امنیت اطلاعات
و دیگر هیچ ...
کلمات کلیدی مطالب
آرشیو وبلاگ
نویسنده: افشین لامعی - ۱۳٩۳/٧/۸

امروز به اولین نمایشگاه امنیت سایبری ایران که توسط سازمان نظام صنفی رایانه ای رفتم. این نمایشگاه از 5 تا 8 مهرماه برگزار شد و گویا حدود 40 شرکت در آن حضور داشتند. این اتفاق صرفنظر از همه کاستی ها به خودی خود مهم و ارزشمند بود البته به شرط آنکه ادامه پیدا کرده و به عنوان یک گردهمایی سالانه فعالان امنیت سایبری دارای شناسنامه شود. در واقع کمبود اینگونه گردهمایی ها در بازار امنیت احساس می شود. نمایشگاه های عمومی مثل الکامپ که اساساً جای پرداختن به این موضوع نیست و مواردی مثل کنفرانس سالانه انجمن رمز هم برای مخاطبین فعال در بازار امنیت کشور و مشتریان آنها فایده ای ندارد. امروز بسیاری از همکاران و دوستان و قدیم و فعلی را دیدم و صحبت های مختلفی در مورد موضوعات روز داشتیم که مفید بود.

آنچه که در بخش محصولات ارائه شده به نظرم خودنمایی می کرد، تمرکز بر راه حل های توکن، DLP و SOC بود. البته تعداد شرکت هایی که محصولی برای دمو داشتند کم بود. چند کارگاه هم در حاشیه نمایشگاه برگزار شد. بخش کارگاه ها می توانست قوی تر و بهتر برگزار شود و موضوعات جدید و جذاب تری ارائه شود که به رونق نمایشگاه هم کمک می کرد. دعوت از یک یا چند سخنران خارجی و برگزاری مسابقه تست نفوذ، می توانست فضای نمایشگاه را جذاب تر کند.

نحوه حضور شرکت ها در نمایشگاه متفاوت بود. بعضی شرکت ها مشخص بود که با تمام توان در نمایشگاه حاضر شده اند. برخی دیگر هم با اینکه شناخته شده هستند اما صرفاً حضور داشتند و به نظر می رسید که این نمایشگاه در استراتژی بازاریابی آنها جای مهمی ندارد. شرکت هایی هم بودند که با وجود فعالیت مستمر در بازار امنیت، اساساً در نمایشگاه حضور نداشتند.

در هر حال برگزاری یک گردهمایی تخصصی سالانه با مشارکت حداکثری فعالان بازار امنیت حداقل انتظار یا امیدی است که برای آینده این صنف می توان داشت.

نویسنده: افشین لامعی - ۱۳٩۳/٧/٥

اطلاعات بسیار مهمی در بخش های مختلف نظام سلامت پردازش و نگهداری می شود. پرونده پزشکی افراد، اطلاعات پزشکان، اطلاعات بیمه، اطلاعات داروخانه ها، اطلاعات تجهیزات پزشکی و غیره از جمله این اطلاعات ارزشمند هستند. حفاظت از این اطلاعات مسأله مهمی است که در بعضی کشورها به تازگی جدی گرفته شده است. حتی نفوذهای مختلفی با هدف به دست آوردن سود مالی به سیستم های سلامت انجام شده است. به عنوان مثال، جعل مشخصات بیمه ای یک بیمار و استفاده از آن برای خرید دارو و تجهیزات به منظور فروش آنها در بازار آزاد. همچنین افشای پرونده پزشکی بخش زیادی از افراد (مثلاً در یک بیمارستان) که تبعات اجتماعی زیادی به همراه داشته است.

قابل تصور است که شبکه های سلامت به خصوص آزمایشگاه های پزشکی و بیمارستان ها به دلیل بیگانه بودن با فضای IT ، امنیت مناسبی نداشته و راحت تر از دیگر شبکه ها قابل نفوذ باشند.

نویسنده: افشین لامعی - ۱۳٩۳/٧/٢

در هفته های اخیر یک دوره آموزشی +Security در یکی از شرکت های وزارت نفت برگزار کردم که دیروز به اتمام رسید. این دوره در واقع مقدمات و مبانی امنیت اطلاعات را در بر می‏ گیرد.

نویسنده: افشین لامعی - ۱۳٩۳/٦/۳۱

دیروز یک سمینار مرکز عملیات امنیت (SOC) در یکی از مجموعه های بزرگ وزارت نیرو برگزار کردم. سمینار خوبی بود و آشنایی با چالش های مانیتورینگ امنیت در شبکه های صنعتی یکی از فواید آن بود.

نویسنده: افشین لامعی - ۱۳٩۳/٦/٢٩

کمبود نیروی متخصص یکی از دغدغه های اکثر فعالان در بازار امنیت است. تعداد زیادی از دوستان و آشنایان من در شرکت های خصوصی، سازمان های دولتی و غیره به دنبال نیروی کار آشنا به حوزه امنیت اطلاعات هستند و دائماً در این مورد اعلام نیاز می کنند.

اگر شما متقاضی کار تمام وقت یا نیمه وقت در هر یک از بخش های امنیت از جمله تست نفوذ، امن سازی، تولید محصول، راهبری امنیت، ممیزی، پشتیبانی، مدیریت پروژه  و غیره هستید میتوانید رزومه خود را به ایمیل من ارسال کنید.

بدیهی است در مورد نتیجه ارسال رزومه و اطلاع رسانی های بعدی مسئولیتی متوجه من نیست.

نویسنده: افشین لامعی - ۱۳٩۳/٦/٢٩

اپل و گوگل ادعا می کنند که در نسخه های جدید iOS و اندروید، تمام اطلاعات کاربر بر اساس passcode او رمز شده و در گوشی تلفن ذخیره خواهد شد. در نتیجه سارق یا پلیس نمی توانند بدون داشتن آن passcode ، اطلاعات ذخیره شده در گوشی را به دست آورند.

نویسنده: افشین لامعی - ۱۳٩۳/٦/٢٢

 

این دستگاه هر گونه کامپیوتر، دوربین و غیره را که به شبکه بی سیم تحت حفاظت وصل شده باشد شناسایی کرده و بعد از علام هشدار به صاحب شبکه، به صورت خودکار از شبکه قطع می کند.

قیمت دستگاه بین 50 تا 100 دلار است.

نویسنده: افشین لامعی - ۱۳٩۳/٦/۱٩

بسیاری از افراد این سوال برایشان پیش می آید که ارتباط سیستم مدیریت امنیت اطلاعات (ISMS) و مرکز عملیات امنیت (SOC) چیست؟ آیا یکی پیشنیاز دیگری است؟ آیا استقرار یکی مستلزم استقرار دیگری است؟ آیا این دو کلاً مستقل هستند و به دو حوزه متفاوت می پردازند؟

از چند منظر می شود ارتباط بین ISMS و SOC را توضیح داد.

1- سیستم مدیریت امنیت اطلاعات بر دیدگاه "فرآیند ـ محور" نسبت به امنیت اطلاعات تأکید دارد. یکی از اهداف مهم این سیستم، استقرار فرآیندهای اصلی امنیت اطلاعات از جمله "پایش امنیت" در محدوده ISMS است. فرآیند پایش امنیت یکی از کارکردهای اولیه مرکز عملیات امنیت است. در نتیجه، با استفاده از SOC می توان برخی فرآیندهای مهم امنیت اطلاعات را که مدنظر ISMS هم هست، در سازمان مستقر کرد. البته این به آن معنی نیست که این فرآیندها الزاماً باید در قالب SOC پیاده سازی شوند.

2- محدوده فیزیکی و منطقی استقرار سیستم مدیریت امنیت اطلاعات در یک سازمان می تواند دربرگیرنده بخش هایی مثل شبکه داخلی، سرویس های اینترنتی، مرکز داده و غیره باشد. به همین ترتیب، SOC سازمان هم می تواند جزئی از محدوده ISMS باشد. یعنی سازمان می تواند ISMS را در SOC خود پیاده سازی کرده و گواهی ISO 27001 را در این محدوده دریافت کند.

به نظرم یکی از ریشه های اینگونه پرسش ها، نگاه "پروژه ـ محور" به مقوله امنیت اطلاعات است. به طور مشخص، خیلی از سازمان ها در چند سال گذشته روی استقرار سیستم مدیریت امنیت اطلاعات تمرکز داشته اند. فارغ از اینکه این پروژه در آن سازمان ها موفق بوده یا خیر، این سوء تفاهم در بسیاری ایجاد شده که امنیت اطلاعات برابر است با ISMS . حالا که همین نگاه اشتباه در برخی افراد نسبت به SOC وجود دارد، طبعاً پرسشهایی از قبیل فوق به ذهن می رسد.   

نویسنده: افشین لامعی - ۱۳٩۳/٦/٧

پنج شنبه این هفته (سیزدهم شهریور 93) من به عنوان سخنران مدعو در یازدهمین کنفرانس بین المللی انجمن رمز ایران حضور خواهم داشت.

موضوع ارائه من، "مرکز عملیات امنیت: فاکتورهای کلیدی موفقیت" خواهد بود که در نشست مهندسی امنیت در ساعت 11 تا 12:30 پنج شنبه در اتاق 203 دانشکده مهندسی برق و کامپیوتر دانشگاه تهران برگزار می شود.

چکیده این ارائه:

Security Operations Center: Key Success Factors

Organizations need to monitor and analyse the security under a continuous process which is realized by Security Operations Center. SOC is a part of the technical and management structure of the organization where high-quality staffs as well as advanced technologies are employed to monitor and administer the security. Being technically complicated, running SOCs requires special preparation.  Multiple parameters affect the SOC and consequently its cost and complexity, such as physical and logical scope, number of sensors and log sources, device/application diversity and necessary technologies. Furthermore, the maturity level of security monitoring process is a critical success factor.

In this talk, we briefly explain key important aspects of SOC projects initiation and related challenges.

برنامه کامل زمانبندی کنفرانس

برنامه ارائه ها (انگلیسی)

نویسنده: افشین لامعی - ۱۳٩۳/٦/٦

 Sysmon ابزار جدیدی از مایکروسافت برای مانیتور کردن فعالیت های سیستم عامل است. این ابزار با فرمان زیر در خط فرمان ویندوز نصب می شود:

Sysmon.exe -i -h sha256 -n

بعد از نصب، به صورت یک سرویس ویندوزی و مقیم در حافظه در آمده و هنگام بوت شدن سیستم هم اجرا می شود.فعالیت هایی مثل ایجاد پروسس جدید، اتصال به شبکه، تغییر زمان ایجاد فایل ها توسط این برنامه پایش و لاگ می شود. ثبت و جمع آوری اینگونه فعالیت ها به ابزارهایی مثل SIEM برای همبسته سازی رخدادها کمک می کند. به عنوان مثال، تغییر دادن زمان واقعی ایجاد یک فایل، تکنیکی است که برخی بدافزارها برای پنهان کردن فعالیت های خود انجام می دهند. 

 برای مشاهده رخدادهای ثبت شده، eventvwr.exe را اجرا و در بخش

Applications and Services Logs/Microsoft/Windows/Sysmon/Operational

می توانیم رخدادها را مشاهده کنیم.

 

 

 

مطالب قدیمی تر »
سی و سه ساله ، متأهل، دانشجوی دکترای نرم افزار ـ امنیت، دانشگاه صنعتی امیرکبیر. مشاور مستقل امنیت اطلاعات.
مطالب اخیر: