https://alirezaghahrood.professora.ir مشاور ارشد و مدرس ( راهکارهای امنیت اسایبری) fa-ir Thu, 19 Feb 2015 09:04:59 +0000 Thu, 19 Feb 2015 09:04:59 +0000 https://alirezaghahrood.professora.ir/cat-2287/category/news-5388/ https://alirezaghahrood.professora.ir/cat-2287/category/news-5388/ پرداخت‌های همراه سادگی و راحتی را برای مصرف‌کنندگان به همراه دارند اما هنوز نگرانی‌های امنیتی در پس این فن‌آوری وجود دارد که مانع از استفاده گسترده از آن می‌شود. اطمینان مشتریان به توانایی ارائه‌دهندگان برای حفاظت از داده‌های دارندگان کارت‌ها یک عامل تعیین کننده در موفقیت یا شکست خدمات پرداخت همراه است. کارت‌های یوروپی، مسترکارت و ویزا کارتبا استفاده از ریزتراشه امن که یک عنصر فیزیکی برای تراکنش داده‌ها است، به تامین امنیت به کمک رمزنگاری می‌پردازد. گام بعدی افزایش امنیت مجازی است. شبیه‌سازی کارت میزبان HCE معجزه‌ای در صنعت پرداخت همراه است که هزینه‌ها و موانع استفاده گسترده‌تر از این صنعت را کاهش می‌دهد. سازمان‌هایی که تمایل به استفاده از کارت‌های پرداخت دارند اکنون می‌توانند این کار را بدون هزینه‌های بالا و ارتباطات پیچیده با شرکایشان، انجام دهند. پیش از سخن به میان آمدن از اچ‌سی‌ای، سازمان‌ها مجبور بودند گواهی‌نامه‌ها را در یک تراشه امنیتی ویژه عنصر امن در تلفن ذخیره کنند یا از گوهینامه‌های کارت درون فایل در ابر استفاده کنند. گزینه عنصر امن تلفن را به یک کیف پول همراه مبدل می‌کند زیرا عنصر امن همچون یک تراشه در کارت‌های ای‌ام‌وی عمل می‌کند. گزینه «ابر» امکان ذخیره‌سازی اطلاعات پایه‌ای پرداخت همچون شماره کارت، تاریخ انقضا، یا کد مرتب‌سازی و شماره حساب را به سادگی در اینترنت می‌دهد. از زمان معرفی اچ‌سی‌ای HCE به خاطر داده‌های کامل پرداخت -یک ارائه دقیق از تنها نرم‌افزار استفاده شده توسط کارت- دیگر نیازی به نگه‌داری اطلاعات در یک تراشه فیزیکی و در حقیقت عنصر امن نیست. برای انتقال داده‌های ذخیره شده در کارت از تراشه به یک محیط امن در ابر، معیارهای اصلی باید برآورده شوند و این معیارها ممکن است منجر به مشکلاتی شوند. تلفن شما برای کامل کردن تراکنش باید به اینترنت متصل، منتظر انجام شدن رمزنگاری و دریافت پاسخ شود. حتی در بهترین حالت ممکن نیز کامل شدن این کار در زمان مورد نیاز برنامه‌های کارت دشوار است. البته بدون سیگنال این کار غیرممکن است. راه حل معرفی شده برای حل این مشکل از مفهومی با عنوان «tokenization» استفاده می‌کند. به جای نیاز به اتصال اینترنتی هنگام پرداخت، کارت‌های مجازی با استفاده محدود در گوشی شما ذخیره می‌شوند. یک کیف پول مجازی برای مصرف خریداران و شناسایی سارقان راهکاری آسان و مناسب است. احتمال وجود تهدیدهایی همچون شبیه‌سازی تلفن و درخواست اطلاعات کارت و یا مستقر شدن یک بدافزار در تلفن و ارسال اطلاعات کارت مجازی به سارق وجود دارد. به‌روزرسانی احراز هویت و ارزیابی قدرت مکانیزم احراز هویت برای پرداخت‌های همراه عامل تعیین کننده امنیت این پرداخت‌ها است. ما باید قادر به مرتبط ساختن شناسایی کاربران به احراز هویت تراکنش باشیم. در حالی که بانک‌ها با نیازهای حفاظت از داده آشنا هستند، رقبایی با تجربه کمتر در اداره داده‌ها نیاز به دقت بیشتری در احراز هویت و ارزیابی ریسک دارند. یک گوشی هوشمند می‌تواند به ارزیابی مخاطرات تراکنش‌ها و احراز هویت کاربر کمک کند. ویژگی‌های همچون داده‌های جی‌پی‌اس، موقعیت تری‌جی، نزدیکی به محل‌های وای‌فای و شماره و تعداد برنامه‌ها در دستگاه، یک اثرانگشت یکتا برای هر تلفن می‌سازد و واضح است که این موارد می‌توانند کمک شایان توجهی به شناسایی احتمال جعلی بودن یک تراکنش کنند. این قابلیت به ساده کردن تجربه کاربری و کاهش موانع موجود بر سر راه احراز هویت کاربران در صورتی که به نظر بیاید این یک کاربر تایید شده است و معرفی موانعی برای مختل کردن یک پرداخت در صورت شک کردن به تایید شده بودن کاربر، کمک کند. همه این تحلیل‌ها بستگی به داده‌ها -داده‌های شخصی که از اهداف مورد علاقه هکرها هستند و باید در مقابل حملات محافظت شوند- دارد. محافظت از همه این داده‌های شخصی ذخیره شده از مشکلات مرسوم پایگاه داده گذرواژه‌ها از نظر حجم و حساسیت احراز هویت است و «مشکل گذرواژه» را به «مشکل داده های بزرگ» مبدل می‌کند. اطلاعات باید به خوبی به منظور خنثی کردن و کاهش تاثیرات به سرقت رفتن یا گم شدن آن‌ها رمزنگاری شوند. تکامل سریع صنعت پرداخت همراه با ظهور اچ‌سی‌ای HCE بهبود خواهد یافت. اچ‌سی‌ای دروازه‌های عظیمی را به سوی سازمان‌هایی که استطاعت پرداخت هزینه‌های فن‌آوری‌های پیشین را ندارند باز می‌کند. این می‌تواند منجر به افزایش داده‌هایی از کاربران که باید محافظت شوند، بشود. در دنیای دیجیتال و به صورت جهانی متصل، ما باید از هر منبع موجودی برای اطمینان از سهولت استفاده، راحتی و امنیت پرداخت‌های همراه اطمینان حاصل کنیم. تنها در آن زمان است که مصرف‌کنندگان به فن‌آوری اطمینان می‌کنند و آن را در ابعاد گسترده‌ای می‌پذیرند. علیرضا قهرود مرکز عملیات امنیت - SOC Thu, 19 Feb 2015 09:04:59 +0000 https://alirezaghahrood.professora.ir/cat-2288/category/news-5387/ https://alirezaghahrood.professora.ir/cat-2288/category/news-5387/ پس از نفوذهای پی‌درپی و شرم‌آور امنیتی در سال گذشته، اعتماد مشتریان به شرکت‌های بزرگ در این زمینه تا حد زیادی از بین رفته است. با تمام این‌ها، به جرات می‌توان گفت با پایان سال ۲۰۱۴دنیای امنیت اطلاعات حال و هوای تازه‌ای دارد.» این صحبت‌های ریک داکین مدیرعامل و سرپرست امنیت استراتژیک کمپانی Coalfire پیرامون تغییرات دنیای امنیت است. او در ادامه می‌گوید «حالا وقت آن رسیده که شرکت‌ها با نگاهی بازتر و بررسی تهدیدات نسل آینده جهت پشتیبانی و امنیت بیشتر از اطلاعات مشتریانشان اقدام کنند. چشم‌انداز تهدیدات اینترنتی با سرعت فوق‌العاده در حال تکامل است. اگر تاکنون به فکر آماده‌سازی جهت رویارویی با تهدیدات در سال آینده نیستید، بدون شک این آخریت فرصت شماست Coalfireبا بررسی بیش از ۱۰۰۰ سیستم حاوی اطلاعات حساس و تحقیقات پیرامون آن‌ها، پیش‌بینی خود از سال ۲۰۱۵ را به شکل زیر بیان می‌کند تهدیدکنندگان با انگیزه‌ آمار حملات سایبری موفق در فضای اینترنت سیر تصاعدی خود را با شیب بسیار زیادی طی می‌کند. با این پیروزی‌ها، گروه‌ها، از لحاظ ژئوپلیتیکی و مالی به توانایی بیشتری در این زمینه رسیده و فعالیت‌های مجرمانه خود را گسترش می‌دهند. تعریف دوباره دفاع نیاز به امنیت سایبری باعث تغییرات بنیادین در دنیای فناوری اطلاعات می‌شود. مدیریت بحران سایبری و امنیت حالا مانند دیگر ویژگی‌ها مانند طراحی، حجم و کارکرد از اهمیت بسیار زیادی برخوردار است. سود کردن و بازگشت هزینه سرمایه‌گذاری، حالا با این ویژگی جدید مفهومی تازه به خود گرفته و با ریسک از دست دادن همه چیز تلفیق گشته است. سه سرپرست به جای یکی در شرکت‌های بزرگ شغل‌هایی تحت عنوان «مدیر ارشد اطلاعات»، «مدیر ارشد امنیت اطلاعات» و «مدیر ارشد فناوری اطلاعات» وجود دارند. درحالی که بسیاری از تحلیلگران، دوره حضور پررنگ سرپرست اصلی مدیر ارشد اطلاعات را تمام شده می‌دانند، ما سعی می‌کنیم در همه حال تعادل را بین این سه حفظ کنیم. افزایش سرمایه‌گذاری با وجود ریسک‌های خطرناک در دنیای اطلاعات، هزینه امنیت سایبری و مدیریت بحران با سیری صعودی رو به افزایش است به طوری که تا سه سال آینده به دوبرابر مقدار فعلی می‌رسد. پیشگامان نو تکامل سیستم‌های موبایلی، محاسبات ابری و اینترنت اشیا همه و همه بستری نو را برای سایبر تروریسم فراهم آورنده‌اند. مانیتورینگ جهانی با وجود حوادث سایبری اخیر در دنیای فناوری اطلاعات، افراد و سازمان‌ها به طرق مختلف به پایش اطلاعات مشتریانشان می‌پردازند. این روش‌ها کاملا قانونی بوده و تمام هزینه‌ها را موسسه‌های مالی، بیمه‌ها یا خود شرکت متقبل می‌شود. مدیریت تجاری در توسعه خط مشی مدیریت صحیح، سازمان را چه در بخش خصوصی چه دولتی به سمت توسعه و بلوغ کامل سوق می‌دهد. نتیجه این امر، بهبود مدیریت بحران و کاهش احتمال حملات سایبری است. شناسایی تهدیدات جدید و فناوری‌های پیش‌گیرانه برای جلوگیری از هر تهدید اینترنتی باید با کدهای تو‌درتو، هوش ماشینی و تحلیل‌های فراوان سر و کله بزنیم. بدون شک وجود ربات‌های هوشمند و الگوریتم‌های پیشرفته جهت شناسایی تهدیدگنندگان و جلوگیری از اهداف آن‌ها تاثیر بسیاری خواهد داشت. بهبود امنیت برنامه‌های جدیدتر و بهتر اعتبارسنجی، EMV، رمزگذاری و راه‌حل‌های نشانه‌گذاری شده امنیت سیستم پرداخت بدون دخالت مستقیم پول را افزایش می‌دهند. بدون شکApple Pay و دیگر فناوری‌های نسل بعد بر سیستم‌های ضد NFC غلبه خواهند کرد و با وجود سیستم پرداخت موبایلی امنیت در این زمینه معنای جدیدی می‌یابد. به گونه‌ای که تمامی برنامه‌های پولی مانند نرم‌افزارهای مربوط به سلامت – که اطلاعات و ضروری در آن‌ها مبادله می‌شوند – را تحت‌الشعاع قرار می‌دهد. بازگشت به حمله بدون شک در آینده نزدیک شاهد تغییر موضع امنیت سایبری از دفاع به حمله هستیم. از ساختن سیستم‌های غیرقابل نفوذ گرفته تا سیستم‌هایی که امکان شناسایی حمله کنندگان و در نتیجه ایجاد رخنه در کار آن‌ها و دستگیریشان را فراهم می‌آروند. و در آخر تمامی شواهد و گزارشات سایبری و .. نشان از بیان این موضوع میباشد که کلیه سازمان ها با هر سایز و خط مشی توسعه گری نیاز به ·پیاده سازی راهکار های امنیت اطلاعات و شبکه ·پیاده سازی روش های پیشرفته تست نفوذ - ارزیابی امنیتی و شناسایی ریسک های موجود ·پیاده سازی راه کارهای نسل نوین رایانش ابری عمومی و خصوصی و در انتها بردن تمامی موارد ذکر شده برای بالاترین سیستم امن یافته و مانیتورینگ پشرفته و چرخه مداوم امن نگه داشتن بصورت لحظه ای در جهت پیشگیری از هرگونه حملات سایبری و رصد حملات در زیر چتر مفهوم جدید و ارتقا یافته ای به نام مرکز عملیات امنیت – Security Operation Center دیگر انتخاب و گزینه نیست بلکه برای تداوم کسب - کار و گریز از هرگونه آسیب و اختلال در هر سطحی داشتن چنین مرکزی و یا گرفتن سرویس از مرکز عملیات امنیت است که یک الزام میباشد . یک الزام علیرضا قهرود مرکز عملیات امنیت - SOC Thu, 19 Feb 2015 09:03:49 +0000 https://alirezaghahrood.professora.ir/cat-2287/category/news-5386/ https://alirezaghahrood.professora.ir/cat-2287/category/news-5386/ نرم‌افزار پرایوسی Privacy App برپایه فن‌آوریcounterveillanceشرکت اسنوپ‌وال snoopwall است. این برنامه به اعماق برنامه‌ها در دستگاه‌های اندرویدی رفته و آن‌ها را از لحاظ حفظ حریم خصوصی بررسی کرده و در صورتی که برنامه‌ای جاسوسی کند کاربر را مطلع می‌سازد. این برنامه به کاربران گوشی‌های هوشمند نشان می‌دهد خطرات زیادی وجود دارند و یکی از دلایلی پایداری این خطرات آن است که کاربران به سادگی به نرم‌افزارهای ضد ویروس برای حافظت از آن‌ها در بانکداری الکترونیکی و تراکنش‌های دارای خطرات بالا اعتماد کرده و آن‌ها را کافی می‌دانند. اسنوپ‌وال پس از۱۴ ماه توسعه فن‌آوری و آزمودن بیش از ۹۰۰۰۰ برنامه در اندروید پلی استور کشف کرده که ۲۰ درصد از برنامه‌های این فروشگاه دارای دسترسی‌هایی هستند که به آن‌ها نیاز ندارند و همین امر موجب شده اندروید به یکی از سیستم‌عامل‌های موجود در بازاری مبدل شود که بسیار مورد جاسوسی قرار می‌گیرد. به عنوان نمونه می‌تواند به برنامه‌هایی اشاره کرد که در پشت صحنه اجرا می‌شوند و تنها منتظر هستند که کاربرمطلب مهمی بگوید یا گذرواژه خود را بنویسید. برنامه‌هایی نیز وجود دارند که می‌توانند بدون روشن کردن ال‌ای‌دی وب‌کم اقدام به تصویربرداری کنند، بنابراین اغراق نیست اگر بگوییم کاربران در معرض خطرات فوق‌العاده و سرقت هویت هستند. برنامه Privacy ضریب خطر” حفظ حریم خصوصی را برای رده برنامه‌هایی با بیشترین عناوین برنامه‌های بحرانی شامل نرم‌افزارهای مالی و بانکداری که بیشترین نیاز را به حفظ امنیت و حریم خصوصی دارند ارائه می‌کند و جالب توجه است که این برنامه‌ها معمولا رتبه‌های حفظ حریم خصوصی پایینی دارند. این برنامه از فن‌آوری port authority” که پتنت آن متعلق به شرکت اسنوپ‌وال است، برای شناسایی این که کدام پورت‌ها برای جاسوسی از کاربران نهایی استفاده می‌شود بهره می‌برد. این برنامه به مالکان گوشی‌های هوشمند و تبلت‌ها کمک می‌کند ریشه برنامه‌ها و اینکه برای ارسال اطلاعات شخصی به خارج از دستگاه به چه مواردی ممکن است متصل شوند را پیگیری کنند. این برنامه همچنین حذف یا غیرفعال کردن برنامه‌ها را در صورتی که امکان حذف غیرفعال کردن آن‌ها وجود داشته باشد آسان‌تر می‌کند. اگر یک بدافزار شناخته شده توسط ضد ویروس‌ها یا ناشناخته صفر روزه تلاش کند از دستگاه جاسوسی کند برنامه پرایوسی با بررسی رفتار برنامه این امر را تشخیص داده و کاربر را آگاه می‌سازد. پرایوسی، برنامه‌های محبوب شما برای بانکداری را از جهت وجود حفره‌های امنیتی ممیزی کرده و در صورت روشن بودن نرم‌افزار ضد ویروستان نقص‌های امنیتی موجود را کشف می‌کند. توسعه‌دهندگان اسنوپ‌وال قصد دارند نسخه آی‌او‌اس و ویندوزی برنامه پرایوسی را در ابتدای سال 2015منتشر کنند. دیدن این فیلم نیز توصیه می‌شود علیرضا قهرود مرکز عملیات امنیت - SOC Thu, 19 Feb 2015 09:03:15 +0000 https://alirezaghahrood.professora.ir/cat-2288/category/news-5385/ https://alirezaghahrood.professora.ir/cat-2288/category/news-5385/ SOC Security Operation Center مرکز عملیات امنیت واضح است که ظهور اینترنت نحوه تعاملات، تجارت و انتشار و تبادل اطلاعات را دگرگون کرده است. از اینترنت می‌توان تحت عنوان موتور خلاقیت یاد کرد، اما همین موتور می‌تواند موجب شود تا تهدیدات سایبری با سرعت بیشتر از روش‌های دفاع سایبری پیشرفت کنند. از آنجا که تهدیدات سایبری ماهیتی پیچیده و دائماً در حال رشد دارند، شبکه‌های دفاعی برای آنکه بتوانند همپای آن‌ها رشد کنند، با دشواری مواجه هستند. طراحی اصلی و اولیه اینترنت بر پایه ارتباطات پایدار و نه امنیت صورت گرفته است. این موضوع همچنان به همین شکل مانده و تغییری در این واقعیت ایجاد نشده است. در نگاهی کلی می‌توان گفت اغلب سامانه‌های متصل به اینترنت، آسیب‌پذیر بوده، روش‌های دفاعی موجود پدافندهای مبتنی بر ایجاد فهرست‌های سیاه بر اساس امضای الکترونیک تاریخ‌مصرف خود را از دست داده و اکثر راهبردهای امنیت سایبری کنونی ناکافی به نظر می‌آیند و فاصله میان توان تهاجمی و توان تدافعی رو به روز بیشتر می‌شود. در حقیقت امنیت نتوانسته همپای تهدیدات رشد کرده و تکامل یابد. حملاتی که این روزها صورت می‌گیرد، دقیقاً نظیر کسانی این حملات را ترتیب می‌دهند، بسیار پیچیده هستند. مجرمین سایبری به طور مداوم بدافزارهای خاص خود را طراحی می‌کنند تا بر روش‌های دفاع سایبری غلبه کنند طراحی بدافزاری هم که اخیراً به شرکت ها مقصد – هدف حمله میکنند ، طوری خواهند بود که بتوانند از اعلام خطر اغلب برنامه‌های آنتی‌ویروس جلوگیری کند . این عملیات سنجش که با هدف جلوگیری از شناسایی صورت می‌گیرد، اقدامی معمول است که به صورت روزمره انجام می‌شود و ابزارهای انجام این اقدامات به سادگی در بازار سیاه جرائم اینترنتی در دسترس است. در مقابل، اغلب کاربران اینترنت اطلاعات اندکی از موارد امنیتی دارند. عوامل مختلفی نظیر وجود مهاجمین فرصت‌طلب و با انگیزه‌های خاص، تمهیدات ضعیف امنیتی، تهدیدات داخلی و ناتوانی دولت و بخش خصوصی در سیاست‌گذاری و تعریف قوانین مربوط به امنیت سایبری، دست‌به‌دست هم داده تا شبکه‌های مجازی بسیار آسیب‌پذیر باشند. فضای مجازی اکنون به محیطی تبدیل شده که مردم بیش از آنکه از آن برای انتقال اطلاعات استفاده کنند، آن را برای ذخیره موارد باارزش به کار می‌گیرند و این روندی است که روزبه‌روز در حال گسترش است. فضای مجازی محیطی است با ارتباطات داخلی به شدت فراگیر که به صورت مداوم در حال تغییر هستند و همین امر دستیابی به برتری‌های امنیت ایستا را ناممکن می‌کند. فضای سایبری فضایی است منبعث از تمام دامنه‌هایی که از آن پشتیبانی می‌کند، اما در عین حال ویژگی‌هایی منحصربه‌فرد دارد که دفاع از آن را دشوار می‌کند. تهدیدات امنیتی فضای سایبری هر روز در حال افزایش است مهم‌ترین منبع تهدید در فضای مجازی، گروه‌هایی هستند که با در اختیار داشتند منابع مالی، مأموریت یافته‌اند تا آنقدر به شبکه‌های یک شرکت یا دولت حمله کنند که بتوانند به آن نفوذ کرده و به موارد مدنظرشان دست پیدا کنند. به این مهاجمین در اصطلاح تهدید دائمی پیشرفته APT اطلاق می‌شود APT ها معمولاً به خوبی تغذیه مالی شده، عموماً با دولت‌ها ارتباط داشته و ابزارها و مهارت‌های پیچیده انجام هک را در اختیار دارند که دائماً هم در حال بهبود هستند. حرفه‌ترین APT ها عموماً در خانه‌های امن و محل‌هایی مستقر هستند که خطر بازداشت یا تحت تعقیب قرار گرفتن آن‌ها را تهدید نمی‌کند. از همه مهم‌تر، APTراه‌هایی را برای فرار از سامانه‌های معمول دفاع سایبری مبتنی بر انطباق الگو برای شناسایی و سد راه تهدیدات، یافته‌اند. ترکیب ضعف امنیتی شبکه‌ها و خلاقیت و تحرک مهاجمین منجر شده تا حملات سایبری روند رو به رشدی داشته باشند. تنها در چند ماه اخیر، شرکت‌ها و بانک‌های بزرگ همگی از حملات سایبری رنج برده‌اند این فقط مواردی است که توسط مراکزعملیات امنیت – SOC رصد شده اند . در سال ۲۰۱3، سامانه FireEye بیش از ۱۲ میلیون ارتباط بین سرورهای فرمان و کنترل و مجموعه‌های آلوده را رصد کرد. هریک از این ارتباط‌ها نشان‌دهنده یک نفوذ به شبکه هستند. حملات سایبری همچنین به طور مداوم از لحاظ پیچیدگی هم در حال رشد هستند. مهاجمین اکنون از حملات چندمرحله‌ای استفاده می‌کنند که گاهی تا چند ماه به طول می‌انجامد یا اینکه از الگوهای تازه‌ای برای حمله استفاده می‌کنند مثلاً بدافزار را در یک سایت پرطرفدار که کاربران شرکت هدف احتمالاً از آن استفاده می‌کنند، قرار می‌دهند . آمار روزانه ۹ هزار سایت جدید برای به دام انداختن کاربران ناآگاه ایجاد می‌شود. پیچیدگی حملات سایبری را با یک مثال روشن میتوان کر د. در این حمله، مهاجمین توانستند با استفاده از یک نقطه ضعف در شبکه بدافزاری را در آن جایگذاری کنند. این بدافزار از طریق همین شبکه منتشر شد و به پایانه‌های فروش که مشتریان در سرتاسر کشور در آن‌ها از کارت‌های اعتباری خود استفاده می‌کردند، رسید. استفاده از پایانه‌های فروش موجب شد تا بدافزار بتواند سامانه‌های دفاعی و کنترل‌های داخلی شبکه را دور بزند. با وجود آنکه اطلاعات کارت‌های اعتباری بعد از کشیده شدن رمزگذاری می‌شوند، اما این بدافزار طوری طراحی شده بود که اطلاعات را در مرحله بین کشیده شدن کارت و رمزگذاری ثبت کرده و برای مهاجمین ارسال می‌کرد. مهارت ترکیبی برنامه‌نویسی و اطلاع مهاجمین از روند عملیات تجاری موجب شد تا این برنامه بتواند بر شبکه‌های دفاعی مناسب این شرکت، غلبه کند APT ها همچنین می‌توانند متخصص حملات موسوم به Zero - Day باشند که در آن از نقاط ضعفی استفاده می‌شود که سامانه‌های دفاعی از آن‌ها بی‌اطلاع بوده و برای مقابله با حملات از این نقاط، آمادگی ندارند. این حملات اکنون بازار بسیار پررونقی دارند، به طوری که محققین بسیاری از کشورها نقاط آسیب‌پذیر را شناسایی کرده و اطلاعات مربوط به آن‌ها را به مجرمین سایبری، دولت‌ها یا حتی شرکت‌های تولیدکننده نرم‌افزار، برای فروش عرضه می‌کنند. ابزارهای حملات Zero - Day در دسترس بوده و به APT ها اجازه می‌دهند تا با استفاده از ابزارهای نرم‌افزاری جدید و غیرقابل‌شناسایی به IP های یک شبکه دستبرد زده یا آن شبکه را مختل کنند. استخراج IP در شبکه‌ها همچنان اصلی‌ترین هدفی است که APT ها دنبال می‌کنند و مهاجمین این گروه‌ها تقریباً شرکت‌های هیچ صنعتی را از گزند حملات خود بی‌نصیب نگذاشته‌اند. برخی حملات حتی تا سه سال هم به طول می‌انجامد و مهاجمین در تمام این مدت تمام اطلاعات ارزشمند را استخراج می‌کنند. برخی دیگر از حملات بیشتر شبه به کیف قاپی هستند، که مهاجمین در عرض تنها چند دقیقه اطلاعات باارزش را به دست می‌آورند. APT ها از اطلاعات یک کارخانه برای ضربه زدن به همان مجموعه بهره می‌گیرند. به عنوان مثال، یکی از گروه‌های مجرم سایبری توانست به لیست بازرسی از شرکت‌های فعال در صنعت کارت‌های اعتباری دسترسی پیدا کند، که مشخص می‌کرد وضعیت امنیتی شرکت‌های مختلف از لحاظ امنیت مبادلات کارت‌های اعتباری در چه سطحی است. این فهرست‌های بازرسی، نقاط ضعف سامانه‌های دفاعی شرکت‌های مختلف را مشخص کرده بود که هکرها از آن‌ها برای افزایش کارایی و بهبود حملات خود از آن‌ها استفاده می‌کنند. این حملات هر روز در حال فراگیرتر شدن هستند. در این حملات، هکرها به سراغ شرکت‌هایی می‌روند که از پروتکل های همچون SSL به منظور امن کردن مبادلات استفاده می‌کنند، و برای افزایش امنیت شبکه‌های خود به کار می‌گیرند. آن‌ها سپس با استفاده از فناوری‌ای که به آن دستبرد زده‌اند، به ده‌ها یا حتی صدها شرکت یا کاربری که از آن فناوری استفاده می‌کنند، هجوم می‌برند. گویی به یک کلیدسازی دستبرد زده و سپس با استفاده از شاه‌کلید ربوده‌شده، قفل صدها در را باز کنند. یکی از معروف‌ترین این حملات، حمله به شرکت RSA تولیدکننده بزرگ نرم‌افزارهای رمزنگار، است. در این حمله شرکت خود هدف اصلی نبوده، بلکه مهاجمین APT به این شرکت نفوذ کردند تا به فناوری تائید هویتی که در مؤسسات مالی، شرکت‌های دفاعی و دیگر فعالیت‌های مهم از آن استفاده می‌شد، دست یابند. در حملات بالادستی، استفاده هکرها از شناسه دیجیتالی که با شناسه محصول اصلی غیرقابل تمیز است، موجب می‌شود تا امنیت به کلی از بین برود. دیگر روش حملات سایبری، روش موسوم به فیشینگ متمرکز – هدفمند است. در این روش از ایمیل‌های آلوده به بدافزار برای فریب کاربران و نفوذ به سامانه‌های آن‌ها استفاده می‌شود. ایمیل‌ها معمولاً به نظر قابل‌اعتماد می‌رسند و عموماً ویدئو یا یک فایل اکسل نیز به آن ضمیمه شده است. به محض آنکه کاربر برای دریافت فایل ضمیمه روی آن کلیک کند، بدافزار دانلود شده و وارد شبکه می‌شود. در یکی از موارد موفق برای مدیران یک نهاد ایمیل‌هایی تحت عنوان وسوسه‌برانگیز لیست پاداش‌های سال آینده ارسال شد. در یک مورد دیگر، باز کردن یک فایل ویدئویی با پسوند مثلاMPEG که به ایمیل ضمیمه شده بود، باعث می‌شد تا نرم‌افزار موسوم به key logger روی دستگاه‌ها کپی شود که قادر خواهد بود تک‌ تک کلیدهایی را که کاربر روی کیبورد می‌فشارد، را ثبت کرده و برای مهاجمین بفرستد. هکرها با استفاده از همین اطلاعات به شناسه هویتی‌ای که کاربران از آن برای ورود به شبکه شرکت استفاده می‌کردند، دست می‌یافتند. مهاجمین سپس با همین شناسه‌های هویتی معتبر، وارد شبکه شده و بدافزار مدنظر خود را برای تخلیه اطلاعات مشخص از شبکه، روی آن نصب می‌کردند. تنها با همین روش خاص، تاکنون به بیش از 175 شرکت علمی و فناوری حمله شده است. این حملات می‌توانند در چند حمله، چند موج یا بخش به بخش صورت گیرند. APT ها در ابتدا به دنبال کد برنامه‌ای یا اطلاعات نرم‌افزاری هستند که به آن‌ها اجازه دهد به شبکه‌های شرکت دسترسی پیدا کنند. به محض آنکه توانستند به دسترسی‌های مدنظر برسند، برنامه خود را که به دنبال سرقت IP های ارزشمند است، در شبکه جاسازی کرده و آن را فعال می‌کنند. لازم به ذکر است که معمولاً در حملات سایبری تکوینی که به صورت چند مرحله و تکاملی هستند ، مهاجمین باید خیلی بدشانس یا غیرحرفه‌ای باشند که گیر افتاده یا حتی شناسایی شوند. اغلب پیشرفته‌ترین مهاجمین، ناشناخته باقی می‌مانند. از بین مجموع حملات APT که ما از آن‌ها مطلع می‌شویم، ریشه بیش از ۹۰ درصدشان به چین می‌رسد. گروه‌های APT چینی بر سرقت IP ها و دیگر اطلاعات محرمانه تجاری متمرکز هستند. آن‌ها در بهره‌برداری از اطلاعات ارزشمند شبکه‌های دیگر، در جهان پیشرو هستند. زمانی بحث امنیت IP ها و اطلاعات محرمانه تجاری مطرح است، تغییر رویکرد چین می‌تواند نقشی اساسی در پازل امنیت سایبری ایفا کند. گروه‌های چینی فعالانه صنایع گوناگون از جمله هوا و فضا، داروسازی، شیمی، خودروسازی و رسانه‌های سرتاسر جهان را هدف قرار می‌دهند. این حملات گاهی اوقات رسانه‌ای می‌شود، اما معمولاً از چشم جامعه به دور می‌ماند. APT ها پیش از معمولاً تنها شرکت‌های دارای IP های ارزشمند را هدف قرار می‌دادند. در حالی که این گروه‌ها همچنان چنین شرکت‌هایی را هدف قرار می‌دهند، دامنه حملات آن‌ها گسترش یافته و همه شرکت‌های دارای اطلاعات مفید، IPیا سرمایه را نیز در برگرفته است. قربانیان این حملات تقریباً در همه‌جا و هر صنعتی، از شرکت‌های کوچک گرفته تا مجموعه‌های بزرگ و در هر کشوری هستند. با این حال، تهدیدات امنیت سایبری تنها به چین محدود نمی‌شود. APT های روسی در مقایسه با چینی‌ها بسیار پیچیده‌تر بوده و روش‌های مورد استفاده آن‌ها فوق‌العاده ممتاز است. به عنوان نمونه، هکرهای روس با طور گسترده‌ای از رمزنگاری استفاده می‌کنند. آن‌ها با رمزنگاری بدافزار، حذف آن از شبکه‌ها را دشوارتر کرده و ضمناً بر اقداماتی که برای شناسایی هکرهای چینی صورت گرفته، فائق می‌آیند. اگر گروه‌های APT چینی تمرکز خود را روی سرقت IP ها گذاشته‌اند، همتایان روس و اروپای شرقی‌شان، بیشتر بر جرائم مالی متمرکزند. قربانیان این گروه را هم در تقریباً تمام صنایع مختلف می‌توان یافت. این گروه‌ها مشخصاً مدیران مالی و ممیزهای حساب‌های شرکت‌ها را هدف قرار می‌دهند تا به اطلاعات خصوصی در مورد وضعیت مالی، سود یا طرح‌های شرکت‌ها دست یابند. این هکرها به دنبال اطلاعاتی خاص مربوط به شرکت‌های سهامی هستند تا از این اطلاعات برای معامله یا تأثیرگذاری بر قیمت سهام شرکت استفاده کنند. یکی از موارد نگران‌کننده این است که هکرهای روس از این روش برای دستکاری در بازار سهام به نحوی که قابل‌تشخیص نباشد، استفاده می‌کنند. به گفته اقایD.d-w از شرکت Fire Eye اگر شما ذخیره‌ای از IP ها دارید، بدانید جزو اهداف هستید. ما این را در بیمارستان‌ها و مراکز درمانی دیده‌ایم. ما این را به وضوح در بانکداری مشاهده می‌کنیم. ما این را در اندیشکده‌ها می‌بینیم. این را در شرکت‌های تولیدی شاهدیم. ما این موضوع را در بخش انرژی مشاهده می‌کنیم. تقریباً در تمام بخش‌های همه کشورها ما شاهدیم که حملاتی برای نفوذ و سرقت IP ها، اطلاعات و سرمایه، صورت می‌گیرد. بنابراین، این امر به موضوعی جهانی بدل شده است. رویکردهای دفاعی باید همپای مهاجمین رشد کنند APT ها فرصت‌طلب و خلاق هستند. اگر یک نهاد به خوبی محافظت شده باشد، آن‌ها به دنبال شرکای تجاری، حسابداران یا شرکت‌های حقوقی خارج از این نهاد که توان دفاعی کمتری دارند، می‌روند و از شبکه‌های آن‌ها به عنوان راهی جایگزین برای نفوذ و دست یافتن به اطلاعاتی که می‌خواهند، استفاده می‌کنند. شبکه‌های شرکت‌ها معمولاً از مسیر شرکت‌های ارائه‌دهنده دامنه یا خدمات‌دهنده به شبکه، مورد هدف قرارگرفته و ضربه می‌خورند. به عنوان نمونه، ارتش الکترونیک سوریه برای نفوذ به New York Timesاز مسیر شرکت خدمات‌دهنده به سایت، استفاده کرد. شرکت‌های حقوقی هم اهداف خوبی برای دست یافتن به اطلاعات محرمانه شرکت‌ها از جمله مجوزها، شرکا یا دارایی‌ها، هستند. تهدید APT ها تنها به اطلاعات منحصر نبوده و می‌تواند به تغییرات فیزیکی نیز منجر شود. انجام تخریب‌های فیزیکی در مقایسه به سرقت ساده اطلاعات، نیازمند حجم بسیار بیشتری از پیچیدگی‌های برنامه‌نویسی و اطلاعات در مورد هدف است. این حملات همچنین در مقایسه با ابزارهایی که در حال حاضر برای حملات معمول استفاده می‌شوند، به ابزارهایی بسیار گران‌قیمت‌تر نیاز دارند. با این حال، اکنون تعداد کشورهایی که به چنین مهارت‌هایی دست‌یافته‌اند، رو به افزایش است. در حالی که ایجاد اثرات فیزیکی به دلیل منابع و مهارت‌های بیشتری که نیاز دارند، همچنان کاری دشوار است، اما اکنون تعداد فزاینده‌ای از گروه‌ها به مهارت لازم برای انجام حملات مختل‌کننده یا تخریب‌گر که می‌تواند ایمنی عمومی یا امنیت ملی را در معرض خطر قرار دهد، دست‌یافته یا در حال دست یافتن هستند. دفاع سایبری نتوانسته به اندازهها پیشرفت کند APT ها منابع، پشت‌کار و مهارت‌های لازم برای طراحی حملات پیچیده و فائق آمدن بر سامانه‌های دفاعی و جلوگیری از شناخته شدن را دارند. شبکه بسیاری از شرکت‌ها در حالی مورد حمله و دستبرد قرارگرفته که حتی خود آن شرکت نیز از این موضوع بی‌اطلاع است. APT ها با بهره‌گیری از هماهنگی ضعیف و اجرای ناقص تمهیدات اولیه امنیت سایبری در شرکت‌ها، به تهدیدی جدی برای امنیت سایبری بدل شده‌اند. تمهیدات ضعیف دفاعی بدان معنی است که APT ها می‌توانند بدون آنکه قربانی بفهمد، همواره با یک الگوی مشخص با موفقیت به شبکه نفوذ کرده و به اطلاعات آن دستبرد بزنند. ما داریم در مورد یک روند سایبری صحبت می‌کنیم. در واقع بهتر از آن تحت عنوان یک خط دفاعی سایبری یاد کنیم. خط دفاعی ماژینو استحکاماتی بود که فرانسوی‌ها هزینه زیادی برای ایجاد آن کردند، اما آلمان نازی به سادگی توانست در جنگ جهانی دوم از آن عبور کند. بسیاری از ساختارهای امنیتی دفاعی کنونی نیز مشترکات زیادی با این خط دفاعی دارند. آن‌ها سفت‌وسخت، انعطاف‌ناپذیر و بیش‌ازحد پیچیده هستند. افزایش لایه‌های ایستا و مشابه هم، به هیچ وجه به معنی افزایش امنیت نیست. یک معماری دفاعی مبتنی بر رویکردهای ایستا که از امضای دیجیتال و استانداردهای انطباقی استفاده می‌کند، چیزی است که هکرها می‌توانند هر بار بر آن غلبه کنند. اغلب شرکت‌ها وقتی می‌فهمند مورد حمله قرارگرفته‌اند که ماه‌ها از آن حمله گذشته و عموماً هم یک شرکت ثالث است که آن‌ها را از این موضوع مطلع می‌کند. بخش اعظم حملات موفق تنها به تکنیک‌های ابتدایی نیاز دارند و اغلب آن‌ها را می‌توان تنها با استفاده هماهنگ و مداوم از تمهیدات نسبتاً ابتدایی پیشگیرانه، متوقف کرد. یکی از دلایلی که جرائم سایبری تا این حد گسترش یافته، این است که مهاجمین برای انجام یک حمله موفق، لازم نیست چندان تلاشی انجام دهند. باید به سمت روش‌های دفاعی پویا حرکت کرد اغلب سامانه‌های دفاعی کنونی پایه محور هستند و شرکت‌ها تنها از خود دفاع می‌کنند. این در حالی است که در رویکرد پدافند پویا، روش‌های مورد استفاده هم کلی‌نگر است، به این معنی که تمام مجموعه از حمله شرکای تجاری و تأمین‌کنندگان مواد اولیه را مدنظر داشته، و پویا بوده و دقیقاً همپای تهدیدات، روندی تکاملی دارند. اغلب روش‌های پدافندی چندلایه ایستا که توسط بسیاری از شرکت‌ها و با استفاده از برنامه‌های مختلف به کار گرفته شده‌اند، نمی‌توانند در برابر روش‌های مبتنی بر مهندسی اجتماعی نظیر فیشینگ هدف‌اند و Zero day مؤثر باشند. یک ساختار امنیتی چندلایه معمولی که لایه‌های آن از روش‌های متداول انطباق الگو یا امضای دیجیتال استفاده می‌کنند، نظیر سامانه‌های شناسایی و ممانعت، فایروال‌ها و دروازه‌های دیجیتال، تنها به ایجاد یک حس غلط امنیت، منجر می‌شوند. اطلاعاتمراکز عملیات امنیت SOC Security Operation Center نشان می‌دهند که APT ها ممکن است به شبکه‌های بیش از 90 درصد شرکت‌ها و دولت‌ها نفوذ کرده باشند. مدل استفاده از آنتی‌ویروس برای رسیدن به امنیت سایبری، اکنون به شدت تحت‌فشار است. زمانی شرکت‌های تولیدکننده آنتی‌ویروس اولین بار ایجاد شدند، باید تنها به دنبال الگوها یا نشانه‌هایی بودند که نشان‌دهنده بروز حمله است، و با ایجاد یک امضای دیجیتال، فایل‌ها را برای شناسایی حمله رصد کنند. این شرکت‌ها در طول سال‌های طولانی الگوهای بیشتری تولید و فایل‌های بیشتری را رصد کرده‌اند. استفاده از مشخصه‌های دیجیتال و ایجاد فهرست‌های سیاه به آن معنی است که ما بیش از ۶۰میلیون شناسه تهدیدات سایبری را در هر سیستم قرار داده‌ایم؛ با این حال حملات همچنان با سرعت خیره‌کننده، به پیش می‌روند. در گذشته، بلافاصله چند روز بعد از آنکه بدافزاری ظاهر می‌شد، مشخصه‌ای برای شناسایی و مسدود کردن آن از سوی شرکت‌ها تولید می‌شد. اما در چند سال اخیر، سرعت ظهور بدافزارهای جدید و تعداد بالای حملاتی که انجام می‌دهند موجب شده تا آنتی‌ویروس‌ها در موضع ضعف قرار گیرند. مهاجمین می‌توانند با دسترسی به لیست مشخصه‌های یک شرکت به طور کامل سپر دفاعی آن شرکت را دور بزنند. عدم وجود مدیریت هماهنگ هم دیگر مسئله‌ای است که دفاع در برابر APT ها را دشوارتر می‌کند. مدیریت هماهنگ در واقع قوانین و تفاهماتی است که بر اقدامات هماهنگ بیم شرکت‌ها و دولت‌ها علیه APT ها حاکم است. مدیریت هماهنگ ضعیف موجب می‌شود تا دولت‌ها و نهادها در همکاری برای مقابله با APT ها با دشواری بیشتری روبرو شوند. در چنین فضایی است که حتی حملات غیرپیچیده و ابتدایی هم می‌توانند موفق باشند. نبود هماهنگی بین مدافعین، موضوعی است که از نبود مدیریت هماهنگ نشأت می‌گیرد. در واقع مدیریت هماهنگ با ایجاد ساختارهای لازم برای همکاری‌های دفاعی، زمینه را برای یک رویکرد جامع در امنیت سایبری فراهم می‌کند. ناتوانی در ایجاد یک ساختار مدیریت هماهنگ بین شرکت‌ها و دولت منجر به این معنی است که به عنوان حجم بالایی از حملات شناسایی نشده و امکان پیش‌گیری و مبارزه با آن فراهم نمی‌شود. در صورتی که شبکه لایه‌های دفاعی کافی را نداشته باشد، در آن صورت نبود هماهنگی مناسب جزو اصلی‌ترین مشکلات امنیت سایبری خواهد بود. ها چیزی که به طور خلاصه می‌توان گفت، این است که رقبای APT ما افرادی هستند ماهر و خلاق که در برابر خطوط دفاعی‌ای قرارگرفته‌اند که برای مهارشان بسیار ضعیف هستند. سال‌هاست که این وضعیت ادامه یافته، اما نباید اجازه داد این وضعیت به امری دائمی بدل شود. با وجود آنکه هیچ راه‌حل قطعی برای دستیابی به امنیت سایبری کامل وجود ندارد، اما می‌توان با ایجاد مراکزعملیات امنیت برای سازمان ها و شرکت های حد وسط – پیشرفته و همچنین مراکز دفاعی – دولتی – نظامی – صنعتی و هماهنگی در سطوح بین‌المللی، ملی و شرکتی، میزان تهدید APT ها را کاهش داده و امنیت سایبری را بالا برد. راهکارهایی که پیشنهاد میشوند در ۵ ردیف دسته‌بندی می‌شود رویه‌ها، تبعات، فناوری، مدیریت و نیروی انسانی. اقدامات پیشگیرانه سایبری نقطه شروع است هیچ شرکت یا آژانسی نمی‌تواند بدون آنکه در ابتدا برخی اصول اولیه مراقبتی را رعایت کند، از پس تهدیدات سایبری برآید. بسیاری از حملات را می‌توان با اجرای برای تمهیدات ساده امنیتی، ناکام گذاشت. یک نمونه خوب برای تمهیدات اولیه، بسته موسوم به راهبردهای ۳۵ گانه کاهش تهدید استرالیا است. یک نمونه دیگر، بسته موسوم به ۲۰ تمهید امنیتی مؤثر در دفاع سایبری موسسه SANS است. این راهبردهای مقابله با ریسک می‌تواند به شرکت‌ها کمک کند که از پس اغلب تهدیدات سایبری شناخته شده برآمده و در عین حال هزینه‌های دفاعی خود را کاهش دهند. راهبردهای کاهشی همچنین می‌توانند به پایین آمدن تهدیدات داخلی سازمان‌ها نیز کمک کنند. گزارش چارچوب امنیت سایبری موسسه ملی استاندارد و فناوری که به دستور اجرایی 2014 رئیس‌جمهور اوباما و با هدف تهیه لیستی از تمام اقداماتی که شرکت‌ها می‌توانند برای بالا بردن امنیت شبکه‌هایشان انجام دهند، ایجاد شد. این لیست موقعیتی را فراهم می‌کند تا تمهیدات اولیه به پایه‌ای برای امنیت سایبری بدل شوند. این تمیهدات اولیه امنیتی باید همراه با نظارت و مراقبت مداوم به اجرا گذاشته شوند. به عنوان مثال اقدامات ساده‌ای چون کسب اطمینان از اینکه تمام نرم‌افزارهای نصب‌شده روی دستگاه‌ها، از لحاظ امنیتی به روز شده‌اند. چک کردن مداوم موارد دفاعی موجب می‌شود تا نقاط ضعف پیش از آنکه مهاجمین بتوانند از آن استفاده کنند، شناسایی شوند. میزان کارایی کنترل‌ها و تمهیدات امنیتی به میزان توانایی کاربر برای استفاده بهینه از آن‌ها بستگی دارد. متخصصان امنیت اطلاعات اغلب به این نتیجه می‌رسند که در بسیاری از موارد، موفقیت حملات بیش از آنکه نتیجه استفاده مهاجمین از روش‌های پیچیده باشد، ناشی از اجرای نادرست تمهیدات امنیتی از سوی قربانی بوده است. در مجموع، باید گفت حتی پیچیده‌ترین راهبردهای دفاعی هم اگر به درستی از سوی کاربر مورد نظارت قرار نگرفته و به اجرای مناسبشان بی‌توجهی شود، در برابر حملات مغلوب می‌شوند. برای افزایش امنیت، باید از روش‌های سنتی فاصله گرفت وقت آن رسیده که روش معمول تائید هویت کنار گذاشته شود. شرکت‌ها باید به استفاده از شیوه نام کاربری - کلمه عبور برای تأمین امنیت موارد باارزش، پایان دهند. برنامه‌هایی که رمز عبور را شکسته یا حدس می‌زنند، به وفور در بازار سیاه جرائم سایبری یافت می‌شوند و APT ها نیز به ابزارهای حتی پیشرفته‌تر و پیچیده‌تر دسترسی دارند. بسیاری از حملات مهاجمین، به دلیل ضعیف بودن رمز عبور است که با موفقیت همراه می‌شود. از این رو، به روش‌های پیشرفته‌تری برای تائید هویت نیاز است. البته این امر همواره به دلیل بالا رفتن هزینه‌ها و همچنین دشوارتر شدن دسترسی کارکنان با مخالفت‌هایی همراه است؛ درست همانطور که بیشتر کردن قفل‌های درها با مخالفت مواجه می‌شود. اگر شرکتی همچنان به استفاده از روش قدیمی نام کاربری - کلمه عبور برای محافظت از اطلاعات باارزش ادامه دهد، انگار درهای شرکت را بدون قفل و نگهبان، به حال خود رها کرده است نسبت به تائید صحت هویت جدیت به خرج دهید . ها وقتی بحث تعیین شناسایی مسئول حملات مطرح است، می‌بینیم که ما پیشرفت‌های زیادی را داشته‌ایم، حتی از ۵ سال قبل تا الان. اکنون در بسیاری از موارد و البته نه در همه آن‌ها می‌توانیم بگویم که چه کسی عامل حمله بوده است. همین امر به ما اجازه می‌دهد تا در رویکرد خود برای یافتن راهکارهای جلوگیری از تهدیدات سایبری، متمرکزتر عمل کنیم. داشتن توانایی مشخص کردن عامل حمله، این فرصت را فراهم می‌کند تا جرایمی برای مهاجمین در نظر گرفته شود و نتیجتاً هر حمله تبعاتی مشخص را برای عوامل آن داشته باشد. وقتی در حال حاضر تقریباً هیچ جریمه و تنبیهی برای ایجاد بدافزارها وجود ندارد، چرا مهاجمین باید از اعمال خود دست بردارند؟ قطعاً باید جریمه‌ها یا تبعاتی دیگر برای مهاجمین وجود داشته باشد. استفاده از رویکردهای حقوقی برای هزینه‌دار کردن اعمال APT ها، یکی از مواردی است که تاکنون به ندرت به آن پرداخته شده است. شاید برای یک شرکت مقدور نباشد که مهاجمین را تحت پیگرد قرار دهد، اما مقامات کشوری می‌توانند با استفاده از ابزارهای ایجاد شده برای تروریسم، منع گسترش و جرائم برون مرزی برای مقابله با APT ها استفاده کنند. خودداری از ارائه ویزا، محدود کردن تراکنش‌های مالی و همچنین تحت پیگرد قرار دادن افراد دخیل یا منتفع از جاسوسی سایبری از جمله این ابزارهاست. این‌ها ابزارهایی هستند که امتحان خود را پس داده و می‌توان از آن‌ها برای مقابله با گروه‌های شناخته‌شده APT استفاده کرد. هیاهویی که در مورد جاسوسی آژانس امنیت ملی آمریکا به راه افتاده، از ارزش اقدامات قانونی نمی‌کاهد. بسیاری از کشورها در جهان دست به جاسوسی سایبری می‌زنند. این کشورها نمی‌خواهند آژانس امنیت ملی آمریکا را به دادگاه بکشانند، چراکه این کار بدعتی تازه بنا می‌گذارد که بعدها می‌تواند آژانس‌های اطلاعاتی خود آن‌ها را نیز گرفتار کند. حتی اگر همه APT ها هم ارتباط نزدیکی با دولت کشورهای میزبان داشته باشند، اما آن‌ها همچنان شخصیت‌های حقیقی‌ای هستند که هم بر اساس قوانین فردی مرتکب جرم شده و هم بر خلاف جاسوسی، حتی بر اساس قوانین ملی خود نیز که مخالف سرقت اطلاعات مالی و IP است، مرتکب تخلف شده‌اند. وقتی بحث جرائم اینترنتی در میان است، جهان باید به امان دادن به APT ها پایان دهد. یک روش دیگر ایجاد هزینه و تبعات برای مهاجمین که البته مشکلاتی دارد، اما اخیراً به صورتی جدی مورد بحث و توجه قرارگرفته، انجام حملات تلافی‌جویانه به مهاجمین است. به این روش برخی اوقات، دفاع فعال گفته می‌شود. به طور کلی، آنچه که یک شرکت برای محافظت از خود در شبکه‌اش انجام می‌دهد، نظیر قرار دادن اطلاعات غلط در شبکه داخلی، تله‌گذاری و یا ایجاد توانایی ردگیری و کنترل استفاده از IP همگی مواردی است که جزو سیاست‌های داخلی آن شرکت یا قوانین کشور به شمار می‌آید و دینی برای آن نهاد ایجاد نمی‌کند. اما، اگر یک شرکت برای تلافی حملات از خود از شبکه‌اش خارج شده و به خصوص وارد شبکه‌ای در خارج از کشور شود، خود را در معرض تهدید قوانین بین‌المللی قرار داده و ممکن است مدیون شناخته شود. علاوه بر این، از آنجا که ایالات متحده تلاش کرده تا روسیه و چین را به همکاری در زمینه اجرای قوانین مبارزه با جرائم سایبری تشویق کند، به سختی می‌تواند در برابر درخواست‌های خارجی برای همکاری در زمینه تحقیق در مورد جرائم سایبری آمریکایی‌هایی که حملات تلافی‌جویانه انجام داده‌اند، ایستادگی کند. همچنین اقدامات تلافی‌جویانه که افراد رأساً دست به آن می‌زنند، در صورت خارج شدن از کنترل و ضرر زدن به شخص ثالثی که خطایی مرتکب نشده بوده، به صورتی جدی با ریسک مدیون شدن فرد مواجه است. بسیاری از شرکت‌ها به شدت وسوسه می‌شوند تا دست به حملات تلافی‌جویانه بزنند، اما آن‌ها پیش از هر اقدامی باید به دقت به تبعات لو رفتن احتمالی خود فکر کند و بعد این ریسک را بپذیرند. بهترین راه برای کنترل تقاضا برای حملات تلافی‌جویانه، این است که دولت‌ها سیاست‌های قاطعانه‌تری برای مقابله و برخورد با APT ها در پیش بگیرند. این بدان معنی نیست که دولت‌ها به هم اعلام جنگ کنند، بلکه به این معنی است که به طور کامل از مجموعه ابزارهای دیپلماتیک، تجاری و قانونی‌ای که در اختیار دارند، در راستای ایجاد تبعات واقعی برای مهاجمین استفاده کنند؛ آن هم در محیطی که تبعات حملات به طور سنتی آنقدر محدود است که تقریباً به چشم نمی‌آیند. جایگزین این روش هم این است که برخوردی منفعلانه داشته و اجازه دهیم افراد قربانی شوند. بهره بگیری از فناوری‌های جدید در بازار فناوری‌های موثری در زمینه امنیت سایبری وجود دارد، اما پیشرفت‌هایی که اخیراً صورت گرفته، شانس کاهش فاصله میان توان تهاجمی و دفاعی را افزایش داده است. روش‌هایی چون کلان‌داده، رایانش ابری و نرم‌افزار به عنوان سرویس SaaS می‌توانند دیگر در حد یک شعار باقی نمانند. فناوری‌هایی که پشت این روش‌هاست، نوع جدیدی از دفاع سایبری را معرفی می‌کند. استفاده از سامانه‌های مجازی برای بررسی فایل‌ها پیش از آنکه به شبکه هدف منتقل شوند، روش جدید و امیدوارکننده‌ای برای استفاده از فناوری است. روش‌های بسیار دیگری هم وجود دارد که می‌تواند به ما در فاصله گرفته از روش‌های منفعلانه کمک کنند. ایجاد استانداردهایی برای رویارویی با تهدیدات پیشرفته و گسترش همکاری‌های داخلی بین سرویس‌دهندگان مختلف، می‌تواند فناوری پیشرفته‌ای را ایجاد کند که تاکنون هرگز دیده نشده است.و در انتها ایجاد مراکز عملیات امنیت پیشرفته که چتری میباشند که تمامی باید ها را در خود جا داده اند. لازمه کاهش میزان تهدیدات، بررسی دقیق معماری اینترنت، کاربری‌ها و برنامه‌هاست تا بتوان نقاط ضعف آن‌ها را شناسایی کرد. در حال حاضر، نقاط ضعف به طرز شرم‌آوری آشکار و متعدد هستند، که دلیل اصلی این امر عموماً ضعف در توسعه و انجام عملیات سنجش است. برای تغییر این روند، لازم است تا در طرز فکر تولیدکنندگان نرم‌افزار، تغییر ایجاد شود. یکی از موضوعاتی که باید مورد بحث قرار گیرد، این است که آیا برای رسیدن به امنیت بهتر نیاز است که چارچوبی قابل‌اتکاتر برای شرکت‌های دخیل در تولید و فروش نرم‌افزار، تعریف شود یا خیر؟ قرار الگوی تهدیدات و حملات در حال حاضر، شرکت‌های بزرگ و کوچک هریک تنها از بخشی از اطلاعات مربوط به پازل امنیت سایبری دسترسی دارند. اکنون آگاهی وضعی ما در مورد تهدیدات سایبری بسیار ناقص و از هم گسیخته است. اطلاعات ما در مقایسه با اطلاعاتی که مجموعه‌های مختلف در مورد تهدیدات سایبری دارند، بسیار محدود است. اگر ما بتوانیم تمام اطلاعاتی را که شرکت‌ها و آژانس‌های مختلف در اختیار دارند، کنار هم بگذاریم، دانش ما نسبت به APT ها و به تبع آن توانمان برای دفاع از خود در برابر آن‌ها به میزان بسیار زیادی افزایش می‌یابد. در حال حاضر همکاری میان شرکت‌ها با هم و با دولت‌ها در زمینه امنیت سایبری با موانع قانونی، تجاری و معاملاتی مواجه است. موضوعات مربوط به عدم اط Thu, 19 Feb 2015 09:02:40 +0000 https://alirezaghahrood.professora.ir/cat-2287/category/news-5384/ https://alirezaghahrood.professora.ir/cat-2287/category/news-5384/ امنیت مجموعه ای از دانش و آگاهی بهمراه عوامل تکنولوژیک میباشد با این حال 100 نبوده گرچه میتوان ضریب پایداری امن را بالا برد و در مقابل درصد خطرات و آسیب پذیری های باز رو به صفر رساند. فیشینگ - Phishing به تلاش برای بدست آوردن اطلاعاتی مانند نام کاربری، گذرواژه، اطلاعات حساب بانکی و... از طریق جعل یک وب‌سایت، آدرس ایمیل و... گفته می‌شود. شبکه‌های اجتماعی و وب‌سایت‌های پرداخت آنلاین از جمله اهداف حملات فیشینگ هستند . علاوه بر آن، ایمیل‌هایی که با این هدف ارسال می‌شوند و حاوی پیوندی به یک وب‌سایت هستند در اکثر موارد حاوی بدافزار هستند. هدف اصلی از ارسال این ایمیل های جعلی، سرقت مجوزهای دسترسی کاربران به این سایت می باشد. شرکت امنیتی Symantec با انتشار اطلاعیه ای خبر از افزایش ایمیل های جعلی که در نگاه اول از طرف بخش پشتیبانی سایت LinkedIn فرستاده شده اند، داد. در این ایمیل های جعلی به فعالیت مشکوک در حساب کاربری LinkedIn اشاره شده و از کاربر خواسته شده تا برای رفع این مشکل، اطلاعات خود را به روز کند. ایمیل جعلی دارای یک فایل پیوست از نوع HTML است که در ظاهر کاربر باید برای به روز رسانی اطلاعات خود، آنرا اجرا کند. این فایل حاوی صفحه ورود login به سایت اجتماعی LinkedIn است ولی بخشی هایی از آن دستکاری شده تا اطلاعات وارد شده در این صفحه به یک سرور تحت کنترل مجرمان سایبری ارسال شود. گریز از این نوع حمله سایبری تنها با آگاهی تاکنون باید کاربران یاد گرفته باشند و بدانند که شرکتهایی نظیر LinkedIn ،Facebook،Google و … هیچگاه برای مسائل امنیتی و به روز رسانی، ایمیل با فایل پیوست ارسال نمی کنند. به کاربران LinkedIn توصیه می شود تا در صورت امکان از روش تائید دوطرفه برای ورورد به سایت استفاده کنند. در این روش، LinkedIn یک رمز عبور یکبار مصرف به شماره همراه کاربر ارسال می کند تا با وارد کردن آن رمز، ورود کاربر به سایت تائید و نهایی شود. با این روش، حتی در صورت لو رفتن و افشا شدن مجوز دسترسی به سایت، امکان ورورد و سوء استفاده از حساب کاربری وجود نخواهد داشت. در صورت هرگونه برخورد با این تهدیدات به phishing linkedin.com گزارش دهید علیرضا قهرود SOC _ عضو تیم مرکز عملیات امنیت شرکت نوآوران ارتباطات دوران عضو گروه دوران Thu, 19 Feb 2015 09:01:26 +0000 https://alirezaghahrood.professora.ir/cat-2288/category/news-5383/ https://alirezaghahrood.professora.ir/cat-2288/category/news-5383/ SOC – Security Operation Center محصولات غیر بومی و عدم پایش بلادرنگ در تحققجامعه بیوسایبر شرکت مایکروسافت بزرگترین شرکت تولید سیستم‌عامل کاربری است که بارها اسنادی در راستای اثبات همکاری‌اش با آژانس امنیت ملی آمریکا به منظور سرقت اطلاعات کاربرانش منتشر گردیده است. در حال حاضر نسخه آزمایشی ویندوز ۱۰مایکروسافت منتشر شده و افراد زیادی منتظر دریافت و آزمون آن هستند.امانکته حائز اهمیت اینست که این نسخه با ظاهری کاربر پسند، بصورتی حرفه‌ای‌تر اطلاعات افراد را به سرقت می‌برد.این نسخه از سیستم‌عامل مایکروسافت اطلاعات بسیاری را بصورت پنهانی و خودکار از کاربرانش ضبط و ارسال می‌کند. از جمله این اطلاعات می‌توان به ۱-نام کاربر بر حسب پروفایل‌های مجزای روی سیستم‌عامل ۲-ایمیل کاربران ۳-موقعیت فیزیکی محل زندگی کاربران Geo Location ۴-علاقه مندی‌های کاربر ۵-نوع و میزان نظم ذهنی کاربر ۶-اسامی و نوع فایل‌های ذخیره شده و مورد استفاده ۷-متا دیتاهای کاربر متا دیتا داده‌ای است که دیگر داده‌ها را توصیف می‌کند ۸-جستجوهای انجام شده در فضای سیستم‌عامل آنلاین و آفلاین ۹-کلیه ارتباطات تماسی نظیر تماس‌های تلفنی،پیام‌های صوتی، تصویری و متنی و ... ۱۰- اطلاعات شبکه‌ای کاربر - مشخصات سخت‌افزاری و نرم‌افزاری دستگاه شامل HID، SID، Bios، میزان و نوع استفاده از سیستم، زمان استفاده، تعداد کاربران یک سیستم و … - شناسه‌های بیومتریک منحصر بفرد نظیر اثر انگشت، عنبیه چشم و ... - اطلاعات سیستم‌فایل - میزان و نوع کار کاربر با اینترنت - لیست مخاطبان کاربر آنلاین و آفلاین - HID کلیه سخت‌افزارهای موقت و دائم نصب شده به سیستم اشاره نمود. از جمله شیوه‌های دقیق کسب اطلاعات ویندوز ۱۰، ذخیره تک‌تک کلماتی است که در فضاهای مختلف آن اعم از ورد، جستجوی فایل‌های سیستمی و مرورگر تایپ می‌شوند. همچنین بر اساس اذعان صریح این شرکت، ویندوز ۱۰ از طریق رصد و ذخیره کوکی‌ها و ابزارهای مرورگر، بیش از پیش اطلاعات کاربران را تجسس می‌کند. شرکت مایکروسافت مدعی است که از این اطلاعات تنها برای بهبود بخشیدن به سیستم‌عاملش استفاده می‌کند حال آنکه بسیاری از این اطلاعات به هیچ وجه جنبه بهره‌وری تکنیکی ندارند و تنها برای مقاصد اطلاعاتی مفید هستند. این شرکتاضافه کرده است با باز شدن هر فایل توسط کاربر، سیستم‌عاملرفتار وی را تحلیل می‌کند تا به دیگر ویژگی‌های کاربر پی ببرد. در سربخش دیگر این صفحه، با صراحت بیان شده است که تمامی دیتاهای انتقالی ارسال و دریافت کنترل می‌شوند. و قابل توجه‌ترین نکته اینست که پس از اعتراف مایکروسافت به حجم عظیم جاسوسی‌اش از کاربر، در نهایت ابراز داشته که این اطلاعات تنها در اختیار شرکت نمی‌ماند و ممکن است به همکارانش واگذار نماید سؤال اینست که همکاران شرکت مایکروسافت چه کسانی هستند؟ با توجه به اینکه هدف اصلی در جامعه بیوسایبر کنترل افراد از طریق چیپ‌ست‌های الحاقی در شریان‌های اصلی خونی و مغز آنها است، نیاز های اطلاعاتی بیشمار سازمان‌های اطلاعات سایبری جهان خصوصا مجموعه های اطلاعاتی به اطلاعات بیومتریک افراد، بسیار بیشتر از هر اطلاعات دیگری است. باید به زودی منتظر ظهور و بروز ابزارهایی باشیم که به بهانه‌های مختلف از جمله تأمین امنیت و همیاری پزشکی حتی نرخ و نوع ضربان قلب کاربران را بصورت ۲۴ ساعته اندازه‌گیری می‌کنند. ویندوز۱۰ در محصولات شرکت مایکروسافت نقطه عطف میان سیستم‌عامل های ارگانیک گذشته و سیستم‌عامل‌های بیولوژیک آینده این شرکت است و اساسا این ادعای شرکت ماکروسافتکه بیان داشت بجای استفاده از عنوان ویندوز ۹، از ویندوز ۱۰ برای محصول جدیدمان استفاده می‌کنیم چرا که تفاوت‌های آن با نسخه ۸، بسیار بیشتر از تفاوت‌های معمول میان دو سیستم‌عامل است به حوزه جاسوسی‌های نوین بیومتریک این سیستم‌عامل باز می‌گردد. و این تنها برند و محصول نیست غول های موجود همچون گوگل با سیستم عامل اندروید و محصولات – برند های دیگر هم بصورت موازی عملیات سرقت اطلاعات شخصی - سازمانی را در جهت استفاده هرچه بیشتر در نسل نوین جنگ جنگ سایبری بی پروا استفاده کرده و این روند ادامه دارد بصورت صریح در صورت استفاده از محصولات غیر بومی و عدم مانیتورینگ آن چه در سطح شخص - کاربر و چه در لایه های بالاتر شرکت های خصوصی و دولتی اطلاعات ما کاملا در اختیار سازمان های جاسوسی قرار خواهد گرفت و این شکل زیر کاملا منظور را منتقل خواهد کرد تخم مرغ= دارایی های ما –سازمان ماهیتابه = استفاده از محصولات غیر بومی و عدم پایش آن و در آخر نهایت امن کردن سیستم ها - طراحی دقیق زیرساخت ها با استاندارد های موجود و پیاده سازی عوامل و فرآیندها بعلاوه ابزار های نوین و تکنولوژی های از جنس برای جلوگیری از نشر و لو رفتن اطلاعات سازمان ها در حین استفاده از ابزار ها و تکنولوژی های که بومی نبوده تنها تکیه به حرکت به پیاده سازی مراکز عملیات امنیت آن هم با استفاده از ابزار های بومی با خروجی مناسب می باشد که پیاده سازی مراکز عملیات امنیت SOC دو موضوع را بصورت کامل همپوشانی میکند 1.جلوگیری از حملات سایبری بوسیله امن کردن ساختار و سیستم های موجود بهمراه رصد بلادرنگ زیرساخت - شبکه سازمان مدنظر و پاسخگویی به حوادث سایبری در لحظه 2.جلوگیری از افشای اطلاعات در بستر شبکه سازمان در حین استفاده از محصولات و نرم افزار های غیر بومی + ذکر این موضوع هم لازم میباشد که گام پایه ای برای افزایش امنیت فضای سایبر کشور میتوان مورد توجه باشد -حرکت بسویی محصولات بومی آن هم با قدرت - سرعت بیشتر -تعاملات اعتماد و سرمایه گذاری سازمان های بزرگ دولتی – خصوصی -پشتوانه کمک دولت تدبیر امید -و افزایش روند ایجاد مراکز عملیات امنیت برای رسیدن به این اهم که در بحث های از جنس IT محور بتوان بومی سازی را به بالاترین حد ممکن برای حفظ امنیت کشور در نگاه فضای سایبری رساند http windows.microsoft.com en-us windows preview-privacy-statement http www.microsoft.com privacystatement en-us office default.aspx علیرضا قهرود SOC _ عضو تیم مرکز عملیات امنیت شرکت نوآوران ارتباطات دوران عضو گروه دوران Thu, 19 Feb 2015 08:37:08 +0000 https://alirezaghahrood.professora.ir/cat-2287/category/news-5382/ https://alirezaghahrood.professora.ir/cat-2287/category/news-5382/ روز سه شنبه ۲۱ بهمن ماه، شرکت مایکروسافت اصلاحیه های امنیتی ماهانه برای ماه میلادی فوریه را منتشر کرد. مرورگر Internet Explorer، نرم افزار Office و سیستم عامل Windows توسط این اصلاحیه‌ها ترمیم و به روز شده اند. از بین ۵۶ نقطه ضعفی که این ماه در محصولات گوناگون مایکروسافت ترمیم شده اند، ۴۱ نقطه ضعف مربوط به مرورگر Internet Explorer هستند برای اولین بار هم Group Policy در Windows اصلاح شده که می تواند برای شبکه های سازمانی بسیار مهم باشد. طبق اطلاعیه شرکت مایکروسافت، این ماه ۹ اصلاحیه برای ترمیم ۵۶ نقطه ضعف در انواع محصولات این شرکت منتشر شده است. از این ۹ اصلاحیه، ۳ اصلاحیه دارای درجه اهمیت - حیاتی Critical هستند. نقاط ضعفی که توسط اصلاحیه های حیاتی ترمیم می شوند، بدون نیاز به دخالت کاربر، قابل سوء استفاده توسط مهاجمین و نفوذگران هستند. از بین ۵۶ نقطه ضعفی که این ماه در محصولات گوناگون مایکروسافت ترمیم شده اند، ۴۱ نقطه ضعف مربوط به مرورگر Internet Explorerهستند که تنها جزئیات یکی از این نقاط ضعف بطور عمومی منتشر شده و مابقی ۴۰ نقطه ضعف بطور خصوصی به اطلاع شرکت مایکروسافت رسیده و ترمیم شده اند. یکی از سه اصلاحیه حیاتی این ماه MS15-009 برای مرورگر Internet Explorerاست که شامل تمام نسخه های قدیمی و جدید این مرورگر می شود. این اصلاحیه همچنین تنظیمات پودمان SSL3.0 را نیز در نسخه IE11 تغییر داده تا آسیب پذیری کمتری نسبت به ضعف POODLE داشته باشد. بدین ترتیب امکان اینکه مرورگر IE را بتوان وادار به استفاده از پودمان قدیمی و آسیب پذیر SSL3.0 بجای نسخه های جدید و امن این پودمان نمود، دیگر وجود ندارد. اصلاحیه حیاتی دوم این ماه MS15-010 شش نقطه ضعف را در بخشی که مسئولیت پردازش فونت های TrueType را در هسته اصلی Kernel سیستم عامل Windows برعهده دارد، برطرف می نماید. اصلاحیه حیاتی سوم MS15-011 نقطه ضعفی را در بخش Group Policy سیستم عامل Windows برطرف می کند. این نقطه ضعف جالبی است که سوء استفاده از آن می تواند امکان دستکاری ارتباط بین سرور و ایستگاه کاری را فراهم آورده و از این طریق به نفوذگر اجازه اجرای فرامین و تغییر تنظیمات Group Policy جهت کاهش تنظیمات امنیتی بر روی ماشین های یک دامنه خاص را بدهد. نصب این اصلاحیه در شبکه های سازمانی به شدت توضیه می گردد. همچنین اصلاحیه - مهم Important شماره MS15-014 نیز برای Group Policyاست تا مانع از انجام حملاتی از نوع Man-in_the -Middle شود. این نوع حملات می توانند تنظیمات Group Policy را بر روی ماشین هایی که مورد حمله قرار گرفته اند، غیرقابل خواندن کند. دیگر اصلاحیه های امنیتی مهم این ماه عبارتند از MS15-012سه نقطه ضعف را در تمامی نسخه های نرم افزار Office برطرف می کند. MS15-013یک نقطه ضعف را در نرم افزار Office برطرف می کند. این نقطه ضعف کمی متفاوت با دیگر نقاط ضعف Office است. این امکان وجود دارد که این نقطه ضعف مهم با ترکیب با نقطه ضعف دیگری، تبدیل به یک نقطه ضعف حیاتی شود که سوء استفاده از آن بدون نیاز به دخالت کاربر قابل انجام خواهد بود. MS15-015 یک نقطه ضضعف Windows را که سوء استفاده از آن می تواند باعث ارتقاء مجوز دسترسی به شبکه شود، برطرف می کند. MS15-016یک نقطه ضعف Windows را در بخش پردازش فایل های گرافیکی TIFF برطرف می کند. MS15-017یک نقطه ضعف را در بخش Virtual Machine Managerسیستم عامل Windows برطرف می کند. https technet.microsoft.com en-us library security dn610807.aspx https technet.microsoft.com en-us security bulletin dn602597.aspx علیرضا قهرود SOC _ عضو تیم مرکز عملیات امنیت شرکت نوآوران ارتباطات دوران عضو گروه دوران Thu, 19 Feb 2015 08:33:45 +0000 https://alirezaghahrood.professora.ir/cat-2287/category/news-5381/ https://alirezaghahrood.professora.ir/cat-2287/category/news-5381/ شرکت مایکروسافت اصلاحیه هایی منتشر کرده تا یک نقطه ضعف حیاتی را که می تواند کنترل سیستم های Windows را مورد تهدید قرار دهد، ترمیم کند. این نقطه ضعف برای شبکه های سازمانی اهمیت بیشتری دارد. برای تهیه این اصلاحیه‌ها بیش از یکسال وقت صرف شده و نیازمند بازنگری های اساسی در بخش هایی از سیستم عامل Windows بوده است. MS15-011 MS15-014 که بیش از یکسال صرف طراحی، تهیه و تست آنها شده، یک ضعف در بخشGroup Policy سیستم عاملWindows را برطرف و اصلاح می کند. دو شرکت امنیتی که این ضعف را کشف کرده اند، آنرا JASBUG نامگذاری کرده اند. دو شرکت امنیتی به نام‌هایJas Global و SimMachines در مورد این آسیب‌پذیری به صورت رسمی در ژانویه‌ی ۲۰۱۴ اطلاعاتی را به مایکروسافت ارائه کرده بودند. در توصیه‌نامه‌ی این آسیب‌پذیری آمده است ‌ این آسیب‌پذیری از راه دور قابل سوء‌استفاده است و ممکن است برای مهاجم دسترسی مدیر سامانه را در ماشین یا دستگاه قربانی فراهم کند. ماشین‌هایی که از طریقActive Directory به شبکه‌ی محلی متصل شده‌اند و از طریق اینترنت یا شبکه‌ی خصوصی مجازی VPN به خارج از شبکه‌ی محلی دست‌رسی دارند، در خطر بیش‌تری قرار دارند. امکان Group Policy در سیستم عاملWindows برای تعریف و مدیریت متمرکز سیستم هایWindows، نرم افزارهای کاربردی و تنظیمان کاربران در محیط Active Directory بکار می رود. Active Directory یک سرویس مبتنی بر پایگاه داده است که در ویندوز تعبیه شده و مانند یک محافظ امنیتی، برای کاربران و گروه‌ها، مجوزها و دست‌رسی‌های لازم را ایجاد می‌کند و محل دقیق منابع شبکه را در نقشه‌ی شبکه مشخص می‌کند. باید توجه داشت این ضعف که بیشتر از یک دهه درWindows وجود داشته و شناسایی نشده بود، برخلاف ضعف های اخیر، نظیر Heartbleed وShellshock، یک اشکال برنامه نویسی نیست و بلکه یک ایراد اساسی در طراحی اولیه Group Policy بوده است. برای ترمیم این ضعف طراحی، مایکروسافت مجبور به بازنگری اساسی بخش هایی از سیستم عامل شده و ناچاراً امکانات جدیدی را نیز اضافه کرده است. نفوذگر می توانند با سوء استفاده از این ضعف، بر روی شبکه محلی به روش های مختلف، کامپیوترها را فریب دهد تا تنظیمات جدید و مخربGroup Policy را از یک سرور تحت کنترل نفوذگر پذیرفته و اعمال کنند. با سوء استفاده موفق از ضعف Group Policy می توان بر روی سیستم های آسیب پذیر اقدام به نصب برنامه، تغییر داده ها، ایجاد حساب کاربری جدید کرد. اصلاحیه MS15-011 مانع از این سوء استفاده ها خواهد شد. برای جلوگیری از دستکاریDomain Controller توسط نفوذگران در زمان دریافت تنظیمات Group Policy توسط یک ایستگاه کاری در شبکه محلی، شرکت مایکروسافت ناچار به افزودن قابلیت جدیدی به نامUNC Hardened Access شده است. این قابلیت توسط اصلاحیه MS15-014 به سیستم عاملWindows افزوده می شود. هنگامی که این قابلیت جدید فعال می باشد، ضروری است که قبل از دسترسی ایستگاه کاری به منابع UNC، نظیر تنظیماتGroup Policy، ایستگاه کاری و سرور همدیگر را تائید authenticate کنند. همچنین امکاناتی برای رمزگذاری و تائید اصالت ارتباط سرور و ایستگاه کاری به سیستم عامل افزوده شده است. برای استفاده از این قابلیت و امکانات جدید، مایکروسافت راهنمایی را تهیه و منتشر کرده است. در سناریوی حمله‌ای که توسط محققان مایکروسافت در وبلاگ این شرکت قرار گرفته برای سوء‌استفاده از این آسیب‌پذیری در یک ماشین که به شبکه‌ی WiFi عمومی متصل است، باید گام‌های زیر را طی کرد ۱- شنود ترافیک سوییچ و کشف ماشینی که تلاش می‌کند یک پرونده را از آدرس UNC مانند آدرس زیر دریافت کند ۱۰٫۰٫۰٫۱۰۰ShareLogin.bat ۲- در ماشین مهاجم یک مسیرShare ایجاد می‌شود که دقیقاً با درخواست قربانی همانند شده است ShareLogin.bat ۳- مهاجم مطمئن می‌شود که درخواست کاربر از ماشین خودش می‌گذرد ۴- نسخه‌ی مخربی از پرونده‌ی درخواستی کاربر به سمت قربانی ارسال می‌شود، البته این سناریو نشان می‌دهد مهاجم برای سوء‌استفاده از این آسیب‌پذیری باید به شبکه‌ی محلی کاربر دست‌رسی داشته باشد he Windows OS versions impacted by the JASBUG flaw are ·Windows Vista ·Windows 7 ·Windows 8 ·Windows RT ·Windows 8.1 ·Windows RT 8.1 ·Windows Server 2003 ·Windows Server 2008 ·Windows Server 2008 R2 ·Windows Server 2012 ·Windows Server 2012 R2 این آسیب‌پذیری مربوط به مولفه‌یGroup Policy از نرم‌افزار Active Directory است، که منجر می‌شود در مرحله‌ی بازیابی سیاست‌های تعریف‌شده نرم‌افزار شکست بخورد و برخی سیاست‌های پیش‌فرض را بارگذاری کند. هنوز مشخص نشده است که سناریوی حملات علیه شبکه‌هایی که از VPN استفاده می‌کنند چیست، اما به صورت تئوری این مسئله ممکن است. گرچه ضعف Group Policy در تمام نسخه های سیستم عامل Windows وجود دارد ولی شرکت مایکروسافت تصیمیم گرفته تا اصلاحیه ای برای نسخهWindows Server 2003 که پشتیبانی آن به زودی به پایان خواهد رسید، منتشر نکند. به گفته مایکروسافت، اصلاحGroup Policy در Server 2003 نیازمند تغییرات بسیار اساسی در ساختار سیستم عامل است که در نهایت می تواند منجر به مشکلات عدم سازگاری Windows با نرم افزارهای کاربردی گردد. نصب دو اصلاحیهMS15-011 و MS15-014 که بخشی از اصلاحیه های امنیتی ماهانه مایکروسافت برای ماه میلادی فوریه هستند که روز سه شنبه ۲۱ بهمن ماه منتشر شده اند، به مدیران شبکه و کاربران توصیه می گردد. http blogs.technet.com b srd archive 2015 02 10 ms15-011-amp-ms15-014-hardening-group-policy.aspx https technet.microsoft.com en-us library security ms15-011.aspx https technet.microsoft.com en-us library security ms15-014.aspx علیرضا قهرود SOC _ عضو تیم مرکز عملیات امنیت شرکت نوآوران ارتباطات دوران عضو گروه دوران Thu, 19 Feb 2015 08:31:46 +0000 https://alirezaghahrood.professora.ir/cat-2287/category/news-5380/ https://alirezaghahrood.professora.ir/cat-2287/category/news-5380/ با سلام و احترام خدمت شما استاد گرامی،پیوستن شما را به وب سایت پروفسورا خوش آمد می‌گوئیم.شما میتوانید برای آشنایی بیشتر با خدمات سایت به آدرس های زیر مراجعه كنید - راهنمای کار با سیستم- اخبار و اطلاعیه های سایتدر صورت بروز هر گونه مشكل در استفاده از خدمات سایت می توانید با پست الكترونیكی زير تماس حاصل فرمائيد info professora.irبا تشكر، مدیریت پروفسورا Thu, 19 Feb 2015 08:02:24 +0000