%B4-%DA%AF%D8%B0%D8%A7%D8%B1%DB%8C-%D9%85%DB%8C%D8%B4%D9%88%D8%AF-oxk8u2bbk3xj (شماره نسخه ۲.۰۷)عدم ارزش‌گذاری مناسب همواره یکی از بزرگترین چالش‌ها و نقاط تنش‌زا در فرآیند ارایه گزارش آسیب‌پذیری میان شرکت‌ها/سازمان‌ها و گزارش دهنده‌‌‌ها بوده است. از این موضوع می‌توان به عنوان یکی از مهم‌ترین دلایلی نام‌برد که باعث‌ می‌شود تا نفودگران داخلی و خارجی تمایلی به ارایه گزارش آسیب‌پذیری به شرکت‌ها/سازمان‌های داخلی نداشته باشند.تیم راورو بر اساس تجربه و با بهره‌گیری از استاندارد‌های معتبر جهانی، اقدام به ارایه روشی منحصر بفرد جهت ارزش‌گذاری با توجه به قوانین و شرایط فضای‌ سایبری ایران کرده است. ما در جهت ارایه سیستمی جامع و فراگیر، از معیار‌ها و گروه‌بند‌ی‌های زیر در فرآیند محاسبه‌ خود استفاده کرده‌ایم. گروه‌بندی انواع آسیب‌پذیری‌ گروه‌بندی تاثیر‌گذاری آسیب‌پذیری بر روی هدف گروه‌بندی شرکت‌ها و سازمان‌ها بر اساس ارزش مجموعه(برند) توجه : اعداد و مبلغ‌های اعلام شده در این مطلب صرفا برای مثال است و بنا به صلاحدید بر اساس بودجه و نیاز هر سازمان/شرکت قابل محاسبه می‌باشد.روش محاسبه ارزش گذاری بر روی آسیب پذیری‌روش محاسبه ارزش‌گذاری بر روی آسیب‌پذیری‌ با مطالعه و تحلیل بر روی مدل‌های موفق جهانی و همچنین بر اساس نیازسنجی انجام شده در فضای‌ سایبری ایران بر مبنای مولفه‌های تاثیرگذار تعیین شده است. در این روش، ارزش‌گذاری آسیب‌پذیری اعلام شده بر اساس سه مولفه: نوع آسیب‌پذیری، تاثیرگذاری آسیب‌پذیری، ارزش برند‌(مجموعه هدف)‌ محاسبه می‌گردد. بنابر نوع آسیب‌پذیری گزارش شده، مقدار قیمت پایه بر اساس جدول۱(گروه بندی انواع آسیب‌پذیری‌ها) استخراج می‌شود، سپس با مشخص کردن محدوده‌ی اثر‌گذاری آسیب‌پذیری، ضریب تاثیرگذاری بر اساس فرمول۲(فرمول محاسبه ضریب تاثیر گذاری) محاسبه می‌گردد، بعلاوه بر اساس ارزش مجموعه هدف، مقدار ضریب ارزش مجموعه بر اساس جدول۳(گروه بندی شرکت‌ها و سازمان‌ها بر اساس ارزش مجموعه) استخراج می‌گردد. در نهایت ارزش نهایی بر اساس فرمول۱(محاسبه ارزش‌گذاری بر روی آسیب‌پذیری) قابل محاسبه می‌باشد.فرمول ۱ محاسبه ارزش‌گذاری بر روی آسیب‌پذیری در ادامه شرح هر کدام از گروه بندی‌ها و نحوه‌ی محاسبه آنها به تفکیک آمده است.۱- گروه بندی انواع آسیب پذیری‌هاتیم راورو همواره در تلاش است تا همزمان با استاندارد‌های ‌جهانی، بروزترین سیستم ارزیابی برای طبقه‌بندی انواع آسیب‌پذیری‌ها را ارائه دهد. بر این اساس گروه بندی انوع آسیب‌پذیری‌ها با کمک از مدل تقسیم بندی [۱]VRT انجام شده است و شامل چهار گروه کلی می‌باشد. VRT با توجه به استانداردهای متفاوتی از جمله OWASP طراحی شده و به طور مداوم در حال پیشرفت و بروز رسانی می‌باشد. نسخه ارزش‌گذاری آسیب‌پذیری تهیه شده، شامل تمامی آسیب‌پذیری‌ها از جمله آسیب‌پذیری‌هایی با سطح امنیتی کم تا سطح حساس و حتی در زمینه‌های جدید IT مانند صنعت خودرو می‌باشد. اولویت‌های VRT بدون توجه به جزییات خاصی تعریف شده است، بنابراین ممکن است پیچیدگی و جزییات برنامه، محدودیت‌ها در پرداخت پاداش و یا تاثیرگذاری غیر معمول باعث نیاز به وجود سیستم رتبه‌بندی دیگری شود. ما برای حل این محدودیت‌ها از ۲ ضریب دیگر برای ارزش گذاری نهایی استفاده کرده‌ایم تا بر اساس سیستم ارزش‌گذاری منحصر بفردمان بتوانیم به پاداشی شفاف، درخور و شایسته به ازای هر گزارش آسیب‌پذیری‌ برسیم. قیمت پایه انواع آسیب‌پذیری‌ها بر اساس درجه حساسیت آسیب‌پذیری در جدول ۱ ارایه شده است.توجه: مقادیر پیش‌فرض دسته بندی آسیب‌پذیری‌ها بر اساس مدل VRT می‌باشد. امکان تغییر و یا تعریف دسته‌بندی‌های جدید بر اساس نیاز‌های شرکت/سازمان نیز وجود دارد.جدول ۱- گروه بندی انواع آسیب‌پذیری‌ها ۲- گروه بندی تاثیر‌گذاری آسیب‌پذیری بر روی هدفبرای تعیین میزان تاثیرگذاری آسیب‌‌پذیری در میدان علاوه بر استفاده از استاندارد CVSS از معیار منحصر بفرد برآورد تخریب استفاده شده است. در ادامه به شرح این دو بخش خواهیم پرداخت.امتیاز CVSS:استاندارد CVSS یا سیستم امتیازدهی آسیب‌پذیری عام، یک استاندارد آزاد و صنعتی برای ارزیابی و تعیین شدت یک آسیب‌پذیری کامپیوتری است. این سیستم سعی می‌کند با اختصاص دادن یک امتیاز به میزان شدت آسیب‌پذیری، به پاسخ دهندگان این امکان را بدهد که بتوانند برای رفع آسیب‌پذیری مورد نظر اولویت بندی کرده و منابع مورد نیاز را به آن اختصاص بدهند. این امتیازدهی دارای چند معیار از جمله سهولت اکسپلویت کردن و همچنین اثرات اکسپلویت آن آسیب‌پذیری می‌باشد. امتیازها در بازه ۰ تا ۱۰ قرار دارند، که در آن ۱۰ به شدیدترین تهدید اشاره دارد. درحالی که اغلب به امتیاز پایه CVSS برای تعیین میزان شدت آسیب‌پذیری رجوع می‌کنند، امتیازهای زمانی و مکانی نیز وجود دارند که به ترتیب به دنبال تعیین دسترس پذیر بودن راه مقابله با تهدید و همچنین میزان گستردگی آسیب‌پذیری سیستم‌ها در یک سازمان هستند. آسیب‌پذیری ها در CVSS در 3 گروه Base، Temporal و Environmental از نظر کمی و کیفی بررسی می‌شوند.مقدار Base: نشان دهنده کیفیت اصلی و ذاتی آسیب‌پذیری است که با گذر زمان و یا محیط‌های مختلف تغییر نمی‌کند.مقدار Temporal: نشان دهنده خصوصیات آسیب‌پذیری است که با گذر زمان تغییر می‌کند.مقدار Environmental: نشان دهنده خصوصیات آسیب‌پذیری است که با توجه به محیط کاربر متغیر خواهد بود.امتیاز CVSS می‌تواند عددی بین صفر تا ۱۰ باشد. برآورد تخریب:فرآیند ارزیابی برآورد تخریب، ترکیبی از مقدار معیار‌های استاندارد می‌باشد که با توجه به سه اصل [۲]CIA و فرمول‌ منحصر بفرد راورو محاسبه می‌گردد. در این فرآیند بررسی می‌شود که نفوذگر با آسیب‌پذیری بدست آمده در سامانه هدف تا چه حد می‌توانسته به محرمانگی، یکپارچگی و دسترسی پذیری اطلاعات هدف آسیب برساند. برآورد تخریب بر اساس ارزیابی پنج گانه تاثیرگذاری آسیب‌پذیری بر روی هدف ایجاد شده است، که در جدول۲ آمده است. مقدار پیش‌فرض برآورد تخریب صفر در نظر گرفته شده است و هر آسیب‌پذیری می‌تواند بر هیچ یا تمام حالات تاثیر بگذارد. در صورت تاثیر گذاشتن به ازای هر حالت به برآورد تخریب یک واحد اضافه می‌شود و در غیر اینصورت برآورد تخریب تغییر نمی‌کند. جدول۲- محاسبه برآورد تخریب برآورد تخریب می‌تواند عددی بین صفر تا پنج باشد.نحوه‌ی محاسبه ضریب تاثیرگذاری:ضریب تاثیرگذاری شامل دو متغیر برآورد تخریب و امتیاز CVSS می‌باشد و بر اساس فرمول زیر قابل محاسبه است.فرمول ۲- محاسبه ضریب تاثیرگذاریضریب تاثیر‌گذاری می‌تواند عددی بین صفر تا پنج باشد. ۳- گروه بندی شرکت‌ها و سازمان‌ها بر اساس ارزش مجموعه(برند)در این ارزیابی، شرکت‌ها و سازمان‌ها شامل پنج گروه کلی می‌شوند. این تقسیم بندی با توجه به ارزش برند، براساس معیارهایی از جمله استاندارد [۳]IMI جایگاه وب سایت، رتبه بازدید در پایگاه الکسا، تعداد کاربران و... می‌باشد. ضریب ارزش برند، عددی است بین ۰/۱ تا ۵ که به واحد‌های ۰/۱ تقسیم می‌گردد. برای مثال ضریب اختصاص داده شده به هر گروه در جدول ۳ ارایه شده است. توجه : ضریب ارزش مجموعخ صرفا جهت کمک به فرآیند ارزش گذاری تعریف می‌شود و بر روی وب‌سایت نمایش داده نمی‌شود. همچنین امکان تعیین بر اساس بودجه و یا نیاز هر شرکت/سازمان حتی خارج از دسته بندی جدول نیز فراهم می‌باشد.جدول ۳ - گروه بندی شرکت‌ها و سازمان‌ها بر اساس ارزش مجموعهضریب ارزش‌گذاری مجموعه می‌تواند عددی بین ۰/۱ تا ۵ باشد.تیم راورو با در دسترس قرار دادن منبع و روش محاسبه ارزش‌گذاری آسیب‌پذیری بصورت شفاف برای افراد و سازمان‌ها این امکان را فراهم سازد تا ارزش هر آسیب‌پذیری براحتی قابل محاسبه باشد. همچنین شما می‌توانید آخرین تغییرات را در بلاگ سامانه راورو مشاهده کنید و نظرات خود را در شبکه‌های اجتماعی با ما در میان بگذارید.https://ravro.ir<br/>https://twitter.com/ravro_irhttps://t.me/ravro_ir[۱] Vulnerability Rating Taxonomy[۲]Confidentiality, Integrity and Availability[۳]سازمان مدیریت صنعتی راورو راورو Sat, 04 May 2019 20:41:03 +0430