🔸 اجرای رزمایش قطع اینترنت
▫️شرکت پرداخت الکترونیک سداد در نامهای به پذیرندگان دارای درگاه این شرکت اعلام کرد که در تاریخ ۷ بهمن با اجرای رزمایش قطع اینترنت، به مدت دو ساعت کلیه پذیرندگان دارای سرور خارج از کشور از دسترس خارج خواهند شد.
▫️پرداخت الکترونیک سداد اعلام کرده که این رزمایش بر اساس اطلاعیه شرکت #شاپرک و #پدافند_غیرعامل کشور انجام میشود.
▫️دراین نامه آمده است که این رزمایش به تناوب تکرار خواهد شد و در نهایت تمام پذیرندگانی که دارای سرویس خارج از کشور هستند از سرویس پرداخت خارج میشوند.
👁 @intsec
#خبر
▫️شرکت پرداخت الکترونیک سداد در نامهای به پذیرندگان دارای درگاه این شرکت اعلام کرد که در تاریخ ۷ بهمن با اجرای رزمایش قطع اینترنت، به مدت دو ساعت کلیه پذیرندگان دارای سرور خارج از کشور از دسترس خارج خواهند شد.
▫️پرداخت الکترونیک سداد اعلام کرده که این رزمایش بر اساس اطلاعیه شرکت #شاپرک و #پدافند_غیرعامل کشور انجام میشود.
▫️دراین نامه آمده است که این رزمایش به تناوب تکرار خواهد شد و در نهایت تمام پذیرندگانی که دارای سرویس خارج از کشور هستند از سرویس پرداخت خارج میشوند.
👁 @intsec
#خبر
⭕️ نتایج بررسی ۶ آنتی ویروس از سوی #آپا اهواز (دی ۹۷)
رتبه بندی پس از اسکن ۵۷۵ نمونه ویروس:
#پادویش در انتها لیست قرار گرفت و در مجموع (میانگین) ۲۸.۴۰ درصد توانایی کشف نمونه ها را دارد.
براساس این تحلیل آنتی ویروس F-Secure با دارا بودن بالاترین میانگین، رتبه نخست را به خود اختصاص داده است.
بهتر است قبل از اجبار و ابلاغ عمومی به استفاده از پادویش، اصل را فدای فرع نکنیم، و اجازه دهیم دست سازمانها برای پیاده سازی راهکارهای ترکیبی و لایه ای باز باشد تا پادویش به بلوغ برسد.
👁 @IntSec
رتبه بندی پس از اسکن ۵۷۵ نمونه ویروس:
#پادویش در انتها لیست قرار گرفت و در مجموع (میانگین) ۲۸.۴۰ درصد توانایی کشف نمونه ها را دارد.
براساس این تحلیل آنتی ویروس F-Secure با دارا بودن بالاترین میانگین، رتبه نخست را به خود اختصاص داده است.
بهتر است قبل از اجبار و ابلاغ عمومی به استفاده از پادویش، اصل را فدای فرع نکنیم، و اجازه دهیم دست سازمانها برای پیاده سازی راهکارهای ترکیبی و لایه ای باز باشد تا پادویش به بلوغ برسد.
👁 @IntSec
⚠️ #چالش #10Yearschallenge شاید روشی برای جمع آوری نمونه های واقعی از تغییرات چهره افراد برای بهینه سازی یک الگوریتم تشخیص چهره باشد!
👁 @intsec
👁 @intsec
دومین کنفرانس ملی "پدافند سایبری"
دانشگاه آزاد اسلامی واحد مراغه با همکاری انجمن علمی #پدافند_غیرعامل شمالغرب کشور برگزار میکند.
🌐 https://hamayesh.iau-maragheh.ac.ir/
👁 @intsec
#همایش_نمایشگاه_رویداد
دانشگاه آزاد اسلامی واحد مراغه با همکاری انجمن علمی #پدافند_غیرعامل شمالغرب کشور برگزار میکند.
🌐 https://hamayesh.iau-maragheh.ac.ir/
👁 @intsec
#همایش_نمایشگاه_رویداد
Forwarded from Hypersec
📝 معرفی برخی از تاکتیک ها و تکنیک های پرکاربرد مهاجمین در حملات پیشرفته و چندگامی (بخش اول)
1⃣تاکتیک اول: Internal Reconnaissance
- تکنیک Host Enumeration
به مشخص کردن جزئیاتی درباره یک میزبان شامل درک زمینه کاری آن میزبان (یا کاربر) و پیکربندی سیستم میزبان است، اطلاق می شود. تعیین زمینه کاری میزبان به شکارچی تهدید یا به مهاجم این امکان را می دهد تا مشخص کند چه کاربری در حال حاضر به سیستم لاگین کرده و چه دسترسی دارد. مشخص کردن پیکربندی میزبان هم شامل اطلاعاتی راجع به خود میزبان از قبیل نام سیستم میزبان و آدرس IP و ... است.
- تکنیک Network Enumeration
به یافتن سایر میزبان هایی که از میزبان جاری به صورت از راه دور قابل دسترس است Network Enumeration گفته می شود. مهاجم پس از قربانی کردن یک میزبان، نیاز به مشخص کردن ادامه راه، یعنی مشخص کردن نحوه حرکت در شبکه و سایر میزبان های قابل نفوذ در شبکه دارد.
تکنیک Network Enumeration به مهاجم این امکان را می دهد تا دسترسی های میزبان جاری به سایر دارایی ها و سیستم ها در شبکه و همچنین اتصالات و ارتباطات فعال آن ها با یکدیگر را مشاهده کند. نکته حائز اهمیت این است که اقداماتی که در رده Network Enumeration جای می گیرند صرفا اقداماتی است که سایر دارایی های شبکه را شناسایی می کند و هنوز هیچگونه نفوذ از سیستم جاری (سیستم قربانی) به سایر سیستم ها در شبکه انجام نگرفته است.
2⃣تاکتیک دوم Persistence
- تکنیک اجرای اقدامات زمان بندی شده
این فرآیند شامل صف بندی برنامه ها و یا اسکریپت هایی است که می تواند در نقاط یا زمان های دیگر (به صورت متناوب) عملیاتی شود. این اقدامات می توانند به صورت از راه دور زمان بندی شوند البته با فرض اینکه مهاجم برای اجرای آن اسکریپت یا برنامه مجوزRPC یا فراخوانی از راه دور را دارد. این فرآیند (اجرای زمان بندی شده اقدامات مورد نظر) به مهاجمان این امکان را می دهد تا برنامه های مورد نظر خود در هنگام بالاآمدن سیستم به اجرا در آورند.
- تکنیک DLL Injection
با استفاده از این تکنیک، مهاجمان کد مخرب مورد نظر خود را با سوء استفاده از یک پردازه دیگر اجرا می کنند؛ سوءاستفاده از پردازه دیگر با هدف بارگذاری و اجرای کدمخرب مورد نظر مهاجم است. در این تکنیک مهاجمان به واسطه فعالیت مخرب مورد نظر خود به عنوان بخشی از فرآیندهای عادی و روتین، آن را مخفی می کنند. این تکنیک به مهاجمان اجازه دسترسی به مجوزها و حافظه پردازه سیستم را می دهد.
- تکنیک Registry Modification
مقادیر اضافه برای کلیدهای رجیستری RUNONCE و RUN امکان اجرای بدافزارهای باینری در زمان بوت شدن سیستم و یا لاگین را می دهد. این تکنیک رایج ترین تکنیک مشاهده شده در یک دهه اخیر برای ماندگاری در سیستم میزبان است.
1⃣تاکتیک اول: Internal Reconnaissance
- تکنیک Host Enumeration
به مشخص کردن جزئیاتی درباره یک میزبان شامل درک زمینه کاری آن میزبان (یا کاربر) و پیکربندی سیستم میزبان است، اطلاق می شود. تعیین زمینه کاری میزبان به شکارچی تهدید یا به مهاجم این امکان را می دهد تا مشخص کند چه کاربری در حال حاضر به سیستم لاگین کرده و چه دسترسی دارد. مشخص کردن پیکربندی میزبان هم شامل اطلاعاتی راجع به خود میزبان از قبیل نام سیستم میزبان و آدرس IP و ... است.
- تکنیک Network Enumeration
به یافتن سایر میزبان هایی که از میزبان جاری به صورت از راه دور قابل دسترس است Network Enumeration گفته می شود. مهاجم پس از قربانی کردن یک میزبان، نیاز به مشخص کردن ادامه راه، یعنی مشخص کردن نحوه حرکت در شبکه و سایر میزبان های قابل نفوذ در شبکه دارد.
تکنیک Network Enumeration به مهاجم این امکان را می دهد تا دسترسی های میزبان جاری به سایر دارایی ها و سیستم ها در شبکه و همچنین اتصالات و ارتباطات فعال آن ها با یکدیگر را مشاهده کند. نکته حائز اهمیت این است که اقداماتی که در رده Network Enumeration جای می گیرند صرفا اقداماتی است که سایر دارایی های شبکه را شناسایی می کند و هنوز هیچگونه نفوذ از سیستم جاری (سیستم قربانی) به سایر سیستم ها در شبکه انجام نگرفته است.
2⃣تاکتیک دوم Persistence
- تکنیک اجرای اقدامات زمان بندی شده
این فرآیند شامل صف بندی برنامه ها و یا اسکریپت هایی است که می تواند در نقاط یا زمان های دیگر (به صورت متناوب) عملیاتی شود. این اقدامات می توانند به صورت از راه دور زمان بندی شوند البته با فرض اینکه مهاجم برای اجرای آن اسکریپت یا برنامه مجوزRPC یا فراخوانی از راه دور را دارد. این فرآیند (اجرای زمان بندی شده اقدامات مورد نظر) به مهاجمان این امکان را می دهد تا برنامه های مورد نظر خود در هنگام بالاآمدن سیستم به اجرا در آورند.
- تکنیک DLL Injection
با استفاده از این تکنیک، مهاجمان کد مخرب مورد نظر خود را با سوء استفاده از یک پردازه دیگر اجرا می کنند؛ سوءاستفاده از پردازه دیگر با هدف بارگذاری و اجرای کدمخرب مورد نظر مهاجم است. در این تکنیک مهاجمان به واسطه فعالیت مخرب مورد نظر خود به عنوان بخشی از فرآیندهای عادی و روتین، آن را مخفی می کنند. این تکنیک به مهاجمان اجازه دسترسی به مجوزها و حافظه پردازه سیستم را می دهد.
- تکنیک Registry Modification
مقادیر اضافه برای کلیدهای رجیستری RUNONCE و RUN امکان اجرای بدافزارهای باینری در زمان بوت شدن سیستم و یا لاگین را می دهد. این تکنیک رایج ترین تکنیک مشاهده شده در یک دهه اخیر برای ماندگاری در سیستم میزبان است.
Forwarded from Hypersec
📝 معرفی برخی از تاکتیک ها و تکنیک های پرکاربرد مهاجمین در حملات پیشرفته و چندگامی (بخش دوم)
3⃣تاکتیک سوم Command and Control
- تکنیک استفاده از پورت ها و پروتکل های معمولی و رایج
مهاجمان با استفاده از پورت ها و پروتکل های رایج می توانند داده ها و فرامین مورد نظر خود را در قالب بسته های عادی شبکه به بدافزارهای تحت هدایت خود برسانند. در اکثر موارد، مهاجمان داده های خود را در قالب HTTPS، DNS Tunnelung و سایر موارد و پروتکل های پرکاربرد رد و بدل می کنند.
- تکنیک استفاده از پورت ها و پروتکل های غیرمعمول
با به کارگیری این روش، مهاجمان می توانند مکانیزم مانیتورینگ پورت ها و بسته های رایج را دور بزنند و داده های مورد نظر خود را از طریق پورت های غیرمعمولی که مانیتور نمی شوند ارسال کنند. این روش به مهاجم این امکان را می دهد تا عملیات خود را مخفیانه پیش برده و از سیستم های تشخیص موجود در شبکه و اپراتورهای انسانی در امان باشد.
4⃣تاکتیک چهارم Lateral Movement
- تکنیک Pass the Hash
در این تکنیک، مهاجمان رشته های هش رمز عبور را ثبت و ضبط کرده و از آنها برای احراز هویت خود (به جای قربانی) استفاده می کنند. به بیان دیگر، بر اساس این روش مهاجمان دیگر نیازی به یافتن رشته بدون رمز کاربر قربانی ندارند و می توانند اقدامات خود را روی سیستم جاری و سیستم راه دور پیش ببرند.
- تکنیک Remote Desktop Protocol
پروتکل RDP به کاربر امکان دسترسی به دسکتاپ یک کامپیوتر از طریق یک سیستم راه دور را می دهد. در صورتی که امکان RDP روی یک سیستم فعال باشد و مهاجم نام کاربری و رمز عبور آن سیستم را از قبل بداند، می تواند از این طریق به سیستم قربانی نفوذ کند.
- تکنیک Shared Webroot
در صورتی که قربانی یک شبکه یا وب سایت قابل دسترسی از اینترنت (یا حتی قابل دسترسی از داخل سازمان) داشته باشد مهاجم ممکن است بتواند محتوای مخرب مورد نظر خود را در آن شبکه یا به طور خاص تر وب سایت بارگذاری کند و سپس آن را با استفاده از یک مرورگر وب به اجرا در آورد. از آنجایی که محتوای مذکور تحت مجوز سرویس دهنده وب اجرا می شود ممکن است به مهاجم امکان دسترسی Local یا مدیریتی را بدهد.
- تکنیک رهگیری مسیر
این تکنیک مستلزم قرار دادن یک فایل اجرایی در یک مسیر خاص است به گونه ای که اشتباها توسط یک برنامه عادی اجرا شود. نمونه هایی از این تکنیک شامل سوءاستفاده از مسیرهای بسته نشده و متغیرهای محیطی است. مهاجمان با استفاده از این تکنیک می توانند سطح دسترسی خود را ارتقا دهند.
5⃣تاکتیک پنجم Exfiltration
- تکنیک DNS Tunneling
مهاجمان با استفاده از تکنیک هایی نظیر DNS Tunneling می توانند داده های خود را در قالب درخواست های DNS ردوبدل کنند. مهاجمان از این روش برای دور زدن کنترل های امنیتی رایج نظیر فایروال و ... و همچنین سرقت و استخراج اطلاعات از شبکه قربانی استفاده می کنند.
- تکنیک SFTP/SCP Exfiltration
در این تکنیک مهاجمان، از SSL برای مخفی سازی جزئیات داده های مورد نظر خود بهره می برند. برای جلوگیری از این تکنیک، متخصصان امنیت نیاز به استفاده از یک پراکسی دارند تا بتوانند این نوع ترافیک و فعالیت ها را رهگیری و بررسی کنند.
3⃣تاکتیک سوم Command and Control
- تکنیک استفاده از پورت ها و پروتکل های معمولی و رایج
مهاجمان با استفاده از پورت ها و پروتکل های رایج می توانند داده ها و فرامین مورد نظر خود را در قالب بسته های عادی شبکه به بدافزارهای تحت هدایت خود برسانند. در اکثر موارد، مهاجمان داده های خود را در قالب HTTPS، DNS Tunnelung و سایر موارد و پروتکل های پرکاربرد رد و بدل می کنند.
- تکنیک استفاده از پورت ها و پروتکل های غیرمعمول
با به کارگیری این روش، مهاجمان می توانند مکانیزم مانیتورینگ پورت ها و بسته های رایج را دور بزنند و داده های مورد نظر خود را از طریق پورت های غیرمعمولی که مانیتور نمی شوند ارسال کنند. این روش به مهاجم این امکان را می دهد تا عملیات خود را مخفیانه پیش برده و از سیستم های تشخیص موجود در شبکه و اپراتورهای انسانی در امان باشد.
4⃣تاکتیک چهارم Lateral Movement
- تکنیک Pass the Hash
در این تکنیک، مهاجمان رشته های هش رمز عبور را ثبت و ضبط کرده و از آنها برای احراز هویت خود (به جای قربانی) استفاده می کنند. به بیان دیگر، بر اساس این روش مهاجمان دیگر نیازی به یافتن رشته بدون رمز کاربر قربانی ندارند و می توانند اقدامات خود را روی سیستم جاری و سیستم راه دور پیش ببرند.
- تکنیک Remote Desktop Protocol
پروتکل RDP به کاربر امکان دسترسی به دسکتاپ یک کامپیوتر از طریق یک سیستم راه دور را می دهد. در صورتی که امکان RDP روی یک سیستم فعال باشد و مهاجم نام کاربری و رمز عبور آن سیستم را از قبل بداند، می تواند از این طریق به سیستم قربانی نفوذ کند.
- تکنیک Shared Webroot
در صورتی که قربانی یک شبکه یا وب سایت قابل دسترسی از اینترنت (یا حتی قابل دسترسی از داخل سازمان) داشته باشد مهاجم ممکن است بتواند محتوای مخرب مورد نظر خود را در آن شبکه یا به طور خاص تر وب سایت بارگذاری کند و سپس آن را با استفاده از یک مرورگر وب به اجرا در آورد. از آنجایی که محتوای مذکور تحت مجوز سرویس دهنده وب اجرا می شود ممکن است به مهاجم امکان دسترسی Local یا مدیریتی را بدهد.
- تکنیک رهگیری مسیر
این تکنیک مستلزم قرار دادن یک فایل اجرایی در یک مسیر خاص است به گونه ای که اشتباها توسط یک برنامه عادی اجرا شود. نمونه هایی از این تکنیک شامل سوءاستفاده از مسیرهای بسته نشده و متغیرهای محیطی است. مهاجمان با استفاده از این تکنیک می توانند سطح دسترسی خود را ارتقا دهند.
5⃣تاکتیک پنجم Exfiltration
- تکنیک DNS Tunneling
مهاجمان با استفاده از تکنیک هایی نظیر DNS Tunneling می توانند داده های خود را در قالب درخواست های DNS ردوبدل کنند. مهاجمان از این روش برای دور زدن کنترل های امنیتی رایج نظیر فایروال و ... و همچنین سرقت و استخراج اطلاعات از شبکه قربانی استفاده می کنند.
- تکنیک SFTP/SCP Exfiltration
در این تکنیک مهاجمان، از SSL برای مخفی سازی جزئیات داده های مورد نظر خود بهره می برند. برای جلوگیری از این تکنیک، متخصصان امنیت نیاز به استفاده از یک پراکسی دارند تا بتوانند این نوع ترافیک و فعالیت ها را رهگیری و بررسی کنند.
58276.pdf
626.4 KB
☑️ پیشنویس سیاستنامه بانک مرکزی در خصوص رمز ارزها منتشر شد.
🔹 این بانک به منظور انتظامبخشی به فعالیتهای در جریان و فراهم آوردن امکان برنامه ریزی برای فعالان حوزه رمز ارزها، پیش نویس سیاستنامه #بانک مرکزی در خصوص #رمز_ارزها را برای آگاهی و کسب نظر کارشناسان و صاحبنظران منتشر کرد تا ظرف یک ماه نظرات علاقه مندان در خصوص آن اخذ شود.
👁 @intsec
#PDF
🔹 این بانک به منظور انتظامبخشی به فعالیتهای در جریان و فراهم آوردن امکان برنامه ریزی برای فعالان حوزه رمز ارزها، پیش نویس سیاستنامه #بانک مرکزی در خصوص #رمز_ارزها را برای آگاهی و کسب نظر کارشناسان و صاحبنظران منتشر کرد تا ظرف یک ماه نظرات علاقه مندان در خصوص آن اخذ شود.
👁 @intsec
☑️ امنیت از داخل سازمان شروع می شود ..
🔘 کارکنانی که دارای دسترسی بالا به اطلاعات حساس هستند، بیشترین خطر را دارند ..
👁 @intsec
#اینفوگرافیک
🔘 کارکنانی که دارای دسترسی بالا به اطلاعات حساس هستند، بیشترین خطر را دارند ..
👁 @intsec
#اینفوگرافیک
This media is not supported in your browser
VIEW IN TELEGRAM
گوگل از ما چه میداند؟ (همه چی)
نامه ها، شماره های تماس، عبارات جستجو شده، ویدئوها، مکان ما، اسناد متنی
🔸 برای حفظ حریم شخصی در برخی از موارد از سرویس های جایگزین استفاده کنیم ..
👁 @intsec
#اینفوگرافیک
نامه ها، شماره های تماس، عبارات جستجو شده، ویدئوها، مکان ما، اسناد متنی
🔸 برای حفظ حریم شخصی در برخی از موارد از سرویس های جایگزین استفاده کنیم ..
👁 @intsec
#اینفوگرافیک
DevOps_Roadmap_For_Security.pdf
1.3 MB
📧 یک برنامه محافظتی چند لایه ای مانند طرحی که مشاهده میکنید میتواند از سازمان و کاربرانتان در برابر #ایمیل های #فیشینگ محافظت کند ...
👁 @intsec
#اینفوگرافیک
👁 @intsec
#اینفوگرافیک
♨️ و باز هم #کلاهبرداری تکراری با استفاده از #فیشینگ و نا آگاهی مردم در پرداخت های اینترنتی جعل دامنه #شاپرک با تغییر در حرف r !
🔺 با ورود اطلاعات کارت در این نوع وب سایت های جعلی، هکر اقدام به سرقت مبالغ موجود در کارت خواهد نمود.
🔸 مراقب پرداخت های خود باشید!!
👁 @intsec
🔺 با ورود اطلاعات کارت در این نوع وب سایت های جعلی، هکر اقدام به سرقت مبالغ موجود در کارت خواهد نمود.
🔸 مراقب پرداخت های خود باشید!!
👁 @intsec
Media is too big
VIEW IN TELEGRAM
🔸 کاهش #انگیزه در محل کار بر روی عملکرد کاری و ذهنی تاثیر میگذارد.
یک بررسی برای نشان دادن تاثیر بیانگیزگی انجام و مشخص شد، کاهش انگیزه، ۴۸% کاهش بهره کاری و ۴۶% کاهش سلامت ذهنی را به دنبال دارد.
برای افزایش انگیزه:
۱- یک #هدف برای خودتان تعیین کنید.
۲- اهدافتان کوچک و قابل اندازهگیری باشد تا قدم به قدم به هدف نهایی برسید.
۳- سرگرمی در اوقات فراغت داشته باشید.
۴- به سلامتیتان اهمیت دهید.
👁 @intsec
#جملات_ناب
یک بررسی برای نشان دادن تاثیر بیانگیزگی انجام و مشخص شد، کاهش انگیزه، ۴۸% کاهش بهره کاری و ۴۶% کاهش سلامت ذهنی را به دنبال دارد.
برای افزایش انگیزه:
۱- یک #هدف برای خودتان تعیین کنید.
۲- اهدافتان کوچک و قابل اندازهگیری باشد تا قدم به قدم به هدف نهایی برسید.
۳- سرگرمی در اوقات فراغت داشته باشید.
۴- به سلامتیتان اهمیت دهید.
👁 @intsec
#جملات_ناب
🔸 جاسوسی از افراد بر اساس رفتار نزدیکان آنها در شبکههای اجتماعی
دانشگاه ورمونت: رسانههای اجتماعی مثل استنشاق دود سیگار دیگران است؛ با تجزیه و تحلیل حدود ۱۴ هزار کاربر #توییتر مشخص شد، با استفاده از اطلاعات موجود در توییتهای ۸ نفر از آشنایان یک فرد میتوان آن فرد و رفتارش را شناسایی کرد، حتی اگر او عضو هیچ شبکه اجتماعی نباشد.
👁 @intsec
دانشگاه ورمونت: رسانههای اجتماعی مثل استنشاق دود سیگار دیگران است؛ با تجزیه و تحلیل حدود ۱۴ هزار کاربر #توییتر مشخص شد، با استفاده از اطلاعات موجود در توییتهای ۸ نفر از آشنایان یک فرد میتوان آن فرد و رفتارش را شناسایی کرد، حتی اگر او عضو هیچ شبکه اجتماعی نباشد.
👁 @intsec
📝 ده #استراتژی موسسه #MITRE برای مراکز عملیات امنیت #SOC به بیان ساده
بسیاری از مدیران و متصدیان مراکز عملیات امنیت، با چالش هایی نظیر موارد زیر مواجه شده اند:
- چه داده هایی را باید جمع آوری کرد؟
- چه تعداد تحلیل گر در مرکز عملیات امنیت مورد نیاز است؟
- جایگاه و چارت سازمانی مرکز عملیات امنیت چگونه است؟
برای پاسخگویی به این سوالات و مواردی مشابه، این موسسه در کتابی با عنوان Ten Strategies of a World-Class Cybersecurity Operations Center ده استراتژی برای ایجاد یک مرکز عملیات امنیت استاندارد مطرح کرده است که در این پست به صورت خلاصه و به بیانی ساده فهرست شده است:
1️⃣ استراتژی اول: تمامی عملیات های دفاع سایبری نظیر نظارت بر رخداد، هماهنگی، پاسخگویی به رخداد و … باید به صورت واحد در مرکز عملیات امنیت انجام شود. حتی از نظر استقرار فیزیکی نیز این تیم ها باید در یکجا (مرکز عملیات امنیت) مستقر باشند.
2️⃣ استراتژی دوم: ایجاد موازنه بین اندازه مرکز عملیات امنیت و چابکی آن با تهیه یک مدل سازمانی مناسب که در آن وظایف تیم های دفاعی در لایه های مختلف SOC تقسیم شده اند.
3️⃣ استراتژی سوم: اختیارات و مجوزهای مورد نیاز باید در اختیار تیم های SOC قرار گیرد تا این مراکز بتوانند تغییراتی مثمر ثمر ایجاد کنند. برخی از مراکز عملیات امنیت که اختیارات لازم را ندارند بیشتر زمان خود را به جای ایجاد اثرات مثبت، صرف درخواست کمک و مجوز برای انجام عملیات های خود دارند.
4️⃣ استراتژی چهارم: در صورت غلبه کمیت بر کیفیت عملیات امنیت، SOC ها ممکن است جایگاه و اختیارات خود را از دست بدهند. به جای ایجاد بخش های متعدد در مراکز عملیات امنیت (بخش فارنزیک، ارزیابی تهدید، مشاوره امنیت و …) بهتر است روی بخش های کوچکتر ولی با کیفیت بهتر تمرکز کرد.
5️⃣ استراتژی پنجم: از آنجایی که افراد مهمترین عنصر در امنیت سایبری به شمار می آیند بهتر است به جای استخدام تعداد زیادی از افراد، تعداد کمتر ولی با تخصص بالاتر جذب کرد.
6️⃣ استراتژی ششم: مراکز عملیات امنیت در هنگام خرید فناوری های مورد نیاز خود باید ارتباط آن فناوری با حوزه کاری مربوطه، طول عمر و پایداری و بازخورد عملیاتی را به همراه سایر فاکتورها در نظر داشته باشند تا بتوانند حداکثر بهره وری و کارآیی را از فناوری های خریداری شده داشته باشند.
7️⃣ استراتژی هفتم: میزان داده و نوع داده ای که باید جمع آوری شود بسیار حائز اهمیت است. داده ها نباید آنقدر کم باشند که نتوان تهدیدات را شناسایی کرد و نه آنقدر زیاد که در آن غرق شد. مراکز عملیات امنیت باید داده های مناسب را از منابع مناسب و با حجم مناسب جمع آوری کنند.
8️⃣ استراتژی هشتم: فعالیت های تیم SOC و فناوری های آن باید از حملات سایبری روی سایر دارایی ها در امان باشند به گونه ای که اگر در بخش های تحت نظارت این مراکز تهدیدی به وقوع پیوست روی عملیات امنیت تاثیری نداشته باشد.
9️⃣ استراتژی نهم: تیم های مرکز عملیات امنیت باید در راستای دفاع پیش کنشانه (Proactive) گام بردارند و ضمن استفاده از اطلاعات تهدید (Threat Intelligence) از منابع مختلف، این اطلاعات را با سایر بخش ها نیز به اشتراک بگذارند.
🔟 استراتژی دهم: از آنجایی که مراکز عملیات امنیت روزانه تهدیدها و رخدادهای مختلفی را مشاهده میکنند باید رویهای مشخص برای درک این تهدیدات و پاسخگویی به آنها و همچنین کنترل نگرانیها و هیجانات ناشی از رخدادهای بزرگ داشته باشند.
لینک دانلود:
https://www.mitre.org/sites/default/files/publications/pr-13-1028-mitre-10-strategies-cyber-ops-center.pdf
👁 @intsec
#CSOC #Book #کتاب
بسیاری از مدیران و متصدیان مراکز عملیات امنیت، با چالش هایی نظیر موارد زیر مواجه شده اند:
- چه داده هایی را باید جمع آوری کرد؟
- چه تعداد تحلیل گر در مرکز عملیات امنیت مورد نیاز است؟
- جایگاه و چارت سازمانی مرکز عملیات امنیت چگونه است؟
برای پاسخگویی به این سوالات و مواردی مشابه، این موسسه در کتابی با عنوان Ten Strategies of a World-Class Cybersecurity Operations Center ده استراتژی برای ایجاد یک مرکز عملیات امنیت استاندارد مطرح کرده است که در این پست به صورت خلاصه و به بیانی ساده فهرست شده است:
1️⃣ استراتژی اول: تمامی عملیات های دفاع سایبری نظیر نظارت بر رخداد، هماهنگی، پاسخگویی به رخداد و … باید به صورت واحد در مرکز عملیات امنیت انجام شود. حتی از نظر استقرار فیزیکی نیز این تیم ها باید در یکجا (مرکز عملیات امنیت) مستقر باشند.
2️⃣ استراتژی دوم: ایجاد موازنه بین اندازه مرکز عملیات امنیت و چابکی آن با تهیه یک مدل سازمانی مناسب که در آن وظایف تیم های دفاعی در لایه های مختلف SOC تقسیم شده اند.
3️⃣ استراتژی سوم: اختیارات و مجوزهای مورد نیاز باید در اختیار تیم های SOC قرار گیرد تا این مراکز بتوانند تغییراتی مثمر ثمر ایجاد کنند. برخی از مراکز عملیات امنیت که اختیارات لازم را ندارند بیشتر زمان خود را به جای ایجاد اثرات مثبت، صرف درخواست کمک و مجوز برای انجام عملیات های خود دارند.
4️⃣ استراتژی چهارم: در صورت غلبه کمیت بر کیفیت عملیات امنیت، SOC ها ممکن است جایگاه و اختیارات خود را از دست بدهند. به جای ایجاد بخش های متعدد در مراکز عملیات امنیت (بخش فارنزیک، ارزیابی تهدید، مشاوره امنیت و …) بهتر است روی بخش های کوچکتر ولی با کیفیت بهتر تمرکز کرد.
5️⃣ استراتژی پنجم: از آنجایی که افراد مهمترین عنصر در امنیت سایبری به شمار می آیند بهتر است به جای استخدام تعداد زیادی از افراد، تعداد کمتر ولی با تخصص بالاتر جذب کرد.
6️⃣ استراتژی ششم: مراکز عملیات امنیت در هنگام خرید فناوری های مورد نیاز خود باید ارتباط آن فناوری با حوزه کاری مربوطه، طول عمر و پایداری و بازخورد عملیاتی را به همراه سایر فاکتورها در نظر داشته باشند تا بتوانند حداکثر بهره وری و کارآیی را از فناوری های خریداری شده داشته باشند.
7️⃣ استراتژی هفتم: میزان داده و نوع داده ای که باید جمع آوری شود بسیار حائز اهمیت است. داده ها نباید آنقدر کم باشند که نتوان تهدیدات را شناسایی کرد و نه آنقدر زیاد که در آن غرق شد. مراکز عملیات امنیت باید داده های مناسب را از منابع مناسب و با حجم مناسب جمع آوری کنند.
8️⃣ استراتژی هشتم: فعالیت های تیم SOC و فناوری های آن باید از حملات سایبری روی سایر دارایی ها در امان باشند به گونه ای که اگر در بخش های تحت نظارت این مراکز تهدیدی به وقوع پیوست روی عملیات امنیت تاثیری نداشته باشد.
9️⃣ استراتژی نهم: تیم های مرکز عملیات امنیت باید در راستای دفاع پیش کنشانه (Proactive) گام بردارند و ضمن استفاده از اطلاعات تهدید (Threat Intelligence) از منابع مختلف، این اطلاعات را با سایر بخش ها نیز به اشتراک بگذارند.
🔟 استراتژی دهم: از آنجایی که مراکز عملیات امنیت روزانه تهدیدها و رخدادهای مختلفی را مشاهده میکنند باید رویهای مشخص برای درک این تهدیدات و پاسخگویی به آنها و همچنین کنترل نگرانیها و هیجانات ناشی از رخدادهای بزرگ داشته باشند.
لینک دانلود:
https://www.mitre.org/sites/default/files/publications/pr-13-1028-mitre-10-strategies-cyber-ops-center.pdf
👁 @intsec
#CSOC #Book #کتاب
MITRE
News & Insights | MITRE
Follow our latest developments, stories, and technical resources.
Forwarded from ☢️ICSdefender | ICS/SCADA/IIOT Security (BagheriAsl)
معرفی استاندارد ISA62443
معرفی
مجموعه ای از استانداردهای سری 62443 توسط کمیته ISA99 و کمیته فنی IEC 65 Working Group 10 (TC65WG10) به منظور تدوین استحکام و قابلیت انعطافپذیری در سیستمهای کنترل اتوماسیون صنعتی (IACS)، توسعه یافته است. نسخه های ISA استانداردها و گزارش های این سری از نام "ISA-63443-xy" نامیده می شود، در حالی که نسخه های IEC به عنوان "IEC 62443-xy" ظاهر می شوند.
محدوده
مفهوم اتوماسیون الکترونیکی و سیستم های کنترل الکترونیکی امنیت الکترونیکی در بیشترین حد ممکن از جمله انواع پلنتها، امکانات و سیستم ها در همه صنایع استفاده می شود. سیستم های تولید و کنترل شامل، اما نه محدود به:
سیستم های سخت افزاری و نرم افزاری مانند DCS، PLC، SCADA، حسگر الکترونیکی شبکه و سیستم های نظارت و تشخیص.
ادامه این سند را در لینک زیر مطالعه فرمایید:
https://www.icsdefender.ir/detail.html?i=OXRMNnpzRkZLS0k9
معرفی
مجموعه ای از استانداردهای سری 62443 توسط کمیته ISA99 و کمیته فنی IEC 65 Working Group 10 (TC65WG10) به منظور تدوین استحکام و قابلیت انعطافپذیری در سیستمهای کنترل اتوماسیون صنعتی (IACS)، توسعه یافته است. نسخه های ISA استانداردها و گزارش های این سری از نام "ISA-63443-xy" نامیده می شود، در حالی که نسخه های IEC به عنوان "IEC 62443-xy" ظاهر می شوند.
محدوده
مفهوم اتوماسیون الکترونیکی و سیستم های کنترل الکترونیکی امنیت الکترونیکی در بیشترین حد ممکن از جمله انواع پلنتها، امکانات و سیستم ها در همه صنایع استفاده می شود. سیستم های تولید و کنترل شامل، اما نه محدود به:
سیستم های سخت افزاری و نرم افزاری مانند DCS، PLC، SCADA، حسگر الکترونیکی شبکه و سیستم های نظارت و تشخیص.
ادامه این سند را در لینک زیر مطالعه فرمایید:
https://www.icsdefender.ir/detail.html?i=OXRMNnpzRkZLS0k9