چرا سامانه تشخیص و پاسخ اندپوینت (EDR) آینده محفاظت از نقاط پایانی است؟
مطالعات نشان می دهد که نزدیک به 90 درصد از حملات سایبری و 70 درصد از نقض و نشت اطلاعات از کلاینتها و نقاط پایانی شروع می شود. راهحلهای امنیتی سنتی مانند آنتیویروس و فایروالها محدود به شناسایی تهدیدات شناخته شده هستند و در برابر حملات پیشرفته مانند مهندسی اجتماعی، فیشینگ و حملات «بدون فایل» بیاثر هستند. این تهدیدات پیچیده می توانند ابزارهای سنتی را دور بزنند و در شبکه ها پنهان بمانند و داده ها را برای حملات بعدی جمع آوری کنند. سامانه های تشخیص و پاسخ نقطه پایانی (EDR یا Endpoint Detection & Response) موثرتر است و تهدیدات پیشرفته را شناسایی و پاسخهای خودکار به آنها را ارائه میکند که میتواند تهدیدها را بدون دخالت انسان شناسایی و مهار کند. EDR همچنین ابزارهایی را برای تیم های امنیتی برای کشف، بررسی و جلوگیری از تهدیدات جدید فراهم می کند.
سامانه Endpoint Detection and Response یا EDR چیست؟
سامانه EDR یک راه حل امنیتی جامع است که به طور فعال فعالیت های نقاط پایانی مانند رایانه های رومیزی، لپ تاپ ها، سرورها و دستگاه های تلفن همراه را برای شناسایی و کاهش تهدیدات احتمالی نظارت و تجزیه و تحلیل می کند. برخلاف نرمافزار آنتیویروس سنتی، که در درجه اول بر جلوگیری از تهدیدات شناخته شده تمرکز دارد، EDR برای شناسایی و پاسخ به حملات پیشرفته، اغلب مخفیانه، طراحی شده است که از دفاعهای محیطی عبور میکنند.
قابلیت های کلیدی EDR
راهکارهای EDR معمولاً طیف وسیعی از قابلیتها را ارائه میدهند که سازمانها را قادر میسازد تا به طور مؤثر تهدیدات سایبری را شناسایی، پاسخ داده و آنها را کاهش دهند. در ادامه برخی از عملکردهای اصلی EDR را بررسی کنیم:
نظارت مستمر نقطه پایانی
تشخیص تهدید پیشرفته
پاسخ خودکار حادثه
شکار تهدید و فارنزیک یا جرم شناسی
مدیریت متمرکز و گزارشدهی
ادغام با سایر ابزارهای امنیتی
راهکار EDR در مقابل EPP: درک تفاوت ها
پلتفرمهای محافظت نقاط پایانی (EPP) و سامانه های تشخیص و پاسخدهی نقاط پایانی (EDR) هر دو اجزای ضروری یک استراتژی جامع امنیتی نقاط پایانی هستند، اما اهداف متفاوتی را دنبال میکنند.
پلتفرمهای محافظت نقطه پایانی (EPP)
پلتفرمهایEPP دردرجه اول بر جلوگیری از نفوذ تهدیدات شناخته شده به شبکه متمرکز هستند. آنها معمولاً از فناوری های سنتی آنتی ویروس، ضد بدافزار و فایروال، برای شناسایی و مسدودسازی آسیب پذیری های شناخته شده بدافزاری مبتنی بر امضا استفاده می کنند. EPP ها در جلوگیری از تهدیدات رایج مبتنی بر فایل موثر هستند، اما اغلب برای شناسایی حملات پیشرفته و هدفمندی که این دفاع های محیطی را دور می زنند، کاملا موفق عمل نمی کنند.
راهکار EDR
در مقابل، راه حل های EDR برای شناسایی، بررسی و پاسخ به تهدیدات پیشرفته ای طراحی شده اند که از قبل به شبکه نفوذ کرده اند. راه حل های EDR از تکنیک های پیچیده تری مانند تجزیه و تحلیل رفتار و یادگیری ماشین برای شناسایی ناهنجاری ها و فعالیت های مشکوک استفاده می کنند که ممکن است وجود یک تهدید سایبری را نشان دهد. EDR همچنین ابزارهایی را برای تیم های امنیتی برای انجام تحقیقات عمیق و اجرای اقدامات اصلاحی هدفمند فراهم می کند.
رویکرد تکمیلی
در حالی که EPP و EDR عملکردهای متفاوتی را انجام می دهند، اغلب به عنوان بخشی از یک رویکرد امنیتی لایه ای درکنار هم مستقر می شوند. EPP ها اولین خط دفاعی را در برابر تهدیدات شناخته شده ارائه می کنند، در حالی که EDR با شناسایی و پاسخ به تهدیدات پیشرفته و ناشناخته ای که ممکن است خارج از محیط باشند، امنیت را تکمیل می کند.
مزایای اجرای EDR
اتخاذ راهکار EDR می تواند طیف وسیعی از مزایا را برای سازمان ها فراهم کند، از جمله:
تشخیص و پاسخ تهدیدات پیشرفته
بهبود کارایی واکنش به حادثه
افزایش دید و آگاهی از موقعیت
انطباق بهتر و کاهش ریسک
کاهش هزینه کل مالکیت (TCO)
حفاظت از مالکیت معنوی و دارایی های حیاتی
توانایی EDR برای شناسایی و پاسخ به تهدیدات پیشرفته، از جمله تهدیدهایی که داده های حساس و مالکیت معنوی را هدف قرار می دهند، به سازمان ها کمک می کند تا از با ارزش ترین دارایی های خود در برابر سرقت یا دسترسی غیرمجاز محافظت کنند.
راهکار EDR در عمل: موارد استفاده در دنیای واقعی
راه حل های EDR کارایی خود را در انواع سناریوهای دنیای واقعی ثابت کرده اند. برخی از موارد استفاده رایج را بررسی می کنیم:
دفاع در برابر باجافزار
تشخیص تهدید داخلی
کاهش تهدید دائمی پیشرفته (APT)
حفاظت نقطه پایانی برای نیروی کار از راه دور و سیار
امنیت فناوری عملیاتی (OT)
سامانه Seqrite EDR - محافظت از نقاط پایانی، رشد امنیت
راهکار Seqrite EDR (تشخیص و پاسخ نقطه پایانی) با
نظارت مداوم و جمع آوری داده ها از تمام نقاط پایانی، امنیت را افزایش می دهد. این در هر دو نسخه مبتنی بر سرور داخلی و ابری در دسترس است. Seqrite EDR مدیریت هشدار را ساده میکند و دید مورد نیاز برای شناسایی و رسیدگی به تهدیدات پیچیده را بدون تیمهای امنیتی قدرتمند فراهم میکند.
سامانه Seqrite EDR به طور کامل رویدادهای تله متری را آنالیز می کند و فعالیت های مشکوک را به صورت بلادرنگ مسدود می کند. این به تیم های داخلی اجازه می دهد تا حملات را بررسی کنند و نیاز به کمک خارجی را کاهش می دهد. Seqrite EDR با ذخیره سازی داده های پیشرفته و هوشمندی تهدید، به سرعت تهدیدات پنهان را آشکار و پاسخدهی سریع را امکان پذیر می کند.
ویژگی های کلیدی Seqrite EDR عبارتند از:
• تصدیق چند فازی که رویدادهای سیستم را با استفاده از تجزیه و تحلیل رفتاری، مقایسه امضا و همچنین یادگیری ماشین بررسی می کند.
• ایزوله سازی فوری که سیستم آلوده را به طور خودکار یا دستی قرنطینه می کند.
• جستجوی خودکار و دستی IOC بر روی تاریخچه داده ها.
• یک سیستم اطلاع رسانی پیشرفته که با راه حل های SIEM ادغام می شود و هشدارهای پیامک/ایمیل را ارسال می کند.
• داشبوردها و ویجت هایی که دید جامعی از سلامت سیستم و حوادث ارائه می دهند.
• گزارشهای مفصلی که بینشهای همسو با TTPهای MITER ارائه میدهند.
• یک قانون ساز که اجازه ایجاد قوانین سفارشی برای تشخیص فعالیت غیرمعمول را می دهد.
• سیاستهای واکنش بلادرنگ بر اساس ارزیابی ریسک.
• یک میز کار تحقیقی برای بررسی عمیق حادثه.
• ابزارهای مدیریت حادثه که به اقدامات اصلاحی کمک می کند.
نتیجه گیری
همانطور که چشمانداز امنیت سایبری در حال تکامل است، انتظار میرود نقش EDR با پیشرفتهایی در زمینههایی مانند تشخیص و پاسخ گسترده (XDR)، MDR و ادغام هوش مصنوعی و یادگیری ماشین رشد کند. با ارزیابی دقیق و انتخاب راه حل مناسب EDR، سازمان ها می توانند از پتانسیل کامل این فناوری امنیتی قدرتمند سود برده و از دارایی های حیاتی خود در برابر تهدید روزافزون حملات سایبری محافظت کنند.
برای دریافت نسخه ی آزمایشی رایگان با ما در ارتباط باشید.
پیامرسان: 09331339786
ایمیل info@qhi.ir
تلگرام: https://t.me/madacoSecurity
تلفن: 01142031164
50 سوال برتر مصاحبه امنیت سایبری.pdf
633.8K
50 سوال مهم برای مصاحبه های امنیت سایبری
برای دریافت اطلاعات بیشتر با ما در ارتباط باشید.
پیامرسان: 09331339786
ایمیل info@qhi.ir
تلگرام: https://t.me/madacoSecurity
تلفن: 01142031164
تفاوت بین PAM و ZTNA چیست.pdf
179K
تفاوت بین PAM و ZTNA چیست؟
برای دریافت اطلاعات بیشتر با ما در ارتباط باشید.
پیامرسان: 09331339786
ایمیل info@qhi.ir
تلگرام: https://t.me/madacoSecurity
تلفن: 01142031164
AV-TEST_Seqrite_Advanced_EDR_Test_Aug_2024.pdf
887K
تست EDR پیشرفته 2024: Seqrite XDR »
موسسه معتبر AV-TEST یک ارزیابی جامع از Seqrite XDR را با تمرکز بر قابلیتهای تشخیص و پاسخ نقطه پایانی (EDR) از دسامبر 2023 تا مارس 2024 انجام داد. هدف ارزیابی میزان اثربخشی محصول در شناسایی و کاهش تهدیدهایی بود که معمولاً با تهدیدات پیشرفته هدفمند (APT) مرتبط هستند. سناریوهای آزمایشی دو الگوی حمله متمایز را شبیهسازی میکردند که هر کدام انواع تاکتیکها و تکنیکهای به کار گرفته شده توسط دشمنان پیچیده را برجسته میکردند.
سکورایت توانست با موفقیت همه حملات را با هوش مصنوعی منحصر بفرد خود دفع کند.
گزارش کامل تست:
https://lnkd.in/d53peSae
#امنیت_سایبری #امنیت_اینترنتی #محافظت_شبکه
@madaco
واتساپ: 09331339786
ایمیل: info@qhi.ir
تلگرام: https://t.me/madacoSecurity
عملیات شلخته (Sloppy) چیست؟
یکی از موارد رایج در IT سازمانی Sloppy operations هست که بسیار رایج است، جایی که ادمین پس از نصب و پیکربندی دچار کمی اشتباه پیکربندی می شود، که باعث می شود هکرها و مهاجمان بتوانند به سرور ما نفوذ کنند.
عملیات شلخته ممکن است در مواردی مانند موارد زیر رخ دهد:
- تغییرات جدید پیکربندی،
- فراموشی حذف یک حساب کاربری تستی
- عدم تغییر تنظیمات پیش فرض نرم افزارها (مثلا عدم حذف حساب کاربری SA در SQL Server یا عدم تغییر رمزعبور پیش فرض)
- عدم تسلط ادمین بر پیکربندی و بهینه سازی سیستمها (دیوایس یا نرم افزارها)
- عدم وصله کردن و بروزرسانی نرم افزارها و سیستمها
این پیکربندی شلخته ممکن است در یکی از سرورهای یک کلاستر که همه باید یکسان باشند، وجود داشته باشد.
تستر نفوذ تک تک سرورها را بررسی می کند. بسیار رایج است، جایی که فرد دچار کمی اشتباه پیکربندی شده است، روی یک سرور یک اشتباه بزرگتر وجود داشته باشد، روی یکی دیگر کانفیگ اشتباه کرده باشد.
بنابراین استفاده از سامانه های امنیتی نظیر ZTNA، UTM، EPS، DLP و... درکنار پیکربندی مناسب سرورها، زیرساختها و سیستمها می تواند به امنیت حداکثری سازمانی کمک کند.
#امنیت_سایبری #امنیت_اینترنتی #محافظت_شبکه #عملیات_شلخته #sloppy_operations
@madaco
واتساپ: 09331339786
ایمیل: info@qhi.ir
تلگرام: https://t.me/madacoSecurity
بهترین شیوه برای امن سازی ثبت وقایع و تشخیص تهدید (SIEM) توسط NSA منتشر شد
آژانس امنیت ملی آمریکا (NSA) بهترین روشها را برای ثبت رویداد و تشخیص تهدیدات (Event Logging & Threat Detection) در سرویسهای ابری، شبکههای سازمانی، دستگاههای تلفن همراه و شبکههای فناوری عملیاتی (OT) منتشر کرده است تا از سرویس دهی مداوم سیستمهای حیاتی اطمینان حاصل گردد.
این برگه اطلاعات امنیت سایبری (CSI) با همکاری نویسندگان بین المللی از جمله مرکز امنیت سایبری استرالیا منتشر شده است.
این راهنما برای استفاده کارکنان سایبری و فناوری اطلاعات در شرکتها و سازمانها در نظر گرفته شده تا آنها را در برابر عوامل تهدیداتی که از تکنیکهای حملات بدون فایل و استفاده کننده از زیرساخت موجود دستگاهها (LOTL) دفاع کند.
همچنین توصیه هایی را برای بهبود انعطاف پذیری سازمان در محیط تهدید سایبری کنونی و در عین حال در نظر گرفتن محدودیت های منابع ارائه می دهد.
بهترین روش برای ثبت رویداد و تشخیص تهدید
یک سیستم ثبت رویداد کارآمد باید بتواند رویدادهای امنیت سایبری مانند تغییرات در پیکربندی های نرم افزاری ضروری را تشخیص دهد، هشدارهایی را هنگام وقوع این رویدادها ارائه دهد، تطبیق حساب ها را زیر نظر داشته باشد و تضمین کند که گزارش ها و پلت فرم های ثبت گزارش کارآمد و قابل استفاده هستند.
برای لاگ برداری سیستم ها، چهار عامل زیر را رعایت کنید:
1. خط مشی ثبت رویداد تایید شده توسط سازمان
2. دسترسی و همبستگی ثبت رویداد متمرکز
3. ذخیره سازی ایمن و یکپارچگی گزارش رویداد
4. استراتژی تشخیص برای تهدیدات مربوطه
سیاست گذاری ثبت لاگ سازمانی: یک حرکت استراتژیک برای امنیت سایبری
ایجاد و اجرای یک خط مشی ثبت لاگ تایید شده توسط سازمان، توانایی سازمان را برای شناسایی فعالیت های جعلی در سیستم های خود را افزایش می دهد و تضمین می کند که همه محیط ها از یک تکنیک لاگ برداری استفاده می کنند.
خط مشی ثبت وقایع باید هر گونه وظایف مشترک بین سازمان و ارائه دهندگان خدمات (پیمانکاران) را در نظر بگیرد.
علاوه بر این، خطمشی باید مشخص کند که کدام رویدادها باید ثبت شوند، گزارشهای رویداد چگونه نظارت میشوند، چه مدت نگهداری میشوند و چه زمانی باید دوباره ارزیابی شود و کدام گزارشها باید نگهداری شوند.
توسعه و پیادهسازی یک خطمشی ثبت وقایع و لاگ برداری تأیید شده توسط سازمان برای شناسایی رفتار مخرب و اطمینان از ثبات در محیطهای سازمان بسیار مهم است. اجزای کلیدی یک خط مشی ثبت گزارش موثر عبارتند از:
کیفیت گزارش رویداد: به جای گزارشهای با قالببندی مناسب، روی ثبت رویدادهای امنیت سایبری با کیفیت بالا تمرکز کنید. گزارشهای با کیفیت بالا به مدافعان شبکه کمک میکنند تا حوادث را با دقت شناسایی کرده و به آنها پاسخ دهند.
گزارشهای رویداد ضبط شده با جزئیات: گزارشها باید شامل جزئیات ضروری مانند مهرهای زمانی، انواع رویداد، شناسههای دستگاه، آدرسهای IP، شناسههای کاربر و دستورات اجرا شده باشند. این اطلاعات برای شناسایی موثر تهدید و پاسخ به حادثه حیاتی است.
ملاحظات فناوری عملیاتی (OT): برای محیطهای OT، محدود توانایی ثبت لاگ دستگاهها را در نظر بگیرید و از حسگرها یا ارتباطات خارج از باند برای تکمیل گزارشها بدون بارگذاری بیش از حد دستگاهها استفاده کنید.
سازگاری محتوا و مهر زمان: از قالبهای گزارش ساختار یافته (مانند JSON) و مهرهای زمانی ثابت (ترجیحاً UTC با قالببندی ISO 8601) در همه سیستمها برای بهبود همبستگی و تجزیه و تحلیل گزارش استفاده کنید.
حفظ گزارش رویداد: اطمینان حاصل کنید که گزارشها به اندازه کافی برای پشتیبانی از تحقیقات حادثه نگهداری میشوند، با توجه به اینکه ممکن است برخی از تهدیدات ماهها قبل از شناسایی باقی بمانند. دوره های نگهداری باید با الزامات نظارتی و ارزیابی ریسک سازمان هماهنگ باشد.
این شیوهها توانایی سازمان را برای شناسایی، بررسی و واکنش موثر به حوادث امنیت سایبری افزایش میدهد.
دسترسی و همبستگی ثبت رویداد متمرکز
جمعآوری متمرکز و همبستگی لاگ، لیست های اولویتبندی شده از منابع گزارش را برای شبکههای سازمانی، OT، محاسبات ابری، و تحرک سازمانی با استفاده از دستگاههای محاسباتی سیار فراهم میکند.
فرآیند اولویتبندی شامل ارزیابی احتمال حمله مهاجم به دارایی ثبتشده و پیامدهای بالقوه به خطر افتادن دارایی است.
NSA به سازمانها توصیه کرد که امکانات ثبت لاگ متمرکز، مانند دریاچههای داده ایمن، را برای فعال کردن تجمیع گزارش راهاندازی کنند.
پیاده سازی یک سیاست ثبت لاگ سازمانی موثر باید شامل موارد زیر باشد:
1. تعریف مسئولیت ها: نقش های گزارش گیری بین سازمان و ارائه دهندگان خدمات را روشن کنید.
2. اولویتبندی گزارشها: روی سیستمهای حیاتی، دستگاههای شبکه و مناطق پرخطر در
در محیطهای سازمانی، OT، ابر و موبایل تمرکز کنید.
3. حصول اطمینان از کیفیت گزارش: جزئیات کلیدی مانند مُهرهای زمانی، آدرسهای IP و شناسههای کاربر را ضبط کنید. از فرمت های ثابت مانند JSON استفاده کنید.
4. نظارت متمرکز: گزارشها را بهصورت متمرکز جمعآوری کنید، با دادههای دستهبندی شده به «گرم» (دسترسی سریع) و «سرد» (ذخیرهسازی طولانیمدت).
5. نگهداری و ذخیره سازی: دوره های نگهداری را بر اساس ریسک و نیازهای انطباق و قوانین جاری تنظیم کنید. برای جلوگیری از از دست رفتن اطلاعات، از فضای ذخیره سازی کافی اطمینان حاصل کنید.
6. همگام سازی مهر زمانی: از یک منبع زمانی ثابت و قابل اعتماد در همه سیستم ها (ترجیحاً UTC) استفاده کنید.
7. ملاحظات OT: محدودیتهای دستگاه OT را با روشهای ثبت جایگزین در نظر بگیرید.
8. بازبینی منظم: بهطور دورهای ارتباط گزارش را دوباره ارزیابی کنید و در صورت لزوم خطمشی را بهروزرسانی کنید.
این رویکرد تشخیص تهدید، توانایی پاسخ گویی حادثه و انطباق را تقویت می کند.
لاگهای منتخب و پردازش شده باید به ابزارهای تحلیلی مانند راهحلهای اطلاعات امنیتی و مدیریت رویداد (SIEM) و راهحلهای تشخیص و پاسخ گسترده (XDR) ارسال شوند.
ذخیره سازی ایمن و یکپارچگی گزارش رویداد
1. ثبت لاگ متمرکز: یک دریاچه داده ایمن (data lake) را برای جمع آوری لاگها ایجاد کنید و از تلفات ناشی از ذخیره سازی محلی محدود جلوگیری کنید. گزارش های کلیدی را برای تجزیه و تحلیل به SIEM/XDR ارسال کنید.
2. انتقال و ذخیرهسازی ایمن: از TLS 1.3 و روشهای رمزنگاری برای محافظت از لاگها در حین انتقال و در حالت استراحت استفاده کنید. دسترسی به گزارش های حساس را محدود کنید.
3. جلوگیری از دسترسی غیرمجاز: از گزارشها در برابر تغییر/حذف توسط عوامل مخرب محافظت کنید. فقط پرسنل مجاز باید دسترسی داشته باشند، با گزارش های حسابرسی دقیق تغییرات انجام شده در محل.
4. امن سازی SIEM: سامانه SIEM را از محیط های IT عمومی جدا کنید، لاگ ها را برای اولویت بندی موارد مهم فیلتر کنید و هزینه ها را به حداقل برسانید.
5. شناسایی خط پایه و تهدید: از گزارشهای متمرکز برای شناسایی انحرافات از رفتار عادی استفاده کنید که نشاندهنده رویدادها یا حوادث احتمالی امنیت سایبری است.
6. پردازش به موقع لاگ: از جمع آوری سریع لاگ ها برای فعال کردن تشخیص زودهنگام حوادث امنیتی اطمینان حاصل کنید.
استراتژی شناسایی برای تهدیدات مربوطه
برای شناسایی تکنیکهای تهاجمی جدید مانند بدون فایل Living Off the Land (LOTL)، سازمانها باید تحلیلهای رفتاری کاربر و موجودیت (UEBA) را پیادهسازی کنند و از سیستمهای SIEM برای شناسایی ناهنجاریها با مقایسه گزارشهای رویداد با خطوط پایه مشخص شده فعالیت عادی استفاده کنند. توصیه ها و استراتژی های کلیدی عبارتند از:
1. تجزیه و تحلیل رفتاری: از UEBA برای تشخیص خودکار رفتار غیرعادی در شبکهها، دستگاهها یا حسابها استفاده کنید، که برای شناسایی تکنیکهای LOTL که با عملیات عادی ترکیب میشوند ضروری است.
2. مطالعه موردی – Volt Typhoon: این گروه از تکنیکهای LOTL مانند اسکریپتهای PowerShell، کنسول ابزار مدیریت ویندوز (WMIC) و سایر ابزارهای داخلی سیستم عامل برای نفوذ و گسترش حملات در داخل سیستمها استفاده می کنند که تشخیص سنتی را به چالش میکشد.
3. شاخص های رفتارهای غیرعادی:
زمان ها یا مکان های ورود غیرمعمول.
دسترسی به خدماتی که معمولاً توسط یک حساب کاربری استفاده نمی شود.
حجم بالای تلاش برای دسترسی یا دانلود داده.
استفاده از فرآیندها و مسیرهای غیر معمول یا مشکوک.
فعالیت غیرمنتظره حساب، مانند فعال کردن مجدد حسابهای غیرفعال شده.
ناهنجاری های شبکه، مانند اتصالات جدید بین دستگاه ها.
1. تشخیص پیشرفته: راهحلهای تشخیص و پاسخ نقطه پایانی (EDR) را پیادهسازی کنید، از ثبت جزئیات (شامل ایجاد فرآیند و ممیزی خط فرمان) اطمینان حاصل کنید و خطوط پایه برای استفاده باینری مشروع ایجاد کنید.
2. شکار پیشگیرانه تهدید: به طور منظم شکار تهدید را برای شناسایی و بررسی فعالیت های بالقوه LOTL انجام دهید، قوانین تشخیص را بر اساس چشم انداز تهدیدات در حال تکامل اصلاح کنید.
این استراتژیها به شناسایی و کاهش تکنیکهای LOTL کمک میکنند، که به دلیل اتکا به ابزارها و فعالیتهای قانونی در یک شبکه چالش برانگیز هستند.
دیو لوبر، مدیر امنیت سایبری آژانس امنیت ملی آمریکا (NSA) می گوید: «سازمانها باید انعطافپذیری خود را در برابر زندگی در زمینهایی که محیط تهدید سایبری امروزی را فراگرفتهاند، تقویت کنند».
پیادهسازی و حفظ یک راهحل موثر ثبت رویدادها، امنیت و انعطافپذیری سیستمها را با فعال کردن دید شبکه و پاسخ سریعتر به حادثه، بهبود میبخشد.
تواند به امنیت حداکثری سازمانی کمک کند.
#امنیت_سایبری #SIEM #محافظت_شبکه #آموزش_امنیتی #لاگ
در صورت هرگونه پرسش درباره راه اندازی سامانه های امنیتی مانند SIEM با برندهای شرکتهای مطرح مانند Splunk، Elasticsearch stack، و نیز EDR و XDR با برند Seqrite کوییک هیل با ما در ارتباط باشید:
واتساپ: 09331339786
ایمیل: info@qhi.ir
تلگرام: https://t.me/madacoSecurity
⚠️ هکرها ۲۰ بانک ایرانی را هک و برای منتشر نکردن اطلاعات مشتریان سه میلیون دلار باج گرفتند!
🔴 پولتیکو به نقل از منابع مطلع گزارش داده که حمله سایبری ماه گذشته که تهدیدی برای ثبات سیستم بانکداری ایران بود موجب شد که شرکت تامین کننده راهکارهای نرم افزاری بانکداری ایران (شرکت توسن) به هکرها میلیون ها دلار باج پرداخت کند.
🔴براساس این گزارش، این شرکت ایرانی تحت فشار دولت دستکم سه میلیون دلار به عنوان باج به گروه هکری IRLeaks پرداخت کرد تا از انتشار دادههای ۲۰ بانک ایران و اطلاعات حساب میلیونها ایرانی جلوگیری کند.
🔴به گزارش پولتیکو، این بدترین حمله سایبری به بانکهای ایران بهشمار میرود و گروهی تحت عنوان «آیآرلیکس» (IRLeaks) که سابقه هک بانکهای ایران را دارد، احتمالا پشت این حمله قرار دارد. این گروه هکری در ماه دسامبر نیز اطلاعات بیش از ۲۰ شرکت بیمه و اسنپ فوود را هک کرده بود.
🔴هکرها تهدید کرده بودند اگر ۱۰ میلیون دلار رمزارز دریافت نکنند دادهها، شامل اطلاعات حساب و کارت اعتباری میلیونها ایرانی را در دارک وب به فروش میگذارند. براساس این گزارش، در نهایت توافق بر سر میزبان کمتری باج به هکرها به نتیجه میرسد.
🔴هکرها با تزریق بدافزار به سیستمهای نرم افزاری بانکداری الکترونیکی شرکت توسن، توانستند با اجرای حمله زنجیره تامین به سرورهای بانکها وارد شوند. از ۲۹ موسسه مالی فعال، ۲۰ بانک که مشتری این شرکت هستند، هدف حمله قرار گرفتند. در بین این بانکها نام بانک توسعه و معادن، بانک مهر، پستبانک ایران، بانک ایران زمین، سرمایه، ایران ونزوئلا، دی، شهر، اقتصاد نوین، سامان و شعبههایی در ایتالیا و آلمان به چشم میخورد.
پ ن : استفاده از سیستمها و نرم افزارهای ناامن تبدیل به یکی از پاشنه آشیل های امنیتی کشور شده است. در کنار (1) استفاده از سامانه های امنیتی قدرتمند مانند EPP، XDR/EDR، ZTNA، UTM، EMM، SIEM، (2) اجرای پیکربندی درست و رویه های مهم امنیتی در زیرساخت و شبکه مانند مدیریت دسترسی از راه دور، کنترل ورودی و خروجی های شبکه، عدم استفاده از پروتکلهای غیرایمن مانند SMB1، بروزرسانی های سیستم عامل و نرم افزارها و عدم استفاده از نرم افزارهای غیراصل و دارای درب پشتی، (3) استفاده از سامانه ها و نرم افزارهای کاربردی سفارشی ایمن که تست های امنیتی مانند تست نفوذ و آسیب پذیری را به درستی پاس کند بسیار مهم است.
#امنیت_سایبری #هک #بانک
@madaco
واتساپ: 09331339786
ایمیل: info@qhi.ir
تلگرام: https://t.me/madacoSecurity
کوییک هیل یک برنامه آنتی ویروس جعلی به نام «AntiVirus-Virus Cleaner» را کشف کرده است که بیش از 10 میلیون بار در Google Play دانلود شده است. علیرغم ادعاهایش، این اپلیکیشن هیچگونه امنیتی را فراهم نمی کند و در عوض کاربران را با تبلیغات بمباران می کند.
تحقیقات Quick Heal نشان میدهد که این برنامه از ویژگیهای آنتیویروس واقعی تقلید میکند، اما فاقد تواناییهای اسکن واقعی است. تقریباً همه برنامهها را به اشتباه بهعنوان خطرناک علامتگذاری میکند، در حالی که برای جلوگیری از شناسایی، برنامه خود و برنامههای محبوب خود را در لیست سفید قرار میدهد.
جزئیات کامل را اینجا بخوانید: https://lnkd.in/dWrSeraR
برای دریافت اطلاعات بیشتر، دریافت نسخه ی آزمایشی رایگان محصولات امنیت سازمانی با ما در ارتباط باشید:
پیامرسان: 09331339786 ایمیل info@qhi.ir
کانال تلگرام: https://t.me/madacoSecurity
تلفن: 01142031164
https://madaco.ir