NEW Emerging Threat Blog Previews - 835x525px - Emerging Threat

سیسکو درباره یک آسیب‌پذیری روز صفر CVE-2023-20269 در Cisco Adaptive Security Appliance (ASA) و Cisco Firepower Threat Defense (FTD) هشدار می‌دهد که به طور فعال توسط عملیات باج‌افزار برای دسترسی اولیه به شبکه‌های شرکتی اکسپلویت شده است.

آسیب‌ پذیری روز صفر با شناسه CVE-2023-20269 و شدت متوسط، ویژگی VPN سیسکو ASA و Cisco FTD را تحت تأثیر قرار می‌دهد و به مهاجمان غیرمجاز از راه دور اجازه می‌دهد تا حملات  brute force  علیه حساب‌های موجود انجام دهند. مهاجمان با دسترسی به حساب ها می‌توانند یک جلسه SSL VPN بدون کلاینت را در شبکه سازمان نقض شده ایجاد کنند، که بسته به پیکربندی شبکه قربانی می‌تواند پیامدهای متفاوتی داشته باشد.
این آسیب پذیری در رابط خدمات وب دستگاه های Cisco ASA وCisco FTD، به ویژه عملکردهایی که با توابع احراز هویت، مجوز و حسابداری (AAA) مرتبط هستند، قرار دارد. آسیب پذیری به دلیل جداسازی نادرست عملکردهای AAA و سایر ویژگی های نرم افزار ایجاد می شود و منجر به سناریوهایی می‌شود که در آن مهاجم می تواند درخواست‌های تایید هویت را به رابط خدمات وب ارسال کند تا بر مؤلفه‌های مجوز تأثیر بگذارد یا آنها را به خطر بیاندازد.
از آنجایی که این درخواست‌ها هیچ محدودیتی ندارند، مهاجم می‌تواند با استفاده از ترکیب‌های نام کاربری و رمز عبور بی‌شماری، بدون محدود کردن نرخ یا مسدود شدن برای اکسپلویت آسیب پذیری ها، اعتبارنامه‌های اجباری را اکسپلویت کند.
سیسکو یک به‌روزرسانی امنیتی را برای آسیب پذیری CVE-2023-20269 منتشر می‌کند، اما تا زمانی که اصلاحات در دسترس نباشد، به مدیران سیستم توصیه می‌کند از DAP (سیاست های دسترسی پویا) برای متوقف کردن تونل های VPN با DefaultADMINGroup یا DefaultL2LGroup استفاده کنند. با تنظیم vpn-simultaneous-logins برای DfltGrpPolicy روی صفر و اطمینان از اینکه تمام نمایه های جلسه VPN به یک خط مشی سفارشی اشاره می کنند، دسترسی را با خط مشی پیش فرض گروه مسدود کنند. محدودیت‌های پایگاه داده کاربر محلی را، با قفل کردن کاربران خاص در یک نمایه، با گزینه قفل گروهی اعمال کنند و با صفر کردن ورودی های مجازی vpn از تنظیمات VPN جلوگیری کنند.  سیسکو همچنین توصیه می‌کند که پروفایل‌های VPN با دسترسی از راه دور پیش‌فرض را با نشان دادن تمام پروفایل‌های غیرپیش‌فرض، به یک سرور AAA حفره‌ای (سرور LDAP ساختگی) و فعال کردن گزارش‌گیری برای شناسایی زودهنگام حملات احتمالی، ایمن کنند.
در نهایت، به این نکته توجه داشته باشیم که احراز هویت چند عاملی (MFA) خطر را کاهش می‌دهد، زیرا حتی اعتبارنامه‌های اجباری حساب با موفقیت برای ربودن حساب‌های ایمن MFA و استفاده از آنها برای ایجاد اتصالات VPN کافی نیست.

منابع خبر

بیشتر بخوانید

در نرم‌افزار OneView شرکت HP، سه نقص امنیتی شناسایی شده‌اند که ممکن است از راه دور برای دور زدن احراز هویت، افشای اطلاعات حساس و حملات انکار سرویس مورد سوء استفاده قرار گیرند.

HPE OneView یک نرم افزار مدیریت زیرساخت فناوری اطلاعات به صورت یکپارچه است که عملیات فناوری اطلاعات را خودکار می‌کند و مدیریت زیرساخت از جمله محاسبات، ذخیره سازی و شبکه را ساده می‌کند.
آسیب پذیری‌های فاش شده با شماره‌های زیر ثبت شده‌اند:

  • CVE-2023-30908 – دور زدن احراز هویت از راه دور
  • CVE-2023-2650 – انکار سرویس

CVE-2023-30908 – انحراف از احراز هویت از راه دور
در این آسیب‌پذیری با امتیاز CVSS 9.8، حمله‌کننده می‌تواند از طریق دور زدن احراز هویت به دسترسی غیرمجاز به HPE OneView دست پیدا کند. این آسیب‌پذیری به دلیل نحوه مدیریت اطلاعات اعتبار کاربران در HPE OneView ایجاد می‌شود.
حمله‌کننده ممکن است با ارسال یک درخواست به‌صورت ویژه به سرور HPE OneView از این آسیب‌پذیری بهره‌برداری کند.
CVE-2023-2650 – انکار سرویس
حمله‌کننده از راه دور ممکن است از این آسیب‌پذیری به منظور انجام حمله انکار سرویس روی HPE OneView بهره‌برداری کند. این آسیب‌پذیری به دلیل نحوه OpenSSL در دستور OBJ_obj2txt() ایجاد می‌شود.
حمله‌کننده ممکن است با ارسال یک درخواست به‌صورت ویژه به سرور HPE OneView از این آسیب‌پذیری بهره‌برداری کند.

نسخه‌های تحت تأثیر
HPE OneView – قبل از نسخه v8.5 و v6.60.05 patch

 رفع مشکل
برای رفع این آسیب‌پذیری‌ها در نرم‌افزار Hewlett Packard Enterprise OneView نسخه‌های 8.5 به بالا و نسخه 6.60.05 LTS، HPE از به‌روزرسانی نرم‌افزار زیر استفاده کرده است.

  • Hewlett Packard Enterprise OneView v8.5 یا نسخه‌های بالاتر
  • Hewlett Packard Enterprise OneView v6.60.05 LTS

HPE پچ‌های رفع مشکلات برای نسخه‌های تحت تأثیر HPE OneView منتشر کرده است. برای محافظت از سیستم‌ها در برابر این آسیب‌پذیری‌ها، کاربران باید به‌روزرسانی‌ها را اعمال کنند.

منبع خبر:

https://cybersecuritynews.com/hpe-oneview-vulnerability/

بیشتر بخوانید

شرکت سخت‌افزار شبکه Juniper Networks یک بروزرسانی امنیتی خارج از روند همیشگی را برای رفع چندین نقص در کامپوننت J-Web سیستم‌عامل Junos منتشر کرده است. این نقص می‌تواند جهت دستیابی به اجرای کد از راه دور (Remote Code Execution – RCE) در نصب‌های حساس ترکیب شود.

این چهار آسیب‌پذیری دارای رتبه CVSS مجموعا 9.8 هستند که آن‌ها را از نظر شدت در رده بحرانی قرار می‌دهد. این نقص‌ها بر رو تمام نسخه‌های سیستم عامل Junos در سری SRX و EX تاثیر می‌گذارند.

این شرکت در توصیه امنیتی که به‌تازگی منتشر شد، گفت: “با بهره‌برداری زنجیره‌ای از این آسیب‌پذیری‌ها، یک مهاجم مبتنی بر شبکه احراز هویت نشده ممکن است بتواند از راه دور کد را روی دستگاه‌ها اجرا کند”.

اینترفیس J-Web به کاربران اجازه می‌دهد تا دستگاه‌های Junos OS را پیکربندی، مدیریت و نظارت کنند. مختصری از ایرادات در زیر شرح داده شده است:

• نقص CVE-2023-36844 و CVE-2023-36845 (امتیاز CVSS: 5.3): دو آسیب‌پذیری تغییر متغیر خارجی PHP در J-Web Juniper Networks Junos OS در سری EX و سری SRX، که به یک مهاجم غیرقانونی و مبتنی بر شبکه اجازه می‌دهد تا متغیر‌های مهم محیطی کنترل کند.

• نقص CVE-2023-36846 و CVE-2023-36847 (امتیاز CVSS: 5.3): دو تایید اعتبار از دست رفته برای آسیب‌پذیری‌های عملکرد حیاتی در Juniper Networks Junos OS در سری EX و سری SRX که اجازه می‌دهد تا یک مهاجم بدون احراز هویت و مبتنی بر شبکه تاثیر محدودی بر یکپارچگی فایل سیستم ایجاد کند.

یک عامل تهدید می‌تواند یک درخواست طراحی شده ویژه و ساختگی برای اصلاح برخی از متغیر‌های محیط PHP یا آپلود فایل‌های دلخواه از طریق J-Web sans هر‌گونه احراز هویت برای بهره‌برداری موفقیت‌آمیز از مسائل مذکور را ارسال کند.

آسیب‌پذیری‌ها در نسخه‌های زیر برطرف شده است:

• سری EX – نسخه‌های سیستم عامل Junos 20.4R3-S8، 21.2R3-S6، 21.3R3-S5، 21.4R3-S4، 22.1R3-S3، 22.2R3-S1، 22.3R2-S2، 22.3R2-S2، 22.3R3-S2، 22.3R3-S2، 22.3R3-S5، 22. 3R3-S5 R3 و 23.2R1

• سری SRX – نسخه‌های سیستم عامل Junos 20.4R3-S8، 21.2R3-S6، 21.3R3-S5، 21.4R3-S5، 22.1R3-S3، 22.2R3-S2، 22.3R2-S2، 22.3R2-S2، 22.3R2-S2، 22.3R3-S2، 22.2R3-S2، 22.2R3-S5، 22.3R3-S5، 22.3R3-S5.R3 و 23.2R1

به کاربران توصیه می‌شود برای کاهش خطرات تهدیدات احتمالی اجرای کد از راه دور، اصلاحات و پچ‌های لازم را اعمال کنند. به‌عنوان یک راه‌حل، Juniper Networks پیشنهاد می‌کند که کاربران J-Web را غیرفعال کنند یا دسترسی را فقط به هاست‌های قابل اعتماد، محدود کنند.

بیشتر بخوانید
Word Cloud "Big Data"

کلان‌داده (Big Data) به مجموعه‌ای از داده‌ها اشاره دارد که به حدی بزرگ است که با استفاده از روش‌ها و ابزار معمول برای مدیریت، ذخیره، پردازش و تحلیل داده قابل مدیریت نیست. این داده‌ها معمولاً از منابع متنوع و متعددی مانند حجم بالای داده‌ها، سرعت بالای تولید داده‌ها و تنوع فرمت‌ها و نوع‌های داده‌ها به‌دست می‌آیند.

Big Data & Advanced Analytics

معیارهایی مانند حجم (Volume)، سرعت (Velocity) و تنوع (Variety) به‌عنوان سه عنصر اصلی در تعریف Big Data مورد استفاده قرار می‌گیرند. اما علاوه بر این‌ها، عناصری مانند صحت (Veracity) و ارزش (Value) نیز می‌توانند در تعریف Big Data در نظر گرفته شوند.

Big Data به عنوان یک فرازمینه مهم در عصر اطلاعات شناخته می‌شود و در بسیاری از صنایع و حوزه‌های کاربردی مانند مالی، بهداشت، علوم پزشکی، انرژی، حمل و نقل، رسانه و ارتباطات، اینترنت اشیاء و بسیاری دیگر، نقش مهمی ایفا می‌کند.

مزایای استفاده از Big Data شامل قدرت بیشتر در تحلیل و پیش‌بینی، شناسایی الگوها و روابط پنهان، افزایش بهره‌وری، بهبود تصمیم‌گیری و افزایش قابلیت رقابتی است. با این حال، مواجهه با چالش‌هایی مانند ذخیره‌سازی، پردازش، استخراج اطلاعات مفید و حفظ حریم خصوصی نیز در مورد Big Data وجود دارد. برای مدیریت Big Data، ابزارها و تکنولوژی‌هایی مانند سیستم‌های پایگاه داده توزیع‌شده، فناوری‌های پردازش موازی، فناوری‌های ذخیره‌سازی ابری و الگوریتم‌ها و مدل‌های پیشرفته تحلیل داده مورد استفاده قرار می‌گیرند.

ویژگی‌های Big Data چیست؟

ویژگی‌های شاخص بیگ دیتا (Big Data) یا همان Big Dataها به شرح زیر است:

  • حجم زیاد: بیگ دیتا به مجموعه‌ای از داده‌ها اشاره دارد که حجم آن بیشتر از ظرفیت و قابلیت‌های سنتی مدل‌ها و ابزارهای مدیریت داده‌ها است. این داده‌ها معمولاً به صورت مجموعه‌های بسیار بزرگ، پیچیده و متنوعی ظاهر می‌شوند.
  • سرعت بالا: داده‌های بیگ دیتا معمولاً با سرعت بسیار بالا تولید می‌شوند و نیاز به پردازش و تحلیل در زمان واقعی دارند. اجزای تشکیل‌دهنده بیگ دیتا می‌توانند از منابع مختلفی مانند سنسورها، دستگاه‌های متصل به اینترنت، شبکه‌های اجتماعی و سیستم‌های آنلاین حاصل شوند.
  • تنوع: بیگ دیتا از انواع مختلف داده‌ها تشکیل شده است از جمله متن، تصویر، صوت، ویدئو، داده‌های جغرافیایی و غیره. این تنوع در بیگ دیتا نیازمند ابزارها و تکنیک‌های مناسب برای استخراج و تحلیل اطلاعات است.
  • تنوع منبع: بیگ دیتا معمولاً از منابع متعددی مانند سیستم‌های موجود در سازمان، داده‌های عمومی، شبکه‌های اجتماعی و سایر منابع مختلف تولید می‌شود. این تنوع مبدأ نیازمند یک مدیریت داده‌های خوب و ابزارهایی برای ادغام و ترکیب داده‌ها است.
  • اطلاعات ناهمگون: بیگ دیتا شامل اطلاعات ناهمگون است که ممکن است از طریق ساختارهای مختلفی نظیر داده‌های ساختارمند، نیمه ساختارمند و غیرساختارمند در دسترس باشند. این نوع تنوع اطلاعات نیازمند روش‌ها و فنونی برای تفکیک و استخراج اطلاعات از این تنوع است.
  • ارزش: ارزش بیگ دیتا در توانایی استخراج اطلاعات، الگوها و روابط مخفی در داده‌ها قرار دارد. با تحلیل بیگ دیتا، می‌توان اطلاعات مفیدی را برای تصمیم‌گیری‌های استراتژیک و کسب و کار به دست آورد.
  • پیچیدگی: بیگ دیتا ممکن است شامل داده‌هایی با ساختارهای پیچیده و متنوعی باشد که نیازمند ابزارها و تکنیک‌های مناسب برای استخراج اطلاعات و الگوها از آن‌ها است.
Big Dataها چه نقشی در دنیای هوش مصنوعی دارند؟

کلان داده‌ها نقش بسیار مهمی در دنیای هوش مصنوعی (Artificial Intelligence) ایفا می‌کنند. هوش مصنوعی بر پایه تجزیه و تحلیل داده‌ها و استخراج الگوها و اطلاعات مفید از آن‌ها بنا شده است. در اینجا، کلان داده‌ها به عنوان منبع اصلی اطلاعات برای آموزش و تغذیه سیستم‌های هوش مصنوعی عمل می‌کنند. اگر بخواهیم نقش Big Dataها در هوش مصنوعی را به شکل فهرست‌وار مورد بررسی قرار دهیم به موارد زیر می‌رسیم:

  • آموزش مدل‌های هوش مصنوعی: Big Dataها برای آموزش مدل‌های هوش مصنوعی، به خصوص مدل‌های یادگیری عمیق (Deep Learning)، استفاده می‌شوند. با تغذیه مدل‌ها با حجم بالایی از داده‌ها، می‌توان الگوها و روابط پیچیده‌تر را شناسایی و تشخیص داد.
  • ارائه ورودی به سیستم‌های هوش مصنوعی: Big Dataها به عنوان ورودی به سیستم‌های هوش مصنوعی، مانند سامانه‌های پردازش زبان طبیعی، تشخیص تصویر، تشخیص الگو و سیستم‌های توصیه‌گر، استفاده می‌شوند. این داده‌ها اطلاعات مورد نیاز را فراهم می‌کنند تا سیستم‌ها بتوانند وظایف خاصی را انجام دهند.
  • بهبود عملکرد سیستم‌های هوش مصنوعی: با توسعه و بهبود مدل‌های هوش مصنوعی، Big Dataها به عنوان یک نمونه‌گیری بزرگ از جوانب مختلف مسئله، به سیستم‌ها کمک می‌کنند تا به دقت و قدرت بیشتری در تشخیص الگوها و پیش‌بینی رخدادها دست یابند.
  • پیش‌بینی و تحلیل: با استفاده از Big Dataها و تکنیک‌های تحلیل داده، می‌توان الگوها، روندها و روابط پنهان در داده‌ها را شناسایی کرده و پیش‌بینی کرد. این اطلاعات پیش‌بینی می‌توانند در تصمیم‌گیری‌های استراتژیک و بهبود عملکرد سازمان‌ها و سیستم‌ها مورد استفاده قرار گیرند.
  • بهبود تجربه کاربری: با استفاده از کلان داده‌ها، سیستم‌های هوش مصنوعی می‌توانند بهبود تجربه کاربریبهبود تجربه کاربری: با استفاده از کلان داده‌ها، سیستم‌های هوش مصنوعی می‌توانند بهبود تجربه کاربری را فراهم کنند. با تحلیل رفتار کاربران، پیشنهادهای شخصی‌سازی شده و خدمات به موقع و دقیقتری ارائه می‌شود.

به طور کلی، Big Dataها در هوش مصنوعی نقش حیاتی دارند، زیرا مواد اولیه برای آموزش مدل‌ها، اطلاعات مفید برای تصمیم‌گیری و پیش‌بینی و ارتباط بین مسائل پیچیده هستند. با توجه به رشد روزافزون حجم داده‌ها، اهمیت Big Dataها در هوش مصنوعی نیز رو به افزایش است.

چه ابزارهایی برای مدیریت Big Dataها در دسترس قرار دارد؟

برای مدیریت Big Dataها، مجموعه‌ای از ابزارها و تکنولوژی‌ها در دسترس است که به شما کمک می‌کنند داده‌ها را ذخیره، پردازش و تجزیه و تحلیل کنید. در زیر، به برخی از ابزارهای معروف برای مدیریت Big Dataها اشاره خواهم کرد:

  •  Hadoop: آپاچی هدوپ (Apache Hadoop) یک سکوی منبع باز برای پردازش و ذخیره Big Data است. آن شامل دو بخش اصلی است: Hadoop Distributed File System (HDFS) برای ذخیره داده‌ها و Apache MapReduce برای پردازش توزیع شده.
  •  Spark: آپاچی اسپارک (Apache Spark) یک سکوی پردازش داده توزیع شده است که عملکرد بالا، قابلیت پایداری و پشتیبانی از چندین زبان برنامه‌نویسی را فراهم می‌کند. این ابزار قدرتمندی برای پردازش و تحلیل کلان داده‌ها، ایجاد مدل‌های هوش مصنوعی و استفاده از الگوریتم‌های پیشرفته است.
  •  Cassandra: آپاچی کاساندرا (Apache Cassandra) یک سیستم مدیریت پایگاه داده توزیع‌شده است که برای ذخیره داده‌های بزرگ و پرس و جوی سریع مناسب است. این ابزار مناسب برای سناریوهایی است که نیاز به بالا بردن مقیاس‌پذیری و قابلیت اطمینان دارند.
  •  Kafka: آپاچی کافکا (Apache Kafka) یک سیستم صف و رویداد توزیع‌شده است که برای جمع‌آوری، ذخیره و پردازش جریان داده‌ها (Streaming Data) به کار می‌رود. این ابزار قابلیت انتقال داده‌ها در زمان واقعی را فراهم می‌کند و برای سناریوهایی مانند استریمینگ و تجزیه و تحلیل داده‌های واقع‌زمانی مناسب است.
  •  Storm: آپاچی استورم (Apache Storm) یک سکوی پردازش جریان داده توزیع شده است که برای پردازش داده‌ها در زمان واقعی و برخط مناسب است. این ابزار می‌تواند جریان‌های بزرگی از داده‌ها را به صورت پیوسته و به طور همزمان پردازش کند.
  •  Flink: آپاچی فلینک (Apache Flink) نیز یک سکوی پردازش جریان داده و پردازش داده توزیع‌شده است که امکان پردازش داده‌ها در زمان واقعی و یکپارچه را فراهم می‌کند. این ابزار قابلیت اجرای الگوریتم‌های پیچیده و پردازش دادهتوجه کنید که این فهرست فقط چند مثال از ابزارهای مدیریت Big Data است و هنوز ابزارهای دیگری نیز وجود دارند. انتخاب ابزار مناسب برای مدیریت Big Dataها وابسته به نیازها و موارد کاربرد خاص شما است.
چگونه از کلان داده‌ها برای آموزش مدل‌های هوشمند استفاده کنیم؟

استفاده از Big Dataها برای آموزش مدل‌های هوشمند یک فرآیند مهم در حوزه یادگیری ماشین و هوش مصنوعی است. در زیر، مراحل کلی برای استفاده از Big Dataها برای آموزش مدل‌های هوشمند را توضیح خواهم داد:

  1.  جمع‌آوری و تهیه داده‌ها: در این مرحله، نیاز است تا داده‌های مورد نیاز برای آموزش مدل‌های هوشمند خود را جمع‌آوری کنید. این داده‌ها می‌توانند از منابع مختلفی مانند پایگاه داده‌ها، فایل‌ها، لاگ‌ها و حسگرها به دست آید.
  2.  پیش‌پردازش داده‌ها: در این مرحله، داده‌ها را پیش‌پردازش می‌کنید تا مناسب برای آموزش مدل‌های هوشمند شوند. این شامل تمیزکاری داده‌ها، حذف داده‌های نامعتبر یا خطا دار، خروجی ساختاردهی و استخراج ویژگی‌ها است.
  3.  انتخاب معماری مدل: در این مرحله، باید معماری مدل هوشمند خود را انتخاب کنید. این معماری می‌تواند شامل شبکه‌های عصبی عمیق (Deep Neural Networks)، ماشین بردار پشتیبان (Support Vector Machines)، درخت تصمیم (Decision Trees) و غیره باشد.
  4.  آموزش مدل: در این مرحله، با استفاده از داده‌های جمع‌آوری شده و پیش‌پردازش شده، مدل را بر روی داده‌ها آموزش می‌دهید. این مرحله شامل تعیین پارامترهای مدل، تعیین تابع هدف (Loss Function) و اجرای الگوریتم آموزش است.
  5.  ارزیابی مدل: پس از آموزش مدل، باید آن را ارزیابی کنید تا بفهمید که آیا مدل به طور قابل قبولی عمل می‌کند یا خیر. این شامل استفاده از معیارهای ارزیابی مانند دقت (Accuracy)، دقت متوسط (Precision)، بازخوانی (Recall) و فرابرسی (F1-Score) است.
  6.  بهینه‌سازی و تنظیم مدل: اگر مدل شما نتایج مطلوب را نمی‌دهد، می‌توانید از روش‌های بهینه‌سازی و تنظیم مدل مانند تغییر پارامترها، تغییر معماری مدل و اعمال روش‌های مناسب برای جلوگیری از بیش‌یه‌های مدل  استفاده کنید.
  7.  استفاده از مدل آموزش دیده: پس از آموزش و ارزیابی مدل، می‌توانید از آن برای پیش‌بینی، طبقه‌بندی، تشخیص الگوها، تولید خودکار وظایف و بسیاری دیگر از کاربردهای هوشمند استفاده کنید.

مهم است بدانید که موفقیت در استفاده از Big Dataها برای آموزش مدل‌های هوشمند، نیازمند دقت در جمع‌آوری داده‌ها، پیش‌پردازش موثر، انتخاب معماری مناسب، پارامترهای بهینه مدل و ارزیابی صحیح است. همچنین، نیاز به قدرت پردازشی و ذخیره‌سازی مناسب برای مقیاس‌پذیری و مدیریت حجم بزرگ داده‌ها وجود دارد.

انواع تحلیل کلان داده

تحلیل کلان داده (Big Data Analytics) شامل مجموعه‌ای از روش‌ها و تکنیک‌های تحلیلی است که برای استخراج اطلاعات، الگوها و تفاوت‌های معنادار از مجموعه‌های بزرگ داده‌ها استفاده می‌شود. در زیر، به برخی از اصلی‌ترین انواع تحلیل کلان داده اشاره می‌کنم:

  • تحلیل توصیفی (Descriptive Analytics): در این نوع تحلیل، داده‌ها به صورت خلاصه و توصیفی بررسی می‌شوند تا الگوها، روندها و ویژگی‌های مشخصی که در داده‌ها وجود دارند شناسایی شود. این تحلیل به توصیف و تفسیر داده‌ها می‌پردازد و معمولاً با استفاده از روش‌هایی مانند جداول، نمودارها و نمودارهای توصیفی انجام می‌شود.
  • تحلیل پیش‌گویانه (Predictive Analytics): در این نوع تحلیل، با استفاده از روش‌های آماری و الگوریتم‌های پیش‌بینی، تلاش می‌شود تا الگوها و روندهای آینده را بر اساس داده‌های گذشته و موجود پیش‌بینی کنیم. این نوع تحلیل معمولاً برای پیش‌بینی رفتار مشتریان، رشد بازار، عملکرد مالی و سایر متغیرهای آینده استفاده می‌شود.
  • تحلیل روابط (Relationship Analytics): در این نوع تحلیل، بررسی روابط و ارتباطات بین داده‌ها و متغیرها انجام می‌شود. به عنوان مثال، این تحلیل می‌تواند نشان دهد که چگونه تغییر یک متغیر تأثیری بر متغیرهای دیگر دارد و رابطه‌های علّی و ناعلّی را مشخص کند. این تحلیل معمولاً با استفاده از روش‌های آماری و مدل‌سازی انجام می‌شود.
  • تحلیل رفتاری (Behavioral Analytics): در این نوع تحلیل، رفتار و الگوهای رفتاری افراد و مشتریان مورد بررسی قرار می‌گیرد. با تحلیل رفتارهای گذشته و موجود، تلاش می‌شود الگوها و روندهای رفتاری را شناسایی کرده و بر اساس آن‌ها تصمیمات بهتری درباره استراتژی‌های بازاریابی و خدمات مشتریان اتخاذ کرد.
  • تحلیل پیشرفته (Advanced Analytics): این نوع تحلیل شامل استفاده از روش‌هایی مانند یادگیری ماشین، شبکه‌های عصبی، الگوریتم‌های تکاملی و تحلیل متن و تصویر است. این تکنیک‌ها برای استخراج اطلاعات پیچیده، تحلیل پیشرفته داده‌ها و کشف الگوهای نهفته استفاده می‌شوند. برخی از روش‌های پرکاربرد در تحلیل کلان داده عبارتند از:
  • یادگیری ماشین و یادگیری عمیق (Machine Learning and Deep Learning): این روش‌ها به استفاده از الگوریتم‌ها و مدل‌های ریاضی برای آموزش سیستم‌ها به منظور تشخیص الگوها، پیش‌بینی و تصمیم‌گیری بر اساس داده‌ها می‌پردازند.
  • استخراج اطلاعات (Data Mining): این روش به استفاده از الگوریتم‌ها و تکنیک‌هایی مانند خوشه‌بندی، تحلیل خطی، تحلیل مؤلفه‌های اصلی و معناشناسی متن برای استخراج الگوها و اطلاعات مفید از داده‌ها می‌پردازد.
  • تحلیل شبکه‌های اجتماعی (Social Network Analysis): این روش برای بررسی روابط و الگوهای اجتماعی در شبکه‌های اجتماعی، شبکه‌های تعاملی و شبکه‌های مرتبط با استفاده از مفاهیم شبکه‌های گرافی مورد استفاده قرار می‌گیرد.
  • تحلیل متن (Text Analytics): این روش به استفاده از الگوریتم‌ها و تکنیک‌هایی برای تحلیل و استخراج اطلاعات از متن‌ها می‌پردازد. این شامل تحلیل موضوعی، تحلیل احساسات، تشخیص الگوها و استخراج اطلاعات از متن‌های بزرگ است.
  • تحلیل تصویر (Image Analytics): این روش به استفاده از الگوریتم‌ها و تکنیک‌هایی برای تحلیل و استخراج اطلاعات از تصاویر و ویدئوها می‌پردازد. مثال‌هایی از این تحلیل شامل تشخیص الگوها، تشخیص چهره، تحلیل شناختی تصاویر و دسته‌بندی تصاویر هستند.

همچنین، بسیاری از انواع تحلیل کلان داده شامل ترکیبی از این روش‌ها و تکنیک‌ها هستند و بسته به نوع داده‌ها و هدف تحلیل ممکن است شخصی‌سازی شوند.

بیشتر بخوانید

مجموعه راه‌حل‌های امنیتی و شبکه اسپلانک به شرکت‌ها اجازه می‌دهد ضمن نظارت بر ترافیک مبادله شده در شبکه یک راه‌حل جامع امنیتی را پیاده‌سازی کنند. اسپلانک (Splunk Enterprise Security) که به اختصار به آن Splunk ES می‌گویند یک فناوری پیشرفته، گسترش‌پذیر و کاربردی است که فایل‌های ثبت شده در یک سامانه را فهرست‌بندی و جست‌وجو می‌کند. ابزار Splunk ES می‌تواند داده‌ها را توسط الگوریتم‌های هوشمند تجزیه‌وتحلیل کند و یک برنامه عملیاتی کارآمد در اختیار کسب‌وکارها قرار دهد. Splunk ES علاوه بر ساخت یک استراتژی امنیتی مبتنی بر تجزیه و تحلیل و نظارت مداوم بر تهدیدات امروزی به سازمان‌ها اجازه می‌دهد یک راه‌حل بهینه‌سازی شده امنیتی را با کمترین زمان پاسخ‌گویی که تمرکزش بر اطلاعات مبادله شده توسط کلاینت‌ها است پیاده‌سازی کنند. Splunk ES با اتکا بر یادگیری ماشین که قادر به شناسایی ناهنجا‌ری‌ها و تهدیدها است به سازمان‌ها اجازه می‌دهد تصمیمات آگاهانه‌تری نسبت به تهدیدات اتخاذ کنند. Splunk ES تنها یکی از راه‌حل‌های کارآمد ارائه شده توسط اسپلانک است. راه‌حل‌های هوشمندانه این شرکت عمدتا در ارتباط با جست‌وجو، نظارت و بررسی بزرگ داده‌های تولید شده توسط ماشین‌ها از طریق یک رابط کاربری وب‌محور است. Splunk ES با ثبت، شاخص‌گذاری و نمایش ارتباط داده‌های واقعی در یک محیط قابل جست‌جو و ارائه نمودارها، گزارش‌ها، هشدارها و داشبوردها به کارشناسان امنیتی در انجام وظایف خود کمک می‌کند. کاربرد اسپلانک محدود به مدیریت بزرگ داده‌ها نیست و کارشناسان امنیتی می‌توانند به اشکال مختلفی از این فناوری کاربردی استفاده کنند که یکی از این کاربردها پیاده‌سازی مرکز عملیات امنیت شبکه است.

تهدید پیشرفته چیست؟

تهدیدات پیشرفته توسط هکرهایی انجام می‌شود که برای به‌دست آوردن یا تغییر اطلاعات از مسیرهای چندگانه استفاده می‌کنند. به‌طور معمول، کشف، شناسایی و حذف تهدیدات پیشرفته فرآیند پیچیده‌ای است. تهدیدات پیشرفته می‌توانند فیشینگ، آلوده‌سازی وب‌سایت‌ها با بدافزارها، حمله‌های جست‌وجوی فراگیر یا مهندسی اجتماعی باشند که برای به‌دست آوردن دسترسی‌های مجاز و پیاده‌سازی حمله‌های هدف‌دار که شامل اکسپلویت‌های روز صفر می‌شوند اجرا شوند. تهدیدهای پیشرفته یک یا چند سامانه را در معرض خطر قرار می‌دهند تا یک راه ارتباطی پایدار در اختیار هکرها قرار دارند تا انواع مختلف عملیات مخرب را پیاده‌سازی کنند. برای شناسایی حمله‌های چندریختی که ماهیت ثابتی ندارند، شرکت‌ها و به ویژه شرکت‌های ارائه‌دهنده خدمات به فناوری پیشرفته‌ای نیاز دارند که قادر به تحلیل داده‌ها باشد. Splunk ES یکی از راهکارهای پیش‌روی کسب‌وکارها است. Splunk ES فرآیند جست‌وجوی داده‌های خاص در مجموعه‌ای متشکل از داده‌های متجانس و نامتجانس را ساده می‌کند. کارشناسان شبکه و امنیت به سختی می‌توانند با نگاه کردن به فایل‌های گزارش متوجه شوند آیا تجهیزات به درستی پیکربندی شده‌اند یا خیر، به همین دلیل برای ساده‌سازی این فرآیند به سراغ نر‌م‌افزارهایی می‌روند که یک چنین قابلیت‌های کاربردی را ارائه می‌کنند.

مجموعه راه‌حل‌های اسپلانک

مجموعه راه‌حل‌های اسپلانک یک زیرساخت هوشمند ارائه می‌کند تا دستیابی به داده‌های تولید شده توسط دستگاه‌ها ساده شود. پردازش و تجزیه و تحلیل حجم عظیمی از داده‌ها با هدف شناسایی تهدیدات پیشرفته یکی از بزرگ‌ترین چالش‌های کارشناسان امنیتی است. اسپلانک با ارائه یک مکانیزم مدیریت فراگیر این فرآیند را ساده کرده است. بهتر است برای روشن‌تر شدن موضوع به ذکر مثالی بپردازیم. تصور کنید، یک مدیر سیستم هستید و باید درباره این موضوع که چه اشتباهی در دستگاه‌ها یا سامانه‌ها به وجود آمده با نگاه کردن به داده‌های تولید شده تحقیقی انجام دهید. به‌طور سنتی، ساعت‌ها طول می‌کشد تا مشکل را شناسایی کنید. این درست همان نقطه‌ای است که وجود مجموعه راه‌حل‌های اسپلانک احساس می‌شود. اسپلانک با پردازش داده‌های تولید شده توسط سامانه‌ها و برجسته‌سازی وجه اشتراک داده‌های تولید شده شناسایی مشکلات را ساده‌تر می‌کند.

مزایای به‌کارگیری مجموعه راه‌حل‌های اسپلانک

از مهم‌ترین مزایای راه‌‌حل‌های اسپلانک می‌توان به عملکرد، گسترش‌پذیری و ارائه راهکارهای خلاقانه جمع‌آوری و ارائه داده‌ها اشاره کرد. البته کار با اسپلانک زیاد ساده نیست و به تجربه و تخصص نیاز دارد. در مجموع از مزایای شاخص این راه‌حل‌ها و به ویژه Splunk ES به موارد زیر می‌توان اشاره کرد:

  •  کارشناسان می‌توانند از Splunk ES برای ساخت گزارش‌های تحلیلی همراه با نمودارها و جداول تعاملی استفاده کنند و آن‌را با سایر بخش‌های سازمان به‌اشتراک قرار دهند.
  •  مجموعه راه‌حل‌های اسپلانک گسترش‌پذیر و انعطاف‌پذیر هستند.
  •  مجموعه راه‌حل‌های اسپلانک به‌طور خودکار اطلاعات و پیوندهای مفید موجود در داده‌ها را شناسایی و برجسته می‌کنند. بنابراین لازم نیست خودتان به شکل دستی این‌کار را انجام دهید. رویکرد فوق زمان صرف شده برای جست‌وجوها را کم می‌کند و فرآیند برچسب‌زنی اطلاعات را ساده‌تر می‌کند.
معماری اسپلانک چگونه است؟

قبل از آن‌که به سراغ کاربرد اسپلانک در دنیای امنیت و همچنین ابزار Splunk Enterprise Security برویم، اجازه دهید به شکل مختصر با مولفه‌ها و اجزا تشکیل دهنده اسپلانک آشنا شویم. شکل 1 معماری کلی اسپلانک را نشان می‌دهد.

عملکرد هر یک از مولفه‌های این معماری به شرح زیر است:

Forwarder Universal: مولفه فوق روند ارسال داده‌ها به Splunk forwarder را شتاب می‌بخشد. وظیفه اصلی این مولفه ارسال گزارش‌ها است. کارشناسان امنیتی یا سرپرستان شبکه می‌توانند مولفه فوق را در سمت کلاینت نصب کنند.

Load Balancer: مسئولیت متعادل سازی بار روی چند منبع محاسباتی را بر عهده دارد.

Forwarder Heavy: مولفه فوق برای فیلتر‌سازی داده‌ها استفاده می‌شود. به‌طور مثال، می‌توانید اسپلانک را به گونه‌ای تنظیم کنید که تنها اطلاعات خطا را نشان دهد.

Indexer: وظیفه ساخت فهرست‌ها و فهرست‌بندی داده‌های فیلترشده را عهده‌دار است تا عملکرد اسپلانک بهبود یابد.

Search Head: مولفه فوق فرآیند توزیع جست‌وجوها میان سایر نمایه‌سازها را تسهیل می‌کند. این مولفه هیچ زیرمجموعه‌ای ندارد.

Deployment Server: فرآیند استقرار پیکربندی‌ها و به‌روزرسانی فایل پیکربندی Universal Forwarder را ساده می‌کند. کارشناسان امنیتی می‌توانند از این مولفه برای به‌اشتراک‌گذاری داده‌ها میان مولفه‌های دیگر استفاده کنند.

License Master: مدیریت مجوز اسپلانک استفاده شده توسط کاربر را بر عهده دارد.

Forwarder: ابتدا به جمع‌آوری داد‌ه‌ها از ماشین‌های مختلف می‌پردازد و داده‌ها را به Indexer انتقال می‌دهد. این مولفه می‌تواند داده‌ها را ردیابی کند، یک کپی از داده‌ها آماده کند و توازن بار را روی داده‌های خاص قبل از ارسال به Indexer انجام دهد. در مرحله بعد Forwarder داده‌ها را به Indexer تحویل می‌دهد. در نمایه‌ساز، داده‌های به‌دست‌آمده به بخش‌های مختلف تقسیم می‌شوند. در این مرحله کارشناسان شبکه می‌توانند در هر پایگاه داده، تنظیماتی را اعمال کنند و مجوزهای مربوطه را به کاربران تخصیص دهند. Indexer ضمن پردازش داده‌های دریافتی، داده‌های موجود در دیسک را جمع‌آوری و مرتب می‌کند.

زمانی که داده‌ها درون نمایه‌ساز آماده شدند، امکان جست‌وجوی داده‌ها و مشاهده نتایج بر مبنای فیلترهای مختلف و ارسال نتایج برای مولفه Search Head فراهم می‌شود. Search Head  به کاربران اجازه می‌دهد به تعامل با اسپلانک بپردازند.

چرخه حمله‌های پیشرفته

همان‌گونه که اشاره شد، یک تهدید پیشرفته، زنجیره‌ای از فعالیت‌های مخرب است تا هکر بتواند یک نقطه ورود به شبکه را پیدا کند، به سراغ منابع حاوی اطلاعات ارزشمند برود و اطلاعات حساس را به خارج از سازمان منتقل کند. شکل 2 چرخه عمر تهدیدات پیشرفته را نشان می‌دهد.

چگونگی انتقال

یک تهدید پیشرفته با دانلود بدافزار، کلیک روی پیوندهای مخرب، باز کردن فایل‌های پیوست شده به ایمیل‌ها یا مراجعه به سایت‌های آلوده آغاز می‌شود.

چگونگی انجام اکسپلیوت و نصب بدافزار

بدافزار توسط یک سامانه دانلود و در ادامه اجرا می‌شود. بدافزارها عمدتا پنهان هستند یا درون اسناد رایج همچون فایل‌های وب، فایل‌های پی‌دی‌اف یا تصاویر گرافیکی با فرمت فایلی Jpeg بارگذاری می‌شوند. هر زمان کاربر فایل مخربی را اجرا کند بدافزار روی سامانه او فعال می‌شود. زمانی‌که بدافزاری اجرا می‌شود، فعالیت‌های مختلفی انجام می‌دهد تا به شکل ناشناس روی یک سامانه به حیات خود ادامه دهد. به‌طور مثال، بدافزارها ممکن است با نصب برنامه‌هایی که رابط کاربری عادی دارند، غیرفعال کردن بسته‌های امنیتی، پاک کردن فایل‌های گزارش یا جایگزین کردن فایل‌های سیستمی سالم با فایل‌های آلوده یا تزریق کد آلوده به فایل اجرایی روی گره‌های تحت شبکه به کار خود ادامه می‌دهند.

نحوه برقراری تعامل بدافزار با سرور کنترل و فرمان‌ دهی

نرم‌افزارهای مخرب زمانی که روی گره‌های پایانی نصب می‌شوند با سرور کنترل و فرمان‌دهی (Command & Control) ارتباط برقرار می‌کنند تا دستورالعمل‌هایی اجرایی مخرب را دریافت کنند. این دستورالعمل‌ها می‌توانند فایل‌ها یا بارداده‌های مخربی باشند که قرار است اطلاعات سازمانی را به سرقت ببرند. بدافزارها برای برقراری ارتباط با سرورهای کنترل و فرمان‌دهی از پروتکل‌های رایجی همچون FTP، HTTP و DNS پنهان استفاده می‌کنند. گاهی اوقات این ارتباط از طریق پروتکل‌های رمزنگاری شده یا با استفاده از پروتکل‌های راه دور (RDP) که یک مکانیزم انتقال رمزنگاری شده را ارائه می‌کنند انجام می‌شود.

حمله‌ها چگونه انجام می‌شوند؟

حمله‌های پیشرفته با هدف ورود به زیرساخت‌های ارتباطی و انجام عملیات مخرب انجام می‌شوند. در حملات پیشرفته هکر از مسیرها و تکنیک‌های مختلفی برای پیاده‌سازی حملات استفاده می‌کند تا بتواند با استفاده از یک حساب کاربری به یک سامانه تحت شبکه وارد شود، سطح مجوز را ارتقا دهد، به شکل ناشناس در شبکه باقی بماند و در نهایت اطلاعات را سرقت کرده یا به سامانه‌های دیگر آسیب جدی وارد کند. دسترسی به اطلاعات و ترافیک مبادله شده در شبکه و تحلیل تمامی داده‌ها به شناسایی و مقابله با تهدیدات پیشرفته کمک می‌کند. نظارت مستمر بر ترافیک و فعالیت‌های غیر‌عادی و مرتبط کردن اطلاعات با یکدیگر یکی از روش‌های Kill Chain است که می‌تواند به شناسایی میزبان‌های در معرض خطر و تهدیدات پیشرفته‌ای که شبکه سازمانی را نشانه گرفته‌اند کمک کند. در روش Kill Chain تمرکز روی شناسایی فعالیت‌های پس از اجرای اکسپلیوت یا آلوده شدن سامانه‌ها (به فرض ورود هکر به شبکه) است. مجموعه راهکارهای امنیتی اسپلانک می‌توانند به سازمان‌ها و شرکت‌های ارائه‌دهنده خدمات اینترنتی اجازه دهند ضمن حفظ کارایی سامانه‌ها، با شناسایی زودهنگام مخاطرات امنیتی، تهدیدات را شناسایی کنند، عملیات تحلیل و ارزیابی را به موقع انجام دهند و با کمترین هزینه ممکن مرکز عملیات شبکه و امنیت را پیاده‌‌سازی کنند. مهم‌ترین مزیت راه‌حل‌های امنیتی ارائه شده توسط اسپلانک نظارت بر سازگاری و پایداری، بهبود سطح فرآیندهای امنیتی و انطباق‌پذیری بالا است.

چگونه تهدیدهای پیرامون میزبان‌های در معرض خطر را شناسایی کنیم؟

برای شناسایی تهدیدهای پیشرفته ابتدا باید فهرستی از پرسش‌های مهم را در قالب یک چک‌لیستی امنیتی آماده کنید و مطابق با آن به شناسایی موارد مشکوک بپردازید. این فرآیند می‌تواند به دو شکل دستی یا خودکار انجام شود. مزیت روش خودکار در تشخیص زود‌هنگام و دقیق تهدیدات است. راه‌حل‌هایی همچون Splunk Enterprise یا IBM QRadar به سازمان‌ها در انجام این‌کار کمک می‌کنند. در جدول1 تکنیک‌هایی که برای شناسایی تهدیدات پیشرفته پیرامون میزبان‌ها استفاده می‌شوند و نحوه پاسخ‌گویی و مقابله با تهدیدات را نشان می‌دهد. این جدول توسط شرکت اسپلانک و مطابق با تکنیک‌های استفاده شده توسط محصولات این شرکت آماده شده‌اند. برای اطلاع بیشتر در خصوص سایر موارد به آدرس انتهای مطلب مراجعه کنید.

جدول 1 نشان می‌دهد انجام این فرآیندها به شیوه دستی کار سختی است و در بیشتر موارد احتمال سهل‌انگاری یا نادیده گرفتن برخی نکات وجود دارد. Splunk ES با ارائه راه‌حلی جامع این مشکل را برطرف می‌کند.

شناسایی تهدیدات پیشرفته پیرامون میزبان‌ها
Splunk Enterprise Security

یکی از مشکلات عمده سازمان‌ها عدم انطباق استراتژی‌های امنیتی با تهدیدات پویا و فناوری‌های روز است. همین موضوع باعث شده تا تهدیدات پیشرفته نوین به سختی شناسایی شوند و استراتژی‌های کسب‌وکار سنخیت چندانی با دکترین امنیتی نداشته باشند. تیم‌های امنیتی برای غلبه بر این چالش‌ها به یک راهکار تحلیلی با قابلیت پاسخ‌گویی دقیق به رویدادها نیاز دارند که بتواند تکنیک‌های شناسایی تهدیدها را به سرعت به کار بگیرد، در کوتاه‌ترین زمان به تهدیدات پاسخ دهد و به کارشناسان امنیتی اجازه دهد تصمیمات مناسبی برای مقابله با تهدیدات اتخاذ کنند. Splunk ES یک راه‌حل امنیتی ایده‌آل است که اجازه می‌دهد تیم‌های امنیتی در کوتاه‌ترین زمان تهدیدات داخلی و خارجی را شناسایی کنند و به آن‌ها پاسخ دهند. فارغ از مدل پیاده‌سازی که می‌تواند به شکل ابر خصوصی، عمومی، درون سازمانی یا استقرار SaaS یا ترکیبی از حالت‌های فوق پیاده‌سازی شود، Splunk ES به سازمان‌ها اجازه می‌دهد برای نظارت مستمر و پاسخ‌گویی سریع به رخدادها یک مرکز عملیات امنیت (SOC) را پیاده‌سازی کنند. همچنین این امکان وجود دارد که Splunk ES را همراه با راه‌حل‌های دیگر این شرکت همچون Splunk Cloud استفاده کرد.

مزایای به‌کارگیری Splunk ES
  •  Splunk ES می‌تواند با تحلیل هوشمندانه داده‌هایی که توسط فناوری‌ها امنیتی تولید می‌شود به کارشناسان امنیتی کمک کند قواعد و خط‌مشی‌های قدرتمندی برای پاسخ‌گویی به تهدیدات اتخاذ کنند.
  •  ارائه قابلیت‌های کاربردی در ارتباط با مدیریت هشدارها، کشف و شناسایی تهدیدات پویا، جست‌وجوی دقیق داده‌ها و تحلیل سریع تهدیدهای پیشرفته
  •  ارائه یک راه‌حل انعطاف‌پذیر در زمینه سفارشی‌سازی جست‌و‌جوها، هشدارها، گزارش‌ها و داشبوردهایی مطابق با نیازهای کاربری با هدف نظارت مستمر بر ترافیک شبکه
  •  پیاده‌سازی یک مرکز عملیات امنیت کارآمد برای پاسخ‌گویی سریع به رخدادها
امنیت مبتنی بر تجزیه و تحلیل
  • فرآیند شناسایی و مرتبط کردن داده‌های امنیتی و شبه‌امنیتی با یکدیگر (اطلاعاتی در ارتباط با زیرساخت‌های فناوری اطلاعات، محصولات امنیت و داده‌های تولید شده توسط کلاینت‌ها) و انطباق سریع این اطلاعات با هدف ارائه یک دورنمای دقیق از تهدیدات را امنیت مبتنی بر تجزیه و تحلیل می‌گویند. Splunk ES با ارائه یک راه‌حل تحلیل‌محور SEIM به کسب‌وکارها اجازه می‌دهد به سرعت تهدیدات داخلی و خارجی را شناسایی و به آن‌ها واکنش نشان دهند. در ادامه به چند مورد از مهم‌ترین کاربردهای Splunk ES اشاره می‌کنیم:

    مانیتور کردن مستمر وضعیت امنیتی

    • Splunk ES با ارائه مجموعه کاملی از داشبوردهای از پیش تعریف شده همچون شاخص‌های مهم امنیتی (KSI)، شاخص‌های مهم عملکردی (KPI)، آستانه تحمل پویا و ایستا و شاخص‌های Trending یک تصویر کلی و شفاف از وضعیت امنیتی سازمان ارائه می‌کند (شکل 3).

    اولویت‌بندی رخدادها و واکنش مناسب به آن‌ها

    • تحلیل‌گران و تیم‌های امنیتی می‌توانند از هشدارها و رخدادها، ناهنجاری مرتبط با تحلیل الگوی رفتاری کاربر (UBA) سرنام User Behavior Analytics، گزارش‌های تولید شده در ارتباط با وضعیت ترافیک شبکه و موارد این چنینی برای پاسخ‌گویی سریع‌تر و شفاف‌تر استفاده کنند (شکل 4).

    ‌بررسی و رسیدگی سریع به تهدیدها

    • Splunk ES برای شتاب بخشیدن به روند شناسایی تهدیدها قابلیت جست‌وجوی موردی و همچنین ارتباط بصری، پویا و ایستا را ارائه می‌کند تا کارشناسان امنیتی فعالیت‌های مخرب را به سرعت شناسایی کنند. در این زمینه Splunk ES تمامی داده‌های تولید شده در شبکه را بررسی می‌کند تا بتواند تهدیدات را بر مبنای الگوهای رفتاری آن‌ها شناسایی کند و با ردیابی اقدامات هکرها و بررسی شواهد و مدارک اطلاعات بیشتری در اختیار کارشناسان امنیتی قرار دهد.

    انجام بررسی‌های چندگانه

    • با هدف پیگیری فعالیت‌های مرتبط با سامانه‌های آسیب دیده لازم است تحلیل‌های مرتبط با نفوذ‌پذیری انجام شود. در این حالت باید مدل Kill Chain را اعمال کرد و با استفاده از جست‌وجوهای موردی و به‌کارگیری قابلیت‌های Splunk ES همراه با رکوردهای جست‌وجو کننده و خط زمانی جست‌وجو به بررسی چرخه عمر تهدیدهای پیشرفته پرداخت (شکل 5).

    کلام آخر

    همان‌گونه که ممکن است حدس زده باشید، Splunk ES عملکردی فراتر از یک راه‌حل SIEM عادی دارد و می‌تواند ضمن نظارت بر ترافیک شبکه، با ارائه داشبوردهای تعاملی به کارشناسان کمک کند قبل از آن‌که مشکلات یا آسیب‌پذیری‌ها خسارت زیان‌باری به بار آورند، اقدامات پیشگیرانه را انجام دهند .

بیشتر بخوانید

با معرفی اسمارت لایسنس های سیسکو (معرفی Cisco SLR License و Cisco PLR License) بجای شیوه سنتی، فعالسازی تمامی دستگاه ها با ارتباط با سرور مدیریت لایسنس های سیسکو (CSSM) انجام خواهد شد. در این روش تمامی قابلیت های دستگاههای درون شبکه با اتصال مستقیم به وبسایت و یا با استفاده از سرور مدیریت لایسنس ها (SSM On Premise) و با استفاده از لایسنس های موجود و خریداری شده توسط اسمارت اکانت سیسکو فرد و یا سازمان ، فعال خواهد شد. همچنین برای محیط هایی که بخاطر مسائل امنیتی و سیاست های داخلی ، دسترسی مستقیم به این سرورها ندارند میتوان از لایسنس SLR سیسکو برای فعالسازی قابلیت های مشخص و لایسنس PLR سیسکو برای فعالسازی تمامی قابلیت های دستگاه و به بصورت دائمی استفاده کرد.

شرکت بهپارت ارائه دهنده ارائه دهنده لایسنس های PLR و Smart کلیه محصولات سیسکو
لایسنس سیسکو روی تجهیزات زیر ساخت شبکه

بطور کلی، لایسنس های شبکه سیسکو شامل دو مدل لایسنس Network Essentials و لایسنس Network Advantage می شود. در این گروه لایسنس های Network Essentials توانایی فعال کردن قابلیت های پایه لایه دو و همچنین بعضی از ویژگی های لایه سه و بصورت محدود را دارا است اما لایسنس Network Advantage  تمام قابلیت های موجود را فعال خواهد نمود. در ادامه به معرفی هر یک از دوحالت لایسنس مربوط به لایسنس سوئیچ سیسکو و روتر سیسکو می پردازیم:

لایسنس Network Essentials سیسکو

 

ویژگی های مهمی که بوسیله این لایسنس ها فعال میگردند عبارتند از:

  • پشتیبانی از قابلیت های لایه دو مانند Private VLAN
  • پشتیبانی از قابلیت های QoS
  • مسیریابی لایه سه با استفاده از پروتکل های RIP، EIGRP و OSPF تا 1000 Route
  • پشتیبانی از ویژگی های لایه سه مانند Policy-Based Routing و IP SLA
  • پشتیبانی از استاندارد 1X بمنظور احراز هویت Client ها
  • پشتیبانی از StackWise
  • پشتیبانی از Zero Touch Provisioning
  • پشتیبانی از رمزنگاری 128-bit MACsec

این لایسنس ها در دوره های سه، پنج و هفت ساله موجود می باشد.

لایسنس Network Advantage سیسکو

علاوه بر موارد ذکر شده و برای شبکه هایی که نیاز به قابلیت لایه سه پیشرفته تر دارند، میتوان از لایسنس های Network Advantage استفاده کرد و علاوه بر ویژگی های Network Essentials موارد زیر فعالسازی خواهد شد:

  • پشتیبانی کامل و بدون محدودیت از پروتکل های مسیریابی لایه سه مانند IS-IS، OSPF و BGP
  • پشتیبانی از Flexible network segmentation
  • پشتیبانی کامل از VRF, VXLAN, LISP, SGT, MPLS, BGP-EVPN
  • پشتیبانی از StackWise Virtual
  • پشتیبانی از Advanced Multicast
  • پشتیبانی از رمز نگاری 256-bit MACsec

توجه داشته باشید بعضی از این موارد با توجه به مدل های مختلف، متفاوت خواهد بود. این لایسنس ها برای فعالسازی قابلیت های تجهیرات در دوره های سه، پنج و هفت ساله موجود می باشد.

لایسنس DNA سیسکو

تمامی تجهیزات این شرکت از قبیل سوئیچ سیسکو و روتر سیسکو همچنین برخی نرم افزار های امنیتی مانند ISE و پرایم، علاوه بر دارا بودن لایسنس های Network Essentials و Network Advantage، که ویژگی های مختلف را برای آنها فعال می نماید ، به منظور بهره مندی از فناوری Software Defined Network و پشتیبانی از راهکارهای SD-WAN ، SD-Access و ACI هماهنگ شدن با این پلتفرم، نیاز به استفاده از لایسنس DNA Essentials ، DNA Advantage و در حالت فول لایسنس DNA Premier دارند.

انواع Cisco DNA License به شرح زیر است:

لایسنس DNA Essentials سیسکو

این لایسنس حالت پایه لایسنس های DNA می باشد و ویژگی های مهم زیر را برای تجهیزات شبکه فعال خواهد کرد:

  • ویژگی Full Flexible NetFlow : نسل جدید Flow Technology که موجب بهبود عملکرد شبکه و کاهش هزینه ها خواهد شد.
  • ویژگی Cisco IOS Embedded Event Manager (EEM) : این ویژگی موجب بررسی لحظه ای اتفاقات و رفتارهای شبکه و خودکار کردن فرآیندها میشود.
  • ویژگی Software Image Management (SWIM) : موجب اجرای آپدیت خودکار سیستم عامل تجهیزات شبکه خواهد شد.
  • ویژگی LAN automation : پیکربندی و پیاده سازی ها بشکل خودکار در بستر شبکه کمک خواهد کرد.
  • داشبوردOverall health  : در این قسمت سطح سلامت تجهیزات شبکه بصورت لحظه ای قابل بررسی میباشد.
  • اپلیکیشن Network Plug and Play (PnP) : این قسمت قابلیت Zero-touch provisioning را بمنظور بهره برداری از تجهیزات در سریع ترین زمان ممکن پشتیبانی میکند و زمان پیاده سازی تجهیزات جدید در شبکه ها را بشدت کاهش میدهد.
لایسنس DNA Advantage سیسکو

این لایسنس علاوه بر ویژگی های ذکر شده در بالا از موارد زیر نیز پشتیبانی می کند:

  •  قابلیت SD-Access and Network Health Insights : قابلیت اعمال خودکار سیاست ها ( Policy-based automation ) و Segmentation را برای شبکه های SD-Access فراهم میگرداند.
  • قابلیت Cisco ThousandEyes Network and Application Synthetics : این ویژگی با هماهنگ شدن با سری سوئیچ های کاتالیست 9300 و 9400 سیسکو، توانایی نظارت برروی شبکه و اپلیکیشن های موجود در آن مهیا میکند.
  • قابلیت Cisco AI Network Analytics : این ویژگی با استفاده از Machine learning امکان بهبود فرآیندهای شبکه را با کمک سرویس DNA Assurance فراهم میکند.
  • قابلیت Cisco AI Endpoint Analytics : این قابلیت با چک کردن مداوم Endpoint های درون شبکه، آنها را درون گروه های مختلف به منظور نظارت جامع تر دسته بندی میگرداند.
  • قابلیت Group-Based Policy Analytics : قابلیت Segmentation را با نظارت مداوم بهبود میبخشد.
  • قابلیت Cisco User-Defined Network : امکان ایجاد دسترسی های مختلف به کاربران برای کنترل دسترسی تجهیزات وایرلس خود را امکان پذیر میکند.
  • قابلیت Application Policy Creation : امکان ایجاد سیاست های مختلف را برای اپلیکیشن های گوناگون مهیا میکند.
  • قابلیت Application Hosting : امکان راه اندازی Third-party applications را درون کانتینرهای امن را درون سوئیچ های سیسکو فراهم میکند.
  • قابلیت Third-party API Integration : امکان هماهنگ شدن با Third-party applications را از طریق API مهیا میکند.
  • قابلیت Encrypted Traffic Analytics (ETA) : بجز برای Stealthwatch ، برای بقیه تجهیزات امکان شناسایی بدافزارها و ترافیک های مخرب را از درون ترافیک های رمز شده مهیا میکند.
  • قابلیت ERSPAN : در بعضی از پلتفرم ها، امکان بررسی ترافیک های هدایت شده را فراهم میاورد.
  • قابلیت Wireshark : در بعضی از پلتفرم ها، امکان آنالیز بسته های ترافیکی را ایجاد میکند.
  • قابلیت AVC (NBAR2) : دید جامع برروی نسل جدید اپلیکیشن های تحت شبکه را مهیا میکند.
  • قابلیت Cisco Prime Infrastructure License : برای سوئیچ های کاتالیست 9000 سیسکو امکان هماهنگ شدن با نرم افزار Cisco Prime برای راهکاری جامع جهت مدیریت تجهیزات سیمی و بی سیم شبکه را در اختیار مدیران قرار میدهد.
لایسنس DNA Premier سیسکو

این لایسنس فول ترین حالت لایسنس های DNA میباشد که علاوه بر تمام موارد ذکر شده در دور حالت قبلی، شامل بهره مندی از قابلیت های Cisco Stealthwatch و Cisco ISE درون شبکه نیز می باشد.

لازم به ذکر است خرید یکی از لایسنس های DNA هنگام خرید سوئیچ های کاتالیست سری 9000 سیسکو اجباری می باشد. این لایسنس ها علاوه بر لایسنس Network Essentials و یا Network Advantage مورد نیاز می باشد.

لایسنس PLR سیسکو

این سری از لایسنس های سیسکو برای محیط های امنیتی و آفلاین که ارتباط با سرورهای مدیریت لایسنس های سیسکو، بصورت دائمی و حتی دوره ای، امکان پذیر نمی باشد، کاربرد دارد. در این روش کاربر بروی بعضی از محصولات خاص با دریافت Request code و ارسال آن برای پارتنرهای سیسکو یک Authorization code دریافت کرده و برروی دستگاه اعمال می کند. پس از انجام این فرآیند، تمامی ویژگی های محصول بصورت فول و دائمی و نامحدود (بدون نیاز به تمدید دوره ای) فعال خواهد شد و با توجه به تحریم ها و محدویت های موجود در ایران در حال حاضر استفاده از لایسنس PLR بهترین و راحت ترین حالت فعالسازی لایسنس محصولات سیسکو می باشد. لازم بذکر است لایسنس PLR از ویژگی های لایسنس های DNA سیسکو را پشتیبانی نمیکند.

در حال حاضر محصولات زیر مدل لایسنس PLR را پشتیبانی می کنند:

  • سوئیچ کاتالیست سیسکو: Cisco Catalyst 3000 , 9000
  • سوئیچ نکسوس سیسکو: Cisco Nexus 3000 , 5000 , 6000 , 7000 , 9000
  • روتر ISR سیسکو: Cisco ISR 1000 , 4000
  • روتر CSR1000vسیسکو
  • روتر ASR سیسکو : Cisco ASR 900 , 1000 , 9000
  • فایروال سیسکو: Cisco ASA-X, Cisco FTDv، Cisco Firepower 1000 , 2100 , 4100 , 9300
  • نرم افزار ISE سیسکو

بیشتر بخوانید

شرکت سیسکو در خصوص یک آسیب پذیری بحرانی در Cisco SD-WAN vManage هشداری را صادر کرده است. این آسیب پذیری با شناسه CVE-2023-20214 و شدت بحرانی و امتیاز 9.1 در محصولات سیسکو یافت شده است. یک آسیب‌پذیری در اعتبارسنجی درخواست برای رابط برنامه‌نویسی برنامه‌های کاربردی (REST API) نرم‌افزار Cisco SD-WAN vManage وجود دارد که می‌تواند به یک حمله‌کننده غیرمجاز، اجازه دسترسی به مجوزهای خواندن یا محدود خواندن/نوشتن به پیکربندی نمونه Cisco SD-WAN vManage متأثر را بدهد.

این آسیب‌پذیری سیسکو به دلیل عدم اعتبارسنجی کافی درخواست‌ها هنگام استفاده از ویژگی REST API به وجود می‌آید. یک حمله‌کننده می‌تواند از طریق ارسال درخواست API منحصربه‌فرد به یک نمونه vManage متأثر، از این آسیب‌پذیری بهره‌برداری کند. در صورت موفقیت آمیز بودن حمله، حمله‌کننده قادر خواهد بود اطلاعات را از پیکربندی نمونه Cisco  vManage  متأثر دریافت و اطلاعات را به آن ارسال کند. این آسیب‌پذیری تنها تأثیری بر روی REST API دارد و بر روی رابط مدیریت مبتنی بر وب یا رابط خط فرمان تأثیری ندارد. این APIها برای موارد زیر استفاده می‌شوند.
•    نظارت بر وضعیت دستگاه
•    پیکربندی دستگاه
•    بدست آوردن اطلاعات آماری از دستگاه
نسخه های تحت تاثیر و اصلاح شده :

ax

سیسکو اعلام کرده است که اطلاعاتی در خصوص اکسپلویت یا حملات استفاده شده برای این آسیب پذیری ندارد.
برای بررسی اینکه آیا به این APIها درخواستی ارسال شده است می‌توان فایل لاگ که در مسیر زیر قرار دارد را بررسی کنید :

/var/log/nms/vmanage-server.log

با دستور CLI زیر میتونید این فایل رو مشاهده کنید :

vmanage# show log /var/log/nms/vmanage-server.log

اگه در نتایج عبارت Request Stored in Map is (/dataservice/client/server) for user (admin) بود، یعنی درخواست‌هایی به REST API ارسال شده  است.

30-Jun-2023 15:17:03,888 UTC INFO  [ST3_vmanage1] [AppServerLoginModule] (default task-202) |default| Localization: Locale value after setting for non-SAML User upon login: null
30-Jun-2023 15:17:03,930 UTC INFO  [ST3_vmanage1] [UserUtils] (default task-202) |default| Request Stored in Map is (/dataservice/client/server) for user (admin)
30-Jun-2023 15:17:03,933 UTC INFO  [ST3_vmanage1] [UserUtils] (default task-202) |default| localUserFile : /etc/viptela/aaa_auth_grp/admin, radiusUserFile : /etc/viptela/aaa_auth_grp/admin.external
30-Jun-2023 15:17:03,933 UTC INFO  [ST3_vmanage1] [UserUtils] (default task-202) |default| localUserFile exists : false, isFile : false

توصیه :
سیسکو به‌روزرسانی‌های نرم‌افزاری را منتشر کرده است که این آسیب‌پذیری را رفع می‌کند. راه‌حل‌های موقتی برای رفع این آسیب‌پذیری وجود ندارد. همچنین گفته شده که می‌توانید با فعال کردن access control list) ACL) دسترسی به vManage رو محدود کنید.

 

منبع : sec.cloudapps.cisco.com

بیشتر بخوانید

کمپانی فورتینت از یک ضعف امنیتی و آسیب پذیری با شدت بحرانی در فورتی‌اواس (FortiOS) و فورتی‌پراکسی (FortiProxy) خبر داده است که به یک حمله‌کننده از راه دور امکان اجرای کد دلخواه را در دستگاه‌های آسیب‌پذیر می‌دهد.

این ضعف که توسط شرکت امنیتی Watchtowr کشف شده است، با شناسه CVE-2023-33308 ردیابی می‌شود و امتیاز CVS v3 آن 9.8 از 10.0 است که به عنوان بحرانی رده‌بندی شده است. فورتینت در یک اعلان جدید از ضعف، هشدار داده است: یک آسیب پذیری سرمبنای بالا [CWE-124] در فورتی‌اواس و فورتی‌پراکسی ممکن است اجازه دهد تا یک حمله‌کننده از راه دور کد یا دستور دلخواه را از طریق بسته‌هایی که به سیاست‌های پروکسی یا سیاست‌های فایروال با حالت پروکسی و همچنین بررسی عمیق بسته‌های SSL می‌رسند، اجرا کند.
یک سرریز مبتنی بر استک (stack-based overflow) یک مشکل امنیتی است مهاجم راه دور با ارسال بسته های مخربی که به خط مشی های فایروال و پروکسی در حالت proxy mode و SSL deep packet inspection  می‌رسد، میتواند کد یا دستور دلخواه را اجرا کند.
این ضعف در نسخه‌های زیر از FortiOS تأثیر می‌گذارد:

ax

نسخه های اصلاح شده به شرح  زیر هستند:
•    FortiOS version 7.4.0 or above
•    FortiOS version 7.2.4 or above
•    FortiOS version 7.0.11 or above
•    FortiProxy version 7.2.3 or above
•    FortiProxy version 7.0.10 or above

اگر مدیران قادر به اعمال نسخه‌نرم‌افزار جدید به‌صورت فوری نباشند، فورتینت می‌گوید که می‌توانند  پشتیبانی HTTP/2 را در پروفایل‌های SSL inspection که توسط خط مشی های پروکسی یا فایروال با حالت proxy mode استفاده می‌شوند را غیرفعال کنید. در مثال زیر این ویژگی را در یک پروفایل با عنوان custom-deep-inspection غیرفعال کرد است.

config firewall ssl-ssh-profile
   edit "custom-deep-inspection"
      set supported-alpn http1-1
   next
end

در نهایت پروفایل‌های امنیتی در حالت proxy mode می‌توانند SSL inspection را روی ترافیک HTTP/2  که توسط TLS 1.2 یا TLS 1.3 امن شده‌اند توسط Application-Layer Protocol Negotiation (ALPN) اجرا کنند. دستور بالا با تنظیم http1-1 روی این پروفایل‌ها، ترافیک HTTP/1.1  رو فقط فوروارد می‌کند.

 

منبع : fortiguard

بیشتر بخوانید

مهاجمان از یک آسیب پذیری بحرانی که اخیرا در پلاگین WooConnerce Payments WordPress افشا شده بود، برای حملات هدفمند گسترده استفاده می کنند. این گروه  حملات، به وب سایت های  Wordfence حمله می کنند. یک فایروال برنامه وب برای سایت های وردپرس گزارش کرده است که این گروه حملات بر روی زیرمجموعه کوچکتری از وب سایت ها تمرکز دارد. 

این آسیب پذیری که با عنوان CVE-2023-28121 و امتیاز 9.8 ارزیابی شده است،  یک مورد دور زدن تایید هویت است که به مهاجمان تایید هویت نشده امکان می دهد، با جعل هویت کاربران برخی اقدامات را حتی با جعل هویت مدیر انجام دهند که منجر به تصاحب سایت می شود.
اکسپلویت موفقیت آمیز از آسیب پذیری پلاگین WooCommerce Payments وردپرس، به مهاجم تایید هویت نشده، اجازه می دهد درخواست هایی را از طرف یک کاربر با دسترسی بالا مانند مدیر ارسال کند. از این رو، مهاجم از راه دور و تایید هویت نشده می تواند به سایتی که با نسخه آسیب پذیر پلاگین فعال شده است، دسترسی مدیر داشته باشد.
گزارش ها نشان می دهد افزایش درخواست های شمارش پلاگین ها، از چند روز قبل، نشانه هایی از حملات گسترده را شناسایی کرده اند. این درخواست ها یک فایل خاص read.txt را در فهرست wp-content/plugins/woocommerce-payments/ در میلیون ها سایت جستجو می کردند. اگرچه، همه اسکن‌هایی که فایل‌های readme.txt را هدف قرار می‌دهند مخرب نیستند. بااین حال، افزایش جستجوها برای یک پلاگین خاص معمولاً نشان‌دهنده علاقه شدید عوامل تهدید است.
حفره مشترک مشاهده شده در حملات، استفاده از هدر درخواست HTTP “X-Wcpay-Platform-  Checkout-User: 1 است که باعث می شود سایت های حساس هر گونه بار اضافی را به عنوان یک کاربر مدیریتی Wordfence در نظر بگیرند. این حفره برای استقرار پلاگین WP Console استفاده می شود که می تواند برای اجرای کدهای مخرب و نصب یک آپلود کننده فایل برای تنظیم پایداری سایت در معرض آسیب پذیری باشد.

محصولات تحت تأثیر
نسخه های 4.8.0 تا 5.6.1 پلاگین WooCommerce Payments آسیب پذیر هستند. بیش از 600000  وب سایت وردپرسی وجود دارد که از این پلاگین استفاده می کنند. وصله های مربوط به این آسیب پذیری توسط WooCommerce در مارس 2023 منتشر شد و وردپرس با استفاده از نسخه های آسیب پذیر نرم افزار، بروزرسانی هایی را برای سایت ها صادر کرد.

 

منبع : hdeveloper.woocommerce.com

بیشتر بخوانید

اخیرا Citrix با انتشار بیانیه ای امنیتی کاربران خود را از سه آسیب پذیری جدید NetScaler ADC و NetScaler Gateway با خبر کرد. از بین این سه آسیب پذیری، آسیب پذیری با شناسه CVE-2023-3519 شدیدترین است که سواستفاده ی موفقیت آمیز از آن، به مهاجمین احراز نشده اجازه ی اجرای کد از راه دور بر روی سیستم های آسیب پذیر که به عنوان دروازه (Gateway) تنظیم شده اند را می دهد.

• آسیب پذیری CVE-2023-3466: این آسیب پذیری از نوع Reflected XSS (XSS بازتابی) بوده و سو استفاده ی موفق از آن به دسترسی کاربر از طریق مرورگر به یک لینک کنترل شده توسط مهاجم درحالی که در یک شبکه به NetScaler IP (NSIP) متصل شده است دارد.
• آسیب پذیری CVE-2023-3467: باعث افزایش سطح دسترسی به ادمین root (nsroot) می شود.
• آسیب پذیری CVE-2023-3519: از نوع اجرای کد از راه دور احراز نشده است و برای آن دستگاه باید به صورت یک دروازه (Gateway) مثل VPN virtual server, ICA Proxy, CVPN RDP Proxy یا به صورت AAA  virtual server تنظیم شده باشد.
این محصول برای مهاجمین با هر سطح مهارتی، هدف محبوبی است و توصیه می شود کاربران در اسرع وقت آن را به یک نسخه ی اصلاح شده ارتقا دهند و منتظر پچ شدن آن نمانند.

محصولات آسیب پذیر:

•    NetScaler ADC and NetScaler Gateway 13.1 before 13.1-49.13
•    NetScaler ADC and NetScaler Gateway 13.0 before 13.0-91.13
•    NetScaler ADC 13.1-FIPS before 13.1-37.159
•    NetScaler ADC 12.1-FIPS before 12.1-65.36
•    NetScaler ADC 12.1-NDcPP before 12.65.36

هر سه آسیب پذیری در محصولات زیر رفع شده است:

•    NetScaler ADC and NetScaler Gateway 13.1-49.13 and later releases
•    NetScaler ADC and NetScaler Gateway 13.0-91.13 and later releases of 13.0
•    NetScaler ADC 13.1-FIPS 13.1-37.159 and later releases of 13.1-FIPS
•    NetScaler ADC 12.1-FIPS 12.1-65.36 and later releases of 12.1-FIPS
•    NetScaler ADC 12.1-NDcPP 12.1-65.36 and later releases of 12.1-NDcPP

منابع : https://gbhackers.com/zero-day-vulnerability-citrix-netscaler/

بیشتر بخوانید