https://virgool.io/feed/@m_92357197 امیر کردونی هستم عضو تیم فنی FCA Group و حدود 10 سال در زمینه امنیت اطلاعات در سازمان ها فعالیت دارم. www.faracomputer.com fa 2026-06-18 09:06:25 https://files.virgool.io/upload/users/1551248/avatar/cbeGCQ.jpeg?height=120&width=120 https://virgool.io/@m_92357197 https://virgool.io/@m_92357197/%D9%85%D8%AF%DB%8C%D8%B1%DB%8C%D8%AA-%D8%B1%DB%8C%D8%B3%DA%A9-%D8%B3%DB%8C%D8%B3%D8%AA%D9%85-%D8%B9%D8%A7%D9%85%D9%84-%D9%87%D8%A7%DB%8C-%D9%82%D8%AF%DB%8C%D9%85%DB%8C-%D8%AF%D8%B1-%D8%B3%D8%A7%D8%B2%D9%85%D8%A7%D9%86-%D9%87%D8%A7-foez1grnofgb مقدمه:زندگی انسان همیشه دستخوش تغییرات بوده و هست؛ درنتیجه ما نیز برای کسب موفقیت باید همواره آمادگی تغییر را داشته باشیم و خودمان را با شرایط جدید وفق دهیم. هر ایده و نوآوری خوبی در دنیا، یک روز به پایان می رسد و خیلی وقت ها جایگزین بهتری برای آنها نیز ارائه می شود. فرقی نمی کند که یک فیلم، یک بازی و حتی یک وسیله خوب باشد، در هر صورت یک روز به پایان خواهد رسید. در حوزه فناوری اطلاعات این موضوع بیشتر از هر حوزه دیگری قابل لمس است و ابزار های ذخیره سازی ارائه شده در این سالها مثال خوبی بر این ادعا هستند.در مورد سیستم هال عامل نیز این مسئله به خوبی قابل مشاهده است و زمانیکه ویندوز XP در سال 2001 از سوی شرکت مایکروسافت ارائه شد یک دستاورد فوق العاده در زمینه سیستم های عامل محسوب می شد که از نظر کارایی و امنیت بسیار خوب عمل می کرد و شاید تا سالها کسی فکرش را نمی کرد که سیستم عامل بهتری بتواند جایگزین آن شود تا اینکه ویندوز 7 در سال 2009 ارائه گردید و به خوبی توانست ویندوز XP را کنار بزند اما این سازمان ها و کاربران بودند که نتوانستند ویندوXP را کنار بگذارند و به سمت ویندوز های جدیدتر مهاجرت کنند و در ادامه نیز همین مسئله با ارائه ویندوز 10، برای ویندوز های 7 ادامه پیدا کرد.در سالهای اخیر طی بررسی و ارائه گزارشات آنالیز امنیتی به سازمانهای مختلف، مخاطرات امنیتی فراوانی همچون استفاده از پسوردهای پیش فرض یا ساده، امکان اتصال دستگاه های مختلف به رایانه های اداری و صنعتی و نصب نرم افزارهای متفرقه و بخش زیادی از آسیب پذیری ها، مشاهده شده است؛ اما موضوعی که در این مقاله قصد داریم به آن بپردازیم موضوع استفاده از سیتم عامل های ویندوز منقضی شده شامل XP و 7 است که در شبکه های صنعتی و اداری به دلایل مختلف از جمله به روز نبودن سخت افزار، استفاده از نرم افزارهای قدیمی و ناسازگار با ویندوز های جدیدتر و یا دلایل دیگر، امکان ارتقای آنها وجود ندارد.مخاطره امنیتی استفاده از سیستم عامل قدیمی:با توجه به اینکه در سال 2011 مایکروسافت پشتیبانی از ویندوز XP و در سال 2020 پشتیبانی سیستم عامل ویندوز 7 را به پایان رساند و طبق اعلام این شرکت از این پس برای این 2 سیستم عامل، به روزرسانی و وصله امنیتی ارائه نخواهد شد در نتیجه این دو سیستم عامل با آسیب پذیری های فراوان که برخی از آنها همچنان ناشناخته هستند به بستری مناسب جهت تهدیدات متنوع، تبدیل شده اند و میتوان آنها را به عنوان نقطه ی بزرگی از ناامنی در شبکه های صنعتی و اداری خواند که نه تنها خودشان، بلکه مابقی شبکه را نیز تحت ریسک قرار خواهند داد .راهکار های مقابله:از دیدگاه امنیتی اولین توصیه و راهکار در رابطه با سیستم عامل های قدیمی و منقضی شده، به روز رسانی و ارتقاء سیستم عامل و نرم افزار های نصب شده بر روی آنهاست اما همانطور که اشاره شد دلایل مختلفی وجود دارد که این امکان را از بین می برد. در نتیجه ما قصد داریم تا در این مقاله راهکارهایی را ارائه کنیم تا از این سیستم ها با وجود مخاطرات امنیتی فراوان محافظت و از ریسک آلودگی خودشان و مابقی شبکه، تا حد ممکن پیشگیری شود. یک سیستم در شبکه از راههای مختلفی امکان دارد که آلوده شود که برخی از آنها به شرح زیر است:صفحات وب در اینترنتاتصال دستگاه های جانبی به مانند USB Devicesنرم افزارهای متفرقهشبکهامروزه اندپوینت ها نسبت به گذشته بسیار کامل تر و مجهز به قابلیت های امنیتی فراوانی همچون File threat Protection, Web Threat Protection, Mail Threat Protection, Exploit Prevention, Network Threat Protection,… شده اند،که می توانند امنیت سیستم را تا حد بسیار زیادی فراهم کنند اما در کنار همه این قابلیت ها ما سعی داریم تا جای ممکن به صورت پیشگیرانه عمل کنیم.مدیریت صفحات وب در اینترنت:در این بخش، منظور صفحات وبی هستند که ممکن است یک کاربر خواسته یا ناخواسته با آنها مواجه شود و سیستم را دچار آلودگی کند. امروزه با پیشرفته تر شدن اندپوینت ها این امکان وجود دارد تا دسترسی کاربر به یکسری از صفحات وب آلوده شناخته شده محدود و به صورت لیست سیاه (Black List) عمل کنیم. در این بخش صفحات وب را به روش های مختلف می توان مدیریت کرد:محتوای سایت مورد نظرنوع فایل (فایلی که کاربر قصد اجرا یا دانلود آن را دارد)آدرس صفحه مورد نظرکاربر سیستمزمان دسترسیاما راه حل مطمئن تر، پیاده سازی این راهکار به صورت لیست سفید (White List) است که در این حالت با استفاده از یک رول دسترسی به تمامی صفحات وب را بسته و در رولی دیگر، مجوز دسترسی به صفحات تایید شده سازمان را می دهیم. در نتیجه با این روش از آلودگی خواسته و یا ناخواسته سیستم ها از مسیر صفحات وب، پیشگیری خواهیم کرد.مدیریت دستگاه های جانبی:یکی از معمول ترین راههایی انتقال آلودگی به سیستم ها، اتصال دستگاههای غیر مجاز و تایید نشده به سیستم های شبکه صنعتی و اداری است که هم باعث انتقال آلودگی و هم نشت اطلاعات سازمان می شود. با استفاده از راهکار دیوایس کنترل در اندپوینت ها نه تنها می توان دسترسی سیستم ها به یک یا چند دیوایس خاص را بصورت لیست سیاه (Black List) مسدود کرد بلکه این امکان وجود دارد تا دسترسی سیستم ها را برای تمامی پورت ها بسته و فقط دستگاههای اصلی و مورد تایید سازمان را در قالب یک لیست سفید (White List) ایجاد کرد. بطور مثال می توان درگاه USB را بصورت کامل مسدود کرده و تنها یک دستگاه پرینتر و یا یک حافظه قابل حمل تایید شده را استثناء کرد. لازم به ذکر است که در هیچ صورتی کیبورد و ماوس مسدود نخواهد شد.مدیریت نرم افزارها:از دیگر مسائل مهم در امنیت و کارایی سیستم ها، مدیریت نرم افزارها است که با استفاده از اندپوینت ها این امکان وجود دارد که نرم افزارهای روی سیستم ها را هم بصورت لیست سیاه(Black List) و هم بصورت لیست سفید (White List) مدیریت کنیم.حالت لیست سیاه: (Black List)در این حالت ما می توانیم نرم افزارهایی که طبق پالیسی سازمان، نباید روی سیستم ها نصب شوند را براساس مشخصات نرم افزار، فایل Hash نرم افزار و همچنین دسته بندی های پیش فرض (Metadata, Hash Files, Default Category) انتخاب و برای سیستم ها و یوزر های موردنظر، غیر فابل اجرا کنیم.حالت لیست سفید: (White List)این حالت امنیت بالاتر ولی پیاده سازی مشکل تری دارد. در این روش ابتدا باید نرم افزار های مورد نیاز سیستم ها را مشخص کنیم، آنها را تراست دهیم و سپس این حالت را اجرایی کنیم. شایان ذکر است که بعضی از اندپوینت های پیشرو، این قابلیت را در اختیار مدیر سیستم قرار می دهند تا این بخش را بصورت آزمایشی راه اندازی کرده و لیست نرم افزار هایی که بسته خواهند شد را بر اساس فاز شناخت مشخص کنند و یا اینکه دسته بندی های از پیش تعریف شده ای را جهت سهولت کار و عدم نیاز به تعریف تک به تک نرم افزار ها ارائه می کنند.مدیریت شبکه:آلودگی سیستم ها از طریق شبکه یکی دیگر از راههای متداول است. که جهت پیشگیری از آن می توان از فایروال اندپوینت ها استفاده کرد که این امکان را به ما می دهد تا بتوانیم ارتباطات شبکه ای سیستم ها را مدیریت کنیم. جهت اجرایی کردن این راهکار در ابتدا باید محدوده آدرس IP های داخلی شبکه و همچنین پورت های مورد نیاز سیستم ها را مشخص کرده سپس در فایروال اندپوینت، ارتباطات سیستم ها را به پورت ها و رنج های مشخص شده محدود و ارتباط با مابقی سیستم را مسدود کنیم. در این حالت رول های فایروال بصورت لیست سفید (White List) عمل خواهند کرد و تنها ارتباطات مشخص شده برقرار و از مورد سوء استفاده قرار گرفتن آسیب پذیری ها از طریق یک پروتکل و پورت خاص نیز مثل پورت 445 پیش گیری خواهد شد.با استفاده از فایروال اندپوینت ها می توان ارتباطات را بر اساس آدرس های IP، پروتکل ها، شماره پورت ها، کارت شبکه و حتی یک نرم افزار مشخص، مدیریت کرد.FCA Group SolutionsDevice Control (White Listing)Web Control (White Listing)Application Control (White Listing)Network Limitation (White Listing) امیر کردونی امیر کردونی Sun, 12 Jun 2022 01:03:16 +0430 https://virgool.io/Rocket/%D8%A2%DB%8C%D8%A7-%D8%B3%D8%A7%D8%B2%D9%85%D8%A7%D9%86-%D8%B4%D9%85%D8%A7-%D8%A8%D9%87-xdr-%D9%86%DB%8C%D8%A7%D8%B2-%D8%AF%D8%A7%D8%B1%D8%AF-gj4bjrbgbzu1 اخیراً به سازمانهای بزرگ، بسیار پیشنهاد می شود تا جهت محافظت از زیرساخت های فناوری اطلاعات خود، از راهکارهای XDR استفاده کنند. با این وجود همچنان بسیاری از افراد بصورت کامل درک نکرده اند که این راهکارها چه هستند و واقعا چه کاری انجام می دهند. در این مقاله ما به چند سوال پایه ای پاسخ، و کمک می کنیم تا با مزایای پیاده سازی راهکارهای XDR آشنا شوید.محافطت های سنتی چه مشکلاتی داشتند؟در گذشته ابتدا این Endpoint ها (Servers and Workstations) بودند که در مقابل تهدیدات سایبری محافظت می شدند امادرنهایت وقتی که پای مقابله با تهدیدات پیچیده امنیتی وسط آمد به یک گام اساسی تبدیل شدند. همچنین سازمان ها با بکارگیری محافظت اولیه از شبکه و یا ابزارهای محافظتی پیشرفته تلاش می کردند تا تنها یک مسیر حمله احتمالی را ببندند_برای مثال روی Endpoint از راهکارهای EDR و یا شبکه راهکارهای NTA و ... استفاده کردند_ درصورتیکه امروزه مجرمان سایبری بطور فزاینده ای راه و روش های مختلفی را بکار می گیرند و حملات خود را با استفاده از چندین نقطه ورودی به زیر ساخت، حرکت جانبی از طریق شبکه، انواع تاکتیک ها و تکنینک های حمله و همچنین مهندسی اجتماعی پیش می برند. همه این عوامل سطح حمله را گسترش و بررسی و پاسخگویی را نیز دشوارتر کرد. در نتیجه سازمان¬ها برای مبارزه با این نوع حملات سایبری، به یک ابزار جدید با رویکردی جامع¬تر نیاز پیدا کردند.راهکار XDR چیست؟نام XDR مخفف Extended Detection and Response است. " Extended" به این معنی است که تهدیدها نه تنها در سطح Endpoint (کامپیوترها، لپ تاپ ها و سرورها) بلکه فراتر از آن نیز شناسایی و اصلاح می-شوند. به عبارت دیگر، راه حل Endpoint Detection and Response (EDR) که وظیفه شناسایی و مقابله با تهدیدات در سطح Endpoint _ عنصر اصلی تکنولوژی XDR_ را بر عهده دارد، با ابزارهای امنیت اطلاعات مختلف، از همان شرکت ارائه دهنده Endpoint تکمیل می شود. علاوه بر این، این ابزارها با یکدیگر یکپارچه شده و سناریوهای بیشتری را اضافه میکنند تا روند مبارزه با تهدیدات پیچیده سایبری تقویت شوند.راهکار XDR شامل چه چیزی است؟نوع و تعداد ابزارهایی که به یک راه حل XDR متصل می شوند مستقیماً به تعداد ابزارهای موجود در سبد محصولات تولیدکننده و چگونگی یکپارچگی آنها با یکدیگر بستگی دارد. برای مثال این ابزارها می توانند محصولاتی که برای محافظت از ایمیل، وب، شبکه، زیرساخت ابری و غیره طراحی شده¬اند، باشند. XDR همچنین ممکن است با ابزارهای تشخیص هوشمند تهدیدات (threat intelligence) یکپارچه شود _ برای مثال Threat data feeds و پلتفرمی که این داده ها را مدیریت می کند (Threat intelligence platform) _ XDR همچنین ممکن است شامل پورتالی با قابلیت جستجوی جزئیات و وابستگی‌های تهدیدات سایبری باشد. این قابلیت به متخصص امنیت فناوری اطلاعات امکان می دهد تا هنگام بررسی رخدادهای سایبری، پراهمیت ترین ها را تشخیص دهد. به طور کلی، امروزه مفهوم XDR موضوی مدرن در اکوسیستم امنیت اطلاعات است.آیا اجرای XDR به این معنی است که تمام تلاش های امنیتی قبلی ما بیهوده بوده است؟لزوما خیر. دو نوع از راه حل های XDR در بازار وجود دارد: یکپارچه و هایبریدی. اگر در ابتدای راه پیاده سازی ابزارهای محافظت از شبکه و یا در حال افزایش مقیاس استفاده از محصولات مربوط به یک شرکت امنیتی هستید، راه حل های غیر هایبریدی یا یکپارچه انتخاب خوبی هستند. اما راه‌حل‌های هایبریدی یا ترکیبی امکان یکپارچه شدن با راهکارهای امنیت اطلاعات شرکت¬های Third-party را نیز فراهم می‌کنند، بنابراین در اینصورت هر هزینه ای که قبلاً صرف بالا بردن امنیت شده است، از دست نمی¬رود.آیا XDR ترفند بازاریابی دیگری است که توسط تحلیلگران ابداع شده است؟خیر، دقیقا برعکس، این مفهوم با تکامل محصولات امنیت اطلاعات و نیازهای بازار ظاهر شد. این روزها، مشتریان به بیش از یک مجموعه ی واحد از ابزارهای امنیت اطلاعات از یک شرکت امنیتی یکسان نیاز دارند. آنها انتظار مزایای دیگری از این یکسان¬سازی دارند - به عنوان مثال: اتوماتیک سازی فرآیندها، سناریوهای تعاملی بین محصولات مختلف، صرفه جویی در منابع و کاهش هزینه ها. یک راه حل XDR تمام این ویژگی ها را در بر می گیرد.ارزش XDR برای سازمان ها چیست؟اول، در میان کمبود جهانی کارشناسان امنیت اطلاعات، XDR حفاظتی جامع برای یک زیرساخت فناوری اطلاعات در حال توسعه و تغییر، در برابر تهدیدات سایبری که به سرعت در حال تکامل هستند، ارائه می‌کند.دوم، XDR کار منابع با ارزش و کمیاب مانند متخصصان امنیت فناوری اطلاعات را ساده می کند و آنها را در فرآیند کار با حوادث مشارکت می¬دهد.سوم، XDR میانگین زمان تشخیص و زمان پاسخ (MTTD و MTTR) را به حداقل می رساند که این مسئله برای مقابله با تهدیدات پیچیده و حملات هدفمند بسیار مهم است و شانس مهاجمان برای دستیابی به هدف خود و وارد کردن آسیب مالی یا اعتباری به یک سازمان را کاهش می‌دهد. بنابراین حتی اگر منابع تخصصی محدودی دارید، می توانید سازمان خود را در برابر حملات پیچیده سایبری محافظت کنید زیرا XDR قابلیت های زیر را ارائه می¬دهد:• افزایش خودکارسازی فرآیند ها• استفاده از تنها یک کنسول • یک محیط داده واحد• تعامل نزدیک میان ابزارهای امنیت فناوری اطلاعات به عنوان بخشی از XDR و سناریوهای مشترک.• تصویری منسجم از آنچه در زیرساخت اتفاق می افتد• وجود enrichment داخلی با قابلیت اطمینان، مربوط به داده تشخیص هوشمند تهدیدات.• اولویت بندی حوادث.• کاهش هشدارهایFalse positive .نتیجه گیری: در پایان پس از همه¬ی این تفاسیر، سوال این است که آیا راهکار های XDR در سازمان های کشور ما نیز قابل پیاده سازی است؟ آیا در کشور ما نیز نیاز به این چنین راهکارهایی امنیتی وجود دارد؟برای استفاده از این راهکارها در سازمان ها، فارغ از وجود بودجه کافی، تجهیزات سخت افزاری مناسب و تیم مرکز عملیات امنیت، باید لایه های مختلف امنیتی مثل SIEM, Mail Security, Vulnerability Management, Hardening,… پیاده سازی شده باشد و در واقع سازمان به بلوغ امنیتی لازم رسیده باشد تا بتواند از راهکارهای XDR بیشترین بهره را ببرد؛ در غیر اینصورت تنها یک سرویس به سرویس های قبلی اضافه شده و ناکارآمد خواهد بود.اما در ضرورت وجود این راهکارها در سازمانهای کشورمان باید گفت که بله. با توجه به اینکه کشور ما همواره، از گذشته تاکنون، در معرض تهدیدات و مخاطرات امنیتی مختلفی همچون حملات سایبری اخیر در جایگاه های سوخت، سازمان صدا و سیما و .... بوده است و خواهد بود، وجود این راهکارها درصورت وجود بلوغ امنیتی در سازمان بسیار ضروری و کاربردی است.منبع: سایت کسپرسکی امیر کردونی امیر کردونی Sun, 08 May 2022 01:09:16 +0430