بحران باج افزار در حال افزایش است و عوامل تهدید دقیقاً در حال پیشرفت و بهبود TTP های خود هستند. افزایش حملات و اقدامات متقابل مقامات مجری قانون در چند وقت اخیر ، اپراتورهای باج افزار را به تکامل استراتژی های خود سوق داده است.

چه چیزی در حال اتفاق است؟

اپراتورهای باج افزارها از سایر سازمان ها مانند توزیع کنندگان Trojan برای توسعه بدافزار استفاده می کنند.این توزیع کنندگان ، تسهیل کننده دسترسی نامیده می شوند و از طریق پیوست های مخرب یا پیوندهایی که از طریق ایمیل ارسال می شود ، قربانیان را به دام می اندازند.

چرا باید اهمیت داد؟

باج افزارها به دلیل بهبود قابلیت شناسایی ،اکنون به ندرت از طریق ایمیل منتشر می شوند. تغییر جهت بارگیری به عنوان مرحله اول بار به اپراتورهای باج افزار ، انعطاف پذیری و انتخاب بهتری را ارائه می دهد.

آمار

در حالی که در مورد استراتژی های باج افزار صحبت می کنیم ، بهتر است نگاهی به آمار هم بیندازیم.

در دو ماه گذشته ، آفریقا شاهد افزایش 38 درصدی حملات باج افزار و پس از آن اروپا با 27 درصد بوده است.

از ابتدای سال میلادی ، حملات باج افزارها 41٪ افزایش یافته است. آمریکای لاتین با 62٪ ، و پس از آن اروپا 59٪ ، بیشترین افزایش در تلاش برای جلوگیری از حملات را داشته اند.

بیشترین تهدیدها در آموزش و پرورش (347٪) ، حمل و نقل (186٪) ، خرده فروشی و عمده فروشی (162٪) و بهداشت و درمان (159٪) مشاهده شده است. همه این مقادیر بر اساس حملات هفتگی است.

بحران باج افزارها در حال افزایش است و عوامل تهدیدکننده با دقت در حال تکامل و بهبود TTP های خود هستند.

افزایش حملات و اقدامات متقابل که در چند وقت اخیر توسط مقامات انتظامی انجام شده است ، اپراتورهای باج افزار را به تکامل استراتژی های خود سوق داده است.

استراتژی های دیگری که باید به آنها توجه کرد

استراتژی دیگری که مهاجمان باج افزار در اختیار دارند ، رمزگذاری مضاعف است که در آن از انواع مختلف باج افزار برای رمزگذاری داده های مشابه استفاده می کنند.

با گذشت زمان ، مهاجمان به گونه های جدید باج افزار و بدافزار سفارشی دست یافته اند.

سخن پایانی

جرایم سایبری روز به روز در حال افزایش و تکامل هستند وتهدیدهای مبتنی بر ایمیل از ابتدای امسال به موردی قدیمی تبدیل شده است. در حالی که تلاش های جدیدی توسط مقامات اجرای قانون در سراسر جهان برای مهار این امر اعلام شده است ، امنیت سایبری هر سازمان صرف نظر از اندازه آن باید جدی گرفته شود.

برای بهبود امنیت سازمان شما

حمله سایبری به هیچ وجه تهدیدی دور از دسترس نیست. هر سازمانی می تواند هدف آن باشد. این نوع شبیه سازی حمله سایبری یکی از روش‌های آزمایش امنیت کامپیوتر است.

ابزار شبیه سازی حمله سایبری مانند یک فرایند مداوم و خودکار عمل می کند که با آزمایش تیم قرمز و آبی بهبود می یابد.

اساساً تیم قرمز نقش مهاجمین مخرب را بازی می کند و تیم آبی به جلوگیری از حملات کمک می کند. تمام این شرایط باید توسط متخصص امنیت ،هدایت و در محیط کنترل شده انجام شود. هر دو طرف با هم همکاری خواهند کرد تا تصویر روشنی از امنیت سازمان بدست آورند.

نقض و شبیه سازی حمله سایبری با تحریک تکنیک حمله ، نقش مهمی در محافظت از دارایی های سازمانی دارند.

 اساساً ، این روش به عنوان نوع جدیدی از ابزار برای نجات سازمان شما عمل می کند.

ده شبیه ساز برترحمله سایبری

  • BreachLock
  • Foreseeti
  • Infection Monkey
  • AttackIQ
  • XM Cyber
  • Cymulate
  • Randori
  • CALDERA
  • NeSSi2
  • Picus

Breach Lock

برای شبیه سازی حمله سایبری ، BreachLock ابزاری است که تست نفوذ را به عنوان سرویس (PTaaS) ارائه می دهد.این شبیه ساز اجازه می دهد آسیب پذیری را با چند کلیک شروع کنید تا بتواند در فواصل زمانی به طور خودکار اجرا شود.

Foreseeti

این ابزار به شما این امکان را می دهد تا به طور زیرساختی حمله کنید تا بتوانید ریسک را ارزیابی و مدیریت کنید.

این فرایند ،سه مفهوم ساده دارد:

ایجاد یک مدل: در این فرآیند می توانید روتر ، فایروال ، سرور و سرویس اضافه کنید.

شبیه سازی حمله: این فرآیند بسیار مهم است زیرا شما باید بدانید که سیستم شما چه زمانی خراب می شود.

گزارش خطر: این فرایند کاملاً مبتنی بر داده های شبیه سازی است که در آن گزارش های عملی تولید می شوند. به عنوان یک کاربر ، می توانید آن را با خطر کلی و کم خطر پیاده سازی کنید.

Infection Monkey

اگر به فکر اجرای برنامه خود در Cloud هستید ، پیشنهاد می شود از Infection Monkey استفاده کنید تا بتوانید زیرساخت هایی را که از طریق Azure ، Google Cloud  یا محل زندگی در حال اجرا هستند آزمایش کنید.

این یکی از بهترین ابزارهای منبع باز است که می تواند در ویندوز و داکر نصب شود. برای جلوگیری از پیکربندی غلط و سرقت اطلاعات ، می توانید یک شبیه سازی خودکار حمله سایبری را اجرا کنید. Infection Monkey در صورت عدم تأثیر بر عملکرد شبکه ، یک شبیه سازی حمله غیر سرزده را انجام می دهد.

حافظه CPU و footprint را کم می کند. به راحتی شبکه را تجسم کرده و گرایش مهاجم را ترسیم می کند.

ضمناً می‌توانید از نسخه آزمایشی رایگان آن استفاده کنید و سپس تصمیم بگیرید که کار بیشتری با آن انجام دهید.

Attack IQ

 یکی از محبوب ترین ابزارهای شبیه سازی حمله سایبری برای اعتبار سنجی امنیت است. این شبیه ساز ، سیستم عامل را مقیاس پذیر می کند تا بتواند مرکز داده را به طور ایمن تقویت کند.این سیستمی است که به مهندسان عملیات امنیتی کمک می کند تا سیستم تهاجمی و دفاعی را با تیم قرمز انجام دهند. این نوع ابزار کاملاً با چهارچوب های حیاتی مختلف مانند MITER ATT & CK یکپارچه شده است.

برای درک این ابزار به روشی بهتر،می‌توانید از نسخه آزمایشی رایگان آن استفاده کنید.

XM Cyber

این شبیه ساز، APT خودکار (تهدید مداوم پیشرفته) را بعنوان راه حل شبیه سازی حمله سایبری ارائه می دهد.

برخی ویژگی های این ابزار:

_ می‌تواند سناریوی حمله را بسته به نیاز سفارشی کند.

_ می‌تواند مسیر حمله را تجسم کند.

_ XM Cyber همیشه از روش حمله پیروی می کند.

Cymulate

این ابزار بسته به استاندارد صنعت ، شامل پایگاه داده MITER ATT & CK ، همه چیز را ترسیم می کند.یک پلتفرم بهینه سازی مداوم است که به طور خودکار حمله می‌کند و نتیجه توصیفی شامل امتیازات ، آسیب پذیری و غیره را فراهم می کند.

Randori

 یک ابزار بسیار قابل اعتماد است که از متد تیم قرمز استفاده می‌کند.

این ابزار مزایای مختلفی دارد.مانند:

_ این سیستم عامل به ما امکان می دهد راه حل امنیتی را ارزیابی کرده و نقاط ضعف را شناسایی کنیم.

_ در جایی که نشان می دهد چگونه یک حمله می تواند دارایی های سازمان را ببیند ، راه حل ایجاد می کند.

_ همچنین به تیم اجازه می دهد تا مهاجمان واقعی را تحریک کرده و راهی ایمن به سمت سیستم IT سازمان ایجاد کند.

همچنین تجزیه و تحلیل هدف حمله در زمان واقعی را فراهم می کند که در آن کاربر می تواند ضعف و دفاع آزمایشی را تشخیص دهد و به شما اجازه نمی دهد که ایمن و مطمئن باشید.

Caldera

یک ابزار شبیه سازی سایبری است که فقط از شبکه Windows Domain پشتیبانی می کند. این ابزار از مدل ATT & CK استفاده می کند تا بتواند رفتار سیستم را آزمایش و تکرار کند.

NeSSi2

این یک ابزار منبع باز دیگر است که از چارچوب JIAC پشتیبانی می کند. کار اصلی آن آزمایش تشخیص نفوذ شامل الگوریتم ها ، حملات خودکار مبتنی بر پروفایل ، تجزیه و تحلیل شبکه و موارد دیگر است. برای اجرای این ابزار ، به Java SE7 و MySQL نیاز دارید.

Picus

 یکی از بهترین راه حل های مدیریت امنیت و ریسک است که اقدامات مداوم ، ارزیابی و آسیب پذیری ها را برای شما فراهم می کند و به شما امکان می دهد یک قدم جلوتر از مجرمان اینترنتی باشید.

پیکربندی و استفاده از این داشبورد بسیار آسان است و باعث ایجاد بستری می شود تا کاربران بتوانند به راحتی مجرم واقعی را بگیرند و دفاعیات شما را آزمایش کنند. همچنین از محافظت کافی نیز برخوردار است.

سخن آخر

به عنوان یک مالک کسب و کار یا مدیریت IT سازمان ، خطر امنیت همیشه چالش برانگیز است. ما امیدواریم که تمام ابزارهای شبیه سازی حمله سایبری فوق بتوانند به شما در اجرای کنترل با خطر کم کمک کنند.

در این مقاله داده های تست سرعت توسط M-Lab و ابزار تشخیصی شبکه (NDT) آنها جمع آوری می شود.

M-Lab  منبعی است که از آن برای تجزیه و تحلیل داده ها و داده های سرعت اینترنت ، استفاده خواهیم کرد. M-Lab به طور هفتگی سرعت متوسط بارگیری و بارگذاری را برای 192 کشور اندازه گیری می کند. این داده ها از هفته منتهی به 30 آگوست 2020 تا امروز است. کشورهای زیر با سرعت متوسط بارگیری ، در زمان آزمایش ، رتبه بندی شده اند.

ایران در این میان با Mbps 2.74 در رتبه 113 جهانی قرار دارد. در حال حاضر ، اروپا دارای سریعترین سرعت اینترنت در جهان است که توسط کشورهای اسکاندیناوی هدایت می شود. در بسیاری از کشورهای اروپایی ، در نمونه های بزرگ آزمایش ، سرعت بارگیری و بارگذاری سریع تری وجود دارد.

به طور کلی ، اگر در جستجوی برنده واقعی در مورد سریعترین سرعت اینترنت در سراسر جهان هستید ، کشورهای اسکاندیناوی پیشتاز جهان هستند. سرعت بارگیری سریع و بارگذاری در دانمارک ، سوئد ، ایسلند ، فنلاند و نروژ در دسترس است. این منطقه از نظر سرعت سریع اینترنت به طور ثابت ، دارای رتبه بالایی است .ایالات متحده در رتبه سیزدهم سرعت متوسط ​​بارگیری قرار دارد. این کشور هم از نظر جمعیت و هم از نظر اندازه بزرگترین کشور است که نسبت به بزرگترین نمونه های آزمایش ، عملکرد خوبی برای سرعت بارگیری دارد.

اینفوگرافی سریع ترین اینترنت جهان

هکرها از ترفند جدید برای غیرفعال کردن هشدارهای امنیتی کلان در پرونده های مخرب office استفاده می‌کنند.

یافته های جدید نشان می دهد مهاجمان از اسناد غیر مخرب برای غیرفعال کردن هشدارهای امنیتی قبل از اجرای کد ماکرو برای آلوده کردن قربانیان استفاده می کنند.

محققان آزمایشگاه McAfee با یک تاکتیک جدید روبرو شدند که “DLL های مخرب (ZLoader) را بدون اینکه هیچ کد مخربی در ماکرو ضمیمه اسپم اولیه باشد،بارگیری و اجرا می کند. “

ویروسهای ZLoader که با استفاده از این مکانیسم منتشر می شوند ، در درجه اول در ایالات متحده ، کانادا ، اسپانیا ، ژاپن و مالزی گزارش شده اند. این بدافزار  از نوادگان تروجان بدنام ZeuS است که با استفاده تهاجمی از اسناد Office با ماکرو فعال به عنوان بردار حمله اولیه برای سرقت اعتبار و اطلاعات قابل شناسایی شخصی از کاربران مؤسسات مالی هدفمند ، مشهور است.

محققان در تحقیق در مورد نفوذها دریافتند که زنجیره ویروس با یک ایمیل فیشینگ حاوی پیوست سند Microsoft Word آغاز شد که با باز شدن آن ، یک پرونده Microsoft Excel محافظت شده با رمز عبور از یک سرور از راه دور بارگیری شد. با این حال ، لازم به ذکر است که ماکروها باید در سند Word فعال شوند تا خود بارگیری آغاز شود.

محققان گفتند: «پس از بارگیری پرونده XLS ، Word VBA محتوای سلول را از XLS خوانده و ماکرو جدیدی برای همان پرونده XLS ایجاد می کند و محتویات سلول را به عنوان توابع در ماکروهای XLS VBA می نویسد.»

«پس از نوشتن و آماده شدن ماکروها ، سند Word خط مشی موجود در رجیستری را به” غیرفعال کردن هشدار ماکرو در اکسل “تنظیم می کند و عملکرد مخرب ماکرو را از پرونده اکسل فراخوانی می کند. پرونده اکسل اکنون بارگیری ZLoader را آغاز می کند. بارگذاری ZLoader پس از آن است با استفاده از rundll32.exe اجرا شد. »

با توجه به “خطر امنیتی قابل توجه” که توسط ماکروها ایجاد می شود ، این ویژگی معمولاً به طور پیش فرض غیرفعال است. با خاموش کردن هشدار امنیتی ارائه شده به کاربر ، حملات قابل توجه است زیرا اقدامات لازم برای خنثی سازی شناسایی و ماندن در زیر رادار انجام می شود.

هم چنین اشاره کردند: «اسناد مخرب نقطه ورود اکثر خانواده های بدافزار بوده و این حملات باعث تکامل تکنیک های آلودگی و مبهم سازی آنها شده و نه تنها محدود به بارگیری مستقیم بار از VBA ، بلکه باعث ایجاد عوامل به صورت پویا برای بارگیری محموله ها است.” “استفاده از این عوامل در زنجیره ویروس فقط به Word یا Excel محدود نمی شود ، اما تهدیدات بعدی ممکن است از سایر ابزارهای موجود برای بارگیری بارهای آن استفاده کند.»

راهکار جامع و یکپارچه امنیت سایبری در سیستم‌های کنترل صنعتی
  • ارائه طرح امن سازی بر اساس مفهوم دفاع در عمق
  • آموزش و آگاهی رسانی
  • رفع آسیب پذیری های شناسایی شده در مرحله ارزیابی
  • اصلاح پیکربندی سیستم ها و تجهیزات شبکه
  • اصلاح معماری شبکه بر اساس مفهوم بخش بندی شبکه و تعریف مناطق امنیتی
  • کنترل دسترسی از راه دور
  • استقرار راهکارهای مدیریت تغییرات
  • استقرار راهکارهای EndPoint Security جهت مقابله با بدافزار
  • ارائه راهکار جهت مطابقت با استانداردها و طرح های ابلاغی
  • استقرار تجهیزات تشخیص حملات در شبکه صنعتی و سایبری
  • تشخیص و جلوگیری از حملات APT در زیرساخت صنعتی/سایبری
  • نظارت 24*7 و مدیریت تجزیه و تحلیل لاگ
  • مدیریت وصله‌های امنیتی
  • همبسته‌سازی رخدادهای صنعتی/IT بصورت یکپارچه
  • یادگیری و تشخیص ناهنجاری در تمامی زیرساخت بصورت DPI
  • مدیریت امنیت HMI ها و کنترل یکپارچگی شاخصه‌ها

امنیت دشوار است، امنیت گران قیمت است . این دو عبارت بازگو کننده نظرات افرادی است که برای ارتباطات الکترونیکی خود نیاز مبرم به امنیت را دریافته اندو به دنبال آن هستند. کلمه “امنیت شبکه های تجاری” یا “Enterprice network security” با افزایش درک شرکتها از ریسک‌های موجود و همچنین توسعه نرم افزارهای کاربردی در محاورات متداول تر شده است.گرچه جمله ذیل در ابتدا ممکن است نگران کننده باشد، اما حقیقتی است انکار ناپذیر اینکه “امنیت مطلق وجود ندارد” زیرا: تنظیمات تجهیزات ناکافی است، حملات جدیدی طراحی می شوند و نرم افزارها باگ‌های امنیتی دارند که لازم است به آن‌ها پرداخته و رفع گردد. بهترین کارهایی که هر شرکت می تواند انجام دهد عبارتند از تشخیص ریسک‌ها و تهدیدات امنیتی و نقاط ضعف ها، تصمیم گیری بر این موضوع که چه موارد بحرانی وجود دارد، سپس پیاده سازی سیاست‌های امنیتی است با کارآیی بالا و مطلوب. همچنین این مسئله مهم است که تحقیق و بررسی شود که آیا سیاست‌های امنیتی بدرستی اجرا می‌شوند که این امر متضمن مونیتورینگ و نظارت فعال ترافیک روی شبکه و انجام بررسی دوره ای مجوزهای امنیتی است. امنیت شبکه موضوعی است پیچیده. این مساله تا حدودی ناشی از وفور تکنولوژی‌های امنیتی قابل دسترس می‌باشد. در اینجاست که برای شروع پیاده سازی استراتژی‌های امنیتی، با توجه به امکانات قابل دسترس و تشخیص تهدیدات بالقوه و بالفعل باید با تکیه بر مشاورین متخصص سریعاً اقدام نمود.

حفاظت از زیرساخت‌­های حیاتی ملی برای ایجاد جامعه‌ای امن، ایمن و مقاوم در قبال حملات سایبری و سایر مخاطرات طبیعی و انسانی امری ضروری است. در این راستا زیرساخت‌های حیاتی نیازمند سازوکارهایی برای حفظ محرمانگی، یکپارچگی و دسترس‌پذیری دارایی­‌های خود می­‌باشند. با توجه به نوپایی مفهوم امنیت فضای تولید و تبادل اطلاعات و با عنایت به میزان تأثیر آن بر امنیت ملی کشور، پرداختن به این موضوع و نهادینه‌­سازی آن به‌عنوان یک ضرورت و اولویت تلقی می­‌شود.

مرکز مدیریت راهبردی افتای ریاست جمهوری در اسفندماه سال ۹۷ نسخه جدید طرح امن سازی زیرساخت‌های حیاتی در قبال حملات سایبری را به تمامی دستگاه‌های اجرایی دارای زیرساخت حیاتی کشور ابلاغ نمود. در این مطلب تلاش شده است، خلاصه‌­ای از الزامات در نظر گرفته شده در مستند مذکور ارائه گردد. در بخش اول این مقاله مرکز مدیریت راهبردی افتا و اهداف آن معرفی شده و در ادامه به الزامات و مخاطبین طرح که پیاده ­سازی موارد برای آن­ها الزامی است اشاره شده است.

معرفی مرکز مدیریت راهبردی افتا ریاست جمهوری

پیشینه تشکیل مرکز مدیریت راهبردی افتا به تدوین سند راهبردی افتا باز می‌گردد. در سال ۱۳۸۲ شورای عالی افتا بر اساس ضرورت‌ها، توسط دولت وقت ایجاد و ملزم به تدوین این سند برای کشور شد. سند تدوین‌­شده توسط شورای مذکور، در سال ۱۳۸۴ توسط هیئت دولت به تصویب رسید و به دستگاه‌ها ابلاغ شد.

پس از تصویب و ابلاغ سند راهبردی افتا توسط هیئت‌وزیران، مرکز مدیریت راهبردی افتا، به‌منظور برنامه‌ریزی، سیاست‌گذاری و نظارت بر حسن اجرای دستورالعمل‌های ابلاغی در دستگاه‌های اجرایی و نیز به‌عنوان دبیرخانه سند در سال ۱۳۸۶ تشکیل شد. سند راهبردی افتا که مأموریت اجرای آن توسط دولت‌های نهم، دهم و یازدهم به این مرکز محول شده است، در سال ۱۳۸۷ موردبازنگری قرار گرفت. موضوع مسئولیت مرکز در اجرای سند نیز توسط معاون اول رؤسای محترم جمهور در هر دوره، به‌منظور همکاری دستگاه‌های اجرایی به آن‌ها ابلاغ شد. در ذیل، عناوین مستندات سیر تشکیل مرکز و مأموریت‌های محوله آن ارائه شده است:

  • تأسیس شورای عالی افتا – سیزدهم اسفند سال ۱۳۸۲
  • تدوین سند راهبردی افتا توسط شورای عالی افتا و تصویب در هیئت محترم وزیران – سال ۱۳۸۴
  • تأسیس مرکز مدیریت راهبردی افتا – سال ۱۳۸۶
  • بازنگری سند راهبردی افتا و ابلاغ آن – اسفندماه ۱۳۸۷
  • بخشنامه دبیر محترم شورای عالی و رئیس مرکز ملی فضای مجازی در بهمن‌ماه سال ۹۴

سیاست­های کلان مرکز مدیریت راهبردی افتا

سیاست‌های کلی این مرکز را می‌­توان در محورهای ذیل دسته‌بندی نمود:

  • اشراف بر فناوری‌های نوین و بهره‌­گیری از آن‌ها
  • انجام امور رگولاتوری (تنظیم مقررات)، ساماندهی، نظارت و هماهنگی حوزه افتا در سطح کشور
  • بهره‌گیری از تدابیر صحیح و فنی، جهت پیشگیری از مخاطرات امنیتی، تشخیص به‌موقع، مقابله صحیح و هوشمندانه با مخاطرات
  • توجه اکید به رویکردهای ایجابی در انجام مأموریت‌ها و در حد امکان دوری از رویکردهای سلبی
  • امن‌سازی مدبرانه فضای تولید و تبادل اطلاعات به‌منظور عدم توقف استمرار ارائه خدمات
  • انجام اقدامات حمایتی از صنعت افتای بومی کشور
  • تأسیس مراکز افتا در استان‌ها با رویکرد نظارتی و کنترلی

مخاطبین طرح

مخاطب اصلی این طرح کلیه زیرساخت­‌ها و دستگاه­‌های دارای طبقه‌­بندی کشور بوده و سایر دستگاه‌­ها نیز می­‌توانند به فراخور نیاز خود از آن استفاده نمایند. آنچه در این بخش ضروری است، این موضوع است که دستگاه ما به‌عنوان یک زیرساخت حیاتی به شمار می‌­رود یا خیر. زیرساخت‌های حیاتی (Critical Infrastructure) به‌صورت کلی به آن دسته از سامانه‌ها، خدمات یا حتی عملیاتی اطلاق می‌شود که اختلال یا تخریب آن‌ها موجب تضعیف یا ناتوانی در خدمات بهداشت عمومی، تجارت و اقتصاد، امنیت ملی یا هر ترکیب دیگری از این قبیل موارد شود. این موارد شامل سازمان­‌های فعال در حوزه ارتباطات، انرژی، سامانه‌های بانکی، خطوط حمل‌ونقل، بهداشت عمومی و خدمات ضروری دولتی می‌شود.

در حال حاضر لیست مشخصی از سازمان‌­ها و دستگاه‌­های حیاتی در کشور وجود ندارد (و یا توسط نگارنده این مقاله یافت نشده است) و تصمیم‌­گیری در این خصوص معمولا بر مبنای استعلام از مرکز مدیریت راهبردی افتا صورت می گیرد. همچنین تطابق با الزامات آورده شده در این طرح، برای مخاطبین آن، به عنوان یک الزام مطرح می باشد و در صورت اقدام این مخاطبین برای ممیزی و دریافت گواهینامه ملی سیستم مدیریت امنیت اطلاعات -ISMS، علاوه بر الزامات استاندارد مرجع -ISO 27001 اجرای الزامات این طرح نیز باید مورد تایید قرار بگیرد.

خلاصه مدیریتی طرح

هدف از این طرح، تأمین امنیت فضای تولید و تبادل اطلاعات سازمان و جلوگیری از بروز اختلال در ارائه سرویس­‌های حیاتی آن است. در این طرح الزاماتی برای ایجاد، پیاده‌­سازی، نگهداری و بهبود مستمر امنیت اطلاعات در حوزه­‌های زیرساختی ارائه‌شده است. همچنین سازمان نیازمند ساختاری برای تأمین منابع انسانی و مالی به‌منظور اجرای طرح است. این ساختار متناسب با شرایط و اهداف سازمان می­‌تواند در قالب کمیته اجرای طرح یا ایجاد واحدی سازمانی باشد. تشکیل این ساختار به‌عنوان پیش‌نیازی برای اجرای سایر الزامات طرح بوده و پس از انجام اقدامات فوق در سازمان، لازم است طرح امن­‌سازی متناسب با نقشه راه اجرایی گردد. (برای کسب اطلاعات بیشتر به مقاله سازماندهی امنیت و ضرورت وجود واحد و مدیر امنیت اطلاعات – CISO رجوع شود)

نقشه راه اجرای طرح امن‌سازی

زیرساخت­‌های حیاتی لازم است بر اساس گام‌­های نقشه راه، نسبت به اجرای طرح امن سازی اقدام نمایند. گام‌­های نقشه در شکل زیر مشخص‌شده است.

الزامات طرح امن‌سازی

این الزامات، کنترل‌های حداقلی به‌منظور کاهش مخاطرات دارای اولویت در زیرساخت‌ها است و هدف از این بخش جهت‌دهی راهبردی به فعالیت‌های ملی در حوزه امنیت سایبری زیرساخت‌ها و ارائه یک نقشه راه، برای توسعه هم‌زمان امنیت سایبری در بخش‌های مختلف کشور در سال‌های پیش رو است. سطح بلوغ امنیتی مطلوب سازمان در هر یک از الزامات این طرح، می‌تواند بر اساس سطح قابل‌پذیرش مخاطرات سازمان تعیین گردیده و این سطح در برنامه عملیاتی سازمان تصریح و به تأیید مرکز افتا خواهد رسید.

مدیریت مخاطرات

راهبرد اصلی طرح امن­‌سازی زیرساخت‌های حیاتی در قبال حملات سایبری، مدیریت مخاطرات است. مدیریت مخاطرات فرآیندی مستمر است که در آن تهدیدات و آسیب‌پذیری‌های موجود در یک سازمان شناسایی و ارزیابی می‌شوند و از طریق انجام اقدامات امن‌­سازی که اولویت بیشتری دارند، مخاطرات مدیریت می‌شوند. لازمه این امر وجود یک رویکرد مدیریت مخاطرات سیستماتیک متناسب با بافتار، شرایط و مخاطرات خاص سازمان است که بدین منظور، امروزه استانداردها و روش‌های متعددی نظیر ISO/IEC 27005 ،ISO 31000 ،ISA/IEC 62443 و … چارچوب‌های مناسبی را برای مدیریت مخاطراتی که به امنیت اطلاعات لطمه می‌زند در اختیار سازمان‌ها قرار می‌دهند. سازمان باید مدیریت مخاطرات امنیت را مطابق با الزامات شکل زیر تعیین نماید.

این فرایند شامل شناخت بافتار سازمان است که شامل ساختار سازمانی، نقش‌ها و مسئولیت‌ها، خط‌مشی‌ها و … است. در این راستا باید محدوده و قلمرو فرایند مدیریت مخاطرات و معیارهای ارزیابی تعیین گردد و در گام بعد در مرحله ارزشیابی مخاطره، شناسایی مخاطره، تحلیل مخاطره و ارزیابی مخاطره صورت می‌پذیرد.

پایش و کنترل سایبری

با توسعه روزافزون فناوری اطلاعات و نیاز سازمان‌ها به استفاده از بسترهای الکترونیکی و مجازی و پیچیدگی و تنوع حملات و تهدیدات سایبری، صرفاً به‌کارگیری تجهیزات مرسوم امنیتی مانند فایروال کافی نیست، زیرا این تجهیزات هر یک به‌طور منفرد بخشی از نیازهای امنیتی سازمان را مرتفع می‌سازد. لذا به‌منظور شناسایی حملات و تهدیدات سایبری پیشرفته، استفاده از راهکارهای پایش یکپارچه و هوشمند رویدادهای امنیتی ضروری است. مطابق با الزامات این بخش سازمان باید مرکز عملیات امنیت را با استفاده از ظرفیت‌های داخل سازمان و یا با استفاده از ظرفیت سازمان بالادستی ایجاد کند.

اهداف فرآیندی در این بخش شامل موارد زیر است:

  • پایش بر خط رویدادهای امنیتی که باهدف تشخیص ناهنجاری‌های ترافیکی و ممیزی انطباق عملکردها با خط‌مشی‌های امنیتی سازمان قابل انجام است.
  • تحلیل عمیق رویدادهای امنیتی که پس از بررسی و صحت سنجی رویدادهای امنیتی گزارش‌شده و در صورت تأیید وقوع حادثه، راهکار پیشگیری و مقابله، تدوین و به تیم سایبری ارسال می‌گردد.
  • پایش و تحلیل آسیب‌پذیری‌ها
  • معماری مرکز عملیات امنیت که ضمن احصاء نیازمندی‌های فنی بخش‌های مختلف و نظارت بر طراحی، پیاده‌سازی و عملکرد مطلوب این سامانه‌­ها، راهبری، نگهداری و به‌روزرسانی آن­ها را همگام با فناوری‌های روز این حوزه بر عهده دارد.

مؤلفه فناوری در این بخش نیز شامل دو المان زیر است:

  • سامانه مدیریت رویداد و اطلاعات امنیتی (SIEM)
  • آزمایشگاه‌های امنیتی جهت بهبود وضعیت عملکرد مرکز عملیات امنیت

مدل عملیاتی مرکز عملیات امنیت

مدیریت حوادث سایبری (IT/OT)

آن دسته از رویدادهایی که موجب نقض اصول و سیاست‌های فضای مجازی شود، حادثه سایبری نامیده می‌شود. هدف از مدیریت حوادث سایبری، کنترل و به حداقل رساندن خسارت، حفاظت از شواهد، بازیابی سریع و مؤثر سیستم‌ها، جلوگیری از تکرار حوادث مشابه و به دست آوردن دید مناسب نسبت به تهدیدات علیه سازمان است.

مؤلفه فرآیند در مدیریت حوادث سایبری به دودسته اعلام هشدار حوادث و پاسخگویی به حوادث تقسیم می‌گردد؛ که هر دسته شامل فرایندهای داخلی و ارتباط با سایر واحدها مطابق شکل زیر است.

بخش پاسخگویی به حوادث خود نیز به سه دسته فعالیت‌های قبل از حادثه، فعالیت‌های حین حادثه و فعالیت‌های بعد از حادثه تقسیم می‌شود.

مؤلفه فناوری شامل استفاده از تجهیزات و ابزارهای بروز و کارآمد، ابزارهای تهیه ایمیج، ابزارهای بازیابی اطلاعات، ابزارهای تست و عیب‌یابی شبکه‌ها، ابزارهای مقابله با بدافزار قابل بوت و قابل‌نصب و … است.

مدیریت تهدیدات بدافزاری

امروزه بدافزارها به‌عنوان یکی از جدی‌ترین تهدیدات فضای مجازی هستند. انجام عملیات شنود و جاسوسی، سرقت، تخریب اطلاعات، تخریب سامانه‌ها، کاهش اعتبار و به خطر افتادن کسب‌وکار سازمان، بخشی از خطرات بدافزارها است.

از مؤلفه‌های تشکیل‌دهنده واحد مقابله با بدافزار می‌توان به سه مؤلفه نیروی انسانی، فرآیند و فناوری اشاره نمود.

مؤلفه نیروی انسانی شامل جذب نیروی انسانی متخصص و ماهر، تعیین نقش‌­ها و مسئولیت‌ها، تدوین و اجرای برنامه آموزشی است.

مؤلفه فرآیند شامل شناسایی و جمع‌آوری شواهد، تحلیل بدافزار، مقابله با بدافزار است.

جهت تحلیل بدافزار، محیطی امن و ایزوله آزمایشگاهی نیاز است و این فرایند شامل مراحل زیر است.

  • تحلیل ایستای اولیه: جهت کسب آگاهی از عملکرد و مشخصات فایل مشکوک بدون اجرای فایل برنامه در سیستم، از طریق ابزارهای مختلفی تحلیل می­شود.
  • تحلیل رفتاری: هدف از تحلیل رفتاری، تحلیل رفتار شبکه‌ای شامل استخراج دامنه‌ها و آدرس آی‌پی‌های مورداستفاده توسط بدافزار
  • تحلیل کد: با استفاده از ابزارهای دیباگر و Disassembler
  • تحلیل حافظه: این نوع تحلیل به بررسی حافظه تصادفی سیستم آلوده می‌پردازد تا نشانه‌هایی از برنامه مشکوک را بازیابی کند.
  • مستندسازی نتایج: خروجی فرآیند تحلیل بدافزار

مقابله با بدافزار: هدف پیشگیری از نصب بدافزار، تشخیص و پاک‌سازی بدافزارهای شناسایی‌شده از روی کلیه تجهیزات است. خروجی این فرایند شامل ابزار شناسایی، راهنما و دستورالعمل پاک‌سازی و راهکارهای امنیتی برای پیشگیری از آلودگی سایر سامانه‌ها.

مدیریت تداوم کسب‌و‌کار

مدیریت تداوم کسب‌وکار، مدیریت بازیابی و تداوم فعالیت و سرویس‌های حیاتی کسب‌وکار در هنگام وقوع حوادث و شرایط بحرانی است. پس باید با برنامه‌ریزی منسجم از تداوم ارائه این خدمات حتی در زمان وقوع حوادث احتمالی اطمینان پیدا کرد که این امر در قالب مدیریت تداوم کسب‌وکار سازمان محقق می‌گردد.

از مؤلفه‌های تشکیل‌دهنده مدیریت تداوم کسب‌وکار می‌توان به سه مؤلفه نیروی انسانی، فرآیند و فناوری اشاره نمود.

مؤلفه نیروی انسانی شامل جذب نیروی انسانی متخصص و ماهر، تعیین نقش­‌ها و مسئولیت‌ها و تدوین و اجرای برنامه آموزشی است.

در مؤلفه فرآیند دستیابی به اهدافی چون پیشگیری از حادثه، شناسایی حادثه، پاسخ به حادثه، بازیابی و بهبود دنبال می‌گردد.

فرایند مدیریت تداوم کسب‌وکار از چهار گام به شرح زیر تشکیل‌شده است.

  1. شناخت سازمان
  2. تحلیل اثرات کسب‌وکار
  3. تدوین طرح‌های مدیریت تداوم کسب‌وکار
  4. تمرین، نگهداری و بازنگری جهت اطمینان از اثربخشی طرح‌های تداوم کسب‌وکار و بازیابی از فاجعه

در راستای فرایند مدیریت کسب‌وکار باید حداقل سالیانه یک مانور طرح تداوم کسب‌وکار جهت مشخص شدن نقاط ضعف طرح‌های تدوین‌شده اجرا گردد.

زیرساخت محرمانگی و استناد پذیری

زیرساخت محرمانگی و استناد پذیری نیازمند تدوین سیاست­‌ها، ضوابط، رویه‌ها در بعد مدیریتی و بهره‌گیری از ابزارهای امنیت اطلاعات و ارتباطات در بعد فنی بوده که محرمانگی اطلاعات را برای سازمان تضمین می‌نماید. قلمرو این زیرساخت در بعد فنی شامل الگوریتم‌های رمزنگاری، پروتکل‌های امنیتی، زیرساخت کلید عمومی و… است. لزوم استقرار زیرساخت محرمانگی و استناد پذیری در سازمان، جلوگیری از افشاء داده‌ها و اطلاعاتی است که باید محافظت شوند و در اختیار افراد غیرمجاز قرار نگیرند.

تمامی کاربردهای زیرساخت محرمانگی و استناد پذیری در بستر زیرساخت کلید عمومی قابل تحقق است. هر نوع داده یا مبادله الکترونیکی مطرح در حوزه عملیات خصوصی و غیرخصوصی که تهدید امنیتی در مورد آن مطرح باشد، جزء مواردی است که می‌توان از زیرساخت کلید عمومی برای امن سازی آن بهره گرفت.

از موارد پرکاربرد زیرساخت محرمانگی سازمان‌ها می‌توان به مدیریت کلیدهای رمزنگاری، امن‌سازی کاربردهای تحت وب، امن‎سازی برنامه اتوماسیون اداری، تصدیق هویت و … اشاره نمود.

مدیریت هویت و دسترسی

کاربران در سازمان به‌عنوان مهم‌ترین بازیگر در فرآیندهای سازمان، دارای دسترسی به منابع مختلف سازمان هستند. ایجاد، کنترل و مدیریت این دسترسی‌ها از وظایف اصلی تعریف‌شده در مدیریت هویت و دسترسی است. مدیریت هویت و دسترسی، چهارچوبی است که در آن سازمان سیاست‌ها و فرایندهای خود در چرخه حیات هویت‌های دیجیتال را تبیین می‌نماید. این چرخه شامل: تعریف هویت دیجیتال، ایجاد و مجازشماری دسترسی به منابع و دارایی‌های دیجیتال و فیزیکی سازمان و حذف هویت و دسترسی‌ها در مواقعی که کارمند مسئولیت خود را به هر دلیلی از دست می‌دهد.

لازم است سازمان خط‌مشی مدیریت هویت و دسترسی شامل مدیریت چرخه حیات هویت‌های دیجیتال، کنترل دسترسی، تجهیزات قابل‌حمل شامل رسانه‌های قابل سازمانی و دستگاه‌های شخصی، مدیریت رسانه‌های دیجیتال و غیر دیجیتال، ارتباطات راه دور و همچنین حفاظت فیزیکی خود را تدوین و اجرایی نماید.

مدیریت زنجیری تأمین

مهم‌ترین اقدام برای شناسایی به‌موقع موارد نفوذ و اختلال در زیرساخت‌های حیاتی کشور، مدیریت همه‌جانبه فنی و حفاظتی زنجیره تأمین، در فرآیند طراحی، پیاده‌سازی، بهره‌برداری و نگهداری از زیرساخت‌های حیاتی کشور است. لازم است سازمان خط‌مشی مدیریت زنجیره تأمین خود را تدوین و اجرایی نماید و در آن مواردی همچون تعیین سطح کیفی ارائه خدمت (SLA)، اخذ تعهدنامه محرمانگی و عدم افشاء اطلاعات، استفاده از خدمات برون‌سپاری شده مطابق “آیین‌نامه ساماندهی خدمات امنیت فضای تولید و تبادل اطلاعات”، نظارت بر فعالیت‌های شرکت ارائه‌دهنده خدمت و … را لحاظ کند.

امن سازی زنجیره تأمین: در این راستا رعایت موارد زیر الزامی است.

  1. نیازسنجی و طراحی
  2. انتخاب تأمین‌کنندگان
  3. خرید/ تولید داخلی و خارجی: شامل مواردی چون استعلام از مرکز افتا پیش از خرید محصولات خارجی مورداستفاده در سامانه‌های ملی، استفاده از محصولات و سامانه‌های داخلی دارای گواهی ارزیابی امنیتی مورد تأیید مرکز افتا، انعقاد قرارداد رسمی برون‌سپاری و تدوین پیوست امنیتی برای آن و … اشاره نمود.
  4. انتقال موارد خریداری‌شده و انبارداری: شامل استفاده از فرآیند، عناصر و عوامل کنترل‌شده در توزیع، تحویل و انبارداری، اعتبارسنجی اصالت و اطمینان از عدم دست‌کاری محصولات از زمان خرید تا تحویل با استفاده از سازوکارهای امنیتی است.
  5. نصب، راه‌اندازی و اجرا: شامل تأمین و نگهداری امن مستندات محصولات و سامانه‌ها، اعم از مستندات تحلیل و طراحی، معماری، پیاده‌‌سازی، تست و ارزیابی به‌طوری‌که در زمان موردنیاز در دسترس افراد مجاز باشد، پیکربندی امن و اعمال تنظیمات امنیتی در سامانه به‌منظور مقاوم‌سازی و امن سازی، ممیزی بر روی خدمات دریافتی توسط کارفرما وفق مفاد قرارداد و … است.
  6. راهبری، بهره‌برداری و خاتمه: شامل ایجاد سازوکار لازم جهت اطلاع به‌موقع از نسخه‌های جدید، وصله‌ها و راهکارهای رفع آسیب‌پذیری‌های منتشرشده برای سامانه‌ها، پایش مداوم محصولات و سامانه‌های مورداستفاده، پیگیری تعهدات قراردادی و … توسط سازمان پس از خاتمه قرارداد برون‌سپاری است.

آموزش و فرهنگ‌سازی

منشأ بسیاری از حملات سایبری عامل انسانی است که عموماً به‌صورت ناخواسته و ناآگاهانه زمینه را جهت نفوذ و حمله فراهم می­کند. خط‌مشی امنیت اطلاعات سازمان باید به‌گونه‌ای باشد که افراد قبل از دسترسی به سیستم‌های حساس، درزمینهٔ امنیت سایبری، آموزش و آگاهی لازم را کسب کنند و با خط‌مشی‌ها و رویه‌های امنیتی سازمان آشنا شوند.

در این زمینه لازم است سازمان خط‌مشی آموزش و فرهنگ‌سازی خود را تدوین و اجرایی نماید. برنامه آموزش امنیت اطلاعات سازمان باید متناسب با نقش‌ها و مسئولیت‌های مبتنی با “سند معرفی دوره‌های آموزشی افتا” باشد، به‌منظور ارتقای فرهنگ امنیت سایبری، حداقل یک همایش عمومی برگزار کند، ارزیابی میزان آمادگی و آگاهی کارکنان در حوزه امنیت سایبری به‌صورت دوره‌ای انجام شود و … .

مدل بلوغ طرح‌ امن‌سازی

سازمان نیازمند ساختاری برای تأمین منابع انسانی و مالی به‌منظور اجرای طرح است و تشکیل این ساختار پیش‌نیازی برای اجرای سایر الزامات طرح است. لذا بدین منظور در مدل بلوغ، دامنه‌ای با عنوان “سازمان امنیت” در نظر گرفته‌شده است.

باهدف ایجاد قابلیت سنجش پیشرفت، هر دامنه به سطوحی که به آن سطح شاخص بلوغ گفته می‌شود تقسیم‌شده است. این سطوح از یک تا ۴ شماره‌گذاری شده و دارای اولویت می‌باشند. سازمان باید بر اساس اقدامات هر یک از سطوح در دامنه‌های مختلف، ارزیابی دقیقی از اقداماتی که انجام داده داشته باشد و درنهایت بلوغ سازمان خود را اندازه‌گیری نماید.

ممیزی اجرای برنامه عملیاتی امن‌سازی

پس از پیاده‌سازی و اجرای برنامه‌های عملیاتی تدوین‌شده، باید از اجرای اثربخش برنامه مذکور اطمینان حاصل گردد. در این راستا ضروری است ممیزی‌های مستمر و ادواری در سازمان انجام شود. لذا مرکز افتا موظف است تا کلیه ممیزی‌ها را بر اساس ابزار ارزیابی سطح بلوغ ارائه‌شده، مدیریت و سازمان را از نتیجه مطلع نماید.

ممیزی داخلی: سازمان باید روال‌های مشخصی را برای برگزاری ممیزی داخلی تدوین کرده و به‌طور منظم نسبت به برگزاری آن‌ها اقدام کند. جهت اطمینان از اجرای الزامات، سازمان گزارش‌های لازم را بر اساس فرم‌های ممیزی مرکز افتا تهیه و جهت بررسی و اخذ تأییدیه به مرکز افتا ارسال می‌نماید.

ممیزی خارجی: جهت نظارت بر روند اجرای برنامه‌های عملیاتی و اثربخشی آن‌ها ممیزی خارجی توسط مرکز افتا انجام خواهد شد. سازمان پس از اخذ گزارش‌های ممیزی خارجی، نسبت به رفع انطباق‌ها اقدام نموده و در صورت نیاز، درخواست ممیزی مجدد از مرکز افتا را خواهد نمود.

امن سازی اتوماسیون صنعتی

امنیت سایبری در زیرساخت‌های حساس و حیاتی

نظارت و کنترل زیرساخت‌های حساس و حیاتی با ظهور سیستم‌های کنترل صنعتی، توسعه و پیشرفت چشمگیری داشته‌اند. هرچند ساختار و عملکرد سیستم‌های کنترلی، پیشرفت شایان توجهی داشته، اما موضوع امنیت سایبری در آن‌ها چندان مدنظر قرار نگرفته و این زیرساخت‌ها را در معرض تهدید قرار داده است. با توجه به عدم ارتقا امنیت در سیستم‌های کنترل صنعتی همگام با توسعه و پیشرفت آن‌ها، این امکان برای مهاجمین سایبری فراهم گردیده تا با استفاده از ساده‌ترین روش‌ها بتوانند خسارات جبران ناپذیری به زیرساخت‌های کشور وارد کنند. شرکت فناوری اطلاعات رجاء با توجه به احساس نیاز کشور در این حوزه راهکار جامع و یکپارچه امنیت سایبری در زیرساخت‌های صنعتی را تدوین نموده است که در ادامه به معرفی آن می‌پردازیم.

راهکار جامع و یکپارچه امنیت سایبری در زیرساخت‌های صنعتی

راهکار جامع و یکپارچه امنیت زیرساخت‌های صنعتی با اتکا به استانداردها و بهترین روش‌های معرفی شده در دنیا، در نظر گرفتن شرایط بومی کشور و همچنین عدم تحمیل هزینه هنگفت به زیرساخت‌های کشور طراحی شده است. راهکار مذکور با اتکا به مجموعه‌ای از خدمات و محصولات ارائه شده توسط شرکت فناوری اطلاعات رجاء در حوزه امنیت سیستم‌های کنترل صنعتی، توانایی مرتفع نمودن تهدیدات بالقوه و بالفعل در این حوزه را دارد.

شناسایی و ارزیابی

مرحله اول مربوط به شناسایی و ارزیابی واحد صنعتی به منظور یافتن نقاط ضعف امنیتی می‌باشد. در این مرحله ابتدا واحد صنعتی از نظر فرایندهای عملیاتی، دارایی‌ها و معماری شبکه شناسایی می‌شود و همچنین وضعیت امنیتی آن مورد ارزیابی قرار می‌گیرد. هدف از این فاز ارزیابی سیاست‌ها و رویه‌های امنیتی موجود، شناسایی آسیب‌پذیری‌ها، نواقص پیکربندی، و نقص‌های معماری شبکه می‌باشد. فاز شناسایی و ارزیابی از اهمیت ویژه‌ای برخوردار است و خروجی‌های آن زمینه مناسبی را برای پیاده‌سازی راهکارهای امن‌سازی مناسب جهت کاهش ریسک‌های امنیتی فراهم می‌کند. در این مرحله خدمات زیر توسط شرکت فناوری اطلاعات رجاء ارائه می‌شود:

  • شناسایی فرآیندهای عملیاتی، دارایی‌ها، شبکه و ارتباطات واحد صنعتی
  • شناسایی آسیب‌پذیری‌ها و ارزیابی پیکربندی سیستم‌ها شامل سرورها، ایستگاه‌های کاری، ایستگاه‌های مهندسی، تجهیزات صنعتی مانند PLCها، RTUها، و..
  • ارزیابی معماری شبکه و پیکربندی تجهیزات زیرساخت شبکه صنعتی
  • ارزیابی مخاطرات
  • ممیزی تطابق با طرح ها و استانداردهای شاخص در حوزه امنیت سیستم‌های صنعتی و زیرساخت‌های حیاتی
  • تست نفوذ به شبکه صنعتی (تحت شرایط خاص)

طراحی و امن‌سازی

در بخش امن‌سازی با توجه به آسیب‌پذیری‌ها و نقاط ضعف شناسایی شده در فاز ارزیابی، راهکار امنیتی بر اساس مفهوم دفاع در عمق جهت رفع آسیب‌پذیری‌های شناسایی شده و امن‌سازی ارائه و پیاده‌سازی می‌شود. دفاع در عمق به معنی به کارگیری راهکارهای دفاعی لایه‌ای می‌باشد و سطوح مختلفی چون سیاست‌ها و رویه های سازمانی، آموزش و آگاهی رسانی، امنیت فیزیکی و محیطی، امنیت شبکه و ارتباطات، و امنیت میزبان‌ها را شامل می‌شود. بر این اساس خدمات زیر در این بخش ارائه می‌شود:

  • رفع آسیب‌پذیری‌های شناسایی شده در شبکه صنعتی در مرحله ارزیابی از طریق اعمال وصله
  • امن‌سازی پیکربندی سیستم‌ها شامل ایستگاه‌های کاری، سرورها، ایستگاه‌های مهندسی و…
  • اصلاح معماری شبکه صنعتی بر اساس مفهوم بخش بندی شبکه و تعریف مناطق امنیتی
  • امن سازی و مقاوم‌سازی پیکربندی تجهیزات زیرساخت
  • استقرار راهکارهای EndPoint Security در ایستگاه‌های کاری، سرورها، و ایستگاه‌های مهندسی جهت مقابله با بدافزار
  • استقرار راهکارهای مدیریت تغییرات در شبکه صنعتی
  • آموزش و آگاهی رسانی در حوزه امنیت شبکه های صنعتی
  • ارائه راهکار جهت مطابقت با استانداردها و طرح های شاخص در حوزه امنیت سیستم‌های کنترل صنعتی و زیرساخت‌های حیاتی

در این بخش می توان از محصولات بومی زیر استفاده کرد:

  • سامانه تشخیص نفوذ صنعتی RAJA-IIDS
  • سامانه مدیریت دسترسی های ویژه RAJA-PAM
  • سامانه جلوگیری از نشت اطلاعات RAJA-DLP

تشخیص

از آن جایی که آگاهی از وضعیت شبکه و تشخیص رویدادهای امنیتی در زمان مناسب تاثیر زیادی در انتخاب پاسخ به شکل موثر و بهینه و حداقل ساختن اثرات منفی آن دارد، در این فاز با توجه به وضعیت شبکه طرحی جهت استقرار ابزاهای تشخیص در شبکه ارائه می‌شود. برای این منظور می توان از سیستم‌های تشخیص نفوذ مبتنی بر شبکه، سیستم‌های تشخیص نفوذ مبتنی بر میزبان ها و در سطوح بالاتر از سامانه مدیریت اطلاعات و رخدادهای امنیتی(SIEM) بهره برد.

بعد از پیاده‌سازی تجهیزات تشخیصی، با اتکا به استقرار سامانه مدیریت امنیت اطلاعات و رخداد‌های صنعتی/IT به عنوان قلب تپنده مرکز عملیات امنیت صنعتی می توان بسیاری از موارد مربوط به امنیت دارایی‌های زیرساخت صنعتی را پوشش داد.

در این بخش می توان از محصولات بومی زیر بهره برد:

  • سامانه مدیریت یکپارچه تهدیدات (RAJA-EDR)
  • سامانه تشخیص و جلوگیری از نفوذ شبکه صنعتی (RAJA-Industrial IDS)
  • سامانه پیشگیری از نشت‌داده (RAJA DLP/DRM)

پاسخ‌گویی به رخداد‌ها

با اینکه پس از اجرای فازهای ارزیابی و امن‌سازی سطح حمله سیستم به شدت محدود می‌شود اما به دلیل ماهیت متغیر تهدیدات هیچ گاه نمی توان احتمال روی دادن حملات سایبری را به صفر رساند. پیاده‌سازی فاز تشخیص امکان شناسایی رخدادهای احتمالی را فراهم می کند و در کنار آن وجود قابلیت پاسخ به رخدادهای امنیتی و بازیابی سیستم از اهمیت بالایی برخوردار است. در این حوزه خدمات زیر توسط شرکت فناوری اطلاعات رجاء ارائه می‌شود:

  • رسیدگی به رخدادهای امنیتی شامل واکنش در محل، خدمات جرم‌شناسی و پی جویی حملات و رخدادها، و ترمیم و بازیابی سیستم‌ها
  • تحلیل و بررسی مصنوعات و ابزارهای مورد استفاده در حملات و فعالیت های غیرمجاز همچون بدافزارها
  • ارائه طرح های پاسخ به رخدادهای امنیتی بر اساس استانداردهای مدیریت رخداد جهت تضمین استمرار کسب و کار و بازیابی پس از بحران
  • ارائه طرح تاب‌آوری سایبری و ارزیابی آن در زیرساخت صنعتی

بلوغ امنیت سایبری مبتنی بر اهداف تعیین‌شده و ایجاد چرخه حیات

بعد از پیاده‌سازی کامل راهکار جامع و یکپارچه امنیت زیرساخت‌های صنعتی که متشکل از مجموعه‌ای از خدمات و محصولات بومی تولید شده توسط شرکت فناوری اطلاعات رجاء است، اهداف بلوغ امنیت در زیرساخت تعیین خواهد شد و معماری امنیت پیاده‌سازی شده مبتنی بر راهکار جامع سعی به گذراندن مراحل بلوغ خود خواهد کرد. بعد از گذراندن هدف اول بلوغ، اهداف بعدی مشخص خواهد شد و این چرخه بطور متوالی در جهت بهبود و ارتقا امنیت سایبری در زیرساخت مدنظر تکرار خواهد شد.

تست نفوذ

Vulnerability Assessment and Penetration Testing

تست نفوذ و امن سازی نرم افزار Software PenTest
آزمون نفوذ و امن سازی برنامه کاربردی موبایل Mobile App PenTest
آزمون نفوذ و امن سازی شبکه و زیرساخت
ارزیابی امنیت سیستم های صنعتی / ICS Cyber Security Assessment

با افزایش گسترش استفاده از فضای تبادل اطلاعات، بایستی موضوع امنیت در این فضا بیش از گذشته مورد توجه قرار گیرد. این فضا در معرض چالش‌ها، آسیب‌ها و تهدیدهای گوناگونی نظیر تخریب بانک‌های اطلاعاتی، حملات مختل‌کننده‌ی خدمات، شنود، خرابکاری، نقض حریم خصوصی و … قرار دارد و نپرداختن یا رویکرد نادرست به امنیت این فضا، خسارت جبران‌ناپذیر مادی و معنوی وارد خواهد آورد.

ارزیابی امنیتی یا Penetration Testing، یك عمل مجاز، برنامه‌ریزی شده و سیستماتیك برای ارزیابی امنیت یک شبکه (شامل تجهیزات فعال و غیرفعال شبکه، سرویس‌دهنده‌ها، سرویس‌گیرنده‌ها، برنامه‌های کاربردی و …) است كه از طریق شبیه‌سازی حمله یك هكر یا نفوذگر خرابكار صورت می‌گیرد. کلیه متخصصان امنیت در حوزه فناوری اطلاعات بر این باورند که تنها روش اطمینان یافتن از امن بودن شبکه‌های رایانه‌ای و زیرساخت‌های ارتباطی و سامانه‌های اینترنتی، انجام عملیات ارزیابی امنیتی (آزمون نفوذپذیری) است.
ارزیابی امنیتی یکی از فعالیت‌های اصلی این مرکز بوده و تیمی با نام تیم ارزیابی در واحد فنی و عملیات این مركز وجود دارد. سه دسته فعالیت توسط اعضای تیم ارزیابی در واحد فنی و عملیات این مركز انجام می‌شود:
ارزیابی زیرساخت: این فعالیت شامل بررسی‌ تنظیمات سخت‌افزار، نرم‌افزار، مسیریاب‌ها، firewallها، serverها و سیستم‌های desktop برای حصول اطمینان از این است که این تنظیمات مطابق با سیاست‌های سازمان و تنظیمات استاندارد صورت گرفته است.

تست نفوذ: در این فعالیت امنیت یک سازمان با انجام حملات طراحی شده بر روی سیستم‌ها و شبکه به منظور شناخت نقاط آسیب‌پذیر بررسی و ارزیابی می‌شود. قبل از انجام تست نفوذ لازم است موافقت مدیریت سازمان حاصل شده باشد زیرا ممکن است انجام برخی‌ از این تست‌ها توسط سازمان منع شده باشد.

پویش: در این فعالیت از ابزارهای پویش ویروس‌ها یا آسیب‌پذیری‌ها استفاده می‌شود تا سیستم‌ها و یا شبکه‌های آلوده یا آسیب‌پذیر تشخیص داده شوند.

شرکت دانش بنیان فناوری اطلاعات رجاء با داشتن دانش فنی و متخصصین لازم در حوزه تحلیل و مدل سازی فرآیندهای سازمانی و با تکیه بر خط تولید نرم افزار خود (SLP) شامل واحدهای طراحی، معماری نرم افزار، برنامه نویسی و تست نرم افزار آمادگی دارد براساس فرآیندهای اختصاصی سازمانها و با لحاظ کردن اهداف و استراتژیهای آنها نرم افزار سفارشی مورد نیاز سازمانها را طراحی و پیاده سازی نماید.

متخصصین شرکت مطابق با استانداردهای مهندسی نرم افزار و الگوهای بین المللی که براساس فرهنگ کسب و کار ایرانی بومی سازی شده است، ابتدا فرآیندها و دستورالعمل­های سازمان را شناسایی و تحلیل کرده (As Is) و پس از مقایسه با روش های جهانی و داخلی (Best Practice)، فرآیندهای بهینه سازی شده مطلوب (To be) را ارائه می کنند.

پس از تائید فرآیندهای مطلوب، با استفاده از زیرساخت دانش بنیان تولید نرم افزار شرکت بهینه، طراحی و تولید نرم افزار انجام شده و ضمانت اجرایی فرآیندها همراه با یکپارچگی اطلاعات در نرم افزار تولید شده فراهم می­گردد.

مرکز عملیات امنیت (SOC) چیست؟

SOC کوتاه شده ی عبارت Security Operation Center و به معنای مرکز عملیات امنیت می باشد. در واقع مرکز عملیات امنیت (SOC) مجموعه ای است که با پایش تمامی فعالیت های ورود و خروج شبکه (LOG) ، تمامی رخداد های امنیتی را جمع آوری و تحلیل میکند و در صورت برخورد با مخاطرات امنیتی با تولید هشدارهای امنیتی و انجام اقدامات مناسب مانع از به خطر افتادن امنیت سازمان شما می شود.

چه سازمان هایی به SOC نیاز دارند؟

برقراری امنیت فقط برای بانک ها و سازمان های مهم و ضروری نیست زیرا دسترسی به اطلاعات محرمانه ی هر سازمان و یا تجارتی می تواند خسارت های جبران ناپذیری را رقم بزند. امروزه با افزایش قدرت تهدیدات و حملات امنیتی و همچنین زیاد شدن تعداد هکر ها برقراری امنیت در سازمان ها و تجارت ها یک امر مهم و حیاتی محسوب میشود. یکی از بهترین و سریع ترین راه های تشخیص مخاطرات امنیتی، بررسی لاگ های سرورها و تجهیزات سازمان ها است که این کار توسط SOC انجام می شود. SOC میتواند حملات درحال انجام را شناسایی کند و با انجام فعالیت های مناسب جلوی اجرای حملات را بگیرد. از این رو شرکت فناوری اطلاعات رجاء پیاده سازی SOC را علاوه بر بانک ها و سازمان های بزرگ، به سازمان ها و تجارت های کوچیک نیز توصیه میکند.

مزایای استفاده از SOC :

از مزایای ایجاد و راه اندازی مرکز عملیات امنیت (SOC) می توان به موارد زیر اشاره کرد:

  • پايش امنيتی تجهيزات، شبكه‌هاي ارتباطي و رايانه‌ها، به صورت 7/24
  • نقطه‌ی تماس متمرکز براي رسيدگي به مشکلات امنيتي کاربران و راهبران شبکه
  • جمع‌آوري و آناليز ترافيک شبکه و توليد گزارشات امنيتي در سطوح مختلف
  • شناسایی تهدیدات و حملات امنیتی در کمترین زمان ممکن
  • پاسخ‌دهي به مشکلات و رخدادهاي امنيتي
  • مدیریت و پایش لحظه ای تهدیدات
  • کاهش هزينه‌هاي مديريت امنيت شبکه

وظایف اصلی ای که SOC انجام می دهد :

  • محافظت فعالانه و شبانه روزی از شبکه
  • مدیریت آسیب پذیری ها
  • مدیریت لاگ های تولید شده در شبکه به وسیله ی راهکارهای امنیتی
  • آگاهی بلادرنگ از تهدیدات امنیتی

فناوری اطلاعات رجاء از معدود مراکز داخل کشور است که توانایی و تجربه پیاده‌سازی مراکز عملیات امنیت را در سطوح مختلف سازمانی و فراسازمانی را داراست.