امنیت اطلاعات
و دیگر هیچ ...
کلمات کلیدی مطالب
آرشیو وبلاگ
نویسنده: افشین لامعی - ۱۳٩۳/٦/٢٩

کمبود نیروی متخصص یکی از دغدغه های اکثر فعالان در بازار امنیت است. تعداد زیادی از دوستان و آشنایان من در شرکت های خصوصی، سازمان های دولتی و غیره به دنبال نیروی کار آشنا به حوزه امنیت اطلاعات هستند و دائماً در این مورد اعلام نیاز می کنند.

اگر شما متقاضی کار تمام وقت یا نیمه وقت در هر یک از بخش های امنیت از جمله تست نفوذ، امن سازی، تولید محصول، راهبری امنیت، ممیزی، پشتیبانی، مدیریت پروژه  و غیره هستید میتوانید رزومه خود را به ایمیل من ارسال کنید.

بدیهی است در مورد نتیجه ارسال رزومه و اطلاع رسانی های بعدی مسئولیتی متوجه من نیست.

نویسنده: افشین لامعی - ۱۳٩۳/٦/٢٩

اپل و گوگل ادعا می کنند که در نسخه های جدید iOS و اندروید، تمام اطلاعات کاربر بر اساس passcode او رمز شده و در گوشی تلفن ذخیره خواهد شد. در نتیجه سارق یا پلیس نمی توانند بدون داشتن آن passcode ، اطلاعات ذخیره شده در گوشی را به دست آورند.

نویسنده: افشین لامعی - ۱۳٩۳/٦/٢٢

 

این دستگاه هر گونه کامپیوتر، دوربین و غیره را که به شبکه بی سیم تحت حفاظت وصل شده باشد شناسایی کرده و بعد از علام هشدار به صاحب شبکه، به صورت خودکار از شبکه قطع می کند.

قیمت دستگاه بین 50 تا 100 دلار است.

نویسنده: افشین لامعی - ۱۳٩۳/٦/۱٩

بسیاری از افراد این سوال برایشان پیش می آید که ارتباط سیستم مدیریت امنیت اطلاعات (ISMS) و مرکز عملیات امنیت (SOC) چیست؟ آیا یکی پیشنیاز دیگری است؟ آیا استقرار یکی مستلزم استقرار دیگری است؟ آیا این دو کلاً مستقل هستند و به دو حوزه متفاوت می پردازند؟

از چند منظر می شود ارتباط بین ISMS و SOC را توضیح داد.

1- سیستم مدیریت امنیت اطلاعات بر دیدگاه "فرآیند ـ محور" نسبت به امنیت اطلاعات تأکید دارد. یکی از اهداف مهم این سیستم، استقرار فرآیندهای اصلی امنیت اطلاعات از جمله "پایش امنیت" در محدوده ISMS است. فرآیند پایش امنیت یکی از کارکردهای اولیه مرکز عملیات امنیت است. در نتیجه، با استفاده از SOC می توان برخی فرآیندهای مهم امنیت اطلاعات را که مدنظر ISMS هم هست، در سازمان مستقر کرد. البته این به آن معنی نیست که این فرآیندها الزاماً باید در قالب SOC پیاده سازی شوند.

2- محدوده فیزیکی و منطقی استقرار سیستم مدیریت امنیت اطلاعات در یک سازمان می تواند دربرگیرنده بخش هایی مثل شبکه داخلی، سرویس های اینترنتی، مرکز داده و غیره باشد. به همین ترتیب، SOC سازمان هم می تواند جزئی از محدوده ISMS باشد. یعنی سازمان می تواند ISMS را در SOC خود پیاده سازی کرده و گواهی ISO 27001 را در این محدوده دریافت کند.

به نظرم یکی از ریشه های اینگونه پرسش ها، نگاه "پروژه ـ محور" به مقوله امنیت اطلاعات است. به طور مشخص، خیلی از سازمان ها در چند سال گذشته روی استقرار سیستم مدیریت امنیت اطلاعات تمرکز داشته اند. فارغ از اینکه این پروژه در آن سازمان ها موفق بوده یا خیر، این سوء تفاهم در بسیاری ایجاد شده که امنیت اطلاعات برابر است با ISMS . حالا که همین نگاه اشتباه در برخی افراد نسبت به SOC وجود دارد، طبعاً پرسشهایی از قبیل فوق به ذهن می رسد.   

نویسنده: افشین لامعی - ۱۳٩۳/٦/٧

پنج شنبه این هفته (سیزدهم شهریور 93) من به عنوان سخنران مدعو در یازدهمین کنفرانس بین المللی انجمن رمز ایران حضور خواهم داشت.

موضوع ارائه من، "مرکز عملیات امنیت: فاکتورهای کلیدی موفقیت" خواهد بود که در نشست مهندسی امنیت در ساعت 11 تا 12:30 پنج شنبه در اتاق 203 دانشکده مهندسی برق و کامپیوتر دانشگاه تهران برگزار می شود.

چکیده این ارائه:

Security Operations Center: Key Success Factors

Organizations need to monitor and analyse the security under a continuous process which is realized by Security Operations Center. SOC is a part of the technical and management structure of the organization where high-quality staffs as well as advanced technologies are employed to monitor and administer the security. Being technically complicated, running SOCs requires special preparation.  Multiple parameters affect the SOC and consequently its cost and complexity, such as physical and logical scope, number of sensors and log sources, device/application diversity and necessary technologies. Furthermore, the maturity level of security monitoring process is a critical success factor.

In this talk, we briefly explain key important aspects of SOC projects initiation and related challenges.

برنامه کامل زمانبندی کنفرانس

برنامه ارائه ها (انگلیسی)

نویسنده: افشین لامعی - ۱۳٩۳/٦/٦

 Sysmon ابزار جدیدی از مایکروسافت برای مانیتور کردن فعالیت های سیستم عامل است. این ابزار با فرمان زیر در خط فرمان ویندوز نصب می شود:

Sysmon.exe -i -h sha256 -n

بعد از نصب، به صورت یک سرویس ویندوزی و مقیم در حافظه در آمده و هنگام بوت شدن سیستم هم اجرا می شود.فعالیت هایی مثل ایجاد پروسس جدید، اتصال به شبکه، تغییر زمان ایجاد فایل ها توسط این برنامه پایش و لاگ می شود. ثبت و جمع آوری اینگونه فعالیت ها به ابزارهایی مثل SIEM برای همبسته سازی رخدادها کمک می کند. به عنوان مثال، تغییر دادن زمان واقعی ایجاد یک فایل، تکنیکی است که برخی بدافزارها برای پنهان کردن فعالیت های خود انجام می دهند. 

 برای مشاهده رخدادهای ثبت شده، eventvwr.exe را اجرا و در بخش

Applications and Services Logs/Microsoft/Windows/Sysmon/Operational

می توانیم رخدادها را مشاهده کنیم.

 

 

 

نویسنده: افشین لامعی - ۱۳٩۳/٥/۳٠

دیروز یک سمینار آموزشی در شرکت مخابرات استان تهران برگزار کردم. موضوع سمینار، آشنایی با تهدیدهای نوظهور در فضای سایبر بود و مخاطبان آن مدیران و کارشناسان فنی بودند.

سرفصلهای ارائه شده در این سمینار:

  • ابعاد، اهداف و ویژگی های امنیت سایبر
  • بدافزارهای جدید
  • حملات هدفمند
  • تهدیدهای پیشرفته ماندگار (APT)
  • بررسی نمونه های اخیر تهدیدهای نوظهور
  • توصیه های کلی برای حفاظت از اطلاعات شخصی و سازمانی
نویسنده: افشین لامعی - ۱۳٩۳/٥/٢٥

شرکت FireEye با همکاری Fox-it سرویس آنلاینی راه اندازی کرده که فایل های رمز شده با بدافزار باج گیر Cryptolocker را دریافت و رمزگشایی می کند.

نویسنده: افشین لامعی - ۱۳٩۳/٥/٢٤

 


مقایسه این جدول با جدول مربوط به UTM ها نتایج جالبی به همراه دارد. فعلاً جدول UTM ها رو به صورت مستقل پیدا نکردم. به طور کلی از دیدگاه گارتنر به نظر می رسه که کلاس محصولات enterprise firewall کاملاً با UTM ها فرق داشته و بازیگران پیشرو در UTM متنوع تر از enterprise firewall هستند.

نویسنده: افشین لامعی - ۱۳٩۳/٥/۱٦

اتفاقی که در یک پیتزا فروشی در تهران روی داد و منجر به سرقت صدها میلیون تومان از کارت های بانکی مشتریان شد، از دیدگاه فنی پیچیدگی زیادی ندارد. در واقع، سارق هنگام دریافت کارت بانکی مشتری، ابتدا آن را در یک دستگاه شبیه پایانه های فروش (POS) که در واقع جعلی بوده می کشیده و یکی کپی از اطلاعات کارت را بر می داشته است. رمز مشتری هم که توسط خود مشتری بنابر یک عادت غلط، اعلام می شده و در نتیجه سارق توانسته تمام کارت ها را کپی کرده و بعداً حساب مشتری ها را خالی کند. این نوع سرقت دیگر در بسیاری از کشورهای دنیا امکانپذیر نیست چون اینکه فروشنده به جای صاحب حساب، کارت بکشد و رمز توسط او وارد شود در اکثر نقاط دنیا وجود ندارد.

روند فوق که به صورت دستی و با دخالت عامل انسانی انجام می شود می تواند به طور کامل توسط بدافزاری که به سیستم متصل به پایانه فروش (POS) دسترسی دارد انجام شود. این اتفاقی است که نمونه های زیادی از آن در دنیا دیده شده، از جمله بدافزار Backoff که اخیراً شناسایی و معرفی شده است.

حتی ارتباط رمز شده بین PoS و شبکه بانک هم نمی تواند مانع عملکرد موفق این بدافزارها شود چون اطلاعات حساس در داخل حافظه PoS رمز شده نیستند و این بدافزارها امکان کپی گرفتن از حافظه (RAM Scrapping) را دارند. به علاوه در مواردی مثل بدافزار Backoff ، امکان Key logging هم وجود دارد.

ویدئویی درباره Backoff در کنفرانس Blackhat 2014

تحلیلی از Fortinet

مطالب قدیمی تر »
سی و سه ساله ، متأهل، دانشجوی دکترای نرم افزار ـ امنیت، دانشگاه صنعتی امیرکبیر. مشاور مستقل امنیت اطلاعات.
مطالب اخیر: