در محیطهای سازمانی، OT، ابر و موبایل تمرکز کنید.
3. حصول اطمینان از کیفیت گزارش: جزئیات کلیدی مانند مُهرهای زمانی، آدرسهای IP و شناسههای کاربر را ضبط کنید. از فرمت های ثابت مانند JSON استفاده کنید.
4. نظارت متمرکز: گزارشها را بهصورت متمرکز جمعآوری کنید، با دادههای دستهبندی شده به «گرم» (دسترسی سریع) و «سرد» (ذخیرهسازی طولانیمدت).
5. نگهداری و ذخیره سازی: دوره های نگهداری را بر اساس ریسک و نیازهای انطباق و قوانین جاری تنظیم کنید. برای جلوگیری از از دست رفتن اطلاعات، از فضای ذخیره سازی کافی اطمینان حاصل کنید.
6. همگام سازی مهر زمانی: از یک منبع زمانی ثابت و قابل اعتماد در همه سیستم ها (ترجیحاً UTC) استفاده کنید.
7. ملاحظات OT: محدودیتهای دستگاه OT را با روشهای ثبت جایگزین در نظر بگیرید.
8. بازبینی منظم: بهطور دورهای ارتباط گزارش را دوباره ارزیابی کنید و در صورت لزوم خطمشی را بهروزرسانی کنید.
این رویکرد تشخیص تهدید، توانایی پاسخ گویی حادثه و انطباق را تقویت می کند.
لاگهای منتخب و پردازش شده باید به ابزارهای تحلیلی مانند راهحلهای اطلاعات امنیتی و مدیریت رویداد (SIEM) و راهحلهای تشخیص و پاسخ گسترده (XDR) ارسال شوند.
ذخیره سازی ایمن و یکپارچگی گزارش رویداد
1. ثبت لاگ متمرکز: یک دریاچه داده ایمن (data lake) را برای جمع آوری لاگها ایجاد کنید و از تلفات ناشی از ذخیره سازی محلی محدود جلوگیری کنید. گزارش های کلیدی را برای تجزیه و تحلیل به SIEM/XDR ارسال کنید.
2. انتقال و ذخیرهسازی ایمن: از TLS 1.3 و روشهای رمزنگاری برای محافظت از لاگها در حین انتقال و در حالت استراحت استفاده کنید. دسترسی به گزارش های حساس را محدود کنید.
3. جلوگیری از دسترسی غیرمجاز: از گزارشها در برابر تغییر/حذف توسط عوامل مخرب محافظت کنید. فقط پرسنل مجاز باید دسترسی داشته باشند، با گزارش های حسابرسی دقیق تغییرات انجام شده در محل.
4. امن سازی SIEM: سامانه SIEM را از محیط های IT عمومی جدا کنید، لاگ ها را برای اولویت بندی موارد مهم فیلتر کنید و هزینه ها را به حداقل برسانید.
5. شناسایی خط پایه و تهدید: از گزارشهای متمرکز برای شناسایی انحرافات از رفتار عادی استفاده کنید که نشاندهنده رویدادها یا حوادث احتمالی امنیت سایبری است.
6. پردازش به موقع لاگ: از جمع آوری سریع لاگ ها برای فعال کردن تشخیص زودهنگام حوادث امنیتی اطمینان حاصل کنید.
استراتژی شناسایی برای تهدیدات مربوطه
برای شناسایی تکنیکهای تهاجمی جدید مانند بدون فایل Living Off the Land (LOTL)، سازمانها باید تحلیلهای رفتاری کاربر و موجودیت (UEBA) را پیادهسازی کنند و از سیستمهای SIEM برای شناسایی ناهنجاریها با مقایسه گزارشهای رویداد با خطوط پایه مشخص شده فعالیت عادی استفاده کنند. توصیه ها و استراتژی های کلیدی عبارتند از:
1. تجزیه و تحلیل رفتاری: از UEBA برای تشخیص خودکار رفتار غیرعادی در شبکهها، دستگاهها یا حسابها استفاده کنید، که برای شناسایی تکنیکهای LOTL که با عملیات عادی ترکیب میشوند ضروری است.
2. مطالعه موردی – Volt Typhoon: این گروه از تکنیکهای LOTL مانند اسکریپتهای PowerShell، کنسول ابزار مدیریت ویندوز (WMIC) و سایر ابزارهای داخلی سیستم عامل برای نفوذ و گسترش حملات در داخل سیستمها استفاده می کنند که تشخیص سنتی را به چالش میکشد.
3. شاخص های رفتارهای غیرعادی:
زمان ها یا مکان های ورود غیرمعمول.
دسترسی به خدماتی که معمولاً توسط یک حساب کاربری استفاده نمی شود.
حجم بالای تلاش برای دسترسی یا دانلود داده.
استفاده از فرآیندها و مسیرهای غیر معمول یا مشکوک.
فعالیت غیرمنتظره حساب، مانند فعال کردن مجدد حسابهای غیرفعال شده.
ناهنجاری های شبکه، مانند اتصالات جدید بین دستگاه ها.
1. تشخیص پیشرفته: راهحلهای تشخیص و پاسخ نقطه پایانی (EDR) را پیادهسازی کنید، از ثبت جزئیات (شامل ایجاد فرآیند و ممیزی خط فرمان) اطمینان حاصل کنید و خطوط پایه برای استفاده باینری مشروع ایجاد کنید.
2. شکار پیشگیرانه تهدید: به طور منظم شکار تهدید را برای شناسایی و بررسی فعالیت های بالقوه LOTL انجام دهید، قوانین تشخیص را بر اساس چشم انداز تهدیدات در حال تکامل اصلاح کنید.
این استراتژیها به شناسایی و کاهش تکنیکهای LOTL کمک میکنند، که به دلیل اتکا به ابزارها و فعالیتهای قانونی در یک شبکه چالش برانگیز هستند.
دیو لوبر، مدیر امنیت سایبری آژانس امنیت ملی آمریکا (NSA) می گوید: «سازمانها باید انعطافپذیری خود را در برابر زندگی در زمینهایی که محیط تهدید سایبری امروزی را فراگرفتهاند، تقویت کنند».
پیادهسازی و حفظ یک راهحل موثر ثبت رویدادها، امنیت و انعطافپذیری سیستمها را با فعال کردن دید شبکه و پاسخ سریعتر به حادثه، بهبود میبخشد.
تواند به امنیت حداکثری سازمانی کمک کند.
#امنیت_سایبری #SIEM #محافظت_شبکه #آموزش_امنیتی #لاگ
در صورت هرگونه پرسش درباره راه اندازی سامانه های امنیتی مانند SIEM با برندهای شرکتهای مطرح مانند Splunk، Elasticsearch stack، و نیز EDR و XDR با برند Seqrite کوییک هیل با ما در ارتباط باشید:
واتساپ: 09331339786
ایمیل: info@qhi.ir
تلگرام: https://t.me/madacoSecurity
⚠️ هکرها ۲۰ بانک ایرانی را هک و برای منتشر نکردن اطلاعات مشتریان سه میلیون دلار باج گرفتند!
🔴 پولتیکو به نقل از منابع مطلع گزارش داده که حمله سایبری ماه گذشته که تهدیدی برای ثبات سیستم بانکداری ایران بود موجب شد که شرکت تامین کننده راهکارهای نرم افزاری بانکداری ایران (شرکت توسن) به هکرها میلیون ها دلار باج پرداخت کند.
🔴براساس این گزارش، این شرکت ایرانی تحت فشار دولت دستکم سه میلیون دلار به عنوان باج به گروه هکری IRLeaks پرداخت کرد تا از انتشار دادههای ۲۰ بانک ایران و اطلاعات حساب میلیونها ایرانی جلوگیری کند.
🔴به گزارش پولتیکو، این بدترین حمله سایبری به بانکهای ایران بهشمار میرود و گروهی تحت عنوان «آیآرلیکس» (IRLeaks) که سابقه هک بانکهای ایران را دارد، احتمالا پشت این حمله قرار دارد. این گروه هکری در ماه دسامبر نیز اطلاعات بیش از ۲۰ شرکت بیمه و اسنپ فوود را هک کرده بود.
🔴هکرها تهدید کرده بودند اگر ۱۰ میلیون دلار رمزارز دریافت نکنند دادهها، شامل اطلاعات حساب و کارت اعتباری میلیونها ایرانی را در دارک وب به فروش میگذارند. براساس این گزارش، در نهایت توافق بر سر میزبان کمتری باج به هکرها به نتیجه میرسد.
🔴هکرها با تزریق بدافزار به سیستمهای نرم افزاری بانکداری الکترونیکی شرکت توسن، توانستند با اجرای حمله زنجیره تامین به سرورهای بانکها وارد شوند. از ۲۹ موسسه مالی فعال، ۲۰ بانک که مشتری این شرکت هستند، هدف حمله قرار گرفتند. در بین این بانکها نام بانک توسعه و معادن، بانک مهر، پستبانک ایران، بانک ایران زمین، سرمایه، ایران ونزوئلا، دی، شهر، اقتصاد نوین، سامان و شعبههایی در ایتالیا و آلمان به چشم میخورد.
پ ن : استفاده از سیستمها و نرم افزارهای ناامن تبدیل به یکی از پاشنه آشیل های امنیتی کشور شده است. در کنار (1) استفاده از سامانه های امنیتی قدرتمند مانند EPP، XDR/EDR، ZTNA، UTM، EMM، SIEM، (2) اجرای پیکربندی درست و رویه های مهم امنیتی در زیرساخت و شبکه مانند مدیریت دسترسی از راه دور، کنترل ورودی و خروجی های شبکه، عدم استفاده از پروتکلهای غیرایمن مانند SMB1، بروزرسانی های سیستم عامل و نرم افزارها و عدم استفاده از نرم افزارهای غیراصل و دارای درب پشتی، (3) استفاده از سامانه ها و نرم افزارهای کاربردی سفارشی ایمن که تست های امنیتی مانند تست نفوذ و آسیب پذیری را به درستی پاس کند بسیار مهم است.
#امنیت_سایبری #هک #بانک
@madaco
واتساپ: 09331339786
ایمیل: info@qhi.ir
تلگرام: https://t.me/madacoSecurity
کوییک هیل یک برنامه آنتی ویروس جعلی به نام «AntiVirus-Virus Cleaner» را کشف کرده است که بیش از 10 میلیون بار در Google Play دانلود شده است. علیرغم ادعاهایش، این اپلیکیشن هیچگونه امنیتی را فراهم نمی کند و در عوض کاربران را با تبلیغات بمباران می کند.
تحقیقات Quick Heal نشان میدهد که این برنامه از ویژگیهای آنتیویروس واقعی تقلید میکند، اما فاقد تواناییهای اسکن واقعی است. تقریباً همه برنامهها را به اشتباه بهعنوان خطرناک علامتگذاری میکند، در حالی که برای جلوگیری از شناسایی، برنامه خود و برنامههای محبوب خود را در لیست سفید قرار میدهد.
جزئیات کامل را اینجا بخوانید: https://lnkd.in/dWrSeraR
برای دریافت اطلاعات بیشتر، دریافت نسخه ی آزمایشی رایگان محصولات امنیت سازمانی با ما در ارتباط باشید:
پیامرسان: 09331339786 ایمیل info@qhi.ir
کانال تلگرام: https://t.me/madacoSecurity
تلفن: 01142031164
https://madaco.ir
به عنوان مدیریت IT، این وظیفه ماست که از جوامع خود در برابر آسیب محافظت کنیم.
کلاهبرداری آنلاین تهدید قابل توجهی برای افراد و مشاغل به طور یکسان است. شما می توانید این مراحل ساده را دنبال کنید و به طور جمعی با این مشکل رو به رشد مبارزه کنید:
• هوشیار باشید: مراقب ایمیلها، پیامکها یا تماسهای مشکوک باشید که ادعا میکنند از منابع قانونی و رسمی هستند.
• قبل از کلیک کردن فکر کنید: هرگز روی پیوندها کلیک نکنید یا پیوست ها را از منابع ناشناس دانلود نکنید.
• فرستنده را تأیید کنید: آدرسهای ایمیل و شماره تلفنها را دوباره بررسی کنید تا از رسمی بودن آنها مطمئن شوید.
• از اطلاعات شخصی خود محافظت کنید: از به اشتراک گذاشتن جزئیات حساس مانند جزئیات کارت ملی، اطلاعات حساب بانکی، OTP یا رمزهای پویا و ایستا با افرادی که نمیشناسید و به آنها اعتماد پدارید، خودداری کنید.
• فعال کردن احراز هویت دو مرحله ای: با استفاده از 2FA یک لایه امنیتی اضافی به حساب های آنلاین خود اضافه کنید.
• در جریان باشید: با دنبال کردن منابع معتبر و کارشناسان امنیت سایبری، از آخرین روندهای کلاهبرداری و کلاهبرداری بهروز باشید.
برنامه جدید کوییک هیل کار شناسایی و گزارش تلاشهای فیشینگ را آسانتر میکند.
#کلاهبرداری_آنلاین #امنیت سایبری
#FraudPrevention #OnlineSafety #Cybersecurity #StaySafe
پیامرسان: 09331339786 ایمیل info@qhi.ir
کانال تلگرام: https://t.me/madacoSecurity
تلفن: 01142031164
https://madaco.ir
حمله سایبری کشنده در لبنان
🔻لحظاتی پیش، منابع خبری از زخمی شدن دهها نفر بر اثر انفجار در دستگاه های ارتباطاتی (پیجر) در لبنان خبر دادند.
🔹این منابع مدعی شدند که انفجارها به صورت همزمان و گاهی به طور پیاپی و در مناطق مختلف لبنان رخ داده است.
🔹این منابع افزودند که انفجارهای دستگاههای ارتباطاتی به سبب هک این دستگاهها صورت گرفته است.
🔹حملات امروز تنها نیروهای حزب الله را هدف قرار نداده است، شهروندان عادی که از پیجر استفاده میکردند نیز آسیب دیدهاند./دانشجو
◽️طبق تصاویر و فیلمهای منتشر شده، هکرها ابتدا پیجرها را روشن کرده تا توجه را به خود جلب کند و چند ثانیه بعد آن را منفجر میکنند.
◽️در لبنان به افرادی که پیجر دارند هشدار داده شده که از آن دور شوند.
▶️ حزب الله لبنان در واکنش به انفجار دستگاههای پیجر بیانیهای صادر کرد و در بخشی از آن نوشت: «حدود ساعت ۳:۳۰ بعد از ظهر روز سهشنبه ۱۷-۰۹-۲۰۲۴، تعدادی از دستگاههای دریافت پیام که به پیجر معروف هستند و در اختیار تعدادی از کارکنان واحدها و مؤسسات مختلف حزبالله قرار داشتند، منفجر شدند. این انفجارها با علتی که نامعلوم است تاکنون منجر به شهادت یک کودک و دو برادر و مجروح شدن تعداد زیادی شده است.
در حال حاضر، دستگاههای تخصصی حزبالله در حال انجام تحقیقات گسترده امنیتی و علمی برای شناسایی علل این انفجارهای همزمان هستند. همچنین، دستگاههای پزشکی و بهداشتی در حال درمان مجروحین و مصدومین در چندین بیمارستان در مناطق مختلف لبنان هستند...»
✔️ به گفته رویترز، پیجرهای منفجر شده در لبنان جدیدترین مدلی است که در ماههای اخیر وارد
شدهاست.
✔️ آسوشیتدپرس میگوید: دستگاههای ارتباطی منفجر شده مجهز به باتری لیتیومی بودهاند و با داغ شدن بیش از حد منفجر شدهاند.
▶️ توییت ادوارد اسنودن درباره حادثه تروریستی دسته جمعی امروز در لبنان:
«با توجه به اطلاعات بدست امده از بیپرها (پیجرها) در لبنان،در حال حاضر به نظر می رسد مواد منفجره در آن ها کار گذاشته شده باشد نه #حمله_سایبری چرا؟
به علت وجود سازگاری و هدفمندی بسیار زیاد،صدمات بسیار جدی .اگر انفجار حاصل گرمای بیش از اندازه باتری ها بود، انفجار های بسیار کوچک تر و با خطای بیشتری مورد انتظار بود.»
روشهای امن سازی SIEM.pdf
224.8K
روش های امن سازی سامانه های SIEM
#لاگ #امنیت_سایبری #ثبت_وقایع #SIEM #Splunk #اسپلانک #امن_سازی
پیامرسان: 09331339786 ایمیل info@qhi.ir
کانال تلگرام: https://t.me/madacoSecurity
تلفن: 01142031164
مهم-
با توجه به اوج گیری مجدد حملات باج افزاری در روزهای اخیر، راهکارهای پیشگیرانه مقابله خصوصا برای محافظت از پایگاهها داده MS-SQL Server به شرح زیر پیشنهاد می شود.
1. اقدامات پیشگیرانه:
- تعریف رول دقیق و مناسب در فایروال سخت افزاری برای دسترسی RDP
- تغییر رمز عبور سیستمها
- اعمال پیچیدگی بالا در تعریف پسورد سیستمها
- تغییر اعتبارنامه پیش فرض (به خصوص نام کاربری: "sa") برای SQL Server Agentها برای جلوگیری جمع آوری همه اعتبارنامه های سیستم های متصل به شبکه (قویاً توصیه به تغییر مستمر پسورد همه سیستم ها و نرم افزارها می شود)
- ری استارت سیستم پس از تغییر رمزها
- از دسترس خارج کردن سرویسهای مهم نظیر MS-SQL و Domain Controller در بستر اینترنت
- استفاده از رمزهای عبور پیچیده، هک نشده و غیرتکراری برای حسابهای کاربری محلی (Local) تحت دامنه (Domain) سیستم عامل و پایگاههای داده، به ویژه حسابهای با سطح دسترسی Administrator/SysAdmin (پسوردهای ضعیفی مانند Admin، admin123، user، 123456، password، Pass@123، و غیره، می توانند به راحتی در چند تلاش اول به راحتی نقض شوند.)
- کاهش سطح دسترسی کاربران
- اعمال آخرین وصله ها بر روی سرور های MSSQL
- اسکن و ویروسیابی کامل تمام سیستم های موجود در شبکه (با آنتی ویروس های معتبر و بروزشده مانند کوییک هیل یا کی سون)
- پیکربندی اعمال محدودیت مناسب برای دسترسی به شبکه عمومی
- استفاده از اشتراک گذاری محافظت شده فایل با رمز عبور در شبکه ((SFTP / FTPS))، به جای استفاده از اشتراک گذاری ساده فایل
- پیکربندی سیاست های قفل حساب که به طور خودکار حساب را پس از تعداد مشخصی از تلاش های ناموفق قفل می کند. این ویژگی در ویندوز موجود است و آستانه آن را می توان شخصی سازی کرد.
- ارتقای سیستمهای عامل های قدیمی (به ویندوز 10 و 11 یا ویندوز سرور 2022)
- استفاده از VPN به جای ارسال پورت باز (Port Forwarding) برای دسترسی از راه دور
- غیرفعال کردن اکانت Administrator و استفاده از نام حساب دیگر برای فعالیت های مدیریتی. (بیشتر تلاشهای brute-force بر روی یک حساب کاربری Administrator انجام میشود که به طور پیشفرض وجود دارد.)
- غیرفعال کردن سایر حساب های کاربری یا مهمان (guest) موجود در سیستم
- عدم استفاده از ابزارهای کرک شده و نامعتبر
- تغیر پورت پیش فرض RDP از «3389» به شماره پورت دیگر. (اگرچه یک اسکن کامل پورت همچنان پورت های باز را نشان می دهد، اما این امر از حملاتی که به طور پیش فرض فقط پورت 3389 را هدف قرار می دهند، جلوگیری می کند.)
- مهمتر از همه، حفظ پشتیبان گیری منظم را که از شبکه جدا شده.
- همانطور که مشخص است، هر حمله ای از یک آسیب پذیری سیستم عامل یا برنامه های نصب شده بر روی آن استفاده می کند. از این رو این مسئولیت ماست که قبل از نصب برنامه روی سیستم، نیازمندی های برنامه و منبع آن را درک کنیم. همچنین سیستمعامل و برنامهها را با نصب آپدیت ها و وصله های امنیتی بهروز نگه داریم.
2. اقدامات پس از حمله:
- تغییر رمز عبور سیستم تمامی ماشین های موجود در شبکه
- نصب پچ مناسب برای سیستم در کنار تغییر نام کاربری و رمز عبور
- غیرفعال کردنRDP ریموت دسکتاپ یا حداقل تغییر پورت پیش فرض 3389
- حذف فایل های ایجاد شده جدید بر روی سیستم
- استفاده از آخرین وصله های نرم افزار SQL Server و تغییر اعتبارنامه سرور SQL (نام کاربری/رمز عبور)و
- فعالسازی ماژول ضد بد افزار و هوش مصنوعی و ضد باج افزار اندپوینت سکیوریتی و آنتی ویروس K7، Seqrite و نیز ماژول پیشگیری از نفوذ غیرمجاز IDS/IPS سامانه مدیریت یکپارچه تهدیدات و فایروال Seqrite و WebRoam برای شناسایی و مقابله با تهدیدات باج افزاری
- اعمال وصله های امنیتی RDP و SMB منتشر شده توسط مایکروسافت برای چنین حملاتی
- نصب آنتی ویروسK7 یا Seqrite بر روی تمامی سیستم های موجود در شبکه
- اطلاع به شرکتهای امنیتی همکار برای جلوگیری از خسارات بیشتر
پیامرسان: 09331339786
ایمیل info@qhi.ir
کانال تلگرام: https://t.me/madacoSecurity
تلفن: 01142031164
🔴کشف آسیبپذیری بحرانی در نرمافزار مانیتورینگ شبکه و زیرساخت Zabbix
◀️این آسیبپذیری، با شناسه CVE-2024-22116 و امتیاز CVSS 9.9، به کاربران دارای مجوز محدود امکان اجرای کد دلخواه از طریق API را میدهد. نسخههای آسیبپذیر شامل Zabbix 6.4.0 تا 6.4.15 و نسخه 7.0.0 هستند. برای رفع این آسیبپذیری، کاربران باید به نسخههای 6.4.16rc1 یا 7.0.0rc3 ارتقا دهند.
◀️هیچ راهحل موقتی برای این مشکل وجود ندارد، بنابراین ارتقای فوری به نسخه های ذکر شده توصیه میشود.
امن سازی یا Hardening سیستم عامل
با پیشرفته و پیچیده شدن تهدیدات سایبری، سازمانها برای ایمن سازی سیستمها و سرورهای خود، باید نگرش نظامی «آماده باش» اتخاذ کنند. اگرچه استفاده از فناوریهای جدید برای مدیریت حجم کاری بالا و عملیات پیچیده افزایش یافته اما آسیب پذیری دادههای ذخیره شده در دستگاهها، همچنان نگران کننده است.
تحقیقات نشان میدهند که حملات سایبری سالانه 125 درصد افزایش می یابد و از دست دادن دادههای ناشی از این حملات، به طور متوسط 4.42 میلیون دلار برای شرکتها هزینه در بر دارد. یکی از اساسیترین و در عین حال مهمترین اقدامات برای ایمن سازی دادههای شما، کاهش احتمال قرارگیری سیستم در معرض حملات سایبری میباشد. یک کامپیوتر ناامن، راهی آسان برای ورود مجرمان است.
امن سازی سیستم عامل یا OS Hardening، توسعه دهندگان را به سمت اجرای شیوههایی مانند تنظیمات خاص، اعمال پچها و وصله های امنیتی، ایجاد قوانین دسترسی سخت گیرانه، هدایت میکند. به عبارت دیگر، Hardening سیستم عامل یکی از شیوههای حفاظت امنیت سایبری است که در آن حفره های امنیتی و سایر خطرات پنهان که به مهاجمان امکان سوءاستفاده میدهد، مسدود خواهد شد. می توان با تقلیل تعداد حفرههای موجود در سیستم عامل، سطح حمله را به میزان قابل توجهی کاهش داد.
امن سازی سیستم عامل در دو مرحله ساده، قابل اجرا است:
1. ارزیابی میزان ریسک سیستم عامل که با استفاده از روشهایی مانند ارزیابی آسیب پذیری و تست نفوذ برای شناسایی نقاط ضعف صورت می پذیرد.
2. مشخص کردن سطح و میزان Hardening مورد نیاز برای ایمن سازی کامل سیستم که بر اساس میزان تاثیر بر عملکرد سیستم اولویت بندی و سپس تغییرات لازم اعمال می گردد.
امن سازی سیستم عامل چه تفاوتی با سایر روشهای امنیتی دارد؟
این یک تصور رایج و غلط است که کامپیوترهای بدون اینترنت، از حملات سایبری در امان هستند. اکثر افراد دادههای حساس را در کامپیوتر یا لپ تاپ خود به عنوان مکانی ایمن در برابر سرقت اطلاعات، ذخیره میکنند.
اما دادههای ذخیره شده در دستگاه های شخصی یا ایزوله سازمانی، میتوانند از طریق یک USB مخرب یا نرم افزار نصب شده، در معرض خطر قرار گیرند که با امن سازی سیستمعامل می توان از خطاهای متداول، مانند دسترسی به احراز هویت اثر انگشت یک کارمند یا نرمافزارهای پچ نشده تا حدی جلوگیری کرد.
انواع امن سازی سیستم عامل:
1. امن سازی سیستم هامل، جهت ایمن سازی سازمان در برابر تهدیدات، ضرورت دارد. به طور خلاصه، Hardening سیستم شامل شناسایی و کنترل آسیبپذیریهای امنیتی احتمالی در سراسر سازمان می باشد مانند:
امن سازی نرمافزار: این مورد به عنوان Hardening اپلیکیشن نیز شناخته میشود که مستلزم اجرای بهترین شیوههای امنیتی برای محافظت از نرم افزارهای نصب شده روی سرور است.
امن سازی سرور: یک فرآیند Hardening است که در آن از دادهها، کامپوننت ها، توابع و دسترسیهای یک سرور با اجرای امنیت در سختافزار و نرمافزار، محافظت میشود.
امن سازی پایگاه داده: با کنترل دسترسی، رمزگذاری اطلاعات و غیرفعال کردن خدمات غیر ضروری، دیتابیسی که دادهها در آن ذخیره و مدیریت می شود، ایمن خواهد شد.
امن سازی شبکه: شامل اجرای اقدامات امنیتی برای محافظت از سرورهای زیرساخت ارتباطی و سیستمهای رایانهای میشود که در شبکه استفاده میگردند..
مقایسه Hardening نرم افزار و Hardening سیستم عامل
هرچند سیستم عامل نیز یک نرمافزار است اما Hardening سیستم عامل با Hardening نرمافزار تفاوت دارد. امن سازی سیستم عامل بر روی محافظت از نرمافزار تمرکز دارد که اجازه دسترسی به اپلیکیشنها را میدهد و به نوبه خود با Hardening نرمافزار، ایمن میشوند.
در مقابل، Hardening نرمافزار شامل اجرای روشهایی مانند استفاده از فایروال و آنتیویروس و ایجاد IDS (سیستم تشخیص نفوذ) و IPS (سیستم پیشگیری از نفوذ) است. از سوی دیگر، Hardening سیستمعامل از استراتژیهایی مانند حذف درایورهای غیرضروری، رمزگذاری HDD یا SSD و مدیریت دسترسی، استفاده میکند.
روشهایHardening سیستم عامل
1. اجرای مکرر بروزرسانیهای منتشر شده توسط توسعه دهندگان سیستم عامل
نرم افزار معمولا حاوی شکافها و آسیب پذیریهای امنیتی است. صاحبان چنین نرم افزارهایی، به طور مرتب آنها را با بروزرسانی یا وصله های امنیتی متشر می کنند. بنابراین، بسیار مهم است که به طور منظم سیستم عامل خود را برای کاهش آسیب پذیریها، بروز کنید. باید از فعال بودن بروزرسانی خودکار سیستمعامل مطمئن شد و سپس تنظیمات لازم را انجام داد. برای اطمینان از اینکه سیستم عامل شما به طور منظم بروز میشود، دو نکته را در نظر داشته باشید:
استفاده از آخرین service pack: استفاده از سرویس پک ها و بروزرسانی آنها با آخرین نسخه، کلید کاهش خطرات امنیتی است.
مدیریت وصله: پچ ها، اصلاحات امنیتی برای آسیب پذیریهای شناخته شده در نرم افزار هستند. نظارت مستمر، آزمایش و اصلاحات به موقع، Hardening سیستم را تضمین میکنند.
2. حذف درایورهای غیر ضروری
هر زمان که دیوایسی را به رایانه متصل میکنید، سیستم عامل درایوری را برای تسهیل اتصال دستگاه، نصب میکند اما وقتی دستگاه جدا میشود، درایورها ممکن است از بین نروند. همین امر در مورد نرم افزار نیز صدق میکند و اغلب، درایورهای نرم افزار حتی زمانی که نرم افزار را حذف میکنید، فعال میمانند.
درایورهای قدیمی، بلا استفاده و مخفی، علاوه بر تاثیر روی عملکرد سیستم و ایجاد تداخل بین درایورها در آینده، میتوانند سیستم شما را در معرض حملات نیز قرار دهند. عناصر مهاجم، میتوانند از شبکه سازمان برای دسترسی به سیستم شما و ایجاد آسیبهای جدی، استفاده کنند. بنابراین، به محض قطع اتصال دستگاه یا حذف نرم افزار، باید درایورها حذف شوند.
3. رمزگذاری HDD یا SSD میزبان سیستم عامل
صرف نظر از اینکه دستگاه ذخیره سازیHDD یا SSD باشد، باید از یک نرم افزار رمزگذاری برای ایمن کردن دادهها و سیستم عامل استفاده کرد. با رمزگذاری هارد دیسک، فایلهای به صورت خودکار رمزگذاری میشوند. هر زمان که قصد دسترسی به فایلها را داشته باشید، مجددا توسط نرم افزار، رمزگشایی خواهند شد. با رمزگذاری و رمزگشایی آسان داده ها، به سطح بالاتری از امنیت دست پیدا میکنیم
4. محدود کردن و اعتبارسنجی مجوزهای دسترسی به سیستم
جهت استفاده از ابزارهای کنترل دسترسی برای ایمن کردن فایلها، شبکهها و سایر اجزای سیستم، باید یک قانون کلی وجود داشته باشد. اگرچه سیستم عاملهایی مانند ویندوز و لینوکس، قابلیتهای کنترل دسترسی قدرتمندی را ارائه میدهند اما توسعه دهندگان تمایل دارند از اجرای لایههای امنیتی، صرف نظر کنند.
اطمینان از مدیریت موثر میزان دسترسی، یکی از اولین اقدامات امنیتی است که باید انجام دهید. همچنین، هنگام پیکربندی نحوه کنترل، از اصل "حداقل امتیاز" پیروی کنید و دسترسی را صرفا برای افرادی که به آن نیاز دارند ایجاد نمایید تا از اینکه چه کسی به چه منابعی دسترسی دارد، مطلع باشید.
5. محدود کردن یا غیرفعالسازی امکان ایجاد حسابهای کاربری و ورود به آنها
دسترسی به سیستمعامل و در نهایت سیستم از طریق چندین حساب کاربری، یکی از بزرگترین تهدیدات برای امنیت آن میباشد. برای داشتن یک سیستم عامل امن، باید از ایجاد حسابهای کاربری جلوگیری کنید یا آنها را در حداقل تعداد ممکن نگه داشت. دسترسی Backdoor، یکی از آسیبپذیریهای متداول است که توسط مهاجمان مورد سوء استفاده قرار میگیرد. میتوان با محدود کردن دسترسی به سیستم، این خطر را کاهش داد.
6. استفاده از فریم ورکهای Hardening برای کنترل دسترسی بیشتر
سیستم عامل ها، اغلب فریم ورکهایی را ارائه میکنند که امکان کنترل دسترسی و یک لایه امنیتی بیشتر در اختیارتان قرار دهند. فریم ورکهایی مانند AppArmor و SELinux از سیستم در برابر حملاتی مانند سرریز بافر (buffer overflow) و تزریق کد محافظت میکنند. نصب این ابزارها، این امکان را میدهد که به طور خودکار بهترین روشها را برای Hardening سیستم عامل پیاده سازی کرد.
معیارهای CIS برای امنیت سیستم عامل
مرکز امنیت اینترنت (CIS) یک سازمان غیرانتفاعی است که فعالیت آن در زمینه شناسایی، توسعه و ارتقا بهترین راهکارهای امنیتی میباشد. ابزارهای رایگانی نیز برای تقویت دفاع در برابر تهدیدات، تولید و ارائه مینماید.
معیارهای CIS پیشنهاداتی برای پیکربندی هستند که بر اساس سهولت اجرا و تاثیری که خواهند داشت، از یکدیگر تفکیک میشوند. این معیارها، هفت جزء امنیت سایبری، از جمله سیستم عامل، نرم افزار سرور، سرور ابری، موبایل، دستگاه های شبکه، نرم افزار دسکتاپ و دستگاه چاپ چند منظوره را پوشش میدهند. این توصیهها با استانداردهایی مانند ISO 27000، PCI DSS، HIPAA، NIST CSF و NIST SP 800-53 مطابقت دارند.
معیارهای سیستم عامل
این معیارها، پیکربندیهای امنیتی را برای تمام نسخههای اصلی سیستم عامل مانند Windows ،Linux و Apple OSX پوشش میدهند و شامل بهترین ابزارها هستند، از جمله:
دسترسی محلی و از راه دور
نصب درایور
تنظیمات مرورگر اینترنت
مدیریت پچ
سیاستهای گروهی
علاوه بر این،CIS ایمیج آماده اجرا Hardening را به سازمانها ارائه میدهد تا بتوانند به صورت ایمن از آنها استفاده کنند و آسیب پذیریهای امنیتی را بدون نیاز به سخت افزار یا نرم افزار اضافی، محدود نمایند. ایمیجهای CIS با سازمانهای مجاز سازگاری دارند و میتوانند در پلتفرمهای رایانش ابری برای اپلیکیشنهای بدون سرور، استفاده شوند.
متاسفانه، همانطور که در این مقاله ذکر شد، ذخیره دادههای محرمانه در رایانه و قطع اتصال آن از اینترنت، ایمنی را به طور کامل تضمین نمی کند. Hardening سیستم عامل، نقش بزرگی برای اتخاذ یک موضع پیشگیرانه در برابر نقض امنیت ایفا میکند. زیرا این امکان را میدهد تا شکافهای امنیتی را شناسایی، آزمایش و مدیریت کنیم.
پیامرسان: 09331339786
ایمیل info@qhi.ir
کانال تلگرام: https://t.me/madacoSecurity
20 کنترل امنیتی حیاتی CIS چیست.pdf
313.9K
آشنایی با کنترل امنیتی مبتنی بر استاندارد cis
پیامرسان: 09331339786
ایمیل info@qhi.ir
کانال تلگرام: https://t.me/madacoSecurity
تلفن: 01142031164