1 / 58

چرا در اين همايش شركت كرده ايم ؟

چرا در اين همايش شركت كرده ايم ؟. زيرساخت هاي مهم و حياتي ملي ما از موسسات خصوصي و دولتي متعددي در حوزه هاي مختلفي نظير : كشاورزي ،‌آب ، بهداشت ، سرويس هاي اضطراري ، صنايع دفاعي ،‌فناوري اطلاعات و ارتباطات ، انرژي ، حمل و نقل ، بانكداري ، مالي و ... تشكيل شده است .

sancha
Download Presentation

چرا در اين همايش شركت كرده ايم ؟

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. چرا در اين همايش شركت كرده ايم ؟ زيرساخت هاي مهم و حياتي ملي ما از موسسات خصوصي و دولتي متعددي در حوزه هاي مختلفي نظير : كشاورزي ،‌آب ، بهداشت ، سرويس هاي اضطراري ، صنايع دفاعي ،‌فناوري اطلاعات و ارتباطات ، انرژي ،حمل و نقل ، بانكداري ، مالي و ... تشكيل شده است .

  2. چرا در اين همايش شركت كرده ايم ؟ فضاي مجازي ، شامل صدها هزار دستگاه كامپيوتر متصل شده به هم ، سرويس دهندگان ، روترها ، سوئيچ ها و كابل هاي فيبر نوري است كه امكان فعاليت زيرساخت هاي حياتي ما را فراهم مي نمايند

  3. چرا در اين همايش شركت كرده ايم ؟ استراتژي ملي براي ايمن سازي ، مي بايست بخشي از تلاش جملگي ما جهت حفاظت ملي باشد

  4. چرا در اين همايش شركت كرده ايم ؟ اهداف استراتژي ملي : پيشگيري از حملات سايبري كه متوجه زيرساخت هاي حياتي است كاهش نقاط آسيب پذير در مقابل حملات حداقل خرابي و زمان ريكاوري پس از وقوع حادثه

  5. چرا در اين همايش شركت كرده ايم ؟ امنيت ملي و اقتصاد ما كاملا” وابسته به فناوري اطلاعات و زيرساخت هاي اطلاعاتي شده است ( و يا دارد مي شود ! ) در هسته ‌زيرساخت اطلاعاتي ، اينترنت قرار دارد كه در ابتدا با هدف اشتراك تحقيقات بين دانشمنداني كه هيچگونه تمايلي به استفاده نادرست از شبكه نداشتند ، ايجاد شده بود

  6. چرا در اين همايش شركت كرده ايم ؟ پنج اولويت مهم استراتژي ملي براي ايمن سازي فضاي سايبري : سيستم پاسخ به امنيت در فضاي سايبري برنامه كاهش تهديدات و نقاط آسيب پذير ملي يك برنامه آموزشي و اطلاع رساني ايمن سازي فضاي مجازي خدمات دولتي همكاري امنيت ملي و امنيت بين المللي

  7. چرا در اين همايش شركت كرده ايم ؟ افزايش تعداد نقاط آسيب پذير و يا حملات به دليل ضعف در اطلاع رساني و آگاهي طيف گسترده اي از : كاربران كامپيوتر مديران شبكه مديران سيستم پياده كنندگان فناوري طراحان و پياده كنندگان نرم افزار مميزهاي امنيت اطلاعات و ... صورت مي پذيرد.

  8. چرا در اين همايش شركت كرده ايم ؟ با شركت در اين نوع همايش ها و يا دوره هاي آموزشي مرتبط يك گام مثبت در جهت پياده سازي يك برنامه آموزشي و اطلاع رساني و كاهش تهديدات و نقاط آسيب پذير ملي برداشته ايم

  9. تهديدات پيشرفته ماندگارAPTAdvanced Persistent Threat محمد جواد سخايي Sakhaee@Srco.ir Sakhaee@hotmail.com آذر ماه 1389 تهران – مركز آموزش مخابرات ايران

  10. :: سرفصل :: مقدمه مروري بر تهديدات ( گذشته ، حال ، آينده ) APT چيست ؟ اهداف و انگيزه ها دامنه تخريب چرخه حيات عملكرد APT در عمل روش هاي مقابله آيا استاكس نت يك نوع APT است ؟ خلاصه

  11. :: مقدمه :: • با اين كه شركت ها ،‌سازمان ها و موسسات متعدد چندين سال است كه با حملات سايبري سروكار داشته و به نوعي هدف اين نوع از حملات قرار گرفته اند ، ولي اخيرا" با موج جديدي از حملات مواجه شده اند كه داراي پيچيدگي بمراتب بيشتري نسبت به گذشته بوده و از تلاش مستمر و بي وقفه مهاجمان جهت نيل به اهداف آنها حكايت دارد . • به اين نوع حملات ، APT گفته مي شود . • در حملات از نوع APT ، مهاجمان بر روي يك هدف متمركز شدهو با استمرار فعاليت خود در يك بازه زماني طولاني ، اقدام به جمع آوري و سرقت اطلاعات مي نمايند .

  12. :: مقدمه :: • در اين گونه حملات ،‌مهاجمان هيچگونه اصراري ندارند كه دستاوردهاي موفقيت خود را سريعا" هويدا سازند بلكه برعكس ، تمايل دارند تا جايي كه امكان دارد به صورت مخفي عمليات مخرب خود را ادامه دهند تا بتوانند اطلاعات بيشتري را جمع آوري و سرقت نمايند. • در حملات APT ، اطلاعات هدف كاملا" خاص مي باشند . مهاجمان به دنبال جمع آوري و كنكاش هر چپزي كه در مسير آنها قرار مي گيرد، نمي باشند . رموز صنفي ، سرمايه هاي فكري و دارايي هاي غير ملموس از اولين اهداف آنها مي باشد • مهاجمان در صورتي كه بتوانند به سادگي به اطلاعات شخصي و يا داده كارت اعتباري دستيابي پيدا نمايند، ممكن است اين نوع اطلاعات را نيز دستكاري نمايند ولي در حالت كلي ، سرقت اطلاعاتي اين چنين ، به عنوان هدف اوليه در دستور كار آنها قرار ندارد .

  13. :: مقدمه :: • استفاده از يك فناوري و يا فرآيند به تنهايي ، نمي تواند توقف اين نوع حملات را به دنبال داشته باشد . با بكارگيري روش هاي كلاسيك امنيتي نمي توان انتظار موفقيت در برخورد با اين نوع از حملات را داشت . • تعداد زيادي از سازمان ها در مقابل اين گونه حملات آسيب پذير مي باشند چرا كه تمامي سرمايه گذاري آنها در مقوله امنيت مبتني بر روش هاي كلاسيك است • استفاده از سيستم هاي تدافعي موجود و مرسوم به تنهايي كافي نبوده و مي بايست از رويكردهاي جديد و با چالاكي بيشتر براي حفاظت در مقابل اين گونه تهديدات استفاده كرد .

  14. :: مقدمه :: • بكارگيري چندين لايه تدافعي ، داشتن دانش لازم در خصوص تهديدات و كسب مهارت هاي پيشرفته جهت تشخيص و واكنش مناسب و به موقع در مقابل اين گونه حملات امري ضروري و اجتناب ناپذير است . چشم انداز تهديدات در حال تغيير است ، خطرات فزاينده مي باشند و سازمان ها لازم است فرضيه ها و رويكردهاي خود را نسبت به امنيت اطلاعات تغيير دهند .

  15. :: مروري بر تهديدات (گذشته ، حال ، آينده) :: • واقعيت اين است كه اينترنت در گذشته اي نه چندان دور محيطي بود كه كاربران در آن محيط به يكديگر بيشتراعتماد مي كردند . رفتارهاي بد و يا غيرمتعارف كاربران بيش از آنكه نشاندهنده يك حمله باشد ، بيانگر نوعي شيطنت بود كه انگيزه آن نوعي اعتراض به وضع موجود و يا به رخ كشيدن توانمندي خود بود . • به موازات رشد و گسترش اينترنت ، بر پيشاني آن تصويري از دنياي واقعي نقش بست. • اينترنت به محلي براي دوستان ،‌ بستري مناسب براي فعاليت بنگاه هاي تجاري ، تفرجگاهي مناسب براي گذراندن اوقات بيكاري و سرگرمي ، مكاني مناسب براي حضور تمامي آدم ها با نيت خوب و بد تبديل شد.

  16. :: مروري بر تهديدات (گذشته ، حال ، آينده) :: • مهاجمان ساده و بي حيله : متناسب با رشد و گسترش عمومي اينترنت ،‌ رفتار بد از شيطنت به سمت قلدري و يا ترساندن ديگران هدايت گرديد . جنگجويان سايبري جديدي در عرصه اينترنت هويدا شدند كه از اينترنت به عنوان محلي براي ارتكاب جرم و فعاليت هاي مخرب خود استفاده مي كردند.اين نوع مهاجمان اكثر فعاليت هاي مخرب خود را محدود به خودشان مي كردند . • فعاليت تبهكاري و جاسوسي سيستماتيك : متناسب با رشد فعاليت هاي تجاري بر روي اينترنت ، شاهد رشد جاسوسي سيستماتيك بوديم كه در آن بين روش هاي هك و شيوه هاي جاسوسي يك اتحاد ناميمون شكل گرفت .

  17. :: مروري بر تهديدات (گذشته ، حال ، آينده) :: • APT : امروزه اينترنت يك زيرساخت حياتي براي دولت ها و اكثر فعاليت هاي تجاري را فراهم كرده است . همين موضوع باعت شده است كه براي يك گروه جديد از مهاجمان جذابيت بيشتري ايجاد گردد. سازمان هاي جنايي و گروه هاي تروريست سايبري ، سازمان هاي خاصي را مورد هدف قرار مي دهند. • در صورتي كه يك حمله با موفقيت توام نباشد ، حمله ديگري با هدف نيل به موفقيت آغاز مي گردد . اين وضعيت به دفعات تكرار خواهد شد.ماهيت ماندگاري و يا اصرار بر تداوم حملات تا نيل به موفقيت ، باعث شده است كه اين نوع تهديدات خطرات بمراتب بيشتري داشته باشند و حفاظت در مقابل آنها بيش از هميشه مهم و حياتي باشد . • حملات اخير به منزله زنگ بيدار باشي است براي سازمان ها و كارشناسان حرفه اي امنيت اطلاعات تا بتوانند اين سطح جديد از تهديدات را شناسايي نمايند .

  18. :: مروري بر تهديدات (گذشته ، حال ، آينده) ::

  19. :: APT چيست؟ :: • انواع تهديدات :- تهديدات مبتني بر فرصت شناسي opportunistic threat (OT) - تهديدات APT • با اين كه ممكن است نتايج هر دو نوع تهديد مشابه باشد ( نظير جاسوسي ،دستيابي غيرمجاز و سرقت ) ولي انگيزه هاي پشت سر هر يك از اين نوع تهديدات كاملا" با يكديگر متفاوت است . نمونه اي از يك تهديد مبتني بر فرصت طلبيشناسايي ضعف و بهره برداري از فرصت ايجاد شده در يك هدف نمونه بارز آن سرقت 40 ميليون شماره كارت اعتباري در سال 2007 توسط شخصي به نام “آلبرت گونزالز” بود .

  20. :: APT چيست ؟ :: در صورتي كه اين فرصت بوجود نمي آمد ، آنها ممكن بود به سراغ هدف ديگري بروند بيست سال محكوميت براي آلبرت گونزالز كه در بزرگترين سرقت شماره كارت هاي اعتباري در تاريخ امريكا در تهديدات OT ، فرصت ها بودند كه زمينه حملات را فراهم مي كردند . ضعف در پيكربندي ، ضعف در طراحي و پياده سازي برنامه هاي وب و ... فرصتي را ايجاد مي كرد كه مهاجمان با استناد به آن مي توانستند حملات خود را بر عليه يك سازمان و زيرساخت فناوري اطلاعات سازماندهي نمايند

  21. :: APT چيست ؟ :: تهديدات APT داراي رفتاري متفاوت مي باشند ، در صورتي كه ضعفي در هدف شناخته شده آنان نباشد ، مهاجمان به دنبال شناسايي ضعف ديگر در هدف خود خواهند بود و اين فرآيند را تا زماني كه بتوانند به درون هدف نفوذ پيدا نمايند ، ادامه خواهند داد . حملات APT يك نوع حملات سازماندهي شده و پيچيده مي باشند كه با هدف دستيابي و سرقت اطلاعات از كامپيوتر سازماندهي مي شوند . APTبه گروهي از هكرهاي هماهنگ ، مشخص و پيچيده اطلاق مي گردد كه به طور سيستماتيك شبكه هاي زيرساخت حياتي ، تجاري ، اطلاعاتي و ... كشورها را مورد حمله قرار مي دهند .

  22. :: APT چيست؟ :: • درطي پنج سال گذشته ، شاهد يك تغيير چشمگير در ارتباط با رويدادهاي امنيتي بوده ايم . مهاجمان بطرز چشمگيري نفوذ خود را بر روي اهداف دولتي ، دفاعي ، تحقيقاتي ، توليدكنندگان ، متمركز كرده اند . • نفوذ ، توسط گروهي از هكرها كه به خوبي سازماندهي مي شوند و از حمايت مالي خوبي برخوردارند ، صورت مي پذيرد. • انگيزه ها ، روش هاي نفوذ و سرسختي آنها بسيار متفاوت است با روشي كه هكرها در گذشته بكار مي گرفتند . آنها ، حرفه اي بوده و ميزان موفقيت آنها بسيار بالا مي باشد .

  23. :: APT چيست؟ :: • APT ، هر هدفي را كه تمايل داشته باشند بطور موفقيت آميز تحت تاثير قرار خواهد داد . • سياست هاي دفاعي كلاسيك بكار گرفته شده در خصوص امنيت اطلاعات در رابطه با آنها كارساز نمي باشد • هكرها بطور موفقيت آميز از دست آنتي ويروس ها و ابزارهاي تشخيص نفوذ و ساير ابزارهاي موجود فرار كرده و گير نخواهند افتاد • آنها حتي مي توانند گروه “پاسخ به حوادث امنيتي” را گول زده و به صورت ناشناس و غيرقابل تشخيص درون شبكه هدف باقي بمانند و هدف آنها بر اين باور باشد كه آنها را قلع و قمع كرده است .

  24. :: APT چيست؟ :: • هكرهاي APT ، متفاوت مي باشند . آنها راهي را ايجاد مي نمايند كه بتوانند هر زمان كه خواستند مجددا" برگردند و اقدام به سرقت اطلاعات مورد نظر خود نمايند و به صورت غير قابل تشخيص باقي بمانند . اين يك تفاوت بسيار بزرگنسبت به گذشته است . • ابعاد كار ( حجم عمليات ، لجستيك عملياتي ، مديريت عمليات ) در APT ، نشاندهنده حمايت گسترده دولت ها از اين نوع حملات است . • هدف عمده در حملات APT نفوذ غيره مشهود و مستمر در سازمان هاي هدف است تا بتوان در يك محدوده زماني طولاني تر به اطلاعات بيشتري دست يافت و شعاع تخريب را افزايش داد .

  25. :: APT چيست؟ :: • مبارزه با APT يك فرآيند بي وقفه است كه نيازمند يك تلاش مستمر به منظور پاك كردن شبكه ها از تهديدات است . سازمان هاي هدف لازم است عمليات زير را با سرعت بيشتر ، توان بيشتر و موثرتر انجام دهند .

  26. :: اهداف و انگيزه ها ::

  27. :: دامنه تخريب :: • الف ) بروز خرابي در اطلاعات و يا منابع ( تروريسم سايبري ) • بروز اشكال و يا خرابي منابع در سازمان هدف نظير وب سايت ، مخازن داده ، برنامه ها ، زيرساخت هاي حياتي در يك كشور نظير سيستم حمل و نقل ، سيستم هاي نيروگاهي و ... • ويژگي APT از منظر تروريسم سايبري ، سماجت در تداوم حملات تا رسيدن به نتيجه است . • مهاجمان به دلايل سياسي و ايدئولوژيكي ،‌ داراي هدفي در ذهن خود مي باشند و تا نيل به موفقيت آن را متوقف نمي نمايند . • ب ) سرقت اطلاعات

  28. :: چرخه حيات ::

  29. :: چرخه حيات :: • مرحله اول: شناسايي • شناسايي هدف و بررسي نقاط ضعف آن اولين مرحله در هرگونه حملات است . • دستيابي به آدرس و مشخصات قربانيان از طريق وب سايت هاي عمومي و استفاده از آنها ( به عنوان نمونه ، ارسال پيام هاي معني دار ) به منظور حملات برنامه ريزي شده مبتني بر مهندسي اجتماعي

  30. :: چرخه حيات :: • مرحله دوم: نفوذ اوليه درون شبكه • در حملات APT ممكن است از چندين روش براي نفوذ در شبكه يك سازمان استفاده گردد . متداولترين و موفق ترين آنها ، استفاده از مهندسي اجتماعي از طريق پست الكترونيكي است . از اين روش با عنوان Spear Phishing نام برده مي شود . • هكرهاي APT ، تعداد كمي از افراد خاص را از طريق يك پست الكترونيكي جعلي هدف قرار مي دهند . مثلا" در صورتي كه تعدادي از كاركنان يك سازمان در يك كنفرانس كاري و يا سمينار شركت كرده باشند، هكرهاي APT ممكن است اقدام به ارسال يك پيام الكترونيكي از يكي از سخنرانان در سمينار براي ساير كاربران نمايند . پيام الكترونيكي جعلي ممكن است شامل يك فايل ضميمه و يا لينك به يك فايل فشرده ( ZIP فايل ) باشد.

  31. :: چرخه حيات :: • مرحله دوم: نفوذ اوليه درون شبكه • فايل فشرده مي تواند شامل يكي از چندين روش نفوذ باشد : • يك فايل .chm شامل بدافزار • يك فايل آفيس • ساير نرم افزارهاي سرويس گيرنده نظير آكروبات ريدر • مهاجمان مي دانند كه چه زماني اطلاعات جديد در دسترس و موجود مي باشد . معمولا" در ساعات آخر شب و بين ساعت 10 بعدازظهر تا 4 بامداد زماني مناسب براي نفوذ مي باشد .

  32. :: چرخه حيات :: • مرحله سوم: ايجاد يك بك دور(Backdoor ) در شبكه • تلاش جهت به دست آوردن اطلاعات حساس مديريتي دامنه شبكه و ارسال آنها به خارج از شبكه • مهاجمان در ادامه يك ردپاي قوي از خود را در محيط ايجاد مي نمايند . اين كار از طريق حركت زيرزميني در شبكه و نصب چندين بك دور با پيكربندي هاي مختلف انجام مي شود . • بدافزار با مجوز سطح دستيابي سيستم و از طريق ( Process Injection، تغيير ريجستري و يا سرويس هاي زمانبندي شدهنصب مي گردد .

  33. :: چرخه حيات :: • مرحله سوم: ايجاد يك بك دور(Backdoor ) در شبكه برخي از ويژگي هاي بدافزار : • بدافزار بطور پيوسته خود را بهنگام مي نمايد . • بدافزار از روش هاي رمزنگاري و كدهاي غيرشفاف و مبهم جهت ترافيك خود بر روي شبكه استفاده مي نمايند . • بدافزار مهاجمان از توابع كتابخانه اي مايكروسافت استفاده مي نمايند . • بدافزار مهاجمان از اطلاعات حساس و حياتي كاربران معتبر استفادهمي نمايند تا عملكرد آنها همانند ساير كاربران معتبر جلوه نمايد . • به ارتباطات inbound گوش نمي دهند .

  34. :: چرخه حيات :: • مرحله چهارم: به دست آوردن اطلاعات حساس كاربران • مهاجمان ، اغلب كنترل كننده دامين را مورد حمله قرار مي دهند تا از اين طريق بتوانند به اكانت كاربران و رمزهاي عبور كد شده (Hashed ) دستيابي پيدا نمايند . • مهاجمان همچنين اطلاعات حساس كاربران محلي را از طريق سيستم هائي كه تحت كنترل مي گيرند ،‌ به دست مي آورند . • مزاحمين APT تقريبا" به 40 سيستم بر روي شبكه هدف و با استفاده از اطلاعات حساس كاربران كه به دست آورده بودند ، دستيابي داشتند .

  35. :: چرخه حيات :: • مرحله پنجم: نصب برنامه هاي كاربردي مختلف • مهاجمان بر روي سيستم هاي هدف ،‌اقدام به نصب نرم افزارهاي متعددبا توانمندي هاي مختلفي مي نمايند : • نصب Backdoor • Dump رمزهاي عبور • به دست آوردن نامه هاي الكترونيكي از طريق سرويس دهنده • ليست پردازه هاي در حال اجراء • و فعاليت هاي بسيار ديگر

  36. :: چرخه حيات :: • مرحله ششم: افزايش مجوزها ، حركات زيرزميني ، خارج كردن داده • پس از ايجاد يك ردپاي ايمن: • خارج كردن داده نظير نامه هاي الكترونيكي و ضمائم ، فايل هاي موجود بر روي ايستگاه هاي كاري و يا فايل هاي پروژه موجود بر روي سرويس دهندگان • داده معمولا" فشرده شده و درون يك فايل RAR حفاظت شده توسط يك رمز عبور و يا فايل هاي كابينت مايكروسافت ( فايل هايي با انشعاب cab . ( قرار مي گيرند . • مهاجمان معمولا" از "سرويس دهندگان موقت " براي تجميع داده سرقت شده استفاده مي نمايند. • پس از خارج كردن داده از روي سرويس دهندگان موقت ، فايل هاي فشرده حذف مي گردند

  37. :: چرخه حيات ، مرحله ششم: خارج كردن داده ::

  38. :: چرخه حيات :: • مرحله هفتم: حضور ماندگار • پس از موفقيت در ارسال داده به خارج از شبكه ، مهاجمان سعي مي كنند تا ردپاي بيشتري را بر روي سيستم هاي هدف ايجاد نمايند . تا در آينده و به منظور كسب اطلاعات بيشتر ، مجددا” به آن مراجعه نمايند . • حضور ماندگار ، يكي از ويژگي هاي پيچيده تهديدات از نوع APT مي باشد .

  39. :: عملكرد APT در عمل :: تشخيص حملات از نوع APT توسط برنامه هاي ويروس ياب

  40. :: عملكرد APT در عمل :: حملات از نوع APT صرفا” ترافيك outband ايجاد مي نمايند .

  41. :: عملكرد APT در عمل :: وضعيت ارسال داده با استفاده از پورت 80 و 443 پروتكل TCP

  42. :: چه بايد كرد؟ :: • براي موفقيت يك حمله مي بايست دو مرحله عمليات با موفقيت انجام شود : • توزيع بدافزار • اجراي مخفي و بدون سرو صداي كد بدافزار • براي برخورد با اين نوع تهديدات مي بايست اقدامات لازم جهت عدم تحقق هر يك مراحل اشاره شده را انجام داد .

  43. :: چه بايد كرد؟ :: ايجاد قابليت جمع آوري هوشمند تهديدات • سازمان ها مي بايست قابليت جمع آوري هوشمند تهديدات را به منظور مانيتورينگ و فرموله كردن پاسخ هاي تاكتيكي و استراتژي ايجاد نمايند. • اين گروه ، مي بايست شامل كارشناسان حرفه اي امنيت اطلاعات باشد كه وظيفه آنها مانيتورينگ تهديدات جاري ، تحليل و تفسير ميزان اثرگذاري اين تهديدات در سازمان و انجام تغييرات موثر در ارتباط با كنترل هاي امنيتي سازمان ( تاكتيك ها ) و استراتژي كلي امنيتي باشد . • مديريت نقطه نظرات مرتبط با تهديدات متاثر از فناوري ها ، ارايه مستمر گزارشات در خصوص تهديدات بالقوه موجود براي سازمان ، جمع آوري داده از منابع مختلف از جمله مهمترين وظايف اين گروه محسوب مي گردد . • مي بايست با چشماني باز ، گوشي شنوا و دانش مناسب وضعيت موجود را بطور كاملا” هوشمندانه رصد كرد . داشتن چه چيزي مي تواند زمينه بروز تهديد را فراهم نمايد ؟ چه چيزي در معرض تهديد قرار دارد ؟ علت آسيب پذيري ما چيست ؟ و ...

  44. :: چه بايد كرد؟ :: به حداقل رساندن عرضه بدافزار نحوه توزيع APT • اينترنت • دانلود درايور • ضمائم نامه هاي الكترونيكي • اشتراك فايل • نرم افزارهاي موسوم به Keugen • فيشينگ • تغيير مسير DNS و روتينگ • فيزيكي • استفاده از USB آلوده • استفاده از CD و يا DVD آلوده • استفاده از كارت هاي حافظه آلوده • استفاده از برنامه هاي آلوده • بك دور موجود در تجهيزات IT • خارجي • هك حرفه اي • نقاط ضعف آسيب پذير • بهره برداري از هاست مشترك

  45. :: چه بايد كرد؟ :: به حداقل رساندن عرضه بدافزار • بهبود شاخص هاي امنيتي سنتي مي تواند اثرپذيري حملات APTرا كاهش دهد: • كاهش ميدان عملياتي تهديدات و نقاطي كه يك مهاجم مي تواند از طريق آنها نفوذكند • محدوديت در انتشار بدافزار در سازمان • محدوديت در دستيابي بدافزار به منابع سازمان بهبود كنترل هاي امنيتي سنتي : • مهندسي اجتماعي : يكي از متداولترين روش ها براي معرفي بدافزار درون يك محيط است. علي رغم تمامي كنترل هاي فني كه مي توان آنها را پياده سازي كرد، همچنان انسان ضعيف ترين لينك ارتباطي موجود است كه مهاجمان مي توانند بر روي آنها سرمايه گذاري نمايند( ترغيب كاربران به كليك بر روي يك لينك ، استفاده از فلش ديسك هاي usb و ... ) • افزايش آگاهي پرسنل كه در مقابل حملات بيشتر مراقب باشند (از طريق ارايه دوره هاي آموزشي موثر در خصوص امنيت ) . • ارايه دوره هاي آموزشي در خصوص امنيت همواره يكي از عناصر موثر در يك برنامه امنيتي خوب محسوب مي گردد.

  46. :: چه بايد كرد؟ :: به حداقل رساندن عرضه بدافزار بهبود آگاهي در خصوص امنيت • انسان داراي نقشي مهمي در كاهش اثربخشيحملات است . افزايش آگاهي و اطلاع رساني در خصوص مسائل امنيتي مي بايست بخشي از استراتژي دفاع در عمق در نظر گرفته شود . • تغيير در برنامه آموزشي سنتي و ارايه روش ها و رويكردهاي جديد شامل : • آموزش تهديدات جديد و اخبار روز در خصوص امنيت • بررسي نمونه موارد موفقي كه يك سازمان با مشاركت كاركنان خود توانسته است مهاجمان را ناكام و يا اثربخشي حملات آنها را كاهش دهد . • چگونه مهاجمان از رسانه هاي اجتماعي و ساير سايت هاي خارجي براي جمع آوري داده استفاده مي نمايند تا به آنها اجازه دهد اهداف خاصي را مورد حمله قرار دهند . • ارزيابي اثربخشي دوره آموزشي در بازه هاي زماني خاص • كاربران يكي از عناصر اصلي در ايمن سازي زيرساخت فناوري اطلاعات و ارتباطات در يك سازمان مي باشند . آموزش صحيح و موثر كاربران در خصوص امنيت ، مي تواند دستاوردهاي مثبتي را به دنبال داشته باشد .

  47. :: چه بايد كرد؟ :: به حداقل رساندن عرضه بدافزار نرم افزارهاي مخرب • يكي ديگر از اقداماتي كه باعث كاهش عرضه بدافزار مي گردد ، حصول اطمينان از اين موضوع است كه نرم افزارهاي برخورد كننده با اين نوع كدهاي بدافزار ، همواره به روز مي باشند ( براي تمامي كاربران ). • با اين كه ، حملات از نوع APT از مزاياي نقاط آسيب پذير صفر روزه استفاده مي نمايند كه برنامه هاي آنتي ويروس قادر به تشخيص آنها نمي باشند ولي نقطه آسيب پذير صفر روزه ديروز تبديل به نقطه آسيب پذير شناخته شده فردا مي شود . • مهاجمان با استفاده از ضعف ها و نقاط آسيب پذير در برنامه ها مي توانند بدافزار خود را به يك محيط وارد نمايند . بر اساس تحقيقات به عمل آمده و تجربه هاي موجود ، بيش از 93 درصد برنامه هاي وب حداقل داراي يك ضعف اساسي با درجه تهديد بالا مي باشند . • توجه داشته باشيد كه در حملات APT ،‌ هدف الزاما" سرقت اطلاعات از وب سايت نيست ، در مقابل تلاش آنها در اين جهت است تا بتوانند كد مخرب را بر روي سايت هاي مجاز قرار داده و كاربران را ترغيب نمايند تا بر روي لينك هاي مربوطه كليك كنند .

  48. :: چه بايد كرد؟ :: به حداقل رساندن عرضه بدافزار كدنويسي ايمن • حذف نقاط آسيب پذيري كه به سادگي قابل بهره برداري هستند ، كاهش سطح حملات را به دنبال داشته و اجازه مي دهد كه سازمان ها بر روي منابع ارزشمند خود تمركز بيشتري نمايند و از خود در مقابل حملات پيشرفته دفاع نمايند . • اقدامات لازم جهت حذف نقاط آسيب پذير و يا حفره هاي امنيتي • آموزش پياده كنندگان • اعتقاد عملي به امنيت و ايمن سازي برنامه در تمامي مراحل چرخه پياده سازي نرم افزار • بكارگيري صحيح هر فناوري با لحاظ كردن چالش هاي امنيتي آن به منظور پياده سازي نرم افزار • نگاه صحيح و يكپارچه ايمن سازي در تمامي لايه هاي يك نرم افزار • انجام تست هاي امنيتي پيوسته ( قبل از ارايه نسخه نهايي و حتي پس از عملياتي شدن آن )

More Related