امنیت اطلاعات
و دیگر هیچ ...
کلمات کلیدی مطالب
آرشیو وبلاگ
نویسنده: افشین لامعی - ۱۳٩٤/٥/۱٤

وب سایت Droidsec حاوی تعداد زیادی ارائه، ابزار و ... در زمینه امنیت سیستم عامل اندروید است.

نویسنده: افشین لامعی - ۱۳٩٤/٥/۱٠

گزارش مفصل Fireeye از یک تهدید پیشرفته ماندگار (APT) به نام Hammertoss که به روسیه نسبت داده شده و یکی از ویژگی های جالب آن، استفاده از توییتر به عنوان واسطه ای است که به صورت غیر مستقیم نقش سرور C & C را بازی می کند.

نویسنده: افشین لامعی - ۱۳٩٤/٥/٦

طبق آخرین گزارش AV-Test ، در مقایسه آنتی ویروس ها از نظر کارآیی، امنیت و قابلیت استفاده، محصولات Avira، kaspersky و BitDefender برای کاربر خانگی در صدر قرار دارند.


همچنین در بخش محصولات سازمانی برای ویندوز 8.1 هم Kaspersky و BitDefender صدرنشین هستند.

آنتی ویروس مایکروسافت، مطابق انتظار در هر دو مورد در پایین ترین رتبه قرار دارد.

منبع

نویسنده: افشین لامعی - ۱۳٩٤/٥/٢

شرکت خودروسازی کرایسلر (Chrysler) برای رفع یک آسیب پذیری امنیتی اصلاحیه (Patch) منتشر کرده است. این آسیب پذیری توسط دو هکر از فاصله ده مایلی یک خودرو با موفقیت آزمایش شده و آنها توانسته اند خودرو را از کنترل راننده خارج کنند.

اصلاحیه پس از دانلود و ذخیره سازی روی حافظه USB می تواند از طریق رابط USB داخل خودرو اعمال شود. به نظر می رسد در آینده نه چندان دور، رانندگان خودروها هم باید توانایی مدیریت اصلاحیه (Patch Management) داشته باشند.

نویسنده: افشین لامعی - ۱۳٩٤/٤/۳۱

(دانلود فایل این یادداشت که در شماره 60 مجله بانکداری الکترونیک چاپ شده است)

اگر به چشم انداز تهدیدهای امنیتی نگاه کنیم، توسعه بازار امنیت اطلاعات موضوع دور از ذهنی نخواهد بود. طبق گزارش منتشر شده توسط Burning Glass Technologies ، تعداد درخواست­های نیروی کار امنیت بین سالهای 2007 تا 2013 به میزان هفتاد و چهار درصد، تقریباً دو برابر بقیه مشاغل فناوری اطلاعات، رشد داشته است. به علاوه، انتظار می­رود که این رشد ادامه پیدا کند، به طوری که طبق پیش بینی مرکز آمار فدرال ایالات متحده، فقط جایگاه تحلیل گر امنیت (Security Analyst) تا سال 2022 با رشد سی و هفت درصدی نسبت به 2012روبرو خواهد شد.

این واقعیت­ها، بازار کاری امنیت اطلاعات را به یکی از جذاب­ترین­ ها در میان مشاغل فناوری اطلاعات تبدیل کرده است. در عین حال، هزینه­ های بالای این صنعت باعث شده که فرآیند انتخاب یک مسیر شغلی در این حوزه دشوار گردد. بر این اساس، تحقیقات ما در زمینه میزان درآمد مشاغل مختلف امنیت اطلاعات، منجر به تهیه لیستی از 10 شغل برتر از نظر میزان درآمد به شرح زیر شده است.

1-    مدیر ارشد امنیت اطلاعات (CISO)

CISO یک مدیر ارشد اجرایی (در اصطلاح C-Level) است که وظیفه اصلی آن نظارت عالی بر عملکرد واحد امنیت سازمان و پرسنل آن است. وظعیت کلی امنیت سازمان دغدغه اولیه CISO است. در حقیقت، فردی که خواهان چنین جایگاهی است باید بتوانند پیش­ زمینه­­ های قوی در موضوعات راهبردی فناوری اطلاعات و نیز معماری امنیت از خود به نمایش گذارند. همچنین متقاضی این شغل باید مهارت بالایی در تعامل و ارتباطات با افراد باشد، چرا که سازماندهی و مدیریت تیم امنیت و نیز ارتباط با دیگر مدیران سازمان و تعامل با نهادهای دیگر خارج از سازمان از وظایف این جایگاه است.

براساس پیش­بینی PayScale ، میانگین درآمد یک CISO در سال 2015 حدود 131 هزار دلار است. در این جایگاه می­توان حداقل انتظار درآمد 81 هزار دلار در سال را داشت. این مبلغ برای سازمان­های بزرگ می­تواند تا 240 هزار دلار در سال نیز افزایش یابد.

2-    معمار امنیت (Security Architect)

معمار امنیت یک کارشناس ارشد است که مسئول ایجاد و نگهداری زیرساخت فنی امنیت سازمان است. این جایگاه نیازمند دارا بودن یک تصویر جامع از زیرساخت فناوری و اطلاعاتی سازمان است، تا فرد را قادر به توسعه و تست ساختارهای امنیتی برای حفاظت از زیرساخت فوق نماید. از معمار امنیت انتظار می­رود که در حیطه­های متنوعی همچون ایزو 27001 و 27002، ITIL ، COBIT ، روال­های ارزیابی مخاطرات، سیستم عامل­ها و کنترل­های امنیت پیرامونی مهارت داشته باشد.

بر اساس پیش­بینی PayScale، حداقل دریافتی سالانه معمار امنیت حدود 84 هزار دلار، به طور متوسط حدود 109 هزار دلار و حداکثر 160 هزار دلار است.

3-    سرپرست امنیت (Security Director)

سرپرست امنیت نیز یک کارمند ارشد است که وظیفه نظارت بر پیاده­ سازی کلیه کنترلهای امنیت فناوری اطلاعات را بر عهده دارد. به بیان دقیق­تر، سرپرست امنیت مسئول طراحی، مدیریت و تخصیص منابع به برنامه­های امنیتی در داخل واحد امنیت است، از جمله: ایجاد برنامه­ های آگاهی رسانی، انطباق با استانداردها، تعامل با کارمندان واحدهای دیگر و نیز کمک به اجرای روال­های قانونی در صورت رخداد یک حادثه امنیتی.

از سرپرست امنیت انتظار می­رود که مهارت­های CISO را در زمینه دانش راهبردی فناوری اطلاعات، معماری سازمان و دیگر مفاهیم امنیت داشته باشد. در حقیقت، سرپرست امنیت مستقیماً به CISO پاسخگو است و به طور کلی در سازمان­های کوچک نقش CISO را ایفا می­کند.

4-    مدیر امنیت (Security Manager)

مدیر امنیت یک کارمند میانی است که مدیریت خط مشی های امنیتی سازمان را بر عهده دارد. یک مدیر امنیت موفق باید توان ارتباط موثر با افراد و رهبری داشته باشد. کاندیداهای این جایگاه باید خود را برای تدوین و اجرای استراتژی­های ابلاغ شده از سرپرست یا مدیر ارشد امنیت آماده کنند.

مدیر امنیت همچنین موظف است ابزارهای جدید امنیت را تست و پیاده­ سازی کند، برنامه­ های آگاهی­ رسانی را راهبری کرده و بودجه واحد و زمانبندی افراد را مدیریت نماید. لازم است این فرد دارای پیش­ زمینه کافی برنامه نویسی بوده و با معماری سازمان و موضوعات راهبردی فناوری اطلاعات آشنا باشد. با این حال عموماً  وجود دانش عمیق در این زمینه­ ها الزامی نیست.

دستمزد سالانه این جایگاه به طور میانگین 102 هزار دلار بوده و میزان حداقل و حداکثر دستمزد مورد انتظار این شغل به ترتیب 71 هزار و 143 هزار دلار (در سازمان­های بزرگ) پیش­ بینی می­شود.

5-    مهندس امنیت (Security Engineer)  

مهندس امنیت یک کارشناس میانی است که وظیفه ایجاد و راهبری راه حل­های امنیت فناوری اطلاعات را بر عهده دارد. پیکربندی فایروال، تست ابزارهای جدید، بررسی حوادث و گزارش­دهی به مدیر امنیت از جمله وظایف این جایگاه است. کسانی که مایل به تصدی این شغل هستند باید پیش­زمینه قوی در زمینه ارزیابی آسیب پذیری و تست نفوذ، فناوری مجازی سازی، فناوری­ های کاربردی و رمزنگاری، به علاوه پروتکل­های شبکه  داشته باشند. هر قدر گستره ابزارهایی که مهندس امنیت با آنها آشنا است بیشتر باشد، بیشتر می­تواند به سازمان در رفع مشکلات امنیت کمک کند.

دستمزد میانگین مهندس امنیت سالانه حدود 87 هزار دلار بر اساس پیش­ بینی PayScale در سال 2015 است. حداقل دریافتی مورد انتظار برای این شغل می­تواند 57 هزار دلار و حداکثر 128 هزار دلار در سال باشد.

6-    کارشناس پاسخ به حوادث (Incident Responder)

این کارشناس مسئول رسیدگی به حوادث، تهدیدها و آسیب پذیری­ها است. افراد متقاضی این جایگاه باید برای پایش فعال شبکه سازمان، اجرای تست نفوذ، ممیزی امنیت، تحلیل بدافزار و مهندسی معکوس آن، در راستای جلوگیری از رخداد مجدد حوادث آمادگی و توانایی داشته باشند.

کارشناس مسئول پاسخ به حوادث عموماً عضو تیم گوهر (CSIRT) بوده و به مدیر گوهر پاسخگو است. داشتن مهارت­ در زمینه­های گسترده­ای چون امنیت برنامه­ های مبتنی بر وب و نرم افزارهای فارنزیک الزامی است.

میزان دستمزد میانگین برای این جایگاه بین 70 تا 90 هزار دلار سالانه است. به طور کلی متقاضی این جایگاه می­تواند انتظار دریافتی سالانه بین 50 تا 150 هزار دلار را داشته باشد.

7-    مشاور امنیت (Security Consultant)

مشاور امنیت یک کارشناس بیرون از سازمان است که به سازمان برای اجرای راه حل­های امنیتی کمک می­کند. کسانی که متقاضی جایگاه مشاور امنیت هستند باید طیف گسترده­ای از استانداردها، سیستم­ها و پروتکل­های امنیتی را بشناسد. مشاور امنیت برای موفقیت باید تصویر جامعی از سازمان مربوطه داشته باشد، با مدیران ارشد سازمان تعامل داشته و خط­ مشی­های کسب و کار سازمان را به خوبی بشناسد. در این صورت مشاور می­تواند ابزارها و راه حل­هایی که مناسب وضع موجود سازمان است را پیاده­سازی نماید. همچنین مشاور باید بتواند در صورت نیاز این راه حل­ها را تست و به روز رسانی کند. بر اساس پیش بینی PayScale ، مشاور امنیت می­تواند به طور میانگین 81 هزار دلار درآمد در سال 2015 داشته باشد. حداقل این درآمد 46 هزار دلار و حداکثر مورد انتظار، 147 هزار دلار است.

8-    کارشناس فارنزیک (Computer Forensics Expert)

این کارشناس مسئول تحلیل شواهد جمع­آوری شده از کامپیوترها، شبکه و تجهیزات ذخیره سازی به منظور بازرسی جرائم و حوادث کامپیوتری است. این افراد عموماً همکاری تنگاتنگ با مراجع قانونی داشته و شواهد و گزارش­های فنی را تهیه و ارائه کرده و نیز آموزش­های حقوقی در زمینه امنیت اطلاعات ارائه می­ دهند. بیشترین موقعیت شغلی برای این افراد در سازمان­های حقوقی و حاکمیتی فراهم است.

میزان دستمزد میانگین برای این جایگاه حدود 77 هزار دلار سالیانه بوده و از حداقل 56 هزار دلار تا 119 هزار دلار با در نظر گرفتن کمیسیون­ها و اضافه کار در نوسان است.

9-    تحلیل­گر بدافزار (Malware  Analyst)

تحلیل گر بدافزار به سازمان در زمینه شناخت انواع بدافزارها کمک می­کند. این افراد با کارشناسان فارنزیک ارتباط کاری نزدیکی داشته و به خصوص هنگام حوادث امنیتی برای شناسایی بدافزارها تلاش می­کنند. از جمله کارهای این افراد می­توان به تحلیل استاتیک و پویای کد برنامه ها برای شناسایی امضای بدافزارها و توسعه ابزارهای ضد بدافزار اشاره کرد.

دستمزد میانگین این جایگاه شغلی سالانه 75 هزار دلار بوده و از حداقل 48 هزار دلار تا 100 هزار دلار قابل تغییر است.

10- متخصص امنیت (Security Specialist)

متخصص امنیت یک کارشناس سطح پایین تا سطح میانی است که مسئول انجام کارهای مختلفی در زمینه امنیت سازمان می­باشد. اکثراً متخصص امنیت موظف است نیازمندی های امنیتی سیستم های سازمان را تحلیل کند، ابزارهای امنیتی را نصب و پیکربندی کرده و ارزیابی آسیب پذیری انجام دهد. همچنین باید به کارمندان سازمان آموزش­های لازم را نیز ارائه کند. افراد متقاضی این جایگاه باید دارای دانش مناسبی در زمینه نفوذ، شبکه، برنامه نویسی و ابزارهایی مانند SIEM داشته باشند.

دستمزد سالانه متخصص امنیت به طور میانگین حدود 74 هزار دلار بر اساس پیش بینی PayScale در سال 2015 بوده و می­تواند بین 43 هزار تا 113 هزار دلار در نوسان باشد.

* این یادداشت از وب سایت شرکت امنیتی Tripwire انتخاب و ترجمه شده است.

 

نویسنده: افشین لامعی - ۱۳٩٤/٤/٢٩

در دو هفته گذشته موضوع هک شدن و نشت بیش از 400 گیگابایت از اطلاعات شرکت Hacking Team ، یک شرکت ایتالیایی تولید کننده نرم افزارهای جاسوسی و نفوذ، مورد توجه بسیار زیادی قرار گرفت. کل این اطلاعات در حال حاضر در اینترنت به فرمت های مختلف در دسترس است، از جمله بیش از یک میلون ایمیل که با قابلیت های پیشرفته جستجو در سایت ویکی لیکس قرار گرفته است.

گزارش های متعددی از بررسی این 400 گیگابایت اطلاعات منتشر شده که از جمله می توان به شناسایی و انتشار 3 آسیب پذیری Zero-day در Adobe Falsh Player اشاره کرد که با شناسه های CVE-2015-5122 ، CVE-2015-5123 و CVE-2015-0349 هر سه این روزها به طور گسترده اکسپلویت شده اند، در حالی که دو تا از سه آسیب پذیری فوق تا امروز توسط Adobe اصلاح نشده اند.برای حذف Flash Player از این ابزار و برای بررسی اینکه آیا این کار موفق بوده یا نه از اینجا استفاده کنید.

به علاوه، بررسی ایمیل ها و اسناد اداری افشا شده نشان می دهد که این شرکت ابزارهای شنود، جاسوسی و نفوذ را به بسیاری از کشورهایی که به عنوان ناقض حقوق بشر شناخته شده اند، فروخته است و به همین دلیل، با وجود تکذیب این موارد توسط شرکت، از مدت ها قبل توسط گزارشگران بدون مرز به عنوان یکی از دشمنان اینترنت هم معرفی شده بود.

طبق ایمیل های افشا شده، این شرکت به همراه بوئینگ در حال کار روی پهپادهای حامل بدافزار بوده اند، به طوری که این پهپادها با پرواز به سمت هذف خود از فاصله مناسبی به شبکه wifi آن نفوذ و بدافزار را در شبکه هدف منتشر کنند!

بخشی دیگر از اطلاعات نشان می دهند که ابزارهای شرکت قابلیت نفوذ به انواع سیستم عامل های موبایل را دارند. حتی سیستم های iOS ای که JailBreak نشده اند هم قابل نفوذ با این ابزارها می باشند.

با وجود اینکه مدیرعامل Hacking Team از دست داشتن یک دولت خارجی در این حادثه خبر داده بود، اخیراً اعلام شده که احتمالاً موضوع افشای این اطلاعات ناشی از سوء استفاده چند کارمند پیشین شرکت از دسترسی های خود بوده است.

نویسنده: افشین لامعی - ۱۳٩٤/٤/۱٤

یکی از معضلات شبکه های سازمانی در سال های اخیر، فربه شدن کلاینت ها و استفاده اونها از ده ها برنامه کاربردی از برندهای مختلف هست. این باعث شده که امنیت نرم افزارهای کلاینت به شدت بر امنیت شبکه های سازمانی و به طور کلی امنیت کاربر تأثیرگذار باشه. به دلیل همین نقطه ضعف، روند بسیاری از حملات، به خصوص حملاتی که با هدف سرقت اطلاعات انجام میشه، از جمله انواع تهدیدهای پیشرفته ماندگار (APT) ، به طرف کلاینت ها رو به افزایش بوده و شناخته شده ترین بدافزارهای سال های اخیر از آلوده کردن کامپیوترهای کلاینت کار خودشون رو آغاز می کنند.

بنابراین برای یک سازمان، اطلاع از وضعیت امنیت نرم افزارهایی مثل آفیس، flash player ها، مرورگرها و غیره بسیار حیاتی خواهد بود. اتفاقاً مشکل همینجاست، حداقل در مورد نرم افزارهای مایکروسافتی یک راه حل در سطح enterprise وجود داره اما در مورد جاوا، flash player و نرم افزارهای مشابه، راه حل استانداردی که چاره کار enterprise باشه نه اینکه وجود نداره اما اجرای اون کار ساده و کم هزینه ای نیست.

با این مقدمه، یک نرم افزار از شرکت secunia با نام Secunia SPI رو معرفی می کنم که حداقل خود شما برای کامپیوتر خودتون میتونید استفاده کنید. این نرم افزار، وضعیت تمام برنامه های کاربردی شما رو از نظر به روز بودن بررسی کرده و گزارش می کنه و در صورت لزوم میتونه اکثر اونها رو به روز کنه.

دانلود

نویسنده: افشین لامعی - ۱۳٩٤/٤/٩

اگر تمایل به کار تمام وقت در زمینه های مختلف امنیت اطلاعات دارید لطفاً رزومه خود را برای من ارسال کنید.

نویسنده: افشین لامعی - ۱۳٩٤/٤/۸

دومین دوره آموزشی تهدیدهای نوظهور امنیتی از 12 مردادماه در مرکز فابا شروع خواهد شد. مطالب این دوره نسبت به دوره قبل جدیدتر بوده و آخرین تکنیک های استفاده شده در حملات به خصوص نسبت به سرویس های بانکی را در بر داشته و نیز روش های مقابله با این حملات نیز بررسی خواهد شد. مدت دوره 32 ساعت در طول 8 هفته خواهد بود.

اطلاعات ثبت نام

نویسنده: افشین لامعی - ۱۳٩٤/۳/٢٩

نسخه دوم بدافزار Duqu هفته گذشته به طور رسمی معرفی شد و شرکت کسپرسکی اعلام کرد که بخشی از شبکه این شرکت هم آلوده به این بدافزار شده است. گزارش کسپرسکی جزئیات فراوانی دارد که خواندنی است، از جمله اینکه نسخه دوم Duqu از یک آسیب پذیری Zero Day در کرنل ویندوز (مربوط به Kerberos) سوء استفاده کرده است. نفوذ اولیه مثل بسیاری دیگر از تهدیدهای پیشرفته ماندگار (APT) با استفاده از Spear Phishing یعنی ارسال ایمیل حاوی بدافزار برای فردی در داخل سازمان هدف انجام شده است. در این مرحله احتمالاً از یک Zero Day و در مرحله بعدی (گسترش آلودگی در شبکه هدف) از یک Zero Day مربوط به سال 2014 با کد شناسایی MS14-067 استفاده شده است. بعد از به دست آوردن مجوز ادمین دامین، برای آلوده کردن بقیه ماشین ها از روش Deploy کردن بسته حاوی بدافزار از راه دور استفاده شده است. همچنین از Task Scheduler ویندوز هم برای گسترش آلودگی به بقیه ماشین ها استفاده شده است.

به طور کلی تغییرات زیادی نسبت به نسخه اول Duqu که در سال 2011 کشف شد به وجود آمده اما در هر دو مورد، جاسوسی از فعالیت های هسته ای ایران هدف اصلی بدافزار بوده است.

در مطالبی که شرکت کسپرسکی منتشر کرده تلاش شده که به مشتریان این شرکت اطمینان داده شود که آلوده شدن شبکه کسپرسکی خطری برای مشتریان و محصولات کسپرسکی ایجاد نمی کند.

مطالب قدیمی تر »
سی و چهار ساله ، متأهل، دانشجوی دکترای نرم افزار ـ امنیت، دانشگاه صنعتی امیرکبیر. مشاور مستقل امنیت اطلاعات. توییتر: itsec1@
مطالب اخیر: