دنیا امروزی ازلحاظ فناوری توقف ندارد و ما شاهد نوآوری و اکتشافات روزانه در فضای فناوری هستیم که کلید تداوم و رشد برای ارائهدهندگان خدمات است. در حوزه امنیت سایبری تداوم و رشد بسیار ضروریتر است. بسیاری از هکرها افراد نابغهای هستند و روش غلبه بر آنها نیز باید بسیار زیرکانه، هوشمند، بهسرعت و خلاقانهتر باشد.
براین اساس تحقیق و توسعه (R&D) درزمینهٔ "کسبوکار امنیت فناوری" بسیار مهم است. ارائهدهندگان خدمات امنیت سایبری میتوانند فناوریهای امنیتی باز و یکپارچه و شبکهای ارائه دهند تا سازمانها در مقابل روشهای حملات و تهدیدها در حال تغییر را دیده و عکسالعمل سریع نشان دهند، فعالانهتر عمل کنند، و ابعاد و نیازها را بر اساس رشد کسبوکار خودتنظیم کنند. برای برخورد مناسب با حجمهای تقاضاها در فواصل زمانی بسیار کوتاه، ارائهدهندگان فناوری باید بتوانند از مرزهای سنتی عبور کنند و نوآوری را در کل اکوسیستم (Ecosystem) اجرا کنند. حوزههای احتمالی که باید از آنها آگاه بود به شرح ذیل است.
1. CASB
2. روشهای شناسایی بدافزار (malware detection techniques)
3. محافظت از نشت داده (data leak protection)
4. شناسایی ویروس (virus detection)
5. hardware acceleration
6. DDoS
7. خدمات کلاود (Cloud Services)
8. غیره
فضای تهدیدهای سایبری در حال ایجاد چالشهای بیشتری است و برخی از حوزههای شناختهشده و مناسب برای تحقیق و توسعه بیشتر به شرح ذیل میباشند.
1. یادگیری عمیق برای تحلیل حملات (Deep learning for attack analysis)
ما شاهد به وجود آمدن انواع فناوریهای شناسایی در سالهای اخیر بودهایم. این روند با امضا یا signatures که روشی برای مقایسه کدهای ناشناخته با بدافزارها بود شروع شد. سپس heuristics به وجود آمد که سعی بر شناسایی بدافزارها بر اساس مشخصههای رفتاری در کد بود و بعدازآن sandboxing (کد ناشناخته در یک محیط مجازی اجرا میشود و برای رفتار مخرب مانیتور میگردد). روش یادگیری ماشینی (machine learning) از الگوریتمهای پیچیده برای دستهبندی رفتارهای یک فایل مخرب یا مشکوک قبل از تحلیل شدن آنها توسط عوامل انسانی و تصمیمگیری نهایی استفاده میکند.
فنّاوری یادگیری عمیق یک نوع پیشرفته هوش مصنوعی است که از روشی مشابه و نزدیک به عملکرد مغز انسان استفاده میکند و موارد را شناسایی میکند. این روش ممکن است اثر زیادی بر روی امنیت سایبری، بخصوص در شناسایی بدافزارهای Zero-day و تهدیدهای پیشرفته و مستمر (APT ها) داشته باشد.
پسازاینکه "یک ماشین" کد مخرب را شناسایی میکند، میتواند کدهای ناشناس را بهعنوان مخرب یا خطرناک با دقت بسیار بالایی در real-time شناسایی کند. این سیاست را سپس میتوان بهطور خودکار برای حذف یا quarantine فایلهای مشابه، برای عملکردهای خاص اجرا نمود و این اطلاعات جدید را میتوان بهطور خودکار در کل شبکه یا اکوسیستم امنیتی به اشتراک گذاشت.
پیشبینی میشود که این نوع فناوری و نوآوریها در سال 2017 توسعه و گسترش خواهد یافت.
2. دادههای بزرگ (Big Data) برای log correlation
امروزه IT یک امر عادی در زندگی کاری و امور شخصی همه ما میباشد و باعث انتشار، جمعآوری و ذخیرهسازی حجمهای بالایی از داده در سراسر دنیا میگردد. قاعده داشتن دادههای بزرگ در این است که هرقدر ارائهدهنده بیشتر ببیند فرصتهای ارائه خدمات بهتر، درک تهدیدها و محافظت از شبکه بیشتر است. پس استفاده از دادههای بزرگ برای درک حجمهای بالا و در حال رشد لاگ یک بخش مهم تحقیقات در 2017 پیشبینی میشود.
3. افزایش توان امنیت container
اجرا برنامه در container بهجای دستگاههای مجازی (VM) در حال محبوبیت پیدا کردن است. چنین راهحلهایی به اکوسیستم اجازه میدهد که کاربر برنامههای مانند لینوکس را در داخل container فشردهسازی، توزیع و مدیریت کند. این کار منافعی مانند سادهسازی کار، انجام تنظیمات و بهکارگیری سریعتر آنرا را دارد. مشکلات احتمالی این container ها شامل نقض به کرنل (Kernel exploits)، حملات DDoS، Container breakouts، دریافت و اجرا تصاویر آلوده (Poisoned images) و دسترسی به دادههای مخفی میباشد. پیشبینی میشود که در آینده این فناوری بهبود خواهد یافت.
براین اساس تحقیق و توسعه (R&D) درزمینهٔ "کسبوکار امنیت فناوری" بسیار مهم است. ارائهدهندگان خدمات امنیت سایبری میتوانند فناوریهای امنیتی باز و یکپارچه و شبکهای ارائه دهند تا سازمانها در مقابل روشهای حملات و تهدیدها در حال تغییر را دیده و عکسالعمل سریع نشان دهند، فعالانهتر عمل کنند، و ابعاد و نیازها را بر اساس رشد کسبوکار خودتنظیم کنند. برای برخورد مناسب با حجمهای تقاضاها در فواصل زمانی بسیار کوتاه، ارائهدهندگان فناوری باید بتوانند از مرزهای سنتی عبور کنند و نوآوری را در کل اکوسیستم (Ecosystem) اجرا کنند. حوزههای احتمالی که باید از آنها آگاه بود به شرح ذیل است.
1. CASB
2. روشهای شناسایی بدافزار (malware detection techniques)
3. محافظت از نشت داده (data leak protection)
4. شناسایی ویروس (virus detection)
5. hardware acceleration
6. DDoS
7. خدمات کلاود (Cloud Services)
8. غیره
فضای تهدیدهای سایبری در حال ایجاد چالشهای بیشتری است و برخی از حوزههای شناختهشده و مناسب برای تحقیق و توسعه بیشتر به شرح ذیل میباشند.
1. یادگیری عمیق برای تحلیل حملات (Deep learning for attack analysis)
ما شاهد به وجود آمدن انواع فناوریهای شناسایی در سالهای اخیر بودهایم. این روند با امضا یا signatures که روشی برای مقایسه کدهای ناشناخته با بدافزارها بود شروع شد. سپس heuristics به وجود آمد که سعی بر شناسایی بدافزارها بر اساس مشخصههای رفتاری در کد بود و بعدازآن sandboxing (کد ناشناخته در یک محیط مجازی اجرا میشود و برای رفتار مخرب مانیتور میگردد). روش یادگیری ماشینی (machine learning) از الگوریتمهای پیچیده برای دستهبندی رفتارهای یک فایل مخرب یا مشکوک قبل از تحلیل شدن آنها توسط عوامل انسانی و تصمیمگیری نهایی استفاده میکند.
فنّاوری یادگیری عمیق یک نوع پیشرفته هوش مصنوعی است که از روشی مشابه و نزدیک به عملکرد مغز انسان استفاده میکند و موارد را شناسایی میکند. این روش ممکن است اثر زیادی بر روی امنیت سایبری، بخصوص در شناسایی بدافزارهای Zero-day و تهدیدهای پیشرفته و مستمر (APT ها) داشته باشد.
پسازاینکه "یک ماشین" کد مخرب را شناسایی میکند، میتواند کدهای ناشناس را بهعنوان مخرب یا خطرناک با دقت بسیار بالایی در real-time شناسایی کند. این سیاست را سپس میتوان بهطور خودکار برای حذف یا quarantine فایلهای مشابه، برای عملکردهای خاص اجرا نمود و این اطلاعات جدید را میتوان بهطور خودکار در کل شبکه یا اکوسیستم امنیتی به اشتراک گذاشت.
پیشبینی میشود که این نوع فناوری و نوآوریها در سال 2017 توسعه و گسترش خواهد یافت.
2. دادههای بزرگ (Big Data) برای log correlation
امروزه IT یک امر عادی در زندگی کاری و امور شخصی همه ما میباشد و باعث انتشار، جمعآوری و ذخیرهسازی حجمهای بالایی از داده در سراسر دنیا میگردد. قاعده داشتن دادههای بزرگ در این است که هرقدر ارائهدهنده بیشتر ببیند فرصتهای ارائه خدمات بهتر، درک تهدیدها و محافظت از شبکه بیشتر است. پس استفاده از دادههای بزرگ برای درک حجمهای بالا و در حال رشد لاگ یک بخش مهم تحقیقات در 2017 پیشبینی میشود.
3. افزایش توان امنیت container
اجرا برنامه در container بهجای دستگاههای مجازی (VM) در حال محبوبیت پیدا کردن است. چنین راهحلهایی به اکوسیستم اجازه میدهد که کاربر برنامههای مانند لینوکس را در داخل container فشردهسازی، توزیع و مدیریت کند. این کار منافعی مانند سادهسازی کار، انجام تنظیمات و بهکارگیری سریعتر آنرا را دارد. مشکلات احتمالی این container ها شامل نقض به کرنل (Kernel exploits)، حملات DDoS، Container breakouts، دریافت و اجرا تصاویر آلوده (Poisoned images) و دسترسی به دادههای مخفی میباشد. پیشبینی میشود که در آینده این فناوری بهبود خواهد یافت.
4. امنیت vCPE
ارائه تجهیزات مجازی سمت مشتری (vCPE یا Virtual customer premises equipment) یک روش برای ارائه خدمات شبکه (مانند مسیریابی، امنیت فایروال و اتصال به شبکه خصوصی مجازی) با استفاده از نرمافزار بهجای دستگاههای سختافزاری اختصاصی برای سازمانها و شرکتها میباشد.
این بخش در حال رشد بوده و نیاز به تحقیقات بیشتر و بهبود خدمات مجازی و کلاود دارد. نیازهای کسبوکارها امروزه بهسرعت در حال تغییر کردن است و سازمانها باید انعطاف کافی برای تطبیق با این موارد با امنیت و سرعت را داشته باشند. سازمانها باید بتوانند که خدمات جدید از یک پلتفرم جامع را اجرا کنند و هزینهها و پیچیدگیها اجرا و مدیریت خدمات اضافه نداشته باشند.
vCPE به ارائهدهندگان خدمات مدیریتشده (MSP) اجازه میدهد که خدمات شبکهای (مانند دیواره آتش و اتصال VPN) را از طریق نرمافزار بهجای سختافزارهای اختصاصی ارائه دهند. با مجازیسازی CPE ارائهدهندگان سرعت ارائه و سادگی خدمات را افزایش میدهند و مشتریان میتوانند خدمات جدید سفارش دهند یا بر اساس نیاز منابع را به خود تطبیق دهند.
5. بهکارگیری SD-WAN در سازمانها
سازمانهای متعددی درخواست فناوریهای WAN بر اساس کلاود رادارند تا فعالیتها راحتتر و با انعطاف بیشتری انجام شود و نصب فناوریهای WAN تخصصی یا اختصاصی هزینهبر و متمرکز در یک محل را حذف کنند. این امر نیاز به Software Defined Wide Area Networks یا SD-WAN دارد. داشتن این فناوری وجود روترهای سختافزاری گرانقیمت را حذف میکند و اتصال و خدمات از طریق کلاود صورت خواهد گرفت. فنّاوری SD-WAN به مشتریان نیز انعطاف و کنترل مناسب را از طریق کلاود ارائه میدهد.
برخی از منافع داشتن SD-WAN در امور امنیت شبکه به شرح ذیل است.
• ترافیک را میتوان بهراحتی رمزنگاری نمود
• شبکه را میتوان Segment کرد تا اثر یک نقض یا حمله در کوچکترین منطقه انجام شود و قابل مدیریت باشد
• میتوان از این فناوری برای حفظ امنیت اتصال در کلاود استفاده کرد
• با داشتن شفافیت (Visibility) مقدار و نوع ترافیک در شبکه حملات را میتوان سریعتر کشف نمود.
ارائه تجهیزات مجازی سمت مشتری (vCPE یا Virtual customer premises equipment) یک روش برای ارائه خدمات شبکه (مانند مسیریابی، امنیت فایروال و اتصال به شبکه خصوصی مجازی) با استفاده از نرمافزار بهجای دستگاههای سختافزاری اختصاصی برای سازمانها و شرکتها میباشد.
این بخش در حال رشد بوده و نیاز به تحقیقات بیشتر و بهبود خدمات مجازی و کلاود دارد. نیازهای کسبوکارها امروزه بهسرعت در حال تغییر کردن است و سازمانها باید انعطاف کافی برای تطبیق با این موارد با امنیت و سرعت را داشته باشند. سازمانها باید بتوانند که خدمات جدید از یک پلتفرم جامع را اجرا کنند و هزینهها و پیچیدگیها اجرا و مدیریت خدمات اضافه نداشته باشند.
vCPE به ارائهدهندگان خدمات مدیریتشده (MSP) اجازه میدهد که خدمات شبکهای (مانند دیواره آتش و اتصال VPN) را از طریق نرمافزار بهجای سختافزارهای اختصاصی ارائه دهند. با مجازیسازی CPE ارائهدهندگان سرعت ارائه و سادگی خدمات را افزایش میدهند و مشتریان میتوانند خدمات جدید سفارش دهند یا بر اساس نیاز منابع را به خود تطبیق دهند.
5. بهکارگیری SD-WAN در سازمانها
سازمانهای متعددی درخواست فناوریهای WAN بر اساس کلاود رادارند تا فعالیتها راحتتر و با انعطاف بیشتری انجام شود و نصب فناوریهای WAN تخصصی یا اختصاصی هزینهبر و متمرکز در یک محل را حذف کنند. این امر نیاز به Software Defined Wide Area Networks یا SD-WAN دارد. داشتن این فناوری وجود روترهای سختافزاری گرانقیمت را حذف میکند و اتصال و خدمات از طریق کلاود صورت خواهد گرفت. فنّاوری SD-WAN به مشتریان نیز انعطاف و کنترل مناسب را از طریق کلاود ارائه میدهد.
برخی از منافع داشتن SD-WAN در امور امنیت شبکه به شرح ذیل است.
• ترافیک را میتوان بهراحتی رمزنگاری نمود
• شبکه را میتوان Segment کرد تا اثر یک نقض یا حمله در کوچکترین منطقه انجام شود و قابل مدیریت باشد
• میتوان از این فناوری برای حفظ امنیت اتصال در کلاود استفاده کرد
• با داشتن شفافیت (Visibility) مقدار و نوع ترافیک در شبکه حملات را میتوان سریعتر کشف نمود.
سوال یکی از دوستان بهانه ای شد برای نوشتن این مطلب
سوال یک دوست این بود که سرعت نوشتن در دیسک در فایل سیستم های ext کمتر از فایل سیستم های دیگه هست اما چرا ؟
#filesystem #ext #journal @unixmens
سوال یک دوست این بود که سرعت نوشتن در دیسک در فایل سیستم های ext کمتر از فایل سیستم های دیگه هست اما چرا ؟
#filesystem #ext #journal @unixmens
فایل سیستم های ext3-4 از قابلیت journalization و کشینگ استفاده میکنن دقت کنید مبحث کشینک و journalizationدر ext3 به بعد ظهور کرد .
اما چطور بفهمیم قابلیت کشینگ فعال هست یانه ؟!؟
قبلش مفهوم جورنال در فایل سیستم را بررسی میکنم
#filesystem #ext #journal @unixmens
اما چطور بفهمیم قابلیت کشینگ فعال هست یانه ؟!؟
قبلش مفهوم جورنال در فایل سیستم را بررسی میکنم
#filesystem #ext #journal @unixmens
در مباحث ذخیرهسازی، سیستم فایل ژورنالی به سیستم فایلی میگویند که تغییرات را قبل از اعمال کردن در سیستم فایل اصلی در ناحیه مخصوصی به نام ژورنال پیگیری و نگهداری میکند. اغلب اوقات، ناحیه ژورنال، ناحیهای از سیستم فایل است که وقایع و تغییرات به صورت گردشی در آن ثبت میشوند. بدین ترتیب، در هنگام پیشآمدن مشکلی برای سیستم فایل همانند قطع شدن برق، سیستم فایل با کمترین احتمال خرابی میتواند به سرعت آماده به کار شود.
#filesystem #ext #journal @unixmens
#filesystem #ext #journal @unixmens
حال چطور میتونیم بفهمیم قابلیت کشینگ فعال هست ، و چطور میشه اون را ِیر فعال کرد ؟
با دستور زیر میشه پی برد :
hdparm -W /dev/sdX
—----------------خروجی---------------------
/dev/sda6: │
write-caching = 1 (on)
برای دانستن اطلاعات درمورد فایل سیستم ext ما :
tune2fs -l /dev/sdX
—----خروجی // اطلاعات زیادی هست ما فقط بعضی از اطلاعات را قرار میدیم------------
Filesystem features: has_journal ext_attr resize_inode dir_index filetype sparse_super large_file
Filesystem flags: signed_directory_hash
Default mount options: user_xattr acl
Filesystem state: clean
Errors behavior: Continue
Filesystem OS type: Linux
Inode count: 128000
Block count: 512000
Reserved block count: 25600
Free blocks: 494994
Free inodes: 127979
First block: 0
Block size: 4096
Fragment size: 4096
Reserved GDT blocks: 124
Blocks per group: 32768
Fragments per group: 32768
Inodes per group: 8000
Inode blocks per group: 500
Filesystem created: Sun Dec 15 12:59:05 2013
Last mount time: Thu Nov 3 13:01:13 2016
Last write time: Sat Feb 4 12:20:36 2017
Mount count: 66
Maximum mount count: -1
Last checked: Sun Dec 15 12:59:05 2013
Check interval: 0 (<none>)
Lifetime writes: 1208 kB
Reserved blocks uid: 0 (user root)
Reserved blocks gid: 0 (group root)
First inode: 11
Inode size: 256
Required extra isize: 28
Desired extra isize: 28
Journal inode: 8
Default directory hash: half_md4
Directory Hash Seed: 1aff2a74-3388-4488-b525-ad15cf92a180
Journal backup: inode blocks
#filesystem #ext #journal @unixmens
با دستور زیر میشه پی برد :
hdparm -W /dev/sdX
—----------------خروجی---------------------
/dev/sda6: │
write-caching = 1 (on)
برای دانستن اطلاعات درمورد فایل سیستم ext ما :
tune2fs -l /dev/sdX
—----خروجی // اطلاعات زیادی هست ما فقط بعضی از اطلاعات را قرار میدیم------------
Filesystem features: has_journal ext_attr resize_inode dir_index filetype sparse_super large_file
Filesystem flags: signed_directory_hash
Default mount options: user_xattr acl
Filesystem state: clean
Errors behavior: Continue
Filesystem OS type: Linux
Inode count: 128000
Block count: 512000
Reserved block count: 25600
Free blocks: 494994
Free inodes: 127979
First block: 0
Block size: 4096
Fragment size: 4096
Reserved GDT blocks: 124
Blocks per group: 32768
Fragments per group: 32768
Inodes per group: 8000
Inode blocks per group: 500
Filesystem created: Sun Dec 15 12:59:05 2013
Last mount time: Thu Nov 3 13:01:13 2016
Last write time: Sat Feb 4 12:20:36 2017
Mount count: 66
Maximum mount count: -1
Last checked: Sun Dec 15 12:59:05 2013
Check interval: 0 (<none>)
Lifetime writes: 1208 kB
Reserved blocks uid: 0 (user root)
Reserved blocks gid: 0 (group root)
First inode: 11
Inode size: 256
Required extra isize: 28
Desired extra isize: 28
Journal inode: 8
Default directory hash: half_md4
Directory Hash Seed: 1aff2a74-3388-4488-b525-ad15cf92a180
Journal backup: inode blocks
#filesystem #ext #journal @unixmens
برای غیر فعال کردن قابلیت کشینک داریم :
/dev/sda1 / reiserfs sync 0 0
برای ابن کار میتونبد در فایل /etc/fstab مثل این ساختار را اضافه کرد
#filesystem #ext #journal @unixmens
/dev/sda1 / reiserfs sync 0 0
برای ابن کار میتونبد در فایل /etc/fstab مثل این ساختار را اضافه کرد
#filesystem #ext #journal @unixmens
اما در مورد sync :
sync All I/O to the filesystem should be done synchronously. In the case of media with a limited number of write cycles (e.g. some
flash drives), sync may cause life-cycle shortening.
—------------------------------------------------------
inode_cache
Enable free inode number caching. Defaults to off due to an overflow problem when the free space CRCs don't fit inside a
single page.
—---------------------------------------------------------------------—
nospace_cache
Disable freespace cache loading without clearing the cache.
—----------------------------------------------------------------------
clear_cache
Force clearing and rebuilding of the disk space cache if something has gone wrong.
—------------------------------------------------------------------------------
inode_readahead_blks=n
This tuning parameter controls the maximum number of inode table blocks that ext4's inode table readahead algorithm will pre-
read into the buffer cache. The value must be a power of 2. The default value is 32 blocks.
—---------------------------------------------------------------------------------------—
nodelalloc
Disable delayed allocation. Blocks are allocated when data is copied from user to page cache.
—-------------------------------------------------------------------------------------------------
این ساختار ها را میشه بصورت مستقیم با دستور mount وارد کرد
#filesystem #ext #journal @unixmens
sync All I/O to the filesystem should be done synchronously. In the case of media with a limited number of write cycles (e.g. some
flash drives), sync may cause life-cycle shortening.
—------------------------------------------------------
inode_cache
Enable free inode number caching. Defaults to off due to an overflow problem when the free space CRCs don't fit inside a
single page.
—---------------------------------------------------------------------—
nospace_cache
Disable freespace cache loading without clearing the cache.
—----------------------------------------------------------------------
clear_cache
Force clearing and rebuilding of the disk space cache if something has gone wrong.
—------------------------------------------------------------------------------
inode_readahead_blks=n
This tuning parameter controls the maximum number of inode table blocks that ext4's inode table readahead algorithm will pre-
read into the buffer cache. The value must be a power of 2. The default value is 32 blocks.
—---------------------------------------------------------------------------------------—
nodelalloc
Disable delayed allocation. Blocks are allocated when data is copied from user to page cache.
—-------------------------------------------------------------------------------------------------
این ساختار ها را میشه بصورت مستقیم با دستور mount وارد کرد
#filesystem #ext #journal @unixmens
البته پارامتر های زیر را هم میشه در کرنل اعمال کرد :
To free pagecache:
echo 1 > /proc/sys/vm/drop_caches
To free dentries and inodes:
echo 2 > /proc/sys/vm/drop_caches
To free pagecache, dentries and inodes:
echo 3 > /proc/sys/vm/drop_caches
#filesystem #ext #journal @unixmens
To free pagecache:
echo 1 > /proc/sys/vm/drop_caches
To free dentries and inodes:
echo 2 > /proc/sys/vm/drop_caches
To free pagecache, dentries and inodes:
echo 3 > /proc/sys/vm/drop_caches
#filesystem #ext #journal @unixmens