امنیت اطلاعات
و دیگر هیچ ...
کلمات کلیدی مطالب
آرشیو وبلاگ
نویسنده: افشین لامعی - ۱۳٩۳/۸/٢٧

سیسکو اعلام کرده که پروژه پایش و تحلیل داده های امنیتی در مقیاس بزرگ (Big Data) را با عنوان OpenSOC تحت لایسنس آپاچی توسعه خواهد داد.

این پلتفرم قرار است تا 1.2 میلیون بسته در ثانیه را به صورت عمیق پردازش کند. این به معنای جمع آوری و تحلیل 50 ترابایت اطلاعات در روز است. به وضوح مشخص است که سیسکو بعد از پایان دادن به فروش محصول SIEM خود با نام Cisco Mars ، برای ورود قدرتمند به بازار پایش امنیت و مرکز عملیات امنیت به دنبال ارائه پاسخ به چالش اصلی این بازار یعنی پردازش در سطح Big Data است. سیسکو از مجموعه ابزارهای Apache Hadoop برای ایجاد این چارچوب استفاده کرده است.

برای راه اندازی OpenSOC باید اجزای زیر راه اندازی شوند:

  • 2 Network Capture Cards (Recommend Napatech NT20E2-CAP)
  • Apache Flume 1.4.0 +
  • Apache Kafka 0.8.1+
  • Apache Storm 0.9 +
  • Apache Hadoop 2.x (any distribution)
  • Apache Hive 12 + (13 recommended)
  • Apache Hbase 0.94+
  • Elastic Search 1.1 +
  • MySQL 5.6+

پشتیبانی سیسکو از این پروژه با توجه به نقش زیربنایی محصولات سیسکو در شبکه ها نشان می دهد که این پروژه آینده موفقی خواهد داشت. به علاوه، معماری این پروژه هم نشان دهنده نگاه بنیادین و همه جانبه به موضوع پایش امنیت و مرکز عملیات امنیت است. با این حال با توجه به اجزای فوق، احتمالاً راه اندازی OpenSOC فرآیند چندان ساده ای نخواهد بود و همین باعث می شود که تا فراگیر شدن استفاده از این محصول راه درازی در پیش باشد.

نویسنده: افشین لامعی - ۱۳٩۳/۸/۱۸

اگر از دوربین های مداربسته اینترنتی استفاده می کنید این سایت را بررسی کنید. در این سایت امکان اتصال به 143 دوربین در ایران و ده ها هزار دوربین در سراسر دنیا وجود دارد! این دوربین ها به دلیل عدم تغییر پسورد پیش فرض، و نیز فعال بودن امکان دسترسی از اینترنت، در دسترس عموم قرار دارند.

در حوادث مشابه این، حداقل نقش نهادهای بالادستی مثل ماهر و پلیس فتا می تواند این باشد که بلافاصله هویت سازمان ها یا افراد صاحب این دوربین ها را شناسایی و موضوع را به آنها اطلاع دهد. آیا این اتفاق خواهد افتاد؟ یا چند هفته بعد کماکان تصاویر این دوربین ها در دسترس عموم خواهد ماند؟

نویسنده: افشین لامعی - ۱۳٩۳/۸/۳

سمینار امنیت در بانکداری الکترونیک توسط مرکز فابا در مردادماه 1393 برگزار شد. همانطور که قبلاً گفته بودم در این سمینار در خصوص پیش نیازها و الزامات ورود به پروژه مرکز عملیات امنیت (SOC) ارائه ای داشتم که فایل پیاده شده از آن ارائه در دوماهنامه بانکداری الکترونیک چاپ شد.

عنوان ارائه: الزامات راه اندازی مرکز عملیات امینت: چگونه آغاز کنیم؟

این فایل در اینجا در دسترس است.

نویسنده: افشین لامعی - ۱۳٩۳/٧/٢۳

آسیب پذیری Poodle در طراحی پروتکل SSL v3.0 ، توسط محققان گوگل افشا شد (CVE-2014-3566). این آسیب پذیری منجر به حمله Man-in-the-Middle به اتصالات SSL v3.0 می شود، البته خود حمله از نوع client-side است. توصیه می شود که از TLS به جای SSL استفاده شود. با این حال معمولاً پروتکل میان کلاینت و سرور به صورت توافقی تعیین می شود لذا اگر سرور این نسخه آسیب پذیر را پشتیبانی کند نفوذگر می تواند آن را مجبور به استفاده از این نسخه نماید. به نظر می رسد که در مجموع این آسیب پذیری از Heartbleed (خونریزی قلبی) اثر مخرب کمتری داشته باشد.

اطلاعات بیشتر:

https://access.redhat.com/articles/1232123

https://blog.mozilla.org/security/2014/10/14/the-poodle-attack-and-the-end-of-ssl-3-0/

http://security.stackexchange.com/questions/70719/ssl3-poodle-vulnerability

 

نویسنده: افشین لامعی - ۱۳٩۳/٧/۱٥

آزمایشگاه NSS نتایج مقایسه محصولات Negxt Generation Firewall را منتشر کرده که در آن محصولات زیر مقایسه شده اند:

Tested products:

  • Barracuda F800b
  • Check Point 13500
  • Cisco ASA 5525-X
  • Cisco ASA 5585-X SSP60
  • Cisco FirePOWER 8350
  • Cyberoam CR2500iNG-XP
  • Dell SonicWall SuperMassive E10800
  • Fortinet FortiGate 1500D
  • Fortinet FortiGate 3600C
  • McAfee NGF-1402
  • Palo Alto Networks PA-3020
  • WatchGuard XTM1525 


اما شرکت Paloalto که در این آزمایش به عنوان یکی از ضعیف ترین برندها معرفی شده، به روش انجام تست ها توسط NSS اعتراض کرده و ادعا کرده که شرکت ها محصول خود را متناسب با تست های NSS تنظیم می کنند و فراتر از آن NSS را متهم کرده که نتایج تست ها را بر اساس منافع مالی خود اعلام  می کند.

نویسنده: افشین لامعی - ۱۳٩۳/٧/۱۳

دفاع در عمق (Defense in Depth) یا دفاع چند لایه یکی از اصول اولیه در معماری امنیتی سیستم است. در معماری امنیت شبکه هم این اصل باید رعایت شود. هدف اولیه این اصل آن است که نفوذگر با لایه های متعدد دفاعی مواجه شود که عبور از آنها ساده نیست و اگر یک لایه دور زده شود، لایه دیگر بتواند از نفوذ جلوگیری کند.

به عنوان مثال، در معماری امنیت شبکه به طور معمول باید از فایروال، IDS و Endpoint Security به طور همزمان استفاده شود. هر کدام از این مکانیزم ها می توانند سطح محدودی از امنیت را تضمین کنند.

اما باید توجه داشت که اصل دفاع چند لایه، بیش از آنکه به تعداد لایه های دفاعی تأکید داشته باشد، بر تنوع روش های دفاع تأکید دارد. مثلاً اگر ما به طور همزمان از آنتی ویروس و IDS مبتنی بر امضا استفاده کنیم، درست است که دو لایه دفاعی داریم، اما هر دوی این مکانیزم ها از شناسایی نفوذهایی که به روشی غیر از مبتنی بر امضا نیاز دارند، ناتوان هستند. این نکته، موضوع یادداشتی است که در اینجا منتشر شده است. 

نویسنده: افشین لامعی - ۱۳٩۳/٧/۸

امروز به اولین نمایشگاه امنیت سایبری ایران که توسط سازمان نظام صنفی رایانه ای رفتم. این نمایشگاه از 5 تا 8 مهرماه برگزار شد و گویا حدود 40 شرکت در آن حضور داشتند. این اتفاق صرفنظر از همه کاستی ها به خودی خود مهم و ارزشمند بود البته به شرط آنکه ادامه پیدا کرده و به عنوان یک گردهمایی سالانه فعالان امنیت سایبری دارای شناسنامه شود. در واقع کمبود اینگونه گردهمایی ها در بازار امنیت احساس می شود. نمایشگاه های عمومی مثل الکامپ که اساساً جای پرداختن به این موضوع نیست و مواردی مثل کنفرانس سالانه انجمن رمز هم برای مخاطبین فعال در بازار امنیت کشور و مشتریان آنها فایده ای ندارد. امروز بسیاری از همکاران و دوستان و قدیم و فعلی را دیدم و صحبت های مختلفی در مورد موضوعات روز داشتیم که مفید بود.

آنچه که در بخش محصولات ارائه شده به نظرم خودنمایی می کرد، تمرکز بر راه حل های توکن، DLP و SOC بود. البته تعداد شرکت هایی که محصولی برای دمو داشتند کم بود. چند کارگاه هم در حاشیه نمایشگاه برگزار شد. بخش کارگاه ها می توانست قوی تر و بهتر برگزار شود و موضوعات جدید و جذاب تری ارائه شود که به رونق نمایشگاه هم کمک می کرد. دعوت از یک یا چند سخنران خارجی و برگزاری مسابقه تست نفوذ، می توانست فضای نمایشگاه را جذاب تر کند.

نحوه حضور شرکت ها در نمایشگاه متفاوت بود. بعضی شرکت ها مشخص بود که با تمام توان در نمایشگاه حاضر شده اند. برخی دیگر هم با اینکه شناخته شده هستند اما صرفاً حضور داشتند و به نظر می رسید که این نمایشگاه در استراتژی بازاریابی آنها جای مهمی ندارد. شرکت هایی هم بودند که با وجود فعالیت مستمر در بازار امنیت، اساساً در نمایشگاه حضور نداشتند.

در هر حال برگزاری یک گردهمایی تخصصی سالانه با مشارکت حداکثری فعالان بازار امنیت حداقل انتظار یا امیدی است که برای آینده این صنف می توان داشت.

نویسنده: افشین لامعی - ۱۳٩۳/٧/٥

اطلاعات بسیار مهمی در بخش های مختلف نظام سلامت پردازش و نگهداری می شود. پرونده پزشکی افراد، اطلاعات پزشکان، اطلاعات بیمه، اطلاعات داروخانه ها، اطلاعات تجهیزات پزشکی و غیره از جمله این اطلاعات ارزشمند هستند. حفاظت از این اطلاعات مسأله مهمی است که در بعضی کشورها به تازگی جدی گرفته شده است. حتی نفوذهای مختلفی با هدف به دست آوردن سود مالی به سیستم های سلامت انجام شده است. به عنوان مثال، جعل مشخصات بیمه ای یک بیمار و استفاده از آن برای خرید دارو و تجهیزات به منظور فروش آنها در بازار آزاد. همچنین افشای پرونده پزشکی بخش زیادی از افراد (مثلاً در یک بیمارستان) که تبعات اجتماعی زیادی به همراه داشته است.

قابل تصور است که شبکه های سلامت به خصوص آزمایشگاه های پزشکی و بیمارستان ها به دلیل بیگانه بودن با فضای IT ، امنیت مناسبی نداشته و راحت تر از دیگر شبکه ها قابل نفوذ باشند.

نویسنده: افشین لامعی - ۱۳٩۳/٧/٢

در هفته های اخیر یک دوره آموزشی +Security در یکی از شرکت های وزارت نفت برگزار کردم که دیروز به اتمام رسید. این دوره در واقع مقدمات و مبانی امنیت اطلاعات را در بر می‏ گیرد.

نویسنده: افشین لامعی - ۱۳٩۳/٦/۳۱

دیروز یک سمینار مرکز عملیات امنیت (SOC) در یکی از مجموعه های بزرگ وزارت نیرو برگزار کردم. سمینار خوبی بود و آشنایی با چالش های مانیتورینگ امنیت در شبکه های صنعتی یکی از فواید آن بود.

مطالب قدیمی تر »
سی و سه ساله ، متأهل، دانشجوی دکترای نرم افزار ـ امنیت، دانشگاه صنعتی امیرکبیر. مشاور مستقل امنیت اطلاعات.
مطالب اخیر: