آرشیو نویسنده

با Prevalence یا شیوع چه کار باید کرد

floppies

 

ما در آزمایشگاه های F-Secure از کلمه “prevalence” زیاد استفاده می کنیم. اما prevalence یا شیوع به چه معناست؟

شیوع یا نفوذ یک فایل اجرایی، براساس تعداد دفعاتی تعریف می شود که آن فایل در میان کل زیرساخت مشتری دیده شود. تمایل فایل های اجرایی مخرب این است که به ندرت ظهور کنند، اما در همان زمان نیز طولانی زندگی کنند و به سرعت بمیرند، بنابراین تعداد دفعاتی که یک باینری دیده می شود، می تواند نشانه ای از ظهور آن باشد. از آنجایی که تکنولوژی های محافظتی ما به Cloud متصلند و از آن نیز استفاده می کنند، لذا بدست آوردن میزان Prevalence ها ساده است.

برای درک اینکه چرا فایل های اجرایی مخرب، نادر و کمیاب هستند، لازم است سفری به گذشته داشته باشیم.

خیلی از اولین ویروس ها، به واقع اصلا مخرب نبودند. این ویروس ها توسط هکرهایی نوشته شده بودند که صرفا می خواستند Leet Skillz  شان را نشان دهند. (Leet Skillz یک کد یا زبان غیررسمی که در اینترنت استفاده می شود، و حروف استاندارد را اغلب با حروف یا اعداد مشخصی جایگزین می کند.) اگر دوست دارید برخی از آنها در عمل ببینید، می توانید به موزه مخرب ها یا Malware Museum بروید، جایی که Mikko آنها را گرد هم جمع کرده است.

با گذشت زمان، ویروس های بیشتر و بیشتری ایجاد شدند که هدفشان تنها اجرای فعالیت های مخرب بود. زمانی که تعداد فایل های مخرب در سراسر جهان، به حدی زیاد شد که برای عموم به یک مسئله و مشکل تبدیل شد؛ صنعت AV متولد شد (و در نهایت، واژه ” malware یا بدافزار”،  که ترکیبی از کلمات مخرب (Malicious) و نرم افزار (Software) است، ابداع شد).

 

ادامه مطلب….

نوشته شده در: وبلاگ و اخبار امنیتی سایسک

ارسال دیدگاه (۰) ←

آسیب پذیری های نرم افزارها، کلید وجود مشکلات و صدمه به سیستم های شماست

019_bw

آسیب پذیر بودن نرم افزار یا به عبارتی وجود نقص در آن، می تواند سبب نقض ایمنی، تخریب داده ها و یا سرقت آنها شود. باید مطمئن شوید که این اجازه را به آنها نمی دهید.

در کل سه نوع آسیب پذیری اصلی و پایه ای وجود دارد که می تواند سیستم را برای بروز حملات باز کند: نرم افزارهای قدیمی و تاریخ مصرف گذشته، سیستم هایی که بد و نادرست پیکربندی شده اند، و برنامه های کاربردی تحت وب که ایمن نیستند. اما با وجود این، می توان با مدیریت مناسب این ضعف ها، سطح حملات را تا میزان قابل توجهی کاهش داد.

امروزه خطر نقض ایمنی و تخریب داده، بیشتر از پیش است، طوری که از سال ۲۰۰۶ به بعد، تعداد نرم افزارهای مخرب، هر ساله دوبرابر شده است. به طور متوسط میتوان گفت که هر روزه، حدود ۱۹ آسیب پذیری جدید ظهور می کند (منبع این آمار، پایگاه داده آُسیب پذیری های ملی (National Vulnerability Database) است). پس جای شگفتی نیست که بهترین و موثرترین روش برای نقض ایمنی و تخریب داده های شبکه یک شرکت، استفاده از همین آسیب پذیری یا نقص هاست.

با این حساب، چگونه باید فهمید که کدام نوع از آسیب پذیری ها، ممکن است در کمین سیستم شما باشد؟ به نظر می رسد که بررسی تمام نسخه های نرم افزارهایی که بر روی شبکه در حال اجرا هستند، می تواند تنها کار ممکن باشد. اما به غیر از آن، باید تمام پیکربندی های نادرست و همینطور رمزعبورهای غیرایمنی را که در هر برنامه تحت وب موجود می باشد، پیدا کنید، به علاوه باید تقریبا هر جایی که ممکن است این نواقص و آسیب پذیری ها وجود داشته را بیابید. حال تصور کنید که چندین سیستم، سرور و پلتفرم تحت مدیریت شماست، پس طبیعی است که این کار غیرممکن می شود.

پاسخ به این مشکل، اسکن و مدیریت آسیب پذیری ها یا نواقص است.

اما این نکته نیز وجود دارد که تنها یک بار اسکن کردن، یک تعمیر سریع یا به عبارتی راه حلی فوری است، و نمی توان خیلی روی آن حساب کرد. بلکه شما باید به طور دوره ای و منظم کار اسکن را انجام دهید. اما مشکل دیگر این است که شناسایی حتی تعداد زیاد آسیب پذیری ها خیلی مهم نیست، مگر اینکه بتوانید آنها را تعمیر کنید. پس وجود یک برنامه مدیریت آسیب پذیری ها، برای حفظ امنیت سیستم های حیاتی، ضروری است.

حال از کجا باید شروع کرد؟

تصور کنید که قصد دارید در محل کار خود، سیستم امنیتی فیزیکی مستقر کنید؛ یعنی برای درها، پنجره ها و هر نقطه ورودی دیگری که از همه واضح تر است، ایمنی ایجاد کنید. خوب طبیعی است که در این مواقع برای شروع، باید تعداد درها و پنجره ها و همینطور محل آنها را پیدا کنید، حتی تعداد درهای پشتی، یا پنجره های روی بام و حتی ورودی کوچک زیرزمین. حال می خواهیم چنین کاری را بر روی نرم افزار پیاده کنیم، اولین مرحله پیدا کردن دارایی ها و چیزهای باارزشی است که بر روی سیستم خود دارید. پس باید نقشه کل شبکه و دارایی های آن را بیابید؛ یعنی سرورها، دسکتاپ ها، روترها، پرینترها، و هر چیز باارزش دیگری که در هر جایی به شبکه متصل است.

ادامه مطلب…

نوشته شده در: وبلاگ و اخبار امنیتی سایسک

ارسال دیدگاه (۰) ←

موزه بدافزارها: بازدید از ویروس های رترو در مرورگر

2016-06-09_10-27-04

آینده ای ناامیدکننده خواهیم داشت: ویروس های کامپیوتری جدید مهمل و مزخرف هستند. کمی به گذشته فکر کنید، به زمانی که تا چشم کار می کرد درخت می دید، در آن زمان ویروس های کامپیوتری صرفا صداها و انیمیشن های احمقانه و بچگانه تولید می کردند، در حالی که مشغول پاک کردن فایل هایتان بودند. امروزه ویروس ها بی صدا وارد وبکمتان می شوند، رمزعبورهایتان را می دزدند، از سیستم هایتان برای Bitcoins خود استفاده می کنند و سرورهای آفلاین بازی ها را بدست می گیرند.

امروزه می توانید با یک بازدید مجازی از The Malware Museum یا موزه بدافزارها، برخی از ویروس های لوکس و قدیمی را ملاقات کنید. در واقع این موزه مجموعه ای از ویروس ها و بدافزاهای مربوط به دهه ۸۰ و ۹۰ است که اکنون در حالت امن بر روی مرورگرتان اجرا می شوند؛ به عبارت دقیق تر شما آنها را به صورت تعداد زیادی انمییشن های رنگارنگ، موسیقی های bleepy و حتی پیام های “خوش آمدگویی” می بینید.

ادامه مطلب…

نوشته شده در: وبلاگ و اخبار امنیتی سایسک

ارسال دیدگاه (۰) ←

اتحاد نیروهایEuropol و F-Secure برای مبارزه با جرایم سایبری

ec3_logo_23

 

۲۸م ماه آوریل سال جاری (۲۰۱۶)، مرکز جرایم سایبری شرکت Europol (EC3) با شرکت امنیتی آنلاین F-Secure، در مرکز فرماندهی Europol واقع در شهر لاهه، یک تفاهم نامه (MoU) امضا کردند. شرکت F-Secure حدود ۲۰ شعبه در سراسر کشور دارد، و در بیش از ۱۰۰ کشور مختلف جهان نیز حضور دارد، به علاوه در هلنیسکی فنلاند و کوالالامپور مالزی نیز به آزمایشگاه هایی برای عملیات امنیتی مجهز است. در سراسر جهان، بیش از ۲۰۰ اپراتور و میلیون ها مشتری وجود دارند که از آنتی ویروس های F-Secure و سرویس های امنیتی آن استفاده می کنند. این تفاهم نامه در واقع نوعی مجوز برای افزایش همکاری ها در زمینه مبارزه با رشد مسائل و مشکلات جرایم سایبری است.

مبارزه با چالش های امنیت دیجیتالی امروزه، نیازمند روش های جمعی است؛ روش هایی که مجریان قانون و صاحبان صنایع خصوصی را وادار می کند که با هم و متناسب با یکدیگر کار کنند. در این محیط پیچیده، برخی از شرکت ها روز به روز اهمیت بیشتری پیدا می کنند، و این مسئله به طور ویژه در ارتباط با رشد سریع روند تکامل تکنولوژی هاست. یکی از نقاط قوت و ویژه این تفاهم نامه، امکان تبادل اطلاعات استراتژیکی، تخصصی و آماری مربوط به تهدیدهای سایبری، میان دو شرکت است.

Steven Wilson، سرپرست مرکز اروپایی امنیت سایبری Europol (EC3):

“امضای این تفاوت نامه میان Europol  و F-Secure توانایی ها وقابلیت های ما را بهبود می دهد، به علاوه اثربخشی و کارایی ما را نیز در کمک به اجرای قوانین EU به منظور پیشگیری، پیگیری و برهم زدن جرایم سایبری، بیشتر می کند. کار کردن در چنین محیط مشارکتی و در واقع این مدل همکاری بین مجریان قانون و صاحبان صنایع، موثرترین و بهترین روشی است که در آن می توان به امنیت فضای سایبری برای شهروندان اروپایی و صاحبان کسب و کارها، امیدوار بود.  من مطمئنم که سطح  بالای فنی و تخصصی شرکت F-Secure ، منافع قابل توجهی را برای سرمایه گذاری های گسترده اروپایی ما، بدست خواهد داد. من بابت این همکاری و مشارکت، از آنها سپاسگزارم و مشتاقانه درصدد بهبود و هرچه بهتر شدن این روابط کاری هستم.”

Kimmo Kasslin، سرپرست آزمایشگاه های F-Secure بیان کرده است که:

” ماموریت ما، حفاظت از افراد و کسب و کارها در مقابل تهدیدهای سایبری است، و همکاری با مجریان قانون، یکی از بخش های مهم و ضروری ماموریت ماست. خیلی خوشحالیم که می توانیم اطلاعات مربوط به تهدیدها و جرایم سایبری را در اختیار Europol  قرار دهیم، و به سرمایه گذاری ها و تلاش های قانونی شان در جهت امن تر ساختن فضای آنلاین برای همه، کمک کنیم.”

نوشته شده در: وبلاگ و اخبار امنیتی سایسک

ارسال دیدگاه (۰) ←

برگزاری اجلاس جنگ سایبری ناتو

2c04772cdcfe28f51013d3074203cd142b98838a_1600x1200

به گزارش واحد بین‌الملل سایبربان؛ میکو هیپونن (Mikko Hypponen)، مدیر ارشد تحقیقات شرکت امنیت سایبری فنلاندی «F-Secure»، در جریان اجلاس جنگ سایبری ناتو، اینترنت را پدیده‌ای بدون مرز عنوان کرد و افزود: «با گسترش اینترنت، بشر یک روش جدید برای برپایی جنگ، پیدا کرد؛ جنگ سایبری. این اصطلاح هرچند اغلب به صورت دقیق مورداستفاده قرار نمی‌گیرد، اما شامل حملاتی به منظور جاسوسی یا سرقت می‌شود.»

وی درباره‌ی استفاده‌ی کشورها از سلاح های بهتر به جنگ جهانی دوم اشاره کرد که از اولین رایانه‌ها برای رمزگشایی استفاده می‌شد.

همچنین هیپونن خاطرنشان کرد که قدرت بازدارندگی نشان می‌دهد چه کسی دارای سلاح است و در این مرحله، کشورها ناچار هستند بدانند کشورهای دیگر دارای چه توانایی‌هایی هستند. وی افزود ما باید اعتماد را میان متحدان خود در برابر کسانی که نمی‌توان بر آن‌ها اعتماد داشت، به دست آوریم.

مدیر ارشد تحقیقات شرکت اف-سکیور نقش دولت را تنها امن کردن رایانه‌ها ندانست و تصریح کرد: «دولت باید چیزهایی را که یک رایانه می‌تواند آن‌ها را توانمند کند، امن سازد.» یعنی ابزاری که متصل به رایانه‌ها هستند، در اولویت امن‌سازی توسط دولت‌ها قرار دارند.

منبع: سایبربان نیوز

نوشته شده در: وبلاگ و اخبار امنیتی سایسک

ارسال دیدگاه (۰) ←

گزارش جرایم اینترنتی IC3

این پست، پیرامون گزارش منتشر شده مرکز شکایات جرایم اینترنتی در سال ۲۰۱۵ است، رقمی که تعداد این شکایات را نشان می دهد…. واقعا چشمگیر و قابل توجه است. گزارش جرایم اینترنتی سال ۲۰۱۵ نشان می دهد که در سال ۲۰۱۵، حدود ۲۸۸۰۱۲ رقم شکایت توسط IC3 دریافت شده، و بیش از یک میلیارد دلار نیز از دزدی ها و سرقت های اینترنتی ثبت شده است.

ic3-2015-crime-types

این رقم حاکی از افزایش بی اعتباری کسب و کارهای ایمیلی (BEC)، در معرض خطر بودن حساب های کاربری ایمیلی (EAC) و افزایش ransomware یا باج افزارهاست.

تنها نکته مثبت این خبر، البته اگر بتوان به آن مثبت گفت، این است که براساس مطالعات جمعیت شناختی، به نظر می رسد جرایم اینترنتی مخصوص گروه سنی یا جنسی خاصی نیست، و همه را شامل می شود.

ic3-2015-complainant-demographics

به عبارتی تنها مسئله پول است، اینکه پول چه کسی، اهمیتی ندارد!

نوشته شده در: وبلاگ و اخبار امنیتی سایسک

ارسال دیدگاه (۰) ←

اف سکیور: تشخیص نقض داده ها، نیازمند هوش انسانی و ماشینی است

fsecure-Rapid-Detection-Service

توسعه دهندگان نرم افزاری که بر مبحث امنیت متمرکز هستند، به هر نحوی به ما ابراز می کنند که، همگی ما تا چه حد در معرض خطر هستیم و این حیطه چقدر ناامن است….

“تنها دو نوع شرکت وجود دارد: شرکت هایی که هک شده اند…. و آنهایی که در آینده هک خواهند شد.”

این گفته مربوط به سال ۲۰۱۲ است، و توسط Robert Mueller، مدیر FBI نقل شده است.

اف سکیور نیز حول همین گفته بیان کرده است که، اگر شرکت ها در طی دوره کار طبیعی و نرمال سیستم‌هایشان، هیچ حادثه امنیتی را شاهد نبوده اند، پس این احتمال وجود دارد که چیزی از دست رفته باشد و یا در حال از دست رفتن باشد.

Stack یا پشته IT “آگاه از نقض داده”

اساسا گفته شرکت این است که: برنامه های سیستم های stack یا پشته IT، پیرامون واقعیت ساخته می شوند، و لذا حوادث امنیتی نیز هر روزه و همیشه وجود خواهد داشت.

شرکت F-Secure، به منظور کشف و شناسایی تهدیدهای داخل شبکه، یک سرویس جدید واکنش به حادثه و تشخیص نفوذ، راه اندازی کرده است.

این سرویس مدیریت شده، ترکیبی از هوش انسانی و هوش ماشینی است، و وعده کرده که تنها ظرف مدت نیم ساعت از تشخیص سرقت و تخریب اطلاعات، مشتری را مطلع خواهد کرد.

rds-graph

این شرکت در یک مصاحبه مطبوعاتی بیان کرده است که، “متوسط زمان لازم برای تشخیص تخریب و سرقت داده ها، می تواند هفته ها، ماه ها و یا حتی سال ها طول بکشد. سازمان ها و شرکت ها معمولا نمی توانند در مراحل اولیه، سرقت و تخریب داده ها را تشخیص دهند، حتی می توان گفت که۹۲ درصد از این تخریب‌ها و سرقت‌ها توسط سازمان هایی که مورد حمله قرار گرفته اند، تشخیص داده نمی شود. خیلی از شرکت ها برای محافظت از خودشان، صرفا به یک محیط دفاعی وابسته هستند، البته وجود این محیط نیز حیاتی است، اما به هر حال تنها بخشی از یک استراتژی جامع امنیت سایبری به حساب می آید.”

معاون حفاظت از تهدیدهای پیشرفته شرکت F-Secure توضیح می دهد که، این سرویس جدید شامل سه قسمت عمده است:

  • Endpoint یا نقاط پایانی و سنسورهای تله‌های شبکه، که داده های مربوط به رویدادها و فعالیت ها را جمع آوری می‌کنند؛
  • تجزیه و تحلیل های رفتاری و هوشمندانه تهدیدهای F-Secure، که داده‌ها را به منظور شناسایی ناهنجاری‌ها و اختلالات تجزیه و تحلیل می کند؛ و ….
  • یک مرکز تشخیص سریع، که از یک تیم متشکل از متخصصان امنیت سایبری تشکیل شده و هفت روز هفته، ۲۴ ساعته مشغول کار هستند.

براساس گفته Erka Koivunen ، مشاور امنیت سایبری F-Secure، عامل انسانی فاکتور مهمی به حساب می آید.

وی (Koivunen) افزوده است که، “مهاجمان انسان هستند، پس طبیعی است که برای شناسایی آنها، نمی توان صرفا به ماشین ها متکی بود. متخصصان ما می دانند که این مهاجمان چگونه فکر می کنند، و نیز می توانند روش هایی را که این افراد برای پنهان کردن حضورشان از دید ابزارهای استاندارد تشخیص استفاده می کنند، حدس بزنند. عامل انسانی، تاثیرات در ظاهر مثبت اما در واقع کاذب، که همان هدر رفتن منابع است، را نیز حذف می کند.”

F-Secure: اگر می خواهید از خرابکاری ها به دور باشید به ما بپیوندید.

به محض اینکه یک سرقت یا خرابکاری داده ای تشخیص داده شود، سرویس سریع تشخیص ما، برای فاز پاسخ، یک هوش عملی نیز تهیه می کند. به این ترتیب، تیم امنیتی مشتری، خیلی دقیق بررسی می کند که این نقض و سرقت چگونه روی داده است، به چه صورت باید آن را ایزوله کرد و مشاوره هایی نیز برای بازسازی ارائه می کند.

با داشتن سیستم تشخیص سریع و به موقع، و یک تشخیص دقیق و همینطور مشاوره تخصصی در زمینه اصلاح و ترمیم، شرکت ها، می توانند آسیب ها و سرقت ها را محدود کنند؛ یا دست کم به لحاظ تئوری این امکان وجود دارد.

اطلاعات بیشتر در وب سایت اف سکیور: https://www.f-secure.com/en/web/business_global/rapid-detection-service

نوشته شده در: وبلاگ و اخبار امنیتی سایسک

ارسال دیدگاه (۰) ←

F-Secure چهارمین شرکت جذاب برای دانشجویان آی تی

winners

چرا F-Secure چهارمین کارفرمای جذاب برای داشنجویان IT است

تصویری که اغلب ما از شرکت های فناوری و IT در ذهن داریم، تصویری ناخوشایند و بد است. نه به این معنا که این شرکت ها، شرکت های بدی هستند و کارهای بدی به مردم ارائه می کنند؛ بلکه شاید این تصویر از اینجا ناشی می شود که، آنها هرگز “رضایت شغلی” خود را به هیچ نحوی، به عموم مردم نرسانده اند.

تصویر کلیشه ای که از شرکت های IT وجود دارد؛ مکانی غیرانسانی، خشک و صرفا مادی است که در آن همه فقط کار می کنند، این تصویر شاید از دهه ۹۰ معروف شده باشد، زمانی که فیلم کمدی معروف  Office Space با یک زبان طنزآمیز چنین ایده ای را مطرح کرد. این فیلم داستان برنامه نویس ناراضی و غمگینی بود، که برای رسیدن به شادی،  علیه محیط اداری خشک، بی روح و سرد شرکت IT شورش کرد.

این فیلم و ایده آن، اکنون خیلی قدیمی شده است. اما من فکر می کنم هنوز هم می توان چنین تصور کرد که، محیطی که فیلم Office Space ارائه می کند، و سبک زندگی مردمانی که در آن شرکت کار می کنند، چیزی است که هرکسی می خواهد از آن دوری کند و به نحوی از این مدل زندگی بیزار است.

براساس گفته شرکت Universum، شرکتی تحقیقاتی که در زمینه برندسازی employer یا کارفرماها تخصص دارد؛ شرکت F-Secure، پیشرو ارائه بهترین مکان ها برای کارکردن است، مکان هایی که در واقع مردم یا حداقل دانشجویان IT، دوست دارند در آنجا کار کنند.

F-Secure ، در رتبه بندی جذاب ترین و محبوب ترین کارفرماهای سال ۲۰۱۶ یونیورسام، در میان دانشجویان فنلاندی IT، رتبه چهارم را کسب کرد (این شرکت در رتبه بندی سال قبل، در مرتبه پنجم قرار داشت)، و تنها شرکت های گوگل، مایکروسافت و شرکت بازی فنلاندی Supercell توانستند از آن پیشی بگیرند.

اما واقعا چه چیزی F-Secure را به چنین کارفرمای جذابی تبدیل کرده است؟ خوب، در حقیقت چیزهایی وجود دارد که ما با انجام آنها، خودمان را از آنچه که Office Space نشان می داد، مجزا ساختیم. در اینجا می توانید این نکات را بخوانید.

chebzofwgaaosy-large

ما مردم را داخل جعبه های مکعبی شکل، محصور نکردیم

officework

مردم در F-Secure انتظار ندارند که آنها را از دیگر دوستان و همکارانشان جدا کرده و به مانند افراد ایزوله شده در اتاقک های مکعبی شکل محصور کنیم. در این شرکت، همکاران و دوستان به هر طریقی که فکر می کنند راحت تر هستند، با هم کار می کنند. در حقیقت، ما به عنوان یک شرکت جهانی که ادارات و افرادی زیادی در سراسر جهان داریم، به این نتیجه رسیدیم که برای دست یافتن به بهترین نتایج، باید فکر خود را از این حصار و از این اتاقک های جعبه ای و محدود خارج کنیم، و به کارکنان اجازه دهیم تا به هر طریقی با هم کار کنند.

ما تامین امنیت را متوقف نمی کنیم- بلکه جامعه را امن می سازیم

meet-the-threat

این ایده، که اخیرا توسط مدیر ارشد تحقیقاتی F-Secure؛ یعنی Mikko Hypponen مطرح شده، اهمیت کاری را که ما در F-Secure انجام می دهیم، بیان می کند. ما با تهدیدات امنیتی و دشمنان واقعی سروکار داریم، چه اینکه این افراد، گروه های حرفه ای تهدیدآمیزی باشند که از جانب دولتها کار می کنند، یا اینکه باندهای اخاذی و باج گیری آنلاینی باشند که به دنبال گسترش Ransomware (نوعی نرم افزار مخرب، که داده های مردم را بلاک می کند و تا زمان پرداخت نکردن یک هزینه، آن را آزاد نمی سازد) و سرقت داده های مردم و باج گیری از آنها هستند. داشتن این حجم از دشمنان واقعی و فعال، سبب شده است که ما به عنوان شرکتی ظاهر شویم که به طور پیوسته در حال تحول بوده و با این تهدیدها علیه مردم و شرکت ها، مبارزه می کند. فرصت مبارزه با این تهدیدها، هر روز ما را چالش برانگیز و در عین حال هیجانی و واقعی ساخته است.

ما می دانیم چگونه استراحت کنیم

chill-out

امنیت سایبری، کسب و کار دشواری است. همانطور که پیشتر نیز ذکر شد، ما تهدیدها و دشمنان واقعی سروکار داریم. زمانی که کار می کنیم، بر برد ۱۰۰% ای خود تمرکز داریم. اما این را نیز می دانیم که توانایی استراحت کردن و تمدد اعصاب چقدر مهم است، بنابراین کارمندان خود را تشویق می کنیم تا از محیط کار خود لذت ببرند. HQ ما امکاناتی مانند سونا، باشگاه، بازی و چیزهای دیگری دارد که به کارکنان اجازه می دهد تا در همین مدت کوتاهی که می خواهند استراحت کنند و برای نبرد بعدی آماده شوند، بتوانند از محیط لذت ببرند. هر چقدر هم که فرد پرتوان، پر انرژی و مسئولیت پذیر باشد، باز هم هر کس به زمانی برای استراحت و تمدد اعصاب نیاز دارد (حتی اگر سونای داغ باشد).

بنابراین F-Secure چیزهای زیادی دارد که مردم همیشه به دنبال آن بوده اند، و براساس رتبه بندی یونیورسام، به نظر می رسد که این شرکت توانسته است به ثمر نشیند.

اما نظرشما چیست؟ فکر می کنید چه چیزهای دیگری در محل کار مهم است. در حال حاضر دانشجویان فنلاندی ITفکر می کنند که F-Secure بهترین مکان برای کار کردن است، اما ما همیشه آماده ایم که تغییر کرده و رو به جلو حرکت کنیم. می توانید ورودی های کنونی ما را چک کنید، شاید بتوانید مکان خوبی پیدا کنید.

نوشته شده در: وبلاگ و اخبار امنیتی سایسک

ارسال دیدگاه (۰) ←

تعامل با موتورهای اسکن آنتی ویروس ها چگونه است؟

مردم (یعنی افرادی مانند ژورنالیست های علم و تکنولوژی یا منتقدین محصولات)، اغلب از ما می پرسند که موتورهای اسکن شما چگونه کار می کنند، و اینکه چه تفاوتی بین موتورهای مبتنی بر امضا و دیگر انواع موتورهای اسکن وجود دارد. در واقع همین هفته پیش بود که چنین سوالی از ما پرسیده شد. خوب، پس اجازه دهید تا در این مقاله کمی عمیق تر به این مسئله بپردازیم….

brainfloppy

منظور از اسکن مبتنی برامضا، عمل چک کردن و کنترل یک Hash کامل فایل یا مجموعه ای از هش های جزیی فایل در یک لیست یا پایگاه داده است، تا به این ترتیب بتوان راجع به یک شی (فایل مشکوک به بدافزار) نظر داد و حکم آن را بدست آورد. می توان گفت تقریبا از همینجا بود که آنتی ویروس ها آغاز شدند، و این به دهه ۱۹۸۰ برمی‌گردد. ظهور نرم افزار های مخرب چند شکلی یا Polymorphic در اوایل دهه ۱۹۹۰، به مانند یک کارگشا و واسطه بود و موجب تکامل روش مبتنی بر امضا شد، تا در نهایت این تکامل به موتورهای پیشرفته اسکن فایل رسید.

بدین گونه بود که در دهه ۸۰ نمونه های جدیدی را دریافت کردیم.

راه حل های محافظت از نقاط پایانی، شامل موتورهای اسکن فایل می باشد. اگرچه که این موتورها در واقع تنها برای اسکن فایل ها نیست. هر نوع بافر ورودی که به آنها بدهید، مانند تکه ای از یک حافظه یا یک Stream از شبکه، آنها کار خود را انجام خواهند داد.

موتورهای اسکن فایل، خیلی پیچیده شده اند. این موتورها شامل مکانیزم‌های پیمایش آرشیو، تجزیه کننده یا پارسرهایی برای چندین فرمت فایل دارند، Unpackers یا بازکننده بسته های استاتیک و دینامیک دارند، شامل  disassemblerها هستند، و شبیه سازهایی دارند که می توانند هر دو نوع فرمت اسکریپتی و یا اجرایی را اجرا کنند. در واقع، شناسایی‌های امروزه، تنها برنامه های پیچیده کامپیوتری هستند، برنامه هایی که برای اجرای تجزیه و تحلیل نمونه‌های پیچیده، آن هم به طور مستقیم بر روی client، طراحی شده‌اند. شناسایی و تشخیص‌های مدرن طوری طراحی شده اند که می توانند هزاران، یا حتی صدها هزار از نمونه ها را اخذ کنند. یاد روزهای قدیم بخیر، که روش یک هش در هر نمونه را داشتیم.

همانطور که ممکن است تصور کرده باشید، طبیعتا ایجاد شناسایی های پیچیده، زمان بر است. یک تحلیل‌گر باید نمونه ها را جمع آوری کند، و پیش از اینکه آنها را برای مشتریان انتشار دهد، باید آنها را بررسی کرده، کد بنویسد و آزمایش کند. از طرف دیگر، شناسایی های نسبتا ساده که مبتنی بر امضا هستند، می توانند به سادگی به طور اتوماتیک تولید شوند. زمانی که نمونه های جدید از راه می رسند، برای اینکه بتوان به سرعت حکم و نظر راجع به شی را ارائه داد، این نمونه ها از طریق یک سری از ابزارهای تجزیه و تحلیل دینامیکی و استاتیکی و همینطور موتورهای Rule (موتوری که تعیین می‌کند فایل ویروس است یا خیر)، اجرا می شوند.

بنابراین، زمانی که تهدید جدیدی بروز می کند، kicks in های اتوماسیون Backend، نمونه های اولیه را پوشش می دهند، این درحالی است که تحلیل گرها را وادار به نوشتن شناسایی های مناسب می کنند. از آنجایی که آنتی ویرس‌ها امروز می توانند به سادگی و به سرعت، جستجوی هش ها را در اینترنت انجام دهند، لذا این شناسایی های ساده، حتی به عنوان بخشی از به روز رسانی یک پایگاه داده محلی نیز ارائه نمی‌شوند. این مکانیزم جستجوی Cloud مزیت دیگری نیز دارد، و آن این است که به ما اجازه می دهد تا از مشتریان در برابر تهدیدهای در حال بروز، و صرف از نظر از زمان پدیدار شدنشان، به سرعت محافظت کنیم.

اما این تمام داستان نیست.

تمام راه حل های مدرن محافظت از نقاط پایانی، برای حفظ مشتریان خود، از چندین مکانیزم استفاده می کنند. در ادامه، تصویر ساده ای از چگونگی کار کردن امروزی حفاظت از نقاط پایانی، را می بینید.

  1. مسدود کردن URL. با این کار، مانع کاربر می شویم تا در معرض سایتی قرار نگیرد که در حال میزبانی از یک Exploit Kit (کیت لوازم) یا دیگر محتویات مخرب است، به این ترتیب نیاز به ابزارهای محافظتی بیشتر، نیز برطرف می شود. ما این کار را اغلب از طریق کوئری های کلود IP reputation و URL انجام می دهیم. مسدود کردن اسپم و فیلتر کردن ایمیل ها نیز همین‌جا روی می‌دهد.
  2. Exploit detection یا بهره برداری از تشخیص. اگر کاربری از سایتی بازدید می کند که در حال میزبانی از یک Exploit Kitبوده، و آن کاربر نیز در حال اجرای نرم افزاری است که آسیب پذیر می باشد، در این صورت هر تلاشی برای بهره برداری از آن نرم افزار آسیب پذیر، به واسطه موتورهای نظارت بر رفتار ما، با انسداد مواجه خواهد شد.
  3. شبکه و اسکن on-access یا در دسترس. اگر کاربری، فایل مخربی را از طریق ایمیل یا دانلود یک فایل دریافت کند، در شبکه اسکن خواهد شد، یا زمانی که بخواهد آن فایل را روی دیسک بنویسد، اسکن انجام می گیرد. اگر فایل، مخرب تشخیص داده شود، در این صورت از سیستم کاربر حذف می گردد (برای مثال به قرنطینه می رود) .
  4. انسداد رفتاری. فرض کنید که هیچ تشخیص مبتنی بر فایلی برای یک شی، موجود نیست، بنابراین کاربر ممکن است اقدام به باز کردن یا اجرای آن سند، اسکریپت یا برنامه کند. در این مرحله، رفتار مخرب، به واسطه موتور رفتاری ما انسداد خواهد شد و یک بار دیگر نیز فایل حذف می گردد. حقیقت این است که اکثر مکانیزم های تحویل و ارائه مخرب، به سادگی می توانند به طور رفتاری مسدود شوند. در بیشتر موارد، زمانی که تهدیدهای جدیدی پیدا می کنیم، پی می بریم که پیشتر نیز در گذشته همین تهدیدها را داشته ایم، اما اکنون به مکانیزم هایی که این تهدیدها استفاده می کنند، آدرس منطقی اضافه شده است.

نرم افزارهای آنتی ویروس در زمان های گذشته، که برنامه ریزی اسکن آنها به صورت disk-grinding و روزی یک بار بود، به آخرین نسل از حفاظت از نقاط پایانی که امروزه به کار می بریم، تکامل یافته است. یکی از بهترین راه ها برای محافظت از نقاط پایانی در برابر تهدیدهای جدید، این است که در اولین مکان، مانع تماس تهدیدها با قربانیانشان شویم. اگر در این مرحله شکست بخوریم، باید از روش های چند جانبه استفاده کنیم تا حملات مرسوم را مسدود کنیم، و به این ترتیب، تضمین می دهیم که فرصت های زیادی برای توقف حملات در مسیرشان وجود دارد.

اسکن فایل، تنها یکی از مکانیزم هایی است که “فروشندگان آنتی ویروس” برای محافظت از نقاط پایانی استفاده می کنند. از آنجایی که اغلب، بردارهای حملات واقعی ما، در هر دو مکانیزم های تشخیص بهره برداری و انسداد رفتاری، به خوبی پوشش داده شده است، بنابراین برای هر تهدید جدیدی، با اضافه کردن شناسایی های مبتنی بر فایل، اذیت نمی شویم (یعنی امضاهای استاتیک). و به یاد داشته باشید که ما همیشه در پایان روز، اجزای محافظتی خود را در برابر تهدیدهای جهان واقعی، با استفاده از کل محصول و نه صرفا بخش های منفردی از آن، آزمایش می کنیم.

 

نوشته شده در: وبلاگ و اخبار امنیتی سایسک

ارسال دیدگاه (۰) ←

راهنمای سریع برای غافلگیر نشدن توسط باج افزارها (Ransomewares)

Designer using laptop at office desk

باج افزارها (Ransomewares)، کسب و کارها را فلج کرده‌اند و به سرتیتر اخبار امنیتی تبدیل گشته‌اند. در اینجا به این موضوع می پردازیم، و همچنین به شما میگوئیم که چگونه می توانید برای محافظت از سازمان خود بهترین کار را انجام دهید.

در پایان سال ۲۰۱۵، مشاور امنیتی اف سکیور “شان سالیوان” پیش بینی کرد که سال ۲۰۱۶  سال اخاذی خواهد بود . تا کنون، پیش بینی او کاملا درست بوده است. در ماه های اخیر باج افزارها عنوانِ سرتیتر اخبار امنیتی شده است، باج افزارها کسب و کارها و سازمان های کوچک و بزرگ را فلج کرده اند. بدونه هیچ جایگزین و یا درمانی،  بسیاری از این سازمان ها مجبور به پرداخت باج شده اند- و خدماتی آنلاین را از تبهکاران در ازای پرداخت بهای سنگینی دریافت کرده اند – این کار باعث شده تا مجرمان سایبری به اخاذی وتولید بیشتر باج افزارها ترغیب شوند.

در اینجا راهنمایی مختصری درباره‌ باج افزارها ، ماهیت آنها، و آنچه که شما می‌توانید برای محافظت از سازمان خود انجام دهید ارائه می شود.

باج افزار (Ransomewares) چیست؟

باج افزارهای رمزگذاری، در واقع فایل ها را بر روی کامپیوتر رمز گذاری می کنند، یا به بیان دیگر محتویات فایل را طوری بهم می ریزند که کاربر نمی تواند به طور معمول بدون یک کلید رمزگشایی به آن ها دوباره دسترسی پیدا کند، آن کلید کلیدی است که محتویات فایل را دوباره مرتب می کند و به حالت قبل بر می‌گرداند. در ازای کلید رمزگشایی، آنها از شما باج خواهی می کنند. هنگامی که نرم افزارهای مخرب یک دستگاه را آلوده می‌کنند، این آلودگی به دیگر دستگاه‌ها در تمام شبکه سرایت می‌کنند، و انجام عملیات روزمره را غیر ممکن می‌سازد.

پرداخت ها اغلب به شکل “بیت کوین” یا پول مجازی که به سختی قابل ردیابی است، صورت می گیرد. مهاجمین معمولا یک ضرب الاجل برای پرداخت باج تعیین می‌کنند. پس از پایان مهلت، اغلب مقدار پرداخت را افزایش می‌دهند و یک ضرب الاجل جدید مشخص می‌کنند. اگر مهلت دوم نیز پایان یابد، به احتمال زیاد مهاجمان کلید رمزگشایی را به  طور کلی حذف می کنند. وقتی کلید حذف شود، ممکن است بازیابی اطلاعات غیر ممکن شود.

چگونه باج افزار یک کامپیوتر را آلوده می‌کند؟

کاربران ممکن است به روش های مختلفی با باج افزار روبرو شوند. رایج ترین روش از طریق ایمیل، به عنوان یک فایل متصل شده است. فایل معمولا یا به عنوان یک سند حاوی اطلاعات فوری و یا محتوای مطلوب، و یا در قالب یک فایل زیپ و یا فایل فشرده شده با نامی گمراه کننده ظاهر می‌شود. در این روش مهاجمین سعی می‌کنند که کاربر را به باز کردن و یا اجرا کردن فایل ضمیمه ترغیب کنند. گذشته از فایل پیوست، ایمیل همچنین می‌تواند باج افزار را طریق لینک های مخرب (در پاراگراف بعدی توضیح داده می شود) نیز منتشر کند.

یکی دیگر از راه های متداول مهاجمان برای گسترش باج افزار، قرار دادن آن درKit  Payload می‌باشد. کاربران ممکن است زمانی در معرض این کیت قرار گیرند که به یک وب سایت خطرناک مراجعه می‌کنند و یا به سمت یک سایت مخرب هدایت (برای مثال، از طریق لینک ایمیل) می شوند. این کیت کامپیوتر کاربر را برای پیدا کردن هر گونه نقص و یا آسیب پذیری بررسی می‌کند، که اغلب این آسیب پذیری‌ها در نرم افزارهای آپدیت نشده موجود می باشد. اگر نقصی پیدا شود کیت، باج افزار را دانلود و بر روی کامپیوتر کاربر نصب می کند. برای کاربری با دانش متوسط، این اتفاق می‌تواند به طور کامل و بدون آگاهی او اتفاق افتد.

تاثیر آن بر کسب و کار چگونه است؟

هزینه باج درخواستی معمولا حدود ۳۰۰ تا ۵۰۰ دلاربرای یک کامپیوتر است. اگر ۲۰ کامپیوتر آلوده باشند، می تواند به مبلغ ۱۰۰۰۰ دلار هزینه داشته باشد. همچنین ممکن است که مجرمان اینترنتی حملات باج افزار را برای کسب و کار خاصی مورد هدف قرار دهند، که در این صورت می‌توانند مبلغ هنگفتی را برای خود درخواست کنند.

اما پول درخواستی تنها بخش کوچکی از هزینه‌های واقعی است. آسیب‌های واقعی اثرات خرابی شبکه (بهره وری از دست رفته، فرصت های تجاری از دست رفته، کاهش رضایت مشتری و آسیب به نام تجاری) و هزینه های بازگرداندن شبکه (منابع برای پاسخ به این حمله، تعمیر و یا جایگزینی سیستم) می‌باشند.

چگونه می توانید فایل های خود را باز گردانید؟

F-Secure توصیه می‌کند که هرگز باج پرداخت نشود. با وجود اینکه انجام این کار راهی برای بازگرداندن دوباره اطلاعات سیستم یک سازمان است، اما راه بهتر پیشگیری از مورد حمله واقع شدن و پشتیبان گیری “Backup” منظم می‌باشد. به این ترتیب اگر به شما حمله شد، خیالتان راحت است – زیرا شما می‌توانید توسط پشتیبان و یا همان بکاپ اطلاعات خود را بازیابی کنید. اگر همه از پشتیبان گیری استفاده کنند، دیگر باج افزار به عنوان یک مدل کسب و کار بسیار سود آور برای مجرمان وجود نخواهد داشت.

اگر فایل های خود را از دست دهید و پشتیبان گیری نداشته باشید، بهتر است در اینترنت بررسی کنید که آیا ابزار decryptor برای باج افزاری که به شما ضربه است وجود دارد. این لیست، شروع خوبی است، اگر چه decryptors معمولا فقط برای نسخه‌های اولیه‌ی برخی از نوع های آن در دسترس هستند. و به خاطر داشته باشید که مهاجمین رویکرد خود را در استفاده از باج افزاری که ابزار decryptor ندارد،  به روز رسانی می‌کنند.

شما همچنین ممکن است وضعیت خود را در انجمن‌هایی مانند Bleeping Computer که در آن موضوعاتی درباره ی Locky، TeslaCrypt ، CryptoWall ، Petya، CryptXXX، Locker و نوع های دیگری وجود دارد به اشتراک بگذارید‌.

 

چگونه می‌توانید از قربانی شدن تجارت خود جلوگیری کنید؟

پیشگیری همیشه بهتر از درمان است، و این قضیه قطعا درمورد باج افزارها نیز صحت دارد. بنابراین اقدامات احتیاطی برای آماده شدن و جلوگیری از یک نوع حملات احتمالی اتخاذ کنید. در اینجا نکاتی را برای حفظ کسب و کار خود ارائه می‌دهیم:

  • گرفتن پشتیبان به طور منظم از دادهها و اطلاعات سازمان خود : ذخیره پشتیبان گیری به صورت آفلاین، به طوری که آنها نیز آلوده نشوند. همچنین بازگرداندن هر از گاه داده‌ها برای اطمینان از عملکرد درست آن‌ها. با پشتیبان گیری خوب، اگر به شما حمله شود، می‌توانید دوباره به سرعت بدون نیاز به دادن باج به جنایتکاران بر روی پاهای خود بایستید.
  • مطمئن شوید که راه حل امنیتی قوی را اجرا می کنید : اف سکیور تمام نقاط پایانی شما را پوشش می دهد و لایه های حفاظتی اضافی برای شما فراهم می کند. F-Secure در Protection Service for Business (PSB) دارای یک رویکرد طبقه‌بندی شده می‌باشد که بر تمام تهدیدات باج افزارهای موجود نظارت دارد، و همچنین می‌تواند نام تجاری جدید تهدیدهای روز را مسدود کند. با توجه به اینکه گونه‌های جدید باج افزارها هر روزه ظهور می‌کنند، این مسئله بسیارمهم است.
  • تمام نرم افزارها را برای جلوگیری از سوء استفاده به روز نگه دارید. با F-Secure Software Updater که یکی از لایه‌های حفاظتی محصولات اف سکیور است این کار بسیار آسان است. این لایۀ امنیتی در F-Secure PSB و همچنین در F-Secure Business Suite Premium موجود می‌باشد.
  • کارکنان خود را دربارهی تاکتیکهای مهندسی مورد استفاده در گسترش باج افزارها، آموزش دهید. به آنها درباره ی فایل پیوست ایمیل شده، و لینک‌ها، به خصوص از فرستندگان غیر قابل اطمینان آموزش دهید. مطمئن شوید که آنها نقش خود را در حفاظت از داده‌های کسب و کار شما به خوبی ایفا می‌کنند.
  • محدود کردن استفاده از افزونههای مرورگر. غیر فعال کردن افزونه‌هایی که مورد سوء استفاده قرار می‌گیرند. افزونه‌هایی مانند فلش پلیر و Silverlight و …. این لایۀ امنیتی در محصولات اف سکیور موجود می‌باشد.
  • مدیریت کنترل دسترسی. محدود کردن استفاده از منابع شبکه و اطلاعاتی به تنها کسانی که برای آنها دسترسی به  این منابع کاملا ضروری است. همچنین کسانی که دارای حساب ادمین هستند فقط باید در صورت لزوم از این اطلاعات استفاده کنند.

فایل‌ها، دایرکتوری‌ها و مجوزهای اشتراک شبکه باید طوری ساخته شوند که کاربران به بیش از آنچه واقعا نیاز دارند، دسترسی نداشته باشند.

  • پیاده سازی کنترل و مدیریت نرم افزار به طوری که برنامه نتواند از نقاط مشترک باج افزار (برای مثال، پوشه‌های موقت حمایت از مرورگرهای محبوب اینترنت) اجرا شود. همچنین پیاده سازی لیست سفید به طوری که تنها برنامه‌های شناخته شده و مصوب مجاز به اجرا در شبکه باشند.
  • دسته بندی و جداسازی دادهها. محدود کردن حرکت جانبی در شبکه با جداسازی شبکه‌ها و داده‌ها برای واحدهای تجاری مختلف.

غیر فعال کردن اسکریپت ماکرو از فایل های آفیس دریافتی از طریق ایمیل.

کنترل ایمیل‌های ورودی و جلوگیری از اجرای فایل‌های مشکوک اجرایی که همراه ایمیل‌‌ها ارسال می‌شوند (exe).

منبع: https://business.f-secure.com/your-quick-guide-to-outsmarting-ransomware

نوشته شده در: وبلاگ و اخبار امنیتی سایسک

ارسال دیدگاه (۱) ←
برگه 1 از 26 12345»