بایگانی برچسب برای: امنیت سایبری

عملی است که می توانید امنیت سیستم های خود را با تلاش برای هک کردن آنها آزمایش کنید.

عملی است که می توانید امنیت سیستم های خود را با تلاش برای هک کردن آنها آزمایش کنید.

تیم قرمزمی تواند یک گروه آزمایش کننده تست نفوذ یا یک تیم در سازمان شما باشد ، اما در همه موارد ، نقش آنها یکسان است: تقلید از رفتار یک هکر مخرب و تلاش برای ورود به سیستم های شما.

با تصور یک سناریوی خیالی به راحتی می توان ارزش اینکار را درک کرد. یک سازمان ممکن است یک فرآیند امنیتی  بسیار پیشرفته داشته باشد و اطمینان داشته باشد که سیستم های آن توسط افراد خارجی نقض نمی شوند، درحالیکه تیم قرمز ممکن است این موضوع را درک کند و رویکرد مستقیم تری را در پیش بگیرد: جعل کارت دسترسی کارمندان و ورود به آن سازمان .

حتی در بعضی موارد ، به کمک کارمندان ، به آنها اجازه می دهند به داده های حساس دسترسی پیدا کنند ، کپی کنند و بیرون بروند.

چگونه یک سناریوی حمله برای تیم قرمز بسازیم؟

سناریوی حمله ، توالی منطقی تکنیک ها ، تاکتیک ها و رویه ها (TTPs) است که توسط دشمنان برای راه اندازی حملات سایبری و دستیابی به اهدافشان استفاده می شود.

در تستی که در آزمایشگاه های شرکت Picus انجام شد ، سناریوهای حمله را به صورت ساختاری ایجاد و آنها را برای آزمایش کارآیی کنترل های امنیتی در برابرحملات اجرا کردند. این عمل بسیار شبیه به تقلید از هکرهاست ؛ در واقع نوعی از درگیری تیم قرمز که یک تهدید شناخته شده را تقلید می کند.تیم های قرمز سناریوهای مختلفی را برای آزمایش جنبه های خاصی از TTPs های نفوذی ها در شبیه سازی عملیات آنها ایجاد می کنند. بنابراین ، توسعه سناریوهای حمله بخشی اساسی در عملیات تیم قرمز است. بسته به پیچیدگی کار، تیم های قرمز ممکن است هفته ها تصمیم بگیرند که از کدام TTPs برای تهیه سناریو استفاده کنند.

* TTPs :  Techniques, Tactics, and Procedures

بهترین تمرینات تیم قرمز برای اطمینان از امنیت شبکه شما

به نفع هر مدیر  SOC یا متخصص امنیت اطلاعات است که در تمرینات موثر تیم قرمز سرمایه گذاری کند تا درک کاملی از آسیب پذیری های شبکه داشته باشد.

اگر شما یک مدیر SOC هستید که از یک تیم قرمز یا یک تیم تست نفوذ استفاده می کنید ، حتما می دانید که مهارت داشتن آنها ضروری است. در پایان روز ، این افراد مسئول زیرساخت های شما و یافتن روزنه هایی هستند که همه سیستم های دیگر نمی توانند از آن استفاده کنند.

تمرینات تیم قرمز نه تنها آسیب پذیری شبکه را تشخیص می دهد ، بلکه موارد تاثیرگذار بر نواقص شبکه امنیت در سازمان شما ، از جمله مناطقی که بیشترین تخلف را ایجاد می کند نیز ارائه می دهد.

تمرینات تیم قرمز چگونه کار می کند؟

تمرینات موفقیت آمیز تیم قرمز تصویر روشنی از اینکه از کجا و چگونه یک هکر می تواند شبکه شما را خراب کند و چه میزان خسارت به کسب و کار شما وارد می کند را می دهد. در اکثر موارد ، یک متخصص تیم قرمز استخدام می شود که از توانایی و تخصص کافی در زمینه آسیب پذیری های امنیتی برخوردار است .

در این تمرین ها از تکنیک های مختلفی از جمله فیشینگ و مهندسی اجتماعی استفاده می شود که مستقیماً به کارمندان شما یا نام کاربری و رمزهای عبور آنها اختصاص دارد و یا با تحقیق روی کاربران خاص و رایانه شخصی آنها با استفاده از مرورگر اینترنت یا نصب بدافزار در سایت و هدف قرار دادن آنها  می توان به این اطلاعات دست پیدا کرد.

امنیت لینوکس از ویندوز بیشتر است. همه ما این را می دانیم. اما این بدان معنا نیست که امنیت کاملی دارد.

این برنامه ، سرورهای لینوکس را برای کتابخانه های از رده خارج ، روی دیسک و حافظه اسکن می کند. برخلاف سایر ابزارهای دیگر ، همچنین می تواند با گزارش در مورد کتابخانه های آسیب پذیر در حافظه که ممکن است توسط اسکنرهای دیگر از دست بروند ، نکات منفی کاذب را پیدا کند.

UChecker که مخفف عبارت “userspace checker” است ، نه فقط با خانواده RHEL بلکه با تمام توزیع های مدرن لینوکس تحت مجوز عمومی  GNU کار می کند. این اطلاعات عملیاتی دقیق در مورد اینکه کدام برنامه از کدام کتابخانه آسیب پذیر استفاده می کند را ارائه می دهد. این برنامه همچنین شناسه مربوط به فرآیند و نام فرآیند را به شما ارائه می دهد. با استفاده از این اطلاعات می توانید ببینید که کدام کتابخانه ها باید به روز شوند.

این برنامه را می توان با ابزارهایی مانند Nagios یا سایر ابزارهای نظارت ، ورود به سیستم و مدیریت ادغام کرد تا از سیستم امنیتی بهتری برای سرورهای شما برخوردار شود.

پس از اجرای UChecker از پوسته ، دو گزینه برای به روزرسانی کتابخانه های خود دارید. اول ، روش قدیمی وجود دارد. در این صورت ، شما کتابخانه های خود را با سیستم بسته بندی خود به روز می کنید و سرورها را دوباره راه اندازی می کنید. یا فقط می توانید تمام پردازش ها را مجدداً راه اندازی کنید زیرا حتی با UCherker نمی توانید مطمئن باشید که در کدام پروسه ها هنوز هم می توان از کتابخانه های قدیمی استفاده کرد.

یا می توانید از قابلیت Live patching سرویس TuxCare LibraryCare برای اعمال وصله های امنیتی در کتابخانه های OpenSSL و Glibc بدون نیاز به راه اندازی مجدد سرور استفاده کنید. خدمات TuxCare ، چترامنیتی و پشتیبانی CloudLinux هستند. این شامل Live patching برای کامپوننت های مهم  Linux از هسته تا کتابخانه های مشترک گسترده است. در هنگام راه اندازی مجدد سرورها یا سرویس ها برای نصب جدیدترین وصله های امنیتی ، دیگر نیازی به ایجاد اختلال در سرویس بطور طولانی مدت و پرهزینه نیست و نیازی به پنجره تعمیر و نگهداری disruptive ندارد.

CloudLinux همچنین قول داده است که خدمات پشتیبانی Linux TuxCare وصله ها و به روزرسانی های منظمی را برای تمام اجزای سیستم های لینوکس سازمانی و همچنین پشتیبانی از حوادث 24 ساعته و 7 ساعته فراهم کند ، حتی اگر سیستم ها ازEOL گذشته باشند. بنابراین ، اگر انواع توزیع های لینوکس را اجرا می کنید و برخی از آنها قدیمی هستند ، این سرویس ارزش بررسی را دارد.

 جیم جکسون ، رئیس CloudLinux ، اشاره کرد: «برخی از وصله ها به پیکربندی مجدد و راه اندازی مجدد سرورها نیاز دارند که به مدت بسیار طولانی به صورت آفلاین ، دشوار است. زمان بسیار حیاتی است ، زیرا هکرها به دنبال سوء استفاده از آسیب پذیری ها هستند .»

هم چنین گفت:

 «هر چیزی که به شما کمک کند کتابخانه های بالقوه ناامن را در سریع ترین زمان ممکن شناسایی و وصله کنید ، همیشه چیز خوبی است.»

 بیش از 398.3 میلیارد دلار تا سال 2026

امنیت سایبری مجموعه ای از پروتکل های کاملاً مشخص است که با بهره برداری های بیجا از اشخاص غیرمجاز در سیستم ها ، شبکه ها ، برنامه ها ، دستگاه ها و داده های شما سروکار دارد. شدت و دفعات حملات رمزنگاری و شیوع روزافزون حملات سایبری پیچیده احتمالاً بازار امنیت سایبری جهانی را به سمت مقدار پیش بینی شده می‌برد. علاوه بر این ، ظهور اینترنت اشیا (IoT) و افزایش داده های به اشتراک گذاری شده ،بیشتر به عنوان یک مزیت برای بازار امنیت سایبری جهانی اثبات خواهد شد.

افزایش استفاده از اقدامات فناوری در بخش های خرده فروشی ، اطلاعات ، فناوری و تولید ، ردپای بازار امنیت سایبری جهانی را به یک ردپای بزرگتر افزایش می دهد. ادغام مداوم آژانس های دولتی با اقدامات امنیتی پیشرفته ، جریان درآمد جدیدی را برای بازار امنیت سایبری باز می کند.

نیروهای محرک رشد قابل توجه بازار امنیت سایبری جهانی در درجه اول ، افزایش حملات پیچیده رمزنگاری شده همراه با افزایش تعداد و شدت حملات سایبری در دوره ی پیش بینی شده است. علاوه بر این ، نیاز به دفاع از سیستم های حیاتی در برابر تهدیدات پیشرفته مانند تهدیدهای مداوم پیشرفته Advanced Persistent Threats (APTs) رشد بازار را افزایش می دهد.هم چنین با گسترش اینترنت اشیا (IoT) و بالا رفتن میزان اشتراک اطلاعات در سیستم عامل ها و مناطق مختلف ، نیاز به بهبود و پیشبرد اقدامات امنیتی سایبری بیشتر احساس می‌شود. افزایش سریع اقدامات امنیتی آسیب پذیر ، تهدیدها ، تقلب ها و خطرات مرتبط با مشاغل متناسب با این عوامل ، رشد بازار امنیت سایبری را بیشتر پیش می برد.

هکرها از ترفند جدید برای غیرفعال کردن هشدارهای امنیتی کلان در پرونده های مخرب office استفاده می‌کنند.

یافته های جدید نشان می دهد مهاجمان از اسناد غیر مخرب برای غیرفعال کردن هشدارهای امنیتی قبل از اجرای کد ماکرو برای آلوده کردن قربانیان استفاده می کنند.

محققان آزمایشگاه McAfee با یک تاکتیک جدید روبرو شدند که “DLL های مخرب (ZLoader) را بدون اینکه هیچ کد مخربی در ماکرو ضمیمه اسپم اولیه باشد،بارگیری و اجرا می کند. “

ویروسهای ZLoader که با استفاده از این مکانیسم منتشر می شوند ، در درجه اول در ایالات متحده ، کانادا ، اسپانیا ، ژاپن و مالزی گزارش شده اند. این بدافزار  از نوادگان تروجان بدنام ZeuS است که با استفاده تهاجمی از اسناد Office با ماکرو فعال به عنوان بردار حمله اولیه برای سرقت اعتبار و اطلاعات قابل شناسایی شخصی از کاربران مؤسسات مالی هدفمند ، مشهور است.

محققان در تحقیق در مورد نفوذها دریافتند که زنجیره ویروس با یک ایمیل فیشینگ حاوی پیوست سند Microsoft Word آغاز شد که با باز شدن آن ، یک پرونده Microsoft Excel محافظت شده با رمز عبور از یک سرور از راه دور بارگیری شد. با این حال ، لازم به ذکر است که ماکروها باید در سند Word فعال شوند تا خود بارگیری آغاز شود.

محققان گفتند: «پس از بارگیری پرونده XLS ، Word VBA محتوای سلول را از XLS خوانده و ماکرو جدیدی برای همان پرونده XLS ایجاد می کند و محتویات سلول را به عنوان توابع در ماکروهای XLS VBA می نویسد.»

«پس از نوشتن و آماده شدن ماکروها ، سند Word خط مشی موجود در رجیستری را به” غیرفعال کردن هشدار ماکرو در اکسل “تنظیم می کند و عملکرد مخرب ماکرو را از پرونده اکسل فراخوانی می کند. پرونده اکسل اکنون بارگیری ZLoader را آغاز می کند. بارگذاری ZLoader پس از آن است با استفاده از rundll32.exe اجرا شد. »

با توجه به “خطر امنیتی قابل توجه” که توسط ماکروها ایجاد می شود ، این ویژگی معمولاً به طور پیش فرض غیرفعال است. با خاموش کردن هشدار امنیتی ارائه شده به کاربر ، حملات قابل توجه است زیرا اقدامات لازم برای خنثی سازی شناسایی و ماندن در زیر رادار انجام می شود.

هم چنین اشاره کردند: «اسناد مخرب نقطه ورود اکثر خانواده های بدافزار بوده و این حملات باعث تکامل تکنیک های آلودگی و مبهم سازی آنها شده و نه تنها محدود به بارگیری مستقیم بار از VBA ، بلکه باعث ایجاد عوامل به صورت پویا برای بارگیری محموله ها است.” “استفاده از این عوامل در زنجیره ویروس فقط به Word یا Excel محدود نمی شود ، اما تهدیدات بعدی ممکن است از سایر ابزارهای موجود برای بارگیری بارهای آن استفاده کند.»