• info@arka.ir
  • تماس با ما: 02191300476 - ۰۲۱۸۸۸۰۴۹۶۱
  • تهران، خیابان شهید بهشتی، خ پاکستان، کوچه ۴ پلاک ۱۱ واحد ۷

آرشیوها

اخبار و مقالات

15 سپتامبر 2021

تقریباً نیمی از پول بریتانیا برای فناوری اطلاعات صرف حمایت از سیستم های قدیمی فناوری اطلاعات می شود – مبلغ ۲٫۳ میلیارد پوند در سال.

بر اساس گزارش جدید دفتر کابینه که هزینه نگهداری سیستم های قدیمی یا “روشن نگه داشتن چراغ ها” را برجسته می کند ، این مبلغ تقریباً نیمی از ۴٫۷ میلیارد پوندی است که دولت مرکزی در زمینه فناوری در سال ۲۰۱۹ هزینه کرده است.

“تجزیه و تحلیل اخیر توسط امنیت دولتی نشان می دهد که تقریبا ۵۰ درصد از هزینه های دولت فعلی (۲٫۳ میلیارد پوند از کل هزینه دولت مرکزی ۴٫۷ میلیارد پوند در سال ۲۰۱۹) به” روشن نگه داشتن چراغ “در سیستم های قدیمی منسوب است. با تخمین ریسک ۱۳-۲۲ میلیارد پوند در پنج سال آینده. “

همانطور که این گزارش تاکید می کند، بدهی فنی که مالیات دهندگان با آن روبرو هستند شامل خدمات عملیاتی مهمی است که توسط سیستم های قدیمی استفاده می شود که اغلب بر روی پلتفرم های فنی منسوخ یا با استفاده از زبان های برنامه نویسی که دیگر به طور گسترده پشتیبانی نمی شوند ، ارائه می شود.

علاوه بر هزینه ها ، این گزارش به افزایش خطرات امنیت سایبری و عدم توانایی در ارائه خدمات جدید دولتی اذعان می کند زیرا “شایسته اما کسل کننده” نسبت به  ریسک هزینه در سیستم های فناوری اطلاعات جدید جذاب تر است.

این مطالعه خاطرنشان می کند: “برخی از خدمات دپارتمان ها حتی حداقل استانداردهای امنیت سایبری و عدم توانایی در استخراج داده های قابل استفاده از این سیستم های قدیمی را برآورده نمی کنند.”

همچنین وزارت خانه ، که بیشترین بودجه فناوری را دارد ، متمایز می شود و اشاره می کند “نتوانسته است هیچ یک از دوازده سیستم قدیمی عملیاتی خود را بازنشسته کند.”

این گزارش در حالی منتشر می شود که مرکز امنیت سایبری ملی (NCSC) – بخشی از آژانس جاسوسی  GCHQ زنگ خطر را در مورد باج افزارها و نقض داده ها به صدا درآورده است. پس از حملات اخیر زنجیره تامین نرم افزار ، مدیرعامل NCSC ، Lindy Cameron ، در ماه مه از هیئت های مدیره خواست تا CISO ها را به همان سطح از مشاوران حقوقی و مالی ارتقا دهند.

بریتانیا همچنین از طریق بخش جدید خدمات دیجیتال دولتی ( GDS) ، که به دنبال بهبود خدمات آنلاین بازگشت مالیات است ، در تقویت خدمات آنلاین دولتی تلاش می کند.

انگلستان هنوز چگونگی پیاده سازی چیزی مانند سیستم BankID سوئد را درک نکرده است ، که از طریق بانک های کشور یک طرح هویت ملی و مبتنی بر تلفن هوشمند را در سراسر کشور ارائه می دهد که برای امضای پرداخت و ورود به وب سایت های تلفن ، همه سازمان های دولتی و حتی مشاغل کوچک استفاده می شود.

این گزارش از آژانس ها می خواهد که روشی سیستماتیک برای بررسی معیارهای عملیاتی مانند آپ تایم ، تعداد حملات سایبری و کارآیی سیستم نداشته باشند.

در نظرسنجی با مدیران دیجیتال آژانس همچنین مشکلات خرید و “ناامیدی در سطح تکراری” و عدم به اشتراک گذاری اطلاعات بین بخش ها مشخص شد.

و تلاشهای دولت برای جمع آوری داده ها برای تصمیم گیری بهتر اساساً هدر می رود.

“تحقیقات ما نشان می دهد که بسیاری از ادارات دولتی مبالغ قابل توجهی را برای جمع آوری و ذخیره مجموعه های داده بسیار بزرگ سرمایه گذاری می کنند اما از این داده ها برای تأثیرگذاری بر تصمیم گیری استفاده کمی می کنند.”

13 سپتامبر 2021

امنیت مبتنی بر ریسک دو گزارش جدید را در مورد نقض داده ها و آسیب پذیری ها در نیمه اول سال ۲۰۲۱ منتشر کرده است و نشان می دهد که تعداد کلی تخلفات گزارش شده کاهش یافته است ، اما میزان آسیب پذیری های فاش شده افزایش یافته است.

گزارش نقض داده های این شرکت نشان داد که ۱۷۶۷ مورد نقض عمومی در شش ماهه اول سال ۲۰۲۱ گزارش شده است که نسبت به مدت مشابه سال گذشته ۲۴ درصد کاهش یافته است.

تعداد تخلفات گزارش شده در ایالات متحده ۱٫۵ درصد افزایش یافته است در حالی که ۱۸٫۸ میلیارد پرونده از سال گذشته تا کنون افشا شده است ، ۳۲ درصد کاهش نسبت به ۲۷٫۸ میلیارد پرونده ثبت شده در نیمه اول سال ۲۰۲۰٫

Inga Goddijn، معاون اجرایی امنیت مبتنی بر ریسک گفت که روش هایی که مهاجمان برای کسب درآمد از تلاش های خود استفاده می کنند تنوع یافته است و در عین حال ، خطاهای قابل پیشگیری در مورد میزان داده های در معرض دید ، از هکرها پیشی می گیرد.

Goddijn  گفت: “میزان داده های به خطر افتاده همچنان سرسختانه بالا است و با نقض قابل ملاحظه دیگری در Q2 که هنوز تأیید نشده است ، این احتمال وجود دارد که در آینده نزدیک این رقم به بیش از ۱۹ میلیارد نفر برسد.”

با این وجود ، این اعداد کمی گمراه کننده است ، زیرا نقض سرویس معاملاتی فارکس FBS Markets حدود ۸۵ درصد از رکوردهایی را که تا ۳۰ ژوئن نشان داده شده است ، به خود اختصاص داده است.

محققان افزودند که ۳۵۲ نقض داده شامل حمله باج افزار بوده است.

تعداد آدرس های ایمیل فاش شده ۴۰ درصد از همه نقض ها ثابت است و رمزهای عبور در ۳۳ درصد نقض ها فاش شده است. سازمان های مراقبت های بهداشتی با ۲۳۸ مورد بیشترین تخلف را در سال ۲۰۲۱ تا کنون داشته اند. شرکت های مالی و بیمه ۱۹۴ مورد نقض را متحمل شده اند در حالی که تولید ۱۶۹ مورد داشته و موسسات آموزشی با ۱۳۸ مورد برخورد کرده اند.

گزارش دیگری که از تیم VulnDB (R) Risk Based Security پیدا شد ، ۱۲۷۲۳ آسیب پذیری را که در نیمه اول سال ۲۰۲۱ فاش شده بود ، جمع آوری کرد.

آنها دریافتند که در نیمه اول سال ۲۰۲۱ ، تعداد آسیب پذیری های افشا شده ۲٫۸ درصد نسبت به سال ۲۰۲۰ افزایش یافته است.

“از آسیب پذیری های فاش شده در نیمه اول سال ۲۰۲۱ ، ۳۲٫۱ درصد فاقد شناسه CVE هستند و ۷ درصد دیگر ، در حالی که دارای شناسه CVE هستند ، در وضعیت RESERVED هستند ، به این معنی که هنوز هیچ اطلاعات عملی در مورد این آسیب پذیری در دسترس نیست. در CVE/NVD ، “گزارش اضافه شد.

“در نیمه اول سال ۲۰۲۱ ، تیم VulnDB Risk Based Security به طور متوسط ۸۰ آسیب پذیری جدید در روز را جمع آوری کرد. امنیت مبتنی بر ریسک همچنین به طور میانگین ۲۰۰ ورودی آسیب پذیری موجود در روز را به روز کرد زیرا اطلاعات راه حل جدید ، منابع و فراداده های اضافی در دسترس قرار گرفت. “

از بین آسیب پذیری هایی که تا کنون در سال ۲۰۲۱ فاش شده است ، ۱۴۲۵ مورد از راه دور قابل بهره برداری هستند و دارای بهره برداری عمومی و همچنین راه حل کاهش دهنده هستند. نزدیک به ۹۰۰ آسیب پذیری که از راه دور قابل بهره برداری هستند به هیچ وجه راه حل کاهش دهنده ندارند.

یکی از موضوعاتی که در گزارش مورد توجه قرار گرفته است روند ناکامی سازمان ها در گزارش تخلفات است.

همه گیری COVID-19 تمرکز خود را از امنیت سایبری دور کرد و در حال حاضر در مقایسه داده ها از نیمه اول سال ۲۰۲۰ تا نیمه اول ۲۰۲۱ ، تعداد تخلفات فاش شده عمومی ۲۴ درصد کاهش یافته است.

علی رغم کاهش نقض های فاش شده ، تعداد پرونده های حساس در معرض افزایش است. بین ژانویه ۲۰۲۱ و ژوئن ۲۰۲۱ ، بیش از ۱۸ میلیارد پرونده حساس یا محرمانه افشا شد ، دومین رکوردی که تاکنون توسط Risk Based Security ثبت شده است.

از داده های از دست رفته در نقض ، ۶۱ درصد شامل افشای نام ، ۳۸ درصد شماره امنیت اجتماعی ، ۲۵ درصد حاوی آدرس و ۲۲ درصد اطلاعات مالی داشتند.

گزارشات همچنین ده محصول برتر را با افشای آسیب پذیری در سه ماهه دوم سال ۲۰۲۱ رتبه بندی کرد. لینوکس دبیان با ۶۲۸ و فدورا با ۵۸۴ ، openSuSE Leap در ۵۲۶ و ۴۴۳ برای اوبونتو پیشتاز بودند.

ده فروشنده برتر بر اساس افشای آسیب پذیری در سه ماهه دوم ۲۰۲۱ شامل مایکروسافت در ۶۲۷ ، SUSE در ۵۹۰ ، Fedora در ۵۸۴ ، IBM در ۵۴۷ و هر دو اوراکل و گوگل بالای ۵۰۰ هستند. Cisco ، Canonical و Red Hat با بیش از ۴۰۰ مورد افشای آسیب پذیری در سه ماهه دوم سال ۲۰۲۱ این فهرست را به پایان رساندند.

11 سپتامبر 2021

در آمریکای شمالی و بسیاری از نقاط دیگر جهان ، شبکه های تلفن همراه ۵G با سرعت بالا سالهاست که دور از دسترس هستند. اما با فراگیر شدن پوشش ۵G ، عرضه آن با یک هشدار مهم همراه است. حتی اگر تلفن شما می گوید به استاندارد بی سیم نسل بعدی متصل است ، ممکن است در واقع تمام ویژگی های  ۵G را دریافت نکنید-از جمله دفاع در برابر دستگاه های نظارتی موسوم به stingray.

برای رشد سریع شبکه ۵G  به توده مردم ، اکثر مخابرات در سراسر جهان آن را در چیزی به نام “حالت غیر مستقل” یا “معماری غیر مستقل” به کار گرفتند. این رویکرد اساساً از زیرساخت های شبکه ۴G  موجود به عنوان نقطه جهشی برای خروج داده های ۵G  قبل از ایجاد هسته ۵G  جداگانه و مستقل استفاده می کند.

تا زمانی که اتصال۵G  شما در حالت غیر مستقل است ، بسیاری از چیزهایی که دریافت می کنید هنوز۴G  است ، با ضعف های امنیتی و حریم خصوصی که ۵G  واقعی، آنها را برطرف می کند.

Ravishankar Borgaonkar، دانشمند تحقیق در شرکت تحلیل فناوری نروژی SINTEF Digital و استادیار دانشگاه استاوانگر می گوید: “این یک احساس کاذب امنیت است.” در حال حاضر بسیاری از شبکه های ۵G  که در سراسر جهان مستقر شده اند در واقع دارای مکانیسم های حفاظتی طراحی شده در ۵G  نیستند. شما با سرعت بالا ارتباط برقرار می کنید ، اما سطح امنیتی شما هنوز ۴G است.

در عمل ، این بدان معناست که یکی از مزایای محرمانه بودن ۵G  توانایی کنترل حریم از نظارت-هنوز برای اکثر مردم صدق نمی کند. همچنین به عنوان “شناسه بین المللی مشترکین تلفن همراه” که به هر تلفن همراه اختصاص داده شده است ، گیرنده IMSI  شناخته می شود ، stingrays مانند برج های سلولی مجاز عمل می کند و دستگاه ها را برای اتصال فریب می دهد. از آنجا ، ابزارها از شماره های IMSI یا سایر شناسه ها برای ردیابی دستگاه استفاده می کنند و حتی به تماس های تلفنی گوش می دهند. Stingrays یک انتخاب محبوب در بین مجریان قانون ایالات متحده است. گفته می شود که آنها در بسیاری از تظاهرات ضد وحشیگری تابستان گذشته حضور مشترک داشتند. برای جلوگیری از این نوع نظارت، ۵G  برای رمزگذاری اعداد IMSI ساخته شده است.

Borgaonkar و همکار محققش Altaf Shaik ، دانشمند ارشد تحقیقاتی در TU برلین ، دریافتند که حامل های اصلی در نروژ و آلمان هنوز ۵G  را در حالت غیر مستقل قرار می دهند، به این معنی که این ارتباطات هنوز مستعد ابتلا  stingrays هستند. این دو نفر هفته گذشته در کنفرانس امنیتی Black Hat در لاس وگاس ارائه کردند.

در ایالات متحده ، T-Mobile دورترین شبکه در راه اندازی شبکه مستقل خود است. این شرکت اولین شرکتی بود که استقرار گسترده را در آگوست ۲۰۲۰ آغاز کرد. انتقال Verizon و AT&T مدت زمان بیشتری طول کشید و به طور کلی هنوز روی تغییر سرعت ۵G  کار می کنند. Verizon به WIRED گفت که در راه “تجاری سازی کامل” حالت ۵G مستقل تا پایان سال ۲۰۲۱ است. AT&T می گوید که استقرار محدود SA را در اواخر سال گذشته آغاز کرد و زمانی که اکوسیستم آماده شود افزایش می یابد.

یک مطالعه در ماه فوریه توسط شرکت تجزیه و تحلیل شبکه تلفن همراه OpenSignal نشان داد که در آغاز سال ۲۰۲۱ کاربران تلفن همراه ایالات متحده حدود ۲۷ درصد از زمان خود را در حالت غیر مستقل ۵G و کمتر از شش درصد از وقت خود را در ارتباطات حالت مستقل صرف می کردند.

در حالی که تفاوت بین انواع ۵G  بسیار مهم است ، راهی ساده وجود ندارد که فقط با نگاه کردن به تلفن خود تشخیص دهید که در یک شبکه مستقل هستید. کاربران Android می توانند برنامه هایی را که اتصال شبکه دستگاه را آنالیز می کنند و حالت غیر مستقل را علامت گذاری می کنند دانلود کنند ، اما این یک مرحله اضافی سنگین است. و این ابزارها به دلیل محدودیت برنامه اپل در iOS کمتر رایج هستند.

مزایای امنیتی که در هنگام استفاده از یک شبکه ۵G غیر مستقل از دست می دهید ، فراتر از زنجیره های stingrays است. شما به طور بالقوه مستعد ردیابی ، استراق سمع و به اصطلاح “کاهش درجه حملات” هستید که دستگاه های هدف را به شبکه های داده قدیمی تر و آسیب پذیرتر مانند ۳G  سوق می دهد و هیچ یک از این موارد به کاربران داده تلفن همراه ، علیرغم ویژگی های امنیتی پیشرفته که یک نقطه کلیدی فروش ۵G  هستند ، اطلاع داده نمی شود.

سید رفیع الحسین ، محقق امنیت شبکه تلفن همراه در دانشگاه ایالتی پنسیلوانیا می گوید که چالش ذاتی اجرای یک بازسازی عظیم زیرساخت مسئله اصلی است. او می گوید حتی وقتی حالت ۵G  مستقل در اکثر مکان ها مستقر است ، حامل ها همچنان زیرساخت های موازی ۴G   و ۳G  را اجرا می کنند که می تواند برخی از حملات stingray را فعال کند.

او می گوید: “تا زمانی که ما نیاز به اتصال بی عیب و نقص و اتصال مداوم داریم ، به سازگاری عقب با استفاده از ۴G  نیاز داریم. حملات ۴G stingray ، کاهش سطح  حملات ، در سطح وسط- این حملات تا سالها وجود خواهد داشت ، اگرچه ما ۵G  داریم و تلاش برای دور شدن از حالت غیر مستقل به حالت مستقل در همه جا مدتی طول می کشد.

جان فرانس ، رئیس امنیت صنعت در استانداردهای مخابراتی GSMA می گوید تا کنون ۹۰ اپراتور شبکه در ۴۵ کشور متعهد شده اند که به حالت مستقل تغییر وضعیت دهند.

او می گوید: “تصویر کامل ، محافظت کامل از امنیت ۵G  با گذشت زمان انجام می شود و مستلزم این است که شخص مستقل از مزایای کامل برخوردار شود. ما شاهد استقرار اولیه هستیم که در حال حاضر مزایای اصلی تأخیر کم و انتقال داده های زیاد از طریق روش غیر مستقل را به همراه دارد. این هنوز هسته ۴G  دارد ، مغز شبکه است ، و تا زمانی که به حالت ۵G  در حالت مستقل نرسیم ، از تمام مزایای امنیتی برخوردار نخواهیم شد. “

به گفته Borgaonkar از SINTEF Digital ، صنعت نمی تواند در حالت غیر مستقل دچار مشکل شود. او پیشنهاد می کند که فروشندگان تلفن های هوشمند باید گزینه هایی را ایجاد کنند تا کاربران بتوانند تعیین کنند که تلفن آنها با کدام نوع شبکه داده تلفن همراه ارتباط برقرار می کند. مشابه گزینه های رومینگ ، می توانید حالت ۲G یا ۵G  غیر مستقل یا هرگونه تکرار دیگر را در بیشتر مواقع خاموش کنید ، در حالی که نمی خواهید خطر برخورد ناخواسته با آن را داشته باشید.

Borgaonkar می گوید: “من به عنوان کاربر نهایی هیچ گزینه ای برای دریافت حالت ۵G  مستقل ندارم. اگر ۲G ایمن نیست ، چرا نمی توانم اتصال تلفن خود به ۲G را متوقف کنم؟ هیچگونه الزام یا هماهنگی بین فروشندگان در مورد دادن این گزینه ها به کاربران وجود ندارد – به آنها آزادی انتخاب حریم خصوصی را می دهید. “

wired

8 سپتامبر 2021

این یادداشت، دستور اجرایی رئیس جمهور جو بایدن در ماه می را دنبال می کند.

بر اساس یادداشتی که ۱۰ اوت توسط دفتر مدیریت و بودجه منتشر شده است ، آژانس های فدرال ۶۰ روز فرصت دارند تا نرم افزارهای حیاتی را در سیستم های خود شناسایی کنند و یک سال نیز برای ایمن سازی آن وقت دارند.

این یادداشت ، که توسط سرپرست OMB ، Shalanda Young تألیف شده است ، از فرمان اجرایی رئیس جمهور جو بایدن در ۱۲ مه در مورد بهبود امنیت سایبری کشور ، که زمینه ساز چندین دستورالعمل است ، ناشی شده است. یکی از این دستورالعمل ها به موسسه ملی استاندارد و فناوری دستور داد تا “نرم افزار حیاتی” را برای سازمان ها تعریف کند و این یادداشت بر اساس تعریف NIST در ماه ژوئن منتشر شده است. طبق این یادداشت ، این تعریف در مورد “نرم افزارهای همه جانبه” اعمال می شود ، از جمله “نرم افزار مستقل ، نرم افزاری که در دستگاه ها یا قطعات سخت افزاری خاص وجود دارد” و نرم افزارهای مبتنی بر ابر که برای اهداف عملیاتی خریداری شده یا به کار گرفته می شوند. NIST نرم افزار حیاتی را نرم افزاری تعریف می کند که بر روی نرم افزاری اجرا می شود یا به آن وابسته است:

  • طوری طراحی شده است که با امتیازات مدیریتی اجرا شود.
  • دسترسی مستقیم یا ممتاز به منابع شبکه یا محاسبات دارد.
  • برای کنترل دسترسی به داده یا فناوری عملیاتی طراحی شده است.
  • عملکرد مهمی را برای اعتماد انجام می دهد ؛ و
  • خارج از مرزهای معمول اعتماد با دسترسی ممتاز عمل می کند

در این یادداشت آمده است: “ایالات متحده به طور فزاینده ای با کمپین های مخرب سایبری مواجه است که بخش عمومی ، بخش خصوصی و در نهایت امنیت و حریم خصوصی مردم آمریکا را تهدید می کند.” دولت فدرال باید تلاش های خود را برای ردیابی ، شناسایی ، بازداری ، محافظت در برابر آنها و واکنش به این کمپین ها و عاملان آنها را بهبود بخشد.”

در این مرحله اولیه از راهنمای نرم افزاری حیاتی ، آژانس ها مأموریت دارند که ابتدا بر شناسایی ، اعتبارنامه و مدیریت دسترسی ، سیستم عامل ها ، مرورگرهای وب ، امنیت نقطه پایانی ، کنترل شبکه ، حفاظت از شبکه ، نظارت و پیکربندی شبکه ، نظارت و تجزیه و تحلیل عملیاتی ، اسکن از راه دور ، دسترسی از راه دور و پشتیبان گیری یا ذخیره سازی از راه دور تمرکز کنند.

این یادداشت همچنین برنامه ای را ارائه می دهد که آژانس ها باید از دستورالعمل های مهم نرم افزاری پیروی کنند. ظرف ۶۰ روز از زمان انتشار این یادداشت ، آژانس ها باید “تمام نرم افزارهای حیاتی ، در حال استفاده یا در مرحله خرید” را شناسایی کنند. علاوه بر این ، آژانس ها یک سال فرصت دارند تا اقدامات امنیتی تعیین شده توسط NIST را برای همه دسته های راهنمای اولیه نرم افزار ، و یک سال نیز شامل اقدامات امنیتی بعدی برای هر به روزرسانی راهنمایی از NIST دارند.

nextgov

5 سپتامبر 2021

در اینجا، در عملیات جهانی بازیابی امنیت مایکروسافت CRSP، ما با مشتریانی کار می کنیم که رویدادهای امنیتی مخرب را برای بازیابی اعتماد به سیستم های هویت و حذف کنترل مهاجم تجربه کرده اند. در طول سال ۲۰۲۰ ، این تیم به بسیاری از حوادث مربوط به باج افزار و استقرار ابزارهای رمزنگاری پاسخ داد. باج افزار تهدیدی فزاینده برای سازمانها و کاربران خانگی است ، زیرا این یک مدل تجاری کم هزینه و با بازدهی بالا است. این حملات پیچیده نیستند ، آنها به ابزارها و نرم افزارهایی تکیه میکنند که سالهاست وجود داشته و هنوز قابل اصلاح نیستند و هنوز کار می کنند.

در این پست ، ما امیدواریم که کاربردی ترین و مقرون به صرفه ترین روش های عدم نیاز به خدمات را با شما به اشتراک بگذاریم.

امنیت اولیه خود را به روز کرده و حفظ کنید

یک داستان قدیمی درباره دو کوهنورد در بیابان وجود دارد که می بینند خرس به سمت آنها می آید. یکی شروع به دویدن می کند و دوستش می گوید: “شما هرگز از یک خرس پیشی نمی گیرید.” اولین کوهنورد پاسخ می دهد: “مجبور نیستم ، فقط باید از تو پیشی بگیرم.”

موضوع پشت این داستان در چشم انداز تهدید امنیت سایبری فعلی منعکس می شود. این خبر مملو از داستانهای حملات سایبری است که بیشتر آنها “بسیار پیچیده” توصیف شده اند. با این حال ، حقیقت این است که بیشتر حوادث سایبری پیچیده نیستند. اکثر مهاجمان از وضع مالی خوبی برخوردار نیستند یا بسیاری از مهاجمان به خوبی از بودجه کشور، تامین نمی شوند. آنها فقط مجرمانی هستند که سعی در کسب درآمد دارند. سود مستقیم مالی محرک اصلی حملات سایبری در سال ۲۰۲۰ است. این امر به ویژه هنگامی صادق است که قربانیان شرکت های کوچک تا متوسط و بخش های غیر انتفاعی مانند مدارس و موسسات خیریه باشند. یک راه آسان برای بهبود وضعیت امنیتی خود ، وصله سریع و کارآمد است.

در اوایل سال ۲۰۲۰ ، تیم تشخیص و پاسخ مایکروسافت (DART) توسط یک سازمان بخش دولتی در استرالیا برای بررسی حمله سایبری مشارکت کرد. تحقیقات DART مشخص کرد که مهاجم از آدرس IP خارجی سرچشمه گرفته است. تحقیقات Incident Response (IR) نشان داد که دشمن حمله خود را با اسکن کردن زیرساخت های اینترنتی برای پورت های در معرض حمله آغاز کرد. در این نمونه ، یک اتصال دسکتاپ از راه دور مستقیماً به اینترنت باز شد تا فروشنده نرم افزار بتواند پشتیبانی کند. گذرواژه مدیریتی ضعیفی به کار برده شد. با دسترسی مدیریتی به سرور در معرض دید ، آنها با استفاده از ابزارهای هک رایج در دسترس و با استفاده از ابزارهای هک معمولی ، به طور قابل توجهی نویز را شناسایی کردند. مهاجمان به سرعت به صورت جانبی در سراسر شبکه حرکت کردند و به دامنه کنترل کننده ها رسیدند.

پس از تحقیقات DART ، تیم CRSP برای بازیابی محیط از طریق اعتماد مجدد به سیستم های هویت ، تقویت دفاع و از بین بردن کنترل دشمن تلاش کرد. اگرچه از اهمیت بالایی برخوردار است و منابع خوبی دارد ، بخش دولتی یک سازمان کوچک با حدود ۵۰۰ کارمند بود و متأسفانه در سالهای اخیر از اقدامات امنیتی عقب افتاده بود.

از حمله اولیه نیروی وحشیانه ، مهاجم در عرض چند ساعت به تسلط بر دامنه دست یافت. در این حمله ، دشمن با استقرار ابزارهای رمزنگاری در همه سرورها و ایستگاه های کاری ، انگیزه مالی خود را نشان داد. همانطور که در آخر هفته بود ، این حمله برای مدتی کشف نشد.

هیچ نشانه ای مبنی بر اینکه هدف حمله به طور خاص سازمان بوده است وجود نداشت ، اما به نظر می رسید که انگیزه مهاجم صرفاً مالی است. رمزنگاری یک محموله کم خطر و کم بازده است و نیازی به انتخاب صریح قربانی برای پرداخت آن ندارد. پاداش ها کمتر اما فوری است و برای حملات کم ارزش با حجم بالا مناسب است.

درسهای این حادثه عبارتند از: اگر بتوانید کار را از حد متوسط دشوارتر کنید ، مهاجمان کم مهارت اغلب سریع تسلیم می شوند و به سمت هدف بعدی حرکت می کنند. اساساً از دوست خود پیشی بگیرید ، نه خرس. تمرکز بر اصلاح اصول اولیه تا حد زیادی به حفاظت از اکثر شرکت های کوچک و متوسط کمک می کند. در زیر هفت حوزه (کاملاً جامع) وجود دارد که می تواند به سرعت شما را به یک هدف سخت تر تبدیل کند-و همه مواردی است که ما هنگام همکاری با مشتریان در پروژه های واکنشی به کار می بریم.

  1. همه چیز را سریعتر وصله کنید

هدف از پوشش کامل وصله ظرف ۴۸ ساعت ، وضعیت امنیتی شما را به میزان قابل توجهی بهبود می بخشد. سرورهای خود را در اسرع وقت و با تمرکز بر سیستم های Tier 0 مانند Domain Controllers و Microsoft Azure Active Directory Connect وصله کنید.

وصله برنامه ها به همان اندازه مهم است ، به ویژه برنامه های بهره وری تجاری مانند مشتریان ایمیل ، سرویس گیرندگان VPN و مرورگرهای وب. به روز رسانی خودکار مرورگرهای وب خود را در Edge ، Chrome ، Firefox یا سایر موارد فعال کنید. مرورگرهای قدیمی اطلاعات کاربر و دستگاه را در معرض خطر قرار می دهند. استفاده از ابر و Windows Update for Business می تواند به طور خودکار وصله  کند و برای رفع برخی از مشکلات مربوط به تعمیر و نگهداری هنگام توزیع نیروی کار سازمان شما ، به ویژه با توزیع نیروی کار سبک همه گیر ، کمک کند.

ما به عنوان بخشی از بازیابی سازش تلاش می کنیم تا مطمئن شویم مشتریان ما می توانند مهمترین دارایی های خود را در عرض چند ساعت وصله کنند ، این امر معمولاً شامل پیاده سازی سریع مراحل وصله و چرخه های آزمایش برای بارهای مهم است. ما مزایای زیادی را در جدا نگه داشتن سیستم های وصله برای حجم کاری اصلی خود مشاهده می کنیم ، مانند اجرای یک ابزار مدیریت به روز رسانی اختصاصی فقط برای کنترل کننده های دامنه.

  1. به طور فعال از دستگاه های خود محافظت کنید

یک دستگاه ویندوز به روز و پیکربندی شده که از Microsoft Defender برای Endpoint یا راه حل تشخیص و پاسخ گسترده دیگر (XDR) استفاده می کند ، باید اولین خط دفاعی شما باشد. همراه با سیستم مدیریت رویداد امنیتی (SIEM) برای سیستم های تجاری مهم و کلیدی شما ، این امر به شما کمک می کند تا از دارایی های مهم آگاه شوید. اطمینان حاصل کنید که افراد به دنبال هشدارها و ردیابی فعالیت ها هستند.

پس از صرف زمان با مشتریان خود ، دوست داریم مطمئن شویم که هر چیزی که در سیستم های تجاری مهم آنها اتفاق می افتد به خوبی تحت نظارت و مدیریت است. این که بتوانید به هر چیزی که ممکن است در این محیط رخ دهد واکنش نشان دهید برای حفظ اطمینان مداوم در یک محیط حیاتی است.

  1. قرار گرفتن در معرض را کاهش دهید.

بازکردن هرگونه سرویس در اینترنت با خطرات ذاتی همراه است. یک خطر این است که هر چیزی که به اینترنت متصل است به طور مرتب و منظم اسکن شود. همانطور که در HAFNIUM اخیر مشاهده کردیم ، از هر چیزی که آسیب پذیر تشخیص داده شود ، چند دقیقه پس از آنلاین شدن به طور بالقوه مورد سوء استفاده قرار می گیرد.

علاوه بر این ، منابع عمومی خدمات در دسترس به صورت آنلاین وجود دارد. این نتایج نه تنها برای هکرهایی که به دنبال بهره برداری از منابع هستند جالب توجه است بلکه می تواند برای کسانی که به دنبال افزایش موقعیت امنیتی خود هستند مفید باشد.

فایروالی که دسترسی به آدرس های منبع تعریف شده را محدود می کند ، خطر را تا حدی کاهش می دهد ، همانطور که آنها را در پشت اتصال VPN قرار می دهد ، به ویژه آنهایی که نیاز به احراز هویت دو مرحله ای دارند.

اگر سرورهای شما در Azure یا یک ابر دیگر هستند ، از یک گروه امنیتی شبکه برای محدود کردن دسترسی به IP های خاص استفاده کنید ، یا حتی بهتر است از دسترسی به موقع و Microsoft Azure Bastion استفاده کنید.

در مثال مشتری ما ، پروتکل دسکتاپ از راه دور مستقیماً در اینترنت قرار گرفت ، بدون هیچ گونه کنترل کنترل کننده.

ما با مشتریان خود برای توجیه و کاهش قرار گرفتن در معرض هرگونه خدمات اینترنتی در یک محیط کار می کنیم. ما در کنار شیوه های اجرایی کار می کنیم تا مطمئن شویم که مدیران هنوز می توانند یک سیستم را به طور کامل حفظ کنند اما این کار را با روش امن تری انجام می دهند.

  1. دسترسی ها را کاهش دهید

بیشتر حملات متکی بر دسترسی مهاجم به مدیریت است. اگر بتوانیم حق دسترسی را محدود کنیم ، راه زیادی را برای جلوگیری از حملات زیاد وجود دارد. داشتن گذرواژه مدیریتی محلی مشترک ، حرکت جانبی و افزایش امتیاز را برای مهاجمان یک کار بی اهمیت می کند.

راه حل رمز عبور سرپرست محلی (LAPS )، که حساب های مدیریت محلی را در سیستم ها مدیریت می کند ، نزدیک به شش سال است که در دسترس رایگان است. با این وجود ، در بسیاری از مشارکت ها ، می بینیم که به کار گرفته نشده است. امروز آن را در شبکه خود قرار دهید.

در مثال بخش عمومی ما ، مهاجم توانست اعتبارهای بسیار ممتاز را از سرور برنامه استخراج کند. استقرار مدیریت امتیاز و راه حل های سرپرست به موقع ارزش زیادی را اضافه می کند اما می تواند پیچیده و زمان بر باشد. با مشاهده عضویت در گروه های امنیتی مهم خود ، مانند Domain and Enterprise Administrators ، و کاهش تعداد افرادی که واقعاً به آن احتیاج دارند ، می توان به موفقیت های سریع دست یافت. در همه محیطها به جز بزرگترین محیط ها ، باید بتوانید تعداد مدیران دامنه را در انگشتان یک دست بشمارید.

استفاده از ایستگاه کاری اختصاصی سرپرست برای کارهای با ارزش ، خطر سرقت اطلاعات کاربری مدیر را کاهش می دهد. حتی دقیق ترین افراد گاهی روی پیوند اشتباه کلیک می کنند. ایده خوبی نیست که از حساب مدیریتی خود در همان رایانه ای که ایمیل می خوانید یا در وب گشت و گذار می کنید استفاده کنید ، زیرا خطراتی برای امتیاز شما ایجاد می شود.

از حسابهای خدمات مدیریت شده با گذرواژه های چرخان خودکار استفاده کنید ، اگر فروشنده برنامه به شما بگوید که حساب سرویس آنها باید مدیر باشد ، زمان آن فرا رسیده است که به سختی عقب بروید.

راهنمایی های ما درباره امنیت دسترسی ممتاز را بیشتر بخوانید.

استفاده از دستگاه های سخت شده فقط برای مدیران یک راه عالی و مقرون به صرفه برای افزایش تاکتیکی امنیت شما است. داشتن یک ماشین مستقل بدون ایمیل یا وبگردی ، مشکلاتی را که مهاجمان با آن روبرو می شوند ، افزایش می دهد.

برای مشتریان بخش عمومی ما ، محدودیت استفاده از امتیاز می تواند مهاجم را از انتقال از حرکت اولیه بر روی سرور در معرض دید بقیه محیط بسیار سخت تر کند.

  1. از قدرت ابر استفاده کنید

در نظر بگیرید که هنوز برای اجرای داخلی به چه خدماتی نیاز دارید. اگر نیاز چندانی به انجام این کار ندارید ، به شخص دیگری اجازه دهید. مدل مسئولیت مشترک در ابر به شما این فرصت را می دهد تا میزان مسئولیت خود را کاهش داده و امنیت پلتفرم را به یک ارائه دهنده ابر واگذار کنید. ابر می تواند به طور خودکار در جایی که فناوری اطلاعات سنتی نمی تواند مقیاس بندی کند ، و همین امر را باید در مورد سرویس های امنیتی در ابر نیز بیان کرد.

به آنچه در حال اجرا هستید نگاه کنید و آن را با پلتفرم به عنوان سرویس (PaaS) یا نرم افزار به عنوان سرویس (SaaS) جایگزین کنید.

به عنوان مثال ، سرورهای Exchange محلی محصولی عالی هستند ، اما به نگهداری ، وصله و پیکربندی نیاز دارند. مهاجرت صندوق های پستی به Exchange Online بسیاری از کارها را حذف کرده و با مسدود کردن بیشتر پیوندهای مخرب و فیشینگ قبل از رسیدن به صندوق پستی ، سطح حمله را کاهش می دهد.

اگر بتوانید در درازمدت به یک راه حل مبتنی بر ابر در Azure یا ابر دیگر بروید ، اجرای یک سرور وب امن در محیط شما ممکن است دشوار باشد. این مساله در این مورد مناسب نبود ، اما این یک بردار حمله رایج است.

از ابزارهای امنیتی مدرن مبتنی بر ابر مانند Azure Security Center و Azure Defender استفاده کنید. حتی اگر سرورهای شما در محل یا در یک ابر دیگر ساکن باشند ، باز هم می توان آنها را پیکربندی کرد تا به مرکز امنیتی گزارش دهند و تصویری از وضعیت امنیتی شما را در اختیارتان قرار دهند. استفاده از سیستم SIEM مانند Microsoft Azure Sentinel می تواند دید حملات احتمالی را افزایش دهد.

اگر مشتری مورد حمله ما از راه حل های امنیتی ابری استفاده می کرد ، می دید که این حمله در حال وقوع است.

  1. بدهی فنی خود را پرداخت کنید

اجرای سیستم عامل های قدیمی آسیب پذیری شما را در برابر حملاتی که از آسیب پذیری های طولانی مدت استفاده می کنند افزایش می دهد. در صورت امکان ، از سیستم خارج شده یا ارتقاء سیستم عامل های قدیمی ویندوز استفاده کنید. پروتکل های قدیمی می توانند ریسک را افزایش دهند. فن آوری های به اشتراک گذاری فایل های قدیمی یک بردار حمله شناخته شده برای باج افزار هستند اما هنوز در بسیاری از محیط ها مورد استفاده قرار می گیرند.

در این حادثه ، سیستم های زیادی از جمله Domain Controllers وجود داشت که اخیراً وصله نشده بودند. این امر به مهاجمان در حرکت آنها در سراسر محیط کمک زیادی کرد. به عنوان بخشی از کمک به مشتریان ، ما مهم ترین سیستم ها را بررسی می کنیم و مطمئن می شویم که ما به روزترین پروتکل ها را برای بهبود محیط بیشتر اجرا می کنیم.

  1. به log های خود نگاه کنید و به هشدارها عمل کنید.

به قول معروف “جمع آوری تشخیص نیست”. در بسیاری از تعاملات ، اقدامات مهاجم در گزارشات رویداد روشن و آشکار است. مشکل رایج این است که هیچ کس به طور روزانه به آنها نگاه نمی کند یا نمی فهمد که ظاهر طبیعی چگونه است. تغییرات غیرقابل توضیح در گزارش رویدادها ، مانند حذف یا حفظ تغییرات ، باید مشکوک تلقی شده و مورد بررسی قرار گیرد.

در این حادثه ، اقدامات مهاجم را می توان به راحتی از طریق log های مربوط پس از آن پیگیری کرد. یک سیستم SIEM ، که گزارشات بسیاری از منابع را جمع آوری می کند ، به طور سنتی یک سرمایه گذاری بزرگ و دور از دسترس برای همه شرکت ها به جز شرکت های بزرگ بود. با Azure Sentinel ، اکنون در دسترس همه است-بدون نیاز به زیرساخت های داخلی و بدون نیاز به سرمایه گذاری اولیه. به سادگی ایجنت ها را در سیستم های خود مستقر کنید (مهم نیست که آنها در محل ، Azure یا ابر دیگر هستند).

بیشتر بدانید

هیچ راه حل فناوری جادویی وجود ندارد که شما را به هدف سخت تری برای ضربه زدن تبدیل کند. تیم های Microsoft DART و CSRP گروه کثیری از مردم هستند ، دوستانه و یاری رسان هستند ، اما شما واقعاً مجبور نیستید با ما ملاقات کنید.

یک بازیگر تهدید مصمم و با منابع خوب ، به موقع ، بهترین دفاع سایبری را نقض می کند. به طور خلاصه ، نمی توان از خرس پیشی گرفت ، اما با برداشتن اولین قدم ها برای تبدیل شدن به یک هدف سخت تر ، مهاجمان به سمت اهداف راحت تری حرکت خواهند کرد.

برای کسب اطلاعات بیشتر در مورد راه حل های امنیتی Microsoft ، از وب سایت ما دیدن کنید. وبلاگ Security را نشانه گذاری کنید تا از پوشش تخصصی ما در زمینه مسائل امنیتی مطلع شوید.

4 سپتامبر 2021

چند خط کد پنهان در یک صفحه وب می تواند تبلیغات مسدود شده شما را به یک شناسه منحصر به فرد تبدیل کند.

حتی اگر در بین تعداد فزاینده ای از افرادی که یکی از این افزونه ها را دانلود می کنند نیستید، در مورد مسدود کننده های تبلیغات به احتمال زیاد شنیده اید که مردم به دلایل مختلف آنها را استفاده می کنند. آنها وب را به مکانی کمتر شلوغ و کمتر تهاجمی تبدیل می کنند. بنابراین به طور طبیعی ، مبتدیان فناوری تشنه پول راهی پیدا کرده اند که این ابزارها را برای منافع خود بکار گیرند.

Mostsevenko Sergei، محقق امنیت سایبری ، دقیقاً نحوه عملکرد این نوع طرح را در یک پست وبلاگ از ماه گذشته منتشر کرد. همانطور که او گفت ، مسدود کننده تبلیغات متوسط آثار کوچکی از داده ها را در وب سایت هایی که بازدید می کنید به جای می گذارد. هنگامی که این آثار به صورت دسته جمعی جمع آوری می شوند ، یک بازیگر بد (یا شرکت فناوری) می تواند از این سیگنال ها برای شناسایی مرورگر خاص شما استفاده کند-فرآیندی که در صنعت تبلیغات هدفمند به معنای واقعی کلمه “اثر انگشت” نامیده می شود. و مانند اثر انگشت ، این سیگنالها اساساً بدون انجام برخی اقدامات بسیار شدید از بین نمی روند.

“اثر انگشت” به نوعی از ردیابی مبهم اشاره می کند که برای کاربران تقریبا غیرممکن است که از کار بیفتند. کوکی ها را می توان پاک کرد ، حافظه پنهان را می توان فلاش کرد و می توانید منحصراً در حالت ناشناس مرور کنید ، اما “اثر انگشت” مرورگر شما از سیگنال های مختلف به هم پیوسته است: آدرس IP ، اندازه پنجره ، تنظیمات زبان و موارد دیگر. هنگامی که از یک صفحه وب بازدید می کنید که یک قطعه کد اثر انگشت روی آن مخفی شده است ، این نقاط داده جذب می شوند و مجموعه ای از اعداد و حروف – اثر انگشت منحصر به فرد شما – می سازد. با ردیابی اثر انگشت در کدام سایت ها ، این شرکت ها می توانند به طور پنهانی شما را ردیابی کنند ، هر چقدر هم که از آنها درخواست توقف کنید.

به طور طبیعی وقتی از مسدود کننده تبلیغات استفاده می کنید ، نوعی سیگنال به سایتی که از آن بازدید می کنید می دهد – اما برای شناسایی منحصر به فرد مرورگر شما کافی نیست. Mostsevenko توضیح داد که برای انجام این کار ، باید کمی خلاق باشید.

مسدود کننده های تبلیغات در همه اشکال و اندازه ها وجود دارند ، اما همه آنها یکسان عمل می کنند: اسکن عناصر خاص در یک صفحه (مانند یک قطعه کد آگهی) و جلوگیری از بارگذاری آنها در نمایش. برای اینکه بدانید چه چیزی ارزش مسدود کردن دارد ، اکثر مسدود کننده های تبلیغاتی به لیست فیلترهای متفاوتی متکی هستند که برای انواع مزاحمت های تبلیغاتی که می خواهید آنها را ببندید ، تنظیم شده اند: تبلیغات زبان آلمانی ، تبلیغات تلفن همراه ، پنجره های بازشو و موارد دیگر. برخی از مسدود کننده ها حتی اگر گزینه های موجود کافی نباشند ، به کاربران اجازه می دهند لیست فیلترهای خود را آپلود کنند. هر کدام از این ها، اگر مجموعه ای از قطعات HTML و URL های تبلیغاتی خود را لغو کنند ، تاثیر گذار می شوند.

ممکن است نزدیک به ۱ میلیارد کاربر اینترنت مسدود کننده تبلیغات در سراسر جهان وجود داشته باشد ، اما هر یک از آنها از ترکیب ابزار و فیلترهای مختلف استفاده می کنند که احتمالاً متفاوت از مسدود کننده تبلیغات است که در کنار آنها نشسته است.

وبلاگ بسیار طولانی و بسیار فنی Mostsevenko این کار را عمیقاً توضیح می دهد ، اما نسخه کوتاه آن این است: ابتدا لیستی از بلاک های تبلیغاتی را که می خواهید از بازدیدکنندگان وب سایت تشخیص دهید ، جمع آوری کرده و مشخص کنید که هر کدام از این مسدود کننده ها کدام عناصر را مسدود می کنند. سپس یک قطعه کوچک از کد را به یک صفحه وب اضافه کنید – مانند یک نوار HTML –  که همه این عناصر مختلف را یک به یک بارگذاری می کند ، در جایی دور از چشم ، و برگه هایی را که عناصر در صفحه بارگذاری می شوند. اگر شرکتی که این ابزارهای اثر انگشت را ایجاد می کند به اندازه کافی از فناوری مطلع است ، این کار نباید بیش از یک ثانیه طول بکشد.

Mostsevenko با استفاده از مرورگر Safari در مک بوک پرو ۲۰۱۵ ، یک برنامه نمونه برداری از مسدود کننده ها را آزمایش کرد تا ببیند چقدر تاخیر به زمان بارگذاری صفحه وب افزوده می شود. بررسی هر عنصر در ۴۵ لیست مسدود کننده تبلیغات منحصر به فرد حدود ۳ میلی ثانیه طول کشید. با افزایش این تعداد به ۴۰۰ لیست ، برنامه فوق العاده … ۲۰ میلی ثانیه تکمیل شد – تاخیری که احتمالاً متوجه آن نخواهید شد مگر اینکه واقعاً در بازی های رقابتی کنسول بازی کنید.

Mostsevenko می نویسد: “لیست فیلترهایی که شخص استفاده می کند تنها در صورت تغییر مسدود کننده های تبلیغات یا اگر مسدود کننده تبلیغات آنها تحت یک به روز رسانی قابل توجهی قرار گیرد “تغییر می کند. اما این امر در نهایت اتفاق می افتد. لیست های فیلتر توسط توسعه دهندگان مرتباً تغییر داده می شوند و تغییر می کنند. مسدودکننده های تبلیغات پس از آسیب دیدن یا دستگیری برنامه های خود با داده های افراد ، مورد بازبینی قرار می گیرند. این افراد ممکن است یک رایانه جدید تهیه کنند ، یک مرورگر جدید را امتحان کنند یا متن خود را اندازه ای کوچکتر کنند. افراد می توانند تغییر کنند ، به این معنی که انگشت نگاری بر اساس مسدود کننده های تبلیغات – یا هر قسمت دیگر از زندگی دیجیتالی ما – هرگز بی نقص نخواهد بود. اما در دنیایی که کوکی ها در حال از بین رفتن هستند و ردیاب های برنامه در حال خفه شدن هستند ، صنعت داده همچنان حداقل ۲۰۰ میلیارد دلار ارزش دارد. داده های مسدود کننده تبلیغات شما برای کسی در جایی ارزش دارد.

جهنم سرمایه داری (Capitalist hellscape) را کنار بگذاریم ، هنوز چند قدم وجود دارد که می توانید مرورگر خود را-بدون تبلیغات مسدود یا غیرفعال-از اثر انگشت نگه دارید. بنیاد Electronic Frontier پیشنهاد می کند که جاوا اسکریپت را تا زمانی که می توانید اجرا کنید و از مرورگرهای معروف مانند Safari یا Firefox که هر کدام گام های خود را برای لغو تلاش های اثر انگشت برداشته اند ، غیرفعال کنید. برنامه های افزودنی را به حداقل برسانید ، روی یک VPN خوب سرمایه گذاری کنید و مهم نیست که یک وب سایت چقدر التماس می کند ، همیشه کوکی های خود را رد کنید.

gizmodo