بایگانی دسته: اخبار استارتاپ

به روز رسانی های امنیتی حیاتی برای FortiNAC و FortiWeb

به روز رسانی های امنیتی حیاتی برای FortiNAC و FortiWeb

خلاصه

Fortinet چندین به روز رسانی امنیتی برای رفع 2 آسیب پذیری حیاتی، 15 آسیب پذیری با تأثیر زیاد و 22 آسیب پذیری با تأثیر متوسط ​​در FortiNAC، FortiWeb، FortiOS و سایر محصولات این شرکت منتشر کرده است.

پلتفرم های تحت تأثیر

پلتفرم های زیر تحت تأثیر این آسیب پذیری ها قرار می گیرند:

  • فورتی نت فورتی وب
  • FortiNAC
  • Fortinet FortiOS
  • Fortinet FortiProxy
  • Fortinet FortiADC (کنترل کننده های تحویل برنامه)
  • Fortinet FortiPortal
  • Fortinet FortiSwitch
  • FortiAnalyzer
  • FortiSandbox
  • FortiWAN
  • FortiAuthenticator
  • FortiExtender
  • FortiSwitchManager

اطلاعات فنی در مورد تهدید

معرفی

Fortinet چندین به روز رسانی امنیتی برای رفع 2 آسیب پذیری حیاتی، 15 آسیب پذیری با تأثیر زیاد و 22 آسیب پذیری با تأثیر متوسط ​​در FortiNAC، FortiWeb، FortiOS و سایر محصولات این شرکت منتشر کرده است. دو آسیب پذیری مهم CVE-2022-39952 و CVE-2021-42756 هستند که به ترتیب FortiWeb و FortiNAC را تحت تأثیر قرار می دهند.

CVE-2022-39952 دارای امتیاز CVSSv3 9.8 است. یک آسیب‌پذیری نام فایل خارجی یا کنترل مسیر در وب سرور FortiNAC به مهاجمان اجازه می‌دهد تا کد دلخواه را بدون احراز هویت روی سیستم بنویسند.

آسیب‌پذیری سرریز بافر چندگانه مبتنی بر پشته در دیمون پروکسی FortiWeb به عنوان CVE-2021-42756 شناسایی شده و دارای امتیاز CVSSv3 9.8 است. مهاجمان می توانند از این آسیب پذیری برای اجرای از راه دور کد دلخواه بدون احراز هویت با استفاده از درخواست های HTTP ساخته شده ویژه استفاده کنند.

مهاجمان از CVE-2022-39952

اثبات مفهومی برای CVE-2022-39952، یک آسیب‌پذیری حیاتی در FortiNAC منتشر شده است. این آسیب پذیری در حال حاضر توسط مهاجمان مورد سوء استفاده قرار می گیرد.

اخبار جدید

تاریخ

اخبار

23 فوریه 2023

اثبات مفهوم آسیب پذیری CVE-2022-39952 منتشر شده است. این ماده نیز برای انعکاس این خبر اصلاح شده است.

23 فوریه 2023

بهره برداری از CVE-2023-21746

این ماده برای منعکس کننده این تغییر اصلاح شده است.

 

توصیه ها

به سازمان‌هایی که تحت تأثیر این آسیب‌پذیری‌ها قرار می‌گیرند توصیه می‌شود به صفحه مشاوره PSIRT از تیم پاسخگویی به رویداد امنیت محصول Fortinet مراجعه کرده و به‌روزرسانی‌های مربوطه را اعمال کنند.

برای اطلاع از اخبار مربوط به این تهدیدات در رجوع به استحکامات شود.

بولتن امنیتی 14011203

Frost Security Awareness Bulletin نسخه 14011203

در این شماره، علاوه بر بررسی مهم‌ترین اخبار سایبری ایران و جهان، به ارزیابی توانایی هوش مصنوعی در حفاظت از زیرساخت‌های حیاتی در برابر حملات سایبری می‌پردازیم.
می توانید به خواندن این مجله ادامه دهید.

نمایش تمام صفحه

window.df_option_54616 = {“منبع”:”https://www.faraasat.com/wp-content/uploads/2023/03/Newsletter-No.14011203.pdf”،”height”: “2500”، “showDownloadControl”:false,”slug”:”faraasat14011203″،”id”:54616}; if(window.DEARPDF && window.DEARPDF.parseElements){window.DEARPDF.parseElements();}

window.df_option_54616 = {“منبع”:”https://www.faraasat.com/wp-content/uploads/2023/03/Newsletter-No.14011203.pdf”،”height”: “2500”، “showDownloadControl”:false,”slug”:”faraasat14011203″،”id”:54616}; if(window.DEARPDF && window.DEARPDF.parseElements){window.DEARPDF.parseElements();}

خبرنامه فراست آماده عقد قرارداد تولید خبرنامه اختصاصی با آرم و محتوای اختصاصی سازمان ها می باشد. در این زمینه می توانید به صورت 24 ساعته از طریق فرم تماس با ما و یا با شماره 02191005419 در ساعات اداری درخواست خود را ارسال نمایید تا کارشناسان ما مشاوران شما در این زمینه باشند.

انتشار آپدیت امنیتی توسط Splunk برای چندین محصول این شرکت

خلاصه

Splunk 13 توصیه منتشر کرده است که به 5 آسیب پذیری با شدت بالا و 8 آسیب پذیری با شدت متوسط ​​می پردازد. این توصیه ها مربوط به Splunk Enterprise Edition، Splunk Cloud Platform، Splunk CloudConnect Software Development Kit و Splunk Builder Plugin است.

شناسه تهدید:

CC-4267

شدت تهدید:

فقط اطلاعات

منتشر شده در:

17 فوریه 2023 در 3:27 ب.ظ

پلتفرم های تحت تأثیر

پلتفرم های زیر تحت تاثیر این آسیب پذیری شناخته شده اند:

  • Splunk Enterprise

نسخه: 8.1.12 و بالاتر، 8.2.9 و بالاتر، 9.0.3 و بالاتر

  • پلتفرم ابری Splunk

نسخه: 9.0.2209 و بالاتر

  • سازنده پلاگین Splunk

نسخه: 4.1.1 و بالاتر

  • کیت توسعه نرم افزار Splunk CloudConnect

نسخه 3.1.2 به بعد

اطلاعات فنی

معرفی

13 توصیه منتشر شده با هدف قرار دادن 5 آسیب پذیری با تأثیر بالا و 8 آسیب پذیری با تأثیر متوسط ​​در چندین محصول.

آسیب‌پذیری‌های با شدت بالا مربوط به تزریق اسکریپت بین وب‌سایتی است یا به جستجوگران اجازه می‌دهد مکانیسم‌های حفاظتی زبان پردازش جستجو را برای دستورات مخاطره‌آمیز دور بزنند. یک مهاجم می تواند از برخی از این آسیب پذیری ها برای به دست آوردن کنترل سیستم سوء استفاده کند.

توصیه ها

به سازمان‌هایی که تحت تأثیر این آسیب‌پذیری‌ها قرار گرفته‌اند توصیه می‌شود برای اطلاعات بیشتر به این توصیه‌های امنیتی Splunk مراجعه کنند.

آپاچی چندین به روز رسانی امنیتی منتشر کرده است

خلاصه

آپاچی در حال انتشار یک سری به‌روزرسانی‌های امنیتی است که برای رفع آسیب‌پذیری انکار سرویس در Apache Tomcat و بسته Commons FileUpload طراحی شده‌اند.

شناسه تهدید:

CC-4270

شدت تهدید:

فقط اطلاعات

منتشر شده در:

22 فوریه 2023 در 2:01 ب.ظ

پلتفرم های تحت تاثیر این آسیب پذیری

گفته می شود پلتفرم های زیر تحت تأثیر این آسیب پذیری ها قرار می گیرند:

  • آپاچی تامکت

نسخه ها: نسخه‌ها: 11.0.0-M1، 10.1.0-M1 تا 10.1.4، 9.0.0-M1 تا 9.0.70، 8.5.0 تا 8.5.84

  • Patch Commons FileUpload

نسخه: قبل از 1.5

اطلاعات فنی

معرفی

بنیاد نرم‌افزار آپاچی چندین به‌روزرسانی امنیتی برای رفع آسیب‌پذیری انکار سرویس در Apache Tomcat و بسته Commons FileUpload منتشر کرده است. آسیب‌پذیری CVE-2023-24998 می‌تواند به مهاجمان اجازه دهد تا فایلی را از راه دور آپلود کنند، که می‌تواند باعث انکار سرویس شود.

توصیه ها:

به سازمان‌هایی که تحت تأثیر این آسیب‌پذیری قرار می‌گیرند توصیه می‌شود که توصیه‌های امنیتی Apache را مطالعه کرده و به‌روزرسانی‌های مناسب را نصب کنند.

مراحل توصیه شده

تایپ کنید گام
راهنمایی Apache Tomcat Denial of Service CVE-2023-24998
آپاچی تامکت 11.0.0-M1 باید به 11.0.0-M3 یا جدیدتر به روز شود.
https://tomcat.apache.org/security-11.html#Fixed_in_Apache_Tomcat_11.0.0-M3
راهنمایی Apache Tomcat Denial of Service CVE-2023-24998

آپاچی تامکت 10.1.0-M1 تا 10.1.4 باید به آپاچی تامکت 10.1.5 یا جدیدتر به روز شود.
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.5
راهنمایی Apache Tomcat Denial of Service CVE-2023-24998

آپاچی تامکت 9.0.0-M1 تا 9.0.70 باید به آپاچی تامکت 9.0.71 یا جدیدتر به روز شود.
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.71
راهنمایی Apache Tomcat Denial of Service CVE-2023-24998

آپاچی تامکت 8.5.0 تا 8.5.84 باید به آپاچی تامکت 8.5.85 یا جدیدتر به روز شود.
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.85
راهنمایی آسیب پذیری انکار سرویس آپلود فایل آپاچی با شناسه CVE-2023-24998

آپاچی کامانز فایل آپلود 1.0؟ – 1.4 باید به نسخه 1.5 به روز شود.

https://commons.apache.org/proper/commons-fileupload/security-reports.html

منبع قطعی به روز رسانی

  • tomcat.apache
  • commons.apache

آسیب پذیری ها CVE

آزادی دولت

CVE-2023-24998

نسخه‌های قبل از 1.5 آپاچی کامانز فایل آپلود، تعداد بخش‌های درخواستی را که باید پردازش شوند، محدود نمی‌کنند، و این شرایط ممکن است به مهاجمان اجازه دهد تا با انجام به‌روزرسانی‌های مخرب یا یک سری به‌روزرسانی، حمله انکار سرویس را انجام دهند.

بولتن امنیتی 14011202

نسخه Frost Security Awareness Bulletin 14011202

در این شماره، علاوه بر بررسی مهم ترین اخبار سایبری ایران و جهان، گزارشی از آخرین آسیب پذیری ها، تهدیدات شبکه های اجتماعی سازمان ها و روش های مقابله با این تهدیدات را بررسی می کنیم.
می توانید به خواندن این مجله ادامه دهید.

نمایش تمام صفحه

window.df_option_54237 = {“منبع”:”https://www.faraasat.com/wp-content/uploads/2023/02/Newsletter-No.14011202.pdf”،”height”: “2500”، “showDownloadControl”:false,”slug”:”faraasat14011202″،”id”:54237}; if(window.DEARPDF && window.DEARPDF.parseElements){window.DEARPDF.parseElements();}

window.df_option_54237 = {“منبع”:”https://www.faraasat.com/wp-content/uploads/2023/02/Newsletter-No.14011202.pdf”،”height”: “2500”، “showDownloadControl”:false,”slug”:”faraasat14011202″،”id”:54237}; if(window.DEARPDF && window.DEARPDF.parseElements){window.DEARPDF.parseElements();} خبرنامه فراست برای تولید خبرنامه انحصاری با آرم و محتوای انحصاری سازمان ها آماده عقد قرارداد است. در این زمینه می توانید به صورت 24 ساعته از طریق فرم تماس با ما و یا با شماره 02191005419 در ساعات اداری درخواست خود را ارسال نمایید تا کارشناسان ما مشاوران شما در این زمینه باشند.

روش‌هایی برای ساده‌سازی حفاظت نقطه پایانی

همانطور که محیط های کاری بیشتر و بیشتر همگرا می شوند و رشد می کنند و تکامل می یابند، امنیت نقطه پایانی پیچیده تر و چالش برانگیزتر می شود. طبق مطالعات، حدود 70 درصد از سازمان ها حداقل یک حمله نقطه پایانی را تجربه کرده اند. این حملات معمولاً داده ها و/یا زیرساخت فناوری اطلاعات آنها را به خطر می اندازد. بسیاری از سازمان ها نیز طی سال گذشته شاهد افزایش حملات نقطه پایانی بوده اند. این آمار علاوه بر افزایش تعداد حملات، افزایش سریع تنوع و پیچیدگی آنها را نیز هر ساله نشان می دهد. در نتیجه امروزه مدیریت و ایمن سازی نقاط پایانی بسیار مهم است. در این مقاله بررسی خواهیم کرد که چه اقداماتی برای تسهیل این فرآیند باید انجام شود.

نقاط پایانی دروازه هایی هستند که مهاجمان برای دسترسی به داده های سازمان ها از آنها استفاده می کنند. عدم محافظت از این نکات، سازمان شما را در معرض حملات و خطرات احتمالی قرار می دهد و عواقب اقتصادی، اعتباری و حقوقی زیادی را برای شما به همراه خواهد داشت. ایجاد یک استراتژی امنیتی نقطه پایانی با اتخاذ یک رویکرد سازگار برای محافظت شروع می شود. بهترین راه برای دستیابی به این هدف از طریق نظارت مستمر تهدید، شناسایی و اتوماسیون وظایف امنیتی مهم نقطه پایانی است، اما مراحل ساده ای وجود دارد که می توانید انجام دهید. با ما همراه باشید تا با این مراحل آشنا شوید.

  • وصله های امنیتی را در اسرع وقت نصب کنید

مدیریت به‌روزرسانی‌های نرم‌افزار، به‌ویژه وصله‌های امنیتی نقطه پایانی، به محافظت از سازمان شما در برابر تهدیدات شناخته شده کمک می‌کند. طبق بررسی ها و تحقیقات، حدود 60 درصد از قربانیان نقض، وجود یک آسیب پذیری شناخته شده و اصلاح نشده را گزارش کرده اند. عدم نصب وصله امنیتی عامل اصلی نقض اطلاعات است. این عدم اقدام معمولاً به دلیل حجم بالای حملات در حال ظهور و تعداد زیاد وصله‌های امنیتی منتشر شده در اکوسیستم فناوری اطلاعات امروزی و همچنین عدم وجود یک استراتژی جامع برای نصب آن وصله‌ها است.

ظهور اشکال جدید نقاط پایانی مانند اینترنت اشیاء، خط‌مشی «دستگاه خود را به محل کار بیاورید» و سایر آسیب‌پذیری‌ها در سیستم‌عامل‌ها و نرم‌افزارها منجر به انتشار انبوهی از وصله‌های امنیتی در ۵ سال گذشته شده است. . برای جلوتر از مهاجمان، باید به طور مداوم وصله های امنیتی را نصب کنید.

  • نظارت بر تمام نقاط پایانی

یک شبکه سازمانی و نقاط پایانی درون آن را تصور کنید که تعداد آنها می تواند به صدها یا هزاران و حتی بیشتر برسد. نقض های امنیتی امروزی معمولاً ناشی از نفوذ نقطه پایانی است (تخمین زده شده در 70٪). اگر این دستگاه ها را شناسایی و ردیابی نکنید، نمی توانید از آنها محافظت کنید. ساده ترین راه برای انجام این کار، انجام یک اسکن کامل برای یافتن و تأیید پیکربندی این دستگاه ها است. این فرآیند شامل چندین مرحله است. مراحل اصلی در این فرآیند عبارتند از:

    1. شناسایی و ارائه فهرست کاملی از تمام سخت افزارها، از جمله سرورها، لپ تاپ ها، ماشین های مجازی، شبکه و دستگاه های تلفن همراه؛
    2. حصول اطمینان از اینکه همه سیستم ها مطابق با استانداردهای مناسب و سیاست های امنیتی پیکربندی داخلی پیکربندی شده اند.
    3. برای شناسایی تغییرات ناخواسته یا نامناسب و تصحیح مشکلات پیکربندی، به طور مداوم این پیکربندی ها را زیر نظر داشته باشید.

داشتن یک لیست جامع از تمام نقاط پایانی برای ایمن سازی آنها ضروری است.

  • با آخرین نوآوری ها همراه باشید

هکرها و مهاجمان به طور مداوم فناوری و روش های خود را به روز می کنند. شما و سازمانتان باید همین کار را برای افزایش مقاومت در برابر آنها انجام دهید. شما باید با استفاده از به‌روزرسانی‌های امنیتی، مطابقت با استانداردها و راه‌حل‌های امنیتی، با آخرین نوآوری‌های فناوری همراه باشید (چه بهتر اگر همه اینها را در یک پلتفرم ترکیب کنید). پیشرفت‌ها در اتوماسیون، یادگیری ماشین و موارد دیگر به ساده‌سازی امنیت نقطه پایانی و کاهش حجم موارد مثبت کاذب کمک کرده است. تیم های امنیتی و فناوری اطلاعات نیز می توانند با منابع کمتر کارهای بیشتری انجام دهند.

  • رویکرد پیشگیرانه

همه طرح های امنیتی با کیفیت شامل رویکردهای فعال و پیشگیرانه برای آسیب پذیری های نقطه پایانی هستند. یکی از روش‌های واکنشی کلیدی، اسکن فعال و ارزیابی مستمر دستگاه‌های شبکه برای شناسایی ضعف‌ها، پیکربندی‌های نادرست و آسیب‌پذیری‌های داخل و خارج شبکه و ایجاد دید قوی برای شناسایی پورت‌های باز، فایروال‌های غیرفعال یا مشکلات آنتی ویروس است. این نکته برای شرکت هایی که باید استانداردها و قوانین خاص دولتی یا صنعتی را رعایت کنند نیز بسیار مهم است.

پس از شناسایی آسیب‌پذیری‌ها (مانند وصله‌های گمشده، پیکربندی‌های ناقص یا دستگاه‌هایی که استانداردها و مقررات را ندارند)، باید در اسرع وقت آن‌ها را برطرف کنید. یافتن یک راه حل امنیتی نقطه پایانی که با یک راه حل امنیتی، هماهنگ سازی، اتوماسیون و پاسخ ادغام می شود، بهینه سازی فرآیند را برای تعداد زیادی دستگاه بدون افزایش کار دستی امکان پذیر می کند.

  • امنیت نقطه پایانی را یک اولویت در نظر بگیرید

امنیت نقطه پایانی باید اولویت شما باشد. از بسیاری جهات، نقاط پایانی مختلف به محیط شبکه تبدیل شده‌اند، اما برای بسیاری از سازمان‌ها اینطور نیست. امنیت نقطه پایانی نه تنها از مشاغل محافظت می کند، بلکه اعتماد را حفظ می کند، به مشتریان اطمینان می دهد و فرآیندهای تجاری را ساده می کند. بدون اولویت‌بندی نیازهای امنیت سایبری، تلاش‌های شما برای ایمن نگه‌داشتن نقاط پایانی‌تان احتمالاً بی‌اثر خواهد بود. اگر نیاز به جلب حمایت مدیران دارید، حقایق زیر را با آنها در میان بگذارید:

  • 81 درصد از سازمان ها حمله نقطه پایانی را تجربه کرده اند که شامل نوعی بدافزار است.
  • 79 درصد از مسافران، دستگاه خود را به پورت USB یا پایانه شارژ عمومی وصل می کنند.
  • 33 درصد از کارمندان از تلفن هوشمند یا رایانه شخصی برای کارهای از راه دور استفاده می کنند.
  • تنها 47 درصد از سازمان ها شبکه های خود را به صورت 24 ساعته نظارت می کنند.

موارد بررسی شده فقط چند نکته و گام ساده بود که به محافظت از امنیت نقطه پایانی سازمان شما کمک می کند. با پیشرفت صنعت امنیت، ما شاهد راه‌حل‌هایی هستیم که امنیت، مدیریت وصله‌ها و انطباق با استانداردها را در یک پلتفرم به پایان می‌رسانند. سازمان‌ها باید از این راه‌حل‌های قدرتمند جدید برای محافظت کامل از خود در برابر تهدیدات نقطه پایانی رو به رشد استفاده کنند.

منبع: cyberdefensemagazine

آسیب پذیری های تزریق SQL در MISP

تاریخ:

  • 21/02/2023 – نسخه 1.0 – انتشار اولیه

خلاصه

فوریه 2023، تیم پروژه MISP توصیه هایی را در مورد دو آسیب پذیری حیاتی تزریق کد SQL در پلتفرم اشتراک و هوش تهدید MISP منتشر کرد. تیم تصمیم گرفت بی سر و صدا روند وصله آسیب پذیری را دنبال کند و چندین به روز رسانی را در نوامبر و دسامبر 2022 منتشر کرد تا به کاربران زمان کافی برای نصب نسخه های امن بدهد.

جزییات فنی

  • CVE-2022-48329

پلتفرم MISP به کاربران این امکان را می داد تا ترتیب فیلدها را برای نقاط پایانی خاص، مانند RestSearch، سفارشی کنند. این کار با استفاده از پارامترهای URL و با الگوها انجام می شود order:field_name/ تعیین شد اما پارامتر سفارش از تابع CakePHP(). پیدا می کنم از نظر SQLi (تزریق SQL) ایمن نیست، بنابراین تیم پروژه MISP تابع لیست سفید را برای فیلدها معرفی کرد که حضور فیلدها را با ترتیب خاصی کنترل می کند.

هیچ کدام sort:field_name/direction:ascending|راست/ تحت تأثیر این آسیب پذیری قرار نمی گیرند.

  • CVE-2022-48328

بخش چیز چندش و کثیف از پلتفرم MISP، امکان ارسال پارامترهای جستجوی سفارشی وجود دارد، و اگرچه مقادیر جستجو از نظر SQLi ایمن و به خوبی پاکسازی شده اند، خود نام فیلدها اینگونه نیستند. سوء استفاده از این شرایط با طراحی کوئری های هوشمند امکان پذیر است.

محصولات تحت تاثیر این آسیب پذیری ها عبارتند از:

  • CVE-2022-48329:
    • MISP قبل از نسخه 2.4.166;
  • CVE-2022-48328:
    • MISP قبل از نسخه 2.4.167

توصیه ها

از آنجایی که تیم پروژه نسخه 2.4.167 را در 22 دسامبر 2022 منتشر کرد، انتظار می‌رود اکثر نمونه‌های MISP ایمن باشند. با این حال، CERT-EU توصیه می کند که نسخه نمونه های در حال اجرا MISP بررسی شود و پلت فرم اطلاعات تهدید و اشتراک MISP در اسرع وقت به آخرین نسخه به روز شود.

منابع

  • https://www.misp-project.org/security/
  • https://www.misp-project.org/2023/02/20/Critical_SQL_Injection_Vulnerabilities_Fixed.html/

آسیب پذیری های حیاتی در محصولات VMware

تاریخ

  • 23/02/2023– نسخه 1.0 – انتشار اولیه

خلاصه

در 2 فوریه 2023، VMware یک توصیه برای چندین آسیب‌پذیری حیاتی که بر VMware vRealize و ابزارهای کنترل برنامه‌های Carbon Black تأثیر می‌گذارد، منتشر کرد. آسیب‌پذیری اول با نام CVE-2023-20858 (و امتیاز CVSSv3 9.1) شناخته می‌شود و چندین نسخه از ابزار کنترل برنامه Black Black را در ویندوز تحت تأثیر قرار می‌دهد و آسیب‌پذیری دوم با نام CVE-2023-20855 (نمره CVSSv3 8.8) شناخته می‌شود و تأثیر می‌گذارد. ابزارهای Foundation Tools VMware Cloud و VMware vRealize تحت تأثیر قرار می گیرند.

جزییات فنی

  • CVE-2023-20858:

با دسترسی به کنسول مدیریت برنامه کنترل، مهاجم می تواند از یک لاگین ساخته شده مخصوص برای دسترسی به سیستم عامل سرور استفاده کند. با آسیب‌پذیری‌های تزریق کد، مهاجمان می‌توانند کد یا دستوراتی را در برنامه مورد نظر اجرا کنند و به طور بالقوه سیستم‌های بک‌اند و هر کلاینت متصل به برنامه آسیب‌پذیر را در معرض خطر قرار دهند.

  • CVE-2023-20855:

یک مهاجم با دسترسی کنترل نشده به vRealize Orchestrator می تواند از یک ورودی ساخته شده ویژه برای دور زدن محدودیت های تجزیه XML استفاده کند و در نهایت به اطلاعات حساس دسترسی پیدا کند یا سطح دسترسی خود را افزایش دهد.

محصولات تحت تأثیر

CVE-2023-20858 بر نسخه های زیر ابزار کنترل برنامه VMware Carbon Black در ویندوز تأثیر می گذارد:

  • ابزار کنترل برنامه VMware Carbon Black برای ویندوز نسخه 7.x.
  • ابزار کنترل برنامه VMware Carbon Black برای ویندوز نسخه 8.x.
  • ابزار کنترل برنامه VMware Carbon Black برای ویندوز نسخه 9.x.

CVE-2023-20855 محصولات زیر را تحت تأثیر قرار می دهد:

  • ابزار VMware vRealize Orchestrator در حال اجرا بر روی Network Virtual Appliances نسخه x.
  • x نسخه های VMware vRealize Automation.
  • نسخه x از VMware Cloud Foundation Tools.

توصیه ها

CERT-EU اعمال به روز رسانی های زیر را توصیه می کند:

  • VMware Carbon Black Application Control Tool را به نسخه های اصلاح شده مناسب به روز کنید:
  1. 7.8;
  2. 8.6;
  3. 8.9.4.
  • vRealize Orchestrator و VMware Automation Tools را با پچ به نسخه 8.11.1 به روز کنید.
  • VMware Cloud Foundation را به نسخه اصلاح شده به روز کنید.

منابع

  • https://www.vmware.com/security/advisories/VMSA-2023-0004.html
  • https://www.bleepingcomputer.com/news/security/vmware-warns-admins-of-critical-carbonblack-app-control-flaw/
  • https://www.vmware.com/content/dam/digitalmarketing/vmware/en/pdf/docs/vmwcbdatasheet-app-control.pdf
  • https://www.vmware.com/security/advisories/VMSA-2023-0005.html

وقتی یک حمله سایبری رخ می دهد، تیم واکنش به حادثه شما چگونه واکنش نشان می دهد؟

اگر حمله یا حمله باج افزاری در سازمان شما رخ دهد، آیا تیم امنیت سایبری شما آماده پاسخگویی خواهد بود؟ CIOها ممکن است احساس کنند که کارکنان آنها همیشه مهارت ها و آموزش های لازم را دارند. به گفته بک مک کیون، مدیر علوم انسانی در شرکتی که یک پلتفرم آموزشی امنیت سایبری ارائه می‌کند: «کارمندان معمولاً هنگام برخورد با حوادث واقعی گیج و غرق می‌شوند».

مک کئون که روانشناس نیز هست و تحقیقات گسترده ای در صنایع پرخطر انجام داده است، با نحوه واکنش افراد در شرایط بحرانی آشناست، در این زمینه می گوید: «شاید یک کتابچه راهنمای مدیریت بحران و سیاست های خاص برای چنین شرایطی تهیه کنید و فرض کنید که در هنگام وقوع حادثه، ابتدا باید از این ابزارها استفاده کنید، اما همیشه اینطور نیست، زیرا مغز شما نه تنها بر اساس غریزه طبیعی مبارزه یا فرار کار می کند، بلکه توانایی توقف در این شرایط را نیز دارد. بارها شنیده ام که مردم می گویند با اینکه می دانستیم در مواقع بحران چه عکس العملی از خود نشان دهیم اما زمانی که در چنین شرایطی قرار گرفتیم دست و پایمان را گم کردیم و نمی دانستیم دقیقا باید چه کار کنیم.

مدیران ارشد امنیت اطلاعات بارها شاهد بوده اند که تیم ها از اثربخشی لازم در پاسخگویی به حوادث واقعی برخوردار نیستند. از جمله تیم هایی که مانورهای تدارکاتی برای چنین رویدادهایی را پشت سر گذاشته اند.

با فلج شدن تیم مشکلات دو چندان می شود

تاخیر در پاسخ، حتی برای چند ساعت، به مهاجمان زمان می دهد تا سطح آسیب و زمان لازم برای بازیابی را افزایش دهند. همچنین هزینه های پاسخگویی، جریمه های قانونی و آسیب های تجاری را افزایش می دهد. به دلیل احتمال وقوع چنین واکنش هایی، مک کئون، تحلیلگران و مدیران باسابقه امنیت اطلاعات معتقدند که مدیران امنیت سایبری باید این فلج را در واکنش به حوادث پیش بینی کنند و از روش های مناسب برای به حداقل رساندن احتمال وقوع آن استفاده کنند و راهکارهای لازم را در کامپایل رویدادهای واقعی به کار گیرند. بر شما گذشت.

مک کیون می گوید: «شما باید یاد بگیرید که در این مواقع حساس چگونه واکنش نشان دهید. می‌توانید مهارت‌هایی را در افراد ایجاد کنید تا آنها را انعطاف‌پذیرتر کنید و به آنها کمک کنید در صورت عدم آگاهی از موقعیت، واکنش مناسب نشان دهند. این نوعی آمادگی ذهنی است.»

چرا و چگونه تیم ها فلج می شوند؟

مدیران ارشد فناوری نباید تعجب کنند که حتی آماده ترین تیم ها در لحظات و موقعیت های بحرانی فلج می شوند. به گفته مک‌کئون، «گاهی اوقات ممکن است افراد در واکنش به حادثه محدودیت‌های شناختی داشته باشند، یعنی آن‌قدر روی چیزی که در مقابلشان است متمرکز می‌شوند که کل موقعیت را در نظر نمی‌گیرند. این تجربه می تواند حتی تفکر عادی افراد را مختل کند.»

نیل هارپر، افسر ارشد امنیت اطلاعات ISACA، که به عنوان مدیر هیئت اجرایی خدمت می کند، در اولین روز خود به عنوان مشاور در یک شرکت دید که چگونه یک حمله باج افزار می تواند افراد را فلج کند. او گفت: «حتی افراد با تجربه در واکنش به حوادث نمی‌دانستند چه کنند.

هارپر موقعیت های دیگری را دیده است که در آنها موانعی برای پاسخ ایجاد شده است که منجر به تاخیر در واکنش به حادثه شده است. در برخی مواقع، تیم ها می ترسیدند که اقدامات آنها افراطی به نظر برسد. گاهی ترس از اتهامات مردم، مردم را فلج می کند و اتفاقاتی رخ می دهد که هیچ فرد موثری که تجربه حضور در رویدادهای واقعی در تیم را داشته باشد، وجود نداشته است. در نتیجه مردم اعتماد لازم را برای مقابله با این وضعیت نداشتند. هارپر می گوید: «همه این مسائل، به تنهایی یا در ترکیب، می توانند کسب و کار یک شرکت را فلج کنند.

کریس هیوز، استادیار دانشکده فناوری اطلاعات و امنیت سایبری نیز تجربه حضور در موقعیت‌های مشابه را داشته است. او همچنین با یک تیم امنیت سایبری در یک سازمان دولتی کار کرد که ترافیک مشکوک را شناسایی کرد، مخرب بودن آن را تایید کرد و سپس به یک سد راه برخورد کرد که آنها را متوقف کرد.

اثر تماشاگر

هیوز می گوید: «در چنین شرایطی ما شاهد نوعی پدیده اثر تماشاگر هستیم. مردم تصور می‌کنند یا امیدوارند که یکی از اعضای تیم جلو بیاید و کنترل را در دست بگیرد، اما هیچ‌کس واکنشی نشان نمی‌دهد. در این شرایط، یک مدیر ارشد باید وارد عمل شود و آنها را از شوک خارج کند.”

از سوی دیگر گاهی مدیران باتجربه امنیت سایبری شاهد فلج شدن مدیران ارشد سازمان هستند که واقعیت را انکار می کنند و باور نمی کنند چنین اتفاقی برایشان افتاده است. اد اسکودیس، رئیس موسسه فناوری SANS، می‌گوید: «این لحظات فلج زمانی اتفاق می‌افتد که ترس از این که چقدر ممکن است بد شود و چقدر به سازمان آسیب وارد شود و عدم اطمینان زیادی وجود دارد، رخ می‌دهد. در این شرایط همیشه اطلاعات جدیدی دریافت می شود، اما تیم ها نمی توانند قضاوت کنند که کدام درست است یا غلط و کدام بهترین انتخاب است. در آن زمان که ترس، شک، عدم اطمینان یا هر سه با هم وجود دارد، مردم فلج می شوند. چنین موقعیت هایی اغلب اتفاق می افتد و افراد را در انتخاب راه درست دچار تردید می کند.

نورمن کرومبرگ، مدیر عامل شرکت خدمات امنیت سایبری NetSPI، تیمی را دیده است که به نقطه‌ای رسیده است که همه چیز متوقف می‌شود. او یکی از مدیران ارشد شرکتی بود که پس از شناسایی فعالیت های مخرب داخلی، این حادثه را اعلام کرد. تیم وی در واکنش به این حادثه حدود دو هفته با تمام سرعت کار می کرد، در حالی که تیم های انتظامی، پزشکی قانونی، حسابداران و شرکت بیمه درگیر بودند. سپس تیم او به مانعی برخورد کرد و کاملا متوقف شد.

او می‌گوید: «در تماس‌های وضعیت، ما می‌شنویم که مردم به شدت با یکدیگر صحبت می‌کنند. کرومبرگ معتقد است که خستگی و فشار ناشی از این شرایط باعث توقف تیم شد تا امکان پیشبرد روند ریکاوری وجود نداشته باشد.

چگونه از خود در برابر فلج محافظت کنیم؟

وقتی تیم کرومبرگ متوقف شد، او پس از بررسی دلایل از همه خواست به خانه بروند. کرومبرگ می‌گوید: «ما به نقطه‌ای رسیدیم که تصمیم گرفتیم تعطیلات آخر هفته را داشته باشیم، و این شامل تیم خودمان، تأمین‌کنندگان، تیم حقوقی و گروه اجرایی بود». بعد از این تعطیلات، هفته را با انرژی جدید شروع کردیم.» او می گوید: «این خاموشی باعث شد مردم به سرعت به سمت حرکت بروند.» کرومبرگ می گوید: «این تجربه به من آموخت که برای چنین لحظاتی در آینده برنامه ریزی کنم. ما معتقدیم که اطلاعات ارشد مدیران امنیتی باید این روش را اتخاذ کنند و از مانورهای مختلف برای به حداقل رساندن احتمال فلج کردن تیم استفاده کنند.”

ابتدا به اصول اولیه بپردازید. به گفته فیلیپ چان، استادیار دانشکده فناوری اطلاعات و امنیت سایبری: «مدیران ارشد امنیت اطلاعات می‌توانند با توسعه طرح‌های واکنش به حادثه، آموزش تیم‌های واکنش به حادثه، شبیه‌سازی منظم حوادث، تشویق گفت‌وگوی باز، استقرار با زنجیره‌ای از فرماندهی روشن کمک کنند. یک استراتژی مدیریت دقیق خطرات و حوادث مانع از فلج شدن افراد می شود.» کارشناسان امنیت سایبری می گویند: «پس از این مرحله، مدیران ارشد امنیت اطلاعات باید مانورها را بررسی و به طور مرتب اجرا کنند.» سپس عناصر لازم را به آن مانورها اضافه کنند تا مردم را برای حوادث واقعی آماده کنند. “

برای موقعیت های غیر منتظره آماده شوید

مک کیون می‌گوید: «عناصر جدیدی را اضافه کنید که در طرح اولیه‌تان نبود. به عنوان مثال، از یک کارمند بخواهید که عمداً یک حرکت اشتباه در طول یک مانور انجام دهد، مانند خاموش کردن یک سیستم بحرانی، تا تیم بتواند تجربه کار در شرایط غیرمنتظره را به دست آورد. او می گوید چنین اقداماتی باعث ارتقای چابکی و کار گروهی می شود و به رسیدگی به اتهامات و اختلافاتی که در مواقع بحران به وجود می آید و مانع پیشرفت گروه می شود، کمک می کند. یک بار، پس از یک جشن کوتاه ظهر، کرومبرگ یک مانور اعلام نشده آغاز کرد. او می‌دانست که هکرها حملات خود را در مواقعی که سازمان‌ها آسیب‌پذیرترین هستند، انجام می‌دهند. در نتیجه سعی کرد تیمش را برای چنین شرایطی آماده کند. افراد او باید یاد می گرفتند که چگونه به سرعت رویکرد خود را تغییر دهند و کارها را بدون حضور افراد کلیدی پیش ببرند.

McKeown، Kromberg و دیگران معتقدند که در چنین مانورهای نزدیک به زندگی، حافظه مدیران ارشد امنیت اطلاعات و تیم های آنها تیزتر می شود، زیرا آنها باید از اول شروع کنند (مانند هشدارهای اولیه) و سناریوهای لازم را با شبیه سازی انجام دهند. تمرینات ، عملکرد (نه با تمرینات آموزشی و نظری). هیوز، بنیانگذار و مدیر ارشد امنیت اطلاعات Aquia، که در ارائه خدمات حرفه ای امنیت سایبری و خدمات ابری تخصص دارد، می گوید: “وقتی واقعاً دست به کار شوید و مجبور به انجام کاری شوید، وضعیت بسیار متفاوت و ملموس تر می شود.”

برای مانورها از شمارش معکوس استفاده کنید

اسکودیس می گوید: «از شمارش معکوس برای مانورها استفاده می کند. این به تیم او اجازه می دهد تا تحت فشار شدیدی که در رویدادهای واقعی احساس می شود، عادت کنند. به گفته وی: فعالیت در چنین شرایطی ناخوشایند است اما به تقویت حافظه کمک می کند. CIOها تشویق می شوند تا حد امکان مدیران اجرایی، سایر بخش ها و افرادی را که با تیم های امنیتی، فناوری اطلاعات و واکنش به حوادث کار می کنند در این تمرین ها بگنجانند تا تعیین کنند که آیا احتمال دارد فلج شوند یا خیر. کرومبرگ می گوید: «ممکن است در مناطق دیگر نیز فلج وجود داشته باشد. برای مثال، ممکن است مجری نتواند تصمیم درستی در مورد انتخاب اطلاعات مالی مورد نیاز خود در زمان وقوع حادثه بگیرد.

به گفته توماس راندال، مشاور ارشد در Info-Tech Research و بخش بررسی نرم افزار آن: “مدیران فناوری اطلاعات باید در نظر بگیرند که چه کانال های ارتباطی را می توان در شرایط بحرانی ایجاد کرد تا به پیشبرد راه حل ها کمک کند.” “پاسخ های انسانی به بحران ها فقط شامل نمی شود.” رندل می‌گوید جنگ یا فرار، اما چاپلوسی (زمانی که مردم بیش از حد مفید هستند). این چاپلوسی می تواند باعث افزایش آرامش و ایجاد راه حل های خلاقانه شود. راندال توصیه می‌کند مطمئن شوید که همکارانتان خونسردی برای ارائه راه‌حل مناسب حتی در موقعیت‌های پرفشار دارند.

ایجاد فرصت برای ارائه راه حل های خلاقانه

در شرایط بحرانی واقعی، مردم ممکن است زمان زیادی برای ایده نداشته باشند، اما همچنان لازم است کانال هایی برای ارائه و ارزیابی وضعیت وجود داشته باشد، زیرا این راه حل ها می توانند به غلبه بر موانع کمک کنند.

راه دیگر برای مقابله با کند کردن پیشرفت تیم واکنش به حوادث، استخدام کارمندانی است که تجربه برخورد با هک‌ها و هک‌های واقعی را دارند، یا با تیم‌های واکنش خارجی خارجی که این کار را به طور منظم انجام می‌دهند، شریک شوید.

هارپر معتقد است که مدیران امنیتی نباید ارزش چنین تجربیاتی را دست کم بگیرند. او می‌گوید: «افراد با تجربه در موقعیت‌های بحرانی ذهن آماده‌تری دارند که به آنها کمک می‌کند خونسردی خود را حفظ کنند و دیگران را در موقعیت‌های سخت راهنمایی کنند.

منبع: csoonline

بولتن امنیتی 14011201

نسخه Frost Security Awareness Bulletin 14011201

در این شماره علاوه بر بررسی مهم‌ترین اخبار سایبری ایران و جهان، از جدیدترین آسیب‌پذیری‌ها و افزایش آگاهی‌های امنیتی مدیران رده بالا از جدیدترین تیم‌های امنیتی نیز خبر دادیم.
می توانید به خواندن این مجله ادامه دهید.

نمایش تمام صفحه

window.df_option_53945 = {“منبع”:”https://www.faraasat.com/wp-content/uploads/2023/02/Newsletter-No.14011201.pdf”،”height”: “2500”، “showDownloadControl”:false,”slug”:”faraasat14011201″،”id”:53945}; if(window.DEARPDF && window.DEARPDF.parseElements){window.DEARPDF.parseElements();}

 

window.df_option_53945 = {“منبع”:”https://www.faraasat.com/wp-content/uploads/2023/02/Newsletter-No.14011201.pdf”،”height”: “2500”، “showDownloadControl”:false,”slug”:”faraasat14011201″،”id”:53945}; if(window.DEARPDF && window.DEARPDF.parseElements){window.DEARPDF.parseElements();}

خبرنامه فراست آماده عقد قرارداد تولید خبرنامه اختصاصی با آرم و محتوای اختصاصی سازمان ها می باشد. در این زمینه می توانید به صورت 24 ساعته از طریق فرم تماس با ما و یا با شماره 02191005419 در ساعات اداری درخواست خود را ارسال نمایید تا کارشناسان ما مشاوران شما در این زمینه باشند.

 

چگونه یک پلتفرم تحلیل امنیتی انتخاب کنیم؟

کارشناسان فناوری اطلاعات از ابزارهای مختلفی برای جمع آوری اطلاعات مفید و به موقع درباره مهاجمان و اجرای روش های پیشگیرانه برای مقابله با حملات سایبری مختلف و پیشرفته استفاده می کنند. یک پلت فرم تجزیه و تحلیل امنیتی یکی از ابزارهای کلیدی برای کمک به تیم های امنیت سایبری است.

در این مقاله شما را با این ابزارها، اهمیت آنها، کاری که انجام می دهند، نحوه ارزیابی آنها و لیست محصولات مفید در این زمینه آشنا می کنیم.

پلتفرم تحلیل امنیتی چیست؟

پلتفرم های ساده تحلیل تهدید امنیت سایبری از ابزارهای نظارت بر ترافیک شبکه و تجزیه و تحلیل رویداد استفاده می کنند که از طریق خطوط لوله به اجزای شبکه متصل می شوند. این فناوری ترافیک شبکه را که از دستگاه‌های مختلف عبور می‌کند بررسی می‌کند و داده‌های ترافیک را جمع‌آوری می‌کند و آن را با قوانین و سایر پارامترهای ذخیره شده در سیستم مقایسه می‌کند. اگر بسته‌های داده مشکوک شناسایی شوند، ابزار از طریق پیام‌ها و هشدارهای داشبورد سیستم، ناهنجاری‌ها را علامت‌گذاری می‌کند.

سطح بعدی تجزیه و تحلیل امنیت سایبری، SIEM[1] از الگوریتم های قدرتمند و ابزارهای دیگر برای ارزیابی ترافیک مشکوک تا حد امکان استفاده می کند. سیستم های SIEM توصیه هایی را بر اساس پیام های برنامه ریزی شده ارائه شده توسط تجزیه و تحلیل ترافیک ارائه می کنند. پلت فرم تحلیل امنیتی در بالاترین سطح ابزارهای ارزیابی تهدیدات سایبری قرار دارد. این ابزارها از هوش مصنوعی و یادگیری ماشینی، وظایف دیگری مانند تحلیل رفتار کاربر (UEBA[2]) برای تحلیلگران امنیت سایبری اطلاعات بیشتری در مورد رفتار تهدیدها و منابع آنها و همچنین اقدامات بعدی که تهدید ممکن است انجام دهد. علاوه بر این، پلتفرم های تحلیل امنیتی مبتنی بر تحلیل رفتار نیز توصیه هایی مانند اقدامات لازم برای کاهش سطح حمله و کاهش شدت رویداد در صورت وقوع حمله را ارائه می دهند.

اتصال ابزارهای تحلیل امنیت سایبری تقریباً به هر دستگاه شبکه امکان پذیر است. در شکل 1، این دستگاه ها به فایروال، روتر و سوئیچ شبکه متصل شده اند. این ابزارها می توانند برای نظارت بر ترافیک و پرچم گذاری ناهنجاری ها بر اساس پایگاه داده داخلی مسیرهای حمله برنامه ریزی شوند. به دلیل نیاز به فرآیندهای مدیریت حادثه و داده های بیشتر، سیستم SIEM را می توان به عنوان یک لایه در بالای سیستم اصلی قرار داد.

اگر شدت و تعداد حملات افزایش یابد، می توان پلتفرم تحلیل امنیتی را اضافه کرد. ابزار تجزیه و تحلیل امنیتی اطلاعات را از دو لایه دیگر جمع آوری می کند و تجزیه و تحلیل های پیشرفته تری را با استفاده از هوش مصنوعی برای کاوش داده ها و ایجاد توصیه ها و بینش های دقیق تر انجام می دهد. بسیاری از محصولات موجود در بازار ترکیبی از سه سطح تحلیل امنیتی را ارائه می دهند.

اهمیت ابزارهای تحلیل امنیتی چیست؟

مدیریت امنیت سایبری مانند یک بازی مداوم گربه و موش است. توسعه دهندگان نرم افزار دائما در تلاش برای شناسایی مهاجمان جدید و کد برای ارائه اقدامات متقابل هستند. در همان زمان، مهاجمان به طور مداوم در حال توسعه بدافزارهای جدید و تکنیک های کد مخرب برای دور زدن فایروال ها و سایر مکانیسم های دفاعی شبکه و آسیب رساندن به داده ها، سیستم ها و شبکه های داخلی هستند.

حفاظت از داده های تجاری ارزشمند و حیاتی و همچنین اطلاعات شخصی و هویتی ضروری است. سرمایه گذاری در یک پلتفرم تحلیلی قوی امنیت سایبری یکی از مهم ترین هزینه های فناوری اطلاعات در سال 2023 و پس از آن است. برای کسب و کارهای کوچک، هزینه ابزار تحلیل امنیتی می تواند بازدارنده باشد، اما سازمان های بزرگ نباید بدون چنین ابزارهایی به فعالیت خود ادامه دهند.

برنامه های پلت فرم تجزیه و تحلیل امنیتی

ابزارهای تحلیل امنیتی برای جلوگیری از حملات سایبری طراحی شده اند. این ابزارها با استفاده از موتورهای تجزیه و تحلیل مبتنی بر هوش مصنوعی، داده های امنیت شبکه را با جزئیات بسیار مورد بررسی قرار می دهند. یکی از مهمترین کارکردهای این ابزارها تحلیل رفتار است که داده های رویداد را در شرایط مختلف برای شناسایی موارد زیر بررسی می کند:

  • الگوهای خاص مشاهده شده در نحوه انجام حملات.
  • منابع و روش های حمله که هدف قرار می گیرند؛
  • ردپایی را که پس از حمله وجود دارد شناسایی کنید و می تواند اطلاعات بیشتری در مورد مهاجم ارائه دهد.

پلتفرم های تجزیه و تحلیل امنیتی از هوش مصنوعی برای ارائه توصیه هایی برای اصلاح دستگاه ها و سیستم های آسیب پذیر و جلوگیری از حملات آینده استفاده می کنند.

سایر کارهایی که پلتفرم های تجزیه و تحلیل امنیتی می توانند انجام دهند عبارتند از:

  • اسکن و ارزیابی آسیب پذیری
  • تست نفوذ و شکار تهدید
  • فعالیت های واکنش به حوادث سایبری
  • ارزیابی انطباق با استانداردها و قوانین
  • تشخیص و پاسخ نقطه پایانی

چگونه یک پلت فرم تحلیل امنیتی موثر انتخاب کنیم؟

سازمان‌های بزرگ معمولاً از فناوری برای پیشگیری، شناسایی و واکنش به حوادث سایبری استفاده می‌کنند. سازمان‌هایی با ابزارهای تحلیل امنیتی ساده ممکن است بخواهند بر اساس تعداد و شدت حملاتی که آنها را هدف قرار می‌دهند، به گزینه‌های قدرتمندتری ارتقا دهند.

توصیه می شود از پلتفرمی استفاده کنید که به عملکردهای ساده مجهز باشد و به راحتی بتواند اجزای قدرتمندتری را اضافه کند. این امکان وجود دارد که جابجایی بین محصولات شرکت های مختلف، آشنایی شما را با ابزار مورد نظر دشوار کند. همانند سایر سرمایه گذاری های فناوری اطلاعات، باید در این زمینه اقدامات زیر را انجام دهید:

  1. شرایط را مشخص کنید. به عنوان مثال، آیا نیازی به ارتقاء سیستم موجود است؟
  2. در مورد نیاز به توسعه ابزار تجزیه و تحلیل امنیتی با تیم مدیریت بحث کنید و تأییدیه و بودجه دریافت کنید.
  3. در مورد بازار و محصولات و خدمات موجود تحقیق کنید. مدل استقرار (در محل، ابر یا سرویس مدیریت شده) را انتخاب کنید.
  4. گزینه های نامزدی را انتخاب کنید که شامل محصولات انعطاف پذیر، مطابق با استانداردها و قابل ادغام در زیرساخت های موجود باشد.
  5. گزینه ها را بر اساس قیمت مرور کنید. محصولات معمولاً بر اساس میزان داده هایی که در ماه تجزیه و تحلیل می کنند، ساختار قیمت گذاری انعطاف پذیری دارند. برخی از محصولات دارای هزینه اولیه همراه با هزینه های نگهداری و استفاده هستند.
  6. قابلیت های یک سیستم نامزد را بر اساس نیازهای فعلی و پیش بینی شده خود ارزیابی کنید.
  7. از نیازهای آموزشی احتمالی کارکنان خود آگاه باشید و از فروشنده بپرسید که آیا آموزش ارائه می دهند یا خیر.
  8. میزان داده ها و گزارش هایی که در داشبورد مورد نظر نمایش داده می شود را بررسی کنید.
  9. سطح تجزیه و تحلیلی که محصول انجام می دهد، نوع گزارش های تولید شده و سایر قابلیت هایی که می تواند ارزش افزوده داشته باشد را در نظر بگیرید.
  10. تعیین کنید که کاربران چگونه می توانند با سیستم ها، به ویژه سیستم هایی که مبتنی بر ابر هستند، تعامل داشته باشند.
  11. سایر خدمات ارائه شده توسط فروشنده، مانند تست نفوذ و آسیب‌پذیری، پشتیبانی از واکنش حوادث، و کمک در توسعه یک طرح امنیت سایبری را کاوش کنید.
  12. به دنبال خدماتی باشید که مطابقت محصول انتخاب شده را با استانداردهای امنیت سایبری ارزیابی می کند.
  13. از چرخه عمر توسعه سیستم ها در مراحل برنامه ریزی و اجرا استفاده کنید.
  14. آموزش ها و مستندات ارائه شده همراه با استقرار سیستم و پشتیبانی از تست پذیرش را کاوش کنید.

در اینجا 10 پلتفرم تحت حفاظت آورده شده است

به سازمان هایی که قصد دارند توانایی خود را برای شناسایی و مقابله با انواع حوادث سایبری به حداکثر برسانند، توصیه می شود از ابزار تحلیل امنیتی استفاده کنند. این ابزارها معمولاً قابلیت‌های SIEM و مدیریت گزارش رویداد را در یک پلتفرم امنیتی واحد با قابلیت‌های تجزیه و تحلیل امنیتی اضافی اضافه می‌کنند.

ابزارهای تحلیل امنیتی بیشترین قابلیت تحلیل و گزارش گیری را دارند اما با بالاترین هزینه. ابزار مناسب نظارت بیشتر شبکه را امکان پذیر می کند و زمان تلف شده و تشخیص های نادرست را به حداقل می رساند.

10 ابزار و پلتفرم امنیت سایبری که دارای قابلیت تجزیه و تحلیل امنیتی هستند عبارتند از:

  1. Splunk Enterprise Security سکو SIEM که دارای بسیاری از ویژگی های پیشرفته است. این ابزار با نسخه سازمانی Splunk و همچنین Splunk Cloud Platform ارائه می شود.
    • مزایا: سیستم قدرتمند، داشبورد و عملکردهای مختلف
    • معایب: دشواری و پیچیدگی در یادگیری کار با ابزار
  2. SolarWinds Security Event Management Tool که نرم افزار SIEM است.
    • مزایا: جمع آوری داده های کارآمد، گزارش های جامع و داشبورد
    • معایب: دشواری و پیچیدگی در یادگیری کار با ابزار
  3. IBM Security Guardium یک پلت فرم حفاظت از داده که برای شبکه های بزرگ سازمانی طراحی شده است.
    • مزایا: تجزیه و تحلیل امنیتی، داشبورد، و قابلیت نظارت بر مقررات و انطباق
    • معایب: دشواری و پیچیدگی در یادگیری کار با ابزار
  4. LogRhythm SIEM سکو SIEM که دارای لایه تحلیل امنیتی است.
    • مزایا: تجزیه و تحلیل پیشرفته، داشبورد
    • معایب: سختی و پیچیدگی در آموزش ابزار، فرآیند ارتقا
  5. Securonix نسل بعدی SIEM که مجهز به امکانات پیشرفته از جمله قابلیت تحلیل امنیتی می باشد
    • مزایا: پشتیبانی از تجزیه و تحلیل امنیتی، داشبورد، گزارش
    • معایب: مشخص نشده است
  6. Exabeam Fusion سکو SIEM با ویژگی های پیشرفته از جمله تجزیه و تحلیل امنیتی
    • مزایا: قابلیت تجزیه و تحلیل امنیتی، با نسخه ابری و داخلی
    • معایب: مشخص نشده است
  7. ابزار پیشرفته حفاظت از تهدید Azure Microsoft ([1]ATP) این ابزار پیشرفته تجزیه و تحلیل تهدید و پلتفرم مبتنی بر ابر و در محل را با قابلیت های تجزیه و تحلیل امنیتی پیشرفته جایگزین می کند که امکان تجزیه و تحلیل و بررسی سرتاسر ناهنجاری های امنیتی را فراهم می کند.
    • مزایا: قابلیت های تجزیه و تحلیل امنیتی، برنامه های کاربردی سازمانی، قابلیت استقرار درون محل و ابر، رسیدگی به مسائل نقطه پایانی با استفاده از Windows Defender ATP
    • معایب: سختی و پیچیدگی آموزش ابزار، فرآیند ارتقا، هزینه های اضافی
  8. Sumo Logic Platform با Cloud SIEM و Cloud SOAR یک پلتفرم ابری با قابلیت های SIEM و هماهنگی، اتوماسیون و پاسخگویی امنیتی است.
    • مزایا: قابلیت تجزیه و تحلیل امنیتی، مقیاس پذیری، گزارش
    • معایب: مشخص نشده است
  9. تحلیل رفتاری فورسپوینت پلتفرمی که شامل WEBA وجود دارد
    • مزایا: قابلیت تجزیه و تحلیل امنیتی پیشرفته
    • معایب: مشخص نشده است
  10. Rapid7 InsightIDR سکو SIEM زیر ابر فرصت WEBA
    • مزایا: تجزیه و تحلیل امنیتی، داشبورد و قابلیت های گزارش
    • معایب: مشخص نشده است
  11. نماسیس حرفه ای یک پلت فرم قدرتمند و منعطف برای پیکربندی اسکن با ارزیابی امنیتی و گزارش های مختلف
    • مزایا: دارایی های نامحدود را اسکن می کند، طیف وسیعی از آدرس های IP را برای اسکن با استفاده از گزینه اسکن کشف میزبان، اسکن احراز هویت SNMP، اسکن احراز هویت SMB، اسکن احراز هویت SSH، اسکن احراز هویت ESXi ارائه می دهد، انواع مختلفی از اسکنرهای شبکه مانند TCP، WMI را انجام می دهد. UDP، SSH، SNMP، HTTP، SMB و LDAP، ارائه داشبوردهای مبتنی بر CVSS و گزارش‌های دقیق آسیب‌پذیری، ارائه داشبوردهای تعاملی و نماهای شبکه تخصصی در یک رابط کاربری قدرتمند از طریق پیکربندی با کشیدن و رها کردن با داده‌های بلادرنگ، ارائه ریسک مشترک سناریو برای هر کار، توانایی ردیابی سریع ارزیابی انطباق شبکه و زیرساخت بر اساس استانداردهای صنعت و PCI DSS، شناسایی شکاف‌های امنیتی زیرساخت شبکه، شناسایی و اولویت‌بندی ریسک، ایجاد گزارش‌های آسیب‌پذیری بر اساس گزینه‌های مختلف. و مانند CVSS، پلاگین ها، پورت ها را اسکن کنید، گزارش ها را با تیم یا سازمان خود با ایجاد گزارش ها در قالب های مختلف به اشتراک بگذارید (به عنوان مثال. CSV، PDF، TXT، XML، فرمت انطباق)

[1] حفاظت از تهدیدات پیشرفته

[1] اطلاعات امنیتی و مدیریت رویداد

[2] تجزیه و تحلیل رفتار موجودیت کاربر

منبع: techtarget

توصیه های امنیتی سیسکو برای تعدادی از محصولات موجود

خلاصه

سیسکو اخیراً توصیه‌های امنیتی برای رفع آسیب‌پذیری‌ها در ISE، Prime Infrastructure و IOS XE ارائه کرده است.

جزئیات تهدید

سیسکو به‌روزرسانی‌های امنیتی را برای رفع آسیب‌پذیری‌های چندین محصول منتشر کرد. از جمله آسیب‌پذیری تزریق فرمان در نرم‌افزار Cisco IOS XE کد CVE-2023-20076. این آسیب‌پذیری دستگاه‌های Cisco را تحت تأثیر قرار می‌دهد که از نرم‌افزار Cisco IOS XE استفاده می‌کنند و ویژگی Cisco IOx را فعال کرده‌اند و از Docker بومی پشتیبانی نمی‌کنند. یک مهاجم از راه دور احراز هویت شده که از این آسیب‌پذیری سوء استفاده می‌کند، می‌تواند دستورات دلخواه را با دسترسی ریشه در سیستم عامل میزبان اصلی اجرا کند. در مقایسه با چهار به‌روزرسانی دیگر سیسکو، این به‌روزرسانی بیشترین تأثیر را در رفع این آسیب‌پذیری دارد.

چهار به‌روزرسانی دیگر با تأثیر متوسط، شش آسیب‌پذیری مربوط به Cisco ISE، Prime Infrastructure و روترهای RV را بررسی می‌کنند. یک مهاجم غیرمجاز از راه دور می تواند از برخی از این آسیب پذیری ها برای به دست آوردن کنترل سیستم آسیب دیده سوء استفاده کند.

روترهای Cisco RV340، RV340W، RV345 و RV345P Dual WAN Gigabit VPN به پایان عمر خود نزدیک می شوند. سیسکو برای روترهای کسب و کار کوچک سری RV خود توصیه‌ای صادر کرده است و می‌گوید هیچ به‌روزرسانی نرم‌افزاری برای رفع آسیب‌پذیری‌ها ارائه نمی‌کند، زیرا روترها به پایان عمر خود می‌رسند. به سازمان‌های آسیب‌دیده توصیه می‌شود به اطلاعیه‌های پایان عمر روتر Cisco RV340، RV340W، RV345 و RV345P Dual WAN Gigabit VPN مراجعه کنند.

پلتفرم های تحت تأثیر

پلتفرم های زیر تحت تأثیر قرار می گیرند:

  • سیسکو IOS XE

CVE-2023-20076 بر دستگاه‌های Cisco که از نرم‌افزار Cisco IOS XE استفاده می‌کنند که ویژگی Cisco IOx را فعال کرده‌اند و از Docker بومی پشتیبانی نمی‌کنند، تأثیر می‌گذارد.

  • Cisco Prime Infrastructure (PI)

نسخه ها: همه قبل از 3.10.3

  • سیسکو ISE

نسخه ها: همه قبل از 3.2 Patch1

  • فایروال VPN سری RV Cisco

نسخه ها: RV340، RV340W، RV345، RV345P

 

آسیب پذیری تزریق کد بحرانی در دستگاه های QNAP

خلاصه

توصیه QNAP [1] کد آسیب پذیری بحرانی CVE-2022-27956 منتشر شد. این آسیب پذیری به مهاجمان راه دور اجازه می داد تا کدهای مخرب را به دستگاه های QNAP NAS تزریق کنند.

جزییات فنی

آسیب پذیری CVE-2022-27956 با امتیاز CVSS 9.8 از 10 به دلیل نقص تزریق SQL ایجاد می شود. با استفاده از این آسیب‌پذیری، مهاجمان می‌توانند درخواست‌های ساخته‌شده ویژه‌ای را به دستگاه‌های آسیب‌پذیر ارسال کنند تا رفتارهای غیرمنتظره، به‌ویژه اجرای کدهای مخرب ایجاد کنند.

محصولات تحت تأثیر

این آسیب پذیری نسخه های زیر سیستم عامل QNAP را تحت تأثیر قرار می دهد:

  • QTS نسخه 0.1
  • QutS hero h نسخه 0.1

توصیه ها

توصیه می شود در مشاوره خود از روش به روز رسانی منتشر شده توسط تیم QNAP پیروی کنید [1].

منبع: qnap

تصاویر پس زمینه مارس 1401

امروزه آگاهی از امنیت و آموزش امنیت یکی از مهم ترین موضوعاتی است که در هر سازمانی می توان به آن پرداخت. با توجه به اهمیت حفظ داده ها و اطلاعات، لازم است با افزایش آگاهی کارکنان نسبت به مسائل امنیتی در جهت ارتقای امنیت سایبری در سازمان و همچنین در جامعه گام برداشت.

پارس ایوان در راستای اهداف خود مبنی بر ایجاد آگاهی های امنیتی برای عموم مردم همواره در راستای ایجاد محتوای آموزشی امنیت سایبری تلاش کرده است.

در همین راستا تصاویر پس زمینه با موضوع امنیتی با تقویم اسفند 1401 توسط این شرکت تولید و آماده شده است.

می توانید از این تصاویر برای پس زمینه رایانه شخصی و تبلت و سیستم های سازمان خود استفاده کنید.

این تصاویر با رزولوشن های مختلف و حاوی نکات امنیتی با ظاهری بسیار ساده و در عین حال زیبا می توانند برای ایجاد فرهنگ امنیت سایبری برای کارکنان سازمان مورد استفاده قرار گیرند.

  • اندازه تصاویری را که می خواهید دانلود کنید از دکمه های زیر انتخاب کنید: مارس




دانلود والپیپر سایز 2560*1440




دانلود والپیپر با ابعاد 1024*768

مهاجمان اطلاعات 37 میلیون مشتری T-Mobile را با استفاده از API سرقت کردند

T-Mobile تایید کرده است که یک هکر از طریق یک API به اطلاعات شخصی و حساب های ده ها میلیون مشتری دسترسی پیدا کرده است. این اپراتور تلفن همراه آمریکایی در پرونده ای که دیروز در کمیسیون بورس و اوراق بهادار ایالات متحده ثبت کرد توضیح داد که این حمله در تاریخ 25 نوامبر 2022 یا حوالی آن رخ داده است، اما تا 5 ژانویه 2023 شناسایی نشده بود که پس از آن زمان T-Mobile این حمله را متوقف کرد. حمله در عرض یک روز

نام مشتری، فاکتورها، آدرس ایمیل، شماره تلفن، تاریخ تولد، شماره حساب T-Mobile و اطلاعاتی مانند خطوط حساب کاربری و جزئیات اشتراک از جمله اطلاعات فاش شده است. T-Mobile سعی کرد اهمیت این نقض را کم اهمیت جلوه دهد و گفت که تقریباً تمام داده های لو رفته داده هایی هستند که به طور گسترده در پایگاه های داده بازاریابی در دسترس هستند.

چنین گفته ای کاملا درست نیست، زیرا با این حجم از اطلاعات منتشر شده در مورد هر مشتری، کلاهبرداران می توانند یک پروفایل کامل برای هر فرد ایجاد کنند و از این پروفایل ها برای فیشینگ و سرقت هویت استفاده کنند. T-Mobile در بیانیه خود اعلام کرد: هیچ یک از رمز عبور افراد، اطلاعات کارت بانکی، شماره ملی، شماره شناسایی دولتی یا سایر اطلاعات اقتصادی فاش نشد.

این شرکت می‌گوید: «سیاست‌ها و سیستم‌های ما برای جلوگیری از دسترسی به حساس‌ترین اطلاعات مشتری وجود دارد. بنابراین، این رویداد نباید مستقیماً حساب و مالی مشتریان را تهدید کند. همچنین هیچ مدرکی مبنی بر نفوذ مهاجمان به سیستم یا شبکه T-Mobile وجود ندارد.”

هنوز مشخص نیست که مهاجمان دقیقاً از چه نقص API استفاده کرده‌اند یا چرا یک ماه و نیم طول کشیده تا این نقض کشف شود. به گفته کارشناسان امنیتی: “سازمان ها باید به طور منظم سیستم ها، سیاست ها و قابلیت های امنیتی خود را بررسی کنند و برنامه های واکنش به حوادث را در اختیار داشته باشند.”

محققان می‌گویند: «از آنجایی که سازمان‌ها تلاش می‌کنند تا تلاش‌های خود را برای تبدیل دیجیتالی تسریع کنند و استفاده از APIها را افزایش دهند، ضروری است که از تخصص و ابزار مناسب برای محافظت از داده‌های حساس خود استفاده کنند.» “دسترسی غیرمجاز از طریق تنها یک API می تواند منجر به نقض قابل توجه داده شود.”

منبع: infosecurity-magazine