https://virgool.io/feed/@graph-inc شرکت گراف یک مجموعه نرم‌افزاری و دانش بنیان است که در حوزه شناسایی و مقابله با تهدیدات پیشرفته سایبری فعالیت می‌کند. fa 2026-06-10 15:09:53 https://files.virgool.io/upload/users/1748271/avatar/c2We2I.jpeg?height=120&width=120 https://virgool.io/@graph-inc https://virgool.io/@graph-inc/%D8%A7%D9%87%D9%85%DB%8C%D8%AA-%D9%BE%D8%A7%DB%8C%DA%AF%D8%A7%D9%87-%D8%AF%D8%A7%D8%AF%D9%87-%D8%A7%D8%AE%D8%AA%D8%B5%D8%A7%D8%B5%DB%8C-yara-%DA%86%DB%8C%D8%B3%D8%AA-zok8ebir06m9 وقتی صحبت از ایمن‌سازی سازمان‌ها می‌شود پای ابزارهای زیادی به میان می‌آید. Yara یکی از این ابزارهاست. حالا سئوال اینجاست که «پایگاه داده اختصاصی YARA چیست؟ و چه اهمیتی در راهکارهای حفظ امنیت دارد؟». در این مطلب سعی می‌کنیم تا به این سؤال پاسخ بدهیم.yara چیست و چه کاربردی دارد؟تعریف YARA چیست؟در واقع YARA یکی از ابزار‌های رایگان و متن‌باز حوزه امنیت است که به سازمان‌ها کمک می‌کند که بدافزار‌های درون سیستم خود را شناسایی و طبقه‌بندی کنند. YARA توصیف‌هایی (Description) را ایجاد می‌کند که هر کدام در فایل‌ها به دنبال ویژگی خاصی هستند.به بیان دیگر، YARA شامل مجموعه‌ای از فایل‌های متنی و توصیفی است که شامل تعداد زیادی شرایط است. اگر این شرایط برآورده شوند، YARA می‌تواند تهدیدات را شناسایی کرده و بدافزارها را تشخیص دهد. این فایل‌ها به عنوان قوانین YARA شناخته می‌شوند.قوانین YARA می‌توانند برای یک فایل خاص، یک پوشه حاوی چندین فایل یا حتی یک سیستم فایل کامل به کار گرفته شوند. همچنین، این قوانین به شناسایی فایل‌های خاص یا هر محتوایی کمک می‌کنند که سازمان بخواهد آنها را شناسایی کند. YARA توانایی کار روی سیستم‌عامل‌های ویندوز، لینوکس و مک را دارد و می‌توانید با هر یک از این سیستم‌عامل‌ها، قوانین YARA را تعریف کنید.چه کسانی از YARA استفاده می‌کنند؟ به طور معمول، YARA برای مهندسی معکوس یا واکنش به حوادث امنیتی به کار می‌رود و معمولاً توسط تحلیلگران بدافزار، پاسخ‌دهندگان به حوادث و شکارچیان تهدید استفاده می‌شود.تحلیلگران اطلاعات تهدیدابزار YARA می‌تواند برای جمع‌آوری اطلاعات مفید بسیار مؤثر باشد. قوانین YARA به شما این امکان را می‌دهد که اطلاعات تهدید را برای کل تیم امنیتی قابل اجرا کنید. دقیقاً همان‌طور که مشخصه‌های رایج تهدید یا آسیب‌پذیری را بر اساس تحلیل شخصی خود تعریف می‌کنید، انعطاف‌پذیری و متن باز بودن YARA به شما اجازه می‌دهد که آن ویژگی‌ها را در قواعدی مشخص، توصیف کنید.تعریف این قوانین می‌تواند برای جستجوی یک فایل و یا شناسایی تهدیدات استفاده شود.طبقه‌بندی سریع مطالبتعریف و استفاده از قوانین YARA می‌تواند یک طبقه‌بندی دقیق از فایل‌ها ایجاد کند. طبقه‌بندی بدافزارها بر اساس ویژگی‌های مشترک و مشخص، می‌تواند به راحتی با استفاده از قوانین YARA انجام شود. با این حال، قوانین باید بسیار دقیق باشند تا از طبقه‌بندی کاذب جلوگیری شود.تجزیه و تحلیل اتصال شبکه ورودیاستفاده از YARA برای شناسایی محتوای مخربی که به شبکه شرکت ارسال می‌شود، امکان‌پذیر است. قوانین YARA را می‌توان روی ایمیل‌ها، به ویژه در فایل‌های پیوست شده ایمیل، و همچنین در سایر بخش‌های شبکه مانند ارتباطات HTTP روی یک سرور پراکسی معکوس، اجرا کرد. از YARA همچنین می‌توان به عنوان افزودنی به نرم‌افزارهای تحلیل تهدید موجود نیز استفاده کرد.چگونگی کار با YARAبرای استفاده از YARA، همان‌طور که پیشتر اشاره شد، باید قوانین مورد نظر خود را تدوین کرده و آن‌ها را در فایلی ذخیره کنید و سپس آن را همراه با YARA بر روی فایل مخرب مورد نظر اجرا کنید. اگر خروجی دریافت نکنید، یعنی YARA نتوانسته چیزی را به واسطه آن قوانین شناسایی کند. برای نوشتن یک YARA Rule، شما باید از سه بخش تبعیت کنید که عبارتند از:بخش Meta: اطلاعات کلی در مورد قانون، مانند نام، نویسنده و تاریخ.بخش‌های String: رشته‌های مربوط به نرم‌افزار مخرب مورد نظر که باید شناسایی شوند.بخش Condition: شرایطی که تعیین می‌کند کدام فایل‌ها باید با استفاده شرکت دانش بنیان گراف شرکت دانش بنیان گراف Wed, 05 Feb 2025 17:52:53 +0330 https://virgool.io/@graph-inc/edr-%DA%86%DB%8C%D8%B3%D8%AA-%DA%86%D8%B1%D8%A7-%D8%B4%D8%B1%DA%A9%D8%AA-%D9%87%D8%A7-%D8%A8%D8%A7%DB%8C%D8%AF-%D8%A7%D8%B2-edr-%D8%A7%D8%B3%D8%AA%D9%81%D8%A7%D8%AF%D9%87-%DA%A9%D9%86%D9%86%D8%AF-x6he1mkjaml7 مقدمهEDR جزو پیشرفته ترین ابزارهایی است که در حوزه امنیت مورد استفاده قرار میگیرد و طرفداران زیادی هم دارد. اما هنوز هم بسیاری از سازمان ها هستند که آن را نمیشناسند. ما در این مطلب قصد داریم درباره اینکه EDR چیست و اهمیت آن برای شرکت ها چیست صحبت کنیم.EDR چیست؟عبارت EDR مخفف شده‌ی عبارت Endpoint detection and response به معنای تشخیص تهدیدات امنیتی و پاسخ به آن هاست.دستکاری یا نشت داده‌ها، دلایلی هستند که سازمان‌ها را مجبور به تمرکز بر راهکار‌های جلوگیری از نفوذ می‌کنند. بر اساس گزارش شرکت IBM، یک حمله سایبری با هدف دسترسی به داد‌ه‌ها، با احتمال ۲۷. ۷درصد ممکن است برای یک سازمان رخ دهد.با توجه به این موضوع، سازمان‌ها باید با استفاده از ابزار‌های تشخیص(Detection)، شناسایی (Identification)، پاسخ دهی(Response) و بهبود(Recovery) از حملات جلوگیری کنند.یک راهکار تشخیص و پاسخ‌دهی به حملات سایبری، استفاده از EDR است که قابلیت شناسایی، تحلیل و پاسخ دهی به تهدیدات را دارد.EDR در اصل عملکردی مشابه جعبه سیاه هواپیما دارد. در طول پرواز، جعبه سیاه اطلاعاتی مثل ارتفاع، سرعت هوا، و مصرف سوخت و... را ذخیره می‌کند. اگر هواپیما سقوط کند متخصصان از اطلاعات موجود در جعبه سیاه استفاده می‌کنند تا عوامل مؤثر بر سقوط را شناسایی کنند و مانع بروز چنین مشکلاتی در سفر‌های بعدی شوند. به طور مشابه در EDR نیز از چنین روشی استفاده می‌شود.نقاط پایانی از اهداف محبوب هکر‌ها هستند زیرا زمینه‌ی آسیب‌پذیری امنیت را فراهم می‌کنند و حفاظت از آن‌ها کاری بسیار مشکل است. تمرکز اصلی EDR یا جعبه سیاه روی سیستم­های End-user مانند سیستم‌ها، لپ‌تاپ‌ها و تلفن‌های همراه است و رفتار‌های مشکوک مثل ورود بدافزار‌ها و حمله‌های سایبری را شناسایی می‌کنند.از داده‌های موجود در EDRبرای درک چگونگی تهدیدات سایبری و چگونگی پاسخ سازمان‌ها به تهدیدات استفاده می‌کنند. در واقع EDR نوعی عملکرد برای بررسی و بازبینی کامپیوتر‌های متصل به اینترنت برای ردیابی هر نوع اقدام و فعالیت مشکوک است. سازمان‌ها می‌توانند از اطلاعات به‌دست‌آمده توسط EDR برای تقویت امنیت در برابر حملاتی که در آینده ممکن است رخ دهد و همچنین کاهش زمان ماندن برای تهدیدات احتمالی استفاده کنند.وظایف اصلی سیستمامنیتی EDR:• شناسایی و جمع‌آوری اطلاعات فعالیت‌ها از نقاط پایانی• تحلیل و بررسی داده‌ها برای شناسایی تهدید‌ها• پاسخ گویی خودکار به تهدید‌های شناسایی شده• جرم‌شناسی و جستجوی فعالیت‌های مشکوکEDR چگونه کار می‌کند؟EDR به تمامی فعالیت‌های در حال انجام در نقاط پایانی نظارت می‌کند و اطلاعات مربوط به آن را ذخیره می‌کند. در اینجا مراحلی وجود دارد که یک راه حل EDRبرای محافظت از نقاط پایانی انجام می‌دهد:۱. نظارت بر داده‌های نقاط پایانیEDR به صورت مداوم بر ترافیک خروجی و ورودی در نقاط پایانی نظارت می‌کند، راه حل‌های موجود در EDR آن را قادر می‌سازد تا ویژگی‌های رفتار مشکوک و سالم را یاد بگیرد و رمزگشایی کند.۲. شناسایی ناهنجاری‌هاEDR به سرعت رفتار‌های ناشناخته را در نقطه پایانی شناسایی می‌کند. در نتیجه، سازمان‌ها می‌توانند مسیر مهاجم را ردیابی کنند.۳. اصلاح خودکارهنگامی که EDR با استفاده از قوانین از پیش تعریف شده پیکربندی می‌شود، می‌تواند خودکار عملیات واکنش سریع به حادثه را برای مسدود کردن IOC اجرا کند.۴. جدا کردن بخش‌های آسیب دیدههنگامی که یک حادثه سایبری شناسایی می‌شود، EDR بخش‌هایی که تحت تأثیر قرار گرفته‌اند را بلوکه می‌کند و از انتشار مصنوعات مخرب در سراسر شبکه جلوگیری می‌کند.۵. تحقیق و یادگیریهمانطور که گفته شد EDRتهدید‌ها را ایزوله می‌کند و به صورت خودکار هر IOC را با شناسایی فعالیت مخرب مسدود می‌کند. سپس IOC‌ها را برای جلوگیری از حوادث مشابه در آینده بررسی و تحلیل می‌کند.۶. ارسال هشدار برای تیم‌های SOCپس از یک رویداد امنیتی، تمام نقاط داده تحت تأثیر برای بررسی بیشتر و برنامه‌ریزی طبقه‌بندی و ادغام می‌شوند.چرا EDR برای سازمان‌ها اهمیت دارد؟مهاجمان به دلیل داشتن انگیزه و زمان و منابع کافی، در نهایت راهی برای نفوذ به اطلاعات سازمان‌ها خواهند یافت. در ادامه دلایل قانع‌کننده‌ای وجود دارد که EDR باید بخشی از استراتژی امنیتی نقطه پایانی سازمان شما باشد.• پیشگیری نمی‌تواند به تنهایی امنیت را تضمین کنداگر تنها تدبیر امنیتی سازمان پیشگیری از وقوع رویداد‌های امنیتی باشد؛ زمانی که با شکست مواجه می‌شود، در سردرگمی و ابهام عمیقی فرو خواهد رفت. مهاجمان از این موقعیت برای معطل ماندن و حرکت در شبکه استفاده می‌کنند.• دشمنان می‌توانند هفته‌ها داخل شبکه باشندبسیاری از مهاجمان حرفه‌ای می‌توانند بدون ایجاد هیچ رد پایی از خود برای مدت‌ها در شبکه بمانند و دسترسی‌هایی برای خود ایجاد کنند. سازمان‌ها برای شناسایی اینگونه تهاجمات پیشرفته، به ابزار‌های تجزیه و تحلیل نیاز دارند.• عدم وجود نظارت درست بر نقاط پایانی سازمان‌هاپس از کشف حملات امنیتی، سازمان می‌تواند برای اصلاح حادثه مدت‌ها تلاش کند، اما در صورت نبود اطلاعاتی مبنی بر اینکه دقیقاً چه اتفاقی افتاده، چگونه رخ داده و چگونه آن را برطرف کند موفق نخواهد بود.• داشتن اطلاعات کافی برای پاسخ به رویداد و جلوگیری از رویداد‌های بعدیهمانطور که گفته شد بدون پلتفرم‌های نظارتی سازمان‌ها ممکن است دید لازم برای درک آنچه در نقاط پایانی آن اتفاق می‌افتد را نداشته باشند. برای پاسخگویی به یک حمله و یا جلوگیری از وقوع حملات آتی بهترین راه ایجاد و استفاده از بانک اطلاعاتی است.• داشتن تیم پشتیبانی امنیت علاوه بر پلتفرمحتی اگر تمامی داده‌های مربوط به حملات هم ذخیره شوند؛ به تیم امنیتی برای بررسی و تجزیه و تحلیل این داده‌ها نیاز است.با توجه به مطالب گفته شده و بیان اهمیت تضمین امنیت در سازمان­ها، واجب است که مدیران تدابیر امنیتی مطمعنی را برای سازمان خود در نظر بگیرند.شرکت گراف با ارائه EDR اختصاصی خود، که توانایی های منحصر بفرد بسیاری دارد، توانسته رضایت حداکثری مشتریان خود را جلب نماید. شرکت دانش بنیان گراف شرکت دانش بنیان گراف Mon, 05 Dec 2022 14:00:36 +0330 https://virgool.io/@graph-inc/%D9%85%D8%B1%D8%A7%D8%AD%D9%84-%D8%A7%D9%86%D8%AC%D8%A7%D9%85-%D8%AE%D8%AF%D9%85%D8%A7%D8%AA-%D9%81%D8%A7%D8%B1%D9%86%D8%B2%DB%8C%DA%A9-%DA%86%DB%8C%D8%B3%D8%AA-jslqdqyvumtm اگر برای شما هم سوال پیش آمده که مراحل انجام خدمات فارنزیک چیست، با ما همراه باشید تا در ادامه به طور مفصل درباره فارنزیک و مراحل انجام آن صحبت کنیم.فارنزیک چیست؟فارنزیک در لغت به معنای پزشکی قانونی است اما در اصل به مفهوم جرم‌شناسی اشاره دارد. در حوزه تهدیدات سایبری و حملات به سامانه‌های فناوری اطلاعات، عملیات جمع‌آوری و تجزیه و تحلیل شواهد که بعد از حمله‌ سایبری انجام می‌شود، فارنزیک نامیده می‌شود.در نتیجه عملیات جرم‌شناسی یا فارنزیک، همان گردآوری، نگهداری و تحلیل اطلاعات دیجیتال است که بعد از وقوع حمله سایبری به مدیران سازمان‌ها کمک می‌کند منشا حملات را شناسایی کنند و برای رفع حفره‌های امنیتی تلاش کنند. مدارک فارنزیک گاهی بعنوان مدارک معتبر قابل ارائه به دادگاه کاربرد دارد.چه کسی فارنزیک را اجرا می‌کند؟محقق فارنزیک.شغل افرادی که در زمینه جرم‌شناسی کار می‌کنند، بسیار سخت و حساس است. دادگاه‌ها در گذشته بین مدارک رایانه‌ای و غیر رایانه‌ای از لحاظ ارزش و اعتبار فرقی قائل نمی‌شدند اما با گذشت زمان، مشخص شد که مدارک رایانه‌ای به سادگی قابل تغییر هستند. به همین دلیل، اثبات جرم از طریق این مدارک سخت‌تر شده است.شواهدی که متخصصان فارنزیک در زمینه جرم‌شناسی با آن‌ها سر و کار دارند، به قدری حساس‌ هستند که ممکن است در صورت کار کردن یک فرد بی‌تجربه با آن‌ها، به راحتی از بین بروند. پس تخصص و تجربه در این زمینه بسیار مهم و حیاتی است.یکی از قوانین معروف در هنگام وقوع حملات سایبری این است که اگر سیستمی که از طریق آن جرم واقع شده و یا روی آن جرمی صورت گرفته است، روشن بود، نباید خاموش شود و اگر خاموش بود، نباید روشن شود. بهترین کار اطلاع دادن به افراد متخصص برای جلوگیری از تخریب اطلاعات و پیگیری هکر است.محقق فارنزیک باید به موارد زیادی توجه کند، از جمله اینکه:شواهد را دنبال کندهیچ تغییری در شواهد اعمال نکنداز شواهد با بالاترین کیفیت حفاظت کنداز سطح دانش خود فراتر نرود چراکه ممکن است به شواهد آسیب بزندتمامی تغییرات در شواهد را مستند‌سازی کندو...کاربردهای جرم­شناسی کامپیوتری یا forensicجمع‌آوری شواهد رایانه‌ای فقط در شناسایی و پیگیری جرائم دنیای دیجیتال نیست و برای حل جرائم فیزیکی نیز کاربرد دارد. علاوه بر این با استفاده از اطلاعات بدست آمده از طریق فارنزیک، می‌توان به بهبود امنیت شبکه نیز کمک کرد. همچنین می‌توان از فارنزیک دیجیتال برای کمک به بازیابی اطلاعات در صورت خرابی سیستم یا شبکه نیز استفاده نمود.انواع فارنزیکفارنزیک در علم کامپیوتر شاخه‌های متعددی دارد، از جمله:فارنزیک موبایلبررسی تلفن همراه برای بازیابی و تجزیه‌وتحلیل اطلاعات موجود در آن‌فارنزیک شبکهجستجوی شواهد با نظارت بر ترافیک شبکهفارنزیک‌ایمیلتجزیه و تحلیل اطلاعات موجود در‌ ایمیل‌ها و دیگر اطلاعات موجود در پلتفرم ایمیلفارنزیک پایگاه دادهبررسی اطلاعات موجود در پایگاه داده‌ها و اطلاعات مرتبط با آن‌هافارنزیک حافظهجمع‌آوری اطلاعات ذخیره شده در حافظه با دسترسی تصادفیفارنزیک بدافزارغربال کردن کد برای شناسایی برنامه‌های مخرب احتمالیفارنزیک شبکه چگونه کار می‌کند؟در جواب به سؤال فارنزیک چگونه کار می‌کند و یا مراحل انجام فارنزیک چیست به ۷ مرحله‌ی کاری می‌رسیم که در ادامه به بیان آن‌ها می‌پردازیم:شناسایی (Identification):این مرحله شامل روند شناسایی و تعیین یک حادثه بر اساس شاخص‌های شبکه است و جزء حیاتی‌ترین مراحل است که حتماً باید با توجه بسیار زیادی انجام شود.حفظ (Preservation):در مرحله دوم، متخصص فارنزیک داده‌ها را به دو بخش تقسیم می‌کند. بخش اول با هدف حفاظت و بخش دوم برای امنیت. همچنین متخصص باید بعد از حادثه از استفاده افراد از دستگاه دیجیتال جلوگیری کند تا شواهد دیجیتالی از بین نرود.جمع‌آوری (Collection):این مرحله شامل جمع‌آوری شواهد و ضبط صحنه فیزیکی و تکثیر شواهد دیجیتالی با استفاده از روش‌های استاندارد است.معاینه (Examination):این فرایند شامل ثبت تمامی داده‌های قابل مشاهده است.تحلیل و بررسی (Analysis):پس از شناسایی و حفظ شواهد (داده‌ها) محقق می‌تواند حمله را بازسازی کند و براساس تجزیه و تحلیل داده‌ها، نتیجه‌گیری انجام دهد. محققان نسخه‌های دیجیتالی را در یک محیط استریل تجزیه‌وتحلیل می‌کنند تا اطلاعات موردی را جمع‌آوری کنند.ارائه (Presentation):روند جمع‌بندی و توضیح نتیجه‌گیری در این مرحله انجام می‌شود. متخصصان فارنزیک اطلاعاتی که جمع‌آوری کرده‌اند را در یک دادرسی قانونی ارائه می‌کنند.پاسخ حادثه (Incident Response):نفوذ شناسایی شده بر اساس اطلاعات جمع‌آوری شده برای اعتبارسنجی و ارزیابی حادثه است. در این مرحله به حمله پاسخ داده می‌شود و اقدامات مناسب صورت می‌گیرد.خدمات فارنزیک شامل چه چیز‌هایی می‌شود؟خدمات مرتبط با فارنزیک در سازمان‌های ارائه دهنده‌ آن متفاوت است. اگر قصد استفاده از این خدمات را دارید باید به طور کامل درباره این خدمات تحقیق و بررسی کنید و سپس همکاری خود را آغاز کنید. ما در شرکت گراف سعی کردیم کامل‌ترین مجموعه در زمینه فارنزیک را ارائه دهیم.خدمات Forensic گرافکارشناسان تیم امنیت گراف به منظور ارائه خدمات فارنزیک از منوی Explore سامانه GATD استفاده می¬کنند. GATD وظیفه تامین امنیت اطلاعات سازمان را دارا است . در چنین شرایطی سامانه شناسایی تهدیدات پیشرفته گراف، با رصد و نظارت مستمر و همه جانبه بر زیرساخت IT سازمان قادر به شناسایی تهدیدات و رفتارهای تهدید‌آمیز است.GATD اطلاعات مرتبط با هر رویداد را جستجو، جمع‌آوری، ذخیره میکند. این اطلاعات توسط GATD تجزیه و تحلیل می‌شوند تا شدت و عمق حادثه مشخص شود. اطلاعات مرتبط با هر رویداد امنیتی در این سامانه قابل دسترسی و مشاهده است. از جمله:تمامی امواج ارسالی و دریافتی در بافت شبکهدریافت تمامی اعلان‌های تهدیدآمیز و شناسایی فعالیت‌های مخاطره‌آمیز توسط سامانه GATDضبط و ذخیره تمامی لاگ‌های دریافتی از Web serverهادریافت و ضبط لاگ‌ها توسط کنسول سرور مرکزی آنتی ویروس پادویشارائه تحلیل و گزارش نهایی فایل‌های دریافتی توسط FAM MODULEارسال و ارائه درخواست‌های کاربران از طریق بستر وبضبط و دریافت لاگ‌ها توسط سیستم عامل ویندوزضبط و دریافت لاگ‌ها توسط سیستم عامل لینوکسامیدواریم در رابطه با مراحل انجام خدمات فارنزیک اطلاعات کاملی را در اختیارتان قرار داده باشیم. اگر برای مجموعه خود، به دنبال شرکت معتبر و خوش نام هستید که خدمات فارنزیک انجام دهد، مراحل انجام خدمات فارنزیک شرکت های مختلف را با هم مقایسه کنید. این کار به شما کمک میکند تا انتخابی مطمئن داشته باشید. همچنین اگر نیاز به اطلاعات بیشتری در این زمینه دارید، میتوانید به صورت رایگان با مشاوران مجموعه گراف صحبت کنید. شرکت دانش بنیان گراف شرکت دانش بنیان گراف Wed, 30 Nov 2022 14:51:22 +0330 https://virgool.io/@graph-inc/%D8%B3%D8%A7%D9%85%D8%A7%D9%86%D9%87-%D8%AA%D9%84%D9%87-%DB%8C%D8%A7-%D9%87%D8%A7%D9%86%DB%8C-%D9%BE%D8%A7%D8%AA-%D8%B4%D8%B1%DA%A9%D8%AA-%DA%AF%D8%B1%D8%A7%D9%81-%DA%86%D9%87-%D8%A7%D9%85%DA%A9%D8%A7%D9%86%D8%A7%D8%AA%DB%8C-%D8%AF%D8%A7%D8%B1%D8%AF-q9r2gphzbslj یکی از راه‌های حفظ امنیت سامانه‌ها، اجرای سیستم‌های شبیه‌سازی شده با داده‌های جعلی‌ است که مهاجمین را فریب داده تا در صورت نفوذ احتمالی، قبل از موفقیت کامل حمله، شناسایی آن ممکن شود.زیرساخت تله‌گذاری یا سامانه #هانی‌پات این امکان را فراهم می‌کند تا هم پیش از وقوع حملات و هم در حین وقوع حمله و آلوده بودن زیرساخت سازمان، آلودگی و نفوذ شناسایی شود.سامانه تله یا هانی پات شرکت گرافسامانه تله گراف براساس سامانه شناسایی تهدیدات پیشرفته گراف (GRAPH ATD)، طراحی و پیاده‌سازی شده است. به صورت کلی این سامانه دارای زیرساخت سامانه شناسایی تهدیدات پیشرفته گراف بوده اما نوع استفاده و کاربری آن تغییر یافته است. هر یک از ماژول‌های سامانه تله گراف وظیفه شناسایی مخاطرات و تهدیدات بخشی از داده‌های ورودی را بر عهده دارد.این سامانه شناسایی حملات را مبتنی بر متدولوژی Mitre Att@ck انجام می‌دهد. انطباق با متدولوژی Mitre Att@ck کمک می‌کند تا در مراحل مختلف حملات امکان شناسایی مراحل حمله وجود داشته باشد. این امر نوعی دفاع سایبری فعال و پیشگیرانه را برای زیرساخت سازمان فراهم می‌آورد. با توجه به گستره‌ی مدنظر برای تله‌گذاری، هر یک از ماژول‌های زیر قابل انتخاب و فعال‌سازی است. قبل از پرداخت به جزییات بیشتر درباره سامانه هانی پات شرکت گراف موارد برخی تعاریف مرتبط را مرورو می‌کنیم.تله یا هانی‌پات (Honeypot) چیست؟عبارت‌است از یک سیستم اطلاعاتی با اطلاعات کاذب! Honeypotها به خودی خود یك راه حل به شمار نرفته، هیچ سرویس واقعی ارائه نداده و هیچ مشكل امنیتی خاصی را حل نمی‌كنند، بلکه برای مقابله با هکرها و کشف و جمع‌آوری فعالیت‌های غیرمجاز در شبکه‌های رایانه‌ای بر روی شبکه قرار می‌گیرد. این سیستم می‌تواند به ظاهر یك فایل سرور، یك وب سرور، یا حتی یك ایستگاه كاری معمولی باشد. اگر كسی با این سیستم ارتباط برقرار نماید، با احتمال زیاد در حال انجام یك فعالیت غیر مجاز یا خرابكارانه است. کاربرد اصلی سامانه‌های تله یا هانی‌پات در پیشگیری، تشخیص، جمع آوری اطلاعات و تحلیل رخدادها است.بدافزار بدون فایل (File less Malware) چیست؟بدافزار بدون فایل نوعی فعالیت مخرب است که کدهای مخرب به صورت فایل در سیستم وجود ندارند. این بدافزارها به صورت اجرای دستورات از طریق ابزارهای بومی و قانونی (برای مثال ابزارهای Microsoft در ویندوز) که به صورت پیشفرض بر روی سیستم عامل وجود دارد می‌تواند اجرا شود. در بعضی موارد نیز دستورات و کد‌ها در حافظه قرار گرفته ولی هیچ کد و فایلی بر روی دیسک وجود ندارد. در بسیاری از مواقع این بدافزارها در ویندوز برای نگه‌داری تنظیمات مربوطه از ریجستری استفاده می‌کنند. به دلیل نبود فایل شناسایی این بدافزارها سخت‌تر از شناسایی بدافزارهای مرسوم است.متدولوژی Mitre Att@ck چیست؟متدولوژی Mitre Att@ck یک پایگاه دانش در سطح جهانی از تکنیک‌ها، تاکتیک‌ها و فرآیند‌های مورد استفاده مهاجمین مبتنی بر تحلیل و بررسی حملات گروه‌های هک سازمان‌یافته در دنیای واقعی است. این پایگاه دانش سعی دارد تا مراحل مختلف یک حمله سایبری (Attack Kill Chain) را پوشش دهد تا بتوان میزان عمق نفوذ مهاجمین و روش‌های آن‌ها را دسته‌بندی و مستند کرد.دفاع سایبری فعال و پیشگیرانه (Proactive Cyber Defense) چیست؟دفاع سایبری پیشگیرانه، به معنای اقدام در پیش بینی برای مقابله با حمله سایبری است. دفاع سایبری فعال را می توان به عنوان گزینه‌ای بین اقدامات تهاجمی و تدافعی تعریف کرد. این تعریف شامل ممانعت، مختل کردن یا بازدارندگی یک حمله یا آمادگی یک تهدید برای حمله، چه به صورت پیشگیرانه و چه برای دفاع از خود است. روش‌های متداول شامل تله‌گذاری و فریب سایبری، شکار تهدید و سایر فعالیت‌های مربوطه است. دفاع سایبری پیشگیرانه، انجام فعالیت‌های شناسایی و ایجاد اختلال در فرآیند مهاجمین با استفاده از، انتشار اطلاعات مدیریت شده و جعلی، شناسایی استراتژی‌ها و هدف‌گذاری دقیق سیستم‌های با ریسک بالا است. دفاع سایبری پیشگیرانه می تواند اقدامی برای شناسایی و به دست آوردن اطلاعات قبل از حمله سایبری یا حین اجرای حمله باشد. استراتژی دفاع پیشگیرانه به منظور بهبود جمع آوری اطلاعات، از سیستم‌های جعلی و تله جهت تحریک واکنش های عوامل تهدید و در نتیجه اجرای حملات بر روی بستر غیرواقعی استفاده می‌کند.سامانه تله گراف چیست؟ براساس سامانه شناسایی تهدیدات پیشرفته گراف (GRAPH ATD)، طراحی و پیاده‌سازی شده است. به صورت کلی این سامانه دارای زیرساخت سامانه شناسایی تهدیدات پیشرفته گراف بوده اما نوع استفاده و کاربری آن تغییر یافته است. هر یک از ماژول‌های سامانه تله گراف وظیفه شناسایی مخاطرات و تهدیدات بخشی از داده‌های ورودی را بر عهده دارد.این سامانه شناسایی حملات را مبتنی بر متدولوژی Mitre Att@ck انجام می‌دهد. انطباق با متدولوژی Mitre Att@ck کمک می‌کند تا در مراحل مختلف حملات امکان شناسایی مراحل حمله وجود داشته باشد. این امر نوعی دفاع سایبری فعال و پیشگیرانه را برای زیرساخت سازمان فراهم می‌آورد. با توجه به گستره‌ی مدنظر برای تله‌گذاری، هر یک از ماژول‌های زیر قابل انتخاب و فعال‌سازی است.ماژول‌های سامانه تله هانی پات گراف- سنسور شناسایی تهدیدات شبکه- سنسور شناسایی تهدیدات وب- جمع‌آوری کننده رخدادهای Endpoint- جمع‌آوری کننده رخداد‌های آنتی‌ویروس- ماژول Forensics- ماژول Case Management- موتورهای پردازشی برای شناسایی انواع تهدیدات- شناسایی تهدیدات مبتنی بر Threat Intelligenceبرای اطلاعات بیشتر درباره خدمات #شرکت_گراف با همکاران فروش ما تماس بگیرید:تلفن: 02147716000https://www.graph-inc.ir شرکت دانش بنیان گراف شرکت دانش بنیان گراف Sat, 10 Sep 2022 15:38:53 +0430 https://virgool.io/@graph-inc/%D8%A7%D8%B7%D9%84%D8%A7%D8%B9%DB%8C%D9%87-%D8%B1%D8%B3%D9%85%DB%8C-gitlab-%D8%A8%D8%B1%D8%A7%DB%8C-%D8%B1%D9%81%D8%B9-%DB%8C%DA%A9-%D8%A2%D8%B3%DB%8C%D8%A8-%D9%BE%D8%B0%DB%8C%D8%B1%DB%8C-%D8%AD%DB%8C%D8%A7%D8%AA%DB%8C-lvl3b39d1gqo اطلاعیه رسمی GitLab برای رفع یک آسیب‌پذیری حیاتی (CVE-2022-2884) در نسخه Community (CE) و Enterprise Edition (EE) با امتیاز CVSS 9.9اطلاعیه رسمی GitLab برای رفع یک آسیب‌پذیری حیاتی گیت‌لب یک پروژه منبع باز برای سیستم مدیریت انبار است. از Git به عنوان یک ابزار مدیریت کد برای دسترسی به پروژه های عمومی یا خصوصی از طریق یک رابط وب استفاده می‌کند. این نقص مربوط به یک کاربر احراز هویت شده برای دستیابی به اجرای کد از راه دور از طریق نقطه پایانی Import from GitHub API است. این باگ توسط محقق امنیتی «yvvdwf» از طریق برنامه پاداش باگ HackerOne گزارش شده است. هنوز هیچ مدرکی مبنی بر استفاده از این موضوع در حملات مخرب وجود ندارد.متن کامل خبر از اینجا:CVE-2022-2884: GitLab Remote Command Execution Vulnerability شرکت دانش بنیان گراف شرکت دانش بنیان گراف Sun, 28 Aug 2022 17:38:50 +0430 https://virgool.io/@graph-inc/%D8%AD%D9%85%D9%84%D9%87-%D8%B1%D9%88%D8%B2-%D8%B5%D9%81%D8%B1-zero-day-vulnerability-%DA%86%DB%8C%D8%B3%D8%AA-bjfncazvmunj حمله روز صفر یا آسیب پذیری Zero Day به دسته‌ای از حملات سایبری گفته می‌شود که قبلا توسط متخصصان امنیت شناسایی نشده‌اند و هیچ دانشی درباره نحوه تشخیص و روش‌های جلوگیری از آن وجود ندارد.حمله روز صفر (Zero-day Vulnerability) چیست؟استفاده از ابزارهای امنیتی مانند آنتی ویروس‌ بروز و فایروال‌ می‌تواند از روش‌های نفوذ مخربی که قبلا شناسایی شده‌اند، جلوگیری کند. اما ممانعت از حمله به حفره‌های امنیتی «شناسایی نشده» در سامانه‌های سایبری از طریق این شیوه‌های مرسوم امکان‌پذیر نیست.اینجاست که مفهوم حمله روزصفر یا آسیب پذیری Zero Day مطرح می‌شود. یک Zero_Day بصورت میانگین در طی ۳۱۲ روز شناسایی شده و راهکار مقابله با آن نیز ارائه می‌شود. اما مواردی از آسیب‌پذیری روز صفر وجود داشته که شناسایی آن بیشتر از دو سال طول کشیده است.شناخته‌شده‌ترین نوع حمله Zero Day ، بدافزار STUXNET است که برای تخریب تجهیزات هسته‌ای ایران طراحی شده بود.بدافزار شعله یا Flame هم که برای حمله به شرکت ملی نفت ایران طراحی شده بود نیز یک نوع Zero Day به حساب می‌آید.شناسایی و جلوگیری از بروز حملات Zero Day بسیار مشکل است و به ابزارهای تحلیلی پیچیده‌ای مانند سامانه‌های XDR نیاز دارد. سامانه XDR باید به طور مداوم زیرساخت‌های سایبری را رصد کند و با استفاده از سنسورهای مختلف خود و جمع‌آوری و پردازش اطلاعات، تهدیدات روز صفر را شناسایی نماید. شرکت دانش بنیان گراف شرکت دانش بنیان گراف Sat, 27 Aug 2022 13:47:35 +0430