۵ نکته طلایی برای استفاده امن از پیوست‌های ایمیل

ایمیل یکی از روش‌های محبوب برای ارسال اسناد و فایل‌ها به شمار می‌رود، اما باید بدانید که همین روش می‌تواند منبع خطرات امنیتی نیز باشد. ویروس‌ها و بدافزارهای مختلف اغلب از طریق پیوست‌های ایمیل انتقال می‌یابند و کاربران بدون آگاهی ممکن است به راحتی سیستم‌های خود را در معرض این تهدیدات قرار دهند.

برای حفاظت از خود و دیگران، باید با دقت و احتیاط با پیوست‌های ایمیل رفتار کنید، حتی اگر از طرف شخصی که می‌شناسید ارسال شده باشد.

چرا پیوست‌های ایمیل می‌توانند خطرناک باشند؟

ویژگی‌هایی که پیوست‌های ایمیل را راحت و پرطرفدار کرده‌اند، همان خصوصیاتی هستند که آن‌ها را به ابزاری رایج برای حملات سایبری تبدیل کرده است. ایمیل به راحتی منتقل می‌شود و همین قابلیت، آن را به ابزاری جذاب برای هکرها و مهاجمان سایبری تبدیل کرده است.

• انتقال آسان

یکی از دلایلی که پیوست‌های ایمیل خطرناک هستند، سادگی در انتقال آن‌هاست. تنها با چند کلیک، یک ایمیل به چندین نفر ارسال می‌شود و این به مهاجمان فرصت می‌دهد که ویروس‌ها را به سرعت گسترش دهند.

جالب است بدانید بسیاری از ویروس‌ها حتی نیازی به فوروارد کردن ایمیل توسط کاربر ندارند. این ویروس‌ها به‌طور خودکار آدرس‌های ایمیل موجود در سیستم شما را پیدا کرده و پیام آلوده را برای دیگران ارسال می‌کنند.

• اعتماد به ایمیل‌های آشنا

مهاجمان از این واقعیت که بسیاری از کاربران به ایمیل‌هایی که از طرف شخصی آشنا ارسال شده است، اعتماد می‌کنند، سوءاستفاده می‌کنند. همین امر باعث می‌شود که کاربران بدون هیچ شکی پیوست‌ ایمیل‌ها را باز کنند و سیستم‌های خود را در معرض خطر قرار دهند. این امر مخصوصاً زمانی که ایمیلی از طرف فردی که شما آن را می‌شناسید، دریافت می‌کنید، بیشتر اتفاق می‌افتد.

• امکانات بسیار با رابط کاربری آسان

تقریباً هر نوع فایلی را می‌توان به ایمیل پیوست کرد، و این امر مهاجمان را قادر می‌سازد که ویروس‌ها و بدافزارهای مختلفی را ارسال کنند. برخی از برنامه‌های ایمیل حتی به صورت خودکار پیوست‌ها را دانلود می‌کنند که این موضوع رایانه شما را در معرض خطر قرار می‌دهد.

 

چگونه می‌توانید از خود و دیگر مخاطبانتان محافظت کنید؟

حالا که متوجه شدیم پیوست‌های ایمیل می‌توانند خطرناک باشند، بهتر است بدانیم چه اقداماتی می‌توانیم برای محافظت از خود و دیگران انجام دهیم. در اینجا چند روش کاربردی برای افزایش امنیت شما هنگام کار با پیوست‌های ایمیل آورده شده است:

1. نسبت به پیوست‌های غیرمنتظره، حتی از طرف افرادی که می‌شناسید، محتاط باشید.

اگر یک پیوست غیرمنتظره از فردی که می‌شناسید دریافت کردید، باید با احتیاط عمل کنید. فقط به این دلیل که ایمیلی از طرف دوست یا همکار شما ارسال شده، به معنای امن بودن آن نیست.

مهاجمان می‌توانند آدرس فرستنده را جعل کنند تا به نظر برسد که ایمیل از طرف یک فرد آشنا آمده است. بهتر است در چنین مواقعی قبل از باز کردن پیوست، با فرستنده تماس بگیرید و از واقعی بودن ایمیل مطمئن شوید.

همچنین، به یاد داشته باشید که ارائه‌دهندگان خدمات اینترنتی و شرکت‌های نرم‌افزاری هرگز از طریق ایمیل نرم‌افزارها یا وصله‌های امنیتی را ارسال نمی‌کنند. اگر چنین ایمیلی دریافت کردید، احتمالاً جعلی است.

2. نرم‌افزارهای خود را به‌روز نگه دارید.

یکی از مهم‌ترین اقدامات برای جلوگیری از حملات سایبری، به‌روزرسانی نرم‌افزارها و سیستم‌عامل است. بسیاری از حملات سایبری از آسیب‌پذیری‌های موجود در نرم‌افزارها سوءاستفاده می‌کنند. بنابراین، با نصب آخرین وصله‌های امنیتی و فعال کردن به‌روزرسانی‌های خودکار، می‌توانید خطر را به شدت کاهش دهید.

3. به حس ششم خود اعتماد کنید.

گاهی اوقات ایمیل‌ها یا پیوست‌های آنها مشکوک به نظر می‌رسند، حتی اگر نرم‌افزار آنتی‌ویروس شما نشان دهد که پیام پاک است. مهاجمان همیشه در حال تولید ویروس‌های جدید هستند و ممکن است نرم‌افزار شما قادر به شناسایی آن‌ها نباشد. بنابراین اگر به هر دلیلی یک ایمیل یا پیوست آن مشکوک به نظر می‌رسد، بهترین کار این است که آن را باز نکنید و به حس ششم خود اعتماد کنید.

4. پیوست‌ها را ذخیره کنید و قبل از باز کردن اسکن کنید.

اگر مجبور هستید پیوستی را باز کنید، ابتدا آن را در کامپیوتر ذخیره کنید و سپس با نرم‌افزار آنتی‌ویروس آن را اسکن کنید. مطمئن شوید که نرم‌افزار آنتی‌ویروس شما به‌روز است و بعد از اطمینان از پاک بودن فایل، آن را باز کنید.

5. گزینه دانلود خودکار پیوست‌ها را غیرفعال کنید.

بسیاری از برنامه‌های ایمیل گزینه‌ای برای دانلود خودکار پیوست‌ها دارند. برای افزایش امنیت، این ویژگی را غیرفعال کنید. با انجام این کار، شما به صورت دستی تصمیم می‌گیرید که کدام پیوست‌ها را دانلود و باز کنید.

6. حساب‌های کاربری با دسترسی محدود استفاده کنید.

یکی دیگر از راه‌های محافظت از رایانه، ایجاد حساب‌های کاربری با دسترسی محدود است. بسیاری از سیستم‌عامل‌ها به شما امکان می‌دهند چندین حساب کاربری با سطوح دسترسی مختلف ایجاد کنید.

توصیه می‌شود که ایمیل‌های خود را در حسابی با دسترسی محدود بخوانید. برخی از ویروس‌ها برای آلوده کردن رایانه نیاز به دسترسی Admin دارند.

7. فیلتر کردن انواع خاصی از پیوست‌ها

می‌توانید تنظیمات نرم‌افزار ایمیل یا فایروال خود را به گونه‌ای تنظیم کنید که انواع خاصی از پیوست‌ها به صورت خودکار فیلتر شوند. این کار می‌تواند یک لایه اضافی از امنیت را فراهم کند و به شما کمک کند تا از دریافت فایل‌های مشکوک جلوگیری کنید.

 

نتیجه‌گیری

پیوست‌های ایمیل ابزاری بسیار کاربردی و مفید برای انتقال اطلاعات هستند، اما اگر مراقب نباشید، می‌توانند به راهی برای انتقال ویروس‌ها و بدافزارها تبدیل شوند. با پیروی از نکات بالا و استفاده از روش‌های پیشنهادی، می‌توانید امنیت خود و سیستم‌های دیگران را افزایش دهید و از خطرات سایبری جلوگیری کنید.

 

برای اطمینان از ایمنی بیشتر در مدیریت ایمیل‌ها و جلوگیری از تهدیدات سایبری، استفاده از تجهیزات امنیتی فورتی میل شرکت Fortinet راهکاری بسیار موثر است.

FortiMail با ارائه حفاظت پیشرفته در برابر ویروس‌ها، اسپم‌ها و حملات فیشینگ، امنیت ایمیل‌های شما را به طور کامل تضمین می‌کند. این سیستم با فیلترینگ هوشمند و قابلیت‌های پیشرفته تحلیل تهدیدات، می‌تواند به سازمان‌ها در جلوگیری از ورود بدافزارها از طریق پیوست‌های ایمیل کمک کند.

پیشنهاد می‌کنیم برای محافظت جامع از اطلاعات و شبکه‌های خود، FortiMail را به‌عنوان راه‌حل امنیتی ایمیل خود در نظر بگیرید.

معرفی فایروال فورتیگیت FG-1800F

نگاه کلی به FG-1800F

فایروال فورتیگیت سری FG-1800F حفاظت از تهدید با عملکرد بالا و بازرسی SSL را برای شرکت های بزرگ و ارائه دهندگان خدمات با انعطاف پذیری قابل استقرار در سازمان ارائه می کند.

امنیت:

• هزاران برنامه در داخل ترافیک شبکه را برای بازرسی عمیق و اجرای خط مشی دقیق شناسایی می کند

• محافظت در برابر بدافزارها، سوء استفاده ها و وب سایت های مخرب در ترافیک رمزگذاری شده و غیر رمزگذاری شده

• جلوگیری و شناسایی در برابر حملات شناخته شده و ناشناخته با استفاده از هوش تهدید مستمر از مستمر از AI- خدمات امنیتی FortiGuard Labs

Performance:

• با استفاده از فناوری پردازنده امنیتی (SPU) ساخته شده، بهترین عملکرد حفاظت از تهدید صنعت و تأخیر بسیار کم را ارائه می‌کند.

• عملکرد و حفاظت پیشرو در صنعت را برای ترافیک رمزگذاری شده SSL ارائه می‌کند.

گواهینامه:

• بهترین اثربخشی و عملکرد امنیتی به طور مستقل آزمایش و تایید شده است

• گواهینامه های شخص ثالث بی نظیر از آزمایشگاه NSS دریافت کرد

Networking:

• قابلیت های شبکه پیشرفته ای را ارائه می دهد که به طور یکپارچه با لایه های پیشرفته امنیتی لایه 7 و دامنه های مجازی (VDOM) ادغام می شود تا انعطاف پذیری گسترده در استقرار، چند اجاره ای و استفاده موثر از منابع را ارائه دهد.

• ترکیبی با چگالی بالا و انعطاف پذیر از رابط های مختلف با سرعت بالا برای فعال کردن بهترین TCO برای مشتریان برای استقرار مرکز داده و WAN

Management:

• شامل یک کنسول مدیریتی است که کارآمد، ساده برای استفاده است و اتوماسیون و دید جامع شبکه را فراهم می کند.

• یکپارچگی صفر لمسی را با بخش مدیریت شیشه امنیت Fabric ارائه می دهد.

• چک لیست انطباق از پیش تعریف شده استقرار را تجزیه و تحلیل می کند و بهترین شیوه ها را برای بهبود وضعیت امنیتی کلی برجسته می کند.

Security Fabric:

محصولات Fortinet و شرکای Fabric-ready را قادر می‌سازد تا دید وسیع‌تر، شناسایی یکپارچه از انتها به انتها، اشتراک‌گذاری اطلاعات تهدید، و اصلاح خودکار را فراهم کنند.

 

دارای رابط های زیر می باشد:

۲ عدد GE RJ45 MGMT Ports

2 عدد ۱۰GE SFP+ HA Slots

16 عدد GE RJ45 Ports

8 عدد  GE SFP Slot

12 عدد ۲۵GE SFP28/10GE SFP+

4 عدد ۴۰GE QSFP+ Slots

 

در صورت تمایل جهت مشاوره در خصوص خرید فورتی گیت FG-1800F می توانید با شماره تلفن های 41708 -021 و همچنین 88546909-021 با شرکت ستاک فناوری ویرا تماس حاصل نمایید و یا از وب سایت www.setakit.com بازدید نمایید.

 

باج افزارها: چگونه عمل می کنند و چگونه می توان آن ها را از بین برد?

تعریف باج افزار

باج افزار نوعی بدافزار است که فایل های قربانیان را رمزگذاری می کند. سپس، حمله کننده باجی را از قربانی طلب می کند تا دسترسی به اطلاعات را در صورت پرداخت، به او بازگرداند.

به کاربران توضیح داده می شود چگونه پول را پرداخت کنند تا کلید رمزگشایی را دریافت نمایند. هزینه ها می تواند در طیفی بین چند صد دلار تا هزاران دلار باشد که از معمولا طریق بیت کوین به مجرمان سایبری قابل پرداخت است.

باج افزار چگونه عمل می کند

چند حامل وجود دارد که باج افزارها می توانند برای دسترسی به کامپیوتر از آن استفاده کنند. یکی از رایج ترین سیستم های تحویل در فیشینگ است. پیوست هایی که همراه ایمیل به دست قربانی می رسند و در قالبی نشان داده می شوند که قربانی به آن ها اعتماد کند.

وقتی این فایل ها دانلود و باز شدند، کل کامپیوتر قربانی را از آن خود می کنند، به ویژه در صورتی که دارای ابزارهای داخلی مهندسی اجتماعی باشند که کاربران را به نوعی فریب می دهند تا به دسترسی اجرایی برسند.

برخی دیگر از انواع تهاجمی تر باج افزارها، همچون NotPetya، از حفره های امنیتی استفاده می کنند تا بدون نیاز به فریب کاربران، کامپیوترها را آلوده نمایند.

بدافزارها بعد از آن که کامپیوتر قربانی را در کنترل خود گرفتند، چند کار می توانند انجام دهند اما تا کنون رایج ترین اقدام، رمزگذاری بخشی یا همه فایل ها کاربر بوده است.

در صورتی که می خواهید متوجه جزئیات فنی شوید، موسسه Infosec نگاهی عمقی داشته است که چگونه چند نوع باج افزار فایل ها را رمزگذاری می کنند.

اما مهم ترین چیزی که باید بدانید آن است که در پایان فرایند، فایل ها را نمی توان بدون در اختیار داشتن یک کلید ریاضی که تنها حمله کننده از آن اطلاع دارد، رمزگشایی کرد.

پیامی به کاربر داده می شود و به او گفته می شود که فایل های او اکنون غیرقابل دسترس هستند و تنها در صورتی که قربانی پرداختی را به صورت بیت کوین غیرقابل پیگیری برای حمله کننده بفرستد، قابل رمزگشایی خواهند بود.

در برخی اشکال بدافزار، حمله کننده ممکن است ادعا کند که مامور نیروی انتظامی است و کامپیوتر قربانی را به خاطر وجود پورنوگرافی یا نرم افزار غیرمجاز در آن، از کار بیندازد و بعد از قربانی درخواست پرداخت جریمه نماید تا بدین صورت احتمال گزارش حمله به مسئولان کمتر شود.

اما بیشتر حملات زحمت این گونه ظاهرسازی را به خود نمی دهند. همین طور نوعی از آن ها با عنوان نشت افزار نیز وجود دارد که در آن حمله کننده تهدید می کند که داده های حساس هارد قربانی را علنی خواهد کرد مگر آن که باج افزار پرداخت شود.

اما از آن جا که یافتن و استخراج چنین اطلاعاتی برای حمله کنندگان کار دشواری است، باج افزارهای رمزگذاری تا به حال رایج ترین نوع آن ها بوده اند.

 

چگونه از باج افزار جلوگیری کنیم

چند گام دفاعی وجود دارد که می توانید برای جلوگیری از آلودگی باج افزاری انجام دهید. این گام ها به طور کلی در ارتباط با اقدامات مناسب امنیتی هستند و در نتیجه رعایت آن ها باعث بهبود کلی لایه های دفاعی شما در برابر هر نوع حمله ای می شود:

- سیستم عامل خود را پچ شده و به روز نگه دارید تا اطمینان حاصل کنید آسیب پذیری های کمتری برای سوءاستفاده وجود داشته باشد.

- اقدام به نصب نرم افزار نکنید مگر آن که دقیقا بدانید چه نرم افزاری و چه می کند.

- آنتی ویروس نصب کنید که برنامه های بدخواه مثل باج افزار را به محض ورود شناسایی می کند. همین طور نرم افزارهای اطلاع دهنده ای وجود دارند که مانع از اجرای اپلیکیشن های غیرمجاز در همان ابتدای کار می شوند.

- و البته، از فایل های خود مکررا و به صورت خودکار پشتیبان بگیرد! این کار از حمله بدافزاری جلوگیری نمی کند اما می تواند به شدت از آسیب وارد شده بکاهد.

 

حقایق و ارقام باج افزارها

باج افزارها تجارت بزرگی را به وجود آورده اند. پول زیادی در حوزه باج افزارها وجود دارد و بازار آن از ابتدای دهه تا کنون رشد زیادی داشته است.

در سال 2017، باج افزارها خسارت 5 میلیارد دلاری به بار آوردند که این میزان شامل باج های پرداخت شده، و هزینه و زمان صرف شده برای بازیابی از حمله بوده است.

این میزان، 15 برابر سال 2015 است. در سه ماهه اول 2018، تنها یک نوع باج افزار به نام سام سام، 1 میلیون دلار پول به صورت در قالب باج جمع آوری کرد.

برخی بازارها به طور خاص مستعد باج افزار و همین طور پرداخت باج هستند.

بسیاری از حملات سطح بالای باج افزاری در بیمارستان ها یا سایر سازمان های پزشکی روی داده است که اهداف وسوسه انگیزی هستند: حمله کنندگان می دانند به خاطر در خطر بودن جان انسان ها، این شرکت ها احتمالا ترجیح می دهند باج نسبتا کمی را بپردازند تا مشکل رفع شود.

تخمین زده می شود 45% حملات باج افزاری سازمان های مراقبت بهداشتی را هدف قرار دهند، و برعکس، 85% آلودگی های بدافزاری در سازمان های مراقبت بهداشتی از نوع باج افزار هستند.

نرم افزار ضد بدافزار شما لزوما از شما محافظت نخواهند کرد. باج افزارهای پیوسته توسط توسعه دهندگان نوشته و دستکاری می شود و بنابراین، امضای آن ها اغلب توسط برنامه های معمول آنتی ویروس تشخیص داده نمی شود.

در حقیقت، تا حدود 75% شرکت هایی که قربانی باج افزارها می شوند، دارای حفاظت به روز شده نقطه پایانی در کامپیوترهای آلوده خود بوده اند.

باج افزارها به اندازه گذشته رایج نیستند. تعداد حملات باج افزاری بعد از رشد انفجاری میانه دهه 2010، کاهش داشته هرچند که ارقام ابتدایی به قدری بالا بودند که اکنون نرخ ثابت دارد اما در سه ماهه اول سال 2017، حملات باج افزاری حدود 60% بدافزارها را شکل می دادند و اکنون این رقم به 5% کاهش یافته است.

 

آیا باج افزارها رو به افول هستند؟

علت این کاهش چه بوده است؟ از جهات بسیاری، این یک تصمیم اقتصادی بر اساس ارز مورد ترجیح مجرمان سایبری یعنی بیت کوین است.

به دست آوردن باج از قربانی همیشه نتیجه ای نامشخص داشته است. ممکن است قربانی پولی پرداخت نکند یا حتی اگر بخواهد پرداخت کند، ممکن است به اندازه ای با بیت کوین آشنایی نداشته باشد که بداند چگونه باید این کار را انجام دهد.

همان طور که کاسپرسکی اشاره می کند، کاهش باج افزار با رشد بدافزار استخراج ارز دیجیتال همراه بوده است که کامپیوتر قربانی را آلوده می کند و از قدرت آن برای استخراج بیت کوین استفاده می کند بدون آن که مالک کامپیوتر اطلاعی داشته باشد.

این راهی تمیز برای استفاده از منابع فردی دیگر جهت به دست آوردن بیت کوین است بی آن که هیچ یک از دشواری های جمع آوری باج را به همراه داشته باشد و با رشد قیمت بیت کوین در اواخر 2017، پیوسته جذاب تر شده است.

ولی این بدان معنا نیست که تهدید پایان یافته باشد. دو نوع متفاوت از حمله کننده باج افزاری وجود دارد: نوع حمله «کالایی» که در آن حمله کننده سعی می کند کامپیوترها را صرفا براساس حجم و بدون گزینشگری آلوده کند و پلتفرم های موسوم به «باج افزار به عنوان یک سرویس» را در آن ها جای دهد که مجرمان قادر به استفاده از آن خواهند بود؛ نوع دیگر مربوط به گروه هایی است که بر سازمان ها و بخش های آسیب پذیر بازار تمرکز می کنند.

باید در مورد نوع دوم مراقب باشید چون هر قدر هم که دوره شکوفایی آن گذشته باشد، ممکن است در دسته آن ها قرار گیرید.

با کاهش قیمت بیت کوین در سال 2018، تحلیل هزینه-منفعت حمله کنندگان ممکن است دوباره به روال سابق بازگردد. در نهایت، بنا به گفته استیو گروبمن، افسر ارشد تکنولوژی McAfee، استفاده از باج افزار یا بدافزار استخراج ارز، تصمیمی است که به حمله کنندگان مربوط می شود. «با کاهش قیمت رمزارزها، طبیعی است که بازگشت به باج افزارها روی دهد.»

 

نمونه های باج افزار

در حالی که باج افزار به لحاظ فنی از دهه 90 وجود داشته است، تنها طی پنج سال گذشته اوج گرفته و علت عمده آن نیز دسترسی به روش های پرداخت غیرقابل پیگیری مثل بیت کوین بوده است.

برخی از موارد حمله در زیر آمده است:

- حمله CriptoLocker، در سال 2013، عصر جدید باج افزارها را آغاز کرد و در زمان اوج خود، تا 500000 کامپیوتر را آلوده کرد.

- تسلاکریپت فایل های بازی را مورد حمله قرار می داد و در دوران حکمرانی خود پیوسته شاهد بهبود بود.

- Simple Locker اولین حمله باج افزاری گسترده ای بود که روی تلفن های هوشمند تمرکز داشت.

- WannaCry با استفاده از EternalBlue که توسط NSA تهیه شده بود و سپس توسط هکرها به سرقت رفته بود، به صورت خودکار از کامپیوتری به کامپیوتر دیگر گسترش می یافت.

- NotPetya نیز از EternalBlue استفاده می کرد و ممکن است بخشی از حمله سایبری هدایت شده توسط روسیه علیه اوکراین بوده باشد.

- Locky در سال 2016 شروع به گسترش کرد و به لحاظ روش حمله مشابه نرم افزار بانکداری بدنام Dridex بود. یک نوع آن با عنوان «اوسایرس» از طریق فعالیت های فیشینگ گسترش یافت.

- Leatherlocker ابتدا در سال 2017 در دو اپلیکیشن اندرویدی Booster&Cleaner و Wallpaper Blur HD کشف شد. این بدافزار به جای رمزگذاری فایل ها، صحفه اصلی را قفل می کند تا دسترسی به داده ها ناممکن شود.

- Wysiwye نیز که در سال 2017 کشف شد، وب را به دنبال سرورهای باز پروتکل دسکتاپ از راه دور (RDP) اسکن می کند. بعد، سعی می کند اسناد RDP را برباید تا در شبکه نشر دهد.

- Cerber زمانی که در سال 2016 ظاهر شد، بسیار موثر نشان داد و برای حمله کنندگان 200000 دلار در ژوئیه آن سال پول جمع آوری کرد. این بدافزار از آسیب پذیری مایکروسافت برای آلوده کردن شبکه ها استفاده می کرد.

- BadRabbit در سال 2017 در شرکت های رسانه ای اروپای شرقی و آسیا گسترش یافت.

- SamSam از سال 2015 وجود داشته است و عمدتا سازمان های مراقبت درمانی را هدف قرار داده است.

- Ryuk اولین بار در سال 2018 پدیدار شد و از حملات هدفمند علیه سازمان های آسیب پذیری مثل بیمارستان ها استفاده می شود. این بدافزار اغلب در کنار سایر بدافزارهای دیگر مثل TrickBot استفاده می شود.

- Maze یک گروه باج افزاری نسبتا جدید است که به واسطه انتشار داده های سرقتی در صورت عدم پرداخت باج از سوی قربانی جهت رمزگشایی، شناخته می شود.

رابین هود یک نوع دیگر از EternalBlue است که شهر بالتیمور مریلند را در سال 2019 به زانو درآورد.

- GandCrab احتمالا سودآورترین باج افزار شناخته شده تاکنون است. توسعه دهندگان آن که برنامه را به مجرمان سایبری فروختند، مدعی
2 میلیارد دلار به صورت پرداختی قربانیان تا ژوئیه سال 2019 هستند.

- Sodinokibi سیستم های ویندوز مایکروسافت را هدف قرار داده و همه فایل ها به جز فایل های پیکربندی را رمزگذاری می کند. این بدافزار در ارتباط با GandCrab است.

- Thanos جدیدترین باج افزار در این لیست است که در ژانویه 2020 کشف شده است. این بدافزار به صورت «باج افزار به عنوان یک سرویس» به فروش می رسد و اولین بدافزاری است که از تکنیک RIPlace استفاده می کند. با این تکنیک، بیشتر روش های ضد-باج افزار قابل دور زدن هستند.

 

 

9مرحله برای واکنش به حملات باج‌افزاری

9 مرحله برای واکنش به حملات باج‌افزاری

اگر شک کردید که مورد حمله باج‌افزار قرار گرفته‌اید، مهم است که سریع اقدام کنید. خوشبختانه، چندین مرحله وجود دارد که می‌توانید با انجام آنها بهترین شانس را برای به حداقل رساندن خسارت و بازگشت سریع به روال عادی کسب و کار داشته باشید.

1. جداسازی دستگاه آلوده: باج افزاری که بر روی یک دستگاه تاثیر می‌گذارد، مشکلی معمولی است. باج افزاری که بتواند تمام دستگاه های شما را آلوده کند، فاجعه‌ای بزرگ است و به خوبی می‌تواند شما را برای همیشه از تجارت کنار بگذارد. تفاوت بین این دو اغلب به زمان واکنش برمی گردد. برای اطمینان از ایمنی شبکه، درایو‌های اشتراک گذاری و سایر دستگاه‌ها، ضروری است که تمام دستگاه‌های آلوده خیلی سریع از شبکه، اینترنت و سایر دستگاه ها جدا شوند. هرچه زودتر این کار را انجام دهید، احتمال آلوده شدن دستگاه‌‌های دیگر کمتر خواهد بود.

2. مانع گسترش شوید: باج افزار با سرعت حرکت می‌کند و دستگاه دارای باج افزار لزوما منبع اصلی آلودگی نیست. جداسازی سریع دستگاه آلوده نمی‌تواند تضمین کند که باج افزار در جای دیگری در شبکه شما وجود نداشته باشد. برای محدود کردن موثر دامنه باج افزار، باید همه دستگاه هایی را از شبکه جدا کنید که رفتاری مشکوک دارند از جمله دستگاه هایی که در خارج از شبکه کار می کنند، اگر به شبکه وصل باشد، هر کجا که باشند خطر ایجاد می‌کنند. خاموش کردن اتصال بیسیم (WIFI، بلوتوث و غیره) در این مرحله نیز ایده خوبی است.
3. خسارت‌ها را ارزیابی کنید: برای تعیین اینکه کدام دستگاه‌ها آلوده شده اند، فایل‌های را بررسی کنید که به تازگی با نام پسوندهای عجیب فایل رمزگذاری شده‌اند و به دنبال گزارش نام فایل‌های عجیب یا کاربرانی باشید که برای باز کردن فایل‌ها مشکل دارند. اگر دستگاه‌هایی را یافتید که کاملاً رمزگذاری نشده اند، باید آنها را جدا کرده و خاموش کنید تا از حمله ، آسیب و از دست دادن داده‌های بیشتر جلوگیری شود. هدف شما ایجاد لیستی جامع از تمام دستگاه‌های آسیب دیده، از جمله دستگاه‌های ذخیره سازی شبکه، فضای ابری، حافظه خارجی هارد دیسک (شامل فلش مموری‌ها)، لپ تاپ‌ها، تلفن‌های هوشمند و سایر بردارهای موجود است. در این مرحله، قفل کردن منابع داده‌ای مشترک عاقلانه است. در صورت امکان همه آنها باید محدود شوند. اگر نه، تا آنجا که دسترسی دارید محدود کنید. انجام این کارها خود هرگونه رمزگذاری در حال پیشرفت را متوقف می‌کند و همچنین باعث می‌شود دیگر قسمت‌های در حال بهبود آلوده نشوند. اما قبل از انجام این کار به منابع داده‌ای مشترک رمزگذاری شده نگاهی بیندازید. چنین کاری اطلاعات مفیدی را به شما می‌دهد: اگر دستگاهی فایل‌های باز شده بیش از حد معمول داشته باشد، شاید منبع اصلی آلودگی باشد.
4. پیدا کردن منبع اصلی آلودگی: با شناسایی منبع، پیگیری محل آلودگی بسیار ساده‌تر می‌شود. برای انجام این‌کار ممکن است هشدار‌هایی را بررسی کنید که از آنتی ویروس/ضدبدافزار،EDR  یا هر نوع پلتفرم کنترلی فعال برای شما آمده باشد. و از آنجا که اکثر باج افزارها از طریق پیوندها و پیوست‌های ایمیل مخرب وارد شبکه می‌شوند، که نیاز به اقدام از جانب کاربر نهایی دارند، سوال در مورد فعالیت‌های آنها (مانند باز کردن ایمیل‌های مشکوک) و چیزی که متوجه آن شده‌اند، می‌تواند مفید باشد. در نهایت، بررسی ویژگی‌های خود فایل هم می‌تواند سرنخی را ارائه دهد. 
5. شناسایی باج افزار: قبل از ادامه کار، مهم است پی ببرید که با چه نوع باج افزاری سر و کار دارید. یکی از راه‌های شناسایی این است که از سایت No More Ransom دیدن کنید، ابتکاری جهانی که McAfee  بخشی از آن است. این سایت دارای مجموعه ای از ابزارهاست که کمک می‌کند داده‌هایتان را آزاد کنید، از جمله ابزارcrypto sheriff  (کلانتر رمزنگاری). فقط کافی است یکی از فایل‌های رمزگذاری شده خود را بارگذاری کنید تا برای پیدا کردن نوع همسان آن، اسکن شود. همچنین می توانید از اطلاعات موجود در یادداشت باج استفاده کنید. هنگامی که باج افزار را پیدا کردید و کمی درباره واکنش آن تحقیق کردید، باید سریع به تمام کارکنان دیگر هشدار دهید تا آنها بدانند چگونه علائمی را شناسایی کنند که نشان می‌دهد آلوده شده‌اند.
6. باج افزار را به مسئولین گزارش دهید: به محض اینکه باج افزار مهار شد، به دلایل مختلف با مجریان قانونی تماس بگیرید. اول از همه باج افزار خلاف قانون است و مانند هر جرم دیگری، باید به مقامات مربوطه گزارش شود. دوم اینکه به گفته اداره تحقیقات فدرال ایالات متحده، «ممکن است مجریان قانون بتوانند از مراجع قانونی و ابزارهایی استفاده کنند که برای اکثر سازمان‌ها در دسترس نیست.» مشارکت با مجریان قانون بین المللی می‌تواند به یافتن داده‌های سرقت شده یا رمزگذاری شده و محاکمه عاملان کمک کند. در پایان، این حمله ممکن است پیامد‌هایی انطباقی به همراه داشته باشد: طبق شرایط  GDPR، اگر ظرف 72 ساعت از نقض اطلاعات شهروندان اتحادیه اروپا به ICO اطلاع داده نشود، ممکن است تجارت شما متحمل جریمه‌های سنگینی شود.
7. پشتیبان‌ها را ارزیابی کنید: اکنون زمان شروع فرایند پاسخگویی است. سریع‌ترین و ساده‌ترین راه برای انجام این کار این است که از سیستم‌های خود پشتیبان تهیه کنید. در حالت ایده‌آل، نسخه پشتیبان سالم و کامل دارید که به تازگی ایجاد شده و به اندازه کافی مفید است. در این صورت، گام بعدی استفاده از ضد ویروس/ ضد بدافزار برای اطمینان از پاک شدن همه سیستم‌ها و دستگاه‌های آلوده است - در غیر این صورت سیستم را قفل و فایل‌های شما را رمزگذاری می‌کند و به طور بالقوه پشتیبان را خراب می‌کند. هنگامی که همه آثار مخرب از بین رفت، می‌توانید سیستم‌های خود را از این نسخه پشتیبان بازیابی کنید و هنگامی که تأیید کردید که همه داده‌ها بازیابی شده‌اند و همه برنامه‌ها و فرآیندها به طور عادی پشتیبان گیری و اجرا می‌شوند- به حالت عادی فعالیت بازگردید. متأسفانه، بسیاری از سازمان‌ها اهمیت ایجاد و نگهداری پشتیبان‌ها را درک نمی کنند تا زمانی که به آنها نیاز پیدا می‌کنند ولی این پشتیبان‌ها وجود ندارند. از آنجا که باج افزارهای جدید بسیار پیچیده و مقاوم هستند، کسانی که پشتیبان تهیه می‌کنند خیلی زود متوجه می‌شوند که باج افزار به پشتیبان آنها آسیب رسانده یا پشتیبان را رمزگذاری کرده و آنها را کاملاً بی فایده کرده است.
8. درباره گزینه‌های رمزگشایی خود تحقیق کنید: اگر پشتیبان گیری پایداری ندارید، هنوز این شانس را دارید که بتوانید داده‌هایتان را پس بگیرید. کلید‌های رمزگشایی رایگان بسیار زیادی در سایت  No More Ransom   وجود دارم. اگر کلیدی برای باج افزاری که با آن سر و کار دارید (و با فرض اینکه تاکنون تمام آثار بدافزار را از سیستم خود پاک کرده‌اید) در دسترس باشد، می توانید از کلید رمزگشایی برای باز کردن قفل داده‌های خود استفاده کنید. حتی اگر آنقدر خوش شانس باشید که کلید رمزگشایی پیدا کنید، هنوز کار شما تمام نشده‌است. باید ساعت‌ها و روز‌ها بر روی پاکسازی خرابی‌ها کار کنید.
9. ادامه بدهید: متأسفانه، اگر پشتیبان گیری مناسبی ندارید و نمی‌توانید کلید رمزگشایی را پیدا کنید، تنها گزینه شما این است که ضرر به خود را متوقف کنید و از ابتدا شروع کنید. بازسازی فرایندی سریع یا ارزان نخواهد بود، اما هنگامی که سایر گزینه‌های خود را از دست دادید، این بهترین کاری است که می‌توانید انجام دهید.

چرا نباید باج بدهیم؟

هنگامی که باید هفته‌ها یا ماه‌ها را صرف بهبودی سیستم‌های خود کنید، ممکن است تسلیم شدن در برابر مطالبه باج وسوسه انگیز باشد. اما چند دلیل وجود دارد که چرا این ایده خوب نیست:

• ممکن است هرگز کلید رمزگشایی دریافت نکنید. هنگامی که تقاضای باج افزار را برآورده می‌کنید، انتظار دارید در عوض کلید رمزگشایی دریافت کنید. اما وقتی معامله باج افزار را انجام می‌دهید، به صداقت جنایتکاران اطمینان می‌کنید. بسیاری از افراد و سازمان ها پولی پرداخت کردند و هیچ چیزی دستگیر آنها نشد. ده‌ها یا صدها یا هزاران دلار پرداخت کرده اند و هنوز باید سیستم‌های خود را از ابتدا بازسازی کنند.
• ممکن است باج‌های مکرر دریافت کنید. هنگامی که باج می‌دهید، مجرمان سایبری که این باج افزار را به کار گرفته‌اند می‌دانند که شما در حال حاضر برده آنها هستید. اگر مایل به پرداخت مقدار بیشتری باشید، ممکن است کلید طرز کار را به شما بدهند.
• ممکن است کلید بازگشایی را دریافت کنید که به نوعی کار می‌کند. سازندگان باج افزار در زمینه بازیابی فایل فعالیت نمی کنند. آنها به تجارت پول سازی مشغول هستند. به عبارت دیگر، ممکن است رمزگشایی که دریافت می‌کنید، به اندازه کافی خوب باشد و جنایتکاران بگویند معامله را متوقف و پایان می دهند. علاوه بر این ممکن است خود فرایند رمزگذاری بعضی از فایل ها را غیر قابل تعمیر و خراب کند. اگر این اتفاق بیافتد، حتی کلید رمزگشایی خوب هم نمی‌تواند فایل ها را رمزگشایی کند و آنها برای همیشه از بین می‌روند.
• ممکن است خود را هدف سو استفاده قرار دهید. هنگامی که باج می دهید، جنایتکاران می‌دانند که شما سرمایه گذاری خوبی برای آنها هستید. سازمانی که سابقه پرداخت باج داشته باشد هدف جذابتری نسبت به سازمان‌های جدیدی است که ممکن است پرداخت کنند یا نکنند. چه چیزی مانع حمله مجدد گروه جنایتکاران در یک یا دو سال آتی می‌شود، یا وارد انجمنی شوند و به دیگر مجرمان سایبری اعلام کنند که شما هدفی آسان هستید؟
• حتی اگر همه چیز به نحوی خوب به پایان برسد، هنوز فعالیت‌های مجرمانه را تأمین مالی می‌کنید.

• می‌گویید که باج را می پردازید، کلید رمزگشایی خوبی دریافت می کنید و همه چیز را دوباره راه اندازی می‌کنید. این فقط بهترین حالت سناریو است (و نه فقط به این دلیل که پول زیادی از دست داده اید). وقتی باج می‌دهید، فعالیت‌های مجرمانه را تأمین مالی می‌کنید. فارغ از پیامدهای اخلاقی، این ایده را تقویت می‌کنید که باج افزار مدلی تجاری است که کار می‌کند. (اگر هیچ کس تا به حال باج نداده بود، آیا باج افزاری ادامه پیدا می کرد؟) این جنایتکاران که با موفقیت و دستمزد بیش از حد بزرگ خود حمایت می شوند، همچنان به تخریب مشاغل ناآگاه ادامه می‌دهند و برای توسعه انواع جدید و حتی بدتر باج افزارها وقت و هزینه صرف می‌کنند که یکی از آنها ممکن است در آینده به دستگاه‌های شما راه پیدا کند.

 

فایروال چیست؟

فایروال چیست؟

فایروال یک دستگاه امنیتی شبکه است که ترافیک شبکه ورودی و خروجی را نظارت می کند و بسته های داده را بر اساس مجموعه ای از قوانین امنیتی مجاز یا مسدود می کند.

هدف فایروال ایجاد یک مانع بین شبکه داخلی شما و ترافیک ورودی از منابع خارجی (مانند اینترنت) به منظور جلوگیری از ترافیک مخرب مانند ویروس ها و هکرها و بدافزارها است.

فایروال چگونه کار می کند؟

فایروال ها ترافیک های ورودی را با دقت بر اساس قوانین تعریف شده آنالیز می نمایند و  ترافیک ناامن و تهدید آمیز را فیلتر می کنند.

فایروال‌ها بر اساس قوانین تعریف شده ترافیک را از مبدا تا مقصد بر مبنای آدرس کامپیوتر ارسال کننده و آدرس کامپیوتر دریافت کننده و پورت مقصد، آنالیز و اعمال فیلتر می‌نمایند.

اینگونه در نظر بگیرید که آدرس‌های آی پی به عنوان خانه، و شماره پورت به عنوان اتاق‌های آن خانه هستند. فقط افراد مورد اعتماد (آدرس های منبع) مجاز به ورود به خانه (آدرس مقصد) هستند.

افراد در داخل خانه تنها مجاز به دسترسی به اتاق های خاص (پورت مقصد) هستند، بسته به اینکه آنها مالک، کودک و یا مهمان باشند.

ورود مالک به هر اتاقی (هر پورتی) مجاز است، در حالی که کودکان و مهمانان اجازه ورود به تعداد خاصی از اتاق ها (پورت‌های خاص) را دارند.

انواع فایروال ها

فایروال‌ها می‌توانند نرم افزاری یا سخت افزاری باشند، هر چند بهتر است هر دو را داشته باشید.

فایروال نرم افزاری برنامه ای است که بر روی هر کامپیوتر نصب می شود و ترافیک را از طریق شماره های پورت و برنامه های کاربردی تنظیم می کند، در حالی که یک فایروال فیزیکی قطعه ای از تجهیزات نصب شده بین شبکه و Gateway شماست.

فایروال‌های فیلتر کننده بسته که رایج ترین نوع فایروال است، بسته ها را بررسی می کنند و در صورتی که با یک مجموعه قانون امنیتی تثبیت شده مطابقت نداشته باشند، از عبور آن ها ممانعت بعمل می آورد.

این نوع فایروال آدرس های آی پی منبع و مقصد بسته را بررسی می کند. اگر بسته ها با یک قانون «مجاز» بر روی فایروال مطابقت داشته باشند، آنگاه اجازه ورود به شبکه به آنها داده می شود.

فایروال‌های فیلتر کننده بسته به دو دسته stateful و stateless تقسیم می شوند. فایروال های stateless بسته ها را به طور مستقل از یکدیگر بررسی می کنند و در نتیجه آن ها را به اهداف آسان برای هکرها تبدیل می کنند.

در مقابل، فایروال های stateful اطلاعات مربوط به بسته های عبوری قبلی را به یاد می دارند و بسیار امن تر در نظر گرفته می شوند.

در حالی که فایروال های فیلتر کننده بسته می توانند موثر باشند، در نهایت حفاظت بسیار ابتدایی را فراهم می کنند و قابلت های بسیار محدودی دارند.

به عنوان مثال، آنها نمی توانند تعیین کنند که آیا محتویات درخواستی که ارسال می شود، بر برنامه ای که به آن می رسد تأثیر نامطلوبی خواهد داشت یا خیر.

اگر یک درخواست مخرب که از یک آدرس منبع مورد اعتماد مجاز منجر به حذف یک پایگاه داده می شد، فایروال هیچ راهی برای دانستن این موضوع ندارد. فایروال های نسل بعدی و فایروال های پروکسی برای تشخیص چنین تهدیدهایی مجهزتر هستند.

فایروال های نسل بعدی (NGFW)

فناوری فایروال سنتی را با قابلیت های اضافی ترکیب می کنند، مانند بازرسی ترافیک رمزنگاری شده، سیستم های پیشگیری از نفوذ، ضد ویروس و موارد دیگر.

از همه مهم تر، شامل بازرسی بسته های عمیق (DPI) است. در حالی که فایروال های سنتی تنها به هدرهای بسته نگاه می کنند، بازرسی بسته عمیق داده های درون خود بسته را بررسی می کند و کاربران را قادر می سازد تا به صورت مؤثرتری بسته های با داده های مخرب را شناسایی، دسته بندی یا متوقف کنند. 

فایروال های پروکسی

ترافیک شبکه را در سطح برنامه فیلتر می کنند. بر خلاف فایروال های پایه، پراکسی مثل یک واسطه بین دو سیستم پایانی عمل می کند.

سرویس گیرنده باید درخواستی را به فایروال بفرستد، درخواست در برابر مجموعه ای از قوانین امنیتی ارزیابی می شود و سپس مجاز یا مسدود می شود.

از همه مهم تر، فایروال های پروکسی، ترافیک را برای پروتکل های لایه ۷ مانند HTTP و FTP نظارت می کنند و از هر دو بازرسی بسته دولتی و عمیق برای تشخیص ترافیک مخرب استفاده می کنند.

فایروال های ترجمه آدرس شبکه (NAT)

به چندین دستگاه با آدرس های شبکه مستقل اجازه می دهند تا با استفاده از یک آدرس آی پی واحد به اینترنت متصل شوند و آدرس های آی پی فردی را پنهان نگه دارند.

در نتیجه مهاجمانی که شبکه ای را برای آدرس های آی پی اسکن می کنند نمی توانند جزئیات خاصی را ضبط کنند و امنیت بیشتری را در برابر حملات فراهم کنند.

فایروال های NAT مشابه فایروال های پروکسی هستند که در آن به عنوان واسطه ای بین گروهی از رایانه ها و ترافیک خارج عمل می کنند.

فایروال های (SMLI)

بسته ها را در لایه ی Network, Transport , application ، با بسته های شناخته شده مقایسه می کند.

SMLI نیز مانند فایروال های NGFW کل بسته را بررسی می کند و تنها در  صورتی به آن ها اجازه عبور می دهد که هر بسته را به صورت انفرادی عبور دهند.

این فایروال ها بسته ها را بررسی می کنند تا وضعیت ارتباطات  را بررسی کنند تا اطمینان حاصل کنند که تمام ارتباطات آغاز شده تنها با منابع مورد اعتماد در حال وقوع است.

 

 

یک عامل بدخواه، اسناد FortiGate SSL-VPN را افشا کرده است

فورتی نت مطلع شده است که یک عامل بدخواه اخیرا اطلاعات دسترسی SSL-VPN به 87000 ابزار FortiGate SSL-VPN را افشا کرده است.

این اسناد از سیستم هایی به دست آمده بودند که در زمان اسکن عامل، نسبت به FG-IR-18-384/CVE-2018-13379 بدون بروزرسانی باقی مانده بودند.

در حالی که این اسناد ممکن است از آن زمان به بعد بروزرسانی شده باشند، اما در صورتی گذرواژه ها تغییر نکرده باشند، آسیب پذیری باقی می ماند.

این حادثه در ارتباط با یک آسیب پذیری قدیمی است که در می 2019 رفع شد.

در آن زمان، فورتی نت اقدام به صدور مشاوره PSIRT نمود و با مشتریان خود، ارتباط مستقیم برقرار کرد. فورتی نت متعاقبا چندین پست بلاگ شرکتی صادر نمود و جزئیات این مسئله را بیان کرد و قویا مشتریان را تشویق نمود که ابزارهای تحت تاثیر خود را ارتقا دهند.

علاوه بر مشاوره، بولتن و ارتباط مستقیم، این بلاگ ها در اوت 2019، ژوئیه 2020، آوریل 2021 و مجددا در ژوئن 2021 منتشر شدند.

فورتی نت در حال تاکید مجدد است که اگر در هر زمانی سازمان شما در حال اجرای هر یک از نسخه های تحت تاثیر لیست شده در زیر بوده است، حتی اگر ابزارهای خود ارتقا داده اید، باید تنظیم مجدد گذرواژه را نیز مطابق با بولتن پشتیبانی مشتری و سایر اطلاعات مشاوره ای انجام دهید.

در غیر این صورت، چنانچه اسناد کاربری شما قبلا مورد مداخله قرار گرفته باشد، ممکن است همچنان بعد از ارتقا نیز آسیب پذیر باشد.

باز هم در صورتی که در هر زمانی سازمان شما در حال اجرای نسخه ای متاثر بوده است، فورتی نت توصیه می کند که به سرعت گام های زیر را انجام دهید تا اطمینان حاصل کنید اسناد شما مورد سوءاستفاده قرار نگیرند.

1. همه VPNها (SSL-VPN یا IPSEC) را غیرفعال کنید تا این که گام های اصلاحی زیر صورت گیرند.

2. به سرعت ابزارهای تحت تاثیر را به آخرین نسخه منتشر شده موجود ارتقا دهید.

3. همه اسناد را مورد مداخله قرار گرفته در نظر گیرید و یک تنظیم گذرواژه در سطح کل سازمان انجام دهید.

4. احراز هویت چندعاملی انجام دهید تا سوءاستفاده از هرگونه اسناد مورد مداخله، در زمان جاری و آینده به حداقل برسد.

5. به کابران اطلاع دهید تا دلیل تنظیم مجدد گذرواژه و نظارت بر سرویس هایی مثل HIBP برای حوزه خود را توضیح دهید. این احتمال وجود دارد که چنانچه گذرواژه ها برای سایر حساب ها مورد استفاده مجدد قرار گرفته باشند، ممکن است در حملات جعل اسناد، قابل استفاده باشند.

 

ارتقای مورد توصیه:

نرم افزار خود را به FortiOS 5.4.13، FortiOS 5.4.14، FortiOS 6.0.13 یا FortiOS 6.2.9 و بالاتر ارتقا دهید. می توانید در وبسایت شرکت ستاک فناوری ویرا در قسمت دانلودها نسخه مورد نظر خود را پیدا کنید.

این ها جدیدترین نسخه های ارائه شده از همه نسخه های تحت تاثیر هستند. همچنین این ها، دربردارنده بهبودهای اضافی مورد توصیه هستند.

 

بهداشت امنیتی، گام اول است. ما آماده کمک هستیم

چشم انداز امنیتی پیوسته در حال تکامل است و حفظ همه سیستم ها – به ویژه ابزارهای امنیتی – برای دارا بودن دست برتر در برابر مجرمان سایبری ضروری است.

مانند بیشتر فروشندگان، فورتی نت حمایت و بروزرسانی پیوسته سخت افزارها را در اختیار مشتریان قرار می دهد تا مسائلی مانند آن چه در این جا مستند شده، رفع گردند.

ولی به نظر روشن می رسد که برخی سازمان ها از این خدمات استفاده نمی کنند یا به صورت پیوسته سیستم های حساس خود را بروزرسانی نمی نمایند.

دلایل مختلفی می تواند برای امنتناع از بروزرسانی وجود داشته باشد. ناتوانی در آفلاین کردن سیستم های حساس برای بروزرسانی به خاطر ایمنی یا سایر دغدغه ها، الزامات دشوار تست بروزرسانی جدید، و حتی تیم های امنیتی کم تجربه و کم تعداد همگی می توانند دارای نقش باشند.

متخصصان پشتیبانی فنی محلی و آنلاین ما برای ارائه راهنمایی در دسترس هستند. اما برای کسانی که سیستم های تحت تاثیر را اداره می کنند و نمی توانند گام اصلاحی را به سرعت اجرایی کنند، فورتی نت توصیه می کند به سرعت همه عملکردهای SSL-VPN تا زمان اجرای بروزرسانی ها غیرفعال گردند.

همچنین می توانید از این لینک برای کسب جزئیات بیشتر در مورد سیاست PSIRT جاری فورتینت و چگونگی بیان یک آسیب پذیری احتمالی به تیم PSIRT استفاده کنید.

 

دسته بندی حملات

تا بحال دسته بندی های متفاوتی برای حملات ارائه شده (مثلا insider و outsider یا پسیو و اکتیو و ...) اما ماهیت همه آنها یکی است. 

برای مثال بعضی ها Denial of Service را Interruption می گویند.

 

دسته بندی حملات از نظر اکتیو یا پسیو بودن:

 

حملات پسیو: بیشتر از جنس شنود هستند.

- Release of message contents

- Traffic analysis

 

حملات اکتیو: حمله کننده به صورت فعال وارد اجرای پروتکل می شود یا یک خرابکاری به بار می آورد.

- Masquerade

- Replay

- Modification of message contents

- Denial of service

 

سناریوهای حمله

- Interception: شنود یکی از حملات غیرتهاجمی است که به سختی آشکارسازی می شود. در روش های نوین روی مقابله با آن کار شده است.

جلوگیری از این حمله تقریبا غیرممکن است مگر اینکه از فناوری های نوین استفاده کنیم.

- Traffic Analysis: در این حمله، بیشتر از اطلاعات جانبی بدست آمده از مسیر ترافیک و ویژگی های آن استفاده می شود. مثلا ترافیک کجا می رود یا جنس آن چیست؟

- Interruption: ایجاد وقفه در مخابره برای مثال Denial of Service

- Fabrication: جعل پیام برای مثال Replay Attack

 

 

مدل های پیشنهادی تامین امنیت (شبکه و دسترسی)

 

- امنیت تبادل داده

مدل کلی تامین امنیت ارتباطات. البته این مدل به تنهایی قادر به پوشش دهی همه مسائل امنیت نیست. برای مثال مشکلات privacy ناشی از traffic analysis با این مدل حل نمی شود.

این مدل لزوم بک روش تولید پیام رمز شده از روی کلید و پیام اصلی را ارائه می دهد. همچنین به وجود یک شخص ثالث قابل اعتماد برای ایجاد یک ارتباط امن اشاره دارد.

- مدل تامین امنیت دسترسی به یک سیستم کامپیوتری

این مدل به بحث Autorisation و  Access Control اشاره دارد

 

 

فورتی نت برنده ی جایزه ی Professional Certification Program سال

 

برای سومین سال پیاپی، کمپانی فورتی نت با افتخار برنده ی جایزه Professional Certification Program  سال شد. در پنجمین جشنواره سالانه ی Cyber Security Awards که توسط گروه CyberSecurity Breakthrough برگزار می گردد، بیش از 4000 نامزد از بیش از 20 کشور مختلف و از سراسر جهان شرکت کرده بودند.

جیمز جانسون، مدیر عامل مجموعه ی CyberSecurity Breakthrough در رابطه با برنده شدن Fortinet در این بخش گفت: «پر کردن شکاف مهارت های امنیت سایبری برای هر سازمانی با هر اندازه ای بسیار مهم است. سازمان ها باید از امنیت مناسب و متخصصان ماهر و مسلط برای محافظت از خود برخوردار باشند. کمپانی Fortinet از طریق موسسه آموزشی NSE خود همچنان موقعیت خود را بعنوان رهبر اصلی و برای کاهش فاصله و پر کردن خلاء موجود در رابطه با ایجاد مهارت های امنیت سایبری در سراسر جهان حفظ می کند. ما مفتخریم که می توانیم Fortinet را برای سومین سال متوالی به عنوان انتخاب ما برای برنده ی بخش «صدور گواهینامه حرفه ای سال» انتخاب کنیم.»

 

مفاهیم امنیت شبکه

در این دوره به اصول رمزنگاری و استفاده از آنها را در امن کردن شبکه می پردازیم. برای شروع به تعریف یکسری از مفاهیم امنیتی پرداخته شده است.

 

ما 3 تا سرویس پایه امنیتی داریم:

 

1- محرمانگی 

یعنی مخفی و سری نگه داشتن اطلاعات از دید کسانی که نباید آن را بدانند. ابزار اینکار در دنیای واقعی معمولا رمزنگاری است.

2- دست نخوردگی، صحت

یعنی اطمینان از عدم تغییر مطالب

حتی در داده های رمزنگاری شده میتوان چیزی به آن اضافه یا از آن کم کرد یا بخشی از آن را تغییر داد.

3- در دسترس بودن

در دنیای دیجیتال معمولا در دسترس بودن را با درصد زمان سرویس دهی نمایش می دهند.

و 3 تا سرویس غیرپایه داریم:

4- اصالت - احراز هویت

یعنی اطمینان یافتن از اینکه شخص همانی است که ادعا می کند.

5- اجازه دسترسی

مستقیما با مفهوم Access Control در ارتباط است.

6- عدم انکار

یعنی نتوانید چیزی که انجام داده اید یا گفته اید را انکار کنید.

 

سه تای اول اصلی هستند که به اختصار (CIA) نامید می شوند و بقیه مشتقات آنها هستند.

 

در ادامه به معرفی چند نمونه استاندارد امنیتی و کاربرد آنها می پردازیم:

 

استاندارد FIPS99: روی سه سرویس امنیتی اول (CIA) تمرکز دارد و برای آنها 3 تا سطح تاثیرپذیری از یک نفوذ امنیتی را تعریف می کند.

- Low Impact: یعنی سازمان هنوز می تواند به کار خودش ادامه دهد ولی کارایی آن کاهش می یابد.

- Medium Impact : نفوذ صدمه جدی به کارایی سازمان و دارایی ها و یا افراد آن وارد می کند. سازمان میتواند به وظایف اصلی خود عمل کند ولی کارایی آن به صورت جدی کاهش پیدا می کند.

- High Impact: خسارت چشمگیر است و نفوذ صدمات غیرقابل جبرانی به کارایی سازمان، دارایی ها و یا افراد آن وارد می کند و سازمان دیگر نمیتواند وظایف اصلی خود را انجام دهد.

این مفاهیم در آنالیز کردن ریسک کاربرد دارد (ریسک تابعی از احتمال تهدید و میزان اثرگذاری آن در صورت وقوع است).

 

استاندارد ISO X.800: یک معماری امنیتی برای مدل OSI ارائه می دهد و میگوید برای تامین امنیت در هر لایه چکار باید کرد. یک روش سیستماتیک برای تعریف و تامین الزامات امنیتی ارائه می دهد و یک دید کلان از مسائل امنیتی شبکه به ما می دهد.

 

استاندارد X.800: یکسری تعاریف امنیتی ارائه می کند. مهمترین تعاریف در این استاندارد عبارتند از:

• آسیب پذیری: راهی که از آن طریق ممکن است به شما حمله شود. مثل ویندوز کرک شده، نرم افزار آپدیت نشده و ...
• تهدید: احتمال بالقوه حمله شدن 
• حمله: وقتی احتمال بالقوه حمله به صورت بالفعل درمی آید

سرویسهای امنیتی تعریف شده در X.800 عبارتند از:

1. Authentication
2. Access Control
3. Data Confidentiality
4. Data Integrity
5. Non-Repudiation

مکانیزم های حملات و اثرات آنها در X.800:

- مکانیزم های خاص لایه پروتکلی

- مکانیزم های فراگیر امنیتی

 

استانداردهای دیگری هم وجود دارند که در اینجا به آنها نمی پردازیم.