پروژه Google Atheris

ابزاری برای یافتن اشکالات امنیتی در کد پایتون

کارشناسان امنیتی گوگل یک ابزار غیر فعال کننده خودکار دیگر را به امید اینکه توسعه دهندگان از آن برای یافتن اشکالات امنیتی و آسیب پذیری ها ، استفاده کنند ، به صورت open-source در دسترس قرار داده اند.

این پروژه کهAtheris نام دارد ، یک classic fuzzer است.

 fuzzer و تکنیک fuzzing با تغذیه یک برنامه نرم افزاری با مقادیر زیادی داده تصادفی و تجزیه و تحلیل خروجی آن برای ناهنجاری ها و خرابی ها ، به توسعه دهندگان اطلاعاتی در مورد وجود و محل اشکالات احتمالی در کد برنامه می دهد .

در طول این سال ها ، محققان امنیتی گوگل بزرگترین مروج استفاده از ابزارهای گیج کننده برای کشف نه تنها اشکالات پیش پا افتاده بلکه آسیب پذیری های خطرناک قابل استفاده توسط مهاجمان بوده اند.

از سال 2013 ، محققان امنیتی Google چندین ابزار مبهم از جمله ابزارهای OSS-Fuzz ، Syzkaller ، ClusterFuzz ، Fuzzilli و BrokenType را ایجاد کرده و بعداً منابع آن را به صورت open-source  در اختیار گذاشته است.

با این وجود همه این ابزارها برای کشف اشکالات در برنامه های C یا C ++ ایجاد شده اند.

/توسط

اندازه بازار جهانی امنیت سایبری

 بیش از 398.3 میلیارد دلار تا سال 2026

امنیت سایبری مجموعه ای از پروتکل های کاملاً مشخص است که با بهره برداری های بیجا از اشخاص غیرمجاز در سیستم ها ، شبکه ها ، برنامه ها ، دستگاه ها و داده های شما سروکار دارد. شدت و دفعات حملات رمزنگاری و شیوع روزافزون حملات سایبری پیچیده احتمالاً بازار امنیت سایبری جهانی را به سمت مقدار پیش بینی شده می‌برد. علاوه بر این ، ظهور اینترنت اشیا (IoT) و افزایش داده های به اشتراک گذاری شده ،بیشتر به عنوان یک مزیت برای بازار امنیت سایبری جهانی اثبات خواهد شد.

افزایش استفاده از اقدامات فناوری در بخش های خرده فروشی ، اطلاعات ، فناوری و تولید ، ردپای بازار امنیت سایبری جهانی را به یک ردپای بزرگتر افزایش می دهد. ادغام مداوم آژانس های دولتی با اقدامات امنیتی پیشرفته ، جریان درآمد جدیدی را برای بازار امنیت سایبری باز می کند.

نیروهای محرک رشد قابل توجه بازار امنیت سایبری جهانی در درجه اول ، افزایش حملات پیچیده رمزنگاری شده همراه با افزایش تعداد و شدت حملات سایبری در دوره ی پیش بینی شده است. علاوه بر این ، نیاز به دفاع از سیستم های حیاتی در برابر تهدیدات پیشرفته مانند تهدیدهای مداوم پیشرفته Advanced Persistent Threats (APTs) رشد بازار را افزایش می دهد.هم چنین با گسترش اینترنت اشیا (IoT) و بالا رفتن میزان اشتراک اطلاعات در سیستم عامل ها و مناطق مختلف ، نیاز به بهبود و پیشبرد اقدامات امنیتی سایبری بیشتر احساس می‌شود. افزایش سریع اقدامات امنیتی آسیب پذیر ، تهدیدها ، تقلب ها و خطرات مرتبط با مشاغل متناسب با این عوامل ، رشد بازار امنیت سایبری را بیشتر پیش می برد.

/توسط
,

10 ابزار برتر شبیه سازی حمله سایبری

برای بهبود امنیت سازمان شما

حمله سایبری به هیچ وجه تهدیدی دور از دسترس نیست. هر سازمانی می تواند هدف آن باشد. این نوع شبیه سازی حمله سایبری یکی از روش‌های آزمایش امنیت کامپیوتر است.

ابزار شبیه سازی حمله سایبری مانند یک فرایند مداوم و خودکار عمل می کند که با آزمایش تیم قرمز و آبی بهبود می یابد.

اساساً تیم قرمز نقش مهاجمین مخرب را بازی می کند و تیم آبی به جلوگیری از حملات کمک می کند. تمام این شرایط باید توسط متخصص امنیت ،هدایت و در محیط کنترل شده انجام شود. هر دو طرف با هم همکاری خواهند کرد تا تصویر روشنی از امنیت سازمان بدست آورند.

نقض و شبیه سازی حمله سایبری با تحریک تکنیک حمله ، نقش مهمی در محافظت از دارایی های سازمانی دارند.

 اساساً ، این روش به عنوان نوع جدیدی از ابزار برای نجات سازمان شما عمل می کند.

ده شبیه ساز برترحمله سایبری

  • BreachLock
  • Foreseeti
  • Infection Monkey
  • AttackIQ
  • XM Cyber
  • Cymulate
  • Randori
  • CALDERA
  • NeSSi2
  • Picus

Breach Lock

برای شبیه سازی حمله سایبری ، BreachLock ابزاری است که تست نفوذ را به عنوان سرویس (PTaaS) ارائه می دهد.این شبیه ساز اجازه می دهد آسیب پذیری را با چند کلیک شروع کنید تا بتواند در فواصل زمانی به طور خودکار اجرا شود.

Foreseeti

این ابزار به شما این امکان را می دهد تا به طور زیرساختی حمله کنید تا بتوانید ریسک را ارزیابی و مدیریت کنید.

این فرایند ،سه مفهوم ساده دارد:

ایجاد یک مدل: در این فرآیند می توانید روتر ، فایروال ، سرور و سرویس اضافه کنید.

شبیه سازی حمله: این فرآیند بسیار مهم است زیرا شما باید بدانید که سیستم شما چه زمانی خراب می شود.

گزارش خطر: این فرایند کاملاً مبتنی بر داده های شبیه سازی است که در آن گزارش های عملی تولید می شوند. به عنوان یک کاربر ، می توانید آن را با خطر کلی و کم خطر پیاده سازی کنید.

Infection Monkey

اگر به فکر اجرای برنامه خود در Cloud هستید ، پیشنهاد می شود از Infection Monkey استفاده کنید تا بتوانید زیرساخت هایی را که از طریق Azure ، Google Cloud  یا محل زندگی در حال اجرا هستند آزمایش کنید.

این یکی از بهترین ابزارهای منبع باز است که می تواند در ویندوز و داکر نصب شود. برای جلوگیری از پیکربندی غلط و سرقت اطلاعات ، می توانید یک شبیه سازی خودکار حمله سایبری را اجرا کنید. Infection Monkey در صورت عدم تأثیر بر عملکرد شبکه ، یک شبیه سازی حمله غیر سرزده را انجام می دهد.

حافظه CPU و footprint را کم می کند. به راحتی شبکه را تجسم کرده و گرایش مهاجم را ترسیم می کند.

ضمناً می‌توانید از نسخه آزمایشی رایگان آن استفاده کنید و سپس تصمیم بگیرید که کار بیشتری با آن انجام دهید.

Attack IQ

 یکی از محبوب ترین ابزارهای شبیه سازی حمله سایبری برای اعتبار سنجی امنیت است. این شبیه ساز ، سیستم عامل را مقیاس پذیر می کند تا بتواند مرکز داده را به طور ایمن تقویت کند.این سیستمی است که به مهندسان عملیات امنیتی کمک می کند تا سیستم تهاجمی و دفاعی را با تیم قرمز انجام دهند. این نوع ابزار کاملاً با چهارچوب های حیاتی مختلف مانند MITER ATT & CK یکپارچه شده است.

برای درک این ابزار به روشی بهتر،می‌توانید از نسخه آزمایشی رایگان آن استفاده کنید.

XM Cyber

این شبیه ساز، APT خودکار (تهدید مداوم پیشرفته) را بعنوان راه حل شبیه سازی حمله سایبری ارائه می دهد.

برخی ویژگی های این ابزار:

_ می‌تواند سناریوی حمله را بسته به نیاز سفارشی کند.

_ می‌تواند مسیر حمله را تجسم کند.

_ XM Cyber همیشه از روش حمله پیروی می کند.

Cymulate

این ابزار بسته به استاندارد صنعت ، شامل پایگاه داده MITER ATT & CK ، همه چیز را ترسیم می کند.یک پلتفرم بهینه سازی مداوم است که به طور خودکار حمله می‌کند و نتیجه توصیفی شامل امتیازات ، آسیب پذیری و غیره را فراهم می کند.

Randori

 یک ابزار بسیار قابل اعتماد است که از متد تیم قرمز استفاده می‌کند.

این ابزار مزایای مختلفی دارد.مانند:

_ این سیستم عامل به ما امکان می دهد راه حل امنیتی را ارزیابی کرده و نقاط ضعف را شناسایی کنیم.

_ در جایی که نشان می دهد چگونه یک حمله می تواند دارایی های سازمان را ببیند ، راه حل ایجاد می کند.

_ همچنین به تیم اجازه می دهد تا مهاجمان واقعی را تحریک کرده و راهی ایمن به سمت سیستم IT سازمان ایجاد کند.

همچنین تجزیه و تحلیل هدف حمله در زمان واقعی را فراهم می کند که در آن کاربر می تواند ضعف و دفاع آزمایشی را تشخیص دهد و به شما اجازه نمی دهد که ایمن و مطمئن باشید.

Caldera

یک ابزار شبیه سازی سایبری است که فقط از شبکه Windows Domain پشتیبانی می کند. این ابزار از مدل ATT & CK استفاده می کند تا بتواند رفتار سیستم را آزمایش و تکرار کند.

NeSSi2

این یک ابزار منبع باز دیگر است که از چارچوب JIAC پشتیبانی می کند. کار اصلی آن آزمایش تشخیص نفوذ شامل الگوریتم ها ، حملات خودکار مبتنی بر پروفایل ، تجزیه و تحلیل شبکه و موارد دیگر است. برای اجرای این ابزار ، به Java SE7 و MySQL نیاز دارید.

Picus

 یکی از بهترین راه حل های مدیریت امنیت و ریسک است که اقدامات مداوم ، ارزیابی و آسیب پذیری ها را برای شما فراهم می کند و به شما امکان می دهد یک قدم جلوتر از مجرمان اینترنتی باشید.

پیکربندی و استفاده از این داشبورد بسیار آسان است و باعث ایجاد بستری می شود تا کاربران بتوانند به راحتی مجرم واقعی را بگیرند و دفاعیات شما را آزمایش کنند. همچنین از محافظت کافی نیز برخوردار است.

سخن آخر

به عنوان یک مالک کسب و کار یا مدیریت IT سازمان ، خطر امنیت همیشه چالش برانگیز است. ما امیدواریم که تمام ابزارهای شبیه سازی حمله سایبری فوق بتوانند به شما در اجرای کنترل با خطر کم کمک کنند.

/توسط

آیا هوش مصنوعی برای انسان خطرناک است؟

از هوش مصنوعی می‌توان برای هک کردن اتومبیل های متصل به اینترنت اشیا استفاده کرد.در صورت عدم مدیریت صحیح امنیت ، حملات سایبری به نقاط آسیب پذیر در وسایل نقلیه متصل به اینترنت اشیا می تواند پیامدهای جسمی بسیار واقعی داشته باشد.

بر اساس گزارشی از سازمان ملل ، یوروپول و شرکت امنیت سایبری Trend Micro ، مجرمان اینترنتی می توانند از فن آوری های نوظهور از جمله هوش مصنوعی و یادگیری ماشین برای کمک به حملات علیه اتومبیل های خودمختار ، هواپیماهای بدون سرنشین و وسایل نقلیه متصل به اینترنت اشیا استفاده کنند.

در حالی که هوش مصنوعی و یادگیری ماشینی می توانند فواید زیادی برای جامعه به همراه داشته باشند ، اما همین فناوری ها همچنین می توانند تهدیداتی را به وجود آورند که اشکال فعلی جرم ها را تقویت کند یا حتی منجر به تکامل فعالیتهای مخرب جدید شود.

ایراكلی بریدزه ، رئیس مركز هوش مصنوعی و رباتیک در تحقیقات بین جرائمی و عدالت بین المللی سازمان ملل گفت: «همزمان كه كاربردهای هوش مصنوعی تأثیر عمده ای در دنیای واقعی دارند ، مشخص می شود كه این یك فناوری اساسی برای آینده ما خواهد بود.» وی افزود: «با این حال ، همانطور که فواید هوش مصنوعی برای جامعه بسیار واقعی است ، تهدید به سوء استفاده نیز وجود دارد.»

به عنوان مثال ، یادگیری ماشین در وسایل نقلیه خودمختار اجرا می شود تا به آنها اجازه دهد محیط اطراف و موانعی را که باید از آنها اجتناب شود – مانند عابران پیاده – تشخیص دهند.با این حال ، این الگوریتم ها هنوز در حال تکامل هستند و این احتمال وجود دارد که مهاجمان بتوانند از آنها برای اهداف مخرب یا فقط برای ایجاد هرج و مرج استفاده کنند. به عنوان مثال ، سیستم های هوش مصنوعی که وسایل نقلیه مستقل و ترافیک منظم وسایل نقلیه را مدیریت می کنند ، در صورت دستیابی به شبکه هایی که آنها را کنترل می کنند ، می توانند دستکاری شوند.به عنوان مثال با ایجاد تأخیر در ترافیک ، مهاجمان سایبری می توانند زمان اضافی مورد نیاز برای انجام یک سرقت یا جنایت دیگر را برای سایر مجرمان فراهم کنند .

این گزارش خاطر نشان می کند که با افزایش تعداد وسایل نقلیه خودکار در جاده ها ، سطح حمله بالقوه نیز افزایش می یابد ، بنابراین ضروری است که آسیب پذیری ها و مسائل ، زودتر از قبل ، مورد توجه قرار گیرند.

مارتین روسلر ، رئیس تحقیقات تهدیدآمیز در Trend Micro گفت: «مجرمان اینترنتی همیشه از جدیدترین فناوری ها استفاده می کنند و هوش مصنوعی هیچ تفاوتی ندارد. همانطور که این گزارش نشان می دهد ، در حال حاضر از آن برای حدس رمز عبور ، شکستن CAPTCHA و شبیه سازی صدا استفاده می شود و بسیاری از نوآوری های مخرب در کارها وجود دارد.»

 از دلایلی که سازمان ملل ، یوروپول و Trend Micro این گزارش را منتشر کرده اند این است که توسط شرکت های فناوری و تولیدکنندگان مشاهده شود و آنها از خطرات احتمالی که ممکن است با آن روبرو شوند آگاه شوند و برای حل مشکلات قبل از وقوع آنها تلاش کنند.

/توسط
,

کدام کشور سریع ترین اینترنت را دارد؟

در این مقاله داده های تست سرعت توسط M-Lab و ابزار تشخیصی شبکه (NDT) آنها جمع آوری می شود.

M-Lab  منبعی است که از آن برای تجزیه و تحلیل داده ها و داده های سرعت اینترنت ، استفاده خواهیم کرد. M-Lab به طور هفتگی سرعت متوسط بارگیری و بارگذاری را برای 192 کشور اندازه گیری می کند. این داده ها از هفته منتهی به 30 آگوست 2020 تا امروز است. کشورهای زیر با سرعت متوسط بارگیری ، در زمان آزمایش ، رتبه بندی شده اند.

ایران در این میان با Mbps 2.74 در رتبه 113 جهانی قرار دارد. در حال حاضر ، اروپا دارای سریعترین سرعت اینترنت در جهان است که توسط کشورهای اسکاندیناوی هدایت می شود. در بسیاری از کشورهای اروپایی ، در نمونه های بزرگ آزمایش ، سرعت بارگیری و بارگذاری سریع تری وجود دارد.

به طور کلی ، اگر در جستجوی برنده واقعی در مورد سریعترین سرعت اینترنت در سراسر جهان هستید ، کشورهای اسکاندیناوی پیشتاز جهان هستند. سرعت بارگیری سریع و بارگذاری در دانمارک ، سوئد ، ایسلند ، فنلاند و نروژ در دسترس است. این منطقه از نظر سرعت سریع اینترنت به طور ثابت ، دارای رتبه بالایی است .ایالات متحده در رتبه سیزدهم سرعت متوسط ​​بارگیری قرار دارد. این کشور هم از نظر جمعیت و هم از نظر اندازه بزرگترین کشور است که نسبت به بزرگترین نمونه های آزمایش ، عملکرد خوبی برای سرعت بارگیری دارد.

اینفوگرافی سریع ترین اینترنت جهان

/توسط

مراقب فایل های پیوست باشید!

دروازه های ایمیل و نرم افزارهای امنیتی در تلاش برای انطباق با مبارزات فیشینگ همیشه در حال پیشرفت هستند و به همین دلیل ، عوامل تهدید هنگام فرار از شناسایی به فرمت های فایل غیرمعمول متوسل می شوند .

اخیراً کلاهبردارهای فیشینگ به سمت ایجاد فایلهای پیوست غیرمعمول مانند فایل های ISO یا TAR رفته اند.

جدیداً محققان Trustwave در گزارشی روشی را توضیح داده اند که عوامل تهدید شروع به استفاده از پیوست های WIM (قالب تصویربرداری ویندوز) برای توزیع تروجان دسترسی از راه دور Agent Tesla می کنند.

تمام پرونده های WIM جمع آوری شده حاوی بدافزار Agent Tesla بودند. این تهدید یک Trojan Access Remote (RAT) است که با دات نت نوشته شده است و می تواند کنترل کاملی بر سیستم آسیب دیده داشته باشد و می تواند داده ها را از طریق HTTP ، SMTP ، FTP و تلگرام از بین ببرد.

کمپین های فیشینگ با ایمیل هایی که وانمود می کنند اطلاعات را از DHL یا Alpha Trans ارسال می کنند و شامل پیوست های WIM هستند که برای دور زدن نرم افزارهای امنیتی طراحی شده اند ، راه اندازی می شوند.

قالب تصویربرداری ویندوز (WIM) یک قالب تصویر دیسک مبتنی بر فایل را نشان می دهد که شامل مجموعه ای از پرونده ها و فراداده سیستم فایل مربوطه است.

پرونده های WIM چیست؟

پرونده های WIM می توانند حاوی چندین تصویر دیسک باشند ، و به دلیل استفاده از حافظه ذخیره سازی یک نمونه ، هرچه اشتراک هر تصویر دیسک متوالی با تصاویر قبلی اضافه شده به پرونده WIM بیشتر باشد ، داده های جدید کمتری اضافه می شود.

یک واقعیت جالب در مورد تصاویر WIM این واقعیت است که می توان آنها را بوت (WIMBoot) کرد ، زیرا لودر بوت ویندوز از راه اندازی ویندوز از داخل یک فایل WIM پشتیبانی می کند.

شایان ذکر است که اگرچه پرونده های WIM کمتر قابل شناسایی است ، اما کمپین های فیشینگ که از آنها استفاده می کنند با مشکل بزرگتری روبرو هستند زیرا ویندوز هیچ مکانیسم داخلی برای باز کردن یک پرونده WIM ندارد ، و بنابراین هنگامی که کاربران سعی می کنند آنها را باز کنند فقط با پیامی که از آنها می خواهد برنامه ای برای باز کردن پرونده انتخاب کنند ، استقبال می شود.

این به این معنی است که برای باز شدن پرونده های WIM ، کاربر باید از برنامه خود خارج شود و فایل را با استفاده از برنامه ای مانند 7-Zip استخراج کند و سپس بر روی پرونده موجود در آن دوبار کلیک کند.

 می توانیم فرض کنیم که به زودی این پیوست ها توسط دروازه های ایمیل مسدود می شوند ، اما تا آن زمان کاربران باید محتاط باشند.

/توسط

دفاع مقابل باج افزارها

5 کاری که اکنون باید انجام دهید

در این مقاله مت برومیلی ، مشاور ارشد Mandiant Managed Defense ، در مورد نکات برتر برای محافظت از محیط های سازمانی در برابر باج افزار صحبت می کند.

اگر در حال حاضر تهدیدات سایبری در ذهن همه وجود دارد ، اولین آنها باید باج افزار باشد. باج افزار که یک تهدید “آزار دهنده” است ، به یک صنعت لایه ای و چند میلیارد دلاری برای مهاجمان تبدیل شده است. هرروز ما می بینیم که مهاجمان، اطلاعات زمینه ای در مورد اهداف خود را تهیه می کنند ، داده های شناسایی را جمع آوری می کنند و حمله ای را انجام می دهند که به سرعت سازمان را به زانو در می آورد.

در Mandiant ، ما همچنان شاهد موج حوادث باج افزار هستیم که سازمان های مختلف ، شکل ها و اندازه ها را هدف قرار داده است. به نظر می رسد مهاجمان، تمایز کمی نسبت به قربانیان خود دارند  و سازمان هایی را از آژانس های بیمه تا شبکه های آموزش عالی هدف قرار داده اند. دیدن مقادیر پرداخت باج افزار (یا اخاذی) به میلیون ها یا ده ها میلیون دلار معمول است. تهدید گسترده و مبالغ گزافی که تعداد کمی توان پرداخت آن را دارند. چرا ما همچنان شاهد حملات موفقیت آمیز هستیم؟

وزارت دادگستری ایالات متحده دستورالعمل داخلی صادر کرده است که باید با حملات باج افزار با اولویت حملات تروریستی برخورد شود .سازمان ها همچنان باید هوشیاری خود را حفظ کنند تا از امنیت خود محافظت کرده و میزان موفقیت مهاجمان را محدود کنند.

نکته شماره 1: برنامه ریزی کنید

بگذارید آسان شروع کنیم: برنامه ای داشته باشید. حتی اگر تیم امنیتی ندارید از آن استفاده کنید تا برنامه ای در دست اجرا داشته باشد. با این مثال ساده شروع کنید: اگر همین الان مورد حمله قرار بگیرید ، چگونه پاسخ می دهید؟

شروع به پر کردن هر خلائی که می شناسید کنید ، یا اینکه چگونه داده ها را به عملکردهای عادی خود بازگردانید. وقتی برنامه ریزی می کنید ، از دست دادن داده را فرض کنید و ببینید آیا این امر بر نحوه پاسخ شما تأثیر می گذارد.

نکته شماره 2: با هم کار کنیم

باج افزار دیگر فقط یک “مشکل امنیتی” نیست. حمله باج افزار بر کاربران ، مسایل حقوقی ، منابع انسانی ، امور مالی و بسیاری دیگر از جمله تیم امنیتی تأثیر می گذارد. با تیم ها تماس بگیرید و روابط مشترک برقرار کنید.

سرپرستان سیستم و سرور در حسابرسی محیط Active Directory شما بسیار مهم هستند.

مهندسین شبکه مسئول بهنگام بودن و جریان ترافیک هستند. آنها درک می کنند که داده ها در چه محیطی می توانند یا نمی توانند بروند.

با تیم حقوقی کار کنید تا موقعیت سازمان خود را در مورد باج افزار و شرایط احتمالی بهتر درک کنید. تیم حقوقی نیز باید بخشی از برنامه پاسخگویی به حوادث شما باشد.

نکته شماره 3: حسابرسی و محدود کردن حسابهای دارای امتیاز در Active Directory

یکی از اولین اهداف برای مهاجمین در یک محیط، قربانی یافتن و به دست آوردن اعتبار بالا است. این مدارک معمولاً برای دستیابی به اهدافشان ضروری است . آنها برای یافتن سیستمهای اضافی ، حرکت جانبی در محیط اطراف ، اجرای برخی از دستورات ، ایجاد پایداری و غیره به امتیازاتی نیاز دارند. آنها اغلب محیطهایی را با حسابهای بسیار ممتاز کشف می کنند.

ابزارهای زیادی در دسترس مهاجمان است که Active Directory را بررسی می کنند ، حتی برخی از آنها “کوتاهترین” مسیر برای دستیابی به حساب کاربری نهایی دامنه را پیدا می کنند. خوشبختانه برای مدافعان ، این ابزارها به هر دو روش کار می کنند: می توانند از آنها برای انجام “شناسایی” خود استفاده کنند و از این خروجی برای محدود کردن حساب های دارای امتیازات زیاد استفاده کنند.

نکته شماره 4: از محافظت های داخلی برای حساب های بسیار محرمانه استفاده کنید

در قسمت نکته شماره 3 ، هنگامی که حسابهای کاملاً ممتاز خود را فقط به موارد ضروری ممیزی و محدود کردید ، قدم بعدی استفاده از حفاظت داخلی است که می تواند راههای مختلف سرقت اعتبارنامه را کاهش دهد. به عنوان مثال سیستم عامل های جدید ویندوز دارای محافظاتی مانند Credential Guard و Remote Credential Guard برای ویندوز 10 و Windows Sever 2016+ هستند. از آنها استفاده کنید. برای نقاط انتهایی قدیمی ، از حالت مدیر محدود استفاده کنید.حسابهای غیر سرویس و ممتاز را در گروه امنیتی کاربران محافظت شده قرار دهید .از آنها در اطراف دامنه محافظت می شود. روش هایی را که اطلاعات متنی واضح را در حافظه ذخیره می کنند غیرفعال کنید. اگر عوامل شناسایی و پاسخ در نقطه پایانی (EDR) در محل خود دارید ، ببینید آیا آنها از حسابهای کاربری کاربر محافظت می کنند یا خیر.

اکثر تکنیک های مهاجمین برای سرقت مدارک شناخته شده هستند و متأسفانه بسیاری از سازمان ها از راه حل های موجود استفاده نمی کنند.

نکته شماره 5: پیاده سازی و شبیه سازی

پس از ایجاد محافظت از حساب ، از ابزار open-source برای آزمایش محیط خود استفاده کنید. آزمایش های مکرر نه تنها بینش بیشتری نسبت به محیط شما ایجاد می کند ، بلکه به شما نشان می دهد که در کجاها شکاف های تشخیصی و پوششی دارید.ما نمی توانیم به سادگی ابزارها را به برق متصل کنیم و انتظار داشته باشیم که با “فشار یک دکمه” از ما دفاع کنند. امنیت اطلاعات مناسب مستلزم آگاهی از محیط و آزمایش و تنظیم مکرر آن است.

تصمیم شما برای اقدام زودهنگام به معنای واقعی کلمه می تواند میلیون ها دلار ارزش داشته باشد.

/توسط
,

هکرها چگونه به فایل های office شما حمله می‌کنند؟

هکرها از ترفند جدید برای غیرفعال کردن هشدارهای امنیتی کلان در پرونده های مخرب office استفاده می‌کنند.

یافته های جدید نشان می دهد مهاجمان از اسناد غیر مخرب برای غیرفعال کردن هشدارهای امنیتی قبل از اجرای کد ماکرو برای آلوده کردن قربانیان استفاده می کنند.

محققان آزمایشگاه McAfee با یک تاکتیک جدید روبرو شدند که “DLL های مخرب (ZLoader) را بدون اینکه هیچ کد مخربی در ماکرو ضمیمه اسپم اولیه باشد،بارگیری و اجرا می کند. “

ویروسهای ZLoader که با استفاده از این مکانیسم منتشر می شوند ، در درجه اول در ایالات متحده ، کانادا ، اسپانیا ، ژاپن و مالزی گزارش شده اند. این بدافزار  از نوادگان تروجان بدنام ZeuS است که با استفاده تهاجمی از اسناد Office با ماکرو فعال به عنوان بردار حمله اولیه برای سرقت اعتبار و اطلاعات قابل شناسایی شخصی از کاربران مؤسسات مالی هدفمند ، مشهور است.

محققان در تحقیق در مورد نفوذها دریافتند که زنجیره ویروس با یک ایمیل فیشینگ حاوی پیوست سند Microsoft Word آغاز شد که با باز شدن آن ، یک پرونده Microsoft Excel محافظت شده با رمز عبور از یک سرور از راه دور بارگیری شد. با این حال ، لازم به ذکر است که ماکروها باید در سند Word فعال شوند تا خود بارگیری آغاز شود.

محققان گفتند: «پس از بارگیری پرونده XLS ، Word VBA محتوای سلول را از XLS خوانده و ماکرو جدیدی برای همان پرونده XLS ایجاد می کند و محتویات سلول را به عنوان توابع در ماکروهای XLS VBA می نویسد.»

«پس از نوشتن و آماده شدن ماکروها ، سند Word خط مشی موجود در رجیستری را به” غیرفعال کردن هشدار ماکرو در اکسل “تنظیم می کند و عملکرد مخرب ماکرو را از پرونده اکسل فراخوانی می کند. پرونده اکسل اکنون بارگیری ZLoader را آغاز می کند. بارگذاری ZLoader پس از آن است با استفاده از rundll32.exe اجرا شد. »

با توجه به “خطر امنیتی قابل توجه” که توسط ماکروها ایجاد می شود ، این ویژگی معمولاً به طور پیش فرض غیرفعال است. با خاموش کردن هشدار امنیتی ارائه شده به کاربر ، حملات قابل توجه است زیرا اقدامات لازم برای خنثی سازی شناسایی و ماندن در زیر رادار انجام می شود.

هم چنین اشاره کردند: «اسناد مخرب نقطه ورود اکثر خانواده های بدافزار بوده و این حملات باعث تکامل تکنیک های آلودگی و مبهم سازی آنها شده و نه تنها محدود به بارگیری مستقیم بار از VBA ، بلکه باعث ایجاد عوامل به صورت پویا برای بارگیری محموله ها است.” “استفاده از این عوامل در زنجیره ویروس فقط به Word یا Excel محدود نمی شود ، اما تهدیدات بعدی ممکن است از سایر ابزارهای موجود برای بارگیری بارهای آن استفاده کند.»

/توسط

سامانه آنتی فیشینگ

سامانه آنتی فیشینگ

راه کار جامع آنتی فیشینگ شرکت رجاء

در سال­های اخير، تحولات عظيمي در دنیای فناوري­هاي الكترونيكي پدید آمده است. افزايش نفوذ اينترنت در زندگي افراد و جوامع استفاده روزافزون از رايانه و اينترنت را به جزء جدانشدنی زندگی امروز تبدیل کرده است که یکی از جنبه­های تأثیرگذار آن توسعه استفاده از ابزارها و خدمات بانکداری و پرداخت الکترونیکی است که شرايط و بستر مساعدي براي ظهور جرائم سايبري به وجود آورده است.  ماهيت ویژه جرائم سايبري از جمله داشتن ابعاد جهاني، عدم توافق جهاني پيرامون تعريف واحد، بالا بودن سرعت ارتكاب اين نوع از جرائم، متنوع بودن روش­های ارتکاب جرم، استفاده از روش­های بدیع تقلب،  وجود دشواري در اندازه­گيري جرائم سايبري و بالا بودن هزينه هاي كشف اين جرائم، مراجع قضايي و نظارتی را با چالش­هاي جديدي مواجه كرده است.

ریشه اصلی این جرائم، دسترسی غیرمجاز متخلفان و مجرمین به اطلاعات حساس بانکی و پرداخت کاربران و همچنین احراز هویت‌های ضعیف و بعضاً ناکافی ارائه‌دهندگان خدمات و همچنین عدم وجود قوانین سخت­گیرانه در مقابله با مجرمان اینترنتی است. شیوه ارتکاب این جرائم با فاصله و بدون ارتباط جسمی مستقیم با بزه است. فهرست این جرائم به نوع خاصی از رفتارهای مجرمانه محدود نبوده و تقریباً می‌توان گفت همه حوزه‌های جنایی را دربر می‌گیرد. بزهکاری سایبری افزون بر جدید بودن، از قابلیت بالای تحول‌پذیری و تحول بخشی برخوردار است. این تحول از یک‌سو ناشی از پیدایش جرائم جدید و در ارتباط مستقیم با شکل‌گیری شبکه بوده و از سوی دیگر ناشی از تحول در شیوه ارتکاب بسیاری از جرائم سنتی است، بنابراین تضعیف علل این جرائم از طریق از بین بردن ریشه‌های آن‌ها فعالیتی مستمر و بلندمدت است که باید در تمامی لایه‌های کارکردی ازجمله قانون‌گذاری، ترجمان قانون و مقررات به اقدامات و شیوه‌های عملی، پیاده‌سازی آن‌ها در مبادی ارائه‌دهنده خدمات و همچنین آموزش و آگاهی‌رسانی به استفاده‌کنندگان از خدمات صورت پذیرد.

یکی از مهمترین مصادیق جرایم سایبری در نظام بانکی، فیشینگ[1] نام دارد. حملات موسوم به فیشینگ به آن دسته از حملات اینترنتی گفته می‌شود که معمولا طراحان آن‌ها به روش‌های مختلف تلاش می‌کنند به اطلاعات بانکی افراد از طریق روش‌های متنوع مهندسی اجتماعی مانند ایمیل، تماس تلفنی، صفحات جعلی پرداخت، پیامک، انواع مدل‌های ربات‌های تلگرام و انواع روش‌های جدیدی که انتظار آن نمی‌رود دست یابد. در این‌گونه حملات، فیشر با ارسال یک ایمیل، خود را به جای فرد یا شرکت معتبر و حتی بانک‌های معتبر جا می‌زند و با تکنیک‌های گول‌زننده سعی می‌کند تا اطلاعات حساس را از قربانی بگیرد. مهمترین عامل موفقیت حملات فیشینگ سهل‌انگاری و نداشتن آگاهی کاربران سیستم های IT است. گرچه استفاده از حملات فیشینگ تهدید بالقوه برای انواع صنایع مختلف است، آمار نشان می‌دهد که بیشترین قربانی این حملات در صنعت بانکداری الکترونیکی می‌باشد. به طور کلی تعریف فیشینگ در نظام پرداخت الکترونیکی عبارتست از «فریب افراد از طریق ابزارهای فریبنده مبتنی بر رایانه به‌منظور افشای اطلاعات».

برای مقابله با این فریب‌کاری که به عنوان یک جرم مهندسی اجتماعی تعبیر می‌شود تدابیر ضد فیشینگ (Anti Phishing) متعددی اندیشیده شده‌ است. با توجه به تنوع زیاد این تهدیدات، یک راه‌کار قطعی برای تشخیص فیشینگ با چالش‌های جدی مواجه است. از مهمترین چالش‌های پیش رو برای تشخیص حملات فیشینگ می‌توان به موارد زیر اشاره نمود: استفاده روز افزون از فناوری‌های موجود برای فیشرها، افزایش تنوع در خدمات دیجیتال در نظام بانکی، افزایش ضریب نفوذ مشتریان بانکی در استفاده از این خدمات بدون آگاهی و دانش کافی، محدودیت‌های قانونی برای تعریف جرایم سایبری نوین در نظام قانونی کشور، عدم تعریف مناسب مسولیت‌های اجتماعی برای مراقبت از مشتریان بانکی در مقابل حملات فیشینگ و رشد ناکافی فرهنگی و اجتماعی برای درک آسیب‌های موجود در جرایم سایبری در نظام بانکی.

نظر به وجود چالش‌‌های جدی برای ارائه یک سامانه جامع و خودکار برای تشخیص و مقابله با فیشینگ، استفاده از چندین سامانه موازی برای تشخیص به همراه ارائه خدمات لازم برای به روز رسانی می‌تواند راه‌کار مناسب باشد. در این مستند، پیشنهادی برای راه‌اندازی سامانه‌ای متشکل از چندین ماژول برای تشخیص فیشینگ و رسیدگی به این رخداد در بانک ملت پیشنهاد می‌گردد. لازم به ذکر است که علاوه برای استقرار ماژول‌های پیشنهادی، نیاز به خدمات به روزرسانی و نگهداری این ماژول‌ها نیاز کاملا ضروری است.

1                  راه‌کار جامع آنتی فیشینگ بانکی

راه‌کار پیشنهادی در این مستند تلاش می‌کند که با کمک تکنیک‌های مختلف اقدام به تشخیص سایت‌های فیشینگ نماید. هر کدام از تکنیک‌های موجود در قالب یک ماژول در این راه‌کار ارائه می‌گردد. به طور کلی راه‌کارهای تشخیص صفحات فیشینگ به عنوان راه‌کارهای امنیتی خارج از دامنه سازمانی بانک تعریف می‌شوند. به عبارت دیگر با کنترل‌های امنیتی مستقر در داخل سازمان قابل تشخیص نمی‌باشند. لذا پویش فضای کسب کار سازمانی در بیرون سازمان برای این منظور هدف‌گذاری می‌شود.

برای تشخیص صفحات فیشینگ بانکی باید از پویش خودکار و دائم سه منبع اطلاعاتی بهره‌مند شد. این منابع عبارتند از: شبکه‌های اجتماعی، صفحات وب و برنامک‌های موبایلی. نظر به پیچیدگی پویش کامل این منابع، یک راه‌کار موثر باید پایش موثر و کارا را در دستور کار قرار دهد. لذا با توجه به تجربه کاری ارزشمند نگارندگان این پیشنهاد در حوزه رصد رخدادهای سایبری در نظام بانکی، ماژول‌های زیر برای راه‌کار جامع آنتی فیشینگ بانکی در نظر گرفته می‌شود.

  • ماژول تشخیص زودهنگام فیشینگ
  • ماژول رصد خودکار سایت‌های قمار
  • ماژول رصد خودکار Google Ads
  • روبات خزنده صفحات وب برای تشخیص فیشینگ
  • رصد شبکه‌های اجتماعی برای تشخیص رخدادهای سایبری
  • سامانه رسیدگی به رخدادهای سایبری
  • تحلیل­گر برنامک­های موبایلی

در ادامه این بخش، هر کدام از ماژول‌های فوق به طور مختصر شرح داده می‌شود.

1-1              ماژول تشخیص زودهنگام فیشینگ

این ماژول یک موتور تحلیل رویدادنامه‌های منتشر شده از مکانیسم Certificate Transparency توسط مراکز گواهی دیجیتالی است که تلاش می‌کند دامنه‌های فیشینگ را زودتر از انتشار دامنه تشخیص دهد. برای این منظور تمامی رکوردهای CT منتشر شده توسط CAها را تحلیل نموده و با کمک الگوریتم‌های هوش مصنوعی در حوزه پردازش زبان طبیعی سعی در تشخیص مشکوک بودن دامنه جدید به فیشینگ دامنه‌های بانکی کشور می‌نماید.

1-2             ماژول رصد خودکار سایت‌های قمار

یکی از منابع مهم برای تشخیص رخدادهای سایبری در حوزه بانکداری و پرداخت الکترونیک، رصد مداوم سایت‌های قمار است. برای این منظور ماژول جهت خودکارسازی فرآیند تحلیل عملیات تارنماهای قمار و شرط‌بندی با هدف کشف و گزارش‌دهی رخدادهای سایبری بانکی ارائه می‌گردد. این ماژول با بررسی روش‌های به‌کار گرفته شده برای شارژ تارنماهای قمار و شرط‌بندی، رخدادهای سایبری مستخرج از این سایت‌ها را  رصد می‌کند. در این سامانه حدود 1000 تارنمای قمار و شرط‌بندی به طور مستمر، دوره‌ای و خودکار بررسی شده و اطلاعات لازم برای گزارش‌دهی رخدادهای فوق استخراج و آماده گزارش می‌گردد. این اطلاعات شامل جزییات کارت‌های بانکی و همچنین درگاه‌های پرداخت مورد استفاده در این تارنماها می‌باشد. بدیهی است امکان توسعه محصول برای رصد خودکار تارنماهای دیگر نیز فراهم است.

1-3            ماژول رصد خودکار Google Ads

یکی از روش‌های معمول که فیشرها برای قربانی کردن کاربران خود استفاده می‌کنند، تبلیغات فراوان در Google Ads است. بسیاری از کاربران برای یافتن آدرس سایت‌های بانکی خود، از جستجو در موتور جستجوی گوگل استفاده می‌کنند که در صورت هدایت نامناسب گوگل به سمت صفحات فیشینگ، امکان جذب قربانی توسط فیشر بالا خواهد رفت.

جهت استفاده از مشکل فوق برای تشخیص سریعتر صفحات فیشینگ، پویش صفحات اولیه گوگل با جستجو در کلمات مرسوم برای یافتن صفحات بانکی می‌تواند نتایج موثری داشته باشد. برای این منظور یک خزنده وب طراحی و پیاده‌سازی خواهد شد که برای تعدای از کلمات کلیدی در گوگل جستجو نموده و پیمایش لینک‌های حاصل از جستجو را تا عمق خاصی انجام می‌دهد. این سامانه تمامی صفحات حاصله از جستجو را از نظر شباهت (Similarity) با صفحات معتبر بانکی در کشور مقایسه می‌نماید. در صورتی که یک صفحه میزان شباهت قابل قبولی با یکی از صفحات بانکی کشور داشته باشد، به عنوان مشکوک به فیشینگ انتخاب شده و برای ارزیابی نهایی به اپراتور خبره ارسال می‌گردد. برای تشخیص شباهت از تکنیک‌های هوش مصنوعی در حوزه پردازش زبان طبیعی استفاده می‌گردد. همچنین این سامانه مجهز به لیست تمامی سایت‌های معتبر بانکی در کشور خواهد بود.

1-4            روبات خزنده صفحات وب برای تشخیص فیشینگ

یکی از راه‌کارهای مفید برای تشخیص فیشینگ، پویش فضای وب برای تشخیص صفحاتی است که محتوایی مشابه صفحات معتبر بانکی دارند. این سامانه مجهز به یک روبات خزنده وب است که تمامی صفحات پایش شده را از نظر شباهت (Similarity) با صفحات معتبر بانکی در کشور ارزیابی می‌نماید. در صورتی که یک صفحه میزان شباهت قابل قبولی با یکی از صفحات بانکی کشور داشته باشد، به عنوان مشکوک به فیشینگ انتخاب شده و برای ارزیابی نهایی به اپراتور خبره ارسال می‌گردد. برای تشخیص شباهت از تکنیک‌های هوش مصنوعی در حوزه پردازش زبان طبیعی استفاده می‌گردد. همچنین این سامانه مجهز به لیست تمامی سایت‌های معتبر بانکی در کشور خواهد بود.

1-5            رصد شبکه‌های اجتماعی

در این سامانه دو روبات نرم‌افزاری برای رصد دو شبکه اجتماعی تلگرام و اینستاگرام با هدف استخرام رخدادهای سایبری در فضای پرداخت طراحی و پیاده‌سازی شده است. در حال حاضر این روبات‌ها مجهز به یک کتابخانه ساده پردازش زبان طبیعی برای پالایش رخدادها می‌باشد. این مهم به کاربر امکان پیکربندی روبات‌ها با هدف تولید خروجی هدفمند را می‌دهد. استخراج انواع محتوا در یک رخداد از جمله دسته‌بندی نوع فایل‌ها، تحلیل امنیتی اولیه فایل‌ها و همچنین پردازش متون در یک رخداد از دیگر قابلیت‌های این دو روبات می‌باشد.

1-6             سامانه رسیدگی به رخدادهای سایبری

این سامانه با هدف خودکارسازی فرآیند گزارش و رسیدگی به رخدادهای سایبری در فضای پرداخت اینترنتی طراحی و توسعه داده شده است. از دیگر اهدافی که این سامانه می‌توان به تسهیل در فرایند ارزیابی و صحت‌سنجی گزارش‌های واصله از تامین‌کنند‌گان و ایجاد بستری برای تحلیل و گزارش‌گیری مدیریتی و کلان به مراجع قضایی نام برد. از قابلیت‌های اصلی این سامانه، انجام فعالیت‌های مربوط به رسیدگی به رخدادهای سایبری با توجه به کسب و کار تعریف شده در نظام بانکی کشور است.

1-7            تحلیل‌گر برنامک‌های موبایلی

این سامانه یک پلتفرم برای تحلیل امنیتی برنامک‌های اندرویدی است. در حال حاضر سه موتور تحلیل ایستا در این پلتفرم پیاده‌سازی شده است. همچنین این پلتفرم امکان ارائه API برای استفاده راه دور از موتورهای تحلیل برنامک را ارائه می‌کند. با توجه به این‌که برخی از رخدادهای سایبری از طریق ارسال برنامک‌های آلوده در شبکه‌های اجتماعی منتشر می‌گردد، امکان تحلیل امنیتی این برنامک‌ها یکی از ضروریات در یک پلتفرم رصد رخدادهای سایبری است. علاوه‌بر این امکان توسعه موتورهای تحلیل بومی‌شده از دیگر قابلیت‌های پلتفرم کاوش است. در حال حاضر در این پلتفرم بیش از 20000 برنامک موبایلی تحلیل شده است.

[1] Phishing

/توسط

RAJA – EDR

RAJA - EDR

EDR چیست

اهمیت دستیابی به راه حل جامع امنیتی سمت پایانه‌ها (Endpoints) در زیرساخت سازمان برای تمام مدیران امنیتی روشن است. با پیچیده‌تر شدن حملات سمت پایانه ها و زیر ساخت های شبکه، ردیابی و جلوگیری از آنها سخت ­تر از گذشته شده است. در این میان استفاده از چند محصول امنیتی مجزا علاوه بر چند تکه شدن بخش مدیریتی امنیت؛ امکان ردیابی فعالیت های مشکوک را از مدیر امنیت سلب می­کند.

سامانه EDR یا Endpoint Detection and Response ، سازمان را در مقابل طیف وسیعی از تهدیدات و حملات پیشرفته سایبری محافظت می­کند. شناسایی و اعلام گزارش فعالیت های مشکوک، بد افزارها و شناسایی آسیب پذیری ها در یک اکوسیستم امنیتی از ویژگی‌های این محصول یکپارچه امنیتی است. مکانیسم‌های امنیتی مختلفی شامل نظارت بر اسناد، ایمیل، سخت افزار، سیستم عامل و نرم افزار، تنها توسط یک عامل پایانه و یک کنسول مدیریتی یکپارچه در سازمان قابل پیاده سازی است.

هر سخت افزاری که به اینترنت متصل است، می‌تواند به عنوان یک هدف جهت حمله سایبری به حساب آید. اگر در سازمانی با  BYOD یا Bring your own devices، موافقت شود شاهد انواع حملات به زیر سازمانی خواهیم بود. سامانه EDR با رصد کردن دستگاه‌ها و رخداد‌های شبکه به ارتقای سطح امنیت سازمان کمک می‌کند. ذکر یک نکته خالی از لطف نیست که تفاوت آنتی ویروس با EDR این است که آنتی ویروس جلوی ورود تهدید را به سیستم و شبکه را می‌گیرد اما زمانی که یک تهدید از آن بگذرد کار EDR آغاز می‌شود برای مثال تشخیص حضور یک هکر در سیستم برای آنتی ویروس غیر ممکن است.

محصول EDR

سامانه بومی EDR شرکت فناوری اطلاعات رجـاء در راستای پوشش حداکثری حوزه های ریسک پایانه ها (Client)، تجمیع تکنولوژی‌های مختلف بازرسی، نظارت و رمزنگاری را در محصول یک پارچه خود انجام داده است. در این راه­کار پایانه ها و سیستم ها جهت کشف هرگونه ناسازگاری در سیاست امنیتی، فعالیت مشکوک سرویس ها و همچنین بدافزارها بررسی می­گردد و با تجزیه و تحلیل این فعالیت‌ها با الگوریتم‌های پیشرفته به نفوذ و تخریب در زیرساخت سازمان پی می‌برد و در آخر با اعمال سیاست مناسب، پاسخ درخور به تهدید انجام می‌پذیرد.

سناریوی EDR

پیش از بیان قابلیت‌های EDR جهت شفافیت موضوع به ذکر چند سناریو می‌پردازیم:

  • در سازمان باج افزار شناسایی شده است در نتیجه برای مقابله با آن مراحل زیر انجام می‌گیرد.
  • در شبکه Rootkit شناسایی شده است پس راه کار EDR برای مقابله با آن مطابق شکل زیر است.
  • اگر در یکی از سیستم‌های سازمان وجود بدافزار تشخیص داده شود، مراحل زیر طی خواهد شد.
  • احتمالا اگر هر یک از برنامه‌های نصب شده در سازمان بروزرسانی نشود در این صورت به مدیر امنیتی اخطار داده خواهد شد.

قابلیت‌های فنی راهکار EDR

در سامانه EDR امکان تعریف سیاست‌های امنیتی متنوعی وجود دارد که این سیاست‌ها ساختار این سامانه را تشکیل داده و پیش از استقرار این سامانه می‌بایست تیمی متشکل از کارشناسان ارشد سازمان و این شرکت با در نظر گرفتن ملاحظات مدیریتی، فنی و امنیتی نسبت به تهیه لیست سیاست‌های مورد نیاز اقدام نموده تا پس از تائید مدیریت سازمان، این موارد در سامانه اعمال گردد.

 در این بخش به منظور ایجاد درک بهتر از قابلیت های محصول سامانه EDR، این قابلیت ها به تفکیک آورده شده است.

اجزای EDR

رویکردهای ردیابی و حفاظت نقاط پایانی، می‌توانند محدوده‌ای گسترده از ویژگی‌های مفید داشته باشند. با توجه به اهمیت کشف آسیب پذیری ها قبل از بروز مشکلات امنیتی و همچنین ردیابی رفتارهای مشکوک، موارد مرتبط به محصول، افزوده شده است در ادامه به تشریح بخش های مرتبط پرداخته شده است.

شکل 1- EDR

Detection (شناسایی مخاطرات و تهدیدات)

بخش های مختلفی در سیستم در جهت یافتن و تحلیل مخاطرات وجود دارد که در زیر هر بخش توضیح داده شده است.

  • IDS (شناسایی نفوذ): عامل سامانه EDR سیستم ها را برای یافتن بد افزارها، ناهنجاری ها و Rootkitها در سطح ترافیک شبکه مانیتور می­کند. همچنین سرور سامانه با دریافت اطلاعات پایانه ها اقدام به تحلیل نفوذ بر اساس امضاهای موجود می‌نماید.
  • NSM: جمع آوری، تجزیه و تحلیل و مقیاس پذیری نشانه ها و هشدارها در سطح ترافیک شبکه برای جلوگیری، شناسایی و پاسخ به حملات ونفوذهای رایج شبکه یک راه حل جامع است که به سازمان ها کمک می‌کند تهدیدات پیشرفته را بیابند، درک کنند و خنثی کنند. اولین جزء این سیستم، تجهیزات و منابعی هستند که می‌خواهیم اطلاعات را از آن‌ها دریافت کرده و با تنظیم مجدد آن‌ها، فرآیندهای مدیریتی و کنترلی خود را اجرا کنیم.
  • Log Data Analysis (تجزیه و تحلیل اطلاعات لاگ): ایجنت با خواندن log سیستم عامل و برنامه های کاربردی، آنها را به طور ایمن برای ذخیره سازی و تحلیل به سرور هدایت می كنند. به این ترتیب از خطاهای برنامه یا سیستم، تنظیمات و پیکربندی غلط، فعالیتهای مخرب یا موفقیت آمیز، نقض خط مشی و سایر موارد امنیتی و عملیاتی آگاهی خواهیم داشت.
  • File integrity Monitoring (دیدبانی سلامت فایل): عامل EDR با مانیتور کردن سیستم فایل اقدام به شناسایی تغییرات در فایل، مجوز ها، مالکیت اسناد و مشخصه های فایل ها می‌نماید. همچنین عامل سامانه، کاربر و یا برنامه‌ ایجاد کننده و تغییر دهنده سند را شناسایی می­کند و در تحلیل های خود از این اطلاعات بهره می­برد. نصب فایل های مختلف مانند برنامه های کاربردی یا دانلود هر فایل دیگری از سطح اینترنت نیاز به بررسی دارد چرا که ما نمی توانیم هر فایلی را دانلود کنیم (فایل ممکن است دستکاری شده یا به ویروس آلوده باشد). اینجاست که فرآیندی ای به نام File Integrity Monitoring وارد کار می شود. کارایی اصلی آن شناسایی انواع تغییرات در محتوای یک فایل است. مثلا اگر هکری به نحوی وارد سیستم شده باشد و برخی از کدها را تغییر داده باشد، با استفاده از FIM به سرعت شناسایی می شود. به همین دلیل است که بسیاری از نهادهای امنیتی از این فرآیند در سیستم های خود استفاده می‌کنند تا در صورت هک شدن، هرچه سریع تر متوجه آن بشوند و از بروز خسارت های سنگین تر جلوگیری کنند. برخی از موارد معمول استفاده از FIM  شامل مواردی چون دستکاری پیکربندی‌های دستگاه‌ها و سرویس‌ها، دستکاری سرویس‌های در حال اجرا، تغییر محتوای فایل‌های حیاتی و همچنین تزریق کد در فایل‌ها می‌باشد.
  • Vulnerability Detection (شناسایی آسیب پذیری ها): عامل EDR با جمع آوری و ارسال اطلاعات نرم افزارهای نصب شده بر روی پایانه ها به سرور و استفاده از یک مرجع (CVE) اقدام به شناسایی آسیب پذیری ها بر روی سیستم می­کند. این تشخیص آسیب پذیری به شناسایی نقاط ضعف سیستم‌ها کمک کرده و به مدیر شبکه این اجازه را می­دهد تا قبل از رخداد امنیتی اقدام لازم را انجام دهد. آسیب‌پذیری‌ها معمولا در توپولوژی‌های شبکه، سیستم عامل‌ها، پورت‌های باز و سرویس‌های اجرا شده بر روی سرور، بر روی Application ها و فایل های تنظیماتی آنها و تقریبا بر روی هر چیزی که دارای سیستم عامل و نرم افزار است قابل شناسایی هستند و در این لایه ها بیشتر وجود دارند. این فرآیند هم بصورت دستی و هم بصورت خودکار توسط نرم افزارهای مختلف انجام می‌شود اما بصورت کلی فراموش نکنیم که آسیب پذیری‌هایی توسط نرم افزارها قابل اسکن و شناسایی هستند که تا به حال کشف و برای حل آنها راهکاری ارائه شده است.
  • Configuration Assessment (صحت­ سنجی پیکربندی امنیتی پایانه‌ها): عامل سامانه EDR، استانداردها و شاخص‌های ایمنی را مانیتور می­کند و پایانه یا نرم افزارهای آسیب‌پذیر را جهت رفع آسیب‌پذیری معرفی می­نماید.
  • Security Analytics (آنالیز امنیتی): با توجه به پیچیده تر شدن تهدیدهای سایبری، نظارت و تجزیه و تحلیل امنیتی در زمان صحیح برای شناسایی و مقابله با تهدیدها ضروری می باشد. به همین دلیل عامل EDR امکان نظارت و واکنش لازم را فراهم می کند، همچنین ارائه اطلاعات امنیتی و تجزیه و تحلیل داده ها در سمت سرور انجام می‌گیرد. به دلیل پیشرفت سریع بدافزارها و دیگر Exploitهای سایبری، نیاز به فناوری‌های آنالیز امنیتی رو به افزایش است. هکرها از تاکتیک‌های خلاقانه‌ای برای نفوذ به سیستم‌های IT استفاده می‌کنند. آسیب‌پذیری‌های برنامه‌های کاربردی  Patch نشده را تقویت می‌کنند، اسکریپت‌های مقیم در حافظه‌ای می‌سازند که برای اسکنرهای بدافزار غیرقابل شناسایی هستند و از Phishing  و دیگر انواع مهندسی اجتماعی استفاده می‌کنند تا از سیستم‌های امنیتی IT بگریزند.

اجزای اصلی Security Analytics

  • آنالیز رفتاری: در این بخش با تجزیه و تحلیل رفتار غیر عادی کاربر نهایی و همچنین برنامه‌های کاربردی می‌توان به تناقض رفتاری پی برد. برای مثال اگر فردی به سیستمی در خارج از ساعت کاری Log On کند یا دستورات غیر معمول به سرورها ارسال شود، می‌تواند نشانه نقض امنیتی باشد.      
  • قابلیت دید و آنالیز شبکه NAV : در این قسمت تمام ترافیک شبکه که شامل برنامه‌ها و کاربران نهایی است تجزیه و تحلیل می‌شود.
  • هماهنگ سازی، خودکار سازی و پاسخ امنیتی (SOAR) : تکنولوژی است که از طریق آن می‌توان متوجه رخداد‌های امنیتی شد و مطابق آن تصمیم گیری کرد.
  • جرم شناسی: این راه کار با آنالیز حملات گذشته و همچنین داده‌های موجود پیش‌بینی از حملات در آینده به شکل گزارش ارائه می‌دهد. این امر باعث می‌شود اتفاقات مشابه در آینده رخ ندهند و علائم حمله مشکوک را هشدار می‌دهد.

Response (پاسخ)

  • DRM: در این روش اصل حفاظت، مبتنی بر رمزنگاري اطلاعات است. به گونه‌ای که اطلاعات از لحظه تولید، رمزنگاری شده و کاربر در صورت داشتن مجوز قادر به باز کردن و استفاده از آن می‌باشد. البته برای ایجاد امنیت با این رویکرد، رمزنگاری اطلاعات بر اساس سیاست‌های مشخص‌شده به صورت خودکار و با کنترل مرکزی صورت می‌گیرد که در این حالت کاربر به راحتی و بدون هیچ‌گونه بار کاری اضافه‌ای به کارهای خود ادامه خواهد داد. این راهکار از طریق “رمزنگاری در جریان اسناد” اقدام به رمزنگاری اسناد مهم سازمانی بر اساس برنامه های کاربردی مشخص شده می‌پردازد. در ادامه با توجه به اینکه استفاده از اسناد رمز شده خارج از محدوده منطقی یا فیزیکی تعیین شده امکان پذیر نخواهد بود؛ راهکار مذکور مالکیت معنوی اسناد را به سازمان اعطا می‌نماید.

 

  • رمزنگاری فایل‌ها: سامانه EDR به صورت پیش فرض شامل فهرستی از نرم‌افزارهای مختلف و کاربردی بوده و امکان اضافه شدن نرم افزار به این لیست نیز بنا به نیاز مشتریان وجود دارد.
  • به منظور رمزنگاری فایل‌ها و محتوا از الگوریتم استاندارد AES با طول کلید 256 بیت استفاده می‌شود.
  • تعیین مدت زمان مجاز دسترسی به فایل‌ها در صورت قطعی شبکه: در صورت قطعی شبکه تصمیمات متعددی جهت دسترسی به اسناد اتخاذ می‌شود. مثلا در صورت قطعی در شبکه کلا امکان دسترسی به فایل وجود نداشته باشد یا بعد از یک مدت زمان خاص (که توسط ما تعیین می‌شود) امکان باز کردن اسناد وجود نداشته باشد.
  • تعیین مجوز دسترسی به فایل‌های یک گروه برای سایر گروه‌ها (به علت داشتن کلیدهای متفاوت)
  • کنترل Clipboard و جلوگیری از عملکرد ابزارهای فیلم‏برداری و عکس‏برداری از صفحه نمایش
  • DLP: در این رویکرد، جلوگیری از انتقال اطلاعات در بسترهای مختلف مانند، انتقال از طریق اینترنت، ایمیل و یا انتقال اطلاعات به دیسک‌های همراه و حافظه‌های جانبی، صورت می‌گیرد که برای برقراری امنیت در این رویکرد از روش‌های فیلترینگ و کنترل انتقال داده در بستر شبکه و حافظه و تجهیزات جانبی و با کنترل کپی اطلاعات استفاده می‌شود. مهمترین ضعف این روش، وابستگی آن به DLP و باقی ماندن اطلاعات به صورت خام است. بنابراین اطلاعات و دارایی‌های سازمانی همچنان در خطر نشت می‌باشند و در صورت خروج اطلاعات امکان سوء­استفاده از آنها وجود دارد.
 
  • کنترل تمامی درگاه‌های سخت‌افزاری فیزیکی و مجازی
  • تهیه لیست سیاه و سفید از سخت‌افزارهای مجاز و غیرمجاز جهت اتصال به رایانه
  • تعریف لیست سیاه و سفید برای آدرس‌های اینترنتی
  • امکان اعمال فیلترهای مختلف (Allow و Block) بر روی ویژگی‌های بسته‌های شبکه
  • کنترل دسترسی به پرینترهای محلی، مجازی و تحت شبکه
  • ایجاد Watermark بر روی صفحات در هنگام چاپ جهت ردیابی اسناد
  • فعال کردن ماژول نگهداشت سیستم
  • IPS: سیستم جلوگیری از نفوذ یک ابزار امنیتی است که بر فعالیت‌ های یک شبکه و یا یک سیستم نظارت کرده تا رفتار‌های ناخواسته یا مخرب را شناسایی ‌کند. در صورت شناسایی این رفتارها، بلافاصله عکس‌العمل نشان داده و از ادامه فعالیت آن‌ها جلوگیری می‌کند. سیستم‌های جلوگیری از نفوذ به دو دسته مبتنی بر میزبان و مبتنی بر شبکه تقسیم می‌شوند.  IPS سیاست‌ها و قوانینی را برای ترافیک شبکه حین اعلام آلارم یک IDS هنگام رویارویی با ترافیک مشکوک تعریف می‌کند، اما این اجازه را نیز به مدیر سیستم می دهد که بتواند عملکرد لازم را تعیین کند. 
  • Email & SMS: گزارشات در قالب ایمیل و پیامک به مدیر امنیتی ارسال می‌شود.

سازوکار EDR

در ادامه به تشریح سازوکار EDR می‌پردازیم.

  • در ابتدا نسخه ایجنت End Point بر روی نقاط پایانی نصب می‌شود. سیستم عامل‌های Windows، Linux و ESX پشتیبانی می‌شوند.

تذکر: امکان نصب ایجنت بر روی Device های شبکه وجود ندارد.

  • انواع لاگ‌ها از End Point و همچنین Device های شبکه به سرور ارسال می‌شود.
  • با توجه به آنالیز انجام شده در سرور انواع آلارم‌ها به مدیر امنیتی ارسال می‌شود. از طرفی امکان اعمال پالیسی (Response) در سرور به شکل اتوماتیک (بر اساس هوش مصنوعی) و دستی وجود دارد.

با استفاده از هوش مصنوعی می‌توان در کمترین زمان بهترین واکنش را نشان داد و در تشخیص حملات مشابه پیشین، موثرترین عکس العمل را داشت.

شکل 4- سازوکار EDR

دیگر مزایای EDR

  • تشخیص و توقف حملات: حملاتی از قبیل Fileless، حملات روز صفر و باج افزارها متوقف می‌شوند. همچنین استانداردها و چهارچوب ها با توجه به  نیازمندی ها و مشخصه های هر سازمان قابل تعریف خواهد بود. علاوه بر این در راستای بهبود عملکرد در جهت رفع آسیب پذیری، هشدارهای اعلام شده از سوی سامانه شامل توصیه های لازم جهت رفع موارد اعلام شده می ­باشد.
  • تحلیل رویدادنامه ها: عامل سامانه EDR  با خوانش رخدادنامه ­های مرتبط با سیستم عامل و برنامه های کاربردی، رخدادنامه‌ها را به صورت امن به سرور تحلیل و آنالیز ارسال می­کند. سرور گزارش‌گیری سامانه با توجه به قوانین موجود گزارشی شامل خطاهای سیستم عامل و برنامه های کاربردی، پیکربندی‌های اشتباه، فعالیت‌های بدافزارها و تخطی از سیاست‌ها را بر اساس پایانه های سازمان ارائه می­کند.
  • کاهش زمان تشخیص نفوذ: در حالت معمول امکان تشخیص نفوذ بسیار زمانبر است اما با استفاده از این راه کار، صرف جویی چشم گیری در زمان و منابع سازمانی خواهیم داشت.
  • گزارش رویدادها: در یک داشبورد امکان نمایش وضعیت نقاط انتهایی به شکل گرافیکی وجود دارد.
  • پاسخگویی به مخاطرات: عامل سامانه EDR  این قابلیت را دارد تا بدون نیاز به پیکربندی خاصی به مخاطرات پیش آمده پاسخ دهد. به عنوان نمونه این عامل قادر خواهد بود تا دسترسی آدرس منبع سیستم مهاجم را بر اساس برخی از ضوابط قطع نماید. همچنین این قابلیت وجود خواهد داشت تا با اجرای دستورات از راه دور و بررسی IOC ها پاسخ مناسبی در خصوص مخاطره پیش آمده داده شود. 
  • پشتیبانی از انواع سیستم عامل‌ها: در EDR از سیستم عامل‌هایی از قبیل ویندوز، لینوکس و سیستم عامل‌های مجازی پشتیبانی می‌شود.
  • جرم شناسی: سامانه EDR رویدادنامه های لازم جهت بررسی جرم و حصول نتیجه جرم شناسی را در فرمت مناسب در اختیار تیم مرتبط قرار می­دهد.

معماری سامانه EDR

در شکل زیر معماری EDR را ملاحظه می‌کنید.

معماری EDR

معماری EDR  مبتنی بر ایجنت است که بر روی میزبان های تحت نظارت اجرا می شوند که لاگ‌ها را به یک سرور مرکزی منتقل می کند. همچنین، دستگاه‌های بدون ایجنت (مانند فایروال ها، سوئیچ ها، روترها، access pointها و غیره) پشتیبانی می‌شوند و می توانند لاگ‌ها را از طریق syslog و یا یک کاوشگر دوره ای از تغییرات پیکربندی خود ارسال کنند تا بعداً داده ها به سرور مرکزی ارسال شود. سرور مرکزی اطلاعات ورودی را رمزگشایی و تجزیه و تحلیل می کند و نتایج را NoSqlDataBase برای فهرست بندی و ذخیره سازی منتقل می کند.

  • EndPoint: نقاط پایانی از قبیل کامپیوترها، لپ تاپ‌ها و دستگا‌های بدون ایجنت هستند.
  • Load Balancer:  یکی از اجزای کلیدی در زیرساخت‌های شبکه با امکان دسترس‌پذیری بالا می باشد، که از آن برای کارایی و قابلیت اطمینان وب سرورها و پایگاه‌های داده و دیگر سرویس‌ها استفاده می­شود. به این ترتیب با توزیع بار ترافیکی روی چند سرور، سرویس به شکل بهینه ارائه می‌شود.
  • Reporter: یک رابط وب انعطاف پذیر و بصری برای استخراج، تجزیه و تحلیل و تجسم داده‌ها است و در بالای یک خوشه NoSqlDataBase اجرا می شود.
  • DataBase Cluster: (NoSqlDataBase) یک موتور جستجوگر تحلیلی متنی و کاملا مقیاس پذیر است. NoSqlDataBase توزیع شده است، به این معنی که داده‌ها (شاخص ها) به بخش های مختلفی تقسیم می شوند و هر بخش می تواند دارای تکرار صفر یا بیشتر باشد.

یک شاخص از NoSqlDataBase به یک یا چند بخش کوچکتر تقسیم می شود و هر بخش می تواند به صورت اختیاری یک یا چند تکرار داشته باشد. هر بخش اصلی و بخش‌های تکراری، خود یک Lucene  هستند. بنابراین، یک NoSqlDataBase از تعداد زیادی Lucene تشکیل شده است. هنگامی که یک جستجو بر روی NoSqlDataBase انجام می شود، جستجو به صورت موازی بر روی همه قسمت ها انجام می شود و نتایج با هم ادغام می شوند. تقسیم کردن NoSqlDataBase در جستجو به چندین بخش با هدف مقیاس پذیری و در دسترس بودن زیاد استفاده می شود. هر گره  از NoSqlDataBase یک بخش دارد و هیچ تکراری ندارد.

یک خوشه از NoSqlDataBase مجموعه ای از یک یا چند گره (سرور) است که برای انجام عملیات خواندن و نوشتن بر روی فهرست ها با یکدیگر ارتباط برقرار می کنند. استقرار در مقیاس کوچک (۵۰>  ایجنت)، به راحتی توسط یک خوشه تک گرهی قابل کنترل است. وقتی تعداد زیادی سیستم جهت مانیتور، حجم زیادی از داده ها و یا بالا بودن دسترسی نیاز است، خوشه هایی با چند گره توصیه می شود.

  • Control Server: در این بخش سیاست‌های DLP‌ و DRM‌ اعمال می‌شوند که پیشتر توضیحاتی در مورد این دو خصوصیت بیان شده است.

لزوم بهره‌گیری از EDR

در EDR، یکپارچه‌سازی یکی از مهم‌ترین اولویت‌ها بوده و این سامانه با پوشش حجم وسیعی از نیازمندی‌های حوزه امنیت از قبیل مدیریت، کنترل و نظارت بر داده‌های سازمانی و رویدادها تا حدود زیادی نیاز مدیران را پوشش می‌دهد. گزارش‌های خروجی این سامانه یکی از مهم‌ترین ابزارهای جمع‌آوری اطلاعات برای مرکز عملیات امنیت (SOC) بوده و کمک شایانی در تحلیل و جلوگیری از مخاطرات امنیتی می‌نماید.

با توجه به‌سرعت رشد و تغییرات در حوزه فناوری اطلاعات، نیازمندی سازمان‌ها نیز همواره رو به افزایش و تغییر می‌باشد، لذا بومی بودن این سامانه سبب تسریع در افزودن قابلیت‌های جدید و سازگاری با نیاز سازمان می‌شود.

در اینجا به ذکر برخی دلایل لزوم به کارگیری از EDR پرداخته شده است:

  • افزایش تعداد حملات به نقاط انتهایی شبکه است. این در حالیست که از انواع فایروال‌ها، آنتی ویروس و سازوکار افزایش ضریب امنیت سرویس‌ها و سخت افزارها در سازمان بهره برده می‌شود اما باز هم مورد حملات جدی و گاها جبران ناپذیر قرار می‌گیرد. این موضوع به قدری مهم است که ناکافی بودن راه حل‌های پیشین برای سازمان‌ها مسجل شده است.
  • تمام لاگ‌ها در یک سرور جمع‌آوری شده و امکان رسیدن به یک دیدگاه عمیق در شبکه وجود دارد.
  • یکی دیگر از عوامل، پیشرفته‌تر شدن حملات سایبری است که غالباً این گونه حملات آسان‌تر از نفوذ به شبکه است. این گونه حملات از این لحاظ پیشرفته هستند که توسط راه حل‌های امنیتی گذشته معمولی قلمداد می‌شوند یعنی جهت حمله از بدافزار استفاده نمی‌شود و تنها با آنالیز این واکنش‌ها توسط EDR قابل شناسایی هستند.
  • از طرفی با استفاده از این راه کار سیاست‌ها به صورت خودکار جهت مقابله با حملات اعمال می‌شوند.
  • مدیریت فرآیند تولید، پردازش، انتقال و امحای دارایی‌های دیجیتالی در سازمان انجام می‌شود.
  • کنترل دسترسی به منابع براساس حقوق کاربر، شرایط سازمان و ضوابط مدون اعمال می‌شود.
  • حق مالکیت داده‌ها به سازمان اعطا می‌شود.
  • مسئولیت حفاظت داده‌های سازمانی از کاربر سلب می‌شود.
  • هزینه کلی در مدیریت IT و امنیت شبکه کاهش می‌یابد.
  • هزینه و مخاطرات ناشی از سرقت اطلاعات و دارایی‌های سازمان کاهش می‌یابد.

مزایای منحصر بفرد EDR

  • نخستین سامانه بومی پیشگیری از نشت داده‌ها
  • پشتیبانی از VDI, Thin Client, Workgroup و Domain Controller
  • امکان توسعه سفارشی قابلیت‌ها مطابق با نیاز هر سازمان
  • سهولت در پیاده‌سازی، عملکرد شفاف و عدم تداخل در کسب و کار جاری سازمان و کاربر
  • انعطاف‌پذیری بالا و امکان توسعه سریع ویژگی‌های امنیتی
/توسط