اولین بدافزار اندروید با code injection

Dvmap New Andriod Malware

بر اساس گزارشی در روزنامه The Register شرکتKaspersky کشف کرده است که تروجان Dvmap - سابقاً در درون برخی از بازی‌های فروشگاه Google Play ماه‌ها پنهان بود و 50000 بار ماژول مخرب خود را نصب کرد- حال ماژول‌های مخرب خود را اندروید نصب و کد مخرب خود را در system runtime libraries تزریق می‌کند.
پس از دسترسی به Root و ارسال payload، این بدافزار پیچیده برای از بین بردن ردپای خود "Root را patch" می‌کند. Dvmap نیز بر روی نسخه 64-bit اندروید کار می‌کند و می‌تواند قابلیت امنیتی Verify Apps گوگل را غیرفعال کند. این بدافزار از روشی کاملاً نوآورانه برای مخفی کردن خود از گوگل استفاده می‌کند. 
سازندگان این تروجان سابقاً یک نسخه پاک را به بازار Google Play آپلود می‌کردند و در زمان‌های متفاوت آن را با اجزا بدافزار به‌روزرسانی می‌کردند و پس از مدتی کوتاه آن را مجدداً پاک می‌کردند. ماژول‌های آپلود شده به‌طور مستمر به سازندگان بدافزار گزارش ارسال می‌کردند و کارشناسان معتقد هستند که Dvmap هنوز در مراحل اول آزمایشی است. به نظر می‌رسد که هدف Dvmap فعال‌سازی نصب اپ ها با دسترسی به مجوزهای root از بازارهای شخص ثالث باشد. Dvmap نیز ممکن است تبلیغات و فایل‌های اجرایی دانلود شده را از سرورهای راه دور ارائه دهد. این بدافزار به نظر می‌رسد که هنوز کاملاً فعال نیست. 
به گفته The Register، معرفی قابلیت code injection پیشرفت جدید و خطرناکی در بدافزارهای موبایلی به شمار می‌رود، چون می‌توان از این روش برای اجرای ماژول‌های مخرب حتی بدون حذف root access استفاده کرد و هر نوع راه‌حل امنیتی و اپ بانکی باقابلیت root-detection که پس از آلودگی نصب گردد نمی‌تواند وجود بدافزار را شناسایی کند. Kaspersky Labs این تروجان را در آوریل شناسایی نمود و آن را به گوگل گزارش کرد. گوگل نیز آن را فوراً از Play Store حذف کرد، اما همه اپ های آلوده به Dvmap را اسم نبرد. 
بهترین روش برای مقابله با این بدافزار گرفتن backup از داده‌ها است و اگر گمان دارید آلوده‌شده‌اید تنها راه factory reset وسیله است. اگر در ماه‌های اخیر از گوگل پلی بازی دانلود کرده‌اید، بهتر است گوشی خود را محض احتیاط factory reset کنید.

روش‌های جلوگیر از نفوذ باج افزارها (.WannaCry, etc)

Prevent Ransomware

امروزه اثرات حملات سایبری در سراسر جهان آشکار است و تعداد زیادی از مردم در این مورد آگاه هستند. باج افزار جدیدی بانام WannaCryاخیراً در ۱۵۰ کشور با آلوده کردن سیستم‌ها و کامپیوترها بی‌نظمی و مشکلات زیادی را به وجود آورد. این بدافزار در عرض یک هفته به‌صورت اپیدمی توزیع گردید و به همه سطوح حرفه‌ای و شخصی حمله کرد.
در تاریخ ۱۲ فوریه ۲۰۱۷ (روز جمعه) باج افزار WannaCry با سرعت و مقیاسی غیرقابل‌تصور در سراسر جهان از طریق نقض موجود در سیستم‌عامل مایکروسافت ویندوز شروع به نفوذ کرد. کلاینت‌های ESET در ظرف چند روز ۶۶ هزار و ۵۶۶ حمله را گزارش کردند که منبع نیمی از این حملات روسیه بود. در این حملات فایل‌های قربانیان رمزنگاری شد، کامپیوترها به کنترل WannaCry درآمد و بدافزار از آن‌ها درخواست باج به مبلغ ۳۰۰ دلار کرد. باج افزار سپس هشدار داد که آن‌ها باید قبل از اینکه همه‌چیز از روی دستگاه آن‌ها پاک شود باج را پرداخت کنند. این مبلغ باید از طریق بیت کوین پرداخت می‌شد. 
امروز باج افزارها از چند طریق می‌توانند توضیح شوند. برای مثال از طریق حملات فیشینگ یا دانلود drive-by به سیستم قربانی، که در این وضعیت اگر شما به یک سایت مخرب سر بزنید یک آسیب‌پذیری در مرورگر نقض می‌شود. همچنین ممکن است که فردی با شما تماس بگیرد و بگوید که یک مشکلی را در سیستم شما شناسایی‌شده و می‌خواهد به شما کمک کنند. این افراد فقط کمک خواهد کرد که سیستم شما قفل شود.
حتی پس از پرداخت باج ممکن است کامپیوتر شما رمزگشایی نشود و یا کلید رمزگشایی را دریافت نکنید. در صورت دریافت "درخواست باج" سعی کنید که از طریق System Restore کامپیوتر را به وضع قبل از حمله برگرداندید. اگر این امر کارساز نبود می‌توانید کامپیوتر خود را restart کرده، آن را در حالت Safe Mode قرار داده و با نرم‌افزارهای امنیتی اینترنتی تهدید را حذف کنید.
روش مقابله با باج افزارها
برای مقابله با باج افزار از روش‌های زیر استفاده کنید.
• فایل‌های خود را به‌طور دوره‌ای Backup بگیرید. می‌توانید برای این کار از یک هارد خارجی، فلش، کارت حافظه میکرو، خدمات کلاود یا سی دی استفاده کنید.
• مایکروسافت برای آسیب‌پذیری‌های باج افزاری پچ ارائه داده است و می‌توانید با به‌روزرسانی سیستم‌عامل ویندوز از خود محافظت کنید.
• می‌توانید از یک‌راه حل امنیتی خوب برای سیستم خود در مقابل ویروس‌ها و حملات سایبری محافظت کنید، اما اطمینان حاصل کنید که این راه‌حل به‌روز است.
• در صورت مشاهده ایمیل‌های مشکوک آن‌ها را حذف کنید. برای مثال ایمیل‌های به‌ظاهر معتبر از بانک‌ها، ارائه‌دهنده خدمات اینترنتی، شرکت کارت‌بانکی و غیره.
• سعی کنید بر روی لینک‌هایی که شمارا به سایت‌های قلابی می‌برند و درخواست اطلاعات شخصی از شما می‌کنند دوری‌کنید.
• بر روی ضمیمه‌های ایمیل که نمی‌شناسید کلیک نکنید.
• بر روی پیام‌های متنی (SMS/Message) ناشناس دارای لینک درگوشی خود کلیک نکنید.
• اگر کسی به شما تلفنی تماس گرفت و ادعا نمود که از بانک یا ارائه‌دهنده خدمات اینترنتی و غیره است گوشی را قطع کنید.
• تولیدکنندگان باج افزار همچنین از pop-up های ویندوزی برای هشدار در مورد بدافزار در سیستم شما استفاده می‌کنند. بر روی این پنجره‌ها کلیک نکنید و آن را از طریق کیبورد ببندید

سرور wsus چیست ؟

WSUS مخفف Windows Server Update Services است !
 Wsusسروریست که اپدیت های شرکت مایکرو سافت را در بخش امنیت

یا نرم افزار های کاربردی و… به کاربران ارائه میدهد.
 راه اندازی این سرور به دلیل جلو گیری از اختصاص یافتن حجم زیادی از پهنای باند به دریافت این اطلاعات توسط هر کدام از کلاینت ها و همیچنین محیا کردن هدف اصلی اپدیت و بروز رسانی نرم افزارهاست .

راه اندازی wsus سرور:

update سیستم های کامپیوتری یکی از مهمترین ارکان امنیت سیستم ها و شبکه های کامپیوتری می باشد. شما حتی اگر بهترین فایروال ، زیبا ترین طراحی ، و قوی ترین مدیران شبکه رو در اختیار داشته باشید ولی از معقوله بروزرسانی نرم افزار ها قافل بشید قطعا شبکه امنی در اختیار ندارید.
 برای بروز رسانی نرم افزاری سیستم های هر سازنده نرم افزار تدابیر مشخصی داره مثلا شرکت مایکروسافت با ارائه service pack ، patches ، و hot fix ها اقدام به بروز رسانی های امنیتی و اشکالات موجود در سیستم ها می کند.
 برای دریافت فایل های بروز رسانی باید به اینترنت متصل شد و با تنظیمات سیستم بسته های بروز رسانی رو دریافت و در سیستم خود نصب کنید یا این فرایند رو به صورت اتوماتیک به خود سیستم واگذار کنید.

در یک شبکه بزرگ یا متوسط با تعداد زیادی host و workstation این راه کار معقولانه به نظر نمی رسد چون در صورتی که هر سیستم به صورت مجزا اقدام به دریافت ترافیک بروز رسانی کند ، حجم زیادی از پهنای باند پرارزش اینترنت به دریافت بسته های تکراری اختصاص داده می شود.
 برای این منظور می توان یک سرور رو جهت دریافت بسته های بروزرسانی اختصاص داد و بعد توسط این سرور که به صورت محلی در شبکه ما در دسترس است اقدام به پخش بروز رسانی ها روی workstation ها و host های موجود در شبکه نمود.
راه کار شرکت مایکروسافت استفاده از نرم افزار سرویس دهنده WSUSS است که از این آدرس قابل دریافت است:

بعد از نصب این نرم افزار باید توسط این نرم فزار فایل های بروز رسانی رو از اینترنت دریافت کنید.
 بعد از مرحله همزمان سازی نوبت به داخل کردن کامپیوتر های کلاینت به این سرور می باشد ،برای این منظور اگر در شبکه domain دارید با استفاده از GPO منبع بروز رسانی ( update source ) رو برابر آدرس سرور WSUS قرار می دهید و اگر به صورت workgroup از شبکه استفاده می کنید باید از تنظیمات رجیستری زیر استفاده کنید:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\WindowsUpdate]
“ElevateNonAdmins”=dword:00000001
“WUServer”=”<NAME OF YOUR SERVER>:<PORT>”
“WUStatusServer”=”<NAME OF YOUR SERVER>:<PORT>”
““TargetGroupEnabled”=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\WindowsUpdate\AU]
“IncludeRecommendedUpdates”=dword:00000001
“AutoInstallMinorUpdates”=dword:00000001
“DetectionFrequencyEnabled”=dword:00000001
“DetectionFrequency”=dword:00000001
“NoAutoRebootWithLoggedOnUsers”=dword:00000001
“NoAutoUpdate”=dword:00000000
“AUOptions”=dword:00000003
“ScheduledInstallDay”=dword:00000000
“ScheduledInstallTime”=dword:00000003
““UseWUServer”=dword:00000001

بعد از تنضیمات رجیستری فرامین زیر رو در cmd اجرا کنید:
net stop wuauserv && net start wuauserv
 wuauclt /resetauthorization /detectnow

دانستنی های یک ادمین؛ با ابزار Snort آشنا شوید

Snort یک نرم‌افزار تشخیص نفوذ به‌صورت کدباز است که بر روی محیط‌های Linux وWindows عرضه می‌گردد و با توجه به رایگان بودن آن، به یکی از متداول‌ترین سیستم‌های تشخیص نفوذ شبکه‌های رایانه‌یی مبدل شده است. از آن‌جاکه برای معرفی آن نیاز به معرفی کوتاه این دسته از ابزارها داریم، ابتدا به مفاهیمی اولیه درباره‌ی ابزارهای تشخیص نفوذ می‌پردازیم، به عبارت دیگر معرفی این نرم‌افزار بهانه‌یی است برای ذکر مقدمه‌یی در باب سیستم‌های تشخیص نفوذ.

Intrusion Detection System (IDS) یا سیستم تشخیص نفوذ به سخت‌افزار، نرم‌افزار یا تلفیقی از هر دو اطلاق  می‌گردد که در یک سیستم رایانه‌یی که می‌تواند یک شبکه‌ی محلی یا گسترده باشد، وظیفه‌ی شناسایی تلاش‌هایی که برای حمله به شبکه صورت‌ می‌گیرد و ایجاد اخطار احتمالی متعاقب حملات، را بر عهده دارد.

IDSها عملاً سه وظیفه‌ی کلی را برعهده دارند : پایش، تشخیص، واکنش. هرچند که واکنش در مورد IDSها عموماً به ایجاد اخطار، در قالب‌های مختلف، محدود می‌گردد. هرچند دسته‌یی مشابه از ابزارهای امنیتی به نام Intrusion Prevention System (IPS) وجود دارند که پس از پایش و تشخیص، بسته‌های حمله‌های احتمالی را حذف می‌کنند.نکته‌یی که در این میان باید متذکر شد، تفاوت و تقابل میان Firewallها و IDSها است. از آن‌جاکه ماهیت عمل‌کرد این دو ابزار با یکدیگر به کلی متفاوت است، هیچ‌یک از این دو ابزار وظیفه‌ی دیگری را به طور کامل برعهده نمی‌گیرد، لذا  تلفیقی از استفاده از هردو ابزار می‌تواند امنیت کلی سیستم را بالا ببرد.

    در حالت کلی IDSها را می‌توان به دو دسته‌ی کلی تقسیم‌بندی نمود :

•  Network IDS (NIDS)
• Host IDS (HIDS)

HIDSها، اولین سیستم IDSی هستند که در یک سیستم رایانه‌ای باید پیاده‌سازی شود. معیار تشخیص حملات در این  سیستم‌ها، اطلاعات جمع‌آوری شده بر روی خادم‌های مختلف شبکه است. برای مثال این سیستم با تحلیل صورت عملیات انجام شده، ذخیره شده در پرونده‌هایی خاص، سعی در تشخیص تلاش‌هایی که برای نفوذ به خادم مذکورد انجام شده است دارد. این تحلیل‌ها می‌تواند به صورت محلی بر روی خود خادم انجام گردد یا به سیستم تحلیل‌گر دیگری برای بررسی ارسال شود. یک HIDS می‌تواند تحلیل اطلاعات بیش از یک خادم را بر عهده بگیرد.

 با این وجود، اگر نفوذ‌گر جمع‌آوری صورت عملیات انجام‌شده بر روی هریک از خادم‌های مورد نظر را به نحوی متوقف کند،HIDS در تشخیص نفوذ ناموفق خواهد بود و این بزرگ‌ترین ضعف HIDS است.

 NIDSها، به عنوان دومین نوع IDSها، در بسیاری از موارد عملاً یک Sniffer هستند که با بررسی بسته‌ها و پروتکل‌های ارتباطات فعال، به جستجوی تلاش‌هایی که برای حمله صورت می‌گیرد می‌پردازند. به عبارت دیگر معیار NIDSها، تنها بسته‌هایی است که بر روی شبکه‌ها رد و بدل می‌گردد. از آن‌جایی‌که NIDSها تشخیص را به یک سیستم منفرد محدود نمی‌کنند، عملاً گسترده‌گی بیش‌تری داشته و فرایند تشخیص را به صورت توزیع‌شده انجام می‌دهند. با این وجود این سیستم‌ها در رویایی با بسته‌های رمزشده و یا شبکه‌هایی با سرعت و ترافیک بالا کارایی خود را از دست می‌دهند.

 با معرفی انجام شده در مورد دو نوع اصلی IDSها و ضعف‌های عنوان شده برای هریک، واضح است که برای رسیدن به یک سیستم تشخیص نفوذ کامل، به‌ترین راه استفاده‌ی همزمان از هر دو نوع این ابزارهاست.

     Snort، در کامل‌ترین حالت نمونه‌یی از یک NIDS است. این نرم‌افزار در سه حالت قابل برنامه‌ریزی می‌باشد :

• حالت Sniffer

    در این حالت، این نرم‌افزار تنها یک Sniffer ساده است و محتوای بسته‌های ردوبدل  شده بر روی شبکه را بر روی کنسول نمایش می‌دهد.

• حالت ثبت‌کننده‌ی بسته‌ها

Snortدر این وضعیت، اطلاعات بسته‌های شبکه را در پرونده‌یی که مشخص می‌شود ذخیره می‌کند.

•  سیستم تشخیص نفوذ

    در این پیکربندی، بر اساس دو قابلیت پیشین و با استفاده از قابلیت تحلیل بسته‌ها و قوانینی که تعیین می‌گردد، Snort امکان پایش و تحلیل بسته و تشخیص نفوذ را یافته و  در صورت نیاز واکنش تعیین شده را به‌روز می‌دهد.

حالت پیش‌فرض خروجی این ابزار فایلی متنی است که می‌تواند در آن ابتدای بسته‌ها را نیز درج کند. با این وجود در صورتی‌که این ابزار در حال فعالیت بر روی ارتباطات شبکه‌یی با سرعت بالا می‌باشد به‌ترین راه استفاده از خروجی خام باینری و استفاده از ابزاری ثانویه برای تحلیل و تبدیل اطلاعات خروجی است.

 بُعد دیگر از پیکربندی Snort به عنوان یک سیستم تشخیص نفوذ، استفاده از قوانین برای ایجاد معیار نفوذ برایSnortاست. برای مثال می‌توان با قانونی، Snort را مکلف ساخت که نسبت به دسترسی‌های انجام شده مبتنی بر پروتکلی تعیین شده از/به یک پورت خاص و از/به یک مقصد معین با محتوایی شامل رشته‌یی خاص، اخطاری یا واکنشی ویژه را  اعمال کند.

نکته‌یی که باید در نظر داشت این‌ است که از آن‌جاکه Snort را می‌توان به گونه‌یی پیکربندی نمود که قابلیت تشخیص حمله توسط ابزارهای پویش پورت را نیز داشته باشد، لذا با وجود استفاده از Snort نیازی به استفاده از ابزاری ثانویه برای  تشخیص پویش‌گرهای پورت وجود ندارد.

همان‌گونه که گفته شد، Snort با قابلیت‌های نسبتاً کاملی که در خود جای داده‌است، به همراه رایگان بودن آن و قابلیت نصب بر روی محیط‌ها و سیستم‌های عامل متدوال، به یکی از معمول‌ترین IDSهای کنونی مبدل شده است. برای دریافتاین نرم‌افزار و همچنین اطلاعات جامعی در مورد آن می‌توانید به پای‌گاه اصلی آن، www.snort.org، مراجعه کنید.

حمله بدافزار Judy به 5/36 میلیون کاربر اندروید

Judy Android Malware

بر اساس گزارش شرکت Check Point، بدافزار Judy احتمالاً از بزرگ‌ترین نرم‌افزارهای مخرب کشف‌شده در Google Play می‌باشد. گمان می‌رود که حدود 36.5 میلیون کاربران اندروید ممکن است آلوده این بدافزار مخرب شده باشند. باج افزار Judy آگهی‌های جعلی قابل کلیک تولید می‌کند و از این راه جیب توسعه‌دهندگان را پرکرده است.
بر اساس این گزارش ، 41 برنامه توسعه‌یافته آلوده توسط شرکت کره‌ای Kiniwini و منتشرشده تحت نام شرکت ENISTUDIO دستگاه‌ها را آلوده کرده و اقدام به تولید مقادیر زیادی کلیک جعلی در تبلیغات کرده که باعث ایجاد درآمد برای عاملان آن شده است. Judy نام شخصیت در بازی‌های کارتونی Kiniwini (آشپز جودی- Chef Judy ، حیوانات جودی - Animal Judy و مد جودی- Fashion Judy) می‌باشد.
پس از دریافت هشدار و بررسی آن‌ها، گوگل "به‌سرعت" برنامه‌ها را از Google Play حذف نمود اما این برنامه‌ها 4.5 و18.5 میلیون بار دانلود شدند. برخی از اپ ها برای چند سال در فروشگاه موجود بودند و همه اخیراً به‌روزرسانی شدند. مشخص نیست که کدهای مخرب چه مدت در اپ ها وجود داشتند و ازاین‌رو از گسترش نرم‌افزارهای مخرب آگاهی وجود ندارد. اما بررسی‌ها تخمین دانلود رابین 8.5 و 36.5 میلیون کاربر می‌زنند.
روش آلوده سازی
هکرها یک برنامه بی‌ضرر ایجاد می‌کنند که می‌تواند از لایه امنیتی گوگل (Google's Bouncer security screening) عبور کند و در فروشگاه نرم‌افزار قرار گیرد. هنگامی‌که یک کاربر برنامه مخرب را دریافت می‌کند، آن پنهانی کاربر را ثبت، با سرور C&C خود ارتباط گرفته و اطلاعات را ارسال می‌کند. این سرور سپس payload مخرب که شامل کدهای جاوا اسکریپت، user-agent string و URL کنترل نویسنده بدافزار را ارسال می‌کند. 
این بدافزار URL ها را با استفاده ازuser agent یک مرورگر کامپیوتر قلابی را در یک صفحه وب پنهان می‌کند و دستور برای هدایت به یک وب‌سایت دیگر را دریافت می‌کند. هنگامی‌که وب‌سایت مورد هدف باز شود، این بدافزار با استفاده از کدهای جاوا اسکریپت، آگهی‌ها در زیرساخت‌های تبلیغات گوگل را پیدا می‌کند و روی آن‌ها کلیک می‌کند.
Judy تشابه به دو بدافزار قبلی بانام‌های FalseGuide و Skinner دارد و مانند یکی دیگر از گونه‌های dresscode پشت بررسی‌ها (Reviews) خوب پنهان می‌شود. هکرها می‌توانند هدف اصلی برنامه‌های خود را پنهان کنند و یا حتی رتبه‌های مثبت، بدون اطلاع کاربر، را دستکاری کنند. کاربران نمی‌توانند به فروشگاه‌های معتبر برای ایمنی اطمینان داشته باشند و باید از امنیت و حفاظت پیشرفته استفاده کنند که بتواند حملات zero-day موبایلی را تشخیص داده و مسدود کند.
Kiniwini برنامه برای iOS و اندروید می‌سازد و به برنامه‌های iOS اشاره نکرد. از بعدازظهر یکشنبه (7/3/96)، 45 برنامه جودی شرکت ENISTUDIO در فروشگاه App Store در دسترس می‌باشند که اکثر آن‌ها آخرین به‌روزرسانی را در 31 مارس 2017 داشته‌اند.

هشدار کارشناسان: حمله سایبری بعدی درهر لحظه

Cyber Attacks

به گفته MalwareTech در انگلستان، قهرمان فضای سایبری که با کشف کردن یک سایت ثبت‌نشده در داخل باج افزار WannaCry و ثبت آن توانست به‌طور اتفاقی از ادامه حمله یک نسخه از این باج افزار جلوگیری کند، یک حمله سایبری عمده و بزرگ، پس از حمله باج افزاری اخیر WannaCry که به ۱۲۵ هزار سیستم کامپیوتری و ۱۰۰ کشور جهان شامل اسپانیا فرانسه و روسیه نفوذ کرد، درراه است. 
این ویروس ۴۸ قربانی و در اسکاتلند ۱۳ قربانی در بخش "خدمات درمان و سلامت انگلستان" گرفت. پس از نفوذ و به کنترل درآوردن کامپیوترها و رمزنگاری آنان، این باج افزار درخواست ۳۰۰ دلار به‌صورت بیت کوین (Bitcoin) می‌کند تا فایل‌ها را رمزگشایی نموده و بازگرداند. 
در زمان حمله برخی از بیمارستان‌ها مجبور به کنسل کردن وقت دکتر و عمل‌ها شدند و آمبولانس‌ها نیز به بیمارستان‌هایی هدایت شدند که در آن ویروس وجود نداشت. به نقل از وزیر داخلی کشور انگلستان پس از وقوع حمله تمامی خدمات مجدد به حالت معمول درآمده‌اند و بااین‌حال می‌توان فعالیت بیشتری را برای محافظت از بدافزارهای کامپیوتری داشت.
MalwareTech، نوجوان ۲۲ ساله، در مصاحبه با خبرگزاری بی‌بی‌سی گفت که خیلی مهم است که مردم سیستم‌های خود را به‌روزرسانی و پچ کنند. این دفعه ما جلوی این حمله را گرفتیم اما حملات دیگری درراه است و باج افزارها روش خوبی برای دریافت پول توسط هکرها هستند. دلیلی ندارد که آن‌ها (مجرمین سایبری) حملات خود را قطع کنند. آن‌ها مهارت کافی دارند که کد را به‌سادگی عوض کرده و از نو حمله کنند. می‌توان با اطمینان گفت که به دلیل پوشش خبری زیاد این حمله افراد زیادی هستند که در حال کار کردن و سو استفاده از این نقض می‌باشند تا حملات دیگری را انتشار دهند. 
در انگلستان منتقدان می‌گویند که دولت آن کشور مدت‌ها در مورد تهدیدات سایبری جدی خبر داشته و سعی بر به‌روزرسانی درست زیرساخت‌ها نکرده است. در حال حاضر یک پچ امنیتی از طرف مایکروسافت برای این باج افزار انتشاریافته است، اما صدها هزار کامپیوتر در کشور انگلستان هنوز دارای سیستم‌های قدیمی و بدون پشتیبانی شرکت مایکروسافت هستند. NHS می‌گوید که ۴.۷ درصد از دستگاه‌ها داخل این سازمان از ویندوز xp استفاده می‌کنند اما این رقم در حال کاهش است. سیاستمداران کشور انگلیس درخواست بررسی این حمله سایبری را کرده‌اند.
Europol این حمله سایبری را بزرگ‌ترین از نوع خود می‌داند و در حال همکاری با کشورهای مختلف است که از این تهدید جلوگیری و به قربانیان کمک کند.
به نقل از برخی منابع، این باج افزار نیز به ایران نفوذ کرد و حدود ۲۰۰ قربانی داشت که از این تعداد ۱۳۰ قربانی باج، مبلغی معادل ۱۳ میلیون تومان، را پرداخت کردند اما هنوز کلید رمزگشایی برای قربانیان ارسال نشده است.

امنیت سایبری کسب و کار به کدام سو می‌رود و EDR چه نقشی در آن دارد

کسب‌وکارها دیگر نمی‌توانند به روش‌های سنتی برای امنیت اطلاعات بسنده کنند و باید طرح امنیتی منسجمی داشته باشند.

فناوری، دزدیدن خودروها را دشوارتر کرده است. سامانه‌های هشداردهنده به سیستم‌های کامپیوتری فوق هوشمند متصل هستند که می‌توانند خودرو را خاموش کنند، اطلاعات رهیاب GPS را برای مسئولین بفرستند و به‌طور پیوسته مشکلات را از طریق تلفن‌ هوشمند به صاحبانشان اطلاع دهند. اما درحالی‌که کامپیوترها کارهای فراوانی برای ایمن‌سازی خودروها و دیگر اشیاء باارزش کرده‌اند، به نظر می‌رسد خود این کامپیوترها و شبکه‌ها بیش از پیش در معرض خطر هستند.

این مشکل در ظاهر خود تا حدی ذاتی به نظر می‌آید: کامپیوترها از همه چیز محافظت می‌کنند اما چه کسی از آن‌ها محافظت می‌کند؟ در حقیقت فراوانی فوق‌العاده‌ی ابزارهای کامپیوتری‌ شده که همگی به شبکه‌های اطراف ما متصل شده‌اند، باعث شده است کار شرکت‌های امنیت اطلاعات در حمایت از کسب‌وکارها در مقابل تهدید‌های فراوانی که امروزه وجود دارند، بسیار دشوار شود. یک نظرسنجی جدید نشان داد که ۴۰ درصد شرکت‌ها در انگلستان هیچ طرح امنیت سایبری ندارند.

ریچارد براون، مدیر کانال‌ها و اتحادیه‌های اروپا و خاورمیانه در آربُر نِتوُرکز، می‌گوید: «این حقیقت که بیش از یک‌سوم کسب‌وکارهای بریتانیا فاقد  استراتژی رسمی در مقابل حملات سایبری هستند، شوکه کننده است. روش‌های حملات به‌صورت روزانه متحول می‌شوند و دیگر قابل‌ قبول نیست که شرکت‌ها همچنان از استراتژی‌های امنیت سایبری کنونی خود راضی باشند.»

آنتی‌ویروس نمی‌تواند محافظت کند

به امنیت سایبری عموما به‌صورت یک موضوع فرضی نگریسته می‌شود. بسیاری از کسب‌وکارها از ابزارهای قدیمی امنیتی چون آنتی‌ویروس‌ و فایروال برای حفاظت از خود استفاده می‌کنند. اما این ابزارها واکنشی هستند؛ بدین معنا که ابتدا باید مورد حمله قرار بگیرند، سپس آن را تشخیص دهند و از کامپیوترهای دیگر در مقابل این حمله محافظت کنند.

برایان بِیِر، مؤسس و مدیرعامل شرکت امنیتی Red Canary، موضوع را این‌گونه بیان می‌کند: «هرروزه حجم زیادی بدافزار تولید می‌شود که حمایت مناسب آنتی ویروس از کسب‌وکارها را ناممکن می‌کند. تنها در سال گذشته موسسه‌ی AV-TEST نزدیک به ۶۰۰ میلیون برنامه‌ی مخرب را شناسایی کرد که معادل بیش از ۵۰۰ هزار برنامه‌ی جدید در هر روز می‌شود. وقتی متوجه شوید این برنامه‌ها زمانی شناسایی شدند که باعث ایجاد مشکل شدند، مشاهده می‌کنید که شرکت شما با چه احتمال بالایی از آلوده شدن روبرو است.»

صنعت امنیت سایبری می‌داند که راه‌حل‌های مقابله با ویروس‌ها و هکرها نمی‌تواند واکنشی باشد. واکنشی بودن به عاملان حمله اجازه می‌دهد زمان زیادی برای تخریب کردن بدون گرفتار شدن داشته باشند. اما چگونه شرکت‌های امنیت اطلاعات می‌توانند در شرایطی پیشگیرانه عمل کنند که دشمن می‌تواند در هر لحظه‌ی دلخواه یکی از میلیاردها حرکت ممکن را انجام دهد؟

یک راه‌حل پیشرو، تشخیص و پاسخ نقطه پایانی یا به‌اختصار EDR نامیده می‌شود. به دلیل فراوانی دستگاه‌های متصل که امروزه در گردش هستند (لپ‌تاپ‌ها، سرورها) بیش از هر زمان دیگری امنیت شرکت‌ها در معرض آسیب است. وقتی کارمندی دستگاهی را به یک شبکه‌ی وای‌فای عمومی وصل می‌کند، درهای سازمان را به روی تهدیدهایی می‌گشاید که نیازی به عبور از سدهای امنیتی سنتی ندارند.

یک تحلیل‌گر ارشد مؤسسه‌ی تحقیقاتی گارتنر می‌گوید: «تغییر به‌سوی رویکردهای تشخیص و پاسخ‌دهی شامل افراد، فرآیندها و اجزای فناوری می‌شود و در پنج سال آینده باعث رشد بخش عمده‌ای از بازار امنیت خواهد شد. این بدین معنا نیست که جلوگیری کردن از حمله بی‌اهمیت است یا افسران ارشد امنیت اطلاعات (CISOs) از جلوگیری از حملات امنیتی دست برداشته‌اند. بلکه پیام روشنی دارد؛ مبنی بر اینکه جلوگیری بیهوده است، مگر اینکه به قابلیت تشخیص و پاسخ‌دهی گره خورده باشد.»

تشخیص و پاسخ‌ مدیریت‌شده

چگونه صنعت امنیت سایبری EDR را اجرا می‌کند؟  این کار نیاز بالایی به تخصص انسانی دارد. بسیاری از کسب‌و‌کارهایی که دارای دپارتمان IT‌ هستند، امنیت اطلاعات خودشان را دارند و به‌صورت داخلی نسخه‌ای از EDR را اجرا می‌کنند. اما انجام آن نیازمند سطحی از تجربه و تخصص است که بسیاری از شرکت‌ها ندارند یا قادر به تأمین آن نیستند.

یک برآورد صورت گرفته تخمین می‌زند که در سال ۲۰۲۰ با کمبود یک و نیم میلیون متخصص امنیت اطلاعات روبرو می‌شویم. این یعنی بسیاری از کسب‌وکارها پرسنل ویژه‌ای برای بخش EDR نخواهند داشت؛ به همین دلیل شرکت‌های امنیت اطلاعات EDR پیشنهاد می‌کنند.

بِیِر می‌گوید: «EDR با تمام فراز و نشیب‌هایش مؤثرتر از آنچه پیش از آن بوده است عمل می‌کند؛ اما به حدی کمبود متخصص در این بخش وجود دارد که حتی بسیاری شرکت‌های بزرگ نمی‌توانند با تیم موجود خود به‌طور مؤثر EDR را اجرایی کنند.»

در سال ۲۰۲۰ با کمبود یک‌ و‌ نیم میلیون متخصص امنیت اطلاعات روبه‌رو خواهیم شد. به همین دلیل  چنین تقاضای بالایی برای تشخیص و پاسخ‌ نقطه پایانی (EDR) مدیریت‌شده وجود دارد. کمبود متخصصان امنیت اطلاعات به این معنا است که کمپانی‌های بیشتری کار EDR خود را به شرکت‌های با تخصص امنیتی بالاتر برون‌سپاری می‌کنند.

صنعت EDR چقدر وسعت دارد؟

گارتنر دریافت که شرکت‌های EDR در سال ۲۰۱۶ در این زمینه ۵۰۰ میلیون دلار درآمد داشته‌اند و این درآمد به‌طور سالانه افزایشی بیش از ۱۰۰٪ داشته است. با چنین نرخ رشدی، صنعت EDR می‌تواند یک صنعت میلیارد دلاری باشد.

اما خوب است که  لحظه‌ای درنگ کنیم و ببینیم چه راهی را تا اینجا آمده‌ایم. امروزه امنیت سایبری مستلزم این است که هر رویداد کوچکی را که روی یکی از میلیون‌ها دستگاه متصل به یکدیگر روی‌ می‌دهد، رصد کنیم. این کار را ارتشی از  افراد حرفه‌ای‌ وماهر و کامپیوترهای مجهز به فناوری پیشرفته‌‌ی تشخیص حمله انجام می‌دهند که بودجه‌ی امنیت اطلاعات به آن‌ها تخصیص یافته است. آگاه شدن از همه‌ی این‌ دستگاه‌های متصل و آسیب‌پذیر کافی‌ است تا دلمان برای اینترنت دایل آپ تنگ شود.

امنیت و محرمانگی اسباب بازی های IoT

IoT

نقض های به محرمانگی و ایجاد مشکل در امور امنیت سایبری امری روزمره شده اند. در همان حال برخی از این موارد عجیب و غریب و باور نکردنی به نظر میرسند. در 2016 شرکت ESET تصویر 1 را برای اینترنت اشیآ (IoT) به وجود آورد. در تصویر 1 میتوان انواع وسایل، مانند خودرو، وسایل منزل و اسباب بازی، را دید که احتمالا میتوانند به اینترنت وصل شوند. در تصویر 2 یک اسباب بازی خرسی واقعی دیده میشود. این اسباب بازی در آمریکا به فروش میرود و قادر به اتصال به اینترنت است و آنرا CloudPet مینامند. آن توسط شرکت Spiral Toys تولید میشود و میتواند پیام های صوتی را از طریق اینترنت ضبط، ارسال و دریافت کند.

تصویر 1: تصویر شرکت ESET در 2016 برای اینترنت اشیآ (IoT)

تصویر 2: اسباب بازی خرسی CloudPet شرکت Spiral Toys

این وسیله اخیرآ به دلیل موارد هک و امنیت سایبری در اخبار سرو صدا کرده است. در مرحله اول صدها هزار سابقه مشتریان در وب نگهداری میشد و از طریق این اسباب بازی امکان داشت در دسترس هر کسی قرار بگیرد. دوم اینکه دو میلیون پیام های ضبط شده بین والدین و کودکان، که بیشتر آنها پیام های خیلی شخصی بودند، در دسترس علاقه مندان با توانایی فنی پایین بودند. تحقیقات ، Troy Hunt محقق امنیتی ، نشان میدهد که داده های CloudPet بارها و بارها در دسترس طرفین غیر مجاز قرار گرفت تا زمانی که حذف شد. این داده ها چندین بار برای باج گیری از کابران استفاده شد. 
مطالاعات ESET/NCSA نشان میدهد که بیش از 40% از مردم آمریکا اعتماد ندارند که وسایل IoT امن هستند و بیش از نیمی از مردم گفتند که به دلایل امنیت سایبری از خرید وسایل IoT خودداری کرده اند. 36% از شرکت کنندگان در مورد محرمانگی و امنیت کودکان در زمان استفاده از اسباب بازی های هوشمند نگران بودند. در سال گذشته ما شاهد امنیت ضعیف و هک شدن اسباب بازی های متصل بودیم (شرکت VTech) و موارد فراوانی در مورد ریسک ها و خطرات پوشیدنی ها و خودروهای متصل گفته و نوشته شده است. 
در تمامی این موارد یک واقعیت وجود دارد: "تعداد زیادی از سازندگان تکنولوژی در مورد خطرات و تهدیدها به فناوری تصمیمات ضعیف اتخاذ میکنند.". این تصمیمات باعث به وجود آمدن مشکلات برای مصرف کننده و اکوسیستم های دیجیتالی میشود. حملات گسترده و سنگین DDoS در سال گذشته باعث از دست رفتن درآمد و هزینه های غیر پیش بینی شده برای صدها شرکت شد که دلیل آن وجود وسایل IoT فارغ امنیت بود. چنین حملاتی ممکن است در صنعت پزشکی و بهداشت رخ دهد و اثر آن در دنیای پزشکی متصل امروز میتواند به مرگ افراد منجر گردد. 
درنهایت به دلیل مشکلات طراحی و تحلیل‌های ضعیف امنیتی، یک هکر می‌تواند وسایل و اشیا اینترنتی را به دستگاه‌های جاسوسی تبدیل کند. این امر برای عموم خطر دارد و اعتماد مردم را نسبت به دنیای فناوری دیجیتال کاهش می‌دهد که ممکن است عواقب جدی در آینده داشته باشد.

چگونه می‌توانیم مانع بروز تهدیدات داخلی شویم؟

هنگامی که کارمندان یک شرکت به‌صورت داوطلبانه یا اجباری، شرکتی که در آن کار می‌کردند را ترک می‌کنند، در هر دو حالت یک سری اطلاعات حساس و محرمانه را با خود خواهند برد. همین موضوع باعث به وجود آمدن مخاطراتی برای کارفرمایان خواهد شد. بر همین اساس، مؤسسه Osterman Research طی پژوهشی پیامدهای بروز چنین مشکلاتی را مورد بررسی قرار داده و راه‌ حل‌هایی را برای به حداقل رساندن این مشکلات پیشنهاد کرده است. این راهکارها به کارفرمایان اجازه می‌دهد از اطلاعات و داده‌های محرمانه خود در برابر تهدیدات احتمالی که در آینده ممکن است شرکت تحت سرپرستی آن‌ها را در معرض تهدید قرار دهد، محافظت به عمل آورند.

کارکنانی که در یک شرکت یا سازمان مشغول به کار هستند، در یک روز کاری با انواع مختلفی از داده‌های حساس و محرمانه سر و کار دارند. گاهی ممکن است این کارکنان در زمان ترک محل کار یک سری اطلاعات بعضاً محرمانه را به خارج از سازمان منتقل کنند.

انتقال داده‌های حساس به خارج از سازمان، کارفرمایان را در معرض تهدید بزرگی قرار می‌دهد که نقص داده‌ای اصلی‌ترین مشکلی است که این افراد با آن روبه‌رو هستند. انتقال داده‌ها به خارج از سازمان و افشا یا به سرقت رفتن این اطلاعات به‌واسطه عدم رعایت اقدامات احتیاطی، سازمان‌ها و کارفرمایان را در معرض چالش‌های جدی قرار می‌دهد. در ساده‌ترین شکل، اعتبار سازمان ممکن است به زیر سؤال برود و در موارد جدی‌تر مشکلات حقوقی یا حتی ورشکستی را برای سازمان‌ها به همراه می‌آورد. آمارها نشان می‌دهد، اکثر کارفرمایان برای مقابله با حوادثی همچون به سرقت رفتن داده‌های سازمانی و پیاده‌سازی خط‌ مشی‌هایی که باعث کم کردن مخاطرات امنیتی شود، نه تنها آمادگی کافی را ندارند، بلکه هیچ‌گونه چاره‌اندیشی نکرده‌اند. با وجود این، کارفرمایان این شانس را دارند تا با اتخاذ تصمیمات مهم از سازمان خود در برابر این تهدیدات محافظت کنند. هرچند این افراد هیچ‌گاه نمی‌توانند مخاطرات امنیتی را به‌طور کامل از میان ببرند، اما با رعایت نکاتی مهم قادر هستند آن‌ها را به حداقل برسانند و مانع از آن شوند تا اطلاعات حساسی که در اختیار کارمندان قرار دارد، به‌سادگی به خارج از سازمان منتقل شود. پژوهشی که از سوی مؤسسه Osterman Research و با حمایت مالی Archive360  انجام شده است، به ما راهکارهایی را نشان می‌دهد تا بتوانیم این تهدیدات احتمالی را کم‌اثر یا در بعضی موارد بی‌اثر کنیم.

رمزنگاری 

سازمان‌هایی که رمزنگاری را به‌طور کامل پیاده‌سازی نکرده‌اند یا به‌صورت محدود از رمزنگاری استفاده می‌کنند، باید از این موضوع اطلاع داشته باشند که هکرها در نخستین گام به سراغ این سازمان‌ها و بخش‌هایی می‌آیند که داده‌های آن‌ها به‌آسانی در دسترس است. اطلاعات حساس و محرمانه و دستگاه‌هایی که برای پردازش این اطلاعات مورد استفاده قرار می‌گیرند، از جمله بخش‌هایی هستند که به حفاظت نیاز دارند. تصمیم‌گیران ارشد سازمانی در وهله نخست باید به شناسایی ارتباطات مهم بپردازند و محتوا و اسنادی که در ارتباط با تعامل سازمان با شرکای تجاری است را مورد بررسی قرار دهند و اگر تاکنون اطلاعات خود را به لحاظ درجه محرمانگی طبقه‌بندی نکرده‌اند، در اسرع وقت این ‌کار را انجام دهند و برای هر کارمندی سطح دسترسی مشخص تعیین کنند. به‌طور مثال، فایل‌هایی که در برگیرنده اطلاعات حساسی همچون پیش‌بینی‌های مالی، پیش‌نویس‌های استراتژی سازمانی، مناقصه‌ها، اطلاعات تجاری، پرونده کارمندان، اطلاعات شرکا یا مشتریان مالی سازمان‌ها هستند، جزء اطلاعات محرمانه قلمداد می‌شوند.

اطلاعاتی از این دست در صورت افشا شدن شرکت‌ها را در معرض تهدید بزرگی قرار می‌دهند. ساده‌ترین راهکاری که برای حافظت از این اطلاعات در اختیار سازمان‌ها قرار دارد، این است که در ابتدا سطح دسترسی به این اطلاعات را محدود سازند و در ادامه از الگوریتم‌های رمزنگار قوی برای محافظت از داده‌ها استفاده کنند. رمزنگاری فرآیندی است که مانع از آن می‌شود تا افراد غیرمجاز به داده‌های ما در سرویس‌های پست الکترونیک، برنامه‌های پیام‌رسان همچون واتس‌آپ و جزییات بانکی دست پیدا کنند. رمزنگاری با ایجاد یک مکانیسم ارتباطی ایمن به کاربران اجازه می‌دهد اطلاعات خود را به شیوه ایمنی مبادله کنند. به این ترتیب، دو طرف ارتباط قادر هستند فارغ از هرگونه نگرانی از بابت استراق سمع اطلاعات از سوی فرد سومی، اطلاعات خود را خواه کوتاه یا بلند برای یکدیگر ارسال کنند. زمانی که داده‌ها رمزنگاری شدند، تنها فرستنده و گیرنده با استفاده از کلیدی که در اختیار دارند، قادر به رمزگشایی اطلاعات هستند. این کلید به‌منظور تبدیل داده‌های غیر قابل فهم به داده‌های قابل فهم انسانی مورد استفاده قرار می‌گیرد.

مدیریت دستگاه‌های همراه 

با توجه به افزایش ضریب نفوذ تلفن همراه در میان آحاد جامعه و شکل‌گیری مفهومی به‌نام حمل دستگاه‌های شخصی به محل کار و تحصیل (BYOD سرنام Bring Your Own Device)، شرکت‌های بزرگ به‌دنبال راهکاری بودند تا بتوانند فرآیند جداسازی اطلاعات سازمانی و نظارت بر عملکرد کارکنان خود را به‌شکل دقیق به مرحله اجرا درآورند. بر همین اساس، شرکت‌های فعال در حوزه امنیت روی فناوری ویژه‌ای موسوم به سامانه مدیریت دستگاه‌های همراه (MDM سرنام Mobile Device Management) سرمایه‌گذاری کلانی کردند. فناوری مدیریت دستگاه‌های همراه این پتانسیل را در اختیار شرکت‌ها قرار می‌دهد تا بدون آنکه محدودیتی در قبال ورود دستگاه‌های همراه به درون شرکت را به مرحله اجرا درآورند، از مزایای بالقوه این دستگاه‌ها نهایت استفاده را ببرند.

این فناوری به شرکت‌ها اجازه می‌دهد از داده‌های خود روی دستگاه‌های همراه محافظت کنند و به مدیران اجازه می‌دهد بر محتوایی که روی دستگاه‌های همراه قرار می‌گیرد نظارت کنند. داده‌هایی که روی دستگاه‌ها قرار می‌گیرند را کپسوله یا از راه دور آن‌ها را حذف کنند. در حالی که کارمندان پیش از ترک محل کار می‌توانند داده‌های برجای مانده روی دستگاه‌های همراه خود را پاک کنند، اما راه ‌حل پیشنهادی MDM به مدیران سازمان‌ها اطمینان می‌دهد کارمندان در زمان ترک محل کار خود به داده‌هایی که ممکن است روی دستگاه‌‌های همراه آن‌ها قرار داشته باشد، دسترسی نخواهند داشت.

نظارت بر محتوا و فعالیت‌های کارمندان

فناوری مهم دیگری که به شما کمک می‌کند مانع خروج اطلاعات توسط کارمندان شوید، روی فعالیت‌های کارمندان و نحوه دستیابی آن‌ها به محتوای سازمانی نظارت دارد. برای این منظور، طیف گسترده‌ای از قابلیت‌ها و ابزارهای نظارتی در اختیار شما قرار دارد که به شما اجازه می‌دهد بر فعالیت‌های مختلفی همچون ایمیل‌ها، ترافیک وب و سایت‌هایی که کارکنان مورد بازدید قرار می‌دهند نظارت داشته باشید. این ابزارهای نظارتی به شما اجازه می‌دهند تمام فعالیت‌های کارکنان همچون پیام‌ها و پست‌هایی که در شبکه‌های اجتماعی منتشر می‌کنند، فایل‌هایی که برای ورود مورد استفاده قرار داده‌اند، نوع و تعداد کلیدهایی که برای ورود به سیستم فشار داده‌اند را رصد و حتی به‌صورت دوره‌ای اسکرین ‌شات‌هایی را از صفحه ‌نمایش آن‌ها ضبط کنید.

این ابزارها به دو شکل به سازمان‌ها و مدیران کمک می‌کند. ابتدا اجازه می‌دهد هرگونه فعالیتی که کارمندان انجام می‌دهند را به‌دقت درک کنند و مطلع شوند در حال حاضر مشغول چه کاری هستند و دوم مانع از آن می‌شوند تا کارمندان در محل کار خود مرتکب اعمال ناشایستی شوند، به‌واسطه آنکه می‌دانند همه فعالیت‌هایی که از آن‌ها سر می‌زند به‌دقت ردیابی و ضبط می‌شود. (ما در شماره فروردین ماه ۱۳۹۶ مجله شبکه تعدادی از این ابزارها را مورد بررسی قرار دادیم.)

پیاده‌سازی DLP یا فناوری تحلیل فایل‌ها 

یکی دیگر از قابلیت‌های مفیدی که به شما در محافظت از اطلاعاتتان کمک می‌کند، به‌کارگیری فناوری پیشگیری از گم شدن داده‌ها (DLP سرنام Data Loss Prevention) است. همچنین، ابزارهای تحلیل فایل‌ها نیز در این زمینه کمک‌کننده هستند. ابزارهای DLP این توانایی را دارند تا محتوا را مورد نظارت قرار دهند و بر اساس مجموعه سیاست‌های از پیش تعیین شده مانع از انجام یک سری کارها شوند. به‌طور مثال، اگر کارمندی سعی کند اطلاعات حساس یا محرمانه‌ای را دانلود کند، در حالی که در شرایط عادی اجازه چنین کاری را ندارد یا اگر کارمندی بیش از اندازه مجازی که برای او مشخص شده اقدام به دانلود فایل‌ها کند، این درخواست برای یک مقام مسئول ارسال می‌شود تا موضوع را مورد پیگیری قرار دهد. فناوری تحلیل فایل‌ها به مدیران و دیگر افراد ذی‌نفع اجازه می‌دهد به‌منظور پیدا کردن داده‌های بدون ساختاری که ممکن است در هر بخشی از سازمان ذخیره‌ شده باشند، جست‌وجویی را انجام دهد و محتوای این فایل‌ها را تحلیل و قوانین نظارتی و حاکمیتی را در ارتباط با این گونه فایل‌ها تدوین و اطلاعاتی را از دل این داده‌های بدون ساختار استخراج کنند. ابزارهای تحلیل‌گر فایل این توانایی را دارند تا حجم انبوهی از اطلاعات را مورد جست‌وجو و تحلیل قرار دهند و به بازیابی اطلاعات ارزشمند بپردازند. [پیشنهاد ما به شما این است که در سال جدید موضوع داده‌های بدون ساختار را به‌طور جدی مورد توجه قرار دهید، به‌واسطه آنکه در سال جاری تمرکز هکرها روی داده‌های بدون ساختار است.]

مطالب مرتبط:  اسمارت‌فون‌ها بزرگ‌ترین تهدید امنیتی سال ۲۰۱۶ شناخته شدند

راه‌‌حل‌هایی که مانع دانلود آفلاین فایل‌ها می‌شوند

فناوری مفید دیگری که در اختیار سازمان‌ها قرار دارد به‌شکل قابل توجهی مانع از آن می‌شود تا کارکنان قبل از خروج از سامانه‌های خود اطلاعات را روی رسانه‌های فیزیکی همچون دیسک‌های نوری، هارددیسک‌های قابل حمل یا حافظه‌های فلش کپی و از سازمان خارج کنند. بسته به نوع فناوری به کار رفته در این‌گونه ابزارها، آن‌ها بر مبنای سیاست‌های از پیش تعیین شده قادر هستند نیازهای قانونی کارکنان را تشخیص دهند و مانع از آن شوند تا کارهای دیگر را انجام دهند. همچنین، این توانایی را دارند تا به تعدادی از کارکنان اجازه انجام بعضی وظایف را بدهند، در حالی که مانع از انجام همین وظایف از سوی کارکنان دیگر شوند.

متمرکز کردن فرآیند ورود و گزارش‌گیری

قابلیت مهم دیگری که سازمان‌ها باید به‌دنبال پیاده‌سازی آن باشند، متمرکزسازی ورود و گزارش‌گیری از فعالیت‌های کارکنان است. این رویکرد به مدیران اجازه می‌دهد تا اطلاع پیدا کنند چه فایل‌هایی توسط کارکنان مورد استفاده قرار می‌گیرد و مهم‌تر اینکه چه کسی از فایل‌ها استفاده می‌کند و این دستیابی چه زمانی به‌ وقوع می‌پیوندد و کارکنان از چه دستگاهی برای دستیابی به اطلاعات استفاده می‌کنند. متمرکز کردن فرآیند‌های لاگین و گزارش‌گیری نه فقط به متخصصان اجازه می‌دهد به‌شکل دقیق و قابل استنادی به تحلیل و ردیابی فایل‌ها و اشخاصی بپردازند که فایل‌ها را کپی کرده‌اند، بلکه به کارکنان نیز این موضوع را اعلام می‌دارد که تمام فعالیت‌های آن‌ها تحت نظر قرار دارد و مانع از آن می‌شود تا کارکنان رفتارهای نامناسبی از خود نشان دهند.

جایگزین کردن راه‌‌حل‌های BYO با راهکار جامع مدیریتی

BYO یکی از واقعیت‌های ملموس زندگی و دنیای تجارت است. بسیاری از سازمان‌ها آن ‌را قبول کرده، در آغوش گرفته یا در برابر آن تسلیم شده‌اند. این واقعیت به ما اعلام می‌دارد کارمندان یک شرکت از دستگاه‌های همراه، برنامه‌های کاربردی و ابزارهای خود برای دستیابی و پردازش اطلاعات سازمانی استفاده می‌کنند. در دنیای امروزی کارکنان مسئول دستگاه‌هایی هستند که هر روزه از آن‌ها استفاده می‌کنند. مسئولیت اولیه کارکنان یک سازمان کنترل داده‌هایی است که با استفاده از این ابزارها پردازش می‌شوند. اما به‌کارگیری وسایل شخصی به‌لحاظ انطباقی، ملاحظات حقوقی، به‌کارگیری مکانیسم‌های حفاظتی و مدیریت داده‌ها باعث بروز مشکلاتی برای سازمان‌ها می‌شود. دپارتمان‌های فناوری اطلاعات بهتر است این موضوع را مشخص کنند که بر مبنای چه دیدگاهی کارکنان ترجیح می‌دهند به‌جای بهره‌گیری از قابلیت‌های مدیریت فناوری اطلاعات از ابزارهای BYO استفاده کنند. پس از ریشه‌یابی این موضوع جایگزین‌های مناسب باید در اختیار کارکنان قرار گیرد تا چرخه فعالیت‌ها به حالت اول بازگردد و فرآیند مدیریت داده‌ها با استفاده از ابزارهای سازمانی انجام شود. برای آنکه راه‌ حل پیشنهادی کارکنان مورد قبول قرار گیرد، ابزارهایی باید به آن‌ها پیشنهاد شود که در وهله نخست به‌کارگیری آن‌ها ساده باشد و در وهله دوم از رابط کاربری خوبی برخوردار باشند. توجه به این دو نکته نه تنها باعث می‌شود کارمندان از ابزارها استقبال کنند، بلکه به سازمان‌ها اجازه می‌دهد مکانی که داده‌ها روی آن‌ها ذخیره‌ می‌شوند را کنترل کنند.

فعالیت‌های مرتبط با حساب کاربری

پژوهش انجام شده از سوی SailPoint نشان می‌دهد ۶۶ درصد کارکنان از طریق داده‌هایی که روی زیرساخت‌های ابری ذخیره‌سازی شده‌اند، به‌منظور دستیابی به داده‌های سازمانی استفاده می‌کنند. آمارها نشان می‌دهند از هر پنج کارمندی که شرکت مطبوع خود را ترک می‌کند، یک نفر از آن‌ها داده‌های سازمانی را برای اهداف خاصی همچون به‌اشتراک‌گذاری با دنیای خارج از سازمان ذخیره‌سازی می‌کند.

برای آنکه با چنین مشکلی روبه‌رو نشوید، بهتر است برای کارمندان خود آزمون‌های امنیتی دوره‌ای ترتیب دهید. زمانی که کارمندی دیگر عضو شرکت شما نیست، دسترسی او به شبکه شرکت را غیرفعال کنید. دستیابی به حساب کاربری یا معادل آن روی اکتیودایرکتوری را برای این افراد غیرفعال کنید. گذرواژه همه برنامه‌های کاربردی، فضاهای ذخیره‌سازی ابری و… شرکت را به‌طور متناوب تغییر دهید. حساب‌های ایمیل صوتی این کارکنان را حذف کنید یا گذرواژه ایمیل‌ صوتی آن‌ها را تغییر دهید. اطمینان حاصل کنید زمانی که کارمندی شرکت را ترک می‌کند نشانی ایمیل سازمانی او در اختیار کارمند جایگزین یا مقام مسئول قرار خواهد گرفت.

پشتیبان‌گیری، آرشیو کردن و قابلیت‌های مدیریت بر محتوا

سازمان‌ها برای کم کردن هزینه مربوط به پشتیبان‌گیری و به حداقل رساندن این هزینه‌ها از رویکردهای ابرمحور استفاده می‌کنند. به‌کارگیری سیاست‌های مربوط به استقرار و بازیابی باعث می‌شود تا اگر کارمندان به‌طور اشتباه فایلی را خراب یا پاک کردند، بازگرداندن فایل‌ها به حالت اولیه به‌سادگی امکان‌پذیر باشد. پیاده‌سازی مکانیسم‌های پشتیبان‌گیری خودکار مانع از آن می‌شود تا این وظیفه مهم به دست فراموشی سپرده شود. همچنین، سعی کنید از ابزارهای مدیریت محتوای سازمانی (ECM سرنام Enterprise Content Management) استفاده کنید. این ابزارها مجموعه فرآیندها و راه‌ حل‌هایی را به‌منظور مدیریت، آرشیو و تحویل محتوای غیر ساخت‌یافته، نیمه ساخت‌یافته و اطلاعات ساخت‌یافته برای هر فرآیند کسب ‌و کار و منحصر به فردی ارائه می‌کنند.

این ابزارها به کارکنان اجازه می‌دهند به‌شکل ساده‌ای به اسناد دست یابند و تغییرات مورد نیاز خود را روی آن‌ها اعمال کنند. این کار در شرایطی انجام می‌شود که همه چیز تحت کنترل باشد و برای انجام هرگونه عملی مجوز مربوط به آن تخصیص داده شده و تمام تعاملات با فایل‌ها نیز ضبط می‌شود. این ابزارها مانع به سرقت رفتن اطلاعات از سوی کارمندان متخلف می‌شوند، به‌واسطه آنکه همواره مقام مسئولی وجود دارد که این فعالیت‌ها را رصد و اطلاع پیدا می‌کند فرآیند همگام‌سازی فایل‌ها به چه شکلی انجام شده است.

مدیریت بر فعالیت‌ها 

ارائه آموزش خوب به مدیران باعث می‌شود آن‌ها از بهترین رویکردهای مدیریتی در قبال کارکنان زیردست خود استفاده و مشکلات را پیش از آنکه به وجود آیند شناسایی کنند و به‌خوبی با کارکنان به تعامل بپردازند. ارائه آموزش خوب به کارکنان باعث می‌شود آن‌ها از بهترین رویکردها برای محافظت از داده‌ها استفاده و از ابزارهای مورد تأیید شرکت استفاده کنند و به سیاست‌های مدون شرکت پایبند باشند. بهتر است راه‌ حل‌های مناسبی را تدوین کنید تا مسئول منابع انسانی، مدیران ارشد و دیگر افراد مرتبط به‌درستی بتوانند بر رفتار مدیران سطوح پایین نظارت کنند و تشخیص دهند چه مدیری به آموزش‌های بیشتر برای برقراری ارتباط درست با کارکنان خود نیاز دارد، به‌گونه‌ای که رفتاری حرفه‌ای را در برخورد با کارکنان از خود نشان دهد.

همه چیز در مورد فایروال میکروتیک (قسمت دوم)

در مقاله قبلی فایروال میکروتیک را به صورت مفصل بررسی کردیم و در این مقاله قصد داریم بخش های مختلف Firewalll  میکروتیک را معرفی کنیم . برای دسترسی به دیواره آتش میکروتیک، با استفاده از وینباکس (نرم افزار مدیریتی میکروتیک) به دستگاه وصل شده، سپس مطابق شکل ۱ از منوی اصلی ابتدا IP سپس Firewall را انتخاب کنید.

پنجره Firewall مطابق با شکل ۲ باز خواهد شد.

بخش های اصلی دیواره آتش میکروتیک به قرار زیر است:

• Layer ٧ Protocol
• Address Lists
• Connections
• Service Ports
• Mangle
• NAT
• Filter Rules
• Layer7-Protocols

Layer٧Protocols یک روش جستجوی الگو در جریان داده UDP ,ICMP و TCP می باشد. تطبیق دهنده لایه هفتم، ۱۰ بسته اولیه یا ۲KB اولیه جریان ارتباطی را جمع آوری کرده و بدنبال الگوی مشخص شده در داده جمع آوری شده می گردد. تطبیق دهنده اگر الگو در داده جمع آوری شده پیدا نشد بررسی بیشتری انجام نخواهد داد. حافظه اختصاص داده شده به این امر خالی شده و پروتکل بعنوان ناشناخته در نظر گرفته می شود. باید به این نکته توجه داشته باشید که مصرف حافظه با افزایش تعداد ارتباطات بطور قابل توجهی بیشتر خواهد شد.

تطبیق دهنده لایه هفتم به دو طرف ارتباط (ورودی و خروجی) برای بررسی بسته ها نیاز دارد، بدین منظور باید قانون های لایه هفتم را در زنجیره Forward قرار دهید. اگر قانون در زنجیره Prerouting جدول INPUT قرار گرفت، باید مشابه همین قانون را در زنجیره Postrouting جدول Output ایجاد کنید، در غیر اینصورت داده جمع آوری شده ممکن است در تبطیق دادن الگو نتیجه اشتباهی در بر داشته باشد.

Address Lists

Address Lists یکی از ویژگی های خوب و کاربردی میکروتیک می باشد، با استفاده از لیست آدرس می توان بصورت دستی و خودکار لیستی از آدرس ها تهیه کرد تا هنگام استفاده نوشتن قوانین از آنها بهره جست.

مزیت لیست آدرس در کمتر شدن و ساده تر شدن قوانین می باشد. بدین صورت که اگر بخواهید برای چندین کاربر دسترسی مشترکی را محدود یا باز کنید، در حالت عادی باید به ازای هر کاربر یک قانون ایجاد کنید ولی در این حالت کافیست، یک لیست آدرس ایجاد، آدرس کاربران را به آن اضافه کرده و در قانون ها بجای آدرس مبدا یا مقصد از لیست آدرس مبدا یا مقصد که متعلق به گزینه های پیشرفته می باشد، استفاده کنید.
با استفاده از لیست آدرس خودکار می توان، آدرس ها را بصورت خودکار به لیست اضافه کرد، برای این منظور کافیست در تب Action قانون، گزینه Add dst to address list برای ارسال مقصد بسته ها و Add src to address list برای ارسال مبدا بسته ها به لیست آدرسی که در زیر آن مشخص می شود، استفاده کرد.

می توانید ابتدا یک قانون برای ایجاد لیست آدرس خودکار ایجاد کرده و سپس عملیات مورد نظر را بر روی لیست آدرس انجام دهید.

لیست آدرس در آنالیز شبکه هم قابل استفاده است، برای مثال تهیه لیستی شامل تمامی کاربرانی که از سرویس SSH استفاده می کنند یا سرورهایی که آنها به آن متصل می شوند را با لیست آدرس خودکار می توان بدست آورد.

Connections

از طریق تب Connections می توانید لیست کلیه ارتباط هایی که با میکروتیک برقرار شده است را بر اساس آدرس مبدا و مقصد، نوع پروتکل و مدت زمان فعال بودن ارتباط مشاهده کنید.

Service Ports

سرویس هایی وجود دارند که در صورت فعال شدن NAT بدلیل احتیاج به ارتباط واقعی پایاپای بدرستی کار نخواهند کرد، برای حل این مشکل میکروتیک از خاصیت NAT Traversal برای چند سرویس خاص استفاده می کند.

Filter , NAT, Mangle

در پنجره Firewall، سه جدول اصلی که قبلا مفاهیم آنها مورد بررسی قرار گرفت وجود دارند. در این پنجره می توان لیست قانون هایی که قبلا نوشته شده اند را در تب های مختلف مشاهده و ویرایش کرد.

برای اضافه کردن قانون جدید بر روی علامت “+” کلیک کنید تا پنجره New Manage Rule باز شود. گزینه ها در سه دسته عمومی، پیشرفته و اضافی تقسیم بندی شده اند.

این گزینه ها در هر سه جدول NAT ,Mangle و Filter یکسان می باشند و فقط در جدول NAT P2P وجود ندارد. این گزینه ها را در شکل های ۷، ۸، ۹ می توانید مشاهده کنید.

نیاز به یادآوری است که دانستن ساختار بسته ها، یکی از ملزومات تنظیم دیواره آتش می باشد. اکثر گزینه های موجود با دانش نسبت به این  ساختار، کاربردی و قابل استفاده خواهند بود.

در دسته عمومی، گزینه ها شامل نوع زنجیره، آدرس مبدا و مقصد، نوع پروتکل، درگاه مبدا و مقصد، اینترفیس ورودی یا خروجی، بسته و ارتباطات قبلا نشانه گذاری شده و وضعیت ارتباط می باشد.

گزینه های دسته پیشرفته در بر گیرنده، لیست آدرس مبدا یا مقصد پروتکل لایه هفتم، محتوای خاص در آدرس، آدرس سخت افزاریTOS ، TTL و… می باشد.

دسته اضافی شامل گزینه هایی همچون تنظیم زمان برای فعال شدن قانون بر اساس ساعت و روزهای هفته، نوع آدرس از قبیل Broadcast Unicast , Multicast و Local ، محدود کردن تعداد ارتباطات و… می باشد.

عملیات های قابل انجام توسط منگل در تب Action شکل ۱۰ لیست شده اند. باید توجه داشت که هر قانون فقط یک عمل در آن واحد قادر است انجام دهد. پس برای عملیات های متفاوت باید قوانین مجزا ایجاد کنید.

عملیات های قابل انجام توسط جدول NAT در شکل زیر آورده شده است.

و در آخر لیست عملیات های جدول Firewall در ادامه قابل مشاهده است.

عملیات های مشترک بین همه جدول ها عبارت اند از:

Accept: قبول کردن بسته، بسته در قانون های بعدی بررسی نمی شود.

Add dst to address list: اضافه کردن آدرس مقصد به لیست آدرس مشخص شده

Add src to address list: اضافه کردن آدرس مبدا به لیست آدرس مشخص شده

Jump: پرش به زنجیره مشخص شده

Log: فرستادن پیغامی حاوی قانون تطبیق داده شده با فرمت خاص به سیستم ثبت وقایع

Passthrough: در نظر نگرفتن قانون و رفتن به قانون بعدی (کاربرد، بیشتر برای آمارگیری)

Return: برگردان کنترل به زنجیره در جایی که پرش صورت گرفته

عملیات های غیرمشترک جدول Firewall متشکل شده از:

Drop: رها کردن بسته بدون ارسال پیغام

Reject: رها کردن بسته همراه با ارسال یک پیغام ICMP Reject

Tarpit: ضبط و نگهداری ارتباطات TCP (کاربرد در کم کردن اثر حملات DOS)

عملیات های غیرمشترک جدول NAT به قرار زیر است:

Src-NAT: ترجمه آدرس مبدا بسته به آدرس مشخص شده

Dst-NAT: ترجمه آدرس مقصد بسته به آدرس مشخص شده

MASQUERADE: ترجمه آدرس مبدا بسته به آدرس عمومی موجود در سیستم

Redirect: جایگزین کردن درگاه مقصد بسته با درگاه مشخص شده

Same

Netmap

عملیات های غیرمشترک جدول منگل عبارت اند از:

Change DSCP – TOS: تغییر مقدار فیلد TOS بسته

Change TTL: تغییر مقدار فیلد TTL بسته

Change MSS: تغییر مقدار فیلد Maximum Segment Size بسته

Clear DF: پاک کردن بیت Don’t Fragment (کاربرد در تانل IPSEC)

Mark Connection: نشانه گذاری ارتباط

Mark Packet: نشانه گذاری بسته (کاربرد در کنترل پهنای باند)

Mark Routing: نشانه گذازی مسیر (کاربرد در عملیات مسیریابی پیشرفته)

Set Priority: تغییر مقدار فیلد اولویت در لینک هایی که مقدار اولویت را ارسال می کنند.

Strip IPv4 Options

تب Statistics نیز آماری از میزان ترافیک و تعداد بسته هایی که این قانون شامل حال آنها می شود را بصورت عددی و گراف در اختیار ما قرار می دهد. از طریق این تب می توان درستی قانون نوشته شده را مورد بررسی قرار داد. شکل ۱۳ گویای این موضوع می باشد.