۲ درصد از اعتبارات هزینه‌ای دستگاه‌های اجرایی، صرف امنیت سایبری ‌می‌شود

به موجب اسناد منتشر شده از لایحه بودجه کشور، در بند «ز» این لایحه به موضوع امنیت سایبری پرداخته شده است. بر اساس این بند، دستگاه‌های اجرایی موظف هستند که تا ۲ درصد از اعتبارات هزینه‌ای خود را به امنیت شبکه و پیش‌گیری از وقوع حوادث امنیتی سایبری در دستگاه خود اختصاص دهند. در « بند ز » تبصره ۷ آمده است: «تمام دستگاه‌های اجرایی موضوع ماده ۲۹ قانون برنامه پنج‌ساله ششم توسعه و شرکت‌های دولتی و نهادها و سازمان‌هایی که از بودجه عمومی استفاده می‌کنند، مکلفند یک تا دو درصد از اعتبارات هزینه‌ای‌(به استثنای فصول ۱ و ۴ و ۶) یا تملک دارایی‌های سرمایه‌ای خود را برای تضمین و ارتقای سطح امنیت شبکه، امنیت زیرساخت‌ها و امنیت سامانه‌های خود و پیش‌گیری موثر از وقوع حوادث امنیتی سایبری در دستگاه خود اختصاص دهند.» طبق آنچه در این سند ذکر شده، مسوولیت تامین امنیت سایبری شبکه و سامانه‌های دستگاه‌های اجرایی بر عهده بالاترین مقام دستگاه اجرایی بوده و نظارت و صدور تاییدیه در این مورد بر عهده وزارت ارتباطات و فناوری اطلاعات با همکاری وزارت اطلاعات است. آیین‌نامه اجرایی این بند به پیشنهاد مشترک وزارت ارتباطات و فناوری اطلاعات‌(مسوول) و وزارت اطلاعات و سازمان برنامه‌وبودجه کشور ظرف مدت دوماه پس از لازم‌الاجرا شدن این قانون تهیه و به تصویب هیات وزیران خواهد رسید.

تکلیف امنیت سایبری دستگاهها در لایحه بودجه

بیشتر بخوانید

کارشناسان حوزه امنیت و شبکه، از نرم‌افزارها و ابزارهای مختلف برای گردآوری اطلاعات کاربردی و لحظه‌ای (Realtime) درباره اتفاقات شبکه و فعالیت‌های مشکوک استفاده می‌کنند تا بتوانند راهکارهای پیشگیرانه‌ای برای مقابله با حملات سایبری متنوع و پیشرفته اتخاذ کنند. یکی از ابزارهای قدرتمندی که این گروه از متخصصان از آن استفاده می‌کنند، زیرساخت تحلیل امنیت (Security Analytics Platform) است. یک راه‌حل‌ کلیدی که تیم‌های بزرگ امنیت سایبری سازمان‌ها از آن استفاده می‌‌کنند. در این مقاله، قصد داریم شما را با این ابزارها، اهمیت آن‌ها و کاری که انجام می‌دهند، نحوه عملکردشان و گزینه‌هایی که برای انتخاب وجود دارند، آشنا کنیم.

زیرساخت تحلیل امنیتی چیست؟

در زیرساخت‌های تحلیل تهدیدات امنیت سایبری از ابزارهای نظارت بر ترافیک شبکه و تحلیل اتفاقات استفاده می‌شود. به‌طور معمول، این ابزارها از کانال‌های خاصی داده‌های مورد نیاز را دریافت می‌کنند که همگی این کانال‌ها متصل به مولفه‌های کلیدی شبکه مثل سرورها و استوریج‌ها هستند. این زیرساخت‌ها، ترافیک شبکه را که از دستگاه‌های مختلف عبور می‌کند، بررسی و داده‌های مربوط به ترافیک را گردآوری می‌کنند و آن‌ها را با خط‌مشی‌ها و دیگر پارامترهای ذخیره‌شده در بانک اطلاعاتی ازقبل‌ساخته‌شده، مقایسه می‌کنند. اگر بسته‌های داده مشکوکی شناسایی شوند، این ابزارها از طریق یک داشبورد مرکزی و سیستم اطلاع‌رسانی، گزارش‌ ناهنجاری‌ها را تولید کرده و موارد بحرانی را نشانه‌گذاری می‌کنند.

یک سطح بالاتر از زیرساخت‌های تحلیل تهدیدات امنیت سایبری، راه‌حل‌های SIEM هستند که از الگوریتم‌های قدرتمند و دیگر ابزارها برای ارزیابی دقیق‌تر و بهتر ترافیک شبکه استفاده می‌کنند. سامانه‌هایSIEM ترافیک شبکه را تحلیل می‌کنند و پیشنهادهای لازم برای انجام اقدامات لازم را به کارشناسان امنیت اعلام می‌کنند. البته، در برخی موارد، این سامانه‌ها قادر به انجام خودکار برخی از کارها هستند. پلتفرم‌های تحلیل امنیت، در بالاترین سطح مجهز به ابزارهای ارزیابی تهدیدات سایبری هستند. این ابزارها با استفاده از راه‌حل‌های هوشمند و به‌ویژه یادگیری ماشین، کارهای دیگری مثل تحلیل رفتار کاربر را انجام می‌دهند تا در مورد تهدیدات و منابعی که عامل بروز حمله‌ها هستند و کاری که ممکن است یک هکر در مرحله بعد انجام دهد، به کارشناسان امنیتی اطلاعات بیشتر و دقیق‌تری بدهند. همچنین، پلتفرم‌های تحلیل امنیت قادر هستند بر اساس تجزیه‌و‌تحلیل رفتار توصیه‌هایی را ارائه دهند که از مهم‌ترین آن‌ها باید به اقدامات لازم برای کاهش سطح حمله و کاهش شدت اثرگذاری یک حمله سایبری بر فعالیت‌های تجاری اشاره کرد.

به طور معمول، همه این راه‌حل‌ها با تحلیل تهدید از طریق نظارت بر ترافیک و گزارش اتفاقات کار خود را آغاز می‌کنند. کانال‌های انتقال داده‌ها، ابزارها را به بخش‌های مختلف شبکه ارتباط می‌دهند تا داده‌های لازم را برای تحلیل گردآوری کنند.

تقریبا امکان اتصال ابزارهای تحلیل امنیت سایبری به هر دستگاه تحت شبکه وجود دارد. شکل ۱، نشان می‌دهد که چگونه ابزارهای رایج شبکه مثل فایروال، روتر و سوئیچ به این پلتفرم‌های تحلیل‌گر متصل می‌شوند. علاوه بر این، کارشناسان امنیت آشنا به زبان‌های برنامه‌نویسی می‌توانند این ابزارها را به‌گونه‌ای سفارشی‌سازی کرده و در صورت لزوم برنامه‌نویسی کنند تا ابزار توانایی نظارت دقیق‌تر بر ترافیک شبکه و شناسایی ناهنجاری را بر مبنای الگوهای ذخیره‌شده در پایگاه داده داخلی داشته باشد. سازمان‌هایی که نیازمند مدیریت حوادث و داده‌های بیشتر هستند، قادر هستند سامانهSIEM را به‌عنوان لایه‌ای روی سامانه پایه قرار دهند.

همچنین، اگر شدت حملات سایبری به شبکه سازمانی زیاد باشد، این قابلیت وجود دارد که از پلتفرم تحلیل امنیتی دیگری نیز همزمان با SIEM استفاده کرد تا اطلاعات دقیق‌تری به‌دست آید. در چنین شرایطی، ابزارهای تحلیل امنیتی، اطلاعات را از دو سطح دیگر گردآوری می‌کنند و با استفاده از الگوریتم‌های هوشمند تحلیل‌های پیشرفته‌تری را انجام می‌دهد تا داده‌ها را بررسی و توصیه‌ها و بینش مفصل‌تری ارائه کند. لازم به توضیح است که برخی از محصولات موجود در بازار، ترکیبی از سه سطح تحلیل امنیتی را ارائه می‌دهند.

چرا ابزارهای تحلیل امنیتی نقش مهمی در پیشبرد کارهای کارشناسان امنیتی دارند؟

مدیریت امنیت سایبری، شبیه به بازی شطرنج است. توسعه‌دهندگان نرم‌افزار دائما در تلاش برای شناسایی مهاجمان و کدهای جدید هستند تا راهکارهایی برای مقابله با آن‌ها ارائه دهند. در نقطه مقابل، هکرها به‌شکل مستمر تکنیک‌های بدافزاری و کدهای مخرب جدیدی تولید می‌کنند تا دیوارهای آتش و دیگر سازوکارهای دفاعی شبکه را دور زده و به داده‌ها، سامانه‌ها و شبکه‌های داخلی آسیب وارد کنند.

حفاظت از داده‌های ارزشمند و حیاتی برای استمرار فعالیت‌های تجاری و محافظت از اطلاعات شخصی و هویتی کاربران، اصل مهمی است که همه شرکت‌ها باید به آن دقت نظر خاصی داشته باشند. به همین دلیل، انتظار می‌روند در سال 1402، سرمایه‌گذاری برای تهیه یک پلتفرم تحلیل امنیت سایبری قدرتمند، یکی از موضوعات مهمی باشد که شرکت‌ها روی آن تمرکز خواهند کرد. شاید مشاغل کوچک به‌دلیل هزینه زیادی که یک ابزار تحلیل امنیتی دارد از خرید آن صرف‌نظر کنند، اما سازمان‌های بزرگ برای استمرار فعالیت‌های تجاری مجبور به تهیه چنین ابزارهایی هستند.

پلتفرم تحلیل امنیتی چه کاربردهایی دارد؟

ابزارهای تحلیل امنیتی برای پیشگیری از حملات سایبری ساخته شده‌اند. به‌طور معمول، پلتفرم‌های تحلیل امنیتی از الگوریتم‌های هوشمند استفاده می‌کنند تا پیشنهادهای لازم را برای حل مشکلات دستگاه‌ها و ترمیم آسیب‌پذیرهای دستگاه‌ها و پیشگیری از بروز اتفاقات مشابه در آینده ارائه دهند. این ابزارها، داده‌های امنیت شبکه را با جزئیات زیاد و با استفاده از موتورهای تحلیلی مبتنی بر الگوریتم‌های هوشمند بررسی می‌کنند.

برای آن‌که یک پلتفرم‌ تحلیل امنیتی بتواند فرآیندهای مرتبط با نظارت بر شبکه را به‌خوبی انجام دهد مجموعه اقداماتی را انجام می‌دهد که از مهم‌ترین آن‌ها به اسکن و ارزیابی آسیب‌پذیری، تست نفوذ و شکار تهدید، اقدامات لازم برای پاسخ‌گویی به حوادث سایبری، ارزیابی رعایت استانداردها و قوانین و تشخیص و واکنش به مشکلات احتمالی مرتبط با نقاط پایانی اشاره کرد. یکی از مهم‌ترین عملکردهای این ابزارها، تحلیل رفتار است که داده‌های مربوط به اتفاقات را در شرایط مختلف بررسی می‌کنند تا بتواند اطلاعات زیر را ارائه دهند:

  • ارائه الگوهای خاصی که در اجرای حملات مورد استفاده قرار گرفته است.
  •  روش حمله‌ای که هکرها برای نفوذ به یک منبع از آن استفاده کرده‌اند.
  •  شناسایی نشانه‌هایی که پس از حمله وجود دارند و می‌توانند اطلاعات بیشتری درباره هکرها ارائه کنند.
چگونه یک پلتفرم تحلیل امنیتی درست را انتخاب کنیم؟

به طور معمول، سازمان‌های بزرگ از فناوری‌های پیشگیری، تشخیص و مقابله با حوادث سایبری استفاده می‌کنند. با این‌حال، سازمان‌ها بر اساس تعداد و شدت حملاتی که آن‌ها را هدف می‌گیرند از ابزارهای مختلفی استفاده می‌کنند. در حالت کلی، پیشنهاد می‌شود از زیرساختی استفاده کنید که قابلیت‌های کاربردی را به‌شکل ساده ارائه می‌کند و می‌توان به‌راحتی مولفه‌های قدرتمندتری به آن افزود. نکته مهمی که باید در این زمینه به آن دقت کنید این است که ممکن است در هنگام استفاده از محصولات شرکت‌های مختلف، کار تحلیل و ارزیابی گزارش‌ها کمی سخت شود. به همین دلیل، پیشنهاد می‌کنیم قبل از سرمایه‌گذاری‌ برای خرید این راه‌حل‌ها به نکات زیر دقت کنید:

  •  شرایط را مشخص کنید. به‌طور مثال آیا سامانه موجود نیاز به ارتقاء دارد؟
  •  با هئیت مدیره و مدیرعامل درباره نیاز به تهیه ابزار تحلیل امنیت گفت‌وگو کنید تا بتوانید تاییده و سرمایه لازم را به‌دست آورید.
  •  در رابطه با بازار، محصولات و خدمات موجود تحقیق کنید و مدل استقرار (درون‌سازمانی، در محیط ابر یا سرویس مدیریت‌شده) مناسب را انتخاب کنید.
  •  گزینه‌های انعطاف‌پذیر را که با استانداردها هم‌خوانی دارند و می‌توان آن‌ها را با زیرساخت‌های موجود یکپارچه‌سازی کرد انتخاب کنید.
  •  گزینه‌ها را به‌لحاظ قیمت بررسی کنید. به طور معمول، هزینه استفاده از پلتفرم‌های تحلیل امنیت ابرمحور بر مبنای حجم داده‌ای است که در هر ماه تحلیل می‌کنند. برخی محصولات هزینه‌های اولیه‌ای به‌همراه هزینه‌های نگه‌داری و دسترسی به قابلیت‌های پیشرفته دارند.
  •  قابلیت‌های سامانه انتخابی را بر مبنای نیازهای جاری و پیش‌بینی‌شده‌ خود ارزیابی کنید.
  •  به آموزش‌های مورد نیاز کارمندان‌ دقت کنید و از فروشنده سوال کنید که آموزش‌های لازم را ارائه می‌دهد یا خیر.
  •  حجم داده‌ها و گزارش‌هایی را که در داشبورد پلتفرم انتخابی نمایش داده می‌شود بررسی کنید.
  •  سطح ارزیابی و تحلیلی که ابزار انجام می‌دهد، نوع گزارش‌های ساخته‌شده و دیگر قابلیت‌هایی را که ممکن است ارزش افزوده داشته باشند بررسی کنید.
  •  مشخص کنید که چگونه کاربران می‌توانند با سامانه و بخش‌های مختلف آن در ارتباط باشند، به‌ویژه اگر از یک راه‌حل ابرمحور استفاده می‌کنید.
  •  دیگر خدمات ارائه‌شده توسط فروشنده مثل تست نفوذ و آسیب‌پذیری، پشتیبانی از واکنش به حادثه و کمک به توسعه طرح امنیت سایبری را بررسی کنید.
  •  به دنبال سرویس‌هایی باشید که بالاترین سطح از هماهنگی با استانداردهای امنیت سایبری را دارند.
  •  در مراحل برنامه‌ریزی و پیاده‌سازی، از چرخه حیات توسعه سیستم‌ها استفاده کنید.
  •  آموزش‌ها و مستندات ارائه‌شده را به‌همراه امکان پیاده‌سازی سیستم و پشتیبانی از تست پذیرش، بررسی کنید.
آشنایی با 10 پلتفرم تحلیل امنیت سایبری

سازمان‌هایی که به دنبال افزایش حداکثر توانایی خود برای تشخیص و مقابله با انواع حوادث سایبری هستند، بهتر است از یک ابزار تحلیل امنیت سایبری استفاده کنند. به طور معمول، این ابزارها قابلیت‌های SIEM و مدیریت گزارش اتفاقات را در قالب یک پلتفرم امنیتی واحد ترکیب می‌کنند و دیگر قابلیت‌های تحلیلی امنیتی را در قالب یک افزونه در اختیار کارشناسان امنیتی قرار می‌دهند.

ابزارهای تحلیل اتفاقات امنیتی قادر هستند به دقیق‌ترین شکل ممکن داده‌ها را تحلیل کرده و گزارش دقیقی در اختیار کارشناسان امنیتی قرار دهند، اما به همان نسبت قیمت بالایی دارند. به‌طور کلی، ابزار مناسب، امکان نظارت بیشتر بر شبکه را ارائه می‌کند، مانع از اتلاف وقت می‌شود و تشخیص‌های کاذب را به‌حداقل می‌رساند. امروزه، ابزار‌ها و پلتفرم‌های امنیت سایبری مختلفی در دسترس کارشناسان امنیتی قرار دارند که از مهم‌ترین آن‌ها به موارد زیر باید اشاره کرد:

  •  Splunk Enterprise Security یک پلتفرم SIEM است که امکانات پیشرفته‌ای ارائه می‌کند. این ابزار به‌همراه نسخه سازمانی اسپلانک و پلتفرم ابرمحور اسپلانک، راهکار جامع و یکپارچه‌ای برای محافظت از زیرساخت‌ها ارائه می‌کند.

مزایا: سامانه قدرتمند، داشبورد مرکزی و امکانات کاربردی مختلف.

معایب: سختی و پیچیدگی در یادگیری کار با ابزار.

  •  ابزار مدیریت رویدادهای امنیتی SolarWinds نیز در گروه نرم‌افزارهای SIEM قرار می‌گیرد.

مزایا: گردآوری کارآمد داده‌ها، گزارش‌های جامع و داشبوردهای کاربرمحور روشن.

معایب: سختی و پیچیدگی در یادگیری کار با ابزار.

  •  IBM Security Guardium، یک پلتفرم حفاظت از داده‌ها است که برای شبکه‌های سازمانی بزرگ طراحی شده است.

مزایا: تحلیل‌های امنیتی دقیق، داشبوردهای روشن و قابلیت‌های دقیق نظارتی.

معایب: سختی و پیچیدگی در یادگیری کار با ابزار.

  •  LogRhythm SIEM ، یک پلتفرم SIEM است که یک لایه تحلیل امنیتی مضاعف در اختیار کارشناسان امنیتی قرار می‌دهد.

مزایا: قابلیت‌های تحلیلی پیشرفته و داشبوردهای خوش‌ساخت.

معایب: سختی و پیچیدگی در یادگیری کار با ابزار، پیچیده بودن روند ارتقاء.

  •  Securonix Next-Gen SIEM ، مجهز به قابلیت‌های پیشرفته تحلیل‌های امنیتی است.

مزایا: پشتیبانی از تحلیل امنیتی، داشبورد مرکزی، گزارش‌دهی دقیق.

معایب: مورد خاصی وجود ندارد.

  •  Exabeam Fusion، یک پلتفرم SIEM است که قابلیت‌های پیشرفته‌ای برای تحلیل امنیتی ارائه می‌دهد.

مزایا: قابلیت‌های تحلیلی قدرتمند، دارای نسخه ابرمحور و درون‌سازمانی.

معایب: مورد خاصی وجود ندارد.

  •  ابزار حفاظت در برابر تهدیدات پیشرفته مایکروسافت آژور نیز یک ابزار جایگزین برای تحلیل تهدیدات پیشرفته است. این ابزار ابرمحور و درون‌سازمانی قابلیت‌های تحلیل امنیتی پیشرفته‌ای دارد که امکان تحلیل و بررسی ناهنجاری‌های امنیتی را به‌شکل یکپارچه دارد.

مزایا: قابلیت‌های تحلیل امنیتی، برنامه‌های کاربردی سازمانی، امکان نصب درون‌سازمانی و ابرمحور، توانایی حل مشکلات نقاط پایانی با استفاده از ویندوز دیفندر ATP

معایب: سختی و پیچیدگی در یادگیری کار با ابزار، فرایند ارتقاء نسبتا پیچیده، هزینه‌های اضافه

  •  Sumo Logic Platform with Cloud SIEM and Cloud SOAR ، یک پلتفرم ابرمحور با امکانات SIEM و هماهنگ‌سازی، خودکارسازی و واکنش امنیتی است.

مزایا: قابلیت‌های تحلیل امنیتی خوب، مقیاس‌پذیری بالا، گزارش‌دهی دقیق

معایب: مورد خاصی وجود ندارد.

  •  Forcepoint Behavioral Analytics، پلتفرمی است که قابلیت‌های UEBA پیشرفته‌ای ارائه می‌کند.

مزایا: قابلیت‌های تحلیل امنیتی پیشرفته.

معایب: مورد خاصی گزارش نشده است.

  •  Rapid7 InsightIDR، یک پلتفرم SIEM ابرمحور است که قابلیت‌های UEBA پیشرفته‌ای ارائه می‌دهد.

مزایا: قابلیت‌های تحلیل امنیتی سفارشی، داشبورد و گزارش‌دهی دقیق.

معایب: مورد خاصی گزارش نشده است.

  •  Nemasis – Pro، پلتفرم پیکربندی و اسکن قدرتمند است که بالاترین سطح از انعطاف‌پذیر را همراه با قابلیت ارزیابی امنیتی و گزارش‌دهی متنوع در اختیارتان قرار می‌دهد.

مزایا: اسکن نامحدود منابع سازمانی، ارزیابی طیف گسترده‌ای از آدرس‌های آی‌پی با استفاده از گزینه Host Discovery Scan، اسکن احراز هویت مبتنی بر SNMP، اسکن‌های احراز هویت مبتنی بر SMB، اسکن‌های احراز هویت مبتنی بر SSH، اسکن‌های احراز هویت ESXi، انجام انواع مختلف ارزیابی‌ها بر مبنای پروتکل‌های TCP، WMI، UDP، SSH، SNMP، HTTP، SMB و LDAP، ارائه داشبورد و گزارش‌های دقیق از آسیب‌پذیری‌ها بر مبنای CVSS، ارائه داشبوردهای تعاملی و تخصصی شبکه در یک واسط کاربری قدرتمند همراه با داده‌های زمان واقعی، ارائه گزارش فعالیت‌های مشکوک پیرامون شبکه، امکان بررسی سریع تنظیمات با هدف هماهنگ بودن آن‌ها با خط‌مشی‌های ازپیش‌تعیین‌شده یا استانداردهای صنعتی PCI DSS، شناسایی شکاف‌های امنیتی در زیرساخت شبکه، شناسایی و اولویت‌بندی مخاطرات، ایجاد گزارش‌های آسیب‌پذیری‌های شناسایی‌شده مثل CVSS، Scan plugins، Port، اشتراک گزارش‌ها با تیم یا سازمان از طریق ایجاد گزارش‌ها در قالب‌های مختلف

 

منبع : https://www.techtarget.com/searchsecurity/tip/How-to-select-a-security-analytics-platform-plus-vendor-options

بیشتر بخوانید

امنیت سایبری یک مسیر شغلی چالش‌برانگیز است که فرصت‌های کاری مختلفی در اختیار علاقه‌مندان قرار می‌دهد. تقریبا تمامی شرکت‌هایی که فعالیت‌های تجاری آن‌ها با دنیای دیجیتال و سایبری عجین شده است، برای حفظ محرمانگی اطلاعات و دور نگه داشتن هکرها از زیرساخت‌های ارتباطی سازمانی، نیازمند متخصصان امنیت سایبری هستند. رشد روزافزون فعالیت‌های آنلاین باعث شده تا شرکت‌ها بیش از قبل به شبکه‌های ارتباطی وابسته شوند و برای پاسخ‌گویی به نیازهای روبه‌رشد تجاری، تجهیزات سخت‌افزاری بیشتری به شبکه سازمان اضافه کنند. هرچه تعداد دستگاه‌هایی که به شبکه‌های سازمانی اضافه می‌کنید بیشتر شود، به همان نسبت بر تعداد آسیب‌پذیری‌های ناشناخته افزوده می‌شود که شما را مجبور می‌کند از مهارت‌های متخصصان امنیتی در این زمینه استفاده کنید. در شرایطی که دنیای امنیت سایبری شامل طیف گسترده‌ای از مشاغل می‌شود، با این‌حال، برخی از آن‌ها پرتقاضاتر هستند و در آگهی‌های استخدامی بیشتر به آن‌ها اشاره می‌شود. به همین دلیل در این مقاله، به معرفی هشت مورد از پرتقاضاترین مشاغل امنیت سایبری در سال 1402 نگاهی خواهیم داشت.

آمار جالب و مهم وضعیت امنیت سایبری

قبل از آن‌که مشاغل پرتقاضای دنیای امنیت سایبری را بررسی کنیم، ابتدا اجازه دهید به حقایق جالبی در این زمینه اشاره داشته باشیم. پژوهشی که توسط گروه استراتژی‌های سازمانی وب‌سایت TechTarget انجام شده و نتایج آن در قالب گزارش «تاثیر همه‌گیری کووید-19 بر امنیت سایبری در سال 2020» منتشر شده، نشان می‌دهد تنها چند ماه پس از شیوع همه‌گیر کووید-19، تعداد حملات سایبری به میزان 63 درصد افزایش یافته است. این گزارش به‌وضوح به این نکته اشاره دارد که در پایان سال 2020 میلادی نزدیک به 3932 رویداد نقض عمومی گزارش شده است که باعث افشای 37 میلیارد رکورد شده است که افزایش 141 درصدی نسبت به سال 2019 را به‌همراه دارد.

متاسفانه این شرایط در سال 2021 بدتر شد. سازمان غیرانتفاعی Theft Resource Center  که در زمینه بررسی مخاطرات و نقض‌های داده‌ای به فعالیت اشتغال دارد، در گزارشی تحت عنوان «تحلیل نقض داده‌ای سه‌ماهه سال 2021 و نکات کلیدی آن» به این نکته اشاره دارد که تعداد نقض‌ها تا پایان سپتامبر 2021، 17 درصد در مقایسه با سال 2020 افزایش داشته است. گزارشی که شرکت IBM و موسسه Ponemon تهیه کرده‌اند، نشان می‌دهد که متوسط هزینه یا به عبارت دقیق‌تر خسارت‌های مرتبط با نقض‌های داده‌ای در سال 2022 میلادی به رقم 4.35 میلیون دلار رسیده که در مقایسه با رقم 4.24 میلیون دلار سال 2021 روند صعودی را نشان می‌دهد. در این میان، ایالات متحده بالاترین تعداد آمار نقض‌های داده‌ای در سال 2022 میلادی را تجربه کرده است.

سازمان‌ها برای آن‌که فعالیت‌های تجاری خود را بدون مشکل انجام دهند، به متخصصان امنیت سایبری مجربی نیاز دارند تا بتوانند بر مبنای مهارت‌ها، دانش و ارائه راه‌حل‌های خلاقانه از زیرساخت‌های سازمانی محافظت کنند. شرکت امنیتی فورتی‌نت در گزارش «شکاف مهارت‌های امنیت سایبری 2022» به این نکته اشاره دارد که 60 درصد از شرکت‌ها برای جذب استعدادهای امنیت سایبری سخت در تلاش هستند، در حالی که 52 درصد از آن در حفظ نیروهای متخصص با مشکل روبه‌رو هستند و بخش عمده‌ای از سازمان‌ها نیز در معرض حمله‌های سایبری قرار دارند. این آمار و ارقام، بیان‌گر این مسئله هستند که دنیای امنیت سایبری به‌شدت به متخصصان ماهر نیاز دارد و از این‌رو فرصت‌های شغلی زیادی برای این گروه از متخصصان فناوری اطلاعات وجود دارد. فورتی‌نت در بخشی از گزارش خود به این نکته اشاره دارد که 76 درصد از مدیران عامل شرکت‌ها به‌منظور افزایش امنیت سایبری، جذب متخصصان امنیت سایبری آموزش‌دیده و دارای گواهی‌‌نامه‌های طراز اول و ماهر به دنبال آن هستند تا بودجه موردنیاز برای جذب متخصصان امنیت سایبری را بیشتر کنند. امروزه، مشاغل مختلفی در صنعت امنیت سایبری وجود دارند که برخی از آن‌ها پرتقاضاتر و به همان نسبت پول‌ساز‌تر هستند. در ادامه، هشت مورد از این عناوین شغلی را مورد بررسی قرار می‌دهیم که در صدر مشاغل موردنیاز شرکت‌ها در حوزه امنیت در سال‌های آتی قرار خواهند داشت.

1. مهندس امنیت سایبری (Cybersecurity engineer)

یک مهندس امنیت سایبری، سیستم‌های امنیت اطلاعات (infosec) و معماری‌های فناوری اطلاعات را ایجاد می‌کند و از آن‌ها در برابر دسترسی غیرمجاز و حملات سایبری محافظت می‌کند. مهندسان امنیت سایبری، برنامه‌ها، استانداردها، پروتکل‌ها و بهترین شیوه‌های امنیتی را توسعه داده و اجرا می‌کنند و برنامه‌های اضطراری را برای مقابله با حملات سایبری تدوین می‌کنند تا اگر سازمانی با حمله هکری روبه‌رو شد، در کوتاه‌ترین زمان بر مبنای برنامه بازیابی پس از فاجعه شرایط را به حالت اولیه بازگرداند.

یک مهندس امنیت سایبری باید ذهن فعالی داشته باشد و توانایی برنامه‌ریزی و عملیاتی کردن طرح‌های خود را داشته باشد. به‌طور معمول، مهندسان امنیت سایبری زمان زیادی را صرف یافتن آسیب‌پذیری‌های مستتر در سیستم‌ها از طریق آزمایش نفوذ می‌کنند و راهکاری برای حل مشکلات قبل از آن‌که به چالش امنیتی جدی تبدیل شوند، ارائه می‌دهند. همچنین، در مورد مباحث قانونی، فنی و نظارتی، تحقیقاتی انجام می‌دهند که ممکن است بر امنیت فناوری اطلاعات یک سازمان تاثیرگذار باشد. در ادامه، تغییراتی در استراتژی‌های امنیتی اعمال می‌کنند تا خط‌مشی‌ها مطابق با قوانین دولتی باشد. از وظایف مهم یک مهندس امنیت سایبری به موارد زیر باید اشاره کرد:

  •  ایجاد و نصب فایروال و سیستم‌های تشخیص نفوذ
  •  به‌روز‌رسانی نرم‌افزارهای امنیتی، فریم‌ویرهای سخت‌افزاری و ارزیابی نرم‌افزارهای جدید مورد نیاز سازمان
  •  اجرای برنامه‌های رمزگذاری

علاوه بر این، یک مهندس امنیت سایبری مسئولیت رسیدگی به مسائل امنیتی شناسایی‌شده و انتقال ایمن داده‌ها را برعهده دارد و در صورت لزوم باید با تیم‌های خارجی در زمینه بازیابی اطلاعات سازمان همکاری داشته باشد. افرادی که قصد ورود به این حوزه را دارند باید مهارت‌های ارتباطی قوی برای توضیح مسائل پیچیده به هئیت مدیره و ارائه بهترین راه‌ها برای اجرای جدیدترین برنامه‌ها و رویه‌های امنیتی داشته باشند. همچنین، مجبور هستند پس از حمله به زیرساخت‌ها با مجریان قانون همکاری کنند.  به‌طور معمول برای احراز این موقعیت شغلی به آموزش‌ها و مهارت‌های زیر نیاز دارید:

  •  آشنایی با شیوه‌های کدگذاری امن و تشخیص آسیب‌پذیری‌ها
  •  ارزیابی ریسک
  •  ایمن‌سازی شبکه‌های سازمانی
  •  آشنایی با معماری دیوارهای آتش
  •  آشنایی با فناوری‌های مجازی‌سازی
  •  آشنایی با مباحث مرتبط با جرم‌شناسی دیجیتال
  •  آشنایی با مبحث مدیریت هویت و تخصیص دسترسی به منابع
  •  مدرک کارشناسی یا بالاتر در رشته‌های مهندسی کامپیوتر، امنیت سایبری یا فناوری اطلاعات
  •  تسلط بر مهارت‌های مرتبط با دفاع در برابر تهدیدات مداوم پیشرفته، بدافزارها، فیشینگ و مهندسی اجتماعی
2. تحلیل‌گر امنیت سایبری (Cybersecurity analyst)

نقش یک تحلیل‌گر امنیتی نسبتا گسترده است و ممکن است مسئولیت‌های مختلفی را شامل شود که از مهم‌ترین آن‌ها باید به نظارت بر بهترین شیوه‌های امنیتی، پروتکل‌ها و رویه‌ها با ابزارهای مناسب و اطمینان از اجرای درست رویه‌های امنیتی اشاره کرد. افرادی که عهده‌دار این سمت می‌شوند باید گزارش‌های تولید‌شده توسط ابزارها را تجزیه‌و‌تحلیل ‌کنند تا رفتارهای غیرعادی یا فعالیت‌های مشکوک در شبکه را شناسایی کنند. علاوه بر این، ممکن است دسترسی به فایل‌ها را کنترل کرده و در زمینه تخصیص مجوزها، به‌روز‌رسانی شبکه و نگه‌داری از دیوارآتش به سازمان‌ها کمک کنند. یک تحلیل‌گر امنیتی که به‌خوبی آموزش دیده است، درک کاملی از نحوه ذخیره‌سازی و مدیریت داده‌ها و انواع مختلف تهدیدات امنیت سایبری مثل حملات باج‌افزاری، مهندسی اجتماعی و سرقت داده‌ها دارد. آن‌ها ممکن است تست نفوذ و اسکن آسیب‌پذیری را انجام دهند و تغییرات مربوطه را برای بهبود امنیت پیشنهاد دهند.

در شرکت‌های بزرگ، تحلیل‌گران امنیتی ممکن است در یک مرکز عملیات امنیتی برای نظارت، شناسایی، مهار و اصلاح مشکلات کار کنند. در سازمان‌های متوسط و کوچک‌تر، تحلیل‌گران امنیتی ممکن است نقش گسترده‌ای ایفا کنند و همه چیز را از تجزیه‌و‌تحلیل امنیتی و تشخیص نفوذ گرفته تا تعمیر و نگه‌داری فایروال، به‌روزرسانی‌ آنتی‌ویروس و وصله‌ها مدیریت کنند. از آن‌جایی که آن‌ها در زمینه خطرات امنیتی و بهترین شیوه‌های امنیتی تخصص دارند، ممکن است از آن‌ها خواسته شود تا کارکنان را آموزش دهند. برای احراز این موقعیت شغلی به آموزش‌ها و مهارت‌های زیر نیاز دارید:

مدرک کارشناسی در رشته‌های علوم کامپیوتر، امنیت سایبری، فناوری اطلاعات یا رشته‌های مرتبط
توانایی مدیریت شبکه
آشنایی با مباحث تست نفوذ
تریاژ حوادث امنیتی (Security Incident Triaging)
ارزیابی ریسک
رمزگذاری داده‌ها
طراحی، پیکربندی، استقرار و نگه‌داری از فایروال‌ها

علاوه بر مهارت‌های یادشده، شرکت‌ها انتظار دارند این گروه از متخصصان گواهینامه‌های Network+، Security+، Pen Test+، CySA+ و CISSP را داشته باشند.

3. معمار امنیت شبکه (Network security architect)

یک معمار امنیت شبکه نقش مهمی در بهبود سطح امنیتی معماری سازمانی ایفا می‌کند و در عین حال بهره‌وری، عملکرد، دسترس‌پذیری و عملکرد شبکه را حفظ می‌کند. معماران امنیت شبکه سعی می‌کنند توازنی میان فعالیت‌های تجاری و خط‌مشی‌های امنیتی برقرار کنند، خط‌مشی‌ها و رویه‌های مناسب را برای سیستم‌ها و شبکه‌ها تعریف می‌کنند و در روند آموزش کاربران و مدیران به سازمان‌ها کمک کنند. علاوه بر این، بر محدودیت‌های بودجه و عملیات نظارت می‌کنند. به همین دلیل است که معماران امنیت شبکه باید مهارت‌های مدیریتی سطح بالایی داشته باشند. برای حصول اطمینان از امنیت در طول چرخه حیات شبکه، معماران امنیت شبکه اقدامات دفاعی مانند پیکربندی فایروال و آنتی‌ویروس و اقدامات پیشگیرانه مثل تست نفوذ را انجام می‌دهند. علاوه بر این، بر تغییرات شبکه نظارت می‌کنند تا سطح مخاطرات پیرامون شبکه‌ و سازمان را به حداقل برسانند. به همین دلیل، سازمان‌ها از این گروه از متخصصان انتظار دارند دانش پیشرفته‌ای در مورد ابزارها و تکنیک‌های امنیتی مختلف مرتبط با فایروال‌ها، تست نفوذ و پاسخ به حادثه داشته باشند. آن‌ها باید از الزامات شبکه‌سازی سیستم‌های رایانه‌ای، از جمله مسیریابی، سوئیچینگ و دامنه‌های قابل اعتماد و بهترین شیوه‌های امنیتی، فناوری‌ها و چارچوب‌های استاندارد صنعتی آگاه باشند.

آن‌ها تجزیه‌و‌تحلیل شبکه و سیستم را برای شناسایی و انتخاب بهترین مکانیسم‌های کنترلی برای حفظ امنیت انجام می‌دهند. از این‌رو، باید در مورد مکانیسم‌های مختلف کنترل دسترسی مثل کنترل دسترسی مبتنی بر نقش، کنترل دسترسی ضروری و کنترل دسترسی اختیاری، اطلاعات کافی داشته باشند. برای احراز این موقعیت شغلی به آموزش‌ها و مهارت‌های زیر نیاز دارید:

  •  مدرک کارشناسی در رشته کامپیوتر یا رشته‌های مرتبط
  •  توانایی برنامه‌ریزی استراتژیک
  •  آشنایی با مدل‌های فرآیندی مثل ITIL و COBIT IT
  •  دانش کافی درباره پروتکل TCP/IP و امنیت شبکه
  •  آشنایی با مدل 7 لایه اتصال سیستم‌های باز (OSI)
  •  توانایی استقرار سیستم‌های تشخیص نفوذ
  •  آشنایی با مبحث مدیریت ریسک
  •  آشنایی با روش کار سیستم‌های مدیریت هویت
  •  توانایی پیاده‌سازی شبکه‌های خصوصی مجازی
  •  آشنایی با پروتکل‌های رمزگذاری اطلاعات

سازمان‌ها از معمار امنیت شبکه انتظار دارند گواهینامه‌هایNetwork+ ، (ISC)² در زمینه معماری امنیت سیستم‌‌های اطلاعاتی، GIAC در زمینه معماری امنیتی دفاعی و NSE 7 در زمینه معماری امنیت شبکه را داشته باشند.

4. توسعه‌دهنده نرم‌افزارهای امنیتی
(Security software developer)

نقش توسعه‌دهنده نرم‌افزار امنیتی همان برنامه‌نویسی است، اما با محوریت امنیت. یک توسعه‌دهنده نرم‌افزار امنیتی دانش برنامه‌نویسی فنی خود را با توسعه محصول و مهارت‌های تجزیه‌و‌تحلیل امنیتی ادغام می‌کند تا نرم‌افزاری ایجاد کند که برای پاسخ‌گویی به الزامات امنیتی مورد استفاده قرار می‌گیرد. برای انجام این‌کار، آن‌ها باید دانش به‌روزی از تهدیدات داشته باشند، به همین دلیل است که عناوین شغلی جونیور در این حوزه وجود ندارد. یک توسعه‌دهنده نرم‌افزار امنیتی باید بتواند تهدیدهای فردا را امروز مفهوم‌سازی کند و برای مقابله زودهنگام با تهدیدها اقدامات لازم را انجام دهد. علاوه بر این، در زمان کوتاهی محصولات امنیتی قدرتمند با عملکرد بالا را بنویسد که بدون هیچ‌گونه خطایی به بهبود امنیت کمک کنند. به‌طور معمول، توسعه‌دهندگان نرم‌افزارهای امنیتی با متخصصان دیگری مثل طراحان، مهندسان و کارشناسان تست نفوذ کار می‌کنند، بنابراین، علاوه بر دانش فنی در زمینه معماری، طراحی و کدنویسی نرم‌افزارها باید مهارت‌های ارتباطی قوی داشته باشند. برای احراز این موقعیت شغلی به آموزش‌ها و مهارت‌های زیر نیاز دارید:

  •  مدرک کارشناسی در مهندسی نرم‌افزار
  •  آشنایی با شیوه‌های کدنویسی امن
  •  آشنا با کنترل‌های امنیتی و تست نفوذ که همیشه لازم نیست.
  •  آشنایی با الگوریتم‌های رمزنگاری، مدیریت پروژه و امنیت شبکه
  • علاوه بر این، این گروه از متخصصان باید گواهینامه‌های CompTIA Security+، CySA+، CompTIA PenTest+، CASP+، CISSP، Certified Information Systems Auditor،  Certified Information Security Manager، Cisco Certified Internetwork Expert و Microsoft Azure Security Engineer Associate را داشته باشند.
5. تستر نفوذ/هکر اخلاقی (Penetration Tester)

هکرهای اخلاقی را باید کارگاهان خصوصی دنیای امنیت سایبری توصیف کنیم که هکرهای «کلاه سفید» نیز نامیده می‌شوند. آن‌ها شبیه به هکرها به زیرساخت‌ها نفوذ می‌کنند، با این تفاوت که انگیزه آن‌ها از انجام این‌کار کمک به سازمان‌ها در شناسایی رخنه‌ها است. آن‌ها تست نفوذ را برای یافتن آسیب‌پذیری‌ها و شکاف‌ها در پروتکل‌های امنیتی مورد استفاده در شبکه‌ها، سیستم‌‌عامل‌ها، دستگاه‌ها و برنامه‌های مبتنی بر وب انجام می‌دهند. به‌طور خلاصه، آن‌ها به سازمان‌ها کمک می‌کنند قبل از این‌که آسیب‌پذیری‌ها توسط هکرها مورد سوء‌استفاده قرار گیرند، آن‌ها را وصله کنند. برای احراز این موقعیت شغلی به آموزش‌ها و مهارت‌های زیر نیاز دارید:

  •  مدرک کارشناسی در رشته امنیت اطلاعات، فناوری‌ اطلاعات یا رشته‌های مرتبط
  •  آشنایی با روش‌ها و ابزارهای تست نفوذ مثل Network Mapper، Wireshark و Kali
  •  آشنایی با کدنویسی در زمینه پایتون، گولنگ، بش و پاورشل
  •  آشنایی با مبحث مهندسی اجتماعی

این گروه از متخصصان باید به‌فکر دریافت گواهینامه‌های +PEN-200 Offensive Security Certified Professional، GIAC Penetration Tester، GIAC Certified Enterprise Defender، GIAC Exploit Researcher، CompTIA Security+، CySA و +CompTIA PenTest باشند.

6. مهندس امنیت برنامه (Application security engineer)

در چرخه‌های عمر توسعه نرم‌افزار (SDLC) در گذشته، امنیت به‌عنوان یک هدف فرعی در نظر گرفته می‌شد که پس از تکمیل توسعه و نهایی شدن نرم‌افزار مورد توجه قرار می‌گرفت. اما همان‌طور که مشاهده کردیم، سازمان‌ها به‌طور فزاینده‌ای در برابر حملات سایبری و نقض‌های داده‌ای آسیب‌پذیر هستند. به‌منظور در امان ماندن از چنین تهدیدهای جدی، سازمان‌ها باید اطمینان حاصل کنند که امنیت در برنامه‌های نرم‌افزاری به‌شکل جدی مورد توجه قرار گرفته است. به همین دلیل، باید به‌فکر استخدام مهندس امنیت برنامه باشند.

مهندسان امنیت برنامه، اطمینان می‌دهند که توسعه‌دهندگان از شیوه‌های کدنویسی ایمن در هر مرحله از SDLC پیروی می‌کنند. آن‌ها به تیم توسعه کمک می‌کنند تا برنامه‌ها را در برابر خطرات و مخاطرات امنیتی خاص قبل از انتشار آزمایش کنند.

یک مهندس امنیت برنامه برای انجام کارهای خود باید مهارت‌های زیر را داشته باشد:

  •  آشنایی با محیط‌های توسعه
  •  درک کافی از کدنویسی و نحوه ساخت نرم‌افزارها
  •  انجام ارزیابی کدها، اسکن آسیب‌پذیری برنامه‌ها و تست نفوذ
  •  اولویت‌بندی آسیب‌پذیری‌ها که به توسعه‌دهندگان کمک کنید تا آن‌ها را ارزیابی و اصلاح کنند
  •  درک کافی از محیطی که قرار است برنامه در آن اجرا شود و شناسایی آسیب‌پذیرهایی که پس از اجرای برنامه در محیط‌های خاص ممکن است به‌وجود آید.
  •  آماده‌سازی و نگه‌داری اسناد فنی
  •  دانش کافی درباره تکنیک‌های رمزگذاری اطلاعات در پایگاه‌های داده و ابر
  •  آشنایی با فرآیند توسعه نرم‌افزار، مهندسی شبکه، پروتکل‌های امنیتی، مهندسی سیستم‌ها و امنیت برنامه‌های کاربردی وب‌محور
  •  درک دقیق از چرخه حیات برنامه‌های کاربردی
  •  آشنایی با بهترین شیوه‌های کدنویسی ایمن
  •  آگاهی درباره تهدیدات امنیتی موجود و در حال ظهور

این گروه از متخصصان باید به‌فکر دریافت گواهینامه‌های CISSP و MCSI باشند.

7. تحلیل‌گر بدافزار (Malware analyst)

در سال 2021، حملات باج‌افزار نسبت به سال 2020 نزدیک به 93 درصد افزایش رشد داشته‌اند. گزارش تهدید سایبری 2022 موسسه SonicWall به این نکته اشاره دارد که دولت‌ها و سازمان‌های بهداشتی و درمانی از اهداف اصلی مورد علاقه هکرها هستند. واقعیت این است که بدافزارها دائما در حال تغییر هستند و به همین دلیل است که حتا سازمان‌های بزرگ نیز قربانی تهدیدات هکری می‌شوند. بسیاری از شرکت‌ها به دنبال جذب تحلیل‌گران بدافزار برای شناسایی اشکال جدید و نوظهور بدافزارهایی هستند که به‌سرعت گسترش می‌یابند.

یک تحلیل‌گر بدافزار، تهدیدات مرتبط با بدافزارها را شناسایی و بررسی می‌کند. کاری که این گروه از متخصصان انجام می‌دهند، درک ماهیت چنین تهدیدهایی است. از فعالیت‌های انجام‌شده توسط این متخصصان باید به مهندسی معکوس کد‌های مخرب، درک چگونگی اجرای یک حمله و دلیل موفقیت‌آمیز بودن یا نبودن آن، توسعه و اصلاح ابزارهای محافظت از بدافزار و روش‌های مناسب برای جلوگیری از تهدیدات بدافزاری در آینده اشاره کرد.

از آن‌جایی که تحلیل‌گران بدافزار مسئولیت تحلیل کدها و شناسایی تهدیدات را دارند، باید مهارت‌های مهندسان امنیتی و برنامه‌‌نویسان را داشته باشند. به همین دلیل، بخش عمده‌ای از آن‌ها تجربه کار چند ساله در زمینه برنامه‌نویسی و توسعه نرم‌افزار دارند. یک تحلیل‌گر بدافزار ماهر باید مهارت‌های کافی درباره جرم‌شناسی دیجیتالی داشته باشد، نحوه استفاده از ابزارهای اشکال‌زدایی مثل OllyDbg و محیط‌های توسعه مثل IDA Pro را بداند و از تکنیک‌های پیشرفته حمله و روش‌های ضد‌حمله آگاه باشد. از مهارت‌های موردنیاز این گروه از متخصصان به موارد زیر باید اشاره کرد:

  •  مدرک کارشناسی در رشته‌های علوم کامپیوتر، امنیت سایبری یا رشته‌های مرتبط
  •  تجربه کافی در زمینه برنامه‌نویسی و ترجیحا سی و سی‌پلاس‌پلاس
  •  توانایی نوشتن اسکریپت در پایتون، پرل و روبی
  •  دانش کافی در مورد ابزارهایی مثل IDA Pro، OllyDbg، RegShot، WinDbg، Immunity Debugger و TCP View
  •  دانش کار در مورد واسط‌های برنامه‌نویسی کاربردی و معماری داخلی سیستم‌عامل ویندوز و لینوکس
  •  توانایی برطرف کردن مشکلات مرتبط با پروتکل‌ TCP/IP، فرمت‌های فایل‌ها و ساختارهای داده
  •  توانایی نوشتن گزارش‌های فنی و برقراری ارتباط با تیم‌های توسعه‌دهنده و مدیران ارشد
8. تحلیل‌گر جرم‌شناسی دیجیتال (Computer forensics analyst)

یک تحلیل‌گر جرم‌شناسی کامپیوتری که به‌عنوان بازرس جرم‌شناسی دیجیتال، تکنسین جرم‌شناسی یا تحلیل‌گر جرم‌شناسی سایبری نیز شناخته می شود، متخصصی است که شواهد موجود در صحنه جرم سایبری را جمع‌آوری می‌کند، به‌گونه‌ای که خدشه‌ای در اطلاعات وارد نشود. تحلیل‌گران جرم‌شناسی دیجیتالی بر مبنای تحقیقات خود کشف می‌کنند که چگونه یک عامل تهدید به شبکه سازمانی دسترسی پیدا کرده است و چه شکاف‌های امنیتی باید برای جلوگیری از تکرار رویدادهای مشابه در آینده برطرف شود. آن‌ها شواهد دیجیتال به‌جامانده از مهاجم را تجزیه‌و‌تحلیل می‌کنند، شواهدی را برای ارائه به مقامات آماده می‌کنند و در صورت نیاز، شهادت کارشناسی را در جریان دادرسی ارائه می‌دهند. از وظایف مهم یک تحلیل‌گر جرم‌شناسی دیجیتال به موارد زیر باید اشاره کرد:

  •  تجزیه‌و‌تحلیل فایل‌های گزارش برای تعیین عامل یا عاملان نفوذ یا حمله به شبکه
  •  انجام تجزیه‌و‌تحلیل امضای فایل و تجزیه‌و‌تحلیل سیستم فایلی
  •  جمع‌آوری و تجزیه‌و‌تحلیل اطلاعات مرتبط با نفوذ مثل کدهای منبع، اطلاعات مرتبط با بدافزار‌ها و پیکربندی سیستم
  •  همکاری با تیم امنیتی برای کاهش حوادث امنیت سایبری در آینده

مسئولیت فوق، یک نقش حیاتی در تیم‌های امنیت سایبری است. همچنین، این گروه از متخصصان باید دانش کافی درباره مباحث فنی، کیفری و حقوقی داشته باشند. بنابراین، بیشتر نقش‌های جرم‌شناسی دیجیتال به افرادی که سابقه کار چندساله در حوزه امنیت را دارند سپرده می‌شود. از مهارت‌های موردنیاز این گروه از متخصصان به موارد زیر باید اشاره کرد:

  •  مدرک کارشناسی در حوزه امنیت یا علوم کامپیوتر
  •  دانش فنی و تکنیکی درباره رویه‌های مورد استفاده در جرم‌شناسی دیجیتال
  •  تسلط بر ابزارها و تکنیک‌هایی که امکان جمع‌آوری اطلاعات و تجزیه‌و‌تحلیل بدافزار‌ها را ارائه می‌کنند.
  •  توانایی تفسیر نتایج ارائه‌شده توسط ابزارهای امنیتی
  •  توانایی انجام تجزیه‌و‌تحلیل سطح بیتی و تجزیه‌و‌تحلیل حافظه برای استخراج اطلاعات
  •  توانایی شناسایی تکنیک‌های مبهم‌سازی
  •  درک قوانین و تکنیک‌های قابل استفاده در تحقیقات جنایی
  •  مهارت‌های تحلیلی و ارتباطی قوی در ارائه گزارش‌ها

بیشتر بخوانید

«سیسکو سیستمز» با خرید شرکت امنیت سایبری Splunk به مبلغ 28 میلیارد دلار در بزرگترین معامله تاریخ خود موافقت کرده است تا تجارت نرم‌افزاری خود را تقویت کند و از افزایش استفاده از هوش مصنوعی سرمایه گذاری کند.

انتظار می‌رود این معامله که به اتفاق آراء توسط هیئت‌مدیره‌های سیسکو و اسپلانک تایید شد، تا پایان سه‌ماهه سوم سال 2024 بسته شود، که البته مشروط به تاییدیه‌های نظارتی است.

سهام Splunk در معاملات قبل از بازار 23 درصد جهش کرد، اما همچنان حدود 10 دلار کمتر از قیمت پیشنهادی سیسکو که 157 دلار به ازای هر سهم به صورت نقدی بود، بود. سهام سیسکو نزدیک به 5 درصد کاهش یافت.

این شرکت‌ها در بیانیه‌ای مشترک گفتند: «سیسکو و اسپلانک با هم به یکی از بزرگ‌ترین شرکت‌های نرم‌افزاری جهان تبدیل خواهند شد و تحول کسب‌وکار سیسکو را به سمت درآمدهای مکرر تسریع خواهند کرد.»

انتظار می‌رود این معامله که به اتفاق آرا توسط هیئت‌مدیره‌های سیسکو و اسپلانک تایید شد، تا پایان سه‌ماهه سوم سال 2024 بسته شود که البته مشروط به تاییدیه‌های نظارتی خواهد بود.

اظهارات سیسکو درباره این معامله بزرگ

سیسکو گفت انتظار می رود که این تراکنش جریان نقدی مثبت داشته باشد و در اولین سال مالی پس از بسته شدن معامله به حاشیه ناخالص اضافه کند. علاوه بر این، رشد درآمد سیسکو و افزایش حاشیه سود را تسریع خواهد کرد.

اگر معامله متوقف شود، سیسکو موظف به پرداخت هزینه فسخ 1.48 میلیارد دلار است.

راه اندازی نسل بعدی امنیت و قابلیت مشاهده با هوش مصنوعی توسط Cisco و Splunk

چشم انداز فناوری اطلاعات به شدت تغییر کرده است زیرا سازمان ها در سراسر جهان کسب و کار خود را دیجیتالی کرده اند و با شتاب و پذیرش هوش مصنوعی با سرعت بیشتری به تکامل خود ادامه خواهد داد. در حالی که این فناوری‌های جدید فرصت‌های گسترده‌ای را ایجاد می‌کنند، اما پیچیدگی بیشتری نیز به آن اضافه می‌کنند – برخلاف هر چیزی که تا به حال دیده‌ایم.

داده ها یکی از قدرتمندترین منابع در کسب و کار هستند و هر سازمانی برای کمک به برقراری ارتباط ایمن، اداره کسب و کار خود و اتخاذ تصمیمات حیاتی به آن متکی است. با این حال، مشتریان به روشی بهتر برای مدیریت، محافظت و باز کردن ارزش واقعی داده‌ها نیاز دارند، در حالی که در دنیایی که دائماً در حال تغییر است، انعطاف‌پذیر و ایمن باقی می‌مانند.

Cisco Security Cloud  دارای حجم وسیعی از داده‌های امنیتی ، داده‌های شبکه، هویت‌ها، ایمیل‌ها، ترافیک وب، نقاط پایانی و فرآیندها است. سیسکو با Splunk یکی از بهترین پلتفرم های داده جهان را به مجموعه امنیتی قوی سیسکو اضافه می کند. ترکیب Splunk و Cisco به کسب‌وکارها کمک می‌کند تا از تشخیص تهدید و پاسخ به پیش‌بینی و پیشگیری از تهدید حرکت کنند و سازمان‌ها در هر اندازه‌ای را ایمن‌تر و انعطاف‌پذیرتر کنند.

علاوه بر چالش‌های داده و امنیت، هوش مصنوعی مولد به سرعت در حال تغییر صنایع و ایجاد فرصت‌های جدید است. سیسکو و Splunk با هم طیف گسترده ای از داده ها را در بین برنامه ها، امنیت و شبکه می بینند. با مقیاسی که به ارمغان می آوریم و پایه ای عمیق از اعتماد، ما معتقدیم که در موقعیت بسیار خوبی قرار داریم تا مشتریان را به داده هایشان هدایت کنیم و آنها را قادر کنیم از فرصت های فراوان با هوش مصنوعی استفاده کنند.

سیسکو و Splunk با هم به این چالش‌ها رسیدگی می‌کنند و فرصت‌های جدیدی را برای سازمان‌ها در سراسر جهان با ارائه بهترین فناوری‌ها برای محافظت، اتصال و پیشبرد مأموریت‌هایشان ایجاد خواهند کرد. ما تلاش خواهیم کرد تا به مشتریان خود کمک کنیم تا آنچه را که در زیرساختشان اتفاق می‌افتد، درک کنند، سریع تصمیم بگیرند و بر اساس اطلاعات عمل کنند و به امنیت داده‌ها و کل شرکتشان، همه در یک مکان کمک کنیم.

در چند سال گذشته، سیسکو کسب‌وکار ما را برای ارائه نرم‌افزار و اشتراک‌های بیشتر متحول کرده است، در حالی که همچنان بهترین سخت‌افزار در کلاس خود را ارائه می‌کند. با پیوستن Splunk به سیسکو، تحول کسب‌وکار خود را تسریع خواهیم کرد، که به ما امکان می‌دهد نوآوری را سریع‌تر در دست مشتریان خود قرار دهیم، پیش‌بینی‌پذیری و دید بیشتری را در کسب‌وکارمان فراهم کنیم، و به رشد و ارزش سهامداران بلند مدت کمک کنیم.

این واقعاً یک روز تاریخی برای سیسکو است. ما شتاب باورنکردنی داریم و این با اضافه شدن Splunk به تیم ما بیشتر تقویت خواهد شد. با رهبری نوآوری قابل اعتماد، یک موتور عالی برای عرضه به بازار و یک فرهنگ در سطح جهانی را به ارمغان خواهیم آورد که به مشتریان ما کمک می کند تا با سرعت بیشتری حرکت کنند تا فرصت های جدید را به سرعت باز کنند. من از دیدن همه چیزهایی که با هم می توانیم به دست آوریم بسیار هیجان زده هستم.

 

بیشتر بخوانید

شرکت سخت‌افزار شبکه Juniper Networks یک بروزرسانی امنیتی خارج از روند همیشگی را برای رفع چندین نقص در کامپوننت J-Web سیستم‌عامل Junos منتشر کرده است. این نقص می‌تواند جهت دستیابی به اجرای کد از راه دور (Remote Code Execution – RCE) در نصب‌های حساس ترکیب شود.

این چهار آسیب‌پذیری دارای رتبه CVSS مجموعا 9.8 هستند که آن‌ها را از نظر شدت در رده بحرانی قرار می‌دهد. این نقص‌ها بر رو تمام نسخه‌های سیستم عامل Junos در سری SRX و EX تاثیر می‌گذارند.

این شرکت در توصیه امنیتی که به‌تازگی منتشر شد، گفت: “با بهره‌برداری زنجیره‌ای از این آسیب‌پذیری‌ها، یک مهاجم مبتنی بر شبکه احراز هویت نشده ممکن است بتواند از راه دور کد را روی دستگاه‌ها اجرا کند”.

اینترفیس J-Web به کاربران اجازه می‌دهد تا دستگاه‌های Junos OS را پیکربندی، مدیریت و نظارت کنند. مختصری از ایرادات در زیر شرح داده شده است:

• نقص CVE-2023-36844 و CVE-2023-36845 (امتیاز CVSS: 5.3): دو آسیب‌پذیری تغییر متغیر خارجی PHP در J-Web Juniper Networks Junos OS در سری EX و سری SRX، که به یک مهاجم غیرقانونی و مبتنی بر شبکه اجازه می‌دهد تا متغیر‌های مهم محیطی کنترل کند.

• نقص CVE-2023-36846 و CVE-2023-36847 (امتیاز CVSS: 5.3): دو تایید اعتبار از دست رفته برای آسیب‌پذیری‌های عملکرد حیاتی در Juniper Networks Junos OS در سری EX و سری SRX که اجازه می‌دهد تا یک مهاجم بدون احراز هویت و مبتنی بر شبکه تاثیر محدودی بر یکپارچگی فایل سیستم ایجاد کند.

یک عامل تهدید می‌تواند یک درخواست طراحی شده ویژه و ساختگی برای اصلاح برخی از متغیر‌های محیط PHP یا آپلود فایل‌های دلخواه از طریق J-Web sans هر‌گونه احراز هویت برای بهره‌برداری موفقیت‌آمیز از مسائل مذکور را ارسال کند.

آسیب‌پذیری‌ها در نسخه‌های زیر برطرف شده است:

• سری EX – نسخه‌های سیستم عامل Junos 20.4R3-S8، 21.2R3-S6، 21.3R3-S5، 21.4R3-S4، 22.1R3-S3، 22.2R3-S1، 22.3R2-S2، 22.3R2-S2، 22.3R3-S2، 22.3R3-S2، 22.3R3-S5، 22. 3R3-S5 R3 و 23.2R1

• سری SRX – نسخه‌های سیستم عامل Junos 20.4R3-S8، 21.2R3-S6، 21.3R3-S5، 21.4R3-S5، 22.1R3-S3، 22.2R3-S2، 22.3R2-S2، 22.3R2-S2، 22.3R2-S2، 22.3R3-S2، 22.2R3-S2، 22.2R3-S5، 22.3R3-S5، 22.3R3-S5.R3 و 23.2R1

به کاربران توصیه می‌شود برای کاهش خطرات تهدیدات احتمالی اجرای کد از راه دور، اصلاحات و پچ‌های لازم را اعمال کنند. به‌عنوان یک راه‌حل، Juniper Networks پیشنهاد می‌کند که کاربران J-Web را غیرفعال کنند یا دسترسی را فقط به هاست‌های قابل اعتماد، محدود کنند.

بیشتر بخوانید

مجموعه راه‌حل‌های امنیتی و شبکه اسپلانک به شرکت‌ها اجازه می‌دهد ضمن نظارت بر ترافیک مبادله شده در شبکه یک راه‌حل جامع امنیتی را پیاده‌سازی کنند. اسپلانک (Splunk Enterprise Security) که به اختصار به آن Splunk ES می‌گویند یک فناوری پیشرفته، گسترش‌پذیر و کاربردی است که فایل‌های ثبت شده در یک سامانه را فهرست‌بندی و جست‌وجو می‌کند. ابزار Splunk ES می‌تواند داده‌ها را توسط الگوریتم‌های هوشمند تجزیه‌وتحلیل کند و یک برنامه عملیاتی کارآمد در اختیار کسب‌وکارها قرار دهد. Splunk ES علاوه بر ساخت یک استراتژی امنیتی مبتنی بر تجزیه و تحلیل و نظارت مداوم بر تهدیدات امروزی به سازمان‌ها اجازه می‌دهد یک راه‌حل بهینه‌سازی شده امنیتی را با کمترین زمان پاسخ‌گویی که تمرکزش بر اطلاعات مبادله شده توسط کلاینت‌ها است پیاده‌سازی کنند. Splunk ES با اتکا بر یادگیری ماشین که قادر به شناسایی ناهنجا‌ری‌ها و تهدیدها است به سازمان‌ها اجازه می‌دهد تصمیمات آگاهانه‌تری نسبت به تهدیدات اتخاذ کنند. Splunk ES تنها یکی از راه‌حل‌های کارآمد ارائه شده توسط اسپلانک است. راه‌حل‌های هوشمندانه این شرکت عمدتا در ارتباط با جست‌وجو، نظارت و بررسی بزرگ داده‌های تولید شده توسط ماشین‌ها از طریق یک رابط کاربری وب‌محور است. Splunk ES با ثبت، شاخص‌گذاری و نمایش ارتباط داده‌های واقعی در یک محیط قابل جست‌جو و ارائه نمودارها، گزارش‌ها، هشدارها و داشبوردها به کارشناسان امنیتی در انجام وظایف خود کمک می‌کند. کاربرد اسپلانک محدود به مدیریت بزرگ داده‌ها نیست و کارشناسان امنیتی می‌توانند به اشکال مختلفی از این فناوری کاربردی استفاده کنند که یکی از این کاربردها پیاده‌سازی مرکز عملیات امنیت شبکه است.

تهدید پیشرفته چیست؟

تهدیدات پیشرفته توسط هکرهایی انجام می‌شود که برای به‌دست آوردن یا تغییر اطلاعات از مسیرهای چندگانه استفاده می‌کنند. به‌طور معمول، کشف، شناسایی و حذف تهدیدات پیشرفته فرآیند پیچیده‌ای است. تهدیدات پیشرفته می‌توانند فیشینگ، آلوده‌سازی وب‌سایت‌ها با بدافزارها، حمله‌های جست‌وجوی فراگیر یا مهندسی اجتماعی باشند که برای به‌دست آوردن دسترسی‌های مجاز و پیاده‌سازی حمله‌های هدف‌دار که شامل اکسپلویت‌های روز صفر می‌شوند اجرا شوند. تهدیدهای پیشرفته یک یا چند سامانه را در معرض خطر قرار می‌دهند تا یک راه ارتباطی پایدار در اختیار هکرها قرار دارند تا انواع مختلف عملیات مخرب را پیاده‌سازی کنند. برای شناسایی حمله‌های چندریختی که ماهیت ثابتی ندارند، شرکت‌ها و به ویژه شرکت‌های ارائه‌دهنده خدمات به فناوری پیشرفته‌ای نیاز دارند که قادر به تحلیل داده‌ها باشد. Splunk ES یکی از راهکارهای پیش‌روی کسب‌وکارها است. Splunk ES فرآیند جست‌وجوی داده‌های خاص در مجموعه‌ای متشکل از داده‌های متجانس و نامتجانس را ساده می‌کند. کارشناسان شبکه و امنیت به سختی می‌توانند با نگاه کردن به فایل‌های گزارش متوجه شوند آیا تجهیزات به درستی پیکربندی شده‌اند یا خیر، به همین دلیل برای ساده‌سازی این فرآیند به سراغ نر‌م‌افزارهایی می‌روند که یک چنین قابلیت‌های کاربردی را ارائه می‌کنند.

مجموعه راه‌حل‌های اسپلانک

مجموعه راه‌حل‌های اسپلانک یک زیرساخت هوشمند ارائه می‌کند تا دستیابی به داده‌های تولید شده توسط دستگاه‌ها ساده شود. پردازش و تجزیه و تحلیل حجم عظیمی از داده‌ها با هدف شناسایی تهدیدات پیشرفته یکی از بزرگ‌ترین چالش‌های کارشناسان امنیتی است. اسپلانک با ارائه یک مکانیزم مدیریت فراگیر این فرآیند را ساده کرده است. بهتر است برای روشن‌تر شدن موضوع به ذکر مثالی بپردازیم. تصور کنید، یک مدیر سیستم هستید و باید درباره این موضوع که چه اشتباهی در دستگاه‌ها یا سامانه‌ها به وجود آمده با نگاه کردن به داده‌های تولید شده تحقیقی انجام دهید. به‌طور سنتی، ساعت‌ها طول می‌کشد تا مشکل را شناسایی کنید. این درست همان نقطه‌ای است که وجود مجموعه راه‌حل‌های اسپلانک احساس می‌شود. اسپلانک با پردازش داده‌های تولید شده توسط سامانه‌ها و برجسته‌سازی وجه اشتراک داده‌های تولید شده شناسایی مشکلات را ساده‌تر می‌کند.

مزایای به‌کارگیری مجموعه راه‌حل‌های اسپلانک

از مهم‌ترین مزایای راه‌‌حل‌های اسپلانک می‌توان به عملکرد، گسترش‌پذیری و ارائه راهکارهای خلاقانه جمع‌آوری و ارائه داده‌ها اشاره کرد. البته کار با اسپلانک زیاد ساده نیست و به تجربه و تخصص نیاز دارد. در مجموع از مزایای شاخص این راه‌حل‌ها و به ویژه Splunk ES به موارد زیر می‌توان اشاره کرد:

  •  کارشناسان می‌توانند از Splunk ES برای ساخت گزارش‌های تحلیلی همراه با نمودارها و جداول تعاملی استفاده کنند و آن‌را با سایر بخش‌های سازمان به‌اشتراک قرار دهند.
  •  مجموعه راه‌حل‌های اسپلانک گسترش‌پذیر و انعطاف‌پذیر هستند.
  •  مجموعه راه‌حل‌های اسپلانک به‌طور خودکار اطلاعات و پیوندهای مفید موجود در داده‌ها را شناسایی و برجسته می‌کنند. بنابراین لازم نیست خودتان به شکل دستی این‌کار را انجام دهید. رویکرد فوق زمان صرف شده برای جست‌وجوها را کم می‌کند و فرآیند برچسب‌زنی اطلاعات را ساده‌تر می‌کند.
معماری اسپلانک چگونه است؟

قبل از آن‌که به سراغ کاربرد اسپلانک در دنیای امنیت و همچنین ابزار Splunk Enterprise Security برویم، اجازه دهید به شکل مختصر با مولفه‌ها و اجزا تشکیل دهنده اسپلانک آشنا شویم. شکل 1 معماری کلی اسپلانک را نشان می‌دهد.

عملکرد هر یک از مولفه‌های این معماری به شرح زیر است:

Forwarder Universal: مولفه فوق روند ارسال داده‌ها به Splunk forwarder را شتاب می‌بخشد. وظیفه اصلی این مولفه ارسال گزارش‌ها است. کارشناسان امنیتی یا سرپرستان شبکه می‌توانند مولفه فوق را در سمت کلاینت نصب کنند.

Load Balancer: مسئولیت متعادل سازی بار روی چند منبع محاسباتی را بر عهده دارد.

Forwarder Heavy: مولفه فوق برای فیلتر‌سازی داده‌ها استفاده می‌شود. به‌طور مثال، می‌توانید اسپلانک را به گونه‌ای تنظیم کنید که تنها اطلاعات خطا را نشان دهد.

Indexer: وظیفه ساخت فهرست‌ها و فهرست‌بندی داده‌های فیلترشده را عهده‌دار است تا عملکرد اسپلانک بهبود یابد.

Search Head: مولفه فوق فرآیند توزیع جست‌وجوها میان سایر نمایه‌سازها را تسهیل می‌کند. این مولفه هیچ زیرمجموعه‌ای ندارد.

Deployment Server: فرآیند استقرار پیکربندی‌ها و به‌روزرسانی فایل پیکربندی Universal Forwarder را ساده می‌کند. کارشناسان امنیتی می‌توانند از این مولفه برای به‌اشتراک‌گذاری داده‌ها میان مولفه‌های دیگر استفاده کنند.

License Master: مدیریت مجوز اسپلانک استفاده شده توسط کاربر را بر عهده دارد.

Forwarder: ابتدا به جمع‌آوری داد‌ه‌ها از ماشین‌های مختلف می‌پردازد و داده‌ها را به Indexer انتقال می‌دهد. این مولفه می‌تواند داده‌ها را ردیابی کند، یک کپی از داده‌ها آماده کند و توازن بار را روی داده‌های خاص قبل از ارسال به Indexer انجام دهد. در مرحله بعد Forwarder داده‌ها را به Indexer تحویل می‌دهد. در نمایه‌ساز، داده‌های به‌دست‌آمده به بخش‌های مختلف تقسیم می‌شوند. در این مرحله کارشناسان شبکه می‌توانند در هر پایگاه داده، تنظیماتی را اعمال کنند و مجوزهای مربوطه را به کاربران تخصیص دهند. Indexer ضمن پردازش داده‌های دریافتی، داده‌های موجود در دیسک را جمع‌آوری و مرتب می‌کند.

زمانی که داده‌ها درون نمایه‌ساز آماده شدند، امکان جست‌وجوی داده‌ها و مشاهده نتایج بر مبنای فیلترهای مختلف و ارسال نتایج برای مولفه Search Head فراهم می‌شود. Search Head  به کاربران اجازه می‌دهد به تعامل با اسپلانک بپردازند.

چرخه حمله‌های پیشرفته

همان‌گونه که اشاره شد، یک تهدید پیشرفته، زنجیره‌ای از فعالیت‌های مخرب است تا هکر بتواند یک نقطه ورود به شبکه را پیدا کند، به سراغ منابع حاوی اطلاعات ارزشمند برود و اطلاعات حساس را به خارج از سازمان منتقل کند. شکل 2 چرخه عمر تهدیدات پیشرفته را نشان می‌دهد.

چگونگی انتقال

یک تهدید پیشرفته با دانلود بدافزار، کلیک روی پیوندهای مخرب، باز کردن فایل‌های پیوست شده به ایمیل‌ها یا مراجعه به سایت‌های آلوده آغاز می‌شود.

چگونگی انجام اکسپلیوت و نصب بدافزار

بدافزار توسط یک سامانه دانلود و در ادامه اجرا می‌شود. بدافزارها عمدتا پنهان هستند یا درون اسناد رایج همچون فایل‌های وب، فایل‌های پی‌دی‌اف یا تصاویر گرافیکی با فرمت فایلی Jpeg بارگذاری می‌شوند. هر زمان کاربر فایل مخربی را اجرا کند بدافزار روی سامانه او فعال می‌شود. زمانی‌که بدافزاری اجرا می‌شود، فعالیت‌های مختلفی انجام می‌دهد تا به شکل ناشناس روی یک سامانه به حیات خود ادامه دهد. به‌طور مثال، بدافزارها ممکن است با نصب برنامه‌هایی که رابط کاربری عادی دارند، غیرفعال کردن بسته‌های امنیتی، پاک کردن فایل‌های گزارش یا جایگزین کردن فایل‌های سیستمی سالم با فایل‌های آلوده یا تزریق کد آلوده به فایل اجرایی روی گره‌های تحت شبکه به کار خود ادامه می‌دهند.

نحوه برقراری تعامل بدافزار با سرور کنترل و فرمان‌ دهی

نرم‌افزارهای مخرب زمانی که روی گره‌های پایانی نصب می‌شوند با سرور کنترل و فرمان‌دهی (Command & Control) ارتباط برقرار می‌کنند تا دستورالعمل‌هایی اجرایی مخرب را دریافت کنند. این دستورالعمل‌ها می‌توانند فایل‌ها یا بارداده‌های مخربی باشند که قرار است اطلاعات سازمانی را به سرقت ببرند. بدافزارها برای برقراری ارتباط با سرورهای کنترل و فرمان‌دهی از پروتکل‌های رایجی همچون FTP، HTTP و DNS پنهان استفاده می‌کنند. گاهی اوقات این ارتباط از طریق پروتکل‌های رمزنگاری شده یا با استفاده از پروتکل‌های راه دور (RDP) که یک مکانیزم انتقال رمزنگاری شده را ارائه می‌کنند انجام می‌شود.

حمله‌ها چگونه انجام می‌شوند؟

حمله‌های پیشرفته با هدف ورود به زیرساخت‌های ارتباطی و انجام عملیات مخرب انجام می‌شوند. در حملات پیشرفته هکر از مسیرها و تکنیک‌های مختلفی برای پیاده‌سازی حملات استفاده می‌کند تا بتواند با استفاده از یک حساب کاربری به یک سامانه تحت شبکه وارد شود، سطح مجوز را ارتقا دهد، به شکل ناشناس در شبکه باقی بماند و در نهایت اطلاعات را سرقت کرده یا به سامانه‌های دیگر آسیب جدی وارد کند. دسترسی به اطلاعات و ترافیک مبادله شده در شبکه و تحلیل تمامی داده‌ها به شناسایی و مقابله با تهدیدات پیشرفته کمک می‌کند. نظارت مستمر بر ترافیک و فعالیت‌های غیر‌عادی و مرتبط کردن اطلاعات با یکدیگر یکی از روش‌های Kill Chain است که می‌تواند به شناسایی میزبان‌های در معرض خطر و تهدیدات پیشرفته‌ای که شبکه سازمانی را نشانه گرفته‌اند کمک کند. در روش Kill Chain تمرکز روی شناسایی فعالیت‌های پس از اجرای اکسپلیوت یا آلوده شدن سامانه‌ها (به فرض ورود هکر به شبکه) است. مجموعه راهکارهای امنیتی اسپلانک می‌توانند به سازمان‌ها و شرکت‌های ارائه‌دهنده خدمات اینترنتی اجازه دهند ضمن حفظ کارایی سامانه‌ها، با شناسایی زودهنگام مخاطرات امنیتی، تهدیدات را شناسایی کنند، عملیات تحلیل و ارزیابی را به موقع انجام دهند و با کمترین هزینه ممکن مرکز عملیات شبکه و امنیت را پیاده‌‌سازی کنند. مهم‌ترین مزیت راه‌حل‌های امنیتی ارائه شده توسط اسپلانک نظارت بر سازگاری و پایداری، بهبود سطح فرآیندهای امنیتی و انطباق‌پذیری بالا است.

چگونه تهدیدهای پیرامون میزبان‌های در معرض خطر را شناسایی کنیم؟

برای شناسایی تهدیدهای پیشرفته ابتدا باید فهرستی از پرسش‌های مهم را در قالب یک چک‌لیستی امنیتی آماده کنید و مطابق با آن به شناسایی موارد مشکوک بپردازید. این فرآیند می‌تواند به دو شکل دستی یا خودکار انجام شود. مزیت روش خودکار در تشخیص زود‌هنگام و دقیق تهدیدات است. راه‌حل‌هایی همچون Splunk Enterprise یا IBM QRadar به سازمان‌ها در انجام این‌کار کمک می‌کنند. در جدول1 تکنیک‌هایی که برای شناسایی تهدیدات پیشرفته پیرامون میزبان‌ها استفاده می‌شوند و نحوه پاسخ‌گویی و مقابله با تهدیدات را نشان می‌دهد. این جدول توسط شرکت اسپلانک و مطابق با تکنیک‌های استفاده شده توسط محصولات این شرکت آماده شده‌اند. برای اطلاع بیشتر در خصوص سایر موارد به آدرس انتهای مطلب مراجعه کنید.

جدول 1 نشان می‌دهد انجام این فرآیندها به شیوه دستی کار سختی است و در بیشتر موارد احتمال سهل‌انگاری یا نادیده گرفتن برخی نکات وجود دارد. Splunk ES با ارائه راه‌حلی جامع این مشکل را برطرف می‌کند.

شناسایی تهدیدات پیشرفته پیرامون میزبان‌ها
Splunk Enterprise Security

یکی از مشکلات عمده سازمان‌ها عدم انطباق استراتژی‌های امنیتی با تهدیدات پویا و فناوری‌های روز است. همین موضوع باعث شده تا تهدیدات پیشرفته نوین به سختی شناسایی شوند و استراتژی‌های کسب‌وکار سنخیت چندانی با دکترین امنیتی نداشته باشند. تیم‌های امنیتی برای غلبه بر این چالش‌ها به یک راهکار تحلیلی با قابلیت پاسخ‌گویی دقیق به رویدادها نیاز دارند که بتواند تکنیک‌های شناسایی تهدیدها را به سرعت به کار بگیرد، در کوتاه‌ترین زمان به تهدیدات پاسخ دهد و به کارشناسان امنیتی اجازه دهد تصمیمات مناسبی برای مقابله با تهدیدات اتخاذ کنند. Splunk ES یک راه‌حل امنیتی ایده‌آل است که اجازه می‌دهد تیم‌های امنیتی در کوتاه‌ترین زمان تهدیدات داخلی و خارجی را شناسایی کنند و به آن‌ها پاسخ دهند. فارغ از مدل پیاده‌سازی که می‌تواند به شکل ابر خصوصی، عمومی، درون سازمانی یا استقرار SaaS یا ترکیبی از حالت‌های فوق پیاده‌سازی شود، Splunk ES به سازمان‌ها اجازه می‌دهد برای نظارت مستمر و پاسخ‌گویی سریع به رخدادها یک مرکز عملیات امنیت (SOC) را پیاده‌سازی کنند. همچنین این امکان وجود دارد که Splunk ES را همراه با راه‌حل‌های دیگر این شرکت همچون Splunk Cloud استفاده کرد.

مزایای به‌کارگیری Splunk ES
  •  Splunk ES می‌تواند با تحلیل هوشمندانه داده‌هایی که توسط فناوری‌ها امنیتی تولید می‌شود به کارشناسان امنیتی کمک کند قواعد و خط‌مشی‌های قدرتمندی برای پاسخ‌گویی به تهدیدات اتخاذ کنند.
  •  ارائه قابلیت‌های کاربردی در ارتباط با مدیریت هشدارها، کشف و شناسایی تهدیدات پویا، جست‌وجوی دقیق داده‌ها و تحلیل سریع تهدیدهای پیشرفته
  •  ارائه یک راه‌حل انعطاف‌پذیر در زمینه سفارشی‌سازی جست‌و‌جوها، هشدارها، گزارش‌ها و داشبوردهایی مطابق با نیازهای کاربری با هدف نظارت مستمر بر ترافیک شبکه
  •  پیاده‌سازی یک مرکز عملیات امنیت کارآمد برای پاسخ‌گویی سریع به رخدادها
امنیت مبتنی بر تجزیه و تحلیل
  • فرآیند شناسایی و مرتبط کردن داده‌های امنیتی و شبه‌امنیتی با یکدیگر (اطلاعاتی در ارتباط با زیرساخت‌های فناوری اطلاعات، محصولات امنیت و داده‌های تولید شده توسط کلاینت‌ها) و انطباق سریع این اطلاعات با هدف ارائه یک دورنمای دقیق از تهدیدات را امنیت مبتنی بر تجزیه و تحلیل می‌گویند. Splunk ES با ارائه یک راه‌حل تحلیل‌محور SEIM به کسب‌وکارها اجازه می‌دهد به سرعت تهدیدات داخلی و خارجی را شناسایی و به آن‌ها واکنش نشان دهند. در ادامه به چند مورد از مهم‌ترین کاربردهای Splunk ES اشاره می‌کنیم:

    مانیتور کردن مستمر وضعیت امنیتی

    • Splunk ES با ارائه مجموعه کاملی از داشبوردهای از پیش تعریف شده همچون شاخص‌های مهم امنیتی (KSI)، شاخص‌های مهم عملکردی (KPI)، آستانه تحمل پویا و ایستا و شاخص‌های Trending یک تصویر کلی و شفاف از وضعیت امنیتی سازمان ارائه می‌کند (شکل 3).

    اولویت‌بندی رخدادها و واکنش مناسب به آن‌ها

    • تحلیل‌گران و تیم‌های امنیتی می‌توانند از هشدارها و رخدادها، ناهنجاری مرتبط با تحلیل الگوی رفتاری کاربر (UBA) سرنام User Behavior Analytics، گزارش‌های تولید شده در ارتباط با وضعیت ترافیک شبکه و موارد این چنینی برای پاسخ‌گویی سریع‌تر و شفاف‌تر استفاده کنند (شکل 4).

    ‌بررسی و رسیدگی سریع به تهدیدها

    • Splunk ES برای شتاب بخشیدن به روند شناسایی تهدیدها قابلیت جست‌وجوی موردی و همچنین ارتباط بصری، پویا و ایستا را ارائه می‌کند تا کارشناسان امنیتی فعالیت‌های مخرب را به سرعت شناسایی کنند. در این زمینه Splunk ES تمامی داده‌های تولید شده در شبکه را بررسی می‌کند تا بتواند تهدیدات را بر مبنای الگوهای رفتاری آن‌ها شناسایی کند و با ردیابی اقدامات هکرها و بررسی شواهد و مدارک اطلاعات بیشتری در اختیار کارشناسان امنیتی قرار دهد.

    انجام بررسی‌های چندگانه

    • با هدف پیگیری فعالیت‌های مرتبط با سامانه‌های آسیب دیده لازم است تحلیل‌های مرتبط با نفوذ‌پذیری انجام شود. در این حالت باید مدل Kill Chain را اعمال کرد و با استفاده از جست‌وجوهای موردی و به‌کارگیری قابلیت‌های Splunk ES همراه با رکوردهای جست‌وجو کننده و خط زمانی جست‌وجو به بررسی چرخه عمر تهدیدهای پیشرفته پرداخت (شکل 5).

    کلام آخر

    همان‌گونه که ممکن است حدس زده باشید، Splunk ES عملکردی فراتر از یک راه‌حل SIEM عادی دارد و می‌تواند ضمن نظارت بر ترافیک شبکه، با ارائه داشبوردهای تعاملی به کارشناسان کمک کند قبل از آن‌که مشکلات یا آسیب‌پذیری‌ها خسارت زیان‌باری به بار آورند، اقدامات پیشگیرانه را انجام دهند .

بیشتر بخوانید

شرکت سیسکو در خصوص یک آسیب پذیری بحرانی در Cisco SD-WAN vManage هشداری را صادر کرده است. این آسیب پذیری با شناسه CVE-2023-20214 و شدت بحرانی و امتیاز 9.1 در محصولات سیسکو یافت شده است. یک آسیب‌پذیری در اعتبارسنجی درخواست برای رابط برنامه‌نویسی برنامه‌های کاربردی (REST API) نرم‌افزار Cisco SD-WAN vManage وجود دارد که می‌تواند به یک حمله‌کننده غیرمجاز، اجازه دسترسی به مجوزهای خواندن یا محدود خواندن/نوشتن به پیکربندی نمونه Cisco SD-WAN vManage متأثر را بدهد.

این آسیب‌پذیری سیسکو به دلیل عدم اعتبارسنجی کافی درخواست‌ها هنگام استفاده از ویژگی REST API به وجود می‌آید. یک حمله‌کننده می‌تواند از طریق ارسال درخواست API منحصربه‌فرد به یک نمونه vManage متأثر، از این آسیب‌پذیری بهره‌برداری کند. در صورت موفقیت آمیز بودن حمله، حمله‌کننده قادر خواهد بود اطلاعات را از پیکربندی نمونه Cisco  vManage  متأثر دریافت و اطلاعات را به آن ارسال کند. این آسیب‌پذیری تنها تأثیری بر روی REST API دارد و بر روی رابط مدیریت مبتنی بر وب یا رابط خط فرمان تأثیری ندارد. این APIها برای موارد زیر استفاده می‌شوند.
•    نظارت بر وضعیت دستگاه
•    پیکربندی دستگاه
•    بدست آوردن اطلاعات آماری از دستگاه
نسخه های تحت تاثیر و اصلاح شده :

ax

سیسکو اعلام کرده است که اطلاعاتی در خصوص اکسپلویت یا حملات استفاده شده برای این آسیب پذیری ندارد.
برای بررسی اینکه آیا به این APIها درخواستی ارسال شده است می‌توان فایل لاگ که در مسیر زیر قرار دارد را بررسی کنید :

/var/log/nms/vmanage-server.log

با دستور CLI زیر میتونید این فایل رو مشاهده کنید :

vmanage# show log /var/log/nms/vmanage-server.log

اگه در نتایج عبارت Request Stored in Map is (/dataservice/client/server) for user (admin) بود، یعنی درخواست‌هایی به REST API ارسال شده  است.

30-Jun-2023 15:17:03,888 UTC INFO  [ST3_vmanage1] [AppServerLoginModule] (default task-202) |default| Localization: Locale value after setting for non-SAML User upon login: null
30-Jun-2023 15:17:03,930 UTC INFO  [ST3_vmanage1] [UserUtils] (default task-202) |default| Request Stored in Map is (/dataservice/client/server) for user (admin)
30-Jun-2023 15:17:03,933 UTC INFO  [ST3_vmanage1] [UserUtils] (default task-202) |default| localUserFile : /etc/viptela/aaa_auth_grp/admin, radiusUserFile : /etc/viptela/aaa_auth_grp/admin.external
30-Jun-2023 15:17:03,933 UTC INFO  [ST3_vmanage1] [UserUtils] (default task-202) |default| localUserFile exists : false, isFile : false

توصیه :
سیسکو به‌روزرسانی‌های نرم‌افزاری را منتشر کرده است که این آسیب‌پذیری را رفع می‌کند. راه‌حل‌های موقتی برای رفع این آسیب‌پذیری وجود ندارد. همچنین گفته شده که می‌توانید با فعال کردن access control list) ACL) دسترسی به vManage رو محدود کنید.

 

منبع : sec.cloudapps.cisco.com

بیشتر بخوانید

کمپانی فورتینت از یک ضعف امنیتی و آسیب پذیری با شدت بحرانی در فورتی‌اواس (FortiOS) و فورتی‌پراکسی (FortiProxy) خبر داده است که به یک حمله‌کننده از راه دور امکان اجرای کد دلخواه را در دستگاه‌های آسیب‌پذیر می‌دهد.

این ضعف که توسط شرکت امنیتی Watchtowr کشف شده است، با شناسه CVE-2023-33308 ردیابی می‌شود و امتیاز CVS v3 آن 9.8 از 10.0 است که به عنوان بحرانی رده‌بندی شده است. فورتینت در یک اعلان جدید از ضعف، هشدار داده است: یک آسیب پذیری سرمبنای بالا [CWE-124] در فورتی‌اواس و فورتی‌پراکسی ممکن است اجازه دهد تا یک حمله‌کننده از راه دور کد یا دستور دلخواه را از طریق بسته‌هایی که به سیاست‌های پروکسی یا سیاست‌های فایروال با حالت پروکسی و همچنین بررسی عمیق بسته‌های SSL می‌رسند، اجرا کند.
یک سرریز مبتنی بر استک (stack-based overflow) یک مشکل امنیتی است مهاجم راه دور با ارسال بسته های مخربی که به خط مشی های فایروال و پروکسی در حالت proxy mode و SSL deep packet inspection  می‌رسد، میتواند کد یا دستور دلخواه را اجرا کند.
این ضعف در نسخه‌های زیر از FortiOS تأثیر می‌گذارد:

ax

نسخه های اصلاح شده به شرح  زیر هستند:
•    FortiOS version 7.4.0 or above
•    FortiOS version 7.2.4 or above
•    FortiOS version 7.0.11 or above
•    FortiProxy version 7.2.3 or above
•    FortiProxy version 7.0.10 or above

اگر مدیران قادر به اعمال نسخه‌نرم‌افزار جدید به‌صورت فوری نباشند، فورتینت می‌گوید که می‌توانند  پشتیبانی HTTP/2 را در پروفایل‌های SSL inspection که توسط خط مشی های پروکسی یا فایروال با حالت proxy mode استفاده می‌شوند را غیرفعال کنید. در مثال زیر این ویژگی را در یک پروفایل با عنوان custom-deep-inspection غیرفعال کرد است.

config firewall ssl-ssh-profile
   edit "custom-deep-inspection"
      set supported-alpn http1-1
   next
end

در نهایت پروفایل‌های امنیتی در حالت proxy mode می‌توانند SSL inspection را روی ترافیک HTTP/2  که توسط TLS 1.2 یا TLS 1.3 امن شده‌اند توسط Application-Layer Protocol Negotiation (ALPN) اجرا کنند. دستور بالا با تنظیم http1-1 روی این پروفایل‌ها، ترافیک HTTP/1.1  رو فقط فوروارد می‌کند.

 

منبع : fortiguard

بیشتر بخوانید

مهاجمان از یک آسیب پذیری بحرانی که اخیرا در پلاگین WooConnerce Payments WordPress افشا شده بود، برای حملات هدفمند گسترده استفاده می کنند. این گروه  حملات، به وب سایت های  Wordfence حمله می کنند. یک فایروال برنامه وب برای سایت های وردپرس گزارش کرده است که این گروه حملات بر روی زیرمجموعه کوچکتری از وب سایت ها تمرکز دارد. 

این آسیب پذیری که با عنوان CVE-2023-28121 و امتیاز 9.8 ارزیابی شده است،  یک مورد دور زدن تایید هویت است که به مهاجمان تایید هویت نشده امکان می دهد، با جعل هویت کاربران برخی اقدامات را حتی با جعل هویت مدیر انجام دهند که منجر به تصاحب سایت می شود.
اکسپلویت موفقیت آمیز از آسیب پذیری پلاگین WooCommerce Payments وردپرس، به مهاجم تایید هویت نشده، اجازه می دهد درخواست هایی را از طرف یک کاربر با دسترسی بالا مانند مدیر ارسال کند. از این رو، مهاجم از راه دور و تایید هویت نشده می تواند به سایتی که با نسخه آسیب پذیر پلاگین فعال شده است، دسترسی مدیر داشته باشد.
گزارش ها نشان می دهد افزایش درخواست های شمارش پلاگین ها، از چند روز قبل، نشانه هایی از حملات گسترده را شناسایی کرده اند. این درخواست ها یک فایل خاص read.txt را در فهرست wp-content/plugins/woocommerce-payments/ در میلیون ها سایت جستجو می کردند. اگرچه، همه اسکن‌هایی که فایل‌های readme.txt را هدف قرار می‌دهند مخرب نیستند. بااین حال، افزایش جستجوها برای یک پلاگین خاص معمولاً نشان‌دهنده علاقه شدید عوامل تهدید است.
حفره مشترک مشاهده شده در حملات، استفاده از هدر درخواست HTTP “X-Wcpay-Platform-  Checkout-User: 1 است که باعث می شود سایت های حساس هر گونه بار اضافی را به عنوان یک کاربر مدیریتی Wordfence در نظر بگیرند. این حفره برای استقرار پلاگین WP Console استفاده می شود که می تواند برای اجرای کدهای مخرب و نصب یک آپلود کننده فایل برای تنظیم پایداری سایت در معرض آسیب پذیری باشد.

محصولات تحت تأثیر
نسخه های 4.8.0 تا 5.6.1 پلاگین WooCommerce Payments آسیب پذیر هستند. بیش از 600000  وب سایت وردپرسی وجود دارد که از این پلاگین استفاده می کنند. وصله های مربوط به این آسیب پذیری توسط WooCommerce در مارس 2023 منتشر شد و وردپرس با استفاده از نسخه های آسیب پذیر نرم افزار، بروزرسانی هایی را برای سایت ها صادر کرد.

 

منبع : hdeveloper.woocommerce.com

بیشتر بخوانید

اخیرا Citrix با انتشار بیانیه ای امنیتی کاربران خود را از سه آسیب پذیری جدید NetScaler ADC و NetScaler Gateway با خبر کرد. از بین این سه آسیب پذیری، آسیب پذیری با شناسه CVE-2023-3519 شدیدترین است که سواستفاده ی موفقیت آمیز از آن، به مهاجمین احراز نشده اجازه ی اجرای کد از راه دور بر روی سیستم های آسیب پذیر که به عنوان دروازه (Gateway) تنظیم شده اند را می دهد.

• آسیب پذیری CVE-2023-3466: این آسیب پذیری از نوع Reflected XSS (XSS بازتابی) بوده و سو استفاده ی موفق از آن به دسترسی کاربر از طریق مرورگر به یک لینک کنترل شده توسط مهاجم درحالی که در یک شبکه به NetScaler IP (NSIP) متصل شده است دارد.
• آسیب پذیری CVE-2023-3467: باعث افزایش سطح دسترسی به ادمین root (nsroot) می شود.
• آسیب پذیری CVE-2023-3519: از نوع اجرای کد از راه دور احراز نشده است و برای آن دستگاه باید به صورت یک دروازه (Gateway) مثل VPN virtual server, ICA Proxy, CVPN RDP Proxy یا به صورت AAA  virtual server تنظیم شده باشد.
این محصول برای مهاجمین با هر سطح مهارتی، هدف محبوبی است و توصیه می شود کاربران در اسرع وقت آن را به یک نسخه ی اصلاح شده ارتقا دهند و منتظر پچ شدن آن نمانند.

محصولات آسیب پذیر:

•    NetScaler ADC and NetScaler Gateway 13.1 before 13.1-49.13
•    NetScaler ADC and NetScaler Gateway 13.0 before 13.0-91.13
•    NetScaler ADC 13.1-FIPS before 13.1-37.159
•    NetScaler ADC 12.1-FIPS before 12.1-65.36
•    NetScaler ADC 12.1-NDcPP before 12.65.36

هر سه آسیب پذیری در محصولات زیر رفع شده است:

•    NetScaler ADC and NetScaler Gateway 13.1-49.13 and later releases
•    NetScaler ADC and NetScaler Gateway 13.0-91.13 and later releases of 13.0
•    NetScaler ADC 13.1-FIPS 13.1-37.159 and later releases of 13.1-FIPS
•    NetScaler ADC 12.1-FIPS 12.1-65.36 and later releases of 12.1-FIPS
•    NetScaler ADC 12.1-NDcPP 12.1-65.36 and later releases of 12.1-NDcPP

منابع : https://gbhackers.com/zero-day-vulnerability-citrix-netscaler/

بیشتر بخوانید