https://virgool.io/feed/@pars-tadvin fa 2026-06-17 02:21:14 https://static.virgool.io/images/default-avatar.jpg https://virgool.io/@pars-tadvin https://virgool.io/@pars-tadvin/%D8%AD%D9%85%D9%84%D9%87-%D8%B1%D9%88%D8%B2-%D8%B5%D9%81%D8%B1-oqkkvyeiu7va روز صفر اصطلاح گسترده‌ای است که آسیب‌پذیری‌های امنیتی که  هکرها می‌توانند از آن‌ها برای حمله به سیستم‌ها استفاده کنند را توصیف می‌کند.  اصطلاح “روز صفر” به این واقعیت اشاره دارد که  هکرها زود از فروشنده یا توسعه‌دهنده  از نقص ایمنی مطلع شده اند و صفر روز  برای رفع آن زمان‌دارند. یک حمله روز صفر زمانی اتفاق می‌افتد که هکرها قبل از اینکه توسعه‌دهندگان فرصتی برای رفع نقص موجود پیدا کنند، از این سوء  نقص استفاده می‌کنند.حملات روز صفر چیست و چگونه صورت می‌گیردنرم‌افزار اغلب دارای آسیب‌پذیری‌های امنیتی است که هکرها می‌توانند از آن‌ها برای مقاصد خود  استفاده کنند. توسعه‌دهندگان نرم‌افزار همیشه در جستجوی  این‌گونه آسیب‌پذیری‌های نرم افزار خود هستند تا برای بهبود آن راه‌حلی را در به‌روزرسانی جدید خود منتشر کنند.بااین‌حال، گاهی اوقات هکرها یا عوامل مخرب این آسیب‌پذیری را قبل از توسعه‌دهندگان نرم‌افزار تشخیص می‌دهند. درحالی‌که این آسیب‌پذیری هنوز باز و ناشناس است، مهاجمان می‌توانند کدی را نوشته و پیاده‌سازی کنند تا از آن به نفع خود بهره‌برداری کنند. به این کد اکسپلویت گفته می‌شود.کد اکسپلویت می‌تواند از طریق سرقت هویت و یا سایر جرائم سایبری قربانیان خود را مورد تهدید قرار دهد. هنگامی‌که مهاجمان آسیب‌پذیری روز صفر را شناسایی کردند، به راهی برای دسترسی به دستگاه آسیب‌پذیر هدف نیاز دارند. آن‌ها اغلب این کار را از طریق یک ایمیل مهندسی‌شده اجتماعی انجام می‌دهند.به‌عنوان‌مثال، در قالب ارسال یک ایمیل یا شکل دیگری از پیام که ظاهراً از طرف یک فرد یا شخصیت حقوقی  شناخته‌شده است. در این شیوه محتوای پیام سعی می‌کند کاربر را متقاعد کند که اقدامی مانند باز کردن یک فایل یا بازدید از یک وب‌سایت مخرب را انجام دهد. با انجام این کار، بدافزار مهاجم دانلود شده و می‌تواند به فایل‌های کاربر نفوذ کرده و داده‌های محرمانه را بدزدد.آسیب پذیری روز صفر چگونه اصلاح می شودهنگامی‌که یک آسیب‌پذیری شناخته می‌شود، توسعه‌دهندگان سعی می‌کنند آن را اصلاح کنند تا حمله را متوقف کنند. بااین‌حال، آسیب‌پذیری‌های امنیتی اغلب بلافاصله کشف نمی‌شوند. گاهی اوقات ممکن است روزها، هفته‌ها یا حتی ماه‌ها طول بکشد تا توسعه‌دهندگان آسیب‌پذیری را که منجر به حمله شده است شناسایی کنند.حتی زمانی که یک وصله روز منتشر می‌شود، همه کاربران به‌سرعت آن را اجرا نمی‌کنند. در سال‌های اخیر، هکرها در بهره‌برداری از آسیب‌پذیری‌ها بلافاصله پس از کشف سرعت عمل بهتری داشته‌اند.هنگامی‌که یک اکسپلویت کشف و اصلاح شد، دیگر به‌عنوان تهدید روز صفر شناخته نمی‌شود.حملات روز صفر به این دلیل خطرناک هستند که تنها افرادی که از آن‌ها آگاهی دارند خود مهاجمان هستند. وقتی مجرمان به شبکه نفوذ کردند می‌توانند بلافاصله حمله را آغاز نموده و یا منتظر بهترین زمان برای انجام کار باشند.آسیب‌پذیری روز صفر  zero-day vulnerabilityآسیب‌پذیری روز صفر به خلأ در نرم‌افزار گفته می‌شود که تولیدکننده و توسعه‌دهنده نرم‌افزار از آن اطلاعی نداشته و ابتدا توسط هکرها شناسایی می‌شود. ازآنجایی‌که د ر بدو امر توسعه‌دهندگان از این آسیب‌پذیری مطلع نیستند. هیچ وصله‌ای برای آسیب‌پذیری‌های روز صفر وجود ندارد. به همین علت احتمال موفقیت این حملات بسیار زیاد است.سوءاستفاده روز صفر  zero-day exploitروشی که هکرها برای حمله به سیستم‌هایی با آسیب‌پذیری شناخته‌نشده استفاده می‌کنند.حمله روز صفر zero-day attackزمانی که هکرها با استفاده از یک اکسپلویت روز صفر برای حمله استفاده می‌کنند یک حمله روز صفر اتفاق افتاده است.اهداف برای بهره‌برداری‌های روز صفر چه هستند؟حمله روز صفر از طریقه‌های مختلفی صورت می‌گیرد، مانند:سیستم‌های عاملمرورگرهای وببرنامه‌های کاربردی آفیساجزای منبع بازسخت‌افزار و سیستم‌عاملاینترنت اشیا (IoT)قربانیان حملات می‌توانند شامل گروه‌های مختلفی باشند:افرادی که از یک سیستم آسیب‌پذیر مانند مرورگر یا سیستم‌عامل استفاده می‌کنند، هکرها می‌توانند از آسیب‌پذیری‌های امنیتی برای رسیدن به اهداف خود استفاده کنند.افرادی که دارایی‌ها تجاری ارزشمند در اختیاردارند.سخت‌افزار و سیستم‌عامل‌های متصل به  اینترنت اشیاشرکت‌ها و سازمان‌های بزرگسازمان‌های دولتیاهداف سیاسی و/یا تهدیدات امنیت ملیحملات هدفمند و غیر هدفمند روز صفرحملات هدفمند روز صفر علیه اهداف بالقوه ارزشمند – مانند سازمان‌های بزرگ، سازمان‌های دولتی، یا افراد با مشخصات بالا، انجام می‌شوند.حملات غیر هدفمند روز صفر معمولاً علیه کاربران سامانه‌های آسیب‌پذیر مانند سیستم‌عامل یا مرورگر انجام می‌شود.حتی زمانی که مهاجمان افراد خاصی را هدف قرار نمی‌دهند، تعداد زیادی از افراد همچنان می‌توانند تحت تأثیر حملات روز صفر قرار بگیرند، معمولاً به‌عنوان آسیب جانبی. هدف حملات غیر هدف جذب هر چه بیشتر کاربران است. مجرمان با افزایش تعداد و دامنه افراد درگیر حملات داده‌های ارزشمندتری را به دست بیاورند.نحوه پیشگیری از حملات روز صفربه‌روز نگه‌داشتن همه نرم‌افزارها و دستگاه‌های فعالتأمین‌کنندگان نرم‌افزار مرتباً در حال به‌روزرسانی چالش‌های امنیتی نرم‌افزار خود در قالب ایجاد وصله‌های جدید هستند، استفاده از آخرین به‌روزرسانی منتشرشده توسط شرکت سازنده ایمنی شمارا در مقابل حملات بیشتر می‌کند.فقط از نرم‌افزارهای ضروری استفاده کنیدبه دلیل اینکه حملات روز صفر از طریق آسیب‌پذیری‌های درون نرم‌افزاری صورت می‌گیرند هر چه تعداد نرم‌افزارهای نصب‌شده روی دستگاه‌ها بیشتر باشد ریسک درگیر شدن در این حملات نیز افزایش پیدا می‌کنداستفاده از فایروالفایروال نقش بسیار مهم و پررنگی در محافظت از رایانه‌ها و سایر دستگاه‌های آسیب‌پذیر به‌واسطه محدود کردن تعاملات میان نرم‌افزارها در مقابل تهدیدات روز صفر بازی می‌کندآموزش کارکنان و کاربران را در اولویت قرار دهیداگرچه به‌ظاهر کاربران در مقابل این‌گونه تهدیدات نقش پررنگی ندارند و آسیب‌پذیری از درون نرم‌افزار نشاءت می‌گیرد  همان‌طور که پیش‌تر نیز توضیح داده شد راه ورد هکر به درون شبکه و نصب بدافزار از طریق کاربران ایجاد می‌شود  بنابراین برگزاری دوره‌های کاربردی آموزشی امنیت سایبری برای کاربران و کارکنان سازمان‌ها بسیار ضروری است.نحوه شناسایی حملات روز صفرازآنجاکه حملات روز صفر اشکال مختلف و متفاوتی دارند اطلاعات دقیق درباره اکسپلویت ها تنها پس از شناسایی در دسترس است، اما روش‌هایی وجود دارند که بتوان این نوع حملات رو مورد شناسایی قرارداد. ترافیک غیرمنتظره از برخی منابع و یا رفتار مشکوک یک کاربر می‌تواند ما را در جهت شناسایی حملات روز صفر هدایت کند.استفاده از پایگاه داده‌های موجود بدافزار و نحوه رفتار آن‌ها به‌عنوان مرجع، این پایگاه‌های داده از تجربیات حملات پیشین به‌روزرسانی می‌شوند تا به سایر کاربران اطلاع‌رسانی نمایند. اما ازآنجاکه ماهیت حملات روز صفر در نو بودن و بهره‌برداری از آسیب‌پذیری‌های تازه است باعث محدودیت عملکرد در این‌گونه پایگاه اطلاعاتی می‌شود.در روش دیگر، برخی از تکنیک‌ها به دنبال ویژگی‌های بدافزار روز صفر بر اساس نحوه تعامل آن‌ها با سیستم هدف هستند. این تکنیک به‌جای بررسی کد فایل‌های دریافتی، به تعاملات آن‌ها با نرم‌افزارهای موجود نگاه می‌کند و سعی می‌کند تعیین کند که آیا آن‌ها ناشی از اقدامات مخرب هستند یا خیر.یادگیری ماشینی  Machine Learning به‌طور فزاینده‌ای، از طریق شناسایی رفتار داده‌های اکسپلویت قبلی و تعاملات سیستم و بررسی تطبیقی لحظه‌ای تعاملات درصدد است که هر نوع تغییر رفتاری را در اسرع وقت شناسایی نماید پارس تدوین پارس تدوین Sun, 24 Apr 2022 10:22:34 +0430 https://virgool.io/@pars-tadvin/%D8%A7%D9%86%D9%88%D8%A7%D8%B9-%D8%A8%D8%A7%D8%AC-%D8%A7%D9%81%D8%B2%D8%A7%D8%B1-%D9%88-%D8%A8%D8%A7%D8%AC-%D8%A7%D9%81%D8%B2%D8%A7%D8%B1%D9%87%D8%A7%DB%8C-%D9%85%D8%B9%D8%B1%D9%88%D9%81-ixfwrnxcglcw انواع باج افزارها ازنظر عملکردباج افزارهای رمزنگاری یا رمزگذارها encryptorsیکی از شناخته‌شده‌ترین و مخرب‌ترین انواع هستند. این نوع فایل‌ها و داده‌های درون یک سیستم را رمزگذاری می‌کند و محتوا را بدون کلید رمزگشایی غیرقابل دسترسی می‌کند.باج افزارهای قفل کننده Lockers به‌طور کامل دسترسی شما را به سیستم خودتان قفل می‌کنند، بنابراین فایل‌ها و برنامه‌های شما غیرقابل دسترسی هستند. یک صفحه قفل تقاضای باج را نشان می‌دهد، احتمالاً با یک ساعت شمارش معکوس برای افزایش فوریت و وادار کردن قربانیان به اقدام و واکنش سریع به خواسته باج گیر.هراس افزارها Scarewareنرم‌افزار جعلی است که ادعا می‌کند ویروس یا مشکل دیگری را در رایانه شما شناسایی کرده است و به شما دستور می‌دهد برای رفع مشکل پول پرداخت کنید. برخی از انواع نرم‌افزارهای ترسناک کامپیوتر را قفل می‌کنند، درحالی‌که برخی دیگر به‌سادگی صفحه را با هشدارهای پاپ آپ بدون آسیب رساندن به فایل‌ها پر می‌کنند.نشت افزارها Doxwareتهدید می‌کند که اطلاعات حساس شخصی یا شرکتی را به‌صورت آنلاین توزیع می‌کند و بسیاری از مردم وحشت می‌کنند و باج می‌پردازند تا از افتادن داده‌های خصوصی به دست افراد نادرست یا ورود به دامنه عمومی جلوگیری کنند. یکی از انواع باج‌افزار با مضمون پلیس است که ادعا می‌کند مجری قانون است و هشدار می‌دهد که فعالیت آنلاین غیرقانونی شناسایی‌شده است، اما می‌توان با پرداخت جریمه از زندان جلوگیری کرد.باج‌افزار به‌عنوان سرویس RaaS به بدافزاری اطلاق می‌شود که به‌طور ناشناس توسط یک هکر حرفه‌ای میزبانی می‌شود که تمام جنبه‌های حمله، از توزیع باج‌افزار گرفته تا جمع‌آوری پرداخت‌ها و بازگرداندن دسترسی، درازای پول را مدیریت می‌کند.باج افزارهای معروفده ها نوع باج‌افزار وجود دارد که هرکدام ویژگی‌های منحصربه‌فرد خود رادارند. بااین‌حال، برخی از گروه‌های باج‌افزار پرکارتر و موفق‌تر از سایرین بوده‌اند و باعث می‌شوند که آن‌ها را از بقیه متمایز کنند.باج‌افزار ریوک RyukیکRyuk نمونه‌ای از نوع باج‌افزار بسیار هدفمند است. معمولاً از طریق ایمیل‌های یا با استفاده از اعتبار کاربری برای ورود به سیستم‌های سازمانی با استفاده از پروتکل دسکتاپ از راه دور (RDP) ارائه می‌شود. هنگامی‌که یک سیستم آلوده می‌شود، Ryuk انواع خاصی از فایل‌ها را رمزگذاری می‌کند، سپس درخواست باج ارائه می‌کند.باج‌افزار Ryuk به‌عنوان یکی از گران‌ترین انواع باج‌افزار موجود شناخته‌شده است. Ryuk باج‌هایی با میانگین بیش از ۱ میلیون دلار طلب می‌کند. درنتیجه، مجرمان سایبری پشت Ryuk در درجه اول بر شرکت‌هایی تمرکز می‌کنند که منابع لازم برای برآورده کردن خواسته‌های خود رادارند.باج‌افزار ماز Mazeدلیل شهرت باج‌افزار Maze این است که اولین نوع باج افزاری است که رمزگذاری فایل و سرقت داده را ترکیب می‌کند. هنگامی‌که اهداف شروع به امتناع از پرداخت باج کردند، Maze شروع به جمع‌آوری داده‌های حساس از رایانه‌های قربانیان قبل از رمزگذاری آن‌ها کرد. اگر درخواست‌های باج برآورده نمی‌شد، این داده‌ها در معرض دید عموم قرار می‌گرفت یا به بالاترین پیشنهاد فروخته می‌شد. پتانسیل نقض داده‌های گران‌قیمت به‌عنوان انگیزه اضافی برای پرداخت در این باج باز افزار برای اولین بار استفاده شد. تیم پشت باج‌افزار Maze رسماً به فعالیت خود پایان داد. بااین‌حال، این بدان معنا نیست که تهدید باج‌افزار کاهش‌یافته است. برخی از زیرمجموعه‌های Maze به استفاده از باج‌افزار Egregor روی آورده‌اند و اعتقاد بر این است که گونه‌های Egregor، Maze و Sekhmet منبع مشترکی دارند.باج‌افزار رویل REvil (Sodinokibi)گروه REvil (همچنین به‌عنوان Sodinokibi شناخته می‌شود) نوع دیگری از باج‌افزار است که سازمان‌های بزرگ را هدف قرار می‌دهد.REvil یکی از شناخته‌شده‌ترین خانواده‌های باج‌افزار تحت شبکه است. گروه باج‌افزار که از سال ۲۰۱۹ توسط گروه روسی‌زبان REvil اداره می‌شود، مسئول بسیاری از رخنه‌های بزرگ بوده است. این باج‌افزار در چندین سال گذشته برای عنوان گران‌ترین نوع باج‌افزار با Ryuk رقابت کرده است.درحالی‌که باج‌افزار REvil به‌عنوان یک باج‌افزار سنتی شروع به فعالیت نمود، اما در طول زمان تکامل‌یافته است.باج‌افزار رویل از تکنیک Double Extortion برای سرقت داده‌ها از مشاغل و درعین‌حال رمزگذاری پرونده‌ها استفاده می‌کند. این بدان معناست که علاوه بر درخواست باج برای رمزگشایی داده‌ها، مهاجمان ممکن است تهدید کنند که در صورت عدم پرداخت دوم، داده‌های دزدیده‌شده را منتشر خواهند کرد.باج‌افزار DearCryدر مارس ۲۰۲۱، مایکروسافت وصله‌هایی را برای چهار آسیب‌پذیری در سرورهای Microsoft Exchange منتشر کرد. DearCry یک نوع باج‌افزار جدید است که برای استفاده از چهار آسیب‌پذیری اخیراً فاش شده در Microsoft Exchange طراحی‌شده است. این باج‌افزار انواع خاصی از فایل‌ها را رمزگذاری می‌کند. پس از پایان رمزگذاری، DearCry یک پیام باج به کاربران نشان می‌دهد که به اپراتورهای باج‌افزار ایمیلی ارسال کنند تا نحوه رمزگشایی فایل‌های خود را بیاموزند. پارس تدوین پارس تدوین Sun, 24 Apr 2022 10:20:29 +0430 https://virgool.io/@pars-tadvin/%D9%81%D8%A7%DB%8C%D8%B1%D9%88%D8%A7%D9%84-dcitotjtzadc فایروال چیستفایروال یک دستگاه امنیتی شبکه است که ترافیک ورودی و خروجی شبکه را کنترل می‌کند و بسته‌های داده را بر اساس مجموعه‌ای از قوانین امنیتی مجاز اعلام نموده و عبور می‌دهد یا مسدود می‌کند. هدف فایروال ایجاد مانعی بین شبکه داخلی شما و ترافیک ورودی از منابع خارجی (مانند اینترنت) به‌منظور جلوگیری از ترافیک مخرب مانند ویروس‌ها و هکرها است.فایروال چه وظیفه‌ای داردفایروال بخشی ضروری از هر معماری امنیتی است و حدس و گمان‌ها را از حفاظت‌های سطح میزبان Host خارج می‌کند و آن‌ها را به دستگاه امنیتی درون شبکه شما می‌سپارد. به‌خصوص فایروال‌های نسل جدید، بر روی مسدود کردن حملات بدافزار و سطح کاربری نرم‌افزارها فعالیت می‌کنند، با کمک یک سیستم یکپارچه پیشگیری از نفوذ (IPS)، این فایروال‌های نسل جدید قادرند به‌سرعت و یکپارچه برای شناسایی و واکنش به حملات خارجی در کل شبکه واکنش نشان دهند. آن‌ها می‌توانند خط‌مشی‌هایی را برای دفاع بهتر از شبکه شما تنظیم کنند و ارزیابی‌های سریعی را برای شناسایی فعالیت‌های تهاجمی یا مشکوک مانند بدافزارها انجام دهند و آن را در مراحل ابتدایی از مدار خارج کنند (خاموش کنند).فایروال سخت‌افزاری چیستفایروال سخت‌افزاری یک دستگاه فیزیکی است که کامپیوتر یا شبکه را به اینترنت متصل می‌کند و از تکنیک‌های پیشرفته خاصی برای محافظت از آن در برابر دسترسی غیرمجاز استفاده می‌کند. روترهای سیمی، دروازه‌های باند پهن و روترهای بی‌سیم همگی فایروال‌های سخت‌افزاری را در خود جای‌داده‌اند که از هر رایانه در یک شبکه محافظت می‌کنند. فایروال‌های سخت‌افزاری را می‌توان با تکنیک‌هایی که برای محافظت از شبکه‌ای از رایانه‌ها استفاده می‌کنند، متمایز کرد که انواع آن در این مقاله موردبررسی قرارگرفته‌اند.انواع فایروالفایروال‌ها می‌توانند نرم‌افزاری یا سخت‌افزاری باشند، اگرچه استفاده هم‌زمان فایروال سخت‌افزاری و نرم‌افزاری مناسب‌تر است. فایروال نرم‌افزاری برنامه‌ای است که روی هر کامپیوتر نصب می‌شود و ترافیک را از طریق شماره پورت‌ها و برنامه‌ها تنظیم می‌کند، درحالی‌که فایروال فیزیکی قطعه‌ای از تجهیزات نصب‌شده بین شبکه درون‌سازمانی و محیط بیرون است.فایروال‌های Packet-filtering firewallsاین PFF ها رایج‌ترین نوع فایروال هستند، یک مجموعه (پکیج) از پروتکل‌ها و دستورات را بررسی می‌کنند و در صورت عدم مطابقت با مجموعه قوانین امنیتی تعیین‌شده، مانع عبور آن‌ها می‌شوند. این نوع فایروال آدرس IP مبدأ و مقصد را بررسی می‌کند. اگر بسته‌ها با قوانین “مجاز” در فایروال مطابقت داشته باشند، آنگاه به آن اعتماد می‌شود که وارد شبکه شود. در غیر این صورت از ورود ممانعت به عمل خواهد آمد.همهPFF ها، تمام بسته‌های داده‌ای را که به سیستم می‌روند و از آن خارج می‌شوند، بررسی می‌کند. این داده‌ها را بر اساس مجموعه‌ای از قوانین که توسط مدیر شبکه تعریف‌شده است، ارسال می‌کند. این فایروال سخت‌افزاری هدر بسته را بررسی می‌کند و بسته‌ها را بر اساس آدرس منبع، مقصد و اطلاعات پورت فیلتر می‌کند. اگر بسته با قوانین مطابقت نداشته باشد، یا اگر با معیارهای مسدود شده مطابقت داشته باشد، اجازه ارسال به رایانه یا شبکه را ندارد.فایروال‌های Packet-filtering به دودسته stateful و stateless تقسیم می‌شوند. گروه اول stateless، پکیج‌ها را مستقل از یکدیگر بررسی می‌کنند و فاقد توانایی بررسی زمینه هستند، و آن‌ها را به اهداف آسانی برای هکرها تبدیل می‌کند. در مقابل، فایروال‌های نوع دوم اطلاعات مربوط به بسته‌های ارسال‌شده قبلی را به خاطر می‌آورند و بسیار امن‌تر در نظر گرفته می‌شوند.درحالی‌که فایروال‌های فیلتر بسته می‌توانند مؤثر باشند، اما درنهایت محافظت بسیار ابتدایی را ارائه می‌کنند و بسیار محدود عمل می‌کنند برای مثال، نمی‌توانند تعیین کنند که آیا محتوای درخواستی که ارسال می‌شود تأثیر نامطلوبی بر برنامه‌ای که به آن می‌رسد یا خیر. زیرا این نوع فایروال صرفاً منبع را بررسی می‌کنند و درصورتی‌که فایل مخرب یا آلوده‌ای از منبع قابل‌اعتمادی ارسال شود سدی بر سر راه آن نخواهند بود.فایروال‌های نسل جدید Next-generation firewalls (NGFW)این نوع از فایروال ترکیبی از فایروال‌های متداول و افزونه‌های بسیار کاربردی هستند. مانند بازرسی ترافیک رمزگذاری شده، سامانه‌های جلوگیری از نفوذ، ضدویروس‌ها و…مهم‌ترین نکته در مورد این نوع فایروال‌ها این است که توانایی بررسی عمیق را دارا هستند به این معنی که فایروال‌های اولیه صرفاً سرفصل‌ها را موردبررسی قرار می‌دهند درحالی‌که بررسی عمیق به کاربران توانایی بررسی طبقه‌بندی و توقف پکیج‌ها با داده‌های مشکوک هستند.نوع دیگری از NGFW متمرکز بر تهدید نیز وجود دارد این فایروال‌ها تمام قابلیت‌های یک NGFW سنتی را در برمی‌گیرند و همچنین تشخیص و اصلاح تهدیدات پیشرفته را ارائه می‌دهند. با یک NGFW متمرکز بر تهدید می‌توانید:با آگاهی کامل، بدانید کدام دارایی‌ها یا بخش‌ها بیشتر در معرض خطر هستندبا خودکارسازی امنیتی هوشمند که خط‌مشی‌ها را تنظیم می‌کند و دفاع شمارا به‌صورت پویا قوی‌تر می‌کند، به‌سرعت به حملات واکنش نشان دهید.با همبستگی رویداد شبکه و نقطه پایانی endpoint، فعالیت فرار یا مشکوک را بهتر شناسایی کنیدزمان تشخیص تا پاک‌سازی را با امنیت گذشته‌نگر که به‌طور مداوم فعالیت و رفتار مشکوک را حتی پس از بازرسی اولیه نظارت می‌کند، بسیار کاهش می‌دهد.تسهیل مدیریت و کاهش پیچیدگی با خط‌مشی‌های یکپارچه که از کل زنجیره حمله محافظت می‌کندفایروال‌های پروکسی Proxy firewallsفایروال‌های پروکسی ترافیک شبکه را در سطح برنامه فیلتر می‌کنند. برخلاف فایروال‌های اصلی، پروکسی به‌عنوان یک واسطه بین دو کاربر endpoint عمل می‌کند. کلاینت باید درخواستی را به فایروال ارسال کند، جایی که بر اساس مجموعه‌ای از قوانین امنیتی ارزیابی می‌شود و سپس مجاز یا مسدود می‌شود. مهم‌تر از همه، فایروال‌های پراکسی، ترافیک پروتکل‌های لایه ۷ مانند HTTP و FTP را کنترل می‌کنند و از بازرسی بسته‌های وضعیتی و عمیق برای شناسایی ترافیک مخرب بهره می‌برند.فایروال Network address translation (NAT)فایروال‌های (NAT) به چندین دستگاه با آدرس‌های شبکه مستقل اجازه می‌دهند با استفاده از یک آدرس IP واحد به اینترنت متصل شوند و به این شیوه آدرس‌های IP فردی را مخفی نگه‌دارند. درنتیجه، مهاجمانی که شبکه را برای آدرس‌های IP اسکن می‌کنند، نمی‌توانند جزئیات خاصی از کاربران را دریافت کنند به همین دلیل امنیت بیشتری در برابر حملات فراهم می‌کنند. فایروال‌های NAT شبیه فایروال‌های پراکسی هستند که به‌عنوان واسطه بین گروهی از رایانه‌ها و ترافیک بیرونی عمل می‌کنند.فایروال Stateful multilayer inspection (SMLI)فایروال بازرسی وضعیتی فراتر از فیلتر کردن بسته‌ها است تا اطلاعات مربوط به وضعیت اتصالات شبکه را ردیابی کند تا مشخص کند که کدام بسته‌های داده می‌توانند از آن عبور کنند. همچنین به‌عنوان فیلتر پویا بسته یا بازرسی بسته حالتی (SPI) شناخته می‌شود. این فایروال سخت‌افزاری از جایی که بسته از کجا آمده است، نظارت می‌کند تا بفهمد با آنچه باید کرد. بررسی می‌کند که آیا داده‌ها در پاسخ به درخواست اطلاعات بیشتر ارسال‌شده‌اند یا اینکه به‌سادگی ظاهرشده‌اند. بسته‌هایی که با وضعیت اتصال شناخته‌شده مطابقت ندارند رد می‌شوندپکیج‌ها را در لایه‌های شبکه، انتقال و برنامه فیلتر می‌کند و آن‌ها را با پکیج‌های مطمئن شناخته‌شده مقایسه کنید. مانند فایروال‌های NGFW، SMLI کل پکیج را بررسی می‌کند و تنها در صورتی به آن‌ها اجازه عبور می‌دهد که مستقلاً از هر لایه امنیتی عبور کنند. این فایروال‌ها بسته‌ها را برای تعیین وضعیت ارتباط (درنتیجه نام) بررسی می‌کنند تا اطمینان حاصل شود که تمام ارتباطات آغازشده فقط با منابع قابل‌اعتماد انجام می‌شود.کاربرد فایروال‌ها چیستفایروال‌ها هم در سازمان‌ها و شرکت‌ها هم برای کاربران خانگی استفاده می‌شوند. سازمان‌های مدرن آن‌ها را به همراه سایر دستگاه‌های امنیت سایبری در استراتژی مدیریت رویداد و اطلاعات امنیتی (SIEM) ادغام می‌کنند. فایروال‌ها ممکن است در محیط شبکه یک سازمان برای محافظت در برابر تهدیدات خارجی یا در داخل شبکه برای ایجاد بخش‌بندی و محافظت در برابر تهدیدات داخلی نصب شوند.فایروال‌ها علاوه بر دفاع فوری از تهدید، عملکردهای مهم ثبت و گزارش‌گیری را نیز انجام می‌دهند. آن‌ها سابقه‌ای از رویدادها را نگه می‌دارند که می‌تواند توسط مدیران برای شناسایی الگوها و بهبود مجموعه قوانین استفاده شود. مقررات امنیتی باید به‌طور منظم به‌روز شوند تا با تهدیدات امنیت سایبری، که همیشه در حال تحول هستند، همگام شوند. تولیدکنندگان فایروال تهدیدهای جدید را کشف می‌کنند و وصله‌هایی ایجاد می‌کنند تا در اسرع وقت آن‌ها را پوشش دهند.در یک شبکه خانگی، یک فایروال می‌تواند ترافیک را فیلتر کرده و کاربر را از نفوذ آگاه کند. آن‌ها به‌ویژه برای اتصالات همیشه روشن، مانند خط مشترک دیجیتال (DSL) یا مودم کابلی مفید هستند، زیرا این نوع اتصالات از آدرس‌های IP ثابت استفاده می‌کنند. آن‌ها اغلب در کنار برنامه‌های آنتی‌ویروس استفاده می‌شوند. فایروال‌های شخصی، معمولاً یک محصول واحد هستند برخلاف فایروال‌های شرکتی، که مجموعه‌ای از محصولات مختلف را به جهت کسب امینت بیشتر با یکدیگر ادغام و یکپارچه‌سازی می‌کنند. آن‌ها ممکن است نرم‌افزار یا دستگاهی با سیستم‌عامل فایروال تعبیه‌شده باشند.قیمت فایروالهزینه ای که برای فایروال در نظر میگیرید به مسائل متفاوتی بستگی دارد اما از مهم ترین این موارد می توان گفت تعداد کاربران و سطح ارتباط با محیط بیرون از سازمان و سطح اهمیت امنیت اطلاعات و سازمان و میزان تعامل با محیط خارجی سازمان اشاره نمود.به همین دلیل برای محاسبه میزان هزینه کرد ضرورت دارد تمام فاکتورهای لازم مورد ارزیابی قرار بگیرند لذا جهت ارتباط با کارشناسان پارس تدوین با ما در اتباط باشید.بهترین فایروال سخت افزاریبه جرات میتوان سوفوس را به عنوان بهترین فایروال سخت افزاری جهان دانست این محصول توانسته جوایز متعددی را به عنوان بهترین محصول فناورانه سال از آن خود نماید.در سال ۲۰۲۱ سوسفوس جایزه بهترین محصول سازمانی سال را از نشریه معتبر PC PRO از آن خود نمود. پس بی دلیل نیست  این محصول را به عنوان بهترین فایر وال سخت افزاری بشناسیمافزون بر این در مورد نقدهایی که در مورد محصولات مختلف نوشته می شود سوفوس موفق به دریافت بالاترین امتیازات شده است. طبق گزارشی که توسط IT Pro منتشر شده است محصول امنیتی سوفوس مورد از بعد ویژگی های فنی مورد تجزیه تحلیل قرار گرفته است. در این گزارش ویژگی فنی محصول مورد تایید قرار گرفته است. پیشنهاد می شود در این خصوص مقاله کامل ارزیابی سوفوس  XG 230  به نام  قدرتمند و منعطف XG 230 Rev.2 Sophos را مطالعه نمایید. پارس تدوین پارس تدوین Sun, 24 Apr 2022 10:18:27 +0430 https://virgool.io/@pars-tadvin/%D8%AA%D8%A7%DA%A9%D8%AA%DB%8C%DA%A9-%D8%AC%D8%AF%DB%8C%D8%AF-%D9%85%D8%AC%D8%B1%D9%85%DB%8C%D9%86-%D8%B3%D8%A7%DB%8C%D8%A8%D8%B1%DB%8C-%D8%AF%D8%B1-%D8%AD%D9%85%D9%84%D9%87-%D8%A8%D9%87-%D8%B3%D8%A7%D8%B2%D9%85%D8%A7%D9%86-%D9%87%D8%A7%DB%8C-%D8%B5%D9%86%D8%B9%D8%AA%DB%8C-hk1vps9j61uz متخصصین کسپرسکی از زنجیره‌ای از کمپین‌های بدافزارهای جاسوسی رو به رشد به بیش از ۲۰۰۰ شرکت صنعتی در جهان پرده‌برداری کردند. برخلاف رویه معمول بدافزارهای جاسوسی این حملات به دلیل کوتاهی طول عمر و محدودیت تعداد اهداف در هر حمله برجسته می‌شوند. در تحقیقات مشخص‌شده اطلاعت سرقت رفته در این حملات در بازارهای اینترنتی به فروش می‌رسند.در نیمه اول سال ۲۰۲۱، کارشناسان کسپرسکی متوجه یک تغییر ناهنجار در آمار تهدیدات جاسوس‌افزار مسدود شده در رایانه‌های صنعتی شدند.اگرچه بدافزار مورداستفاده در این حمله متعلق به خانواده سرشناس بدافزارهای جاسوسی Agent Tesla/Origin Logger, HawkEye  و.. می‌باشند اما این حملات را می‌توان با تعداد بسیار محدود اهداف و طول عمر کوتاه حمله از سایر حملات مجزا نمود در بررسی ۵۸۵۸۶ مورد از حملات صورت گرفته روی کامپیوترهای شرکت‌های صنعتی در نیمه اول ۲۰۲۱ مشخص‌شده که حدود ۲۱٫۲ درصد حملات از این نوع بوده‌اند.وجه تمایز حملات جدید سایبری به صنایعچرخه عمر این حملات محدود به ۲۵ روز می‌شده است که در مقایسه با سایر حملات بدافزارهای جاسوسی به‌مراتب کوتاه‌تر است.اگرچه هر یک از این نمونه‌های نرم‌افزار جاسوسی «غیرعادی» عمر کوتاهی دارند و به‌طور گسترده توزیع نشده‌اند، اما سهم نامتناسب زیادی از همه حملات جاسوس‌افزار را به خود اختصاص می‌دهند. به‌عنوان‌مثال در قاره آسیا به ازای هر شش حمله یک حمله از نوع حمله جدید بوده است.قابل‌ذکر است بیشتر این حملات از یک بنگاه صنعتی به بنگاه صنعتی دیگر به‌وسیله ایمیل‌های فیشینگ خوش ساختی منتشر می‌شوند.پس از نفوذ به سیستم قربانی مهاجم از آن به‌عنوان سرور اتاق فرمان حمله بعدی استفاده می‌کند با دستیابی به لیست پست الکترونیک قربانی مهاجم با سو استفاده از ایمیل شرکت بدافزار خود را به شرکت‌های دیگر منتقل می‌کند.بر مبنای نظر متخصصان کسپرسکی بیش از ۲۰۰۰ شرکت صنعتی دچار آلودگی و انتقال بدافزارهای جاسوسی به سایر شرکت‌های همکار شده‌اند تخمین زده می‌شود بالغ‌بر ۷۰۰۰ حساب کاربری درنتیجه این حملات دزدیده و یا مورد سو استفاده قرارگرفته است.سرانجام اطلاعات مسروقه صنعتی؟عاقبت اطلاعات صنعتی سرقتی به چند بازار سیاه ختم می‌شود، کارشناسان کسپرسکی موفق به شناسایی ۲۵ بازار سیاه مختلف که در آن‌ها اعتبارات حساب‌های صنعتی سرقتی به فروش می‌رود، شده‌اند. تقاضای زیادی در این بازارها برای دسترسی‌های کنترل از راه دور این حساب‌ها وجود دارد. نتایج بررسی‌های کارشناسان کسپرسکی نشان می‌دهد، بیش از ۴۶ درصد تقاضای حساب‌های کنترل از راه دور مربوط به شرکت‌های آمریکایی می‌باشد.یک بازار رو به رشد دیگر در مورد باج افزارها مربوط می‌شود به ارائه نرم‌افزار جاسوسی به‌عنوان یک خدمت از زمانی که کد منبع چند بدافزار معروف جاسوسی به‌صورت عمومی منتشر شد بسیار در بازار سیاه آنلاین در دسترس قرار گرفتند. اما نه به‌عنوان یک محصول بلکه به‌عنوان یک خدمت به‌صورت کاملاً تعریف و بهینه‌شده برای ساخت باج افزار جدید.از سال ۲۰۲۱ مجرمان سایبری به‌طور مضاعف از بدافزارهای جاسوسی برای حمله به کامپیوترهای صنعتی استفاده می‌کنند. همین امر باعث شده ما امروزه شاهد یک رشد سریع در تهدیدات سایبری در بخش‌های صنعتی باشیم. برای پیشگیری از شناسایی، مجرمان تکنیک‌هایی مثل کاهش وسعت و ابعاد حمله و محدودیت استفاده از یک بدافزار با تغییر سریع به نوع دیگری را به کار می‌برند.تکنیک دیگر استفاده گسترده از زیرساخت ایمیل قربانی برای گسترش و انتشار گسترده بدافزار است که در سال اخیر شاهد آن بوده‌ایم و توجه همه را به آنچه رخ‌داده جلب می‌کنیم. چراکه مجرمین با بهره‌برداری از ایمیل قربانی کمتر نیازی به مهندسی اجتماعی به شیوه متداول دارند.منبع پارس تدوین پارس تدوین پارس تدوین Sun, 24 Apr 2022 10:15:43 +0430 https://virgool.io/@pars-tadvin/%D8%A8%D8%A7%D8%AC-%D8%A7%D9%81%D8%B2%D8%A7%D8%B1-%DA%86%DB%8C%D8%B3%D8%AA-lkaelceomzun اخبار باج‌افزار و حملات مربوط به آن‌ها در سال جاری بسیار در اخبار شنیده‌شده‌اند. ممکن است داستان‌هایی از حملات به شرکت‌ها، سازمان‌ها یا سازمان‌های دولتی بزرگ شنیده باشید، یا شاید شما به‌عنوان یک فرد یک حمله باج‌افزار را به دستگاه خود تجربه کرده باشید. این یک مشکل مهم و یک چشم‌انداز ترسناک از آینده حملات سایبری است که ممکن است تمام پرونده‌ها و داده‌های شما گروگان گرفته شود تا زمانی که خواسته فرد متخاصم را اجابت نمایید. اگر می‌خواهید درباره این تهدید بیشتر بدانید، ادامه مطلب را بخوانید تا در مورد اشکال مختلف باج‌افزار، نحوه دریافت آن، از کجا آمده است، چه کسی را هدف قرار می‌دهد و درنهایت، چه‌کارهایی می‌توانید برای محافظت در برابر آن انجام دهید، بخوانید.باج افزار چیست؟باج‌افزار، نوعی بدافزار است که کاربران را از دسترسی به سیستم یا فایل‌های شخصی خود بازمی‌دارد و برای دسترسی مجدد درخواست باج می‌کند. درحالی‌که برخی از مردم ممکن است فکر کنند “ویروس کامپیوتر من را قفل کرده است”، باج‌افزار معمولاً به‌عنوان یک بدافزار متفاوت از ویروس طبقه‌بندی می‌شود. اولین گونه‌های باج‌افزار در اواخر دهه ۱۹۸۰ توسعه یافتند. امروزه، درخواست پول از طریق ارز دیجیتال توسط مهاجمان به افراد، مشاغل و سازمان‌های مختلف را هدف قرار می‌دهند صورت می‌گیرد. برخی از نویسندگان باج‌افزار این سرویس را به مجرمان سایبری دیگر می‌فروشند که با نام Ransomware-as-a-Service یا RaaS شناخته می‌شود.باج گیری اینترنتیبه‌بیان‌دیگر باج‌افزار بدافزاری است که برای ممانعت از دسترسی کاربر یا سازمان به فایل‌های رایانه‌شان طراحی‌شده است. این بدافزارها با رمزگذاری این فایل‌ها و درخواست پرداخت باج برای دریافت کلید رمزگشایی، سازمان‌ها را در موقعیتی قرار می‌دهند که پرداخت باج ساده‌ترین و ارزان‌ترین راه برای دسترسی مجدد به فایل‌هایشان است. برخی از انواع باج افزارها، قابلیت‌های اضافی مانند سرقت داده‌ها را اضافه کرده‌اند تا برای قربانیان باج‌افزار انگیزه بیشتری برای پرداخت باج فراهم کنند.حملات باج افزاری از چه طریقی صورت می‌گیرندهرزنامههرزنامه یا spam mail یکی از روش‌های مرسوم حملات باج افزارها است. برخی از عوامل تهدید از هرزنامه استفاده می‌کنند، جایی که ایمیلی را با یک پیوست مخرب برای عده زیادی از افراد ارسال می‌کنند و می‌بینند چه کسی پیوست را باز می‌کند و به‌اصطلاح «طعمه را می‌گیرد». هرزنامه مخرب یا malspam ایمیل ناخواسته‌ای است که برای ارسال بدافزار استفاده می‌شود. این ایمیل ممکن است شامل پیوست های معمولی مانند فایل‌های PDF یا Word باشد. همچنین ممکن است حاوی پیوندهایی به وب‌سایت‌های مخرب باشد.تبلیغات آلودهیکی دیگر از روش‌های رایج انتشار، تبلیغات آلوده است. تبلیغات آلوده به بدافزار است، استفاده از تبلیغات آنلاین برای توزیع بدافزار بدون نیاز به تعامل کاربر نیز امکان‌پذیر است. در حین جستجو در صفحات وب، حتی سایت‌های قانونی، ممکن است کاربران حتی بدون کلیک بر روی آگهی به سرورهای مجرم هدایت شوند. این سرورها جزئیات مربوط به رایانه‌های قربانی و مکان آن‌ها را فهرست بندی می‌کنند و سپس بدافزار مناسب برای حمله را انتخاب می‌کنند.بدافزارها معمولاً از یک نمایه Iframe آلوده یا یک عنصر مخفی وب برای اهداف خود استفاده می‌کنند. نمایه آلوده قربانی را به یک صفحه فرود جدید هدایت کرده و با استفاده از exploit kit کدهای مخرب را به قربانی منتقل می‌کند. این اتفاق معمولاً بدون اینکه قربانی از حمله مطلع شده باشد در پی یک واکنش مانند فشردن دگمه دانلود اتفاق می‌افتد. رمزگیرییک وسیله هدفمندتر برای حمله باج‌افزار از طریق نیزه رمزگیری Spear phishing است. نمونه‌ای از رمزگیری می‌تواند ارسال ایمیل به کارمندان یک شرکت خاص باشد، با این ادعا که مدیرعامل از شما می‌خواهد در نظرسنجی مهم کارمندان شرکت کنید، یا بخش منابع انسانی از شما می‌خواهد که یک خط‌مشی جدید را دانلود و بخوانید. اصطلاح “صید نهنگ” برای توصیف چنین روش‌هایی استفاده می‌شود که هدف آن تصمیم‌گیرندگان سطح بالا در یک سازمان، مانند مدیرعامل یا سایر مدیران اجرایی است.تفاوت این روش با هرزنامه‌ها در این است که در هرزنامه حملات به‌صورت انبوه و غیر هدفمند صورت می‌گیرد ولی درروش رمزگیری مخاطبان حمله دست‌چین شده و منحصر به یک گروه یا سازمان خاص هستند.مهندسی اجتماعیمهاجمین ممکن است از مهندسی اجتماعی برای فریب دادن افراد برای باز کردن پیوست‌ها یا کلیک کردن بر روی پیوندها با نشان دادن مشروعیت خودشان استفاده کنند. ممکن است خود را به‌جای یک موسسه قابل‌اعتماد یا یک دوست جا بزنند. مجرمان سایبری از مهندسی اجتماعی در انواع دیگر حملات باج‌افزار استفاده می‌کنند، مثلاً انتشار نسخه رایگان یک کتاب موردنیاز گروهی از دانشجویان یک رشته خاص.مثال دیگری از مهندسی اجتماعی این است که یک عامل تهدید اطلاعاتی را از پروفایل‌های عمومی رسانه‌های اجتماعی شما در مورد علایق شما، مکان‌هایی که اغلب بازدید می‌کنید، شغلتان و غیره جمع‌آوری کند و از برخی از این اطلاعات برای ارسال پیامی که برای شما آشنا به نظر می‌رسد استفاده کند.روش مهندسی اجتماعی باعث ایجاد اعتماد لحظه‌ای و به تبعان غفلت قربانی و ورود به صفحه یا دانلود فایل آلوده می‌شود. باج‌افزار چگونه کار می‌کندبرای موفقیت، باج‌افزار باید به یک سیستم هدف دسترسی پیدا کند، فایل‌ها را در آنجا رمزگذاری کند و از قربانی باج بگیرد.درحالی‌که جزئیات پیاده‌سازی از یک نوع باج‌افزار به باج‌افزار دیگر متفاوت است، همه سه مرحله بنیادین یکسانی دارند.مرحله ۱٫ آلوده نمودن سیستمباج‌افزار، مانند هر بدافزار، می‌تواند به روش‌های مختلف به دستگاه‌های سازمان دسترسی پیدا کند. بااین‌حال، اپراتورهای باج‌افزار تمایل دارند چند روش خاص را ترجیح دهند.یکی دیگر از روش‌های آلود سازی محبوب توسط باج‌افزار مورداستفاده توسط مهاجمین زمانی است که قربانی از خدماتی مانند پروتکل دسکتاپ از راه دور Remote Desktop Protocol (RDP) بهره می‌برد. با RDP، مهاجمی که اطلاعات ورود یک کارمند را به سرقت برده یا حدس زده است، می‌تواند از آن‌ها برای احراز هویت و دسترسی از راه دور به یک رایانه در شبکه سازمانی استفاده کند. با این دسترسی، مهاجم می‌تواند مستقیماً بدافزار را وارد کرده و آن را بر روی دستگاه تحت کنترل خود اجرا کند.مرحله ۲٫ رمزگذاری داده‌هاپس‌ازاینکه باج‌افزار به یک سیستم دسترسی پیدا کرد، می‌تواند رمزگذاری فایل‌های خود را آغاز کند. ازآنجایی‌که قابلیت رمزگذاری در یک سیستم‌عامل تعبیه‌شده است، مهاجم به‌سادگی می‌تواند به فایل‌ها دسترسی پیداکرده و آن‌ها را با کلیدی که تنها در اختیار خود اوست رمزگذاری نموده و با فایل‌های اصلی جایگزین نماید. برخی از باج افزارها فایل‌های پشتیان موجود را نیز از سیستم به‌طور دائم حذف می‌کنند.مرحله ۳٫درخواست باجهنگامی‌که رمزگذاری فایل کامل شد، باج‌افزار برای درخواست باج آماده می‌شود. انواع مختلف باج‌افزار این کار را به روش‌های متعددی اجرا می‌کنند، معمولاً تغییر پس‌زمینه نمایش به یادداشت باج یا درج فایل‌های متنی در هر فهرست رمزگذاری‌شده حاوی یادداشت باج، متداول است.به‌طورمعمول، این یادداشت‌ها درازای دسترسی به فایل‌های قربانی، مقدار مشخصی ارز دیجیتال را طلب می‌کنند. اگر باج پرداخت شود، اپراتور باج‌افزار یا یک کپی از کلید خصوصی مورداستفاده برای محافظت از کلید رمزگذاری متقارن یا یک کپی از خود کلید رمزگذاری متقارن ارائه می‌دهد. این اطلاعات را می‌توان در یک برنامه رمزگشا (که توسط مجرم سایبری نیز ارائه می‌شود) وارد کرد که می‌تواند از آن برای معکوس کردن رمزگذاری و بازگرداندن دسترسی به فایل‌های کاربر استفاده کند.درحالی‌که این سه مرحله اصلی در همه انواع باج‌افزار وجود دارد، باج‌افزارهای مختلف می‌توانند شامل پیاده‌سازی‌های متفاوت یا مراحل اضافی باشند. برای مثال، انواع باج‌افزار مانند Maze، اسکن فایل‌ها، اطلاعات رجیستری و سرقت داده‌ها را قبل از رمزگذاری داده‌ها انجام می‌دهند، و باج‌افزار WannaCry سایر دستگاه‌های آسیب‌پذیر را برای آلوده کردن و رمزگذاری اسکن می‌کند. پارس تدوین پارس تدوین Sun, 24 Apr 2022 10:09:30 +0430 https://virgool.io/@pars-tadvin/%DA%A9%D8%B4%D9%81-%DB%8C%DA%A9-%D8%A8%D8%A7%DA%AF-%D8%A7%D9%85%D9%86%DB%8C%D8%AA%DB%8C-%DA%A9%D9%86%D8%AA%D8%B1%D9%84-%D8%A7%D8%B2-%D8%B1%D8%A7%D9%87-%D8%AF%D9%88%D8%B1-%D8%AF%D8%B1-%D8%A7%D8%AF%D9%88%D8%A8%DB%8C-%DA%A9%D8%A7%D9%85%D8%B1%D8%B3-adobe-commerce-magprcdhdqkt ادوبی توصیه امنیتی در رابطه با یک آسیب‌پذیری روز صفر که در هفته گذشته برطرف شده بود را به‌روزرسانی کردیک آسیب‌پذیری جدید در پلتفرم منبع باز مگنتو  Magentادوبی کامرس Adobe Commerce در حالی شناسایی شد که کارشناسان این شرکت برای برطرف کردن آسیب‌پذیری دیگری CVE-2022-24086 در هفته گذشته مجبور به انتشار پچ جدیدی شده بودند.مهاجمان با استفاده از این آسیب‌پذیری می‌توانند بدون احراز هویت از راه دور به سیستم دسترسی پیدا کنند. آسیب‌پذیری جدید دارای همان شدت مورد قبلی است. این نقص امنیتی، با  CVE-2022-24087  قابل‌پیگیری بوده و در سیستم امتیازدهی CVSS رتبه ۹/۸ را کسب نموده است.ادوبی توصیه امنیتی خود CVE-2022-24086 را به‌منظور افزودن جزئیات بیشتری که به گفته این شرکت برای حفاظت از امنیت ضروری هستند را در مورد CVE-2022-24087 به‌روزرسانی کرد.ادوبی از اینکه حملات محدودی به برخی از مشتریان نرم‌افزار اتفاق افتاده آگاه است. اما از اینکه آیا سوءاستفاده‌ای با استفاده از آسیب‌پذیری CVE-2022-24087 صورت گرفته باشد اظهار بی‌اطلاعی نمود.محققان Positive Technologies در مورد این نقص امنیتی گفته‌اند به‌وسیله CVE-2022-24086 موفق به ایجاد یک اکسپلویت شده‌اند.چند نفر از محققان امنیتی در شبکه‌های اجتماعی مطالبی مبنی بر اینکه این به‌روزرسانی ادوبی باعث برطرف شدن کامل این نقص ایمنی شده باشد تردید داشته و معتقدند برای ایمنی کامل هنوز نیاز به بررسی و به‌روزرسانی جدیدی هست.البته باید در نظر داشت این باگ امنیتی روی برخی از نسخه‌ها وجود داشته و نسخه‌های ۲٫۳٫۰ تا ۲٫۳٫۳ کاملاً ایمن هستند.منبع :پارس تدوین پارس تدوین پارس تدوین Sun, 24 Apr 2022 10:07:26 +0430 https://virgool.io/@pars-tadvin/%DA%A9%D8%B4%D9%81-%D8%A2%D8%B3%DB%8C%D8%A8-%D9%BE%D8%B0%DB%8C%D8%B1%DB%8C-%D8%AF%D8%B1-%D9%86%D8%B1%D9%85-%D8%A7%D9%81%D8%B2%D8%A7%D8%B1-extensis-portfolio-sc5p1begkmsh محققین امنیتی چندین باگ امنیتی در نرم‌افزار Extensis Portfolio که یک نرم‌افزار مدیریت و میزبانی محتوا است، پیدا کرند.در یک آزمایش نفوذ محققان مستقل امنیتی متوجه شدند که اعتبار مدیریتی پیش‌فرض در حال استفاده است.در ادامه آزمایش متوجه شدند که از طریق یک ضعف امنیتی آپلود فایل می‌توانند کدهای مخرب کنترل از راه دور را استفاده کنند.آزمونگران نرم‌افزار در ادامه منبع کد Extensis Portfolio را موردبررسی قرار داده و توانستند پنج آسیب‌پذیری را که نیاز به رسیدگی فوری دارند شناسایی نمایند.CVE-2022-24251CVE-2022-24255CVE-2022-24252CVE-2022-24254CVE-2022-24253هنوز مشخص نیست که آیا سو استفاده‌ای از هر یک از این آسیب‌پذیری‌ها صورت گرفته یا خیراین‌گونه متداول است که در صورت شناسایی آسیب‌پذیری توسط بنگاه‌های بازرسی و تحقیقاتی نرم‌افزاری یک فرصت ۹۰ روزه باقابلیت یک‌بار تمدید به تولیدکننده نرم‌افزار جهت رفع آسیب‌پذیری داده می‌شود. اگر در این مهلت تولیدکننده نرم‌افزار اقدام به انتشار وصله ننماید، کاشف آسیب‌پذیری موضوع را به‌صورت عمومی منتشر می‌کند.این عمل به‌منظور تشویق تولیدکننده نرم‌افزار به اقدام با سرعت هر چه بیشتر برای رفع آسیب‌پذیری است.در مورد این پرونده محققان از ماه اوت ۲۰۲۱ در تلاش برای ارتباط با شرکت نرم‌افزاری از طریق وب‌سایت و شبکه‌های اجتماعی بوده‌اند بالاخره در ماه سپتامبر موفق شدند از طریق حساب کاربری یکی از کاربران با پشتیبان نرم‌افزار تماس گرفته و موضوع را به آن‌ها اطلاع بدهند.بعد تأیید دریافت اخبار کشف آسیب‌پذیری نسخه ۴ نرم‌افزار با ادعای برطرف شدن مشکل منتشر شد؛ اما محققان امنیتی ضمن رد این ادعا اذعان داشتند که آسیب‌پذیری کماکان پابرجا است و اقدام به انتشار آن نمودند. پارس تدوین پارس تدوین Sun, 24 Apr 2022 10:03:29 +0430 https://virgool.io/@pars-tadvin/%D9%85%D8%B9%D8%B1%D9%81%DB%8C-%D8%A7%D8%A8%D8%B2%D8%A7%D8%B1-%D8%A7%D9%85%D9%86%DB%8C%D8%AA%DB%8C-aws-%D9%85%D8%AD%D8%A7%D9%81%D8%B8%D8%AA-%D8%AF%D8%B1-%D9%85%D9%82%D8%A7%D8%A8%D9%84-%D8%AA%D8%B5%D8%A7%D8%AD%D8%A8-elastic-ip-o8u8gomtlekb یک نرم‌افزار منبع باز باهدف راهکار محافظتی تمام‌عیار در مقابل تصاحب الاستیک IP منتشر شد.سازمان‌ها خود را در مقابل حملات تصاحب IP زمانی که وب‌سرویس آمازون را پاک می‌کنند یا IP جدیدی ثبت کرده و فراموش می‌کنند IP های قبلی را که به DNS متصل‌اند را پاک کنند آسیب‌پذیر می‌کنند.مهاجمان می‌توانند این ساب دامین های آسیب‌پذیر را با تلاش‌های پیوسته برای به دست آوردن الاستیک IP تا پیدا کردن ساب دامین موردنظر ادامه دهند.این رویکرد که «لاتاری» نام دارد همچنین به‌عنوان ابزاری برای مدافعان برای شناسایی IP های الاستیک در تحقیقی در مورد تکنیک حمله که به سال ۲۰۱۵ بازمی گردد، پیشنهادشده است.ابزار Ghostbuster که توسط یک موسسه استرالیایی امنیت سایبری توسعه‌یافته است رویکرد متفاوتی را پیشنهاد می‌دهد در این روش تمام IP های عمومی شرکت که به‌حساب AWS متصل است با تمام IP های متعلق به الاستیک IP ها که به‌حساب AWS متصل نیستند تطبیق داده می‌شوند.هم بنیان‌گذار این شرکت استرالیایی گفته است ما از تکنیک لاتاری تجربه‌های خوش‌آیندی نداشته‌ایم و از AWS خواسته بودیم به کارشناسان خود اعلام نماید که دیگر از این روش استفاده نکنند.نامی که برای این روش انتخاب‌شده بسیار متناسب است چراکه در این تکنیک شما ممکن است تصاحب آی پی را شناسایی کنید اما به همان میزان هم احتمال دارد ناکام بمانید کاملاً به بختتان بستگی دارد.از جایی که متد لاتاری تنها روشی است که مهاجمان می‌توانند از آن استفاده کنند با استفاده از IP می‌توان تصاحب الاستیک IP را به‌طور کامل از بین ببرد.تنها مسئله در این است که شما باید به تمام حساب‌های AWS و DNS ها دسترسی داشته باشید.الاستیک IP معلق یکی از متداول‌ترین آسیب‌پذیری‌های ناشی از مهاجرت سازمان‌ها به سرورهای ابری عمومی و پیکربندی اشتباه است که روزبه‌روز هم به دلیل خودکار سازی بیشتر می‌شود.تأثیرات بالقوه تصاحب ساب دامین زمانی بیشتر می‌شود که مهاجم بتواند روی محتواهای ذخیره‌شده کنترل داشته باشد.علاوه بر میزبانی محتوای مخرب یا استفاده از دامنه معتبر برای فیشینگ مهاجم می‌تواند به گواهینامه SSL از طریق ACME TLS دست یابد.در حال حاضر AWS با مسدود کردن حساب‌هایی که رفتار مشکوک از خود نشان می‌دهند مقابله می‌کند؛ اما در تلاش برای یافتن راه‌حل پایدارتری است.منبع: پارس تدوین پارس تدوین پارس تدوین Sun, 24 Apr 2022 10:02:50 +0430 https://virgool.io/@pars-tadvin/%D8%A7%D8%AD%D8%B1%D8%A7%D8%B2-%D9%87%D9%88%DB%8C%D8%AA-%DA%86%D9%86%D8%AF%D8%B9%D8%A7%D9%85%D9%84%DB%8C-multi-factor-authentication-ogfvbirhywy2 احراز هویت چندعاملیMFA) Multi-factor Authentication) چیستاحراز هویت چندعاملی Multi-factor Authentication یک روش احراز هویت است که طی آن از کاربر خواسته می‌شود دو یا چند عامل احراز هویت را برای دسترسی به منابع استفاده نماید. MFA یکی از اجزای اصلی پالیسی مدیریت دسترسی و هویت قدرتمند است. در این روش به‌جای استفاده صرف از نام کاربری و رمز عبور عوامل دیگری وارد بازی شده تا احراز هویت از طریق کانال‌های متفاوتی انجام شود تا از بروز حملات سایبری پیشگیری نماید.انواع روش‌های احراز هویت چندعاملیتوکنهای سخت‌افزاری رمز یک‌بارمصرف OTPابزارهای مبتنی بر سخت‌افزار هستند که با استفاده از کلید رمزنگاری‌شده داخلی رمز یک‌بارمصرف تولید می‌کنند. شبیه همین کلید روی سرور وجود دارد و می‌تواند رمزهای مشابه توکن تولید نموده و درصورتی‌که رمز دریافتی با رمزی که توسط سرور تولیدشده یکسان باشد مجوز ورود را صادر می‌کند.نقاط ضعفرابط کاربری ضعیف و دشواری استفاده توکنهزینه بالای خرید و نگهداری توکن هاتوکن ها در مقابل مهندسی اجتماعی و فیشینگ آسیب‌پذیر هستندبرنامه‌های تلفن همراه تولیدکننده رمزاپلیکیشن هایی هستند که برای تولید رمز یک‌بارمصرف طراحی و تولیدشده‌اند، عملکرد آن‌ها شبیه توکن های سخت‌افزاری است با این تفاوت که نیاز به سخت‌افزار جداگانه وجود ندارد، این مزیت اگرچه باعث کاهش هزینه‌های خرید توکن می‌شود اما برخی از معایب را نیز در پی‌دارند:کاربر باید بین نرم‌افزارهای مختلف دائماً جابه‌جا شوندوابستگی به شرکت‌های ثالث تأمین‌کننده نرم‌افزارخطر برنامه‌های مخرب تولیدشده جهت سرقت رمز از نرم‌افزاراحراز هویت مبتنی بر پیام کوتاهیکی از کم‌هزینه‌ترین روش‌های احراز هویت است که کاربر نه نیاز به در اختیار داشتن سخت‌افزار و نه نصب نرم‌افزار روی تلفن همراه خود دارد. تنها کافی است که رمز یک‌بارمصرف را از طریق تلفن همراه دریافت نماید.نقاط ضعفمعمولاً برای ورود رمز محدوده زمانی در نظر گرفت می‌شود و ممکن است کاربر موفق به ورود در زمان مقتضی نشودضعف یا اختلال در شبکه مانع از دریافت پیامک می‌شودخطر بدافزارهایی که به صندوق پیام‌ها دسترسی پیدا می‌کنندکارت‌های هوشمند رمزگذاری شدهسخت‌افزارهایی هستند با کلیدهایی که درون یک محفظه بسیار امن قرارگرفته‌اند و عملیات رمزنگاری را در زمان ورود به نرم‌افزار انجام می‌دهند. برای اتصال این کارت‌های هوشمند به دستگاه ابزار ثانویه‌ای برای خوانش اطلاعات روی کارت موردنیاز است. البته برخی از انواع کارت‌ها توسط درگاه USB متصل می‌شوند.مهم‌ترین نقطه‌ضعف این روش هزینه‌های بالای تأمین کارت و دستگاه اتصال استافزایش چشم‌گیر استفاده از احراز هویت چندعاملیMFAتعداد کل استفاده از احراز هویت چندعاملی در سال گذشته ۳۹ درصد افزایش داشته استفاده از احراز هویت بیومتریک فراتر رفته و افزایش ۴۸ درصدی را نشان می‌دهند.این بررسی از تحلیل داده‌های ۳۶ میلیون دستگاه با ۸۰۰ میلیون ورود ماهیانه به ۴۰۰ هزار نرم‌افزار متفاوت به‌دست‌آمده است و به‌خوبی نشان می‌دهد که چگونه سازمان‌ها در تمام صنایع با اجرای کنترل‌هایی برای اطمینان از دسترسی ایمن به برنامه‌ها، کار را از هرکجا و روی هر دستگاهی امکان‌پذیر می‌کنند.بیومتریک در بیش از ۷۱ درصد تلفن‌های همراه فعال شد، که نشان‌دهنده افزایش استقبال کاربران از روش‌های احراز هویت غیر سنتی و دسترسی به سخت‌افزار بدون رمز عبور است.از آوریل ۲۰۱۹ که کنسرسیوم جهانی وب (W3C) برای اولین بار استاندارد باز را منتشر کرد، استفاده از احراز هویت وب (WebAuthn) پنج برابر افزایش یافت. WebAuthn برخلاف پایگاه داده متمرکز، بیومتریک‌ها را قادر می‌سازد تا به‌طور ایمن در دستگاه ذخیره و تأیید شوند.تنظیم سیاست‌های سخت‌گیرانه‌تر برای تأیید هویتاهمیت امنیت کاربر محور که الگوهای کاری کارمندان را در برمی‌گیرد تا منابع را در دسترس ولی دور از دسترس عوامل مخرب نگه دارد، توسط فهرست اخیر کار ترکیبی سیسکو تقویت‌شده است. این گزارش نشان داد که درحالی‌که VPN و دسترسی از راه دور ایمن در زمان شروع همه‌گیری افزایش یافت، تلاش‌های جعلی برای دسترسی ۲٫۴ برابر در همان دوره زمانی افزایش یافت و ۱۸ ماه بعد همچنان ادامه یافت.سازمان‌ها به سمت استراتژی بدون رمز عبور حرکت می‌کننددور شدن از گذرواژه‌ها تجربه ورود به سیستم را برای اکثریت قریب به‌اتفاق کاربران بهبود می‌بخشد و به‌نوبه خود منجر به امنیت قوی‌تر می‌شود. بر اساس یک نظرسنجی جدید از تصمیم‌گیرندگان جهانی فناوری اطلاعات، بیش از نیمی از سازمان‌ها در حال برنامه‌ریزی برای اجرای یک استراتژی بدون رمز عبور هستند. چهل‌وشش درصد از پاسخ‌دهندگان گفتند که مسائل امنیتی مربوط به اعتبارنامه‌های به خطر افتاده، ناامیدکننده‌ترین یا نگران‌کننده‌ترین جنبه برخورد با رمزهای عبور در محیط آن‌ها است.دیو لوئیس، مشاور جهانی CISCO گفت: اکنون به نقطه‌ای رسیده‌ایم که تجربه کاربر به‌خودی‌خود یک کنترل امنیتی است.شرکت‌ها در حال حرکت به سمت روش‌های جدید و مؤثرتر برای کنترل دسترسی هستند و در عمل مشاهده می‌کنند که چگونه برخورد دموکراتیک با امنیت|، می‌تواند راه درازی در توانمندسازی نیروی انسانی برای تمرکز بر شایستگی‌های اصلی خود بدون قربانی کردن امنیت داشته باشد.»احراز هویت چندعاملی بالاترین شانس را در امنیت اطلاعات ایجاد می‌کندتوضیح می‌دهیم چرا احراز هویت چندعاملی به‌عنوان یکی از بهترین راهکارهای دفاعی در مقابل خطرات حملات سایبری و جلوگیری از مجرمان در سوءاستفاده از داده‌های کاربران است.رمز عبورهای ضعیف و تکراری یکی از عادات مخرب کاربران است که دلیل اصلی ضعف امنیتی، و لو رفتن اطلاعات سازمان‌های است. که بعضاً ممکن است برای سازمان میلیون‌ها دلار خسارت به بار بیاورد.بر اساس تحقیقی که توسط Security.org صورت گرفته در ایالات‌متحده یک‌سوم افراد اطلاعات کاربری خود را در اختیار دیگران قرار می‌دهند، و یا از یک نام کاربری و رمز برای بیشتر از یک حساب کاربری استفاده می‌کنند.مجرمان سایبری امروزه ابزارهایی در اختیاردارند که می‌توانند ظرف چند ثانیه رمزهای خیلی پیچیده را رمزگشایی کنند. به همین دلیل استفاده از احراز هویت چندعاملی از اهمیت بیشتری برای تأیید هویت کاربران برخوردار می‌شود.استفاده از MFA یک‌لایه امنیتی مضاعف در مقابل نقش آفرینان فرصت‌طلب تهدیدات سایبری برای سو استفاده از اطلاعات حساب کاربری قرار می‌دهد، حتی اگر این اطلاعات توسط بدافزار یا در کمپین‌های فیشینگ به سرقت رفته باشند بازهم احراز هویت چندعاملی می‌تواند به‌عنوان یک سد دفاعی قوی عمل نماید.تحول چشم‌انداز امنیت سایبریحملات فیشینگ تنها در سال گذشته میلادی ۱۱ درصد افزایش داشته‌اند به‌تبع این افزایش سوءاستفاده و بهره‌برداری از اطلاعات هویتی کاربران نیز افزایش‌یافته است.پژوهشگران موسسه IBM دریافتند که هزینه‌های نقض داده‌ها به بالاترین حد خود در ۱۷ سال گذشته رسیده است و به‌طور متوسط ۴٫۲۴ میلیون دلار برای هر حادثه برای شرکت‌ها هزینه دارد. گزارش دیگری از مرکز تخصصی بررسی سرقت اطلاعات هویتی بیان می‌کند که تعداد آسیب‌های امنیتی در سال ۲۰۲۱ بیش از ۶۸ درصد افزایش‌یافته و رکورد جدیدی را ثبت کرده است.همان‌طور که چشم‌انداز امنیت سایبری در حال تکامل است، بازیگران تهدید نیز درحال‌توسعه طرح‌های مهندسی اجتماعی پیچیده‌تر برای دور زدن پروتکل‌های امنیتی، ابزارها و خدمات هستند که شناسایی و دفاع در برابر تهدیدات سایبری را برای کاربر معمولی دشوارتر می‌کند.حفاظت از داده‌ها نه‌تنها امنیت را توسعه می‌بخشد بلکه منافع مادی را به همراه دارد یافته‌های تحقیق اخیری که توسط سیسکو صورت گرفته شرکت‌هایی که روی امنیت سایبری خود سرمایه‌گذاری می‌کنند منافعی مانند افزایش چابکی، بهبود مزایای رقابتی و اعتماد بالاتر مشتریان را دریافت می‌کنند.منبع : پارس تدوین پارس تدوین پارس تدوین Sun, 24 Apr 2022 10:01:28 +0430 https://virgool.io/@pars-tadvin/%D8%AF%D9%81%D8%A7%D8%B9-%D8%AF%D8%B1-%D8%B9%D9%85%D9%82-defense-in-depth-k3hjiplushmd دفاع در عمق یک استراتژی امینت سایبری است،  که به راهبرد امنیت عمیق هم شناخته می‌شود و به رویکردی از امینت سایبری اطلاق می‌شود که از لایه‌های چندگانه به‌عنوان حفاظت کل‌نگر استفاده می‌کند.دفاع لایه‌لایه‌ای به سازمان‌ها کمک می‌کند آسیب‌پذیری‌های منجر به خطر را تا حد امکان کاهش و تهدیدات را کنترل نمایند.به‌بیان‌دیگر اگر مهاجمی از یک‌لایه دفاعی عبور کند، ممکن است توسط لایه دیگر مهار شود. مجموعه فرآیندهای دفاعی که به‌صورت چندلایه چیده شده‌اند، نقش حفاظت از داده‌ها را به عهده‌دارند. اگر مهاجم بتواند از یکی از لایه‌های دفاعی عبور کند، بلافاصله به سد لایه دوم برخورد می‌کند.دفاع در عمق معمولاً به‌عنوان "رویکرد قلعه" شناخته می‌شود. زیرا منعکس‌کننده لایه‌های دفاعی یک قلعه قرون‌وسطایی است. قبل از اینکه بتوانید به یک قلعه نفوذ کنید، با خندق، باروها، پل کششی، دیوارهای مرتفع ، و غیره روبرو می‌شوید.تکامل استراتژی‌های دفاع در عمقراهکار امنیتی‌اند پوینت نرم‌افزارهای آنتی‌ویروس و شناسایی و پاسخ اندپوینت (EDR) طراحی‌شده‌اند که کاربران‌اند پوینت را که از دستگاه‌هایی مانند تلفن همراه و یا کامپیوترهای شخصی  استفاده می‌کنند، هدف قرار می‌دهند از تهدیدات حفاظت کنند.ابزارهای مدیریت پچ وظیفه‌دارند کاربران و نرم‌افزارها را به‌روز نگه‌داشته و از طریق اطلاعاتی که از تأمین‌کننده دریافت می‌کنند نسبت به کشف آسیب‌پذیری‌های جدید هشدار دهند.راه‌حل‌های امنیتی شبکه  فایروال‌ها، VPN ها، VLAN ها، و غیره برای محافظت از شبکه‌های متداول سازمانی و سیستم‌های IT داخلی معمولی.ابزارهای تشخیص/پیشگیری از نفوذ (IDS/IPS) برای شناسایی فعالیت‌های مخرب و خنثی کردن حملاتی که هدفشان زیرساخت فناوری اطلاعات داخلی است.راهکارهای احراز هویت و دسترسی کاربران :احراز هویت چندعاملی، کنترل و محدودیت دسترسی کاربران، سطح‌بندی امنیتی داده‌ها و کاربران و ایجاد مجوز برای اعمال محدودیت‌های دسترسی و اطمینان خاطر از عدم افشا و یا سرقت اطلاعات ورود کاربرانمعماری دفاع در عمقکنترل فیزیکی این نوع کنترل شامل جلوگیری از دسترسی فیزیکی به دستگاه‌ها است که می‌تواند شامل مراقبت انسانی، مخفی کردن یا قفل‌کردن دستگاه‌ها باشدکنترل فنی شامل نرم‌افزار یا سخت‌افزارهایی مثل فایروال یا آنتی‌ویروس است که از  حفاظت از سیستم‌ها یا منابع حساس محافظت می‌کنند.کنترل‌های مدیریتی شامل شاخصه‌های امنیتی مانند دستورالعمل، خط‌مشی گذاری‌ها یا فرآیندهایی که مستقیماً بر روی عملکرد کارکنان اعمال می‌شود.مدل‌های قدیمی‌تر امنیت فناوری اطلاعات مبتنی بر محیط، که برای کنترل دسترسی به شبکه‌های سازمانی قابل‌اعتماد طراحی‌شده‌اند، برای دنیای دیجیتال مناسب نیستند. امروزه، کسب‌وکارها برنامه‌های کاربردی را در مراکز داده شرکتی، سرویس‌های ابری خصوصی و عمومی (AWS، Azure، GCP و غیره) توسعه و استقرار می‌دهند. بیشتر کسب‌وکارها درحال‌توسعه استراتژی‌های دفاعی عمیق خود برای محافظت از سرور ابری و دفاع در برابر بردارهای حمله جدید همراه با تحول دیجیتال هستند.اینکه نرم‌افزارهای روی سرور داخلی یا ابری باشند تفاوت چندانی نمی‌کند، تاریخ نشان داده همیشه مهاجمانی هستند که پنهانی نفوذ کنند به‌عنوان‌مثال در واقعه solar winds  در سال 2020 هجده هزار شرکت به مدت 9 ماه به‌صورت مخفیانه تحت نفوذ قرار گرفتند.اصول کلیدی یک استراتژی مدرن دفاع در عمق عبارت‌اند از:حفاظت ویژه از دسترسی‌های خاصبرخی از حساب‌های کاربری مانند مدیر IT یا مدیرعامل به تمام بخش‌های شبکه دسترسی کامل دارند. برای این اکانتها باید تدابیر ویژه حفاظتی که ممکن است توسط عامل انسانی  یا به‌صورت نرم‌افزاری کنترل و پردازش می‌شوند در نظر گرفت.مهروموم "lockdown" کردن‌اند پوینت‌های حساسکاربران با دسترسی خاص باید با شبکه به نحوی روابط یک‌طرفه داشته و درزمانی که نفوذی به شبکه داخلی شکل گرفت و یا شبکه تحت آلودگی بدافزار و باج افزار قرار گرفت از گزند آلودگی در امان باشندفعال کردن احراز هویت چندعاملی تطبیقیاز اطلاعات متنی (موقعیت، زمان روز، آدرس IP، نوع دستگاه و غیره) استفاده کنید تا تعیین کنید کدام عوامل احراز هویت برای یک کاربر خاص در یک موقعیت خاص اعمال شود. پارس تدوین پارس تدوین Sun, 24 Apr 2022 10:00:16 +0430 https://virgool.io/@pars-tadvin/%D8%AD%D9%85%D9%84%D8%A7%D8%AA-%DA%AF%D8%B3%D8%AA%D8%B1%D8%AF%D9%87-%D8%B2%D9%86%D8%AC%DB%8C%D8%B1%D9%87-%D8%A7%DB%8C-%D8%A8%D8%AF%D8%A7%D9%81%D8%B2%D8%A7%D8%B1%D9%87%D8%A7%DB%8C-%D8%AC%D8%A7%D8%B3%D9%88%D8%B3%DB%8C-%D8%A8%D9%87-%DA%A9%D8%A7%D9%85%D9%BE%DB%8C%D9%88%D8%AA%D8%B1%D9%87%D8%A7%DB%8C-%D8%B5%D9%86%D8%B9%D8%AA%DB%8C-%D8%AF%D8%B1-%D8%B3%D8%B1%D8%A7%D8%B3%D8%B1-%D8%AC%D9%87%D8%A7%D9%86-txpo20f0qpyj از بیستم ژانویه تا ۱۰ نوامبر ۲۰۲۱ متخصصین کسپرسکی موفق به پرده‌برداری از بدافزار جدیدی شدند که بیش از ۳۵۰۰۰ کامپیوتر را در ۱۹۵ کشور جهان مورد هدف قرار داده بود. این بدافزار جدید که به دلیل شباهت‌هایش با بدافزار Lazarus’s Manuscrypt، «PseudoManuscrypt» نامیده می‌شود، علاوه بر  سازمان‌های دولتی، سیستم‌های کنترل صنعتی (ICS) را در صنایع متعدد هدف قرار داده بود.سازمان‌های صنعتی جزو اهداف پرطرفدار در بین مجرمان سایبری هستند، سال ۲۰۲۱ شاهد علاقه قابل‌توجهی به سازمان‌های صنعتی از سوی گروه‌های معروف APT مانند Lazarus و APT41 بود. دو انگیزه اصلی این حملات باج‌خواهی و سرقت اطلاعات است.در حین بررسی رشته دیگری از حملات، کارشناسان کسپرسکی یک بدافزار جدید با شباهت‌هایی به «Manuscrypt» لازاروس، بدافزار سفارشی مورداستفاده در کمپین ThreatNeedle این گروه علیه صنایع دفاعی، کشف کردند. ازاین‌رو، آن‌ها آن را PseudoManuscrypt نامیدند.از ۲۰ ژانویه تا ۱۰ نوامبر ۲۰۲۱، محصولات کسپرسکی PseudoManuscrypt را در بیش از ۳۵۰۰۰ رایانه در ۱۹۵ کشور مسدود کردند. بسیاری از اهداف سازمان‌های صنعتی و دولتی ازجمله شرکت‌های نظامی-صنعتی و آزمایشگاه‌های تحقیقاتی بودند.۷٫۲ درصد از رایانه‌های موردحمله بخشی از سامانه‌های کنترل صنعتی (ICS) بودند. که دراین‌بین واحدهای مهندسی و خودکارسازی بیشترین آسیب‌دیدگی را در صنایع داشتند.مراحل نفوذ PseudoManuscryptبد افزار PseudoManuscrypt در ابتدا از طریق بایگانی نصب نرم‌افزار کرک شده جعلی، که برخی از آن‌ها ویژهICS هستند، در سیستم‌های هدف دانلود می‌شود.به‌احتمال‌زیاد این نصب کننده‌های جعلی که به‌عنوان نرم‌افزار کپی دانلود شده‌اند. از طریق پلتفرم Malware-as-a-Service (MaaS) ارائه می‌شوند. عجیب است، در برخی موارد، PseudoManuscrypt  از طریق بات نت بدنام Glupteba نصب‌شده است.پس از آلودگی اولیه، یک زنجیره پیچیده از آلودگی‌ها آغاز می‌شود. که درنهایت ماژول مخرب اصلی را دانلود می‌کند. کارشناسان کسپرسکی دو نوع از این ماژول را شناسایی کرده‌اند.هر دو این ماژول‌ها  به قابلیت‌های جاسوس‌افزار پیشرفته مجهز هستند، کپی کردن داده‌ها از کلیپ بورد، سرقت داده‌های احراز هویت احتمالاً و داده‌های اتصال، کپی کردن تصاویر صفحه و غیره.حمله‌ها هیچ اولویت‌بندی به صنعت مشخصی را نشان نمی‌دادند، اگرچه بیشتر کامپیوترهای موردحمله واقع‌شده متعلق به مهندسینی بوده که از ابزارهای مدل‌سازی حجمی و سه‌بعدی استفاده می‌نمودند. به همین دلیل برداشت می‌شود جاسوسی صنعتی یکی از انگیزه‌های اصلی حملات باشد.جای تعجب دارد، برخی از قربانیان این بدافزار با قربانیان کمپین لازاروس ICS CERT روابط مشترک دارند و داده‌ها از طریق یک پروتکل نادر با استفاده از کتابخانه‌ای که قبلاً فقط با بدافزار APT41 استفاده می‌شد، به سرور مهاجمان ارسال می‌شود.بااین‌وجود، با توجه به تعداد زیاد قربانیان و عدم تمرکز ، کسپرسکی مشخصاً این کمپین را به Lazarus یا هیچ عامل تهدید APT مرتبط نمی‌داند.این‌یک حمله نامرسوم به‌حساب می‌آید و ما هنوز در حال کنار هم گذاشتن سرنخ‌های آن هستیم اگرچه یک موضوع واضح است این حمله‌ای است که  متخصصان باید به آن خیلی توجه کنند.به گفته یکی از متخصصین امنیت در کسپرسکی این بدافزار موفق به ورود به هزاران کامپیوتر ICS مشتمل بر سازمان‌های سطح بالا شده است. ما به تحقیقات خود ادامه داده و جامعه امنیت سایبری را از یافته‌های جدید مطلع خواهیم نمود.پیشنهاد‌های کسپرسکی به سازمان‌ها برای در امان ماندن از PseudoManuscryptنرم‌افزارهای امنیت‌اند پوینت را روی همه سرورها و ایستگاه‌ها نصب نمایید.مطمئن شوید که تمام کامپوننت های اندپوینت روی تمام سیستم‌ها فعال و پالیسی ورود رمز عبور اجباری حین اعمال تغییرات فعال باشد.اطمینان حاصل کنید که پالیسی های Active Directory شامل محدودیت دسترسی برای تلاش‌های ورود کاربران می‌شود، کاربران فقط می‌توانند به کامپیوترهایی ورود کنند که برای انجام وظایف به آن نیاز دارند.دسترسی به شبکه‌های داخلی را محدود و تمام پورت‌های اتصال ورودی غیرضروری را مسدود نمایید.از توکن و یا رمزهای یک‌بارمصرف به‌عنوان احراز هویت ثانویه استفاده نمایید در صورت مکان از فناوری لیست کنترل دسترسی (ACL) برای محدود نمودن لیست IP address ها در شبکه استفاده نمایید.به کارکنان خود در مورداستفاده ایمن از اینترنت و ایمیل با کامپیوترهای شرکتی آموزش دهید و آن‌ها را از عواقب احتمالی دانلود از منابع تأیید نشده آگاه سازید.از حساب ادمین و دامین ادمین تنها درزمانی که برای انجام فعالیت‌های شغلی موردنیاز است استفاده کنید.حفاظت صنعتی کسپرسکی از اندپوینت های صنعتی محافظت می‌کند و فناوری‌های عملیاتی را تحت نظارت قرار داده و در صورت شناسایی هر نوع فعالیت مشکوک و آسیب‌زا به‌سرعت آن را مسدود می‌نماید.درباره ICS CERTتیم  مراقبت و پاسخ فوری به تهدیدات صنعتی یک پروژه جهانی است که در سال ۲۰۱۶ توسط کسپرسکی برای حمایت از فعالیت‌های تأمین‌کنندگان خودکارسازی صنعتی مالکین و کاربران زیرساخت‌های صنعتی و محققین امنیت سایبری در جهت حفاظت از سازمان صنعتی از حملات سایبری ایجاد شد.کسپرسکی ICS CERTتوجه خود را معطوف به شناسایی تهدیدات بالقوه و موجود در اتوماسیون‌های صنعتی و اینترنت اشیا معطوف داشته است. این شرکت یکی از اعضای فعال و مشارکت‌کننده در یک سازمان جهانی است که توصیه های حفاظت سایبری صنعتی را منتشر می‌کنند.منبع پارس تدوین پارس تدوین پارس تدوین Sun, 24 Apr 2022 09:55:58 +0430 https://virgool.io/@pars-tadvin/%D8%AD%D9%85%D9%84%D8%A7%D8%AA-%D8%B3%D8%A7%DB%8C%D8%A8%D8%B1%DB%8C-%D8%A8%D9%87-%D8%B4%D8%B1%DA%A9%D8%AA%D9%87%D8%A7%DB%8C-%D9%87%D9%88%D8%A7%D9%BE%DB%8C%D9%85%D8%A7%DB%8C%DB%8C-%D8%AF%D8%B1-%D8%B3%D8%B1%D8%A7%D8%B3%D8%B1-%D8%AC%D9%87%D8%A7%D9%86-isegrpvjlddp یک گروه کمتر شناخته‌شده مجرمین سایبری به‌تازگی آغاز به حملاتی به شرکت‌هایی در صنایع مختلفی مثل هوانوردی و حمل‌ونقل نموده‌اند.بر اساس ره‌گیری‌های انجام‌شده از کد TA2541 این گروه یکی از پایدارترین تهدیدات در سال‌های اخیر بوده است حملات این گروه اگرچه خیلی ابتدایی و کم‌تجربه بوده‌اند ولی به‌صورت گسترده روی آلوده کردن برنامه‌ها بر شبکه هدف تمرکز داشته‌اند.بر پایه گزارش‌های دیگری از مایکروسافت و cisco TA2541 مشخصاً از همان الگویی استفاده می‌کنند که در موج حملات گسترده خود در ایمیل‌های فیشینگ استفاده نموده بودند.این ایمیل‌ها معمولاً به زبان انگلیسی نوشته می‌شوند و کاربر را تشویق به دانلود فایلی که روی سرورهای ابری بارگذاری شده‌اند می‌کنند به این علم که داده‌های روی این سرورها هرگز در شرکت‌های بزرگ مسدود نمی‌شوند.در آنی که فایل دانلود شد یک بدافزار از نوع تروجان به نام تروجان دسترسی از راه دور RAT به TA2541 دسترسی به رابط کاربری کامپیوتر را فراهم می‌کند.در طی سال‌ها طیف گسترده‌ای از استفاده از بدافزارهای کنترل از راه دور دیده‌شده است اما همیشه از انواعی که در بازارهای سیاه عرضه می‌شده‌اند بوده‌اند.بررسی‌ها بر روی TA2541 مشخص کرده‌اند این گروه از سال ۲۰۱۷ به صنایع حمل‌ونقل، دفاعی و هواپیمایی در اروپا، امریکای شمالی و خاورمیانه حملات گسترده‌ای داشته‌اند.تعداد پیام‌های آن‌ها در هر کمپین بین چند صد تا چندین هزار متغیر بوده‌اند. آنچه که نوع انتشار این حملات مشخص است افراد با جایگاه و موقعیت شغلی خاصی مورد هدف نبوده‌اند.در مورد انگیزه اصلی این حملات نیز نمی‌توان اظهارنظر دقیقی انجام داد که آیا هدف آن‌ها جاسوسی یا اخاذی اطلاعت بوده باشد. پارس تدوین پارس تدوین Sun, 24 Apr 2022 09:54:54 +0430 https://virgool.io/@pars-tadvin/%D8%AA%D9%81%D8%A7%D9%88%D8%AA-edr-%D9%88-edr-optimum-%DA%A9%D8%B3%D9%BE%D8%B1%D8%B3%DA%A9%DB%8C-k4abzip6uxtb قبل از اینکه در مورد تفاوت EDR و EDR Optimum کسپرسکی صحبت کنیم باید بدانیم EDR چیست و چرا به‌عنوان یکی از ضروریات امنیتی به آن احتیاج داریم.چرا به EDR نیاز داریمدر زمان‌های نه‌چندان دور حملات سایبری به‌صورت غیر هدفمند و توسط بدافزارها به‌صورت انبوه صورت می‌گرفتند.انبوه به این معنا که یا به‌صورت اتوماتیک با ارسال ایمیل از یک منبع ثابت و به اهداف تصادفی، یا از طریق وب سایت‌های فیشینگ به وقوع می‌پیوستند. شرکت‌های امنیتی در مقابل این‌گونه حملات اقدام به طراحی حفاظت‌اند پوینت Endpoint Protection Platformکردند.در مواجهه با شناسایی مؤثر مبتنی بر EPP، مهاجمان به تاکتیک پرهزینه‌تر، اما مؤثرتر، برای انجام حملات هدفمند علیه قربانیان خاص روی آوردند. به دلیل هزینه زیاد، معمولاً از حملات هدفمند علیه شرکت‌ها باهدف کسب سود از طریق باج‌خواهی استفاده می‌شود. شناسایی گام اول حملات هدفمند است.  این‌گونه از حملات برای نفوذ به سیستم IT قربانی و فرار از سد حفاظتی آن طراحی می‌شوند.با توجه به اینکه حملات توسط انسان هدایت می‌شوند و روش‌های متفاوتی را در برمی‌گیرند حملات هدفمند می‌توانند به‌راحتی از سد EPP عبور کنند.اما EPP تنها روی یک اندپوینت و تحرکات خارجی و داخلی مرتبط به آن تمرکز می‌کند درحالی‌که حملات پیشرفته‌تر از طریق سروهای مختلف یک زنجیره حمله را طراحی می‌کنند و تنها ممکن است برخی از این تحرکات توسط EPP شناسایی شوند و مشکوک به نظر نرسند.همچنین EPP به‌صورت مستقل و خودکار عمل می‌کند و پروتکل‌های مشخصی را در شناسایی استفاده می‌نماید. به همین دلیل مهاجمان به‌راحتی می‌توانند ازنظر آن‌ها پنهان شوند.شکل‌گیری کسپرسکی EDRکسپرسکی EDR توانایی حفاظت را به راهکارهای EPP موجود افزود EDR روی حملات هدفمند تمرکز دارد ولی EPP صرفاً روی حملات گسترده و با پیچیدگی کمتر اشراف دارد.این راه‌حل امنیتی با تجزیه‌وتحلیل کنش بدافزارها و همه وقایع به‌صورت کلی، تمام زنجیره حمله را شناسایی می‌کند.همچنین قابلیت رؤیت رویداد چند میزبانه را داراست. به این معنی که تجمیع آثار حمله پراکنده در سراسر سیستم IT را بررسی می‌کند.تهدیدات را با محاسبات سنگین و پیچیده فراتر ازآنچه در زیرساخت اندپوینت موجود است، بدون اینکه روی جریان معمول کار تداخلی ایجاد کند تشخیص می‌دهد.کسپرسکی EDR تمام رویدادها را به‌طور مستمر مورد ارزیابی قرار داده و داده‌های مربوط را بدون توجه به مشکوک بودن یا نبودن گردآوری می‌کند. به همین دلیل می‌تواند در مقابل بدافزارهای ناشناخته مؤثرتر عمل کند. البته مکان غیرفعال کردن این قابلیت وجود دارد ولی در این شرایط اطلاعت احراز هویت مسروقه دیگر به‌عنوان یک رفتار مشکوک تلقی نمی‌شوند، و همچنین بدافزارهای ناشناخته نیز به کار خود ادامه می‌دهند.تهدیدات تک میزبان برای EPP قابل‌شناسایی بوده‌اند کسپرسکی EDR لایه‌هایی از تشخیص را با دامنه چند میزبان اضافه می‌کند. در کنار شناسایی رویداد محور EDR هر چیزی را که مشکوک به نظر برسد به هسته مرکزی می‌فرستد تا با استفاده از الگوریتم‌های مبتنی بر یادگیری ماشین مورد ارزیابی عمیق‌تر قرار بگیرند.شناسایی دستی یا «شکار تهدید» یک جستجوی فعال است که توسط کاربر برای ره‌گیری حملات و تهدیدات به کار می‌رود. EDR اجازه شناسایی تهدیدات را از جای‌جای تاریخچه وقایع ثبت‌شده به شما می‌دهد. کاربر می‌تواند در حافظه به تعقیب حملات و رویدادهای مشکوک پرداخته و ارتباط آن‌ها را برای بازسازی زنجیره حمله احتمالی کشف نماید. آیتم‌های جستجو می‌توانند از فیلترهای مختلفی برای کسب نتایج دقیق‌تر استفاده کنند.می‌توان به‌صورت دستی موارد و مشکوک را برای تحلیل عمیق انتخاب کرد. کاربر همچنین این گزینه وجود دارد که کاربر نسبت به وقایع مستقیماً واکنش نشان دهد این اقدام می‌تواند شامل بازسازی وقایع در زنجیره حمله، تداخل در فرآیند با پاک کردن، قرنطینه و یا اجرای نرم‌افزارها و بازگردانی تغییراتی که توسط EPP به علت فعالیت بدافزارها شکل‌گرفته‌اند.باوجود چنین قابلیت‌های در ثبت وقایع و بررسی عمیق آن‌ها همچنین در اختیار داشتن نگاه کلی به شبکه به‌جای تمرکز بر تنها یک اندپوینت می‌توان گفت کسپرسکی EDR می‌تواند شکل پیشرفته‌تری از تهدیدات را شناسایی و خنثی نمایند.کسپرسکی EDR Optimumسامانه Kaspersky Endpoint Detection and Response (EDR) Optimum یک ابزار خودکار متمرکز است که حملات پیشرفته و هدفمند را به روش‌هایی که کار را برای کارکنان و منابع IT آسان می‌کند، بررسی می‌کند.یک Kaspersky EDR Optimum ضمن استفاده از عامل، دید بهبودیافته، ظرفیت تحلیل علت ریشه و پاسخ خودکار را به EPP قوی موجود (Kaspersky Endpoint Security for Business) اضافه می‌کند. داده‌ها از این میزبان‌ها جمع‌آوری و تجزیه‌وتحلیل می‌شوند و گزارش، اطلاعات دقیق وقایع و گزینه‌های پاسخ در مورد حوادث از طریق کنسول Kaspersky Security Center ارائه می‌شوند. پاسخ به حوادث می‌تواند به‌صورت خودکار یا بافرمان کاربر باشد. پاسخ خودکار به‌منظور پاسخگویی به حوادث مشابه در بسیاری از میزبان‌ها بدون دخالت انسان تنظیم می‌شود کارکرد Kaspersky EDR Optimum را تا حد امکان ساده‌شده است.پس از نصب، کارکنان امنیت فناوری اطلاعات فقط باید هرچند وقت یک‌بار کنسول را بررسی کنند تا وقایع ایجادشده را پردازش نمایند، تجزیه‌وتحلیل علت اصلی را انجام داده و به حوادث پاسخ دهند. این سطح بالای خودکارسازی، نیازی به مأمور امنیتی برای بررسی حجم عظیمی از داده‌ها در هرروز را از بین می‌برد. در عوض، به آن‌ها کمک می‌کند تا توجه خود را بر روی کنش‌های مشکوک متمرکز کنند و تمام اطلاعات موردنیاز را در اختیار آن‌ها بگذارند.به‌بیان‌دیگر Kaspersky EDR Optimum برای سازمان‌هایی طراحی‌شده که از منابع کافی مانند در دسترس نبودن متخصص امنیتی یا فقدان منابع مالی موردنیاز، برای حضور متخصص امنیت درون‌سازمانی برخوردار نیستند.این راهکار امنیتی برای شناسایی و پاسخ خودکار تهدیدات از ابزارهای اطلاعاتی زیر استفاده می‌کند.شبکه امنیتی کسپرسکی KSN : یک زیرساخت ابری است که دسترسی آنلاین به پایگاه دانش کسپرسکی فراهم می‌کند این پایگاه دانش‌بنیان حاوی اطلاعات از اعتبار نرم‌افزارها و بخشی از وب سایت‌ها است.استفاده از پایگاه داده کسپرسکی باعث اطمینان از افزایش سرعت در پاسخ به تهدیدات، بهبود عملکرد و جلوگیری از پیام شناسایی خطا می‌شود.یکپارچه‌سازی با شبکه خصوصی امنیت کسپرسکی KPSN که به کاربران اجازه دسترسی به پایگاه داده و سایر اطلاعات آماری را می‌دهد بدون اینکه اطلاعاتی از سمت کاربر ارائه شود.یکپارچه‌سازی با مرکز اطلاعت تهدیدات کسپرسکی که حاوی اطلاعات وب سایت‌ها است.تمام این منابع به EDR Optimum اجازه می‌دهد در برخورد و شناسایی خطرات بالقوه و تهدیدات امنیتی با حداکثر سرعت و دقت به‌صورت خودکار عمل کند. و مهم ترین تفاوت EDR و EDR Optimum کسپرسکی در همین خلاصه می شود.نتیجه گیری:هر دو سامانه امنیتی EDR Optimum و کسپرسکی EDR برای شناسایی عوامل تهدید صرفاً روی بدافزارهای شناخته‌شده و روش‌های مرسوم تأکید نمی‌کنند، بلکه علاوه بر این موارد با تجزیه تحلیل دقیق سیستم رفتارهای کاربران و تعاملات میان آن هار ثبت و ضبط نموده و به‌دقت مورد تجزیه تحلیل قرار می‌دهند.هر زمان که رفتار مشکوکی از سمت هر کاربر برخورد کنند، به‌طور خاص مورد ارزیابی و کنترل قرار خواهد گرفت و در صورت ادامه‌دار بودن، به‌عنوان تهدید شناسایی می‌شوند.آنچه در کسپرسکی EDR Optimum به‌عنوان یک مزیت ویژه افزوده‌شده است امکان خودکار سازی به‌واسطه یکپارچه‌سازی با پایگاه داده کسپرسکی جهت انطباق رفتارها با داده‌های به‌دست‌آمده دیگر است.منبع: پایگاه دانش پارس تدوین پارس تدوین پارس تدوین Sun, 24 Apr 2022 09:53:21 +0430 https://virgool.io/@pars-tadvin/%D8%AA%D9%87%D8%AF%DB%8C%D8%AF%D8%A7%D8%AA-%D9%BE%DB%8C%D8%B4%D8%B1%D9%81%D8%AA%D9%87-%D9%85%D8%B3%D8%AA%D9%85%D8%B1-advanced-persistent-threatapt-%DA%86%DB%8C%D8%B3%D8%AA-p3hqsbbpmazf آنچه که خواب شب را از چشم متخصصان امنیت سایبری سازمان‌ها می‌رباید، این است که حملات سایبری از تعداد بی شماری تکنیک جهت سرقت اطلاعات ارزشمند سازمانشان استفاده می‌کنند.تهدیدات پیشرفته مستمر (APT) بازیگر اصلی حملات به سازمان‌های دولتی و زیرمجموعه‌هایشان هستند. در این نوع حملات یک دسترسی غیر مجاز به شبکه کامپیوتری ایجاد می‌شود. دسترسی ایجاد شده معمولاً به مدت طولانی به صورت پنهان ادامه یافته و به مهاجم اجازه حضور طولانی مدت در شبکه را می‌دهد. اخیراً این عبارت برای حملات مشابه به سازمان‌های غیر دولتی ولی بزرگ مقیاس نیز به کاربرده می‌شود.همانگونه که از کلمه پیشرفته در عبارت تهدیدات پیشرفته مستمر بر می‌آید. این گونه حملات شامل تکنیک‌های هک است که، به صورت مخفیانه مداوم وپیچیده ای، برای دسترسی و استقرار در سیستمهای کامپیوتری با عواقب آسیب زای احتمالی طراحی و توسعه داده می‌شوند.مفهموم تهدیدات پیشرفته مستمر APTهمان‌گونه که از نام این تهدیدات برمی‌آید در سه ویژگی موردبررسی قرار می‌گیرند:تهدیدیک تهدید هستند زیرا هم از توانایی و هم از انگیزه کافی برخوردار هستند. حملات APT برخلاف بسیاری دیگر از حملات با اقدامات برنامه‌ریزی‌شده انسانی عمل می‌کنند نه کدهای بی‌فکر از پیش برنامه‌ریزی‌شده. عاملین حمله هدفمند، ماهر، باانگیزه، سازمان‌دهی شده، و دارای بودجه خوبی هستند.پیشرفتهعاملین پشت این حملات به طیف گسترده‌ای از تکنیک‌ها و ابزارهای گردآوری اطلاعات دسترسی دارند. این امکانات ممکن است؛ نرم‌افزارهای موجود در بازار یا فن‌آوری‌های منبع باز کامپیوتری و یا دارایی‌های محرمانه دولتی باشند.این در حالی است که تک‌تک اجزای تشکیل‌دهنده حمله؛ ممکن است به‌تنهایی به‌عنوان توسعه‌یافته شده، به‌حساب نیایند. ولی عاملین حمله معمولاً از ابزارها، روش‌ها و تکنیک‌های ترکیبی برای نفوذ و حفظ موقعیت در شبکه هدف استفاده می‌کنند.در برخی از موارد ممکن است مهاجمان تمرکز خود را نسبت به اهداف کمتر پیشرفته نشان دهند. دلیل این کار ممکن است؛ تلاش برای ورود به یک شبکه پیشرفته از طریق زنجیره تامین باشد.مستمرمهاجمان این‌گونه حملات معمولا اهداف مشخص‌تری؛ نسبت به جستجوی شانسی اطلاعات بازرگانی یا موارد این‌چنینی دارند. این تمایز نشان از انگیزه قوی‌تر مهاجمان این‌گونه حملات است.قربانی حمله به‌صورت مستمر در معرض پایش و مداخله قرار می‌گیرد. تا زمانیکه مهاجم امکان دستیابی به اهدافش را فراهم نماید.این موضوع به معنی حمله پی‌درپی و به‌روزرسانی بدافزارها نیست. بلکه معمولاً در این‌گونه حملات یک رویکرد آهسته و پیوسته بیشتر با موفقیت همراه است. اگر عاملین حمله به هر دلیلی دسترسی خود را به سوژه از دست بدهند؛ به هر شکل ممکن سعی می‌کنند، مجدداً به سیستم دسترسی پیدا کنند. هدف اصلی مهاجم در این نوح تهدیدات دسترسی طولانی‌مدت به هدف است.سطوح تهدیدات مستمر هدفمند APTبه دلیل زحمت بالایی که چنین حملاتی می‌طلبند؛ حملات APT معمولاً اهداف سطح بالا در ادارات دولتی یا شرکت‌های خصوصی بزرگ را مورد هدف قرار می‌دهند.عمده هدف این نوع حملات سرقت اطلاعات در بازه‌های زمانی طولانی است. برخلاف حملات معمول هکرهای کلاه سایه که ورود و خروج سریعی به دستگاه‌ها دارند.اگرچه گفته‌شده که معمولاً کسب‌وکارهای بزرگ درگیر APT می‌شوند. تهدیدات پیشرفته مستمر نوعی از حمله است که همه کسب‌وکارها حتماً باید به آن هشیار باشند. حتی کسب‌وکارهای کوچک و متوسط؛عوامل APT در حال افزایش حملات به کسب‌وکارهای کوچک‌تر هستند. این بنگاه‌ها که تأمین‌کننده سازمان‌های دولتی و یا شرکت‌های بزرگ‌ترند. معمولاً از بنیه دفاع سایبری ضعیف‌تری نسبت به شرکت‌های بزرگ برخوردارند. و اهداف ساده‌تری به‌حساب می‌آیند.پنج مرحله حملات پایدار و پیشرفتههکرها باهدف دسترسی دائمی به سیستم‌های کامپیوتری معمولاً ۵ مرحله زیر را اجرا می‌کنند:مرحله اول کسب دسترسیمانند سارقی که درب منزل را با روش مختص خود باز می‌کند. مجرمان سایبری نیز معمولاً یک شبکه را، با استفاده از یک فایل آلوده، هرزنامه یا یک حفره امنیتی در یک نرم‌افزار برای وارد نمودن بدافزار خود مورد هدف قرار می‌دهند.مرحله دوم تثبیت جایگاهمجرمین امنیتی بدافزارهایی را در سیستم کارگذاری می‌کنند که برایشان به‌اصطلاح در پشتی و تونل‌هایی در شبکه قربانی ایجاد می‌کنند. تا به‌وسیله آن‌ها بتوانند به‌صورت پنهانی به هرکجا سرک بکشند.بدافزارها معمولاً از شیوه بازنویسی کدها برای کمک به استتار رد پای هکرها استفاده می‌کنند.مرحله سوم تعمیق دسترسیزمانی که در سیستم به جایگاه تثبیت‌شده خود رسیدند. با استفاده از روش‌هایی مثل شکستن رمز ورود تلاش می‌کنند دسترسی ادمین را کسب کنند و بتوانند کنترل بیشتر روی سیستم پیدا کنندمرحله چهارم حرکت افقیبا در اختیار داشتن دسترسی ادمین هکرها می‌توانند به همه‌جا سرک بکشند همچنین قادرند برای دسترسی به سایر سرورها و بخش‌های امنیتی شبکه اقدام نمایند.مرحله پنجم نظارت یادگیری و تثبیت استقراراز درون شبکه هکرها شناخت کاملی از نحوه عملکرد و آسیب‌پذیری‌هایش را پیدا می‌کنند که به آن‌ها اجازه استخراج اطلاعات موردنظرشان را می‌دهد.هکرها معمولاً قادر به اجرای این فرآیند بعد از نفوذ به‌صورت مادام یا تا زمانی که به اهداف خود دست یابند هستند و معمولاً درِ پشتی را برای دفعات بعد باز می‌گذارندنقش عوامل انسانی در حملات APTبه دلیل اینکه دفاع امنیت سایبری شرکت‌های بزرگ از کاربران خانگی بسیار قوی‌تر است روش حمله به آنان نیز غالباً نیازمند یک بازیگر از درون را برای کسب اطلاعات حیاتی و حساس از درون سازمان را داردالبته این بدان معنی نیست که کارکنان لزوماً به‌صورت آگاهانه با مجرمین همکاری می‌کنند مهاجمان معمولاً با روش مهندسی اجتماعی آنان را مورد حملات فیشینگ قرار می‌دهند.خطر تکرار حملاتمهم‌ترین خطرAPTدر این است که اگر نفوذ آن‌ها در لحظه مشخص شود و به نظر برسد که حمله متوقف یا برطرف شده است و هنوز احتمال دارد که مجرمین چند تونل برای استفاده‌های بعدی خود ایجاد کرده باشند. به‌اضافه اینکه روش‌های دفاعی متداول مانند آنتی‌ویروس و فایروال معمولاً قادر به شناسایی این‌گونه حملات نیستندمجموعه‌ای از نماگرهای چندگانه موجود در راهکارهای امنیتی پیچیده مثل امنیت سازمانی کسپرسکی Kaspersky Enterprise Security به همراه کارکنان آموزش‌دیده و آگاه از چگونگی حملات مهندسی اجتماعی در کنار هم می‌توانند؛ شانس موفقیت در دفاع و پیشگیری ازاین‌گونه حملات را افزایش دهند.پارس تدوین پارس تدوین پارس تدوین Sun, 24 Apr 2022 09:51:18 +0430 https://virgool.io/@pars-tadvin/%D8%AD%D9%85%D9%84%D8%A7%D8%AA-%D9%85%D8%B4%D9%87%D9%88%D8%B1-%D8%A8%D8%A7%D8%AC-%D8%A7%D9%81%D8%B2%D8%A7%D8%B1%D9%87%D8%A7-plzfbie1bwpr حملات مشهور باج افزار 2021حمله باج افزار به مدارس دولتی بوفالودر سال ۲۰۲۰، حملات به بخش آموزش به میزان قابل‌توجهی افزایش یافت تاکنون هم ادامه دارد. درحالی‌که بسیاری از مدارس در سال ۲۰۲۱ موردحمله باج‌افزار قرارگرفته‌اند، سیستم مدرسه دولتی بوفالو در نیویورک که به ۳۴۰۰۰ دانش‌آموز خدمات ارائه می‌دهد و حاوی اطلاعات بسیار حساسی است که ممکن است به بیرون درز کرده باشد. حمله باج‌افزار در ۱۲ مارس کل سیستم مدرسه را تعطیل و آموزش از راه دور و حضوری را به مدت یک هفته به تعویق انداخت. کرینر کش، ناظر مدارس بوفالو، در ۱۵ مارس بیانیه‌ای صادر کرد و گفت که مدرسه “به‌طور فعال با کارشناسان امنیت سایبری، و همچنین مجریان قانون محلی، ایالتی و فدرال برای بررسی کامل این حمله امنیت سایبری کار می‌کند.” مدرسه از ۲۲ مارس مجدداً فعالیت خود را آغاز نمود.حمله باج افزاری به ایسربالاترین مبلغ باج‌خواهی توسط باج افزارها در طول تاریخ متوجه شرکت تایوانی تولیدکننده رایانه‌های شخصی ایسر به مبلغ ۵۰ میلیون دلار شده است. ایسر در این رابطه بیانیه‌ای صادر نمود و اظهار داشت “شرکت‌هایی مانند ما دائماً موردحمله قرار می‌گیرند و وضعیت‌های غیرعادی اخیر مشاهده‌شده را به مقامات مجری قانون و حفاظت از داده‌ها در کشورهای مختلف گزارش کرده‌ایم مشخص نیست که سازنده رایانه شخصی این باج را پرداخت کرده است یا خیر”.شرکت مالی و بیمه‌ای CNAیکی از بزرگ‌ترین شرکت‌های بیمه در ایالات‌متحده در ۲۱ مارس موردحمله باج افزارکه باعث اختلال در شبکه شد قرار گرفت. این شرکت در بیانیه‌ای که در وب‌سایت خود منتشر شد، از آن به‌عنوان یک “حمله سایبری پیچیده” یادکرد و گفت که به دلیل در یک اقدام احتیاطی فعالانه، سیستم‌های خود را از شبکه قطع نموده‌اند. CNA گفت که تحقیقات “حوزه داده‌های تحت تأثیر این حادثه و همچنین سرورهایی را که داده‌ها در آن‌ها قرار داشتند شناسایی کرده.” این شرکت بیمه اعلام کرد که معتقد نیست سیستم‌های پذیره‌نویسی، جایی که بیشتر داده‌های بیمه‌گذاران در آن ذخیره می‌شود، در این حمله تأثیر گذاشته باشد. بااین‌حال، بلومبرگ گزارش داد که شرکت ۴۰ میلیون دلار باج به عوامل تهدید پرداخت کرده است. CNA هرگز این پرداخت را تأیید نکرده است.Applus Technologiesدر اواخر ماه مارس Applus Technologies تولیدکننده تجهیزات آزمایشگاهی برای اداره حمل‌ونقل ایالات‌متحده مورد حملات باج افزاری قرار گرفت و به مدت دو هفته از کار بازماند. حمله باعث ازکارافتادن خدمات معاینه خودرو در چند ایالت شد در ماساچوست که این شرکت دارای هزاران سایت فعال بوده است این تعطیلی منجر به ایراد ضرب العجل توسط اداره حمل‌ونقل ایالتی به این شرکت شد.چندی بعد Applus Technologies اعلام کرد که این یک مشکل موقتی است و به‌زودی به کار خود ادامه خواهد داد اما توقف فعالیت تا ۳۰ مارس که شرکت رسماً بیانیه‌ای مبنی بر شناسایی و توقف باج افزارها داشته است ادامه داشت جزئیاتی از چگونگی و و نوع باج‌افزار منتشر نشد.حمله به Quanta Computerاپراتورهای باج‌افزار REvil بار دیگر در ۲۰ آوریل به تولیدکننده لپ‌تاپ اپل Quanta Computer حمله نمودند. این شرکت کامپیوتری در بیانیه‌ای از وب‌سایت خود تأیید کرد که توسط عوامل تهدید موردحمله قرارگرفته است، که بنا بر گزارش‌ها سعی در اخاذی از Quanta و Apple داشتند. طبق ادعای کارشناسان شرکت حمله محدود تنها در چند سرور شرکت مشاهده و به‌سرعت با مسدود کردن ارتباط با شبکه خارج از شرکت خنثی شد این حمله باعث اخلال در فعالیت‌های روزمره این شرکت نشد.حملات معروف باج افزار پارس تدوین پارس تدوین Sun, 24 Apr 2022 09:49:45 +0430 https://virgool.io/@pars-tadvin/%D9%BE%DB%8C%D8%B4-%D8%A8%DB%8C%D9%86%DB%8C-%D8%A7%D9%85%D9%86%DB%8C%D8%AA-%D8%AF%D8%B1-2022-t09cpui4jxsj کسپرسکی پیش‌بینی‌های پیشرفته تهدیدات خود را برای سال 2022 منتشر کرد و ایده‌های جالبی را در مورد چشم‌انداز سال آینده به اشتراک گذاشت. در اینجا هشت تهدید پیشرفته مطرح شده است، که کسپرسکی پیش‌بینی می‌کند در سال آینده اتفاق بیفتد.1. هجوم بازیگران جدید APTپرونده‌های حقوقی اخیر علیه شرکت‌های امنیتی تهاجمی مانند NSO، استفاده از نرم‌افزارهای نظارتی را در کانون توجه قرارداد. NSO، یک شرکت اسرائیلی که خدماتی ازجمله امنیت تهاجمی ارائه می‌کند، متهم است که به دولت‌ها نرم‌افزارهای جاسوسی ارائه می‌کند. این ماجرا نهایتاً منجر به جنجال بین روزنامه‌نگاران و فعالان مدنی شد.به دنبال آن اقدام، وزارت بازرگانی ایالات‌متحده در یک بیانیه مطبوعاتی گزارش داد که NSO را به دلیل مشارکت در فعالیت‌هایی که مغایر با امنیت ملی یا منافع سیاست خارجی ایالات‌متحده است، به لیست نهادهای منع مبادله خود اضافه کرده است. این بخش سه شرکت دیگر را به این فهرست اضافه کرد: Candiru (اسرائیل)، Positive Technologies (روسیه)، و Computer Security Initiative Consultancy PTE LTD (سنگاپور).بازار حمله روز صفر همچنان داغ خواهد بود، درحالی‌که فروشندگان بدافزار بیشتری شروع به فروش قابلیت‌های تهاجمی می‌کنند.این‌یک تجارت بسیار پرسود است و هرروز بازیگران بیشتری را به‌سوی خود جذب می‌کند. کسپرسکی پیش‌بینی کرده درصورتی‌که دولت‌ها اقدامات جدی را ترتیب اثر ندهند این نوع حمله‌ها رو به رشد خواهند بود.2. هدف قرار دادن دستگاه‌های تلفن همراهتهدیدات سایبری دستگاه‌های تلفن همراه، موضوع جدیدی نیست، اما هنوز بسیار حساس است. کسپرسکی بر تفاوت مهمی بین دو سیستم‌عامل اصلی تلفن‌های همراه یعنی اندروید و iOS تأکید کرد. اندروید به‌راحتی امکان نصب برنامه‌های شخص ثالث را فراهم می‌کند، که منجر به ایجاد یک محیط بدافزار مجرمانه سایبری می‌شود، درحالی‌که iOS عمدتاً توسط جاسوسی سایبری پیشرفته با حمایت دولت‌های ملی هدف قرار می‌گیرد. پرونده Pegasus که توسط عفو بین‌الملل در سال 2021 فاش شد، ابعاد جدیدی به حملات روز صفر iOS بخشید.درواقع پیشگیری و شناسایی آلودگی بدافزار در دستگاه‌های تلفن همراه سخت‌تر است، درحالی‌که اطلاعات موجود در آن‌ها اغلب ترکیبی از داده‌های شخصی و حرفه‌ای است. همین امر تلفن‌های همراه را به یک هدف عالی برای حملات سایبری تبدیل می‌کند.کسپرسکی نتیجه‌گیری کرد: "در سال 2022، شاهد حملات پیچیده‌تر علیه دستگاه‌های تلفن همراه خواهیم بود که با انکار اجتناب‌ناپذیر عاملان همراه خواهد بود"3. حملات بیشتر در زنجیره تأمینامسال شاهد هدف قرار دادن مدیریت‌شده‌ای، به ارائه‌دهندگان خدمات توسط گروه باج‌افزار REvil/Sodinokibi بودیم. این نوع حمله ویرانگر است زیرا به یک مهاجم اجازه می‌دهد، پس‌ازاینکه با موفقیت تأمین‌کننده را به خطر انداخت، بتواند هم‌زمان تعداد بیشتری از شرکت‌ها را مورد هجوم قرار دهد.کسپرسکی گفت: "حملات زنجیره تأمین در سال 2022 و پس‌ازآن روند رو به رشدی خواهند داشت."4. کار از خانه فرصت‌های تهاجمی ایجاد می‌کنددورکاری به دلیل قوانین قرنطینه بیماری برای بسیاری از کارمندان ضروری است و احتمالاً در سل آینده هم ادامه خواهد داشت. این اتفاق فرصت‌هایی را برای مهاجمان ایجاد می‌کند. استفاده از تجهیزات شخصی در خانه، به‌جای استفاده از دستگاه‌های محافظت‌شده توسط تیم‌های IT شرکت‌ها، کار را برای مهاجمان آسان‌تر می‌کند. تا شبکه‌های شرکتی را به خطر بیندازند.فرصت‌های جدید برای بهره‌برداری از رایانه‌های خانگی که به‌طور کامل به‌روزرسانی یا محافظت نشده‌اند، توسط عوامل تهدید موردبررسی قرار می‌گیرند تا راه نفوذی را در شبکه‌های شرکتی به دست آورند.5. اثرات جغرافیای سیاسی افزایش حملات APT در منطقه METAتنش‌های فزاینده در ژئوپلیتیک در اطراف خاورمیانه و ترکیه و این واقعیت که توسعه شهرنشینی در افریقا رو به رشد است. و سرمایه‌گذاری‌های هنگفتی را جذب می‌کند، عوامل بسیار محتملی هستند که باعث افزایش تعداد حملات APT در منطقه متا، به‌ویژه در آفریقا شوند.6. امنیت ابری و خدمات برون‌سپاری در معرض خطرفضای ابری مزایای زیادی را برای شرکت‌ها در سراسر جهان ارائه می‌کند، اما دسترسی به این نوع زیرساخت‌ها معمولاً بر پایه‌یک رمز عبور ساده یا کلید API است. علاوه بر این، خدمات برون‌سپاری شده مانند مدیریت اسناد آنلاین یا ذخیره‌سازی فایل حاوی داده‌هایی هستند که می‌تواند برای یک عامل تهدید APT بسیار جالب باشد.کسپرسکی گفت که این موارد "توجه بازیگران دولتی را به خود جلب خواهند کرد. و به‌عنوان اهداف اولیه در حملات پیچیده ظاهر خواهند شد."7. بازگشت به بوت کیتروت کیت‌ها اغلب در بین مهاجمان پرطرفدار نیستند. دلیل اصلی آن احتمال بیشتر ایجاد خرابی یا اشکال در سیستم می‌شود، و هم‌چنین برای ایجاد آن‌ها مهارت و انرژی بیشتری لازم است. تحقیقات زیادی روی امنیت روت در حال اجراست و انتظار می‌رود پیشرفت‌های زیادی در این زمینه دیده شود.کسپرسکی گفت: علاوه بر این، با رایج‌تر شدن امنیت بوت، حمله‌کنندگان باید برای دور زدن آن و استقرار ابزارهای خود، اکسپلویت‌ها یا آسیب‌پذیری‌ها را در این مکانیسم امنیتی بیابند.8. شفاف‌سازی شیوه‌های قابل‌قبول سایبریدر سال 2021، حملات سایبری باعث شد که کیفرخواست‌های قانونی بیشتر به‌عنوان بخشی از سلاح‌های و روش‌های استفاده‌شده در عملیات دشمن صادر گردد.بااین‌حال، دولت‌هایی که حملات هدفمند مدیریت‌شده را محکوم می‌کنند، خود از این نوع حملات در جهت اهدافشان استفاده می‌کنند. آن‌ها باید "بین نفوذ سایبری قابل‌قبول و حملات سایبری که قابل‌قبول نیستند" تمایز ایجاد کنند.کسپرسکی بر این باور است که برخی کشورها در سال 2022 طبقه‌بندی حملات سایبری خود را منتشر خواهند کرد و به جزئیات آن اشاره خواهد کرد که کدام نوع به‌عنوان حمله و رفتار غیرمجاز شناخته می‌شود.پارس تدوین پارس تدوین پارس تدوین Sun, 24 Apr 2022 09:48:40 +0430 https://virgool.io/@pars-tadvin/%D8%A7%D9%85%D9%86%DB%8C%D8%AA-%D8%B3%D8%A7%DB%8C%D8%A8%D8%B1%DB%8C-%D8%AF-%D8%B1-%DA%A9%D8%B3%D8%A8-%D9%88-%DA%A9%D8%A7%D8%B1%D9%87%D8%A7%DB%8C-%DA%A9%D9%88%DA%86%DA%A9-%D9%88-%D9%85%D8%AA%D9%88%D8%B3%D8%B7-ayzmin9ukbyv امنیت سایبری در کسب و کارهای کوچک و متوسطدرحالی‌که می‌بینیم کسب‌وکارهای بزرگ از امنیت سایبری دچار مخاطره می‌شوند، کسب‌وکارهای کوچک و متوسط باوجود کاستی در منابع و متخصصان هدف‌های ساده‌تری به‌حساب می‌آیند.حملات سایبری درشرکت‌ها با هر مقیاسی، خصوصاً در کسب‌وکارهای کوچک و متوسط رو به گسترش و توسعه ازنظر ساختار پیچیدگی است. بر اساس آمار نهمین گزارش جامع هزینه‌های حملات سایبری که توسط accenture صورت گرفته است. 43 درصد حملات سایبری کسب‌وکارهای کوچک را هدف قرار می‌دهند، درحالی‌که تنها 14 درصد برای دفاع ازاین‌گونه حملات آمادگی دارند.حملات سایبری نه‌تنها فعالیت معمول را مختل می‌کنند بلکه ممکن است باعث ایجاد خسارت در دارایی‌های فناوری اطلاعات و زیرساخت‌ها شوند به‌نحوی‌که بازگردانی آن‌ها بدون منابع یا بودجه فراوان غیرممکن باشد.دلایل ناکامی کسب‌وکارهای کوچک و متوسط در مقابل حملات سایبریکسب‌وکارهای کوچک باوجود تلاش زیادی که برای مقابله با حملات سایبری می‌کنند ولی به دلایلی توفیق زیادی در مقابله با این‌گونه حملات ندارند، Forbes در گزارشی تجربه شرکت‌ها را دراین‌باره این‌گونه برمی‌شمرد:اقدامات امنیتی ناکافی: 45 درصد می‌گویند که فرآیندهای آن‌ها در کاهش حملات بی‌اثر است.فراوانی حملات: 66 درصد در 12 ماه گذشته حداقل یک حمله سایبری را تجربه کرده‌اند.پیشینه حملات: 69 درصد باور دارند حملات سایبری هدفمندتر شده‌اند.بیشترین نوع حملات در شرکت‌های کوچک از شیوه‌های زیر انجام‌شده‌اند· فیشینگ و مهندسی اجتماعی 57%· دستگاه‌های در معرض خطر و دزدیده‌شده 33%· سرقت اطلاعات ورود 30%آمار حملات سایبری به کسب‌وکارهای کوچک و متوسطاطلاع از آخرین آمار حملات سایبری کاملاً به درک وضعیت تهدیدات سایبری، سو استفاده از آسیبپذیری ها ،عواقب حملات سایبری موفق و طرح‌ریزی راهبردی در جهت پیشگیری از حملات مرتبط است.1. 43 درصد نفوذها در کسب‌وکارهای کوچک و متوسط صورت گفته است.2. 61% شرکت‌های کوچک و متوسط اعلام کردند حداقل یک‌مرتبه موردحمله سایبری واقع‌شده‌اند. اگر هنوز هم به‌احتمال اینکه شرکت شما موردحمله سایبری قرار بگیرد باور ندارید. به این آمار توجه کنید.3. دریک بررسی که توسط سیسکو صورت گرفته، مشخص‌شده 40 درصد کسب‌وکارهایی که موردحمله واقع‌شده‌اند دست‌کم با هشت ساعت تعطیلی مواجه شده‌اند.4. در پژوهش سیسکو مشخص شد باج افزارها ازنظر کسب‌وکارهای کوچک در لیست سه تهدید اول پرمخاطره قرار نگرفته بودند، اگرچه 85% کسب‌وکارهای متوسط باج افزار را به‌عنوان مهم‌ترین تهدید تلقی نموده‌اند.5. 30 درصد کسب‌وکارهای کوچک فیشینگ را به‌عنوان مهم‌ترین تهدید امنیتی تلقی نموده‌اند6. فارغ از مقیاس اندازه سازمان 83% شرکت‌های کوچک و بزرگ منابع مالی برای بازیابی پس از حملات سایبری پیش‌بینی نکرده‌اند.7. تنها 14 درصد از شرکت‌های کوچک میزان خطر و آسیب ناشی از حملات سایبری را جدی تلقی نموده‌اند.20 درصد شرکت‌های کوچک از امنیت اندپوینت استفاده نمی‌کنند و 52 درصد شرکت‌ها متخصص امنیت مقیم در سازمان برخوردار نیستند.امنیت سایبری در مراکز درمانیبسیاری از بیمارستان‌ها و مرکز درمانی توجه بودجه خود را روی خرید فناوری‌های نوین پزشکی معطوفمی دارند. گیری کووید 19 نیز باعث ایجاد یک بار مضاعف بر بدنه بهداشت و درمان شد و هکرها نیز از آسیب‌پذیری‌های سایبری اغلب در قالب باج افزار سو استفاده کردند.بر اساس تحقیقات 70 درصد از حملات باج افزاری به بیمارستان‌ها، به دلیل صرف زمان طولانی‌تر بابت مراحل آزمایش و تشخیص باعث اقامت طولانی‌تر بیماران و افزایش مدت‌زمان بستری‌شده‌اند.نیمی از وسایلی که به اینترنت بیمارستان‌ها متصل می‌شود فاقد امنیت کافی بوده و بسیار در مقابل هکرها آسیب‌پذیر هستند بر اساس گزارش تازه منتشر شده ای از یک موسسه تخصصی امنیت سایبری در حوزه بهداشت و درمان بیش از نیمی از دیوایسهایی که به شبکه اینترنت بیمارستان‌ها متصل می‌شوند دارای آسیب‌پذیری‌هایی هستند که به‌راحتی می‌توانند امنیت بیماران، اطلاعات محرمانه و کارکرد دستگاه‌ها را به خطر بیندازند در این گزارش 10 میلیون دستگاه در بیش از 300 بیمارستان در سطح جهان مورد ارزیابی قرار گرفتند درحالی‌که به‌عنوان یک کاربر به شبکه متصل می‌شوند.اما همیشه حملات سایبری در قالب باج افزارها ظهور پیدا نمی‌کنند، برخی از هکرها ممکن است بسیار چراغ خاموش به سرورهای شرکت نفوذ کنند. اهداف این افراد ممکن است جمع‌آوری اطلاعات برای باج‌خواهی‌های آتی یا فروش داده‌های حساس و یا اطلاعات باارزش به افراد غیر باشند. درصورتی‌که شرکت برای مقابله با این‌گونه حملات مادگی نداشته باشد. ممکن است هیچ‌گاه متوجه حضور و فعالیت مهاجمین در سیستم‌های خود نشود. پارس تدوین پارس تدوین Sun, 24 Apr 2022 09:44:58 +0430 https://virgool.io/@pars-tadvin/%D9%86%D9%82%D8%AF-%D9%88-%D8%A8%D8%B1%D8%B1%D8%B3%DB%8C-xg-230-sophos-%D8%AA%D9%88%D8%B3%D8%B7-it-pro-piasetu3uwet این دستگاه جمع‌وجور با عمق کم برای هماهنگی با شبکه‌های شلوغ طراحی‌شده است. XG 230 Rev.2 Sophos مدعی است که توان عملیاتی فایروال خام ۳۲ گیگابایت در ثانیه دارد. حتی با فعال بودن همه سرویس‌های امنیتی، همچنان ترافیک  با سرعت ۴٫۵ گیگابایت در ثانیه عبور می‌کند.به لطف محفظه داخلی که از هشت ماژول مختلف Flexi پشتیبانی می‌کند، با ارائه گزینه‌هایی از PoE تا اتصالات ۱۰GbE و ۴۰GbE، همیشه امکان توسعه بیشتر برای دستگاه وجود دارد. به‌عنوان افزونه، دستگاه می‌تواند یک منبع تغذیه دوم اختیاری و یک جفت پورت بایپس شبکه را بپذیرد تا ترافیک همیشه جریان داشته باشد. حتی اگر عملکردهای UTM به هر دلیلی موقتاً غیرفعال شوند.قیمت محصول بر اساس یک اشتراک سه‌ساله Sophos TotalProtect Plus است، یک بسته جامع (SMB) که کلیه خدمات حفاظتی شبکه، وب، ایمیل و وب سرور را به همراه Sandstorm cloud sandbox و پشتیبانی FullGuard Plus را فعال می‌کند. این دستگاه همچنین به سرویس Sophos Central متصل می‌شود، که حفاظت را به end point خارجی گسترش می‌دهد و قابلیت‌های مدیریت ابری را اضافه می‌کند.معمولاً در موضوع امنیت ویژگی‌های زیادی وجود دارند که باید به فکرشان باشید. اما کنسول وب XG 230 با یک ویزارد نصب که دسترسی ادمین را ایمن می‌کند، پورت‌های شبکه را پیکربندی می‌کند، ارتقای سیستم‌عامل و خط‌مشی امنیتی پایه را اعمال می‌کند، کار به‌سرعت آغاز می‌شود.هنگامی‌که تنظیمات اولیه شما انجام شد، داشبورد Control Center کنسول به همان اندازه چشمگیر است و نمای کلی روشنی از فعالیت شبکه و مسائل امنیتی ارائه می‌دهد، با نمودارهایی که ترافیک وب و حملات شبکه شناسایی‌شده و همچنین جزئیات برنامه‌های مسدود شده و مجاز و دسته‌های وب را نشان می‌دهد.راه‌اندازی مدیریت از راه دور Remote آسان است زیرا می‌توانید دستگاه را مستقیماً از کنسول وب به‌حساب ابری Sophos Central خود متصل کنید. پس از احراز هویت، پورتال ابری همان کنسول محلی را با داشبوردهای گزارش زنده و دسترسی کامل به تمام ویژگی‌های مدیریتی را ارائه می‌دهد.مشاهده اینکه هر دستگاه خارجی که عامل پایانی Sophos Central را اجرا می‌کند، به‌طور خودکار در کنسول ظاهر می‌شود و نیازی به ثبت‌نام دستی نیست، بسیار جذاب است. پلتفرم امنیتی همگام Sophos از یک سرویس موسوم به تپش قلب “heartbeat “استفاده می‌کند تا همه محصولات پشتیبانی‌شده را در یک صفحه مدیریت کنید، با ویژگی کنترل برنامه‌های همگام‌سازی شده، به‌طور خودکار هر برنامه ناشناخته‌ای را در endpoint پیدا می‌کند و سیاست‌های فایروال را برای کنترل آن‌ها اعمال می‌نماید.پورت‌های متعدد دستگاه را می‌توان در مناطق مختلف گروه‌بندی کرد. XG 230 راهی ساده برای اعمال سیاست‌های امنیتی مختلف در بین گروه‌های کاربران و دستگاه‌های مختلف ارائه می‌کند. اگر دستگاهی به‌عنوان در معرض خطر گزارش شود، یک تنظیم در خط‌مشی فایروال می‌تواند بلافاصله همه سامانه‌ها را در همان منطقه ایزوله کند.جدای از آن، می‌توانید قوانین فایروال سوفوس را برای منابع و مقصدها، فیلترهای سرویس، مسدود کردن فعالیت‌ها و برنامه‌های زمانی تنظیم کنید، و سیاست‌های سفارشی را برای فیلتر کردن وب، تشخیص نفوذ، ایمیل و کنترل‌های برنامه اعمال کنید.مشخصات فنی  XG 230 Sophosاین گزینه‌های فیلترینگ وب تا تعداد ۹۰ دسته‌بندی قابل ارتقا هستند. که هریک به‌تنهایی می‌توانند فرمان عبور یا انسداد را صادر نمایند درحالی‌که برنامه قادر است از ۳۵۳۰ خط‌مشی اجرایی محافظتی که فقط ۷۳ مورد آن‌ها برای فعالیت‌های شبکه اجتماعی فیس بوک است را اجرا نماید ویژگی Sandstorm هر فایل ناشناخته‌ای را ره‌گیری می‌کند و آن‌ها را به یک محفظه ابری به نام Sand Storm می‌فرستد، تنها درصورتی‌که امن تلقی شود به فایل‌ها اجازه می‌دهد به‌صورت Local اجرا شوند. پارس تدوین پارس تدوین Sun, 24 Apr 2022 09:43:14 +0430 https://virgool.io/@pars-tadvin/%DA%86%D9%87-%D8%AA%D9%87%D8%AF%DB%8C%D8%AF%D8%A7%D8%AA-%D8%A7%D9%85%D9%86%DB%8C%D8%AA%DB%8C-%D8%AF%D8%B1-%D8%B3%D8%A7%D9%84-%DB%B2%DB%B0%DB%B2%DB%B1-%D8%A8%D9%87-%D9%88%D9%82%D9%88%D8%B9-%D9%BE%DB%8C%D9%88%D8%B3%D8%AA%D9%86%D8%AF-igbnsh87fa7y ارتباط بیشتر بین APT و دنیای مجرمان سایبریچند باج‌افزار دقیقاً از شیوه حملات APT استفاده کرده‌اند. به خطر انداختن یک هدف، حرکت جانبی در شبکه، و استخراج داده‌ها (قبل از رمزگذاری آن). اخیراً بلک بری ارتباط بین سه عامل تهدید مختلف را گزارش کرده است. که به‌طور غیرعادی از یک Initial Access Broker استفاده می‌کنند. از بین آن سه بازیگری که از یک سرویس استفاده می‌کردند، دو مورد فعالیت‌های مالی سایبری را دنبال می‌کردند، درحالی‌که سومی درواقع یک بازیگر تهدید APT به نام StrongPity بود.استراتژی سایبری: کیفرخواست به‌جای کانال‌های دیپلماتیک.کشورها در صورت لزوم شروع به استفاده بیشتر از قانون برای تلاش برای مختل کردن و مجازات عملیات حملات سایبری،، می‌کنند. کسپرسکی چندین مثال ارائه کرد، یکی از آن‌ها این بود که کاخ سفید روسیه را برای حمله به زنجیره تأمین SolarWinds مقصر دانست. یک تغییر به‌وضوح قابل‌مشاهده است. که در آن پیگیری حوادث APT اکنون از طریق راه‌های قانونی به‌جای کانال‌های دیپلماتیک انجام می‌شود.اقدامات بیشتر علیه کارگزاران روز صفر.بازار روز صفر هرگز به‌اندازه سال‌های اخیر شاهد رونق نبوده است. امروزه چندین شرکت که آسیب‌پذیری‌های روز صفر را به دولت‌ها یا اشخاص ثالث می‌فروشند وجود دارند. یکی از همین شرکت‌ها هدف نبرد حقوقی مشترکی قرارگرفته است که فیس‌بوک، مایکروسافت، گوگل، سیسکو و دل آغاز کرده‌اند..هدف‌گذاری تجهیزات شبکه رشد خواهد کرد.در سال ۲۰۲۱، عامل تهدید APT31 از شبکه‌ای از روترهای آسیب‌دیده SOHO (مدل‌های Pakedge RK1، RE1، RE2) استفاده کرد. این روترها به‌عنوان پروکسی برای عملیات APT استفاده می‌شدند، اما گاهی اوقات به‌عنوان سرورهای فرمان و کنترل نیز استفاده می‌شدند. بر اساس یک مقاله اخیر از Sekoia، عامل تهدید ممکن است چند ابزار شبکه دیگر را نیز در زیرساخت خود به خطر انداخته باشد. علاوه بر این، خدمات VPN همچنان مورد هدف قرار می‌گیرند. عامل تهدید APT10 از آسیب‌پذیری‌هایی که Pulse Connect Secure را هدف قرار می‌دهد، برای ربودن اتصال VPN سوءاستفاده کرد.اختلال بیشتر.حمله باج‌افزار به Colonial Pipeline یکی از نمادین‌ترین رویدادها در سال ۲۰۲۱ بوده است. تولید تحت تأثیر قرار گرفت و باعث مشکلات عرضه در ایالات‌متحده شد و زیرساخت‌ها را مجبور به پرداخت ۴٫۴ میلیون دلار باج کرد. خوشبختانه، وزارت دادگستری ایالات‌متحده می‌تواند ۲٫۳ میلیون دلار از این مبلغ را بازیابی کند. در مورد دیگری در سال ۲۰۲۱ روی داد، MeteorExpress بود، بدافزاری که سیستم ریلی ایران را دچار اختلال کرد.بهره‌برداری از همه‌گیری.موضوع COVID-19 به‌طور گسترده مورداستفاده قرار گرفت، ازجمله برای چندین عامل تهدید APT. انتشار اخباری تحت عنوان اطلاع‌رسانی همه‌گیری توانست به‌عنوان ابزاری برای به خطر انداختن اولیه اهداف، به‌طور مثال، در کمپین‌های فیشینگ استفاده شود.منبع: پارس تدوین پارس تدوین پارس تدوین Sun, 24 Apr 2022 09:42:14 +0430 https://virgool.io/@pars-tadvin/%DA%A9%D8%B4%D9%81-%D8%AF%D9%88-%D8%A8%D8%A7%DA%AF-%D8%A7%D9%85%D9%86%DB%8C%D8%AA%DB%8C-%D8%AF%D8%B1-%D9%88%DB%8C%D9%86%D8%AF%D9%88%D8%B2-%D9%85%D8%A7%DB%8C%DA%A9%D8%B1%D9%88%D8%B3%D8%A7%D9%81%D8%AA-ocpiiindjepl یک ابزار اثبات مفهوم اعلام کرد دو باگ اکتیو دایرکتوری ویندوز که ظاهرا دو ماه پیش برطرف شده بودند، اگر به‌صورت زنجیره‌ای استفاده شوند به‌سادگی اجازه تسلط  به دامین ویندوز را می دهند.آسیب پذیری ویندوزدر یک اعلان رسمی مایکروسافت از سازمان‌ها خواست که هرچه سریع تر  با نصب پچ امنیتی منتشرشده یک جفت آسیب‌پذیری به نام های ۴۲۲۸۷-۲۰۲۱CVE-و ۴۲۲۸۷-۲۰۲۱CVE- را برطرف نمایند.هردوی این آسیب‌پذیری‌ها به‌عنوان با شدت بالا (۷٫۵ از ۱۰CVSS) معرفی شدند.مایکروسافت اعلام کرد همان‌گونه همیشه میگوییم در اسرع وقت آخرین پچ کنترل دامین را نصب نمایید.این آسیب‌پذیری به مهاجمان امکان می‌دهد تا بر مدیریت دامین نسخه‌های فاقد پچ ویندوز به‌سادگی دسترسی پیدا کنند.مدیر دامین در ویندوز کاربرانی هستند که می‌توانند تنظیمات اکتیو دایرکتوری و محتوای درونی این بخش را تغییر دهند مدیر دامین می‌تواند کاربر تازه تعریف نموده و یا برای دسترسی کاربران قدیمی محدودیت ایجاد نموده و روی مجوزها و احراز هویت ویندوز کنترل داشته باشد.با ترکیب این دو آسیب‌پذیری مهاجم می‌تواند مسیر مستقیمی به دامین ادمین ایجاد به‌سادگی به‌محض اینکه یک کاربر بر روی دامین حضور پیدا کند بر ادمین تسلط پیدا نماید.در دسامبر یک ابزار اثبات مفهوم PoC، این آسیب‌پذیری را به‌طور عمومی در شبکه‌های اجتماعی منتشر نمود. یک هفته بعد از انتشارِپچ، چند نفر از محققین امنیت تأیید کردند این آسیب‌پذیری وجود داشته و نفوذ از طریق آن نیز بسیار ساده است.شرح آسیب پذیری توسط مایکروسافتمایکروسافت از این اکسپلویت به‌عنوان جعل هویت Same Account Name یاد می‌کند. یک نام ورود به سیستم که برای پشتیبانی از کلاینت‌ها و سرورهای نسخه‌های قبلی ویندوز، مانند Windows NT 4.0، Windows 95، Windows 98 و LAN Manager استفاده می‌شود.تیم تحقیقاتی مایکروسافت یک راهنمای دقیق برای آگاهی از نشانه‌های بهره‌برداری و شناسایی سرورهای در معرض خطر که دارای سامانه‌های امنیتی با قابلیت ردیابی تغییر نام های غیرعادی هستند منتشر نمود.تغییر نام ها بسیار به‌ندرت آن‌هم با اعلام به سامانه‌های امنیتی اتفاق می‌افتند این سیستم‌های امنیتی مانند EDR کسپرسکی ابزار امنیتی مبتنی بر سرویس ابری هستند که وظیفه آن‌ها شناسایی تشخیص و ردیابی تهدیدات رده‌بالا است.یک متخصص امنیت دراین‌باره گفته است اگر نسبت به بهره‌برداری از این حفره امنیتی در سیستم خود شک دارید حتماً راهنمای گام‌به‌گام منتشرشده توسط مایکروسافت را مطالعه نمایید.برای جلوگیری ازاین‌گونه حملات مرتبط با جعل هویت رعایت موارد زیر ضروری است:مایکروسافت ۳۶۵ را بازنموده و روی شکار پیشرفته کلیک نموده و مقادیر زیر را کپی نموده و با دامین کنترل موجود جابه‌جا نمایید.IdentityDirectoryEvents | where Timestamp > ago(1d) | where ActionType == “SAM Account Name changed” | extend FROMSAM parse_json(AdditionalFields)[‘FROM SAM Account Name’] | extend TOSAM = parse_json(AdditionalFields)[‘TO SAM Account Name’] | where (FROMSAM has “$” and TOSAM!has “$”) or TOSAM in (“DC1”, “DC2”, “DC3”, “DC4”) // DC Names in the org | project Timestamp, Application, ActionType, TargetDeviceName, FROMSAM, TOSAM, ReportId, AdditionalFieldsاین query را اجرا کنید و نتایجی را که شامل دستگاه‌های آسیب‌دیده است تجزیه‌وتحلیل کنید. می‌توانید از Windows Event 4741 برای پیدا کردن سازنده این ماشین‌ها، درصورتی‌که به‌تازگی ساخته‌شده‌اند، استفاده کنید.مطمئن شوید که دستگاه‌ها را با KB های زیر به‌روز کنید: KB5008102، KB5008380، KB5008602.مایکروسافت گفت: «تیم تحقیقاتی ما به تلاش خود برای ایجاد راه‌های بیشتر برای شناسایی این آسیب‌پذیری‌ها، چه از طریق پرس‌وجو و یا همکاری‌های خارجی ، ادامه می‌دهد». پارس تدوین پارس تدوین Sun, 24 Apr 2022 09:40:08 +0430