<?xml version="1.0" encoding="UTF-8"?>
<rss version="2.0">
    <channel>
        <title>نوشته های ابل رایان پویا</title>
        <link>https://virgool.io/feed/@abel</link>
        <description></description>
        <language>fa</language>
        <pubDate>2026-07-07 15:02:13</pubDate>
        <image>
            <url>https://files.virgool.io/upload/users/1435297/avatar/69312u.png?height=120&amp;width=120</url>
            <title>ابل رایان پویا</title>
            <link>https://virgool.io/@abel</link>
        </image>

                    <item>
                <title>تلاش بیهوده سازمان‌ها در رویارویی با آسیب پذیری‌ها</title>
                <link>https://virgool.io/@abel/%D8%AA%D9%84%D8%A7%D8%B4-%D8%A8%DB%8C%D9%87%D9%88%D8%AF%D9%87-%D8%B3%D8%A7%D8%B2%D9%85%D8%A7%D9%86-%D9%87%D8%A7-%D8%AF%D8%B1-%D8%B1%D9%88%DB%8C%D8%A7%D8%B1%D9%88%DB%8C%DB%8C-%D8%A8%D8%A7-%D8%A2%D8%B3%DB%8C%D8%A8-%D9%BE%D8%B0%DB%8C%D8%B1%DB%8C-%D9%87%D8%A7-shqv34t2kuug</link>
                <description>به گفته محققان، شرکت‌ها برای تامین امنیت خود در سال 2022 و برای مقابله با تهدیداتی که در سال گذشته ظهور یافتند باید رویکردهای «ابتکاری و پیشگیرانه‌تری» اتخاذ نمایند.بر اساس گزارش سالانه موسسه باگ کراود با موضوع امنیت،  سازمان‌ها با گذر از سال 2021 که برای آسیب پذیری‌ها و حملات سایبری سال بسیار خوبی بود، به این باور رسیدند که با وجود صرف میلیاردها دلار هزینه برای فناوری امنیت سایبری، در واقع در برابر تهدیدات و آسیب‌پذیری‌های امنیتی فقط آب در هاون کوبیده‌اند.طبق گزارش اولویت اول 2022؛ این تصور پس از آن به وجود آمد که در سال 2021 سازمان‌ها متوجه شدند با پیچیدگی‌های محیط‌های ترکیبی دست و پنجه نرم می‌کنند که شامل همراه شدن دورکاری کارکنان شرکتی به دلیل همه‌گیری کرونا با انفجار باج‌افزار و نیز ظهور زنجیره تامین به عنوان سطح اصلی حملات می‌شد.این گزارش پیش‌بینی می‌کند که حس مشترک ناکامی در میان متخصصان امنیتی  و همچنین وجود شکاف همیشگی کمبود نیروهای ماهر در زمینه امنیت سایبری –  2.7 میلیون نفر کمبود نیروی شاغل در بخش امنیت سایبری که هنوز جبران نشده است-  “علاقه‌مندی به اتخاذ رویکردهای نوآورانه‌تر و فعال‌تر برای امنیت در سال 2022 را افزایش می‌دهد.” به گفته محققان، این امر مستلزم رجوع به جامعه تحقیقاتی جهانی و برنامه‌های آن در مورد باگ بانتی‌ها و کشف آسیب‌پذیری‌ها برای کمک به شناسایی و مبارزه با تهدیدات است.موسسه باگ کراود یک رویکرد جمع‌سپاری را برای مدیریت تست نفوذپذیری، باگ بانتی، کشف آسیب‌پذیری و مدیریت سطح حمله ارائه می‌کند. گزارش 2022 – که داده‌های مربوط به فعالیت شرکت در طول سال را گردآوری می‌کند – برخی از ترندهای برتر در خصوص آسیب‌پذیری‌هایی که سازمان‌ها در سال 2021 گزارش کرده‌اند و همچنین انواع حملاتی که رخداد آنها عموما بیشتر بوده است را به طور شفاف نشان می‌دهد.نکات مرتبط با آسیب پذیریبر اساس این گزارش یکی از رایج‌ترین آسیب‌پذیری‌های شناسایی شده در سال گذشته، تزریق کدهای اسکریپت به وبگاه (XXS) بود که طی آن مهاجم کد را به یک وب سایت قانونی تزریق می کند و هر زمان که قربانی وب سایت را باز کند به اجرا درمی‌آید. مهاجمان اغلب از XSS در حملات سرقت اطلاعات اعتباری افراد استفاده می‌کنند و شاید به همین دلیل باشد که سوء استفاده از اطلاعات محرمانه در رده اول حملات سال گذشته قرار داشت.. طبق این گزارش، این نوع تهدید از شماره 9 در لیست 10 نوع آسیب پذیری برتر شناسایی شده در سال 2021 به رتبه 3 ارتقاء یافت. در واقع، سرقت اطلاعات اعتباری یک روش کلیدی است که طی آن عوامل تهدید به شبکه‌های شرکتی نفوذ کرده و از طریق باج‌افزار یا حملات دیگر به سرقت داده‌ها می‌پردازند.در میان صنایعی که در سال 2021 از آسیب‌پذیری‌ها ضربه های بیشتری خوردند می‌توان به بخش‌های خدمات مالی اشاره کرد.  براساس پلتفورم باگ کراود، این  شرکت‌ها در 12 ماه گذشته  برای ارسال‌های اطلاعاتی «اولویت 1» یا P1 ، افزایش قابل توجه 185 درصدی را  که شامل آسیب‌پذیری‌ها عمده میشود را تجربه کردند. البته ارسال اطلاعات باگ های معتبر نیز در این بخش 82 درصد افزایش داشته است و همچنین هزینه پرداختی برای شناسایی نقص‌ها در سال گذشته با 106 درصد افزایش روبرو بوده است.بنا بر این گزارش، بخش دولتی نیز شاهد افزایش قابل توجهی در ارسال و اعلام آسیب پذیری‌های معتبر در سال 2021 بود. ارسال اطلاعات باگ در این فضا به میزان خیره کننده 1000 درصد افزایش یافت چرا که بخش دولتی”ذینفع اصلی در تعامل مداوم با مردم” است. بر اساس این گزارش، «بخش اعظم این ارسال‌ها در سه‌ماهه سوم، زمانی که خریداران دولتی در پاسخ به دستورالعمل‌های جدید آژانس غیرنظامی فدرال، که برای مثال کشف و نشان دادن آسیب‌پذیری را به یک الزام کلیدی تبدیل می‌کنند، روی داد زیر آنها تپ‌ها را برای امنیت جمع‌سپاری باز کردند.ترندهای امنیتی 2021در این گزارش آمده است در میان ترندهای امنیتی سطح بالا که در سال گذشته بسیار مورد توجه قرار گرفتند، باج‌افزار به ترند اصلی سال 2021 تبدیل شد و پا را از رخنه در اطلاعات شخصی فراتر نهاد بطوریکه واکنش گسترده‌ای از سوی دولت نسبت به حملات مخرب آن مانند حمله‌ای که در ماه می گذشته به خط لوله شرکت کولونیال انجام شد را در پی داشت. سرویس امنیت فدرال روسیه (FSB)  هفته گذشته گزارش داد که با حمله به 25 مکان،  دارایی‌هایی به ارزش بیش از 5.6 میلیون دلار از تبهکاران مجری باج افزار ریویل (REvil) ضبط کرده و به نحو موثری این گروه را از پای درآورده است.  دولت بایدن نیز سال گذشته مواضع سختی را علیه گردانندگان باج‌افزارها اتخاذ کرد و استراتژی‌های دفاع سایبری دولت برای مبارزه با حملات را گسترده تر کرد. هرچند سال گذشته گروههای باج افزاری بزرگی کار خود را تعطیل کردند، اما گروه‌های دیگری به جای آن‌ها قد علم کردند  که باگ کراود در گزارش خود به تکامل حملات باج‌افزاری که هم اکنون در حال وقوع است اشاره می کند. محققان در این گزارش نوشتند: «اکنون شاهد گروه‌های تبهکاری گرداننده باج‌افزارها هستیم که اصول کاری استارت‌آپ را در عملیات خود به کار می‌بندند. آنها کار خود را با یک گروه کلی و در قالب حمله به هدفهای پراکنده، حملات حدسی و درخواست پول به صورت رمزارز انجام می‌دهند. این گروه‌ها پس از یک یا دو حمله موفقیت آمیز، باج های دریافت شده را به عنوان سرمایه اولیه در نظر گرفته و از آن برای توسعه عملیات خود و سرمایه گذاری در نرم افزار، استعدادیابی و سوء‌استفاده  بهتر استفاده می کنند.محققان خاطرنشان کردند که اکنون نخبه‌ترین گروه‌های باج‌افزاری فرآیندهایی را به اجرا می‌گذارند که شامل تجسس یا تحقیق عمقی برای شناسایی اهداف، توسعه دادن ارتباطات و روابط رسانه‌ای برای وحشت آفرینی و افزایش احتمال پرداخت باج هستند. آنها گفتند که این فرآیندها همچنین شامل ردیابی آسیب‌پذیری‌های حیاتی برای یافتن شکاف‌هایی است هنوز توسط سازمان‌ها شناسایی نشده اند که این خود نیاز به اتخاذ رویکرد امنیتی پیشگیرانه توسط سازمان‌ها را تشدید می‌کند.طبق این گزارش، زنجیره تامین نیز به عنوان یک “سطح حمله اصلی” در سال 2021 ظاهر شد که بر نحوه مواجهه سازمان ها با آسیب پذیری ها و مقوله امنیت در سال 2022 تأثیرگذار خواهد بود. به گفته محققان هرچند که این ترند باعث ایجاد «صنعت پر رونق اسکنرها و ابزارهای خودکار شناسایی» شده است، اما سازمان‌ها باید همانند تهدیدآفرینان فکر کنند و از کمک هکرهای اخلاق مدار و سایر راه‌حل‌های امنیتی زاییده خرد جمعی برای محافظت از زنجیره تأمین در سال جاری استفاده کنند. آنها در این گزارش نوشتند: “تنها رویکردی که این نقاط ضعف را به نقاط قوت تبدیل می‌کند؛ بکارگیری ابزارها، تکنیک‌ها و طرز فکر مشابه با مهاجمان در کشف موفقیت‌آمیز آسیب‌پذیری‌هاست”.”بازنشانی رمز عبورسال 2022 را با استراتژی امنیت رمز عبور که برای رویارویی با تهدیدات امروزی ساخته شده است قدرتمندانه به پیش ببرید. میزگرد امنیتی وب سایت Treatpost که برای متخصصان رشته امنیت اطلاعات ترتیب داده شده بود، بر مدیریت اطلاعات اعتباری سازمان، اصول اولیه ساخت رمز عبور جدید و کاهش رخنه‌های پس از طی روند اعتبارسنجی، متمرکز است. به دارن جیمز با نرم افزار Specops  و راجر گریمز، تبلیغ کننده راهکارهای  دفاعی در KnowBe4 و بکی براکن میزبان Threatpost بپیوندید. ثبت و انتشار جلسه رایگان امروز توسط نرم افزار Specops پشتیبانی شده است</description>
                <category>ابل رایان پویا</category>
                <author>ابل رایان پویا</author>
                <pubDate>Sat, 19 Feb 2022 11:05:22 +0330</pubDate>
            </item>
                    <item>
                <title>چگونه: از یک محیط سالم و مقاوم در برابر باج ­افزار مطمئن شویم</title>
                <link>https://virgool.io/@abel/%DA%86%DA%AF%D9%88%D9%86%D9%87-%D8%A7%D8%B2-%DB%8C%DA%A9-%D9%85%D8%AD%DB%8C%D8%B7-%D8%B3%D8%A7%D9%84%D9%85-%D9%88-%D9%85%D9%82%D8%A7%D9%88%D9%85-%D8%AF%D8%B1-%D8%A8%D8%B1%D8%A7%D8%A8%D8%B1-%D8%A8%D8%A7%D8%AC-%C2%AD%D8%A7%D9%81%D8%B2%D8%A7%D8%B1-%D9%85%D8%B7%D9%85%D8%A6%D9%86-%D8%B4%D9%88%DB%8C%D9%85-lzm5mx0jbvz8</link>
                <description>در دو سال اخیر تغییرات بنیادی در عملیات کسب ­و­کار در سراسر جهان رخ داده است. برای تطبیق با مشکلات ایجاد شده در اثر بیماری همه­ گیر، کسب­ و­کارهای زیادی به دورکاری کامل یا نیمه دورکاری روی آورده­ اند و داده­ های زیادی را به ابر (اطلاعاتی) منتقل کرده ­اند. در حالی که این کار مزایای خود را دارد، سبب افزایش تهدیدات شده است و پیامدهای آن در همه­ گیری باج ­افزار ی اخیر مشخص شده است.افزایش حملات باج ­افزار ی سبب ایجاد هزینه در رابطه با داده ­های با ارزش، زمان و پول برای کسب ­و­ کارها در صنایع مختلف شده است، اما این امر به این معنی نیست که باید وجه مورد نظر (باج) را نیز پرداخت نمود. این مقاله به بررسی چالش­های مهمی می­پردازد که کسب ­و­کارها در هنگام مواجهه با باج ­افزار با آن روبرو می­شوند و بهترین شیو­ه ­ها برای پشتیبانی از محیط کسب ­و­کار و حفظ سلامت داده ­ها در هر موقعیتی را مورد تحقیق قرار می­دهد.همواره شبکه خود را بررسی کنیددر اولین مورد، باج­ افزار می­تواند به سادگی از طریق یک شبکه گسترش یابد. اگر شما ندانید که در شبکه شما چه اتفاقی رخ می­دهد، نمی­توانید از داده ­های حیاتی پشتیبانی کنید و حملات را پیش ­بینی کنید. دائماً ترافیک شبکه را رصد کنید، فعالیت­های مشکوک را شناسایی کرده و بر اساس آن­ها اقدام کنید.پشتبان­ گیری منظم مهم استشناسایی و پشتیبان­ گیری از داده ­های حیاتی، گامی ضروری برای اجتناب از رمز­گذاری توسط حملات باج­ افزاری است. با این حال، باج­ افزار می­تواند همچنان داده ­های پشتیبان را رمز­گذاری کند، بنابراین مطمئن شوید که از پشتیبان­ها در مکانی مجزا مانند یک وسیله محلی یا ابر، نسخه­ برداری کرده ­اید تا از در دسترس بودن و قابلیت بازیابی حداکثری مطمئن شوید. در صورت حمله، بررسی کنید که پشتیبان ­های شما قبل از بازیابی، آلوده نباشند.یک برنامه خوب برای بازیابی حوادث ایجاد کنیدبرای حذف خطرات آلودگی با باج­ افزار، باید یک برنامه بازیابی حوادث جامع ایجاد نموده و دائماً آن را بررسی کنید که این برنامه هر جنبه­ ای از وضعیت حادثه را پوشش دهد. به جای این­که تنها گزینه شما، پرداخت باج (به باج­ افزار) باشد، یک برنامه بازیابی حوادث خوب می­تواند عملیات کسب­ و­کار را با حداقل آسیب، ترمیم کند.از راه ­حل­های پشتیبان­ گیری قدیمی استفاده نکنیداگر از راه­ حل حفاظت اطلاعات برای راهبردهای پشتیبان ­گیری و بازیابی حوادث استفاده می­کنید، از یک راه­ حل جدید با قابلیت­های مطمئن مقابله با باج­ افزار بهره ببرید. راه­ حل­های قدیمی پشتیبان­گیری از روش­های قدیمی برای مبارزه با تهدید در حال گسترش استفاده می­کنند و به دلیل وابستگی به اجزای قدیمی ­تر مانند عوامل پشتیبان­ گیری، می­توانند منابع سیستم را هدر دهند.ماژول ضد باجگیر پادویش قابلیت پشتیبان گیری از اطلاعات شما را دارد. این ماژول کنار سایر محصولات امنیتی آنتی ویروس نصب میشود.کارکنان را هوشیار و آگاه نگه داریدحملات موفق باج­ افزاری فقط به مولفه ­های فنی شرکت وابسته نیستند، زیرا عامل انسانی می­تواند یک هدف آسان باشد. دلیل آموزش مناسب کارکنان در مورد چگونگی کار باج ­افزارها و این­که چگونه می­توانند از آلودگی ممانعت کنند، شامل اجتناب از لینک­ها یا ضمائم مشکوک همین امر است.بر دسترسی دقیق نظارت داشته باشیدمدل امنیت اعتماد صفر (به هیچ کس اعتماد نکنید) می­تواند نجات­ دهنده یک زیرساخت سالم باشد. برای جلوگیری از دسترسی و رمزگذاری اطلاعات خود توسط مهاجمان، مطمئن شوید که کارکنان فقط می­توانند به اطلاعات موردنیازشان دسترسی داشته باشند. این امر می­تواند نقاط استفاده باج­ افزار را محدود نموده و امنیت کلی را بهبود ببخشد.برای این امر میتوانید از سامانه کنترل دسترسی PAM استفاده نمایید.داده ­های پشتیبان را رمزگذاری کنیدمهم است که مطمئن باشید که داده ­های پشتیبان شما در مدت انتقال، رمزگذاری شده است، خصوصاً در WAN (شبکه رایانه­ ای گسترده). رمزگذاری مطمئن، یکپارچگی و امنیت اطلاعات در برابر مهاجمان احتمالی را حفظ می­کند. اگر محل هدف کاملاً ایمن نیست، به منظور امنیت حداکثری، داده­ ها را در حالتی که منتقل نمی­شوند نیز رمزگذاری کنید.همه چیز را به ­روز کنیدمطمئن شوید که بر روی همه نرم­افزارها و سیستم­ عامل­ها در شرکت شما همواره آخرین نسخه امنیتی، نصب شده است. به­روز رسانی­ها اغلب سبب بهبود امنیت می­شوند که عیوب احتمالی در زیرساخت­های شما را کاهش می­دهد.از USB خارجی استفاده نکنیدهرگز یک USB ناشناس را به هیچ وسیله ­ای در شبکه خود متصل نکنید. یک شیوه رایج که توسط مجرمان سایبری استفاده می­شود، گذاشتن USB آلوده به باج­ افزار در مکان­های عمومی است تا افراد موردنظر آن­ها را بردارند و استفاده کنند.از طریق دیوایس کنترل آنتی ویروس سازمانی پادویش و بیت دیفندر دسترسی USB را ببندید.ایمیل (رایانامه) ها را فیلتر کنیدرایانامه یک راه ورود رایج برای حملات باج­ افزاری است. علاوه بر آموزش آگاهی امنیتی، شما می­توانید با استفاده از فناوری فیلترینگ ایمیل از نفوذ توسط ایمیل هم جلوگیری کنید تا محتوای فیشینگ (تله ­گذاری اطلاعاتی) به صندوق ورودی شما در شبکه رخنه نکند.به باج­ افزار باج ندهیدمجرمان سایبری با انجام حملات موفق، از پول باج برای تولید باج­ افزاری قوی­تر استفاده می­کنند که سبب چرخه خطرناکی از حملات موفق و ایجاد بدافزاری قوی­تر خواهد شد. علیرغم این امر، شما هنوز می­توانید با احتیاط و جلوگیری موثر، داده ­های ارزشمند خود را از حملات مخرب حفظ کنید.</description>
                <category>ابل رایان پویا</category>
                <author>ابل رایان پویا</author>
                <pubDate>Tue, 04 Jan 2022 12:59:45 +0330</pubDate>
            </item>
                    <item>
                <title>آنتی ویروس یا EDR</title>
                <link>https://virgool.io/@abel/%D8%A2%D9%86%D8%AA%DB%8C-%D9%88%DB%8C%D8%B1%D9%88%D8%B3-%DB%8C%D8%A7-edr-qu2alac34jmv</link>
                <description>(Endpoint Detection and Response)  EDR  یک جایگزین مدرن برای مجموعه های امنیتی آنتی ویروس است. برای چند دهه، سازمان‌ها و کسب‌وکارها به امید حل چالش‌های امنیت سازمانی، روی مجموعه‌های آنتی‌ویروس سرمایه‌گذاری کرده‌اند. اما همانطور که پیچیدگی و شیوع تهدیدات بدافزار در ده سال گذشته افزایش یافته است. کاستی های آنتی ویروسی که اکنون از آن به عنوان “میراث” یاد می شود بسیار معلوم شده است.در پاسخ، برخی از فروشندگان دوباره به چالش های امنیت سازمانی فکر کردند و راه حل های جدیدی برای شکست آنتی ویروس ارائه کردند. EDR چه تفاوتی با آنتی ویروس دارد؟ چگونه و چرا EDR موثرتر از AV  (Antivirus) است؟ و پیچیدگی های جایگزینی AV با یک EDR پیشرفته در چیست؟ پاسخ تمام این سوالات و موارد دیگر را در این پست خواهید یافت.چه چیزی EDR را با آنتی ویروس متفاوت می کند؟برای اینکه به اندازه کافی از کسب و کار یا سازمان خود در برابر تهدیدات محافظت کنید، مهم است که تفاوت بین EDR و آنتی ویروس سنتی یا قدیمی را درک شود. این دو رویکرد امنیتی، اساساً متفاوت هستند و تنها یکی برای مقابله با تهدیدات مدرن مناسب است.ویژگی های آنتی ویروس:در روزهایی که تعداد تهدیدات بدافزار جدید در روز را می‌توان به راحتی در یک سند Excel شمارش کرد، آنتی‌ویروس ابزاری برای مسدود کردن بدافزارهای شناخته‌شده با بررسی – یا اسکن – فایل‌هایی که روی دیسک روی یک دستگاه کامپیوتری نوشته شده بودند را به شرکت‌ها ارائه داد. اگر فایل موردنظر در پایگاه داده فایل های مخرب اسکنر AV «شناخته شده» بود، نرم افزار از اجرای فایل بدافزار جلوگیری می کرد.پایگاه داده آنتی ویروس سنتی از مجموعه ای از امضاها تشکیل شده است. این امضاها ممکن است حاوی هش‌های یک فایل بدافزار و/یا قوانینی باشند که حاوی مجموعه‌ای از ویژگی‌هایی هستند که فایل میبایست با آنها مطابقت داشته باشد. چنین ویژگی‌هایی معمولاً شامل مواردی مانند: رشته‌های قابل خواندن توسط انسان یا دنباله‌هایی از بایت‌های موجود در فایل اجرایی بدافزار، نوع فایل، اندازه فایل و انواع دیگر فراداده‌های مربوط به فایل است.برخی از موتورهای آنتی ویروس همچنین می توانند تجزیه و تحلیل اکتشافی اولیه را روی فرآیندهای در حال اجرا (Running processes) انجام دهند و یکپارچگی فایل های مهم سیستم را بررسی کنند. این بررسی‌های «بعد از واقعیت» یا پس از آلودگی پس از سیل نمونه‌های بدافزار جدید به طور روزانه به بسیاری از محصولات AV اضافه شد. که به دلیل حجم بالا،اینکار از توانایی فروشندگان AV برای به‌روز نگه‌داشتن پایگاه‌های داده‌شان خارج شد.با توجه به تهدیدات رو به رشد و کاهش کارایی رویکرد آنتی ویروس، برخی از فروشندگان قدیمی سعی کرده اند آنتی ویروس را با سرویس های دیگری مانند کنترل فایروال (firewall control)، رمزگذاری داده ها (dataencryption)، مجوز فرآیند (process allows) و لیست های مسدود (Blocklists) ، و سایر ابزارهای مجموعه AV تکمیل کنند. چنین راه حل هایی که به طور کلی به عنوان “EPP” (Endpoint Protection Platforms) یا پلتفرم های محافظت نقطه پایانی شناخته می شوند، مبتنی بر رویکرد امضاء هستند.ویژگی های EDR:در حالی که تمرکز همه راه‌حل‌های AV بر روی فایل‌های (بالقوه مخرب) است که به سیستم معرفی می‌شوند، یک EDR به صورت بلادرنگ بر جمع‌آوری داده‌ها از نقطه پایانی و بررسی آن داده‌ها برای الگوهای غیرعادی عمل می‌کند. همانطور که از نام EDR پیداست، ایده این سیستم تشخیص عفونت و شروع پاسخ است. هرچه EDR سریعتر بتواند این کار را بدون دخالت انسان انجام دهد، موثرتر خواهد بود.یک EDR خوب همچنین شامل قابلیت هایی برای مسدود کردن فایل های مخرب است، اما مهمتر از همه EDR ها تشخیص می دهند که همه حملات مدرن مبتنی بر فایل نیستند. علاوه بر این، EDR‌های فعال ویژگی‌های مهمی را که در آنتی‌ویروس یافت نمی‌شوند به تیم‌های امنیتی ارائه می‌دهند. از جمله پاسخ خودکار و دید عمیق در مورد تغییرات فایل، ایجاد فرآیند و اتصالات شبکه در نقطه پایانی: برای شکار تهدیدات (threat hunting)، پاسخ به حادثه (incident response)، و جرم شناسی دیجیتال (digital forensics) حیاتی است.دلایل زیادی وجود دارد که چرا راه‌حل‌های آنتی ویروس نمی‌توانند با تهدیداتی که امروزه شرکت‌ها با آن مواجه هستند، هماهنگی داشته باشند. اول، همانطور که در بالا اشاره شد، تعداد نمونه‌های بدافزار جدیدی که روزانه مشاهده می‌شوند، بیشتر از تعداد افرادی است که روی فایل های مخرب اثر انگشت میگذارند (توضیح مترجم: یک سری افراد در تیم های امنیتی روی فایل های مخرب یک امضا قرار میدهند که امکان شناسایی، حذف و قرنطینه را به آنتی ویروس میدهد. به این ترتیب کسانی که این اثر انگشت هارا روی ویروس ها میگذارند team of signature writers میگویند . این لینک توضیحات مناسبی دارد).دوم، شناسایی از طریق امضاهای آنتی ویروس اغلب می‌تواند به راحتی توسط عوامل تهدید حتی بدون بازنویسی بدافزار آنها دور زده (Bypass) شود. از آنجایی که امضاها فقط بر روی چند مشخصه از فایل تمرکز دارند، نویسندگان بدافزار یاد گرفته‌اند که چگونه بدافزاری ایجاد کنند که ویژگی‌های متغیری داشته باشد که به عنوان بدافزار چند شکلی (polymorphic malware)نیز شناخته می‌شود. برای مثال، هش‌های فایل یکی از ساده‌ترین ویژگی‌های یک فایل برای تغییر هستند، اما رشته‌های داخلی (internal strings) نیز می‌توانند به‌طور تصادفی، با تولید هر نسخه از بدافزار رمزگذاری شوند.سوم، عوامل تهدید با انگیزه مالی مانند سازندگان باج افزار، فراتر از حملات بدافزار مبتنی بر فایل عمل کرده اند. حملات درون حافظه یا بدون فایل رایج شده‌اند، و حملات باج‌افزاری که توسط انسان انجام می‌شود، مانند Hive – همراه با حملات «اخاذی مضاعف» مانند Maze، Ryuk  و موارد دیگر – که ممکن است با اعتبار اجباری به خطر افتاده یا بی‌رحمانه یا سوءاستفاده از RCE (اجرای کد از راه دور) (Remote code execution)شروع شود. آسیب‌پذیری‌ها، می‌توانند منجر به به خطر افتادن و از دست دادن مالکیت شود. و دیگر با استفاده از آنتی ویروس و شناسایی امضای دیجیتال نمیشود کاری کرد.مزایای EDR:EDR  با تمرکز بر روی ارائه دید همراه با پاسخ‌های تشخیص خودکار به تیم‌های امنیتی سازمانی، برای مقابله با عوامل تهدید امروزی و چالش‌های امنیتی که آنها ارائه می‌کنند بسیار مجهزتر است.EDR با تمرکز بر شناسایی فعالیت غیرمعمول و ارائه پاسخ، تنها به شناسایی تهدیدهای شناخته شده و مبتنی بر فایل محدود نمی شود. برعکس، ارزش اصلی EDR این است که مثل آنتی ویروس نیست و تهدید نیازی به تعریف دقیق ندارد،. یک راه حل EDR می تواند الگوهای فعالیت غیرمنتظره، غیرمعمول و ناخواسته را جستجو کند و هشداری را برای تحلیلگر امنیتی صادر کند تا آن را بررسی کند.علاوه بر این، از آنجایی که EDR ها با جمع آوری طیف وسیعی از داده ها از تمام نقاط پایانی محافظت شده کار می کنند، به تیم های امنیتی این فرصت را می دهند تا آن داده ها را در یک رابط راحت و متمرکز گرد هم آورند. تیم‌های فناوری اطلاعات می‌توانند آن داده‌ها را گرفته و آن‌ها را با ابزارهای دیگر برای تجزیه و تحلیل عمیق‌تر ادغام کنند و به اطلاع‌رسانی وضعیت امنیتی کلی سازمان در هنگام حرکت برای تعریف ماهیت حملات احتمالی آینده کمک کنند. داده های جامع از یک EDR همچنین می تواند شکار و تجزیه و تحلیل تهدیدات گذشته نگر را امکان پذیر کند.علاوه بر این، از آنجایی که EDR ها با جمع آوری طیف وسیعی از داده ها از تمام نقاط پایانی محافظت شده کار می کنند، به تیم های امنیتی این فرصت را می دهند تا آن داده ها را در یک رابط راحت و متمرکز تجسم کنند. تیم‌های فناوری اطلاعات می‌توانند آن داده‌ها را گرفته و آن‌ها را با ابزارهای دیگر برای تجزیه و تحلیل عمیق‌تر ادغام کنند و به اطلاع‌رسانی وضعیت امنیتی کلی سازمان در هنگام حرکت برای تعریف ماهیت حملات احتمالی آینده کمک کنند. همچنین می تواند شکار و تحلیل تهدیدات گذشته نگر را فعال کند.چگونه EDR آنتی ویروس را تعریف میکند:موتورهای آنتی ویروس علیرغم محدودیت‌هایشان وقتی به تنهایی یا به‌عنوان بخشی از راه‌حل EPP مستقر می‌شوند، می‌توانند تمجیدهای مفیدی برای راه‌حل‌های EDR باشند، و بیشتر EDR‌ها شامل برخی از عناصر مسدودسازی مبتنی بر امضا و هش به عنوان بخشی از استراتژی «دفاع در عمق» هستند.با ترکیب موتورهای آنتی ویروس در یک راه حل موثرتر EDR، تیم های امنیتی سازمانی می توانند از مزایای مسدود کردن ساده بدافزارهای شناخته شده بهره ببرند و آن را با ویژگی های پیشرفته ای که EDR ها ارائه می دهند ترکیب کنند.اجتناب از خستگی هشدار با Active EDR:همانطور که قبلاً اشاره کردیم، EDR ها امنیت سازمانی و تیم های فناوری اطلاعات را در تمام نقاط پایانی در سراسر شبکه سازمان دید عمیقی ارائه می دهند و  تعدادی از مزیت ها را امکان پذیر می کند. با این حال، علی‌رغم این مزایا، بسیاری از راه‌حل‌های EDR تأثیری را که تیم‌های امنیتی سازمانی امیدوار بودند، نداشته باشند، زیرا به منابع انسانی زیادی برای مدیریت نیاز دارند: منابعی که اغلب به دلیل محدودیت‌های کارکنان یا بودجه در دسترس نیستند یا به دلیل کمبود مهارت‌های امنیت سایبری، غیرقابل دسترسی هستند.بسیاری از سازمان‌هایی که در EDR سرمایه‌گذاری کرده‌اند، به‌جای لذت بردن از امنیت بیشتر و کار کمتر برای تیم‌های امنیتی و IT خود، به سادگی منابع را از یک وظیفه امنیتی به دیگری تخصیص داده‌اند: به دور از تریاژ دستگاه‌های آلوده تا تریاژ کوهی از هشدارهای EDR.و با این حال لازم نیست اینطور باشد. شاید ارزشمندترین پتانسیل EDR توانایی آن در کاهش مستقل تهدیدات بدون نیاز به دخالت انسان باشد. با استفاده از قدرت یادگیری ماشین و هوش مصنوعی، Active EDR بار را از دوش تیم SOC برمی‌دارد و می‌تواند به طور مستقل رویدادها را در نقطه پایانی بدون تکیه بر منابع ابری کاهش دهد.EDR فعال برای تیم شما چه معنایی دارد:این سناریوی معمولی را در نظر بگیرید: کاربر یک برگه را در Google Chrome باز می کند، فایلی را که معتقد است امن است دانلود می کند و آن را اجرا می کند. این برنامه از PowerShell برای حذف پشتیبان‌گیری‌های محلی استفاده می‌کند و سپس شروع به رمزگذاری تمام داده‌های روی دیسک می‌کند.کار یک تحلیلگر امنیتی با استفاده از راه حل های EDR  غیرفعال می تواند سخت باشد. با وجود هشدارها، تحلیلگر باید داده ها را در یک گزارش معنادار جمع کند. با EDRفعال ، این کار در عوض توسط عامل در نقطه پایانی انجام می شود.  EDR فعال گزارش کامل را می داند، بنابراین در زمان اجرا، قبل از شروع رمزگذاری، این تهدید را کاهش می دهد.هنگامی که داستان کمرنگ میشود، تمام عناصر موجود در آن داستان، تا برگه کروم که کاربر در مرورگر باز کرده است،  مورد مراقبت قرار داده می‌شود. با دادن شناسه TrueContext به هر یک از عناصر داستان کار می کند. این داستان‌ها سپس به کنسول مدیریت ارسال می‌شوند و امکان مشاهده و جستجوی آسان تهدید را برای تحلیلگران امنیتی و مدیران فناوری اطلاعات فراهم می‌کنند.فراتر از EDR | XDR برای حداکثر دید و یکپارچگی:در حالی که Active EDR گام بعدی برای سازمان‌هایی است که هنوز آنتی ویروس را پشت سر نمی‌گذارند، شرکت‌هایی که به حداکثر دید و یکپارچگی در کل دارایی خود نیاز دارند، باید به تشخیص و پاسخ گسترده یا XDR فکر کنند.XDR ، EDR را با ادغام تمامی کنترل‌های دید و امنیت در یک نمای کاملاً جامع از آنچه در محیط شما اتفاق می‌افتد به سطح بعدی می‌برد. XDR با یک مجموعه واحد از داده‌های خام شامل اطلاعات از کل اکوسیستم، امکان شناسایی و پاسخ سریع‌تر، عمیق‌تر و مؤثرتر تهدید را نسبت به EDR می‌دهد و داده‌ها را از طیف وسیع‌تری از منابع جمع‌آوری و جمع‌آوری می‌کند.نتیجه گیری:عوامل تهدید مدت‌هاست که فراتر از آنتی‌ویروس و EPP فراتر رفته اندو سازمان‌ها باید در نظر داشته باشند که چنین محصولاتی با تهدیداتی که امروزه فعال هستند همخوانی ندارند. حتی نگاهی گذرا به سرفصل‌ها نشان می‌دهد که سازمان‌های بزرگ و ناآماده با وجود اینکه روی کنترل‌های امنیتی سرمایه‌گذاری کرده‌اند، توسط حملات مدرن مانند باج‌افزار گرفتار شده‌اند. وظیفه ما، به عنوان مدافع، این است که اطمینان حاصل کنیم که نرم افزار امنیتی ما نه تنها برای حملات دیروز، بلکه برای امروز و فردا مناسب است.</description>
                <category>ابل رایان پویا</category>
                <author>ابل رایان پویا</author>
                <pubDate>Mon, 03 Jan 2022 15:33:06 +0330</pubDate>
            </item>
            </channel>
</rss>