• info@arka.ir
  • تماس با ما: 02191300476 - ۰۲۱۸۸۸۰۴۹۶۱
  • تهران، خیابان شهید بهشتی، خ پاکستان، کوچه ۴ پلاک ۱۱ واحد ۷
15 دسامبر 2020

چندی پس از وقوع حملات پیچیده سایبری به فایرآی و برخی وزارت‌خانه‌های آمریکا، اکنون مشخص شده است که مهاجمان قبل از این با رخنه به سولار ویندز (SolarWinds) موفق به تزریق کد آلوده به یکی از محصولات ساخت این شرکت با نام Orion Platform شده بودند و از طریق این نرم‌افزار به بیش از ۱۸ هزار مشتری آن محصول نفوذ کردند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، مهاجمان سایبری که به شرکت امنیتی فایرآی (FireEye) و وزارت خزانه‌داری آمریکا حمله کردند به اطلاعات ۱۸ هزار مشتری نرم‌افزار Orion Platform هم نفوذ کردند.

پس از یک هفته از وقوع این حملات پیچیده سایبری، اکنون مشخص شده است که مهاجمان قبل از این با رخنه به سولار ویندز (SolarWinds) موفق به تزریق کد آلوده به یکی از محصولات ساخت این شرکت با نام Orion Platform شده بودند و از طریق این نرم‌افزار به بیش از ۱۸ هزار مشتری آن محصول نفوذ کردند. این روش حمله به زنجیره تأمین (Supply Chain Attack) معروف است. دراین نوع حملات سایبری، مهاجمان با بهره‌جویی از اجزای آسیب‌پذیر در زنجیره تأمین یک سازمان به آن رخنه و یا آن را دچار اختلال می‌کنند.

وزارت امنیت داخلی آمریکا با انتشار بخش‌نامه‌ای اضطراری از تمامی سازمان‌های فدرال این کشور خواسته است تا به‌سرعت نسبت به قطع ارتباط نسخ آسیب‌پذیر Orion Platform اقدام کنند.

شرکت فایرآی هم اعلام کرد که مهاجمان موفق به سرقت ابزارهای دیجیتال Red Team شده‌اند که این شرکت برای شناسایی آسیب‌پذیری سیستم‌ها در شبکه مشتریان خود، از آنها استفاده می‌کند.

پایگاه اینترنتی blog.malwarebytes نوشته است: انتظار می‌رود در روزها، هفته‌ها و حتی شاید ماه‌های آتی ابعادی دیگر از این کم‌نظیرترین حملات سایبری روشن شود.

کارشناسان معاونت بررسی مرکز مدیریت راهبردی افتا، توصیه می‌کنند تا کارشناسان IT دستگاه‌های زیرساخت در کوتاه‌ترین زمان ممکن با استفاده از محصولات ضدویروس و ابزارهای امنیتی، وجود هرگونه نشانه آلودگی را بررسی کنند. دستگاه‌های زیرساخت همچنین باید با انجام بررسی دقیق، فراگیر و جامع امنیتی، زیرساخت‌های فیزیکی و ابری را بازبینی و مقاوم‌سازی کنند.

متخصصان IT زیرساخت‌های کشور باید در اسرع وقت نسبت به جدا کردن هر سیستمی که بر روی آن Version ۲۰۱۹,۴ HF ۵ تا Version ۲۰۲۰.۲.۱ محصول SolarWinds Orion Platform نصب است اقدام کنند. این نسخ در فاصله مارس ۲۰۲۰ تا ژوئن ۲۰۲۰ عرضه شده بودند.

کارشناسان معاونت بررسی مرکز افتا از متخصصان IT در زیرساخت‌ها خواسته‌اند تا در نخستین فرصت، SolarWinds Orion Platform را به Version ۲۰۲۰,۲.۲.۱HF۱ ارتقا داده و پس از اطمینان از عدم وجود هر گونه آلودگی، سیستم‌ها را به حالت قبل بازگردانند.

اطلاعات فنی، گزارش‌های شرکت‌های امنیتی از این حملات سایبری، توصیه‌نامه سولار ویندز، مجموعه قواعد شرکت فایرآی برای شناسایی نشانه‌های آلودگی مرتبط با سولار ویندز و نشانه‌های آلودگی (IoC) در این لینک قابل مشاهده است.

12 دسامبر 2020

سیسکو به‌روز‌رسانی امنیتی برای رفع چندین ‫آسیب‌پذیری که Cisco Security Manager را تحت تاثیر قرار می‌دهد منتشر کرده است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، برای اکسپلویت این آسیب‌پذیری‌ها نیازی به احراز هویت نیست و اکسپلویت این آسیب‌پذیری‌ها امکان اجرای کد از راه دور را فراهم می‌آورد. Cisco Security Manager به مدیریت سیاست‌های امنیتی در مجموعه وسیعی از تجهیزات امنیتی و شبکه سیسکو کمک می‌کند و همچنین گزارش‌های خلاصه شده و قابلیت عیب‌یابی رویدادهای امنیتی را فراهم می‌کند. این محصول با مجموعه وسیعی از وسایل امنیتی سیسکو مانند سوئیچ‌های سری Cisco Catalyst ۶۰۰۰‌، روترهای سرویس یکپارچه (ISR) و سرویس فایروال کار می‌کند.

این آسیب‌پذیری‌ها که نسخه‌های ۴.۲۲ از Cisco Security Manager و نسخه‌های قبل‌تر از آن را تحت‌تاثیر قرار می‌دهند در ۱۶ نوامبر توسط سیسکو افشاشدند. سیسکو این آسیب‌پذیری‌ها را یک ماه پس از آنکه یک محقق امنیتی با نام Florian Hauser آنها را گزارش کرد، افشا کرد. Hauser پس از آنکه تیم پاسخگویی به حوادث امنیتی محصول سیسکو پاسخ‌ دادن به او را متوقف کردند، کدهایProof-of-concept همه این ۱۲ مورد آسیب‌پذیری‌ها را منتشر کرد.

سیسکو دو مورد از این ۱۲ مورد آسیب‌پذیری که با شناسه‌های CVE-۲۰۲۰-۲۷۱۲۵ و CVE-۲۰۲۰-۲۷۱۳۰ پیگیری می‌شوند در نوامبر رفع کرده بود، اما برای بقیه آسیب‌پذیری‌ها که مجموعا با شناسه‌ CVE-۲۰۲۰-۲۷۱۳۱ پیگیری می‌شوند هیچ‌‌گونه به‌روزرسانی امنیتی فراهم نکرده بود. سیسکو این آسیب‌پذیری‌ها را در نسخه ۴.۲۲ Service Pack ۱ از Cisco Security Manager که اخیرا منتشر کرده است، رفع کرده است. توصیه می‌شود که مدیران این به روز‌رسانی امنیتی را هرچه سریع‌تر اعمال کنند.
مرجع : مرکز ماهر

9 فوریه 2020

همانطور که محل کار مدرن تغییر می‌کند، حملات در سراسر محیط‌های محلی و Cloud نیز در حال رشد و گسترش بوده و بسیاری از Endpointها و برنامه‌های کاربردی را نیز تحت تاثیر قرار می‌دهند. تیم‌های عملیاتی امنیت (Security Operation  یا SecOps) برای نظارت بر فعالیت‌های کاربران مشکوک و غیرمشکوک، با استفاده از راهکارهای امنیتی متعددی که اغلب مرتبط نیستند، در تمام ابعاد حملات هویتی به چالش کشیده می‌شوند. از آنجا که حفاظت از هویت برای محل کار مدرن بسیار مهم است، تحقیق در مورد تهدیدات هویتی به یک تجربه واحد برای نظارت بر تمام فعالیت کاربران و جستجو رفتارهای مشکوک به منظور اولیت‌بندی کردن سریع کاربران نیاز دارد.

امروز، مایکروسافت تجربه جدیدی مربوط به شناسایی تهدید هویتی را معرفی کرد، که هشدارهای هویتی و فعالیت‌های Azure Advanced Threat Protection  (Azure ATP)، Azure Active Directory Identity Protection Azure AD و Microsoft Cloud App Security را به یک تجربه تحقیق امنیتی واحد برای تحلیلگران مرتبط می‌کند.

حملات هویتی مدرن با استفاده از Hybrid Cloud

تجربه بررسی تهدیدات هویتی یا Identity Threat ، نشان‌های هویت کاربر از محیط‌های محلی و سرویس‌های Cloud را برای کمتر کردن فاصله میان نشان‌های ناهمخوان در محیط شما ترکیب کرده و از تجزیه و تحلیل رفتار کاربر و موجودیت (User and Entity Behavior Analytics و یا به اختصار UEBA)، برای ارائه یک درجه ریسک‌پذیری و اطلاعات زمینه‌ای غنی برای هر کاربر استفاده می‌کند. این به تحلیلگران امنیتی امکان می‌دهد تا تحقیقات خود را اولویت‌بندی کرده و زمان‌های بازرسی را کاهش دهند و نیاز به جابجا شدن بین راهکار‌های امنیت هویتی را پایان دهند. این به تیم SecOps زمان بیشتری داده و اطلاعات صحیح را برای تصمیم‌گیری بهتر و اصلاح فعالانه تهدیدات و خطرات هویتی به تیم شما ارائه می‌دهد.

Azure ATP، شناسایی‌های در محل و فعالیت‌های مربوط به تجزیه و تحلیل رفتار غیرعادی را برای کمک به بررسی کاربران در معرض خطر، فراهم می‌کند. Microsoft Cloud App Security خروج بالقوه داده‌های حساس را در محیط‌های First-Party و Third-Party Cloud شناسایی کرده و به تحلیلگران امنیتی هشدار می‌دهد. Azure AD Identity Protection نیز اطلاعات Sign-in غیرعادی را شناسایی کرده و تا زمانی که مساله حل شود دسترسی کاربر آسیب پذیر را به حالت تعلیق در می‌آورد. ترکیب این سرویس‌ها، فعالیت‌ها و هشدارها را با استفاده از UEBA آنالیز می‌کنند تا رفتارهای پرخطر را برای تعیین کردن سطح اولویت سختگیری  برای واکنش به رخدادهای مربوط به احرازهویت‌های آسیب‌پذیر به سادگی فراهم نماید.

برای ساده‌سازی بیشتر جریان کار SecOps، قابلیت جدیدی در پورتال امنیتی Cloud App، صرف نظر از استفاده کردن و یا نکردن از Microsoft Cloud App Security، ایجاد شد. در حالی که هر هشدار را با اطلاعات بیشتری تقویت می‌کند، به شما این امکان را می‌دهد که به راحتی از جدول زمانی استفاده کرده و به طور مستقیم به یک بررسی عمیق و جستجو دقیق برسید.

اولویت بررسی کاربر

یک بخش جدید به مدل آزمایشی فعلی اضافه شده است، که براساس تعداد هشدارهای کلی با اولویت بررسی کاربر جدید است و توسط همه فعالیت‌ها و هشدارهای کاربر تعیین می‌شود که می‌تواند نشان‌دهنده یک حمله پیشرفته و یا تهدید درونی باشد.

برای محاسبه اولویت بررسی کاربر، هر رویداد غیرعادی براساس تاریخچه پروفایل کاربر، همتاهایش و سازمان امتیازدهی می‌شود. علاوه بر این، تاثیر بالقوه هر کاربر بر روی کسب‌وکار و دارایی‌ها برای تعیین امتیاز اولویت بررسی مورد تحلیل قرار می‌گیرد.

مفهوم جدید در صفحه کاربری به روز شده گنجانده شده‌است، که اطلاعاتی مربوط هویت کاربر، امتیاز اولویت بررسی، چگونگی این امتیاز در مقایسه با تمامی کاربران درون سازمان، هشدارهای غیر عادی و فعالیت‌های کاربر را ارائه می‌دهد.

در تصویر زیر، نمره ۱۵۵ اولویت بررسی این کاربر، او را در یک درصد بالا در سازمان قرار می‌دهد و او را به یک کاربر با بالاترین اولویت برای بررسی توسط تحلیلگران امنیتی تبدیل می‌کند.

بررسی تهدیدات هویتی در محیط های Hybrid Cloud

صفحه کاربری بررسی تهدیدات هویتی

این امتیاز برای این است که بتوان بدون درنگ کاربرانی که بالاترین درجه‌ی آسیب‌پذیری را در سازمان دارند مشاهده نمود و باید برای تحقیقات بیشتر اولویت‌بندی و در داشبورد اصلی نمایش داده شود.

بررسی تهدیدات هویتی در محیط های Hybrid Cloud

بهبود تجربه بررسی و جستجو

قابلیت جدید برای بررسی تهدیدهای احراز هویت، فراتر از ایجاد ارتباط بین نشانه‌ها و صفحه کاربری با طراحی جدید است، مخصوصا قابلیت‌های تحقیقاتی جدید و پیشرفته­ای را صرف‌نظر از انتخاب شما میان Azure AD Identity Protection و یا Microsoft Cloud App Security، به طور خاص برای مشتریان Azure ATP اضافه می‌کند.

این توانایی‌ها شامل موارد زیر می‌باشند:

  • توانایی انجام جستجو تهدیدات با محتوای بیشتر از منابع محلی و Cloud، با استفاده از قابلیت‌های فیلترینگ پیشرفته و اطلاعات هشدار غنی شده توسط تحلیلگران امنیتی.
  • قابلیت دید و مدیریت سطوح خطر کاربر Azure AD با توانایی تایید وضعیت کاربر در خطر افتاده، که سطح ریسک کاربر Azure AD را به «بالا» تغییر می‌دهد.
  • ایجاد Policyهای فعالیت برای تعیین اقدامات اداره و استفاده قابلیت‌های اتوماسیون تعبیه‌شده از طریق ادغام Native با Microsoft Flow برای اولیت‌بندی آسان‌تر هشدارها.
بررسی تهدیدات هویتی در محیط های Hybrid Cloud
  • 1
  • 2