سرویس ضد حملات هدفمند کسپرسکی (KATA)

No comments

این بستر یک راه حل پیچیده برای سازمان های بزرگ است که از چندین لایه فناوری های شناسایی برای محافظت در برابر حملات هدفمند استفاده میکنند. نظارت آنی بر ترافیک شبکه همراه با محیط آزمایشگاهی (Sandboxing) و تحلیل رفتار کلاینت ها، تصویر کاملی از آنچه که در زیرساخت فناوری اطلاعات یک کسب و کار اتفاق می افتد، ارائه میدهد.

با تلفیق کردن رخدادهای لایه های مختلف شامل شبکه، کلاینت ها و چشم انداز تهدیدات جهانی، KATA تشخیص تهدیدات پیچیده را در زمانی نزدیک به زمان آنی انجام میدهد و به فعال کردن تحقیقات سابق کمک میکند. این راه حل نمونه ای از آزمایشگاه چند لایه کسپراسکی برای حفاظت پیشرفته نسل بعدی میباشد.

در سال های گذشته، بدافزارهای کالا در سایه کمپین های حملات از پیش برنامه ریزی شده و طولانی مدت هدفمند و پیچیده که APT نامیده میشوند، پنهان مانده بودند. با هدف قرار دادن قربانی، چنین حملاتی به راحتی از محافطت تک لایه عبور میکنند. اما با وجود تکنیک های شناسایی بیشتر، احتمال خطای حمله کننده افزایش پیدا میکند.

هدف اصلی راه حل حمله ضد هدفمند، بالا بردن هزینه حمله است تا جایی که حمله سودآورنباشد.

KATA شامل تکنیک های تشخیص زیر است:

  • TAA(Targeted Attack Analyzer) : تحلیلگر حمله هدفمند، فناوری جدیدی که مخصوص KATA توسعه یافته است. این فناوری رخدادها را از کلاینت ها و سایر موتورهای جستجو جمع آوری میکنند تا بر اساس آمار و مدل های یادگیری تصمیم گیری کند.
  • محیط آزمایشگاهی (Sandbox): مبنای نرخ تشخیص  آزمایشگاه کسپراسکی که برنده جایزه شده است، روی یک سرور مجزا قرارمیگیرد. علاوه بر این، پس پردازش ویژه ای اضافه شد تا فعالیت های اتمی مشکوک پرونده ها را نشانه گذاری کند. از طرفی، این یک رویکرد کلی برای کشف ابزارهای مهاجم برای اقداماتش میباشد. از طرفی دیگر، اطلاعات بیشتری در مورد بدافزارها به افسر امنیتی میدهد.
  • اسکن های آنی ترافیک توسط IDS : روشی بسیار موثر برای تشخیص کانال های ارتباطی.
  • بررسی سنتی AV که با تنظیمات خاص کار میکند. تمام تشخیص های کامل و نیمه به TAA برای تحلیل های بیشتر فرستاده میشوند.
  • شبکه امنیتی کسپراسکی(KSN) : برای به دست آوردن اعتبارو شهرت، محبوبیت و همه اطلاعات ممکن درباره اشیایی که توسط KATA پردازش شده اند(پرونده ها، دامنه ها، URLها و غیره)در سطح گسترده ای استفاده میشود. از فضای ابر خصوصی نیز (KPSN) پشتیبانی میشود.
  • کاربر میتواند قوانین یارا (Yara) را برای اسکن اشیا عبوری از KATA بارگذاری کند. اگر شی در بایگانی باشد، KATA آن را باز میکند و آنها را به صورت جداگانه برای اسکن یارا میگذارد.
  • KATA داده ها را از منابع مختلف برای تحیل دریافت میکند:
    • سنسورهای شبکه یک کپی از ترافیک، بازیابی اشیا و ابرداده شبکه را برای تحلیل های بیشتر دریافت میکنند.
    • تلفیق شدن با SMG کسپراسکی این امکان را میدهد که همه پیام ها به KATA فرستاده شوند. موقتا، مشتری میتواند سنسور مخصوص ایمیل KATA را نصب کند.
    • امنیت کلاینت کسپراسکی(Endpoint Security)  میتواند به عنوان یک سنسور نقطه پایانی عمل کند تا همه داده  های ضروری را از کامپیوترهای سراسر شبکه مشتری جمع آوری کند. از طرف دیگر یک عامل (Agent) مستقل میتواند نصب شود که با امنیت یک کلاینت شخص ثالث سازگار باشد.

هدف اصلی KATA شناسایی حمله هدفمند در هر مرحله از زمان توسعه آن است. هر لایه حفاظتی وظیفه تشخیص یک یا چند مرحله از حمله را دارد: محیط آزمایشگاهی (Sandbox)، YARA  و آنتی ویروس وظیفه مانیتور کردن نفوذ، IDS مسئول ارتباطات و چک کردن دزدی اطلاعات، TAA تقریبا بر تمام مراحل نظارت میکند و KSN به همه موارد کمک میکند.

روزبه نوروزیسرویس ضد حملات هدفمند کسپرسکی (KATA)
ادامه

گوشی S10 سامسونگ، اولین تلفن همراه 5G، دریافت کننده مجوز STIG

No comments

مجوز STIG (Security Technical Implementation Guide) مرتبط با تجهیزات استفاده شونده در مراکز حساس و کار با داده های مهم چون وزارت دفاع آمریکا است.
سایر دستگاه های سامسونگ مثل گلکسی S10 ، گلکسی اس 9 و گلکسی نوت 9 در لیست تلفن های هوشمندی که توسط دولت فدرال ایالات متحده قابل استفاده است، گنجانده شده اند. دستگاه های فوق به تأیید راهنمای اجرای فنی امنیتی (STIG) رسیده اند که تأیید می کند می توان از آنها برای محیط های با حساسیت بالا مانند ارتش استفاده کرد.
تأییدیه STIG حداکثر امنیت را برای داده های حساس نظامی تضمین می کند و امنیت سیستم های اطلاعاتی وزارت دفاع را بهبود می بخشد. سامسونگ افزود: سامسونگ ناکس هنگامی که API های مناسب برای Lock down کردن دستگاه استفاده می شوند ، شرایط STIG را برآورده می کند.
سامسونگ تأیید STIG را برای کل سری Galaxy S10 از جمله S10 5G دریافت کرد و اولین دستگاه 5G است که مورد تایید دولت فدرال است.

روزبه نوروزیگوشی S10 سامسونگ، اولین تلفن همراه 5G، دریافت کننده مجوز STIG
ادامه

امکان وقوع حمله به بیش از 120 میلیون کاربر اکسل از طریق حمله DDE به واسطه آسیب پذیری

No comments

میلیون ها کاربر مایکروسافت اکسل حمله و آسیب پذیرجدیدی از راه دور به نام DDE را کشف کرده اند .
محققان تهدید امنیتی از مرکز Mimecast اکسلی را کشف کردند که می تواند 120 میلیون کاربر را آلوده نماید .
در این حملات می توان از ابزار Power Query اکسل استفاده کرد تا به صورت پویاحمله داده دینامیک دیتا (DDE) را به یک صفحه گسترده متصل کرد و به طور فعال محتوای بارگیری را آلوده نمود . محققان همچنین دریافتند که از Query Power میتوان برای جاسازی کد مخرب در یک منبع داده و گسترش تروجان استفاده کرد.
برای اطلاعات بیشتر میتواند به لینک های زیر مراجعه نمایید .
• Security flaw in Dell SupportAssist tool puts millions of Windows systems at risk
• Over half of enterprises think security is lagging behind cloud adoption
• Netflix discovers SACK Panic and other Linux security flaws

محققان اعلام کردند بر اساس ویژگی های قدرتمند Power Query از آن استفاده و بهره برداری می کنند . این حمله بیار پیچیده و غیر قابل شناسایی است زیر پس از بازکردن صفحات اکسل نیاز به تایید ندارد .

Ofir Shlomo در یک وبلاگ در مورد این حمله می گویید :
Power Query یک ابزار قدرتمند و قابل مقایسه با (BI) است .که به کاربران اجازه می دهد که صفحات گسترده خود را با سایر منابع داده، مانند یک پایگاه داده خارجی، سند متن، یک صفحه گسترده دیگر یا یک صفحه وب، به چندین نام ادغام کنند. هنگامی که منابع مرتبط هستند، داده ها را می توان در صفحه گسترده، بارگذاری و ذخیره ویا به صورت پویا بارگذاری کرد. (به عنوان مثال هنگامی که سند باز است).

بر اساس تحقیقات تیم مرکز Mimecast Threat : این حملات Power Query برای راه اندازی حملات پیچیده و هم چنین برای تشخیص استفاده می شود و می تواند چندین حمله را ترکیب می کنند. با استفاده از این حملات ، مهاجمان می توانند محتوای مخرب را در یک منبع داده جداگانه جاسازی کنند و سپس آن را به صفحه گسترده دیگر منتقل کنند. کد مخرب با رها کردن و اجرای نرم افزارهای مخرب در دستگاه کاربر می تواند مورد استفاده قرار گیردو آن را به خطر اندازد.

این ویژگی کنترلهای قدرتمندی را فراهم می کند که می توان از آن برای استفاده از یک sandbox یا دستگاه قربانی حملات قبل از آلوده شدن استفاده کرد. مهاجم دارای امکانات بالقوه قبل از بارگیری و کنترل پیش از استثمار می باشد و می تواند بارگیری مخرب را به قربانی انجام دهد .
هم چنین

Mimecast با همکاری مایکروسافت به عنوان بخشی از فرآیند شناسایی آسیب پذیری هماهنگ (CVD) مشغول به کار است تا تعیین کند آیا این یک حملات بسیار مخرب است ؟اما ماکروسافت به جای ایجاد راه حل این مشکل را به قطع رد نمود .

مایکروسافت چندین سال پیش مشاوره ای در مورد حفره امنیتی ارائه داد اما تصمیم گرفت آن را اصلاح نکند.

روزبه نوروزیامکان وقوع حمله به بیش از 120 میلیون کاربر اکسل از طریق حمله DDE به واسطه آسیب پذیری
ادامه

تهدیدات امنیت سایبری در حوزه تجارت که باید در سال 2019 مورد توجه قرار بگیرتد

No comments

با وجود نرخ تکامل تکنولوژی، ممکن است هیچ چیزی سریعتر از چشم انداز امنیت سایبری تغییر نکند. حتی زمانیکه سازمان ها در معرض یک تهدید امنیتی قرار میگیرند  به نظر میرسد سه طرح دفاع سایبری دیگر به نوبت اتفاق می افتند.

ما شاهد همکاری بیشتری بین مجرمان سایبری و بازار زیر زمینی بوده ایم، که به آنها اجازه داده است تا راندمان محصولات خود را افزایش دهند . مجرمان سایبری سالها به این طریق همکاری داشته اند. در سال 2019 فقظ اقتصاد این بازار گسترش خواهد یافت. بازی موش و گربه ای که صنعت امنیت با توسعه دهندگان  ransomware رو به افزایش است و صنعت باید سریع تر و موثر تر از همیشه پاسخ دهد

مراقب تهدیدات هوش مصنوعی باشید:

هوش مصنوعی برای کسب و کارها از لحاظ کارآیی و خودکار سازی وظایف خسته کننده بسیار مفید است، اما مجرمان سایبری نیز در تکنولوژی به دنبال فرصت میگردند. مخصوصا هنگامی که به دنبال تکنیک های حیله هستند که مجرمان را قادر می سازد تا شناخته نشوند و امنیت را دور بزنند. محققان McAfee در گزارش پیش بینی تهدیدات سال 2019 توضیح میدهند: “انتظار میرود تکنیک های حیله برای استفاده از هوش مصنوعی برای خودکار سازی انتخاب هدف و یا بررسی محیط های آلوده قبل از استقرار مراحل بعد و جلوگیری از تشخیص استفاده شوند.”

این بدافزار مبتنی بر هوش مصنوعی، در بالای لیستی که پر از تکنیک های حیله میباشد که امروزه مشاغل سایبری زیرزمینی از آن استفاده میکنند از جمله تکنیک های جدیدی که در سال 2018 کشف شده است، مانند بات نت ها و رمزگشایی.

یک پادزهر احتمالی مبتنی بر هوش مصنوعی و دیگر ابزار امنیت سایبری نسل جدید برای شناسایی و جلوگیری از تهدیداتی که به ظور فزاینده در حال پیچیده شدن هستند استفاده میشوند.

ریموند بوگس، معاون پژوهشی تحقیقات کسب و کار کوچک و متوسط در IDC، به BizTech می گوید: “ابزارهایی که از هوش مصنوعی برای نظارت بر رفتار دستگاه و کاربر استفاده می کنند و هر گونه مورد مشکوک را علم میکنند، در سال 2019 برای کمک به ارتقای قابلیت های امنیتی می آیند.”

امنیت ابر مهمترین مساله میشود:

با اتخاذ ایمیل های مبتنی بر ابر و برنامه های دیگر، امنیت ابر باعث نگرانی بیشتری در سال جدید خواهد بود. مخصوصا به دلیل گفته McAfee، 21درصد داده های دخیره شده در ابر حساس هستند. همچنین بازیگران بد وقتی ابر به اشتباه تنظیم شده باشد فرصتی برای سواستفاده از آن دارد.

تیم جفرسون، معاون رئیس جمهور ابر عمومی در شبکه های Barracuda توضیح میدهد: همانطور که انتقال حجم کار به فضای عمومی ابر زیاد میشود، متخصصان امنیت ریسک باید به طور فعالانه در فرایندهای تیم DevOps خود شرکت کنند تا بتوانند برنامه های حاکمیت و کنترل های انطباق را خودکار کنند. در نتیجه، جفرسون انتظار دارد که تیم های بیشتری درگیر شدن با اتوماسیون باشند که می تواند به «نظارت بر امنیت ابری و حل مشکلات به صورت خودکار» کمک کند.

روزبه نوروزیتهدیدات امنیت سایبری در حوزه تجارت که باید در سال 2019 مورد توجه قرار بگیرتد
ادامه

بدافزار جدید Echobot

No comments

لیستی از برخی از دستگاه های مورد حمله اخیر. بدافزار جدید Echobot این آسیب پذیری ها را مورد هدف قرار می دهد:

1- Asustor NAS appliance (CVE-2018-11510)

2- ASUS Wireless-N300 ADSL Modem Router (CVE-2018-15887)

3- Belkin Wemo UPnP Remote Code Execution (CVE-2019-12780)

4- Blackbox (CVE-2019-3929)

5-Dell (Quest) KACE Command Injection (CVE-2018-11138)

6-Open Dreambox Command Injection (CVE-2017-14135)

7-Geutebruck Command Injection (CVE-2017-5173)

8- Hootoo HT-05 Remote Code Execution (CVE-2018-20841)

9-Netgear readyNAS Remote Command Execution (CVE-2017-18377)

10-NUUO NVRmini devices remote Command Execution (CVE-2018-14933)

روزبه نوروزیبدافزار جدید Echobot
ادامه

توصیه و راهکار مرکز تالوس سیسکو برای کشف حملات روی ترافیک رمز شده RDP نظیر BlueKeep

No comments

اخیرا مایکروسافت برای یک آسیب پذیری خطرناک اجرای کد از راه دور در خصوص مرحله قبل از تعیین هویت در پروتکل RDP وصله ای را ارائه کرده است. این آسیب پذیری به عنوان CVE-2019-0708 در patchهای ماه می شناخته شده است. این آسیب پذیری توجه محققان و رسانه ها را به دلیل این واقعیت که “کرم پذیر است” به خود جلب کرده است. کرم پذیر یعنی حمله ای که از این آسیب پذیری استفاده میکند و میتواند به راحتی از یک ماشین به ماشین دیگری پخش شود. این مساله در طول 54 قسمت از پادکست “آبجو با تالوس” مورد بحث قرار گرفت.
سیسکو تالوس بلافاصله شروع به کار مهندسی معکوس کرد تا مشخص کند دقیقا RDP چگونه آسیب پذیر است. تالوس به محض اینکه توانستیم شرایط آسیب پذیری را تعیین کنیم، پوشش آسیب پذیری را تدوین و منتشر کرد. Snort با SID 50137 به درستی سو استفاده از آسیب پذیری به شماره CVE-2019-0708 و اسکن هایی که تلاش میکنند از این آسیب پذیری استفاده کنند را مسدود میکند.
این قانون با مسدود کردن هر اتصال RDP که تلاش می کند از کانال مجازی MS_T120 استفاده کند. از سو استفاده از آسیب پذیری به شماره CVE-2019-0708 جلوگیری می کند. پروتکل RDP کانال های مجازی را تعریف می کند که می توانند برای انتقال انواع مختلف داده (مانند کلیپ بورد، صوتی و غیره) استفاده شوند. علاوه بر این کانال های مشخص شده توسط کاربر، مایکروسافت کانال MS_T120 را در سیستم RDP ویندوز ایجاد می کند. ایجاد کردن یک کانال MS_T120 ازکاربران انتظار نمیرود. یک مهاجم ناشناسا از راه دور میتواند با ارسال داده های ساخته شده به این کانال داخلی از آسیب پذیری به شماره CVE-20190708 سو استفاده کند.
از آنجا که سرورهای RDP سیستم کاربران از چه کانال های مجازی پشتیبانی میکنند، کاربران لیستی از کانالهای درخواستی شان را در بسته اولیه اتصال در آغاز نشست RDP فراهم میکنند.
Client –> Connection Request –> Server
Client <– Connection Confirm <– Server — Optionally switch transport to TLS — Client –> MCS connect-initial –> Server
Client <– MCS connect-response <– Server
مشخص شدن اینکه سیستم سرویس گیرنده قادر به دریافت TLS است یا خیر در درخواست اتصال RDP امکان پذیر می باشد. در بیشتر موارد، این باعث می شود که سرور بعد از بسته تأیید اتصال، اتصال را به TLS تغییر دهد. این به این معنی است کهFirepower سیسکو فقط لیست کانال های مجازی در مورد رمزگذاری شده را بررسی میکند درصورتی که رمزگشایی TLS برای RDP تنظیم شده باشد.
درحالیکه قانون ذکرشده Snort میتواند به محافظت در برابر BlueKeep کمک کند مهاجمین هنوز هم میتوانند حملات رمزگذاری شده را انجام دهند. اساسا کاربران گذشته را گمراه کرده و ناشناخته باقی مانده اند. حتی اگر کاربران رمزگشایی TLS را برای RDP بر روی دستگاه Firepowerشان راه اندازی کنند، این احتمال وجود دارد که مهاجم بتواند از آسیب پذیری CVE-2019-0708 برا رساندن بدافزاری که میتواند به سرعت پخش شود سو استفاده کند.

روزبه نوروزیتوصیه و راهکار مرکز تالوس سیسکو برای کشف حملات روی ترافیک رمز شده RDP نظیر BlueKeep
ادامه

پیشنهاد مایکروسافت برای ارتقای امنیت ویندوز

No comments

برنامه های لینک زیر میتوانند برای دور زدن Application Whitelisting شما مورد استفاده قرار گیرند .

لذا اجرای آنها را محدود کنید.

  • addinprocess.exe
  • addinprocess32.exe
  • addinutil.exe
  • bash.exe
  • bginfo.exe[1]
  • cdb.exe
  • csi.exe
  • dbghost.exe
  • dbgsvc.exe
  • dnx.exe
  • fsi.exe
  • fsiAnyCpu.exe
  • kd.exe
  • ntkd.exe
  • lxssmanager.dll
  • msbuild.exe[2]
  • mshta.exe
  • ntsd.exe
  • rcsi.exe
  • system.management.automation.dll
  • windbg.exe
  • wmic.exe
روزبه نوروزیپیشنهاد مایکروسافت برای ارتقای امنیت ویندوز
ادامه

نکته ای در بحث امن سازی vSphere

No comments

از قالب ها و مدیریت اسکریپتی استفاده کنید

قالب­های ماشین مجازی شما را قادر می­سازند تا سیستم عامل­هایی مطابق با نیاز شما و مشابه ماشین­های مجازی دیگر با همان تنظیمات  را ایجادکنید. اگر می­خواهید تنظیمات ماشین مجازی را بعد از استقرار اولیه تغییر دهید، استفاده از اسکریپ­ها را در نظر بگیرید برای مثال PowerCLI.

در کتاب امنیت vSphere (تهیه شده در گروه آموزشی پژوهشی روزبه ) خواهید دید  که چگونه با استفاده از کاربر گرافیکی GUI،  امور امنیتی را به نحو احسن  انجام دهید. استفاده از اسکریپت­ها را به جای GUI برای حفظ پایداری محیط خود در نظر بگیرید. در محیط­های بزرگ شما می­توانید ماشین­های مجازی را در پوشه­ها گروه بندی کنید تا اسکریپت نویسی بهینه شود.

کاهش استفاده از کنسول ماشین مجازی

کنسول ماشین مجازی عملکردی مشابه مانیتور روی سرور فیزیکی را برای ماشین های مجازی فراهم می­کند.کاربران با دسترسی به کنسول ماشین مجازی به مدیریت روشن و خاموش کردن و استاپ و استارت  ماشین مجازی دسترسی دارند ومی­توانند اجزای قابل حذف و اضافه نظیر DVD را دستکاری کنند. در نتیجه دسترسی به کنسول ماشین مجازی ممکن است اجازه یک حمله مخرب به ماشین مجازی را بدهد.

بوت کردن امن UEFI   را حتما دربرنامه خود قرار دهید

 از نسخه 6.5 vSphere شما می­توانید ماشین مجازی خود را برای استفاده از بوت UEFI پیکربندی کنید. اگر سیستم عامل شما از بوت امن  UEFIپشتیبانی کند شما می­توانید این قابلیت را به عنوان امنیت بیشتر برای ماشین مجازی خود انتخاب کنید.

بوت امن کمک می­کند که درمرحله بوت، امکان تزریق بد افزار وجود نداشته باشد چون در این مرحله هنوز سیستم عامل مدیریت کننده بالا نیامده لذا هکر می­تواند با تزریق بد­افزار ماندگاری خود را دایمی سازد، بطوریکه احتمال کشف حضور او تقریبا ناممکن گردد.
نکته :برای اطلاعات بیشتر در زمینه بوت امن به مستندات دوره SSCP  از دوره های سازمان  ISC2 مراجعه کنید .

 

کتاب امنيت vSphereبراي متخصصان امنيت,مديران وكار شناسان زير ساخت مجازي سازي

کاری از گروه آموزشی پژوهشی روزبه

http://www.naghoospress.ir/bookview.aspx?bookid=1487001

تهیه آنلاین از انتشارات ناقوس

روزبهنکته ای در بحث امن سازی vSphere
ادامه

❇ مصاحبه و گفتگو با جوان ترین دارنده مدرک امنیت اطلاعات، از سازمان بین المللی ISC2

No comments

پیرو تلاشهای قبل برای شناسایی گرایش های مختلف امنیت اطلاعات و ارایه نقشه راه و با توجه به پیگیری علاقمندان در خصوص نقشه راه امنیت و چگونگی اخذ مدارک بین المللی، مقرر شده است در وبیناری موارد فوق مورد بررسی قرارگیرند. در این وبینار نکات مرتبط نقشه راه امنیت و نحوه مطالعه برای موفقیت در این رشته ، با جوان ترین دارنده مدرک بین المللی امنیت از ISC2 ، مورد بررسی قرار میگیرد .

🔷لینک ثبت نام در ایوند

https://evand.com/events/5521

🕘شروع رویداد
دوشنبه ۲۴ دی ۹۷
ساعت : ۲۱:۰۰

آکادمی آموزش روزبه

روزبه❇ مصاحبه و گفتگو با جوان ترین دارنده مدرک امنیت اطلاعات، از سازمان بین المللی ISC2
ادامه

تبریک به جناب سید علیرضا وزیری

No comments

جناب سید علیرضا وزیری موفق به کسب CISSP رسمی و بین المللی شدند .

این مدرک از پربها ترین مدارک دنیای فناوری اطلاعات است .

#645333 شماره مدرک و عضویت بین المللی در ISC2
SeyedAlireza Vaziri

از طرف مدیریت و کارکنان آکادمی آموزش روزبه ، اخذ مدرک عالی امنیت اطلاعات CISSP رابه ایشان تبریک میگوییم .

لازم به ذکر است موسسه صادر کننده این مدرک ممتاز امنیت اطلاعات ، سازمان ISC2 میباشد و مدرک رسمی CISSP تنها از سوی این سازمان صادر میگردد. آدرس این سازمان در زیر آمده است :
www.isc2.org

روزبهتبریک به جناب سید علیرضا وزیری
ادامه