نکته ای در بحث امن سازی vSphere

No comments

از قالب ها و مدیریت اسکریپتی استفاده کنید

قالب­های ماشین مجازی شما را قادر می­سازند تا سیستم عامل­هایی مطابق با نیاز شما و مشابه ماشین­های مجازی دیگر با همان تنظیمات  را ایجادکنید. اگر می­خواهید تنظیمات ماشین مجازی را بعد از استقرار اولیه تغییر دهید، استفاده از اسکریپ­ها را در نظر بگیرید برای مثال PowerCLI.

در کتاب امنیت vSphere (تهیه شده در گروه آموزشی پژوهشی روزبه ) خواهید دید  که چگونه با استفاده از کاربر گرافیکی GUI،  امور امنیتی را به نحو احسن  انجام دهید. استفاده از اسکریپت­ها را به جای GUI برای حفظ پایداری محیط خود در نظر بگیرید. در محیط­های بزرگ شما می­توانید ماشین­های مجازی را در پوشه­ها گروه بندی کنید تا اسکریپت نویسی بهینه شود.

کاهش استفاده از کنسول ماشین مجازی

کنسول ماشین مجازی عملکردی مشابه مانیتور روی سرور فیزیکی را برای ماشین های مجازی فراهم می­کند.کاربران با دسترسی به کنسول ماشین مجازی به مدیریت روشن و خاموش کردن و استاپ و استارت  ماشین مجازی دسترسی دارند ومی­توانند اجزای قابل حذف و اضافه نظیر DVD را دستکاری کنند. در نتیجه دسترسی به کنسول ماشین مجازی ممکن است اجازه یک حمله مخرب به ماشین مجازی را بدهد.

بوت کردن امن UEFI   را حتما دربرنامه خود قرار دهید

 از نسخه 6.5 vSphere شما می­توانید ماشین مجازی خود را برای استفاده از بوت UEFI پیکربندی کنید. اگر سیستم عامل شما از بوت امن  UEFIپشتیبانی کند شما می­توانید این قابلیت را به عنوان امنیت بیشتر برای ماشین مجازی خود انتخاب کنید.

بوت امن کمک می­کند که درمرحله بوت، امکان تزریق بد افزار وجود نداشته باشد چون در این مرحله هنوز سیستم عامل مدیریت کننده بالا نیامده لذا هکر می­تواند با تزریق بد­افزار ماندگاری خود را دایمی سازد، بطوریکه احتمال کشف حضور او تقریبا ناممکن گردد.
نکته :برای اطلاعات بیشتر در زمینه بوت امن به مستندات دوره SSCP  از دوره های سازمان  ISC2 مراجعه کنید .

 

کتاب امنيت vSphereبراي متخصصان امنيت,مديران وكار شناسان زير ساخت مجازي سازي

کاری از گروه آموزشی پژوهشی روزبه

http://www.naghoospress.ir/bookview.aspx?bookid=1487001

تهیه آنلاین از انتشارات ناقوس

روزبهنکته ای در بحث امن سازی vSphere
ادامه

❇ مصاحبه و گفتگو با جوان ترین دارنده مدرک امنیت اطلاعات، از سازمان بین المللی ISC2

No comments

پیرو تلاشهای قبل برای شناسایی گرایش های مختلف امنیت اطلاعات و ارایه نقشه راه و با توجه به پیگیری علاقمندان در خصوص نقشه راه امنیت و چگونگی اخذ مدارک بین المللی، مقرر شده است در وبیناری موارد فوق مورد بررسی قرارگیرند. در این وبینار نکات مرتبط نقشه راه امنیت و نحوه مطالعه برای موفقیت در این رشته ، با جوان ترین دارنده مدرک بین المللی امنیت از ISC2 ، مورد بررسی قرار میگیرد .

🔷لینک ثبت نام در ایوند

https://evand.com/events/5521

🕘شروع رویداد
دوشنبه ۲۴ دی ۹۷
ساعت : ۲۱:۰۰

آکادمی آموزش روزبه

روزبه❇ مصاحبه و گفتگو با جوان ترین دارنده مدرک امنیت اطلاعات، از سازمان بین المللی ISC2
ادامه

تبریک به جناب سید علیرضا وزیری

No comments

جناب سید علیرضا وزیری موفق به کسب CISSP رسمی و بین المللی شدند .

این مدرک از پربها ترین مدارک دنیای فناوری اطلاعات است .

#645333 شماره مدرک و عضویت بین المللی در ISC2
SeyedAlireza Vaziri

از طرف مدیریت و کارکنان آکادمی آموزش روزبه ، اخذ مدرک عالی امنیت اطلاعات CISSP رابه ایشان تبریک میگوییم .

لازم به ذکر است موسسه صادر کننده این مدرک ممتاز امنیت اطلاعات ، سازمان ISC2 میباشد و مدرک رسمی CISSP تنها از سوی این سازمان صادر میگردد. آدرس این سازمان در زیر آمده است :
www.isc2.org

روزبهتبریک به جناب سید علیرضا وزیری
ادامه

🚨بررسی یک Dropper که در محیط دات نت نوسته شده است

No comments

⬅تهیه شده در واحد انالیر بد افزار و فارنزیک آکادمی آموزش روزبه
آدرس کانال تلگرامی آموزشHttps://t.me/roozbeh_learning
بخشی از دوره آنالیز بد افزار مطابق مستندات موسسه SANS

dropper به برنامه‌ای گفته می‌شود که برای نصب بدافزارها (ویروس، درپشتی و غیره) بر روی یک سامانه هدف طراحی شده است در این مقاله سعی شده است که یک بد افزار مورد تحلیل قرار گیرد. ما در اینجا نکات مقاله مندرج در لینک را بررسی میکنیم .

🔆در لینک زیر مثال مد نظر برای این دراپر ، اتوران Patient Zero انجام گرفته است .

🔰نکات:
معمولا برای بازکردن پک های اجرایی ( exe) از Disassembler استفاده میگردد ، نمونه خوب آن ابزار IDA pro است .اما برای محیط دات نت از dnSpy استفاده میکنیم .

بدلیل اینکه پک اجرایی کد های دات نت به راحتی به کد اولیه قابل برگشت هستند ، توسعه گران تلاش میکنند با استفاده از تکنیک های Obfuscation ، مهندسی معکوس روی کد های خود را مشکل سازند .

برای این مثال در راستای فهم نوع درهم سازی کد از ابزار
deyect it eady( die )استفاده میکنیم .پس از آن با استفاده از de4dot کد را باز میکنیم تا خوانا باشند.برای بررسی کد از روشهای استاتیک و داینامیک استفاده میکنیم . چون dnspy خود یک دیباگر است میتوانیم در خطوط کد به راحتی حرکت کنیم.

نکته: این بد افرار برای سخت کردن کار محققان مهندسی معکوس از تکنیک هایی استفاده کرده که در هنگام بررسی کد ها و توابع ( خصوصا در هنگام تحلیل کد بصورت داینامیک )، تمام ابزار ها از کار افتاده و بسته میشوند . این کار را با کمک از تزریق در پروسه ها استفاده کرده است .

لذا میبینید که وقتی با نویسنده یک بد افزار مواجه هستید روبروی شما یک هکر ساده نیست.
ولی باز برای اینکه ببینید راهکاری هست ، مقاله را بخوانید .

https://www.cybereason.com/blog/.net-malware-dropper

🔻🔻🔻🔻🔻🔻🔻🔻🔻
🚨با ما همراه باشید در دوره مهندسی معکوس و انالیز بدافزار با به روز ترین منابع و برترین اساتید باسابقه کشور
🔷واتس اپ برای رزرو
09902857289
آکادمی آموزش روزبه

روزبه🚨بررسی یک Dropper که در محیط دات نت نوسته شده است
ادامه

هشدار به متخصصان امنیت در زیرساخت های حیاتی و صنعتی کشور

No comments

تحقیقات در زمینه Triton، بدافزار مختص سیستم های کنترل صنعتی ادامه دارد.
این بدافزار در سال ۲۰۱۷ در صنایع پتروشیمی بخش خصوصی عربستان باعث انفجار شده است و اکنون بنا بر ادعای FireEye ، سازنده آن موسسه ای تحقیقاتی در کشور روسیه است .

مدیران و متخصصان امنیت در کشور ، نسبت به اجرای اقدامات دفاعی لازم و انجام جستجوهای مورد نیاز همت گمارند چون حتی اگر تارگت بدافزار مذکور کشور عربستان باشد، نمیتوان به اطمینان گفت وارد ایران نشده و نخواهد شد.برای اطلاعت بیشتر به لینک زیر مراجعه کنید:

https://www.zdnet.com/google-amp/article/fireeye-links-russian-research-lab-to-triton-ics-malware-attacks

adminهشدار به متخصصان امنیت در زیرساخت های حیاتی و صنعتی کشور
ادامه

فایروال; ابزار حمله یا ابزار حفاظتی؟

No comments

آیا فایروال هم می تواند به عنوان ابزاری برای حمله به سازمان در نظر گرفته شود؟!

بله.در سال 2014 آسیب پذیری  CVE-2014-2523 باعث شد که IPtable، فایروال قدرتمند لینوکس/یونیکس خودش Attack Vector  شود. حتی برخی تجهیزات IBM هم که از این نوع کرنل لینوکس استفاده کرده بودند نیز مورد تاثیر قرار گرفتند.

https://www.cvedetails.com/cve/CVE-2014-2523

adminفایروال; ابزار حمله یا ابزار حفاظتی؟
ادامه

تفاوت SIEM و SOC در چه چیز می باشد؟

No comments

امروز به تفاوت دو واژه مهم و پرکاربرد در امنیت اطلاعات میپردازیم .این دو کلمه در بین صحبت ها و در نوشتار، برخی مواقع به اشتباه به جای هم استفاده میگردند یا تصور غلطی از آنها وجود دارد .

در دنیای مدرن  فناوری_اطلاعات که حاوی تهدیدات پیچیده و خطرات مهلکی است ، دیگر تجهیزات امنیتی معمول همچون IPS و فایروال ها به تنهایی قادر به کشف نفوذ و مقابله نبودند .
برای غلبه بر این تهدیدات و مدیریت آنها ، SOC  ها یا همان مرکز عملیات امیت ابداع شدند . این مراکز حاوی تجهیزات و نرم افزارهایی هستند که همه فعالیت ها در سیستم اطلاعاتی را تحت نظر دارند و در تلفیق کلیه لاگ ها میتوانند حوادث معمولی تا پیچیده را کشف و خنثی نمایند . در کنار این تجهیزات و نرم افزار ها ،عامل انسانی و فرآیند های کشف و مدیریت حادثه هم نقش بسیار مهمی دارند که در برخی مواقع از چشمها پنهان میماند .
پس SOC  شامل مجموعه سخت افزار ،نرم افزار ،نیروی انسانی و فرآیند ها است که در یک هم افزایی و مشارکت میتوانند حوادث را کشف و با آنها در اسرع وقت مقابله کنند .

در این بین یکی از آن اقلام سخت افزاری و نرم افزاری فوق که در SOC  مورد استفاده قرار میگیرد SIEM  است . SIEM  بعنوان قلب SOC  وظیفه تلفیق عناصر و تسهیل امور  را برعهده  دارد . اما در حقیقت خود بخشی از مجموعه ای است که کلا بعنوان SOC  میباشند . پس اگر SIEM  تهیه کنید باید بدانید هنوز SOC  ندارید چون SOC  دستگاه یا نرم افزار به تنهایی نیست .

مهندس روزبه نوروزي

adminتفاوت SIEM و SOC در چه چیز می باشد؟
ادامه

چگونه اطلاعات حساس یا معمول را در یک گروه به اشتراک بگذاریم ؟

No comments

چگونه اطلاعات حساس یا معمول را در یک گروه به اشتراک بگذاریم ؟

◾️برای مثال اطلاعات امنیتی در یک زیرساخت Threat Intelligence

برای این کار پروتکل هایی تعریف شده است که یکی از آنها Traffic Light Protocol ( TLP ) است .
گیرنده اطلاعات با توجه به رنگ المان گرافیکی چراغ که روی اطلاعات درج شده است، درک میکند که آیا اطلاعات را فقط پیش خود نگه دارد یا میتواند با دیگران به اشتراک بگذارد.

🔘دلیل ایجاد این این پروتکل ها:

حجم بالای اطلاعات هوش تهدید ، نیاز به اتوماسیون سازیِ کار با آنها را دو چندان کرده است . لذا پروتکل هایی برای کمک در اتوماتیک سازی فعالیت ها طراحی شده است که LTP از ساده ترین ِ انها است که البته زیاد در اتوماسون سازی به قدر بقیه پروتکل ها توانا نیست.

جزییات :
https://www.us-cert.gov/tlp

adminچگونه اطلاعات حساس یا معمول را در یک گروه به اشتراک بگذاریم ؟
ادامه

سرقت اطلاعات حافظه لپتاپ ها

No comments

برخی اطلاعات حافظه اغلب انواع لپتاپ ها ( مک و ویندوز ) حتی رمز شده قابل سرقت هستند

بر اساس تحقیقات F-Secure  با درهم شکستن مکانیسم دفاعی سیستمهای عامل در خصوص حفاظت از سرقت داده ها در حالت cold boot ، اطلاعات به راحتی از هر لپتاپی قابل استخراج است

فقط لپتاپتان دست فرد بدخواه نیفتد .

مکانیسم هایی از سوی مایکروسافت و اپل برای مقابله با  این موضوع تعبیه شده که اما و اگر هایی دارد .

پیشنهاد خوب ان است که عادت های بد خود در مورد جداسازی لپتاپ از خود را از بین ببرید

دپارتمان های جرم شناسی و پیگرد و امنیت سخت افزار آکادمی آموزش روزبه

adminسرقت اطلاعات حافظه لپتاپ ها
ادامه