شبکه کامپیوتری(Authentication, Authorization, Accounting) AAA
Admin میتواند از طریق یک کنسول به یک Router یا یک دستگاه دسترسی داشته باشد اما شرایط نامطلوب زمانی بوجود می آید که امکان ارتباط با دستگاه از نزدیک میسر نیست و بنابراین، باید از راه دور به آن دستگاه دسترسی داشته باشد.
اما ازآنجاییکه دسترسی از راه دور با استفاده از یک آدرس IP امکانپذیر خواهد بود، ممکن است یک کاربر غیرمجاز بتواند با استفاده از همان آدرس IP به سیستم دسترسی پیدا کند. بنابراین برای اقدامات امنیتی، باید Authentication انجام دهیم. همچنین بستههای مبادله شده بین دستگاه باید رمزگذاری شوند تا هر شخص دیگری نتواند آن اطلاعات حساس را به دست آورد. بنابراین، چارچوبی به نام AAA برای تأمین آن سطح امنیتی ویژه استفاده میشود.
AAA: AAA یک چارچوب مبتنی بر استاندارد است که برای کنترل افرادی که مجاز به استفاده از منابع شبکه (از طریق Authentication) هستند، آنچه مجاز به انجام آن هستند (از طریق Authorization) و دسترسی به اقدامات انجامشده در حین دسترسی به شبکه (از طریق Accounting)، استفاده می شود.
احراز هویت (Authentication)
فرآیندی که توسط آن میتوان تشخیص داد که کاربری که میخواهد به منابع شبکه دسترسی پیدا کند، با درخواست برخی از اطلاعات هویتی مانند نام کاربری و رمز عبور، معتبر است یا خیر. روشهای رایج عبارتاند از قرار دادن Authenticationدر پورت کنسول، پورت AUX یا خطوط vty.
اگر شخصی بخواهد به شبکه دسترسی پیدا کند، بهعنوان سرپرست شبکه، میتوانیم نحوه Authenticationکاربر را کنترل کنیم. برخی از این روشها شامل استفاده از پایگاه داده محلی (Router) یا ارسال درخواستهای Authenticationبه یک سرور خارجی مانند سرور ACS است. برای تعیین روشی که برای Authenticationاستفاده میشود، از method list Authenticationپیشفرض یا سفارشی استفاده میشود.
2. مجوز (Authorization)
قابلیتهایی را برای اعمال سیاستها در منابع شبکه پسازاینکه کاربر از طریق Authenticationبه منابع شبکه دسترسی پیدا کرد، فراهم میکند. پس از موفقیتآمیز بودن احراز هویت، میتوان از Authorization برای تعیین اینکه کاربر مجاز به دسترسی به چه منابعی است و عملیاتی که میتواند انجام شود استفاده کرد.
بهعنوانمثال، اگر یک مهندس شبکه تازه کار(که نباید به همه منابع دسترسی داشته باشد) بخواهد به دستگاه دسترسی داشته باشد، Admin میتواند نمایهای ایجاد کند که اجازه دهد دستورات خاص فقط توسط کاربر اجرا شوند (فرمانهایی که درروش فهرست مجاز هستند. Admin میتواند از method list مجاز استفاده کند تا مشخص کند کاربر چگونه برای منابع شبکه مجاز است، یعنی از طریق یک پایگاه داده محلی یا سرور .ACS
حسابداری(Accounting)
ابزاری برای کنترل و ثبت رویدادهای انجامشده توسط کاربر در حین دسترسی به منابع شبکه را فراهم میکند.حتی بر مدتزمانی که کاربر به شبکه دسترسی دارد نظارت میکند. Admin میتواند یک method list حسابداری ایجاد کند تا مشخص کند که چه چیزی باید حسابداری شود و سوابق حسابداری برای چه کسی ارسال شود.
پیادهسازی AAA:AAA را میتوان با استفاده از پایگاه داده محلی دستگاه یا با استفاده از یک سرور ACS خارجی پیادهسازی کرد.
پایگاه داده محلی –اگر میخواهیم از پیکربندی در حال اجرای محلی Router یا سوئیچ برای پیادهسازی AAA استفاده کنیم، ابتدا باید کاربرانی را برای Authenticationایجاد کنیم و سطوح امتیاز را برای Authorization به کاربران ارائه دهیم.
سرور – ACS این، روش رایج مورداستفاده است. یک سرور ACS خارجی )میتواند دستگاه ACS یا نرمافزار نصبشده روی Vmware باشد( برای AAA استفاده میشود که روی آن پیکربندی روی Router و ACS موردنیاز است. این پیکربندی شامل ایجاد یک کاربر، method list سفارشی جداگانه برای احراز هویت، Authorization و حسابداری است.
کلاینت یا سرور دسترسی شبکه (NAS) درخواستهای Authenticationرا به سرور ACS ارسال میکند و سرور تصمیم میگیرد که به کاربر اجازه دهد طبق اعتبار ارائهشده توسط کاربر به منبع شبکه دسترسی داشته باشد یا نه.
توجه – اگر سرور ACS موفق به Authenticationنشد، Admin باید استفاده از پایگاه داده محلی دستگاه را بهعنوان پشتیبان، در method list، برای پیادهسازی AAA ذکر کند.
https://faradsys.com/wp-content/uploads/2022/08/images-1.jpg306658فاطمه هاشمیhttps://faradsys.com/wp-content/uploads/2020/05/logo-Farad_op_f_2.pngفاطمه هاشمی2022-08-21 15:30:132022-08-21 15:34:24آشنایی با AAA (Authentication, Authorization and Accounting)
آخرین لیست OWASP پیرامون تهدیدهای رایج برای شرکتها در سال 2022 و چگونگی محافظت در برابر آنهاست.
OWASP بهتازگی لیست اصلاحشده خود را از ده مورد آسیبپذیری مهم برای مشاغل در سالهای 2021-2022، پنج سال پس از آخرین اطلاعیه خود منتشر کرده است.
OWASP Top 10 مدل 2021-2022 در مقایسه با مدل 2017
Open Web Application Security Project (OWASP) یک سازمان غیردولتی است که هدف آن بهبود امنیت نرمافزار است. OWASP یک فروشگاه چندمنظوره برای افراد، شرکتها، سازمانهای دولتی و سایر سازمانهای جهانی است که به دنبال عیبیابی و دانش واقعی در مورد امنیت application هستند. OWASP خدمات یا محصولات تجاری را تبلیغ نمیکند، اما مجموعهای از دوره های خود را در مورد امنیت برنامهها و حوزههای مرتبط ارائه میدهد.
علاوه بر این، مفهوم “open community” را مطرح میکند، به این معنی که هرکسی آزاد است در مکالمات آنلاین OWASP، طرحها و سایر فعالیتها شرکت کند. OWASP تضمین میکند که تمام منابع خود، ازجمله ابزارهای آنلاین، ویدیوها، انجمنها و رویدادها، از طریق وبسایت خود در دسترس عموم قرار گیرد. با افزایش جرائم سایبری، حملات (DDoS)، کنترل دسترسی معیوب و فاش شدن اطلاعات به دفعات اتفاق میافتد. بنیاد OWASP، OWASP Top 10را برای جلوگیری از این نگرانیهای امنیتی ایجاد کرد. OWASP Top 10 یک رتبهبندی از ده خطر جدی امنیتی برای برنامههای آنلاین موجود است که بر اساس اولویت آورده شده است. آخرین لیست OWASP Top 10در سال 2017 منتشر شد که اخیراً در سهماهه چهارم سال 2021 بهروزرسانی شده است.
در اینجا برخی از تغییرات مهم قابل مشاهده است:
A03: SQL Injections 2021 گستردهتر میشوند
اولین اصلاحات در ارتباط با SQL Injections است. حملات SQL Injections زمانی اتفاق میافتد که یک هکر سعی میکند دادهها را به یک برنامه وب ارسال کند، بهطوریکه برنامه وب یک عمل ناخواسته را انجام دهد. اینها ممکن است شامل اشکالات SQL Injections، سیستمعامل و پروتکل (LDAP) باشد. ازآنجاییکه این نقص نیز injectable است، بهروزرسانی فعلی OWASP Top 10 حملات(XSS) A07:2017 را تشدید میکند.
A05: پیکربندی اشتباه امنیتی 2021 در اولویت قرار دارد
با توجه به افزایش تعداد گزینههای پیکربندی، این دسته در OWASP Top 10 ارتقا یافته است. حمله XXE یک برنامه client-sideرا هدف قرار میدهد که ورودی XML را پردازش میکند. یک XML-External-Entities-Attack زمانی اتفاق میافتد که ارجاعات ورودی XML ناامن، به موجودیتهای خارجی تفسیر و پردازش شوند. بااینحال، این حمله تنها با یک تجزیهکننده XML معیوب یا پیکربندی نامناسب موفقیتآمیز است؛ بنابراین، A04:2017-XML External Entities (XXE) در A05:2021-Security misconfiguration بهعنوان یک نوع خاص از پیکربندی نادرست ادغامشده است.
10 آسیبپذیری برتر OWASP برای سال 2022 چیست؟
سه دستهبندی جدید در OWASP Top 10 سال 2021 با تغییرات و ادغام دامنه و نامگذاری اضافه شده است. برای شروع و محافظت در برابر این تهدیدها، در اینجا مهمترین آسیبپذیریهای امنیتی که باید در سال 2022 مراقب آنها بود، آورده شده است:
کنترل دسترسی خرابBroken access control
کنترل دسترسی استراتژیهایی را برای جلوگیری از عملکرد کاربران فراتر از محدوده مشخصشده خود پیادهسازی میکند. به دلیل آسیبپذیریهای دسترسی، کاربران احراز هویت نشده ممکن است به دادهها و فرآیندهای طبقهبندیشده و تنظیمات امتیاز کاربر دسترسی داشته باشند.
دستکاری metadata، ازجمله دستکاری یا اجرای مجدد یک نشانه کنترل دسترسی JSON (JWT)، یا تغییر cookies یا فیلدهای مخفی برای افزایش امتیازات یا سوء استفاده از باطل شدن JWT، نمونهای از آسیبپذیری کنترل دسترسی است. مثال دوم نقض اصل denial بهطور پیشفرض است. دسترسی باید فقط به نقشها، قابلیتها یا کاربران خاصی داده شود، اما برای همه قابلدسترسی است. چنین خطاهایی ممکن است دسترسی Attackers به همه جا را آسان کنند.
بااینحال، ممکن است با استفاده از رویکردهای کدگذاری ایمن و انجام اقدامات احتیاطی مانند غیرفعال کردن حسابهای admin و محدودیتها و نصب احراز هویت چندعاملی، از مکانیسمهای امنیتی دسترسی ناکافی و مسائل مربوط به مدیریت هویت یا رمز عبور جلوگیری کنید.
تکنیکهای پیشگیری تکمیلی عبارتاند از:
مکانیسمهای کنترل دسترسی را فقط یکبار اجرا کنید و برای کاهش اشتراکگذاری منابع متقاطع (CORS) از آنها برای مدتزمان برنامه مجددا استفاده کنید.
مدلهای Domain باید موانع محدود تجاری یک application متفاوت را اعمال کنند.
دسترسی به رابطهای برنامهنویسی برنامه (API) و کنترلکنندهها را محدود کنید تا اثرات ابزارهای حمله خودکار را کاهش دهید.
هر گونه اشکال در کنترل دسترسی را یادداشت کرده و در صورت لزوم به مدیران اطلاع دهید.
بهجای ارائه دسترسی به کاربر برای ایجاد، مشاهده، اصلاح یا پاک کردن هرگونه اطلاعات، کنترلهای دسترسی model باید از مالکیت رکورد تبعیت کنند.
مشکلات رمزنگاری(Cryptographic Failures)
مشکلات رمزنگاری که قبلاً بهعنوان قرار گیری در معرض دادههای حساس شناخته میشد، به جایگاه دوم رسید. این بیشتر یک علامت است تا اینکه علت اصلی باشد. در اینجا تأکید بر خطاهای رمزنگاری یا عدم وجود آنها است که اغلب دادههای حساس را در معرض دید قرار میدهد. موارد زیر نمونههای متداولی از قرار گرفتن در معرض اطلاعات حساس هستند:
توکنهای Session
شناسههای ورود و رمز عبور
معاملات آنلاین
اطلاعات شخصی (شبکه سرویس سوئیچ شده یا SSN، health records و غیره)
بهعنوانمثال، یک application ممکن است بهطور ایمن دادههای کارت اعتباری را با رمزگذاری خودکار پایگاه داده انجام دهد. متأسفانه، هنگامیکه به این اطلاعات دسترسی پیدا میشود، رمزگذاری بلافاصله انجام نمی گیرد و یک خطای Injection SQL را قادر میسازد تا اطلاعات کارت اعتباری را در قالب یک متن مشخص استخراج کند که ممکن است یک فرد خاطی از آن سوءاستفاده کند. با استفاده از تکنیکهای پیشگیری زیر میتوان از این مشکلات جلوگیری کرد:
شما باید از الگوریتمهای hashing قوی، salted و تطبیقی با ضریب تأخیر برای ذخیره رمزهای عبور از قبیل scrypt، Argon2، PBKDF2 یا bcrypt استفاده کنید.
هنگام انتقال دادههای حساس باید از پروتکلهای قدیمیتر مانند پروتکل انتقال فایل (FTP) و پروتکل انتقالنامه ساده (SMTP) اجتناب شود.
بهجای استفاده صرف از رمزگذاری، توصیه میشود رمزگذاری تأییدشده را پیادهسازی کنید.
کلیدهای تصادفی رمزنگاری باید بهصورت آرایه بایت تولید و ذخیره شوند. اگر از رمزهای عبور استفاده میشود، باید با استفاده از الگوریتمی برای ایجاد کلید مبتنی بر رمز عبور، به چیزی شبیه به یک کلید تبدیل شود.
SQL Injection
SQL Injection (یا Injection) یک حمله پایگاه داده علیه وبسایتی است که از زبان (SQL) برای به دست آوردن اطلاعات یا انجام فعالیتهایی استفاده میکند که معمولاً به یک حساب کاربری تأییدشده نیاز دارند. تفسیر این کدها برای برنامه از روی کد خود دشوار است و به مهاجمان این امکان را میدهد که حملات SQL Injection را انجام دهند تا به مناطق محافظتشده دسترسی داشته باشند و دادههای حساس را بهعنوان کاربران قابلاعتماد پنهان کنند. SQL Injection شامل SQL Injection، SQL Injection فرمان، SQL Injection CRLF و SQL Injection LDAP و غیره است.
با حداکثر بروز تخمینی 19 درصد، میانگین میزان بروز 3 درصد و 274000 مورد، 94 درصد از برنامهها برای SQL Injection غربالگری شدند. درنتیجه، Injection به رتبه سوم در لیست اصلاحشده سقوط کرد.
برخی از تکنیکهای پیشگیری عبارتاند از:
یک جایگزین ترجیحی استفاده از یک API است که بهطور کامل از مفسر اجتناب میکند، یک API پارامتری ارائه میدهد، یا به ابزارهای نگاشت شی – رابطه (ORM) منتقل میشود.
استفاده از ورودی اعتبارسنجی مثبت سمت سرور توصیه میشود. برنامههای کاربردی متعدد، ازجمله فیلدهای متنی و API برای برنامههای تلفن همراه، به کاراکترهای ویژهای نیاز دارند.
استفاده از LIMIT و سایر محدودیتهای SQL در داخل پرسوجوها راهی عالی برای جلوگیری از قرار گرفتن در معرض دادههای عظیم در مورد SQL Injection است.
بیشتر بخوانید: فایروال چیست؟ تعریف، مؤلفههای کلیدی و بهترین روشها
طراحی ناامن
اینیک مقوله کاملاً جدید برای سال 2021 است که بر روی اشکالات طراحی و معماری تمرکز دارد و نیاز به استفاده بیشتر از مدلسازی تهدید، توصیههای ایمنی طراحی و معماریهای مرجع دارد. طراحی ناایمن مقوله وسیعی است که شامل مشکلات گوناگونی است، مانند «نقص یا ناکافی بودن طراحی کنترل.» این بدان معنا نیست که طراحی ناامن ریشه تمام 10 دسته خطر اصلی دیگر است.
طراحی ناایمن با اجرای ناایمن یکسان نیست. نقصهای پیادهسازی میتواند منجر به آسیبپذیریها شود، حتی زمانی که طراحی امن باشد. از سوی دیگر، یک طراحی معیوب را نمیتوان با اجرای بیعیب و نقص جبران کرد زیرا تدابیر امنیتی لازم برای دفاع در برابر تهدیدات خاص وجود ندارد.
میتوان با استفاده از تکنیکهای پیشگیری زیر از این تهدیدات جلوگیری کرد:
با کمک متخصصان AppSec یک چرخه حیات توسعه ایمن را برای ارزیابی و ایجاد تدابیر امنیتی و حریم خصوصی تنظیم و استفاده کنید.
راهاندازی و استفاده از Lifecycle توسعه ایمن با کمک متخصصان AppSec برای ارزیابی و ایجاد تدابیر امنیتی و حفظ حریم خصوصی توصیه میشود.
اصطلاحات امنیتی و کنترلها را در Story های کاربر قرار دهید.
Tenant segregation بر اساس طراحی در تمام سطوح نیز بهعنوان یک رویکرد پیشگیرانه عملی دیده میشود.
تنظیمات اشتباه امنیتی
مسائل اجرای امنیت عمومی، مانند کنترلهای دسترسی نادرست پیکربندیشده، با فراهم کردن دسترسی سریع و آسان Attackers به دادههای حیاتی و Site Regions، خطرات قابلتوجهی ایجاد میکند.
OWASP با نرخ متوسط بروز 4% و بیش از 208000 رخداد[1] (CWE) در این دسته، 90% برنامهها را برای پیکربندی نادرست بررسی کرد. «پیکربندی CWE-16 و محدودیت نامناسب CWE-611 مرجع خارجی XML، دو CWE قابلتوجه هستند». برای جلوگیری از پیچیدگیهای پیکربندی، باید از تکنیکهای نصب ایمن استفاده کرد که عبارتاند از:
یک فرآیند تقویت سیستماتیک امکان استقرار سریع و آسان یک محیط امن را فراهم میکند. پیکربندی محیطهای توسعه، کنترل کیفیت و عملیاتی باید مشابه و دارای امتیازات کاربر متمایز باشد.
برای خودکارسازی فرآیندها در جهت ایجاد یک محیط امن جدید، صرفهجویی در زمان و تلاش لازم، ایده آل است. ویژگیها و فریمورک های استفادهنشده باید حذف شوند یا نصب نشوند. یک پلتفرم اصلی بدون ویژگیها، مؤلفهها، مستندات یا نمایشهای غیرضروری، احتمال آسیبپذیریهای پیکربندی را کاهش میدهد.
اجزای آسیبپذیر و قدیمی
اکثر برنامههای آنلاین با کمک چارچوبهای شخص ثالث ایجاد میشوند. کدهای برنامه ناشناخته ممکن است منجر به نتایج نامطلوب و موقعیتهای ناخواسته مانند Accent Control Violations، SQL Injection و غیره شود.
اگر برنامه ناامن، پشتیبانی نشده یا قدیمی باشد، ممکن است خطرات مربوط به آسیبپذیری وجود داشته باشد. این بسته شامل Application / وب سرور، سیستمعامل، Applications، سیستم مدیریت پایگاه داده (DBMS)، API ها، عناصر دیگر، کتابخانهها و محیطهای زمان اجرا میباشد.
رویکردهای خودکار برای کمک به Attackers دریافتن ماشینهایی که بهدرستی پیکربندی نشده یا وصله نشدهاند، در دسترس هستند. برای مثال، موتور جستجوی IoT Shodan ممکن است به کاربران در کشف دستگاههایی که در معرض تهدید Heartbleed هستند که در آوریل 2014 رفع شد، کمک کند. برخی از تکنیکهای پیشگیری عبارتاند از:
بهتر است قطعات را از منابع معتبر از طریق کانالهای امن خریداری کنید.
مراقب ماژولها و عناصری باشید که کاربردی نیستند یا بهروزرسانیهای امنیتی را برای نسخههای قدیمیتر ارائه نمیکنند. اگر نمیتوان Patching را انجام داد، برای مشاهده، شناسایی یا محافظت در برابر آسیبپذیری مشاهدهشده، Patching مجازی ایجاد کنید.
هرگونه الزامات، قابلیتها، عناصر، پوشهها یا اسناد اضافی را حذف کنید.
مشکلات شناسایی و احراز هویت
این دسته که قبلاً بهعنوان احراز هویت ناقص شناخته میشد، از رتبه دوم سقوط کرد و اکنون حاوی CWE های مرتبط با مشکلات شناسایی است. هنگامیکه یک Attacker اطلاعات کاربر، بازیابی رمز عبور، جلسات ID و سایر اعتبارنامههای ورود را به دست میآورد، مشکلات امنیتی ایجاد میکند. همانطور که از نام آن پیداست، مشکلات احراز هویت و شناسایی شامل هکرهایی است که از چنین آسیبپذیریهایی برای استفاده از احراز هویت نادرست سوءاستفاده میکنند.
اگر برنامه اجازه حملات خودکار مانند پر کردن اعتبار – زمانی که Attacker به لیست کاربران واقعی و گذرواژهها دسترسی دارد – یا گذرواژههای از پیش تعریفشده، ضعیفتر و رایج مانند «Password1» یا «Admin/Admin» را میدهد، اینها میتواند نشانهای از نقصهای احراز هویت باشد.
برای جلوگیری از چنین نقصهایی، باید اقدامات پیشگیرانه زیر را در نظر گرفت:
احراز هویت چندعاملی باید هر جا که امکانپذیر باشد برای جلوگیری از پر کردن خودکار اعتبار، حملات brute-force و استفاده مجدد از اعتبارنامههای سرقت شده استفاده شود.
با بررسی گذرواژههای جدید یا اصلاحشده در برابر پایگاه دادهای از 10000 مورد از ضعیفترین رمز عبورها، میتوان امنیت رمز عبور را افزایش داد.
استفاده از پیامهای مشابه برای هر نتیجه، به جلوگیری از حملات شمارش حساب در بازیابی رمز عبور، ثبتنامها و مسیرهای API کمک میکند.
هیچ اعتبار پیشفرضی را نصب نکنید، بهخصوص برای کاربران اداری.
نقص نرمافزار و یکپارچگی دادهها
ازآنجاییکه اطلاعات حساستر در پایگاههای داده ذخیره میشوند و در برابر نقضهای امنیتی آسیبپذیر هستند، نگرانیهای یکپارچگی دادهها برای نرمافزار ضروری میشود.
اینیک مقوله جدید است و برفرض یکپارچگی بهروزرسانیهای نرمافزار، دادههای حیاتی و رویههای CI/CD بدون تأیید آنها، تمرکز دارد. یک مثال زمانی است که برنامهها از افزونهها، ماژولها یا مخازن از شبکههای تحویل محتوا (CDN) یا منابع غیرمجاز استفاده میکنند. یک فرآیند یکپارچهسازی/تحویل پیوسته (CI/CD) که محافظت نشده است ممکن است خطر کد مخرب، به خطر افتادن سیستم یا دسترسی غیرمجاز را افزایش دهد.
تکنیکهای پیشگیری عبارتاند از:
میتوان از معیارهایی مانند امضای دیجیتال برای تأیید اینکه دادهها یا نرمافزار از منابع مورد انتظار بدون هیچگونه دستکاری تهیهشدهاند، استفاده کرد.
یک ابزار امنیتی برای زنجیرههای تأمین نرمافزار، مانند OWASP CycloneDX یا OWASP Dependency-Check، ممکن است برای تضمین عدم وجود ایرادات طراحی در اجزا استفاده شود.
لازم است تضمین شود که گردش کار CI/CD دارای بخشبندی، کنترل دسترسی و پارامتر سازی لازم برای محافظت از یکپارچگی کد در طول عملیات راهاندازی و استقرار است.
دادههای جمعآوریشده بدون امضا یا رمزگذاری نشده نباید به مشتریان غیرقابلاعتماد ارسال شوند، مگر اینکه آزمایش یکپارچگی یا امضای دیجیتالی برای شناسایی تغییر یا تکرار دادهها وجود داشته باشد.
مشکلات logging و monitoring امنیتی
عدم ردیابی اقدامات و رویدادهای مشکوک میتواند شکافهای زمانی نظارتنشده را افزایش دهد و اجازه میدهد نقضهای امنیتی برای مدت طولانیتری بهواسطه logging مناسبتر نادیده گرفته شوند. این بخش OWASP Top 10 2021 بهمنظور کمک به شناسایی، تشدید و حلوفصل نقضهای اخیر است. تشخیص نقض امنیتی احتمالاً بدون ثبت و کنترل است.
یک شرکت هواپیمایی بزرگ اروپایی برای نشان دادن این شکست، یک رویداد گزارشی(GDPR) داشت. احتمالاً متخلفان از نقایص امنیتی app پرداخت برای به دست آوردن اطلاعات بیش از 400000 پرداختی مصرفکنندگان سوءاستفاده کردهاند. در پاسخ، متصدیان حریم خصوصی، این شرکت هواپیمایی را به دلیل دادههای نادرست، 20 میلیون پوند جریمه کردند. برای جلوگیری از چنین حملاتی، لازم است کاربران نکات زیر را در نظر بگیرند:
بررسی تمامی مشکلات authentication، سیستمهای امنیتی دسترسی و اعتبارسنجی دادههای server-side با استفاده از اطلاعات کافی کاربر برای شناسایی حسابهای مشکوک یا کلاهبردار ثبتشده که برای یک دوره مناسب ذخیره میشوند تا تحقیقات جامعی در زمان مناسب صورت گیرد.
کسب اطمینان از ایجاد log ها در فرمتهای قابلقبول توسط سیستمهای مدیریت log
بهکارگیری یک استراتژی برای اعمال بازیابی رویدادها و تلاشهای پاسخ، مانند NIST 800-61r2 یا نسخه جدیدتر.
کسب اطمینان از کدگذاری صحیح دادههای گزارش برای جلوگیری از نفوذ یا تهدیدات سایبری برای سیستمهای نظارتی
https://faradsys.com/wp-content/uploads/2022/08/OWASP-Logo.jpg500750فاطمه هاشمیhttps://faradsys.com/wp-content/uploads/2020/05/logo-Farad_op_f_2.pngفاطمه هاشمی2022-08-14 15:30:152022-08-20 17:22:0610 آسیبپذیری مهم OWASP در سال 2022
حفظ امنیت اطلاعات در عصر اطلاعات پارامتر مهمی است که دغدغه اصلی بسیاری از مدیران است و باید به آن توجه ویژه ای کرد. برای اینکه بتوانیم از اطلاعاتمان محافظت کنیم، به شناخت راه های مقابله با حملات سایبری، بد افزارها و آسیب پذیری ها نیاز داریم. از طرفی این موضوع که در معرض کدام یکی از آنها هستیم هم می تواند به ما کمک کند. ادامه نوشته
https://faradsys.com/wp-content/uploads/2020/08/cyber-attack-types-low-1.jpg6301008عباس اشرفیhttps://faradsys.com/wp-content/uploads/2020/05/logo-Farad_op_f_2.pngعباس اشرفی2020-08-08 11:00:562020-08-11 01:25:51انواع حملات سایبری که ما را تهدید می کنند
اولین راه مقابله با بدافزارها و حملات سایبری، استفاده از فایروالمی باشد. بخش زیادی از بد افزارها و malware ها در طول سال های گذشته، توسط فایروال ها دفع و خنثی شده اند. برای نمونه برخی از بزرگترین نفوذهای چند سال اخیر از جمله WannaCry، Nyetya و VPNFilter را در نظر بگیرید؛ حمله WannaCry در تاریخ 12 ماه می 2017 در صدر اخبار جهانی قرار گرفت. در حالیکه مشتریانفایروال NGFW سیسکو از مدتها پیش در تاریخ 14 ماه مارس در برابر آن حفاظت می شدند، بدون اینکه خودشان مجبور به انجام کاری باشند. از این رو شناخت انواع فایروال و کاربرد آنها و انتخاب فایروال مناسب مسئله ای مهم برای مدیران شبکه است. ادامه نوشته
https://faradsys.com/wp-content/uploads/2020/08/firewall_types.jpg8021280عباس اشرفیhttps://faradsys.com/wp-content/uploads/2020/05/logo-Farad_op_f_2.pngعباس اشرفی2020-08-01 14:59:102020-08-10 14:19:05انواع فایروال هایی که باید آن ها را بشناسید
در این مقاله ابتدا به آشنایی با سری محصولات Firepower 2100 شرکت سیسکو خواهیم پرداخت و عملکرد و قابلیت های ASA در محصولات Firepower2100 و همچنین ویژگی های سخت افزاری در سری فایروال های Cisco Firepower 2100 را در جداولی در اختیار شما قرار دادیم با ما همراه باشید.
در بخش نخست، به بررسی این موضوع پرداختیم که چگونه فایروال باید با استفاده از یک threat intelligence درجه یک، سیاستهای امنیتی و ویژگیهایی همچون IPS را فراخواند تا به صورت پیشگیرانه، تهدیدها را متوقف نماید، پیش از آنکه بتوانند خودشان را در شبکه شما پنهان سازند. این تدابیر امنیتیِ پیشگیرانه اغلب 99 درصد از تهدیدهای موجود را متوقف میسازند.
اما تنها یک حمله موفق می تواند برای شما دردسرهایی ایجاد کند. چه اتفاقی رخ خواهد داد اگر یک مهاجم یا بدافزاری بسیار پیچیده که رویت نشده است به شبکه شما نفوذ کند؟
بهرهمندی از قابلیت رویت به منظور شناسایی و متوقف نمودنِ سریع تهدید
بزرگترین نفوذهای قابل توجه در مواقعی پیش میآیند که مهاجمان در بخشی از یک شبکه نفوذ میکنند و سپس سالها بدون اینکه شناسایی شوند آزادانه به فعالیت میپردازند. سازمانهای متاثر، هیچ تصوری از این ندارند که آنها در کجای شبکه پنهان شدهاند. به این خاطر است که بسیاری از تیمهای شبکه و امنیت برای دستیابی به قابلیت مشاهده پذیریِ کافی در رابطه با فعالیت تهدیدها در کشمشاند. آنها از این مطمئن نیستند که ابزارهای امنیتیشان تصویر کاملی از شبکه را در اختیارشان میگذارد یا خیر. بدون وجود قابلیت مشاهده پذیری فراگیر، آنها نمیتوانند تهدیدهای فعال را پیش از آنکه آسیبی وارد نمایند، با سرعتی کافی شناسایی و حذف کنند.
تا به حال از خودتان پرسیدهاید که فایروال شما چگونه میتواند در این مورد موثر باشد؟
در بخش دوم این نوشته، به این خواهیم پرداخت که چگونه یک فایروال NGFW سیسکو به عنوان یک مولفه اصلی در سیستم دفاعی شما، می تواند قابلیت مشاهده پذیری فوقالعادهای را برای شناسایی و متوقف نمودنِ سریع تهدیدها فراهم کند.
قابلیت مشاهده پذیری جامع و گسترده – مشاهده تصویری کاملتر از شبکه
مشاهده پذیری سودمند با برخورداری از قدرت دیدِ بیشتری آغاز میشود که امکانِ زیر نظر داشتنِ مکانهای بیشتری را در سراسر شبکه به دست میدهد. به چه علت؟ به این خاطر که تهدیدها می توانند به شما از طریق چندین “محور حمله”، یعنی شبکه، endpoint، وب، ایمیل و …، هجوم آورند. هرچه بتوانید نواحی بیشتری را مشاهده نمایید، احتمال اینکه بتوانید یک حمله را به سرعت خنثی نمایید، بیشتر خواهد بود.
به این خاطر است که فایروال NGFW سیسکو ، مشاهده پذیری بیشتری را برای فعالیت فایلهای به طور بالقوه مخرب در میان کاربرها، هاستها، شبکهها و زیرساخت در اختیار شما میگذارد. فایروال NGFW سیسکو به ویژه با بهرهمندی از مزایای منابع گستردهای از محصولات امنیتی سیسکو، کاربران، پروتکلهای اپلیکیشن، انتقال فایلها، اپلیکیشنهای وب، تهدیدهای فعال، سیستمعاملها، روتر ها و سوییچ ها، سرورهای شبکه، اپلیکیشنهای کلاینت، دستگاههای موبایل و … را نمایش میدهد.
فایروال NGFW سیسکو از طریق “indications of compromise” (شکل 1)، شواهد رفتاریای را شناسایی میکند که ممکن است بر هاستهای معینی تاثیر گذاشته باشند. این شواهد را اولویتبندی میکند و آنها را به مدیر شبکه ارائه میکند. این بخش مهمی برای تیم امنیت شبکه است، چرا که میتواند در آن تنها با یک کلیک، فرآیند بازرسی را آغاز نماید.
همانطور که در بخش Network Information و Operating Systems از شکل 1 مشاهده میشود، فایروال سیسکو میتواند سیستمعاملهای در حال اجرا بر روی شبکه (نیاز به هیچ agent بر روی endpoint نیست) را شناسایی کند. در اینجا برخی از دستگاههای موجود در شبکه را میبینید که سیستمعامل Win XP را اجرا میکنند. یک سیستمعامل قدیمی با وجود نقاط آسیبپذیر بیشتر، یک ریسک به شمار میآید در نتیجه شما می توانید به سرعت اطلاعات را برای شناسایی دستگاهها استخراج کنید و تصمیم به ارتقا یا از رده خارج کردن آنها بگیرید.
شکل 1- Indications of Compromise and Network Information
منوی application protocol (در شکل 2) اپلیکیشنهای در حال اجرا بر روی شبکه را نشان میدهد، این بخش به شما امکان اعمال کنترلهایی را میدهد که میخواهید بر روی اپلیکیشنها قرار دهید. فایروال NGFW سیسکو میتواند بر اساس میزان ریسکِ هر اپلیکیشن و اهمیتشان برای کسب و کار، آنها را رتبهبندی نماید تا فرآیند کاهش ریسکِ اپلیکیشنها به سرعت و سهولت انجام شود. اگر یک اپلیکیشن ریسک بالایی داشته باشد و از لحاظ کسب و کار کم اهمیت باشد، کاندیدای مناسبی برای مسدود شدن خواهد بود. با دوبار کلیک کردن بر روی هر اپلیکیشن در نمودار دایرهای، این امکان را خواهید داشت که جزییات بیشتری از هر کدام را مشاهده نمایید.
شکل 2- Application Protocol Information
فایروال NGFW سیسکو یک تکنولوژی sandboxing را در خود یکپارچه نموده است که توسط Threat Grid (در شکل 3) پشتیبانی میشود. این تکنولوژی، فایلها و رفتارهای مشکوک در سراسر محیط شما را در مقایسه با میلیونها نمونه و میلیاردها بدافزار دستساخته آنالیز میکند. از طریق توضیحاتی درباره نوع بدافزار، آنچه که انجام میدهد و میزان تهدیدی که برای سازمان شما ایجاد میکند، از تیم امنیت شبکه شما حمایت میشود. حتی تیم امنیت شبکه با اطمینان میتواند با نمونههای بدافزار در تعامل باشد تا مستقیما رفتار آنها را بررسی کند.
شکل 3- تحلیل پویای بدافزار
تحلیل مستمر، پیوسته در حال نگهبانی از شبکه شما است
قابلیت مشاهده پذیری نمیتواند تنها snapshot هایی از فعالیت فایل در یک لحظه از زمان باشد. مشاهده پذیری باید پیوسته و جاری باشد با نظارتی همیشگی بر شبکه و فعالیت فایل تا به سرعت حملات مخفی را افشا نماید و زمینه را برای تشخیص یک حمله برای شما فراهم کند. از طریق یکپارچهسازیِ تکنولوژی Cisco AMP، فایروال NGFW سیسکو نه تنها فایلها و ترافیک شبکه را در لحظه ورود بازرسی میکند، همچنین به طور پیوسته رفتار فایل را در سراسر طول عمر آن آنالیز میکند. این امر مشاهده پذیری کاملی را در اختیار شما میگذارد، در رابطه با اینکه فایلها چه انجام میدهند و چگونه رفتار میکنند. تصویر کاملی از طول عمر یک تهدید از لایه Edge تا endpoint را به شما نشان میدهد. شما میتوانید دریابید که تهدید در کجا ایجاد شده است، کجا بوده است و چه کاری انجام میدهد و به طور خودکار آن را متوقف نمایید.
حتی اگر یک فایل پس از بازرسی اولیه در وضعیت good یا unknown فرض شود، تکنولوژی AMP صرف نظر از وضعیت فایل با چشمی تیزبین مراقب رفتار فایل است. این تکنولوژی میتواند به طور خودکار یک تهدید بالقوه را مهار کند و اگر در آینده قصد یا رفتاری مخرب را شناسایی کرد، به شما هشدار دهد. این گذشتهاندیشیِ خودکار (شکل 4) به فایروال NGFW سیسکو امکان میدهد تا اساسا ذهنیت خود را نسبت به تحلیل اولیهاش تغییر دهد، درصورتی که فایل دنبالهای از رفتارها را نمایش دهد که دلالتی بر نیات مخرب دارد یا اگر Talos intelligence بتواند اطلاعات جدیدی را در رابطه با یک فایل بهدستآورد. این هوشمندی میتواند مستقیما از تحقیقات Talos نشات گیرد یا از طریق کاربری دیگر، کسی که عضوی از جامعه Cisco AMP است و فایلی مشابه را بر روی سیستم خود به عنوان فایل مخرب قلمداد میکند.
شکل 4- تحلیل مستمر و با نگاهی به گذشته
ثابت شده است که این رویکرد مستمر به طور قابل ملاحظهای زمانِ شناسایی تهدیدهای پیشرفته را کاهش میدهد. سیسکو زمان شناسایی1 یا TTD را به عنوان پنجرهای زمانی، میان سوظن به یک تهدید و شناسایی آن تعریف میکند. با توجه به اینکه فایروال NGFW سیسکو اکثر تهدیدها را در چند ثانیه یا دقیقه شناسایی میکند، در مقایسه با میانگین زمانیِ بیش از 100 روز برای TTD در صنعت، از میانگین زمانی 4.6 ساعت برخوردار است.
اولویتبندی و سفارشیسازیِ مشاهده پذیری
ممکن است شما به این فکر کنید که ” مشاهده پذیری بیشتر به من امکان شناسایی، افشاسازی و متوقف نمودن سریعتر تهدیدها را میدهد. اما این حجم از مشاهده پذیری خیلی زیاد است”. به همین خاطر است که فایروال NGFW سیسکو اطلاعات نمایش داده به شما را اولویت بندی می کند و ساده و موثر میسازد. در واقع اطلاعات مناسبی را در زمان مناسب برای مخاطب مناسب فراهم میکند. بنابراین مدیریت و بازرسی آسانتر، کاراتر و موثرتر خواهد شد که در نتیجهی آن، تیم شما هوشیار نگاه داشته میشود و قادر خواهید بود نتیجهگیریها و واکنشهایی سریعتر را در رابطه با حملات داشته باشید.
تهدیدها از طریق یک سیستم سادهی امتیازدهی به تهدید، اولویتبندی میشوند. این سیستم پیش از همه، به شما اطمینانی را نسبت به رفع اضطراریترین مسائل خواهد داد. دیگر مدیران در رابطه با هشدارهای عمومی نسبت به تهدیدها که همبستگیای با یکدیگر ندارند و بستری برایشان مشخص نیست، دلواپس نخواهند بود. به جای آن، تهدیدها درون indication of compromise مرتب میشوند که تهدیدهای مجزا در یک مکان را به بدافزارهای مرتبط یا تکراری در هر جایی از سیستم شما پیوند میدهد. چند بخش از یک بدافزار میتواند به عنوان بخشی از یک حمله شناسایی شود به طوری که وقتی فایروال NGFW سیسکو یک تهدید را در یک مکان مشاهده میکند، میتواند به طور خودکار تمامیِ بدافزارهای مرتبط که از یک حمله مشترک سرچشمه میگیرند را متوقف، محدود و اصلاح سازد. در واقع یک بار آن تهدید را مشاهده میکند و در همه جا آن را متوقف مینماید.
همچنین برای کاهش سربار تحلیل و زمان به هدر رفته، امکان سفارشیسازیِ کنسول مدیریت موجود است. به عنوان نمونه به شکل 5 بنگرید. بر طبق اینکه چه اپلیکیشنها و دستگاههایی از بیشترین اهمیت برای کسب و کار شما برخوردارند، می توانید انتخاب کنید که چه tabها و اطلاعاتی برای نمایش بر روی داشبورد شما قرار گیرند. با توجه به شکل 5، در اینجا مدیر شبکه تصمیم گرفته است که از طریق سه tab اولیه در بالا، بیشترین هوشیاری را نسبت به فعالیت شبکه، تهدیدها و رویدادهای نفوذ داشته باشد. در tab مربوط به ترافیک شبکه، ادمین ترافیک را از طریق رابطهی میانِ میزان اهمیت اپلیکیشن از لحاظ کسب و کار و میزان ریسک آن اولویتبندی کرده است (top web/server/client apps/operating system). با یکبار تنظیم داشبورد، میتوانند بر آن اساس روزانه، هفتگی یا ماهانه گزارش تهیه نمایند.
شکل 5- سفارشیسازی کنسول مدیریت
https://faradsys.com/wp-content/uploads/2019/04/Dsg1uxPW0AEzH_l-2.jpg512512salehihttps://faradsys.com/wp-content/uploads/2020/05/logo-Farad_op_f_2.pngsalehi2019-04-27 09:14:392019-09-11 09:01:35فایروال شما چنین ویژگیهایی را دارد؟ – بخش دوم
هنگامی که با هیئت رئیسه و مدیران فناوری اطلاعات در سازمانها پیرامون امنیت سایبری گفتگو میشود، همگی آنها در رابطه با این مسئله نگران هستند و میخواهند بدانند که چگونه از سازمان، کارمندان و مشتریان خود محافظت کنند. در این میان به نظر میرسد، سه نگرانی عمده همیشه در بالای این لیست قرار میگیرد: فایروال NGFW سیسکوادامه نوشته
https://faradsys.com/wp-content/uploads/2019/04/Cisco_NGIPS_Connections-3.jpg10801568salehihttps://faradsys.com/wp-content/uploads/2020/05/logo-Farad_op_f_2.pngsalehi2019-04-17 08:43:582019-08-17 08:09:14فایروال شما چنین ویژگیهایی را دارد؟
سازمان ها همواره تحت حملات مختلف قرار دارند و نفوذهای امنیتی دائما مشکلاتی را برای آنها به وجود می آورند. امروزه جامعه هکرها بدافزارهای پیشرفته ای را ایجاد می کنند و آنها را از طریق گستره ای از حملات به درون سازمان ها وارد می کنند. این حملات هدفمند و چندگانه حتی بهترین ابزارهای پیشگیری را هم می توانند دور بزنند. این ابزارها ترافیک و فایل ها را در لحظه ورود به شبکه بررسی می کنند، تهدیدهای شناخته شده را مسدود می کنند و به فایل هایی که در وضعیت “good” یا “unknown” قرار می گیرند اجازه ورود به شبکه خواهند داد. شوربختانه در همین نقطه آنالیزها به پایان می رسند. در صورتی که فایل مخرب مخفیانه اداره شود تا سیستم های دفاعی را دور بزند (به طور مثال با استفاده از تکنیک هایی همچون sleep ، polymorphism و … )، این سیستم ها برای اقداماتی که تهدیدها بر روی سیستم شما انجام می دهند، visibility اندکی را فراهم می کنند. این مسائل باعث خواهد شد که محدوده ای از خطرات بالقوه از دید متخصصان امنیت دور بماند و نتوانند رفتار بدافزارها را به سرعت تشخیص و در قبال آنها واکنش نشان دهند و فایل های مخرب را محدود و حذف کنند، پیش از آنکه منجر به آسیب جدی شوند. ادامه نوشته
شبکه های enterprise امروزه به سرعت در حال تغییرند، به خصوص زمانی که بحث قابلیت جابجایی موقعیت جغرافیایی کارمندان در آن مطرح است. مدت زمانی است که دیگر، کارمندان به دسکتاپ های خود وابسته نیستند بلکه به جای آن برای دسترسی به منابع سازمان از طریق دستگاه های متنوعی چون تبلت ها، تلفن های هوشمند و لپ تاپ های شخصی به شبکه متصل می شوند. توانایی دسترسی به منابع از هر نقطه، بهره وری را به شدت افزایش می دهد، اما در کنار آن، احتمال نفوذهای داده ای و تهدیدهای امنیتی نیز افزایش می یابد. چرا که ممکن است وضعیت امنیتِ دستگاه هایی که به شبکه دسترسی دارند را نتوانید کنترل کنید. ردیابی همه دستگاه هایی که به شبکه دسترسی دارند در نوع خود وظیفه بسیار سنگینی است. و هنگامی که نیاز به دسترسی های بیشتر افزایش می یابد، مدیریت آنها، ناپایدارتر خواهد شد. ادامه نوشته
https://faradsys.com/wp-content/uploads/2018/10/Blog_ciscoISE.jpg349640salehihttps://faradsys.com/wp-content/uploads/2020/05/logo-Farad_op_f_2.pngsalehi2018-10-07 08:05:472019-08-06 07:11:04سیسکو ISE چیست؟
شبکه های جدید به سرعت در حال رشد هستند. این شبکه ها شاخه های متعدد، کاربران موبایل، رایانش ابری و مراکز داده را به هم متصل می کنند. Mobility، اینترنت اشیا (IOT) ، دسترسی BYOD 1 و خدمات ابری برای رشد کسب و کارها حیاتی هستند. این پیچیدگی برقراری امنیت شبکه را سخت خواهد کرد. سازمان های بسیاری حتی نمی دانند که چه زمانی و از کجا باید شروع کنند تا سیستم امنیت شبکه خود را تقویت نمایند. ادامه نوشته
https://faradsys.com/wp-content/uploads/2018/06/pci-compliance.jpg5841600salehihttps://faradsys.com/wp-content/uploads/2020/05/logo-Farad_op_f_2.pngsalehi2018-06-03 11:46:072019-05-28 09:45:52پنج نشانه : چک لیست امنیت شبکه