• info@arka.ir
  • تماس با ما: ۰۲۱۹۱۰۷۰۴۷۶ - ۰۲۱۸۸۸۰۴۹۶۱
  • تهران، خیابان شهید بهشتی، خ پاکستان، کوچه ۴ پلاک ۱۱ واحد ۷
8 ژوئن 2021
مقامات آمریکایی فشارها را بر شرکت‌ها و دشمنان خارجی برای مبارزه با خلافکاران سایبری  افزایش دادند و بایدن در حال بررسی همه گزینه‌ها ازجمله پاسخ نظامی برای رویارویی با این تهدید روزافزون است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، جینا ریموندو، وزیر بازرگانی آمریکا در مصاحبه ای در خصوص اینکه آیا اقدام نظامی برای دفاع از کشور در برابر خلافکاران سایبری مورد ملاحظه قرار گرفته است، گفت: دولت بایدن در حال بررسی همه گزینه‌هاست.

ریموندو درباره گزینه های مورد بررسی توضیح نداد اما گفت که این موضوع در دیدار ماه جاری رئیس جمهور آمریکا با ولادیمیر پوتین، همتای روسی وی در صدر موضوعات مورد بحث قرار خواهد داشت. تهدید روزافزون حملات سایبری، دولت بایدن را به موضع خصمانه تری در برابر روسیه کشانده است که تصور می رود محل انجام برخی از این حملات سایبری است.

وزیر بازرگانی آمریکا گفت: ما هیچ گزینه‌ای را کنار نمی‌گذاریم چرا که درباره تبعات، پیامدها یا تلافی فکر می کنیم.

هفته گذشته بزرگ‌ترین شرکت صنایع گوشتی جهان هدف حمله سایبری قرار گرفته و در ماه می اپراتور بزرگ‌ترین شبکه خط لوله سوخت‌رسانی آمریکا قربانی حمله باج‌افزاری شد و نگرانی‌ها نسبت به مختل شدن تامین غذا و سوخت را برانگیخت.

جنیفر گرانهولم، وزیر انرژی با اشاره به هزاران حمله‌ای که علیه بخش‌های مختلف انرژی انجام می‌گیرد در مصاحبه جداگانه‌ای با سی‌ان‌ان اظهار کرده است دشمنان آمریکا قادرند کل شبکه نیروی این کشور را از کار بیندازند.

حملات سایبری برجسته اخیر باعث شده است بایدن مسئله انجام این حملات از خاک روسیه را در میان مسائلی قرار دهد که در دیدارش با پوتین مطرح خواهد کرد.

مقامات آمریکایی می‌گویند کاخ سفید قصد دارد از دیدار ۱۶ ژوئن برای ارسال پیام واضحی به رهبر روسیه استفاده کند. به گفته برخی از کارشناسان سایبری، گام بعدی ممکن است بی‌ثبات‌سازی سرورهای رایانه‌ای مورد استفاده برای انجام این حملات سایبری باشد.

مقامات آمریکایی از شرکت‌های خصوصی خواسته‌اند در خصوص این حملات هوشیارتر و شفاف باشند. پیت بوتیگیگ، وزیر حمل‌ونقل آمریکا  گفت: حملات ماه می به خط لوله کلونیال که باعث کمبود موقتی بنزین شد، پیامدهای ملی حمله سایبری به یک شرکت خصوصی را نشان داد.

وزیر انرژی آمریکا گفت: شرکت‌ها باید هنگامی که هدف حمله قرار می‌گیرند دولت فدرال را مطلع کنند و از پرداخت باج به هکرها خودداری کنند. وی ضمن مخالفت با پرداخت باج، اظهار کرد مطمئن نیست آیا بایدن یا کنگره آماده غیرقانونی کردن پرداخت باج هستند یا خیر.

بر اساس گزارش رویترز، مارک وارنر، سناتور دموکرات از ایالت ویرجینیا روز یکشنبه اعلام کرد شرکت‌ها باید ملزم شوند حملات باج‌افزاری را گزارش کنند.

مرجع : خبرگزاری ايسنا
12 مه 2021
محققان کسپرسکی مدعی شدند سیستم‌های ویندوز سازمان‌های مهم آسیا و آفریقا توسط روت کیت جدیدی به نام Moriya مورد هدف سایبری قرار گرفته‌اند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بازیگران مخرب سایبری ناشناسی، سال‌هاست که با استفاده از روت‌کیت‌های ویندوز، اقدام به نصب درِ پشتی بر روی دستگاه‌های آسیب‌پذیر می‌کنند.

محققان شرکت امنیت سایبری کسپرسکی، موفق به شناسایی عملیات سایبری به نام TunnelSnake شده‌اند که در آن، یک گروه هکری ناشناس ظاهرا چینی‌زبان توانسته است با استفاده از روت‌کیت‌های مخرب، شبکه‌های متعلق به برخی از سازمان‌ها را تحت کنترل دربیاورد.

روت‌کیت مجموعه‌ای از نرم‌افزارهاست که می‌تواند کنترل یک سیستم رایانه‌ای را به دست بگیرد. در این نوع حمله، کاربر سیستم متوجه وجود روت‌کیت نخواهد شد و هکر این توانایی را خواهد داشت تا کلیه تنظیمات رایانه را تغییر دهد. رایانه‌ای را که تحت سلطه روت‌کیت‌ها قرار می‌گیرد زامبی می‌نامند.

طیق گفته کسپرسکی این روت کیت جدید که Moriya نام دارد در جهت ایجاد در پشتی بر روی سرورهای عمومی مورد استفاده قرار می‌گیرد. این در پشتی‌ها سپس در جهت برقراری ارتباط با سرور کنترل و فرمان مورد استفاده قرار خواهند گرفت. بازیگران مخرب سایبری در‌نهایت می‌توانند از این طریق، اقدام به طرح‌ریزی فعالیت‌های مخرب کنند.

در پشتی ایجاد شده این اجازه را به مهاجمان می دهد تا کلیه ترافیک‌های ورودی و خروجی در دستگاه آلوده را زیر ذره‌بین قرار دهند.

کسپرسکی از جهت شباهت ابزارهای مورد استفاده در این کمپین و عملیات‌های انجام شده توسط هکرهای چینی بر این باور است که احتمالا هکرهای چینی‌زبان پشت این حملات هستند.

قربانیان این عملیات سایبری از آفریقا و آسیا هستند. بر اساس گفته محققان، سازمان های معروف دیپلماتیک در این مناطق، مورد هدف کمپین سایبری مذکور قرار گرفته اند.

ظاهرا طبق تحقیقات صورت گرفته، این کمپین سایبری از سال ۲۰۱۸ فعالیت داشته است. اما تا به حال تنها ۱۰ قربانی در این کمپین سایبری به ثبت رسیده است. این موضوع نشان از آن دارد که حملات سایبری این کمپین به صورت قابل توجهی متمرکز است.

مرجع : سایبربان
19 آوریل 2021
بر اساس تحقیقات دانشگاه هاروارد، آمریکا و چین دو کشور برتر جهان در زمینه قدرت سایبری هستند و ایران در جایگاه ۲۳ جهان قرار دارد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بر اساس آخرین گزارش رده‌بندی قدرت ملی سایبری کشورها از سوی دانشگاه هاروارد، ایران در رده ۲۳ جهانی قرار دارد و آمریکا و چین نیز در رده‌های اول و دوم هستند.

مرکز بلفر، زیرمجموعه دانشگاه هاروارد، آخرین رده‌بندی قدرت سایبری ملی کشورها را انجام داده و نتیجه آن را منتشر کرده است.

بر اساس این تحقیق که اطلاعات جالبی در بردارد، آمریکا و چین دو کشور برتر جهان در زمینه قدرت سایبری هستند و در جایگاه اول و دوم ایستاده‌اند.

هشت کشور دیگر در رده‌بندی ۱۰ کشور برتر دنیا در زمینه قدرت سایبری به ترتیب عبارت‌اند از: بریتانیا، روسیه، هلند، فرانسه، آلمان، کانادا، ژاپن و استرالیا. این در حالی است که ایران در رده بیست‌وسوم قرار گرفته است.

به طور معمول قدرت کشورهای چین، انگلیس، ایران، کره شمالی و روسیه در فضای سایبری برای همگان تثبیت شده است. اما این پژوهش نشان داد قدرت سایبری چین طوری افزایش یافته که در حوزه نظارت، دفاع سایبری و همچنین تلاش برای ایجاد بخش سایبری تجاری رشد کرده و شکاف آن با آمریکا کمتر شده است.

اریک رزنباخ، یکی از مدیران مرکز بلفر، در این باره می‌گوید: بسیاری از افراد تصور می‌کنند آمریکا، انگلیس و فرانسه در حوزه قدرت سایبری از چین جلوتر هستند. اما تحقیق ما نشان داد این امر نه تنها صحت ندارد، بلکه چین در این زمینه بسیار پیشرفت کرده و قدرت آن با رقیب خود، یعنی آمریکا تقریباً برابری می‌کند.

از سوی دیگر این تحقیق نشان داد چند کشور دیگر در حوزه قدرت سایبری در حال رشد هستند ازجمله امارات متحده عربی، ویتنام و سنگاپور. رزنباخ در این باره می‌گوید: این کشورها مشغول تربیت استعدادها، کارشناسان و توسعه قابلیت‌هایشان هستند.

مالزی، سوئد و سوئیس نیز در حوزه‌های مختلف ازجمله اطلاعات، نظارت، کنترل اطلاعات و رشد تجاری، جزو ۱۰ کشور برتر رده‌بندی قدرت سایبری قرار دارند.

مرجع : خبرگزاری مهر
27 دسامبر 2020

دنیا در سال ۲۰۲۰ نه فقط گرفتار در دام ویروس کرونا که شاهد حملات سایبری گوناگونی هم بود که برخی از آنها دنیا را تکان دادند و در تاریخ ثبت شدند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، کرونا مشکلات متعددی را برای افراد و سازمان‌ها به وجود آورده و آنها را مجبور به اعمال تغییرات بزرگی در سیستم کار و زندگی‌شان کرده است. شرکت و سازمان‌ها مجبور بوده‌اند با سرعت زیادی امکانات و ابزارهای مربوط به دورکاری کارمندان را مهیا کنند. به همین دلیل، معمولا امنیت سایبری سیستم‌های آنها تضعیف شده است و این یعنی فرصت‌های خوب برای هکرها. سال ۲۰۲۰، شاهد حملات سایبری زیادی ازسوی مهاجمان بودیم اما چند مورد از آنها توانستند دنیا را به‌شدت تکان دهند. با بزرگ‌ترین و مهم‌ترین حملات سایبری سال ۲۰۲۰ آشنا شوید.

هتل‌های زنجیره‌ای Marriot
هتل‌های زنجیره‌ای ماریوت آمریکا اوایل امسال اعلام کرد که یک رخنه امنیتی به سیستم‌های این شرکت صورت گرفته است و بیش از ۵.۲ میلیون نفر از مشتریان این شرکت که اپلیکیشن آن را نصب کرده بودند، تحت تاثیر این حمله قرار گرفتند. طبق تحقیقات صورت گرفته مشخص شد که اعتبارنامه ورود به سیستم دو نفر از کارمندان این شرکت مورد سوءاستفاده قرار گرفته است و حجم زیادی از اطلاعات مشتریان به سرقت رفته است.

اقامتگاه‌های بین‌المللی ام‌جی‌ام
اطلاعات شخصی بیش از ۱۰.۶ نفر از افرادی که در این هتل‌های آمریکایی اقامت داشتند در یک وب‌سایت هکری منتشر شد. این داده‌ها شامل نام، آدرس، شماره تلفن، تاریخ تولد و ایمیل مشتریان بود.

توئیتر
شوک دیگری که به دنیا وارد شد، هدف قرار گرفتن حساب‌های توئیتری چندین شخصیت معروف دنیا توسط مجرمان سایبری بود. مهاجمان توانستند با ورود به حساب‌های آنها، بسیاری از دنبال‌کنندگان‌شان را فریب دهند و اقدام به کلاهبرداری از طریق بیت‌کوین کنند.

شرکت امنیتی فایرآی
شرکت فایرآی یکی از بزرگ‌ترین شرکت‌های امنیتی در دنیاست که امنیت سایبری بسیاری از سازمان‌های دولتی را در سرتاسر دنیا تامین می‌کند. حتی این شرکت امنیتی هم نتوانست از حمله هکرها در امان بماند و متحل حمله سایبری پیچیده‌ای شد. هکرها توانستند با سرقت یکی از ابزارهای جاسوسی این شرکت، تعداد زیادی از مشتریان را به دردسر بیندازند.

دولت آمریکا و شرکت SolarWinds
نفوذ هکرها به سیستم‌های شرکت آمریکایی SolarWinds و نصب بدافزار در برنامه Orion این شرکت، باعث شد مشتریان آن ازجمله دولت آمریکا به محدوده خطر وارد شوند. دولت آمریکا سنگین‌ترین حملات سایبری تاریخ خود را تجربه کرد و وزارت‌خانه‌های زیادی مورد هدف قرار گرفتند. ازجمله آنها می‌توان به وزارت خزانه‌داری، امنیت داخلی، انرژی و امنیت هسته‌ای این کشور اشاره کرد.

مرجع : سایبربان
15 دسامبر 2020

چندی پس از وقوع حملات پیچیده سایبری به فایرآی و برخی وزارت‌خانه‌های آمریکا، اکنون مشخص شده است که مهاجمان قبل از این با رخنه به سولار ویندز (SolarWinds) موفق به تزریق کد آلوده به یکی از محصولات ساخت این شرکت با نام Orion Platform شده بودند و از طریق این نرم‌افزار به بیش از ۱۸ هزار مشتری آن محصول نفوذ کردند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، مهاجمان سایبری که به شرکت امنیتی فایرآی (FireEye) و وزارت خزانه‌داری آمریکا حمله کردند به اطلاعات ۱۸ هزار مشتری نرم‌افزار Orion Platform هم نفوذ کردند.

پس از یک هفته از وقوع این حملات پیچیده سایبری، اکنون مشخص شده است که مهاجمان قبل از این با رخنه به سولار ویندز (SolarWinds) موفق به تزریق کد آلوده به یکی از محصولات ساخت این شرکت با نام Orion Platform شده بودند و از طریق این نرم‌افزار به بیش از ۱۸ هزار مشتری آن محصول نفوذ کردند. این روش حمله به زنجیره تأمین (Supply Chain Attack) معروف است. دراین نوع حملات سایبری، مهاجمان با بهره‌جویی از اجزای آسیب‌پذیر در زنجیره تأمین یک سازمان به آن رخنه و یا آن را دچار اختلال می‌کنند.

وزارت امنیت داخلی آمریکا با انتشار بخش‌نامه‌ای اضطراری از تمامی سازمان‌های فدرال این کشور خواسته است تا به‌سرعت نسبت به قطع ارتباط نسخ آسیب‌پذیر Orion Platform اقدام کنند.

شرکت فایرآی هم اعلام کرد که مهاجمان موفق به سرقت ابزارهای دیجیتال Red Team شده‌اند که این شرکت برای شناسایی آسیب‌پذیری سیستم‌ها در شبکه مشتریان خود، از آنها استفاده می‌کند.

پایگاه اینترنتی blog.malwarebytes نوشته است: انتظار می‌رود در روزها، هفته‌ها و حتی شاید ماه‌های آتی ابعادی دیگر از این کم‌نظیرترین حملات سایبری روشن شود.

کارشناسان معاونت بررسی مرکز مدیریت راهبردی افتا، توصیه می‌کنند تا کارشناسان IT دستگاه‌های زیرساخت در کوتاه‌ترین زمان ممکن با استفاده از محصولات ضدویروس و ابزارهای امنیتی، وجود هرگونه نشانه آلودگی را بررسی کنند. دستگاه‌های زیرساخت همچنین باید با انجام بررسی دقیق، فراگیر و جامع امنیتی، زیرساخت‌های فیزیکی و ابری را بازبینی و مقاوم‌سازی کنند.

متخصصان IT زیرساخت‌های کشور باید در اسرع وقت نسبت به جدا کردن هر سیستمی که بر روی آن Version ۲۰۱۹,۴ HF ۵ تا Version ۲۰۲۰.۲.۱ محصول SolarWinds Orion Platform نصب است اقدام کنند. این نسخ در فاصله مارس ۲۰۲۰ تا ژوئن ۲۰۲۰ عرضه شده بودند.

کارشناسان معاونت بررسی مرکز افتا از متخصصان IT در زیرساخت‌ها خواسته‌اند تا در نخستین فرصت، SolarWinds Orion Platform را به Version ۲۰۲۰,۲.۲.۱HF۱ ارتقا داده و پس از اطمینان از عدم وجود هر گونه آلودگی، سیستم‌ها را به حالت قبل بازگردانند.

اطلاعات فنی، گزارش‌های شرکت‌های امنیتی از این حملات سایبری، توصیه‌نامه سولار ویندز، مجموعه قواعد شرکت فایرآی برای شناسایی نشانه‌های آلودگی مرتبط با سولار ویندز و نشانه‌های آلودگی (IoC) در این لینک قابل مشاهده است.

9 فوریه 2020

همانطور که محل کار مدرن تغییر می‌کند، حملات در سراسر محیط‌های محلی و Cloud نیز در حال رشد و گسترش بوده و بسیاری از Endpointها و برنامه‌های کاربردی را نیز تحت تاثیر قرار می‌دهند. تیم‌های عملیاتی امنیت (Security Operation  یا SecOps) برای نظارت بر فعالیت‌های کاربران مشکوک و غیرمشکوک، با استفاده از راهکارهای امنیتی متعددی که اغلب مرتبط نیستند، در تمام ابعاد حملات هویتی به چالش کشیده می‌شوند. از آنجا که حفاظت از هویت برای محل کار مدرن بسیار مهم است، تحقیق در مورد تهدیدات هویتی به یک تجربه واحد برای نظارت بر تمام فعالیت کاربران و جستجو رفتارهای مشکوک به منظور اولیت‌بندی کردن سریع کاربران نیاز دارد.

امروز، مایکروسافت تجربه جدیدی مربوط به شناسایی تهدید هویتی را معرفی کرد، که هشدارهای هویتی و فعالیت‌های Azure Advanced Threat Protection  (Azure ATP)، Azure Active Directory Identity Protection Azure AD و Microsoft Cloud App Security را به یک تجربه تحقیق امنیتی واحد برای تحلیلگران مرتبط می‌کند.

حملات هویتی مدرن با استفاده از Hybrid Cloud

تجربه بررسی تهدیدات هویتی یا Identity Threat ، نشان‌های هویت کاربر از محیط‌های محلی و سرویس‌های Cloud را برای کمتر کردن فاصله میان نشان‌های ناهمخوان در محیط شما ترکیب کرده و از تجزیه و تحلیل رفتار کاربر و موجودیت (User and Entity Behavior Analytics و یا به اختصار UEBA)، برای ارائه یک درجه ریسک‌پذیری و اطلاعات زمینه‌ای غنی برای هر کاربر استفاده می‌کند. این به تحلیلگران امنیتی امکان می‌دهد تا تحقیقات خود را اولویت‌بندی کرده و زمان‌های بازرسی را کاهش دهند و نیاز به جابجا شدن بین راهکار‌های امنیت هویتی را پایان دهند. این به تیم SecOps زمان بیشتری داده و اطلاعات صحیح را برای تصمیم‌گیری بهتر و اصلاح فعالانه تهدیدات و خطرات هویتی به تیم شما ارائه می‌دهد.

Azure ATP، شناسایی‌های در محل و فعالیت‌های مربوط به تجزیه و تحلیل رفتار غیرعادی را برای کمک به بررسی کاربران در معرض خطر، فراهم می‌کند. Microsoft Cloud App Security خروج بالقوه داده‌های حساس را در محیط‌های First-Party و Third-Party Cloud شناسایی کرده و به تحلیلگران امنیتی هشدار می‌دهد. Azure AD Identity Protection نیز اطلاعات Sign-in غیرعادی را شناسایی کرده و تا زمانی که مساله حل شود دسترسی کاربر آسیب پذیر را به حالت تعلیق در می‌آورد. ترکیب این سرویس‌ها، فعالیت‌ها و هشدارها را با استفاده از UEBA آنالیز می‌کنند تا رفتارهای پرخطر را برای تعیین کردن سطح اولویت سختگیری  برای واکنش به رخدادهای مربوط به احرازهویت‌های آسیب‌پذیر به سادگی فراهم نماید.

برای ساده‌سازی بیشتر جریان کار SecOps، قابلیت جدیدی در پورتال امنیتی Cloud App، صرف نظر از استفاده کردن و یا نکردن از Microsoft Cloud App Security، ایجاد شد. در حالی که هر هشدار را با اطلاعات بیشتری تقویت می‌کند، به شما این امکان را می‌دهد که به راحتی از جدول زمانی استفاده کرده و به طور مستقیم به یک بررسی عمیق و جستجو دقیق برسید.

اولویت بررسی کاربر

یک بخش جدید به مدل آزمایشی فعلی اضافه شده است، که براساس تعداد هشدارهای کلی با اولویت بررسی کاربر جدید است و توسط همه فعالیت‌ها و هشدارهای کاربر تعیین می‌شود که می‌تواند نشان‌دهنده یک حمله پیشرفته و یا تهدید درونی باشد.

برای محاسبه اولویت بررسی کاربر، هر رویداد غیرعادی براساس تاریخچه پروفایل کاربر، همتاهایش و سازمان امتیازدهی می‌شود. علاوه بر این، تاثیر بالقوه هر کاربر بر روی کسب‌وکار و دارایی‌ها برای تعیین امتیاز اولویت بررسی مورد تحلیل قرار می‌گیرد.

مفهوم جدید در صفحه کاربری به روز شده گنجانده شده‌است، که اطلاعاتی مربوط هویت کاربر، امتیاز اولویت بررسی، چگونگی این امتیاز در مقایسه با تمامی کاربران درون سازمان، هشدارهای غیر عادی و فعالیت‌های کاربر را ارائه می‌دهد.

در تصویر زیر، نمره ۱۵۵ اولویت بررسی این کاربر، او را در یک درصد بالا در سازمان قرار می‌دهد و او را به یک کاربر با بالاترین اولویت برای بررسی توسط تحلیلگران امنیتی تبدیل می‌کند.

بررسی تهدیدات هویتی در محیط های Hybrid Cloud

صفحه کاربری بررسی تهدیدات هویتی

این امتیاز برای این است که بتوان بدون درنگ کاربرانی که بالاترین درجه‌ی آسیب‌پذیری را در سازمان دارند مشاهده نمود و باید برای تحقیقات بیشتر اولویت‌بندی و در داشبورد اصلی نمایش داده شود.

بررسی تهدیدات هویتی در محیط های Hybrid Cloud

بهبود تجربه بررسی و جستجو

قابلیت جدید برای بررسی تهدیدهای احراز هویت، فراتر از ایجاد ارتباط بین نشانه‌ها و صفحه کاربری با طراحی جدید است، مخصوصا قابلیت‌های تحقیقاتی جدید و پیشرفته­ای را صرف‌نظر از انتخاب شما میان Azure AD Identity Protection و یا Microsoft Cloud App Security، به طور خاص برای مشتریان Azure ATP اضافه می‌کند.

این توانایی‌ها شامل موارد زیر می‌باشند:

  • توانایی انجام جستجو تهدیدات با محتوای بیشتر از منابع محلی و Cloud، با استفاده از قابلیت‌های فیلترینگ پیشرفته و اطلاعات هشدار غنی شده توسط تحلیلگران امنیتی.
  • قابلیت دید و مدیریت سطوح خطر کاربر Azure AD با توانایی تایید وضعیت کاربر در خطر افتاده، که سطح ریسک کاربر Azure AD را به «بالا» تغییر می‌دهد.
  • ایجاد Policyهای فعالیت برای تعیین اقدامات اداره و استفاده قابلیت‌های اتوماسیون تعبیه‌شده از طریق ادغام Native با Microsoft Flow برای اولیت‌بندی آسان‌تر هشدارها.
بررسی تهدیدات هویتی در محیط های Hybrid Cloud