محصولات امنیتی بومی و ربط آن با حوادث اخیر
http://goo.gl/h7e8eQ
هک شدن سایت مرکز آمار ایران، مرکز توسعه تجارت الکترونیکی و چندین وب سایت دیگر توسط هکرهای منسوب به عربستان سعودی بحث های جدی در مورد امنیت سایت ها و سازمان های حاکمیتی به وجود آورد. در بسیاری از این بحث ها، راهکاری مبنی بر لزوم استفاده از محصولات بومی امنیت برای پیشگیری از این اتفاقات ارائه می شود، با این استدلال که:
محصولات بومی آسیب پذیری های شناخته شده کمتری دارند.
اول: اصل این ادعا زیر سئوال است. شاید بتوانیم بپذیریم که خود محصولات بومی به دلیل فوق العاده کوچک بودن بازار امنیت و سابقه محدود، کمتر شناخته شده هستند، اما این الزاماً به این معنی نیست که آسیب پذیری های شناخته شده دنیا در آنها وجود ندارد. برای یک کارشناس حرفه ای امنیت، یا برای یک نفوذگر حرفه ای خارجی، چقدر مشکل است که بفهمد فلان فایروال ایرانی از کدام نسخه لینوکس استفاده کرده و کدام نسخه از ماژول ها و سرویس های زیرساختی آن را به کار برده است؟ آیا غیر از این است که زیرساخت قریب به اتفاق محصولات بومی امنیت، همین سیستم عامل های شناخته شده جهانی و سرورهایی مثل آپاچی، MySQL و غیره هستند؟ بنابراین بستر این محصولات همان آسیب پذیری های شناخته شده را دارا هستند، به خصوص اگر به روز نشوند. در محصولات بومی غیر امنیت هم که وضع اگر بدتر نباشد بهتر نیست.
دوم: با فرض صحت این ادعا، الزاماً نمی توان نتیجه گرفت که امنیت محصولات بومی بیشتر از محصولات خارجی است. امنیت از طریق ایجاد ابهام (Security through Obscurity)، امنیت نیست و این یک اصل پذیرفته شده در دنیای امنیت است. مثال بارز آن هم الگوریتم های رمز هستند. اگر کسی ادعا کرد که یک الگوریتم اختصاصی و ناشناس برای رمز در محصول خود استفاده کرده، باید به امنیت آن محصول شک کرد. امنیت عملی یک الگوریتم رمز، با فرض اینکه خود الگوریتم در دسترس همه بوده و استفاده از آن برای همگان امکانپذیر است، تعریف می شود. محصولات شناخته شده جهانی حداقل در معرض تست و ارزیابی هزاران متخصص امنیت بوده اند. تضمینی وجود ندارد که یک محصول بومی که اساساً در معرض تست و حمله در محیط واقعی نبوده، حتی آسیب پذیری های به مراتب سطحی تر و پیش پا افتاده تری از آنچه در دنیا به عنوان آسیب پذیری شناخته شده اطلاق می شود، نداشته باشد.
سوم: Deface کردن وب سایت، در بسیاری از مواقع (نه در همه مواقع) می تواند کم ارزش ترین نوع از نفوذ به یک سازمان باشد. همانطور که در این موارد اخیر هم گفته شده که پیکربندی ناامن و عدم به روزرسانی بستر این سرویس ها، باعث شده که از آسیب پذیری های شناخته شده ای در این بسترها سوء استفاده شود.
اما این همه ماجرا نیست و استفاده از محصول بومی مزایایی دارد، از جمله اینکه در عمل، قرار دادن ایمپلنت در این محصولات، آنطور که مثلاً NSA در برخی محصولات معروف قرار داده، دور از ذهن است. همینطور درب پشتی هایی که به عمد یا سهواً در برخی محصولات وجود داشته (و اتفاقاً به دلیل در معرض تست عموم بودن کشف شده) احتمالاً در محصول بومی وجود ندارد. در واقع مشکلات امنیتی محصولاتی که توسط کشورهای متخاصم یا رقیب تولید می شود و ممکن است به صورت هدفمند در نمونه هایی که وارد کشور می شود قرار می گیرد، در محصول بومی وجود ندارد. استفاده از محصول بومی، این حس را به وجود می آورد که اجزای فنی تأمین کننده امنیت، تحت کنترل خود ما هستند. این مزایا در وهله اول برای زیرساخت های حیاتی کشور، که بالقوه در معرض اینگونه تهدیدها هستند، ارزش دارد.
همانطور که ذکر شد ماجراهای اخیر بیشتر از آنکه ناشی از ضعف در تجهیزات باشند، به عملکرد فنی نیروی انسانی بر می گردد. بزرگ ترین معضل امنیت فضای سایبری کشور هم نیروی انسانی است نه تجهیزات بومی و غیر بومی.
http://goo.gl/h7e8eQ
هک شدن سایت مرکز آمار ایران، مرکز توسعه تجارت الکترونیکی و چندین وب سایت دیگر توسط هکرهای منسوب به عربستان سعودی بحث های جدی در مورد امنیت سایت ها و سازمان های حاکمیتی به وجود آورد. در بسیاری از این بحث ها، راهکاری مبنی بر لزوم استفاده از محصولات بومی امنیت برای پیشگیری از این اتفاقات ارائه می شود، با این استدلال که:
محصولات بومی آسیب پذیری های شناخته شده کمتری دارند.
اول: اصل این ادعا زیر سئوال است. شاید بتوانیم بپذیریم که خود محصولات بومی به دلیل فوق العاده کوچک بودن بازار امنیت و سابقه محدود، کمتر شناخته شده هستند، اما این الزاماً به این معنی نیست که آسیب پذیری های شناخته شده دنیا در آنها وجود ندارد. برای یک کارشناس حرفه ای امنیت، یا برای یک نفوذگر حرفه ای خارجی، چقدر مشکل است که بفهمد فلان فایروال ایرانی از کدام نسخه لینوکس استفاده کرده و کدام نسخه از ماژول ها و سرویس های زیرساختی آن را به کار برده است؟ آیا غیر از این است که زیرساخت قریب به اتفاق محصولات بومی امنیت، همین سیستم عامل های شناخته شده جهانی و سرورهایی مثل آپاچی، MySQL و غیره هستند؟ بنابراین بستر این محصولات همان آسیب پذیری های شناخته شده را دارا هستند، به خصوص اگر به روز نشوند. در محصولات بومی غیر امنیت هم که وضع اگر بدتر نباشد بهتر نیست.
دوم: با فرض صحت این ادعا، الزاماً نمی توان نتیجه گرفت که امنیت محصولات بومی بیشتر از محصولات خارجی است. امنیت از طریق ایجاد ابهام (Security through Obscurity)، امنیت نیست و این یک اصل پذیرفته شده در دنیای امنیت است. مثال بارز آن هم الگوریتم های رمز هستند. اگر کسی ادعا کرد که یک الگوریتم اختصاصی و ناشناس برای رمز در محصول خود استفاده کرده، باید به امنیت آن محصول شک کرد. امنیت عملی یک الگوریتم رمز، با فرض اینکه خود الگوریتم در دسترس همه بوده و استفاده از آن برای همگان امکانپذیر است، تعریف می شود. محصولات شناخته شده جهانی حداقل در معرض تست و ارزیابی هزاران متخصص امنیت بوده اند. تضمینی وجود ندارد که یک محصول بومی که اساساً در معرض تست و حمله در محیط واقعی نبوده، حتی آسیب پذیری های به مراتب سطحی تر و پیش پا افتاده تری از آنچه در دنیا به عنوان آسیب پذیری شناخته شده اطلاق می شود، نداشته باشد.
سوم: Deface کردن وب سایت، در بسیاری از مواقع (نه در همه مواقع) می تواند کم ارزش ترین نوع از نفوذ به یک سازمان باشد. همانطور که در این موارد اخیر هم گفته شده که پیکربندی ناامن و عدم به روزرسانی بستر این سرویس ها، باعث شده که از آسیب پذیری های شناخته شده ای در این بسترها سوء استفاده شود.
اما این همه ماجرا نیست و استفاده از محصول بومی مزایایی دارد، از جمله اینکه در عمل، قرار دادن ایمپلنت در این محصولات، آنطور که مثلاً NSA در برخی محصولات معروف قرار داده، دور از ذهن است. همینطور درب پشتی هایی که به عمد یا سهواً در برخی محصولات وجود داشته (و اتفاقاً به دلیل در معرض تست عموم بودن کشف شده) احتمالاً در محصول بومی وجود ندارد. در واقع مشکلات امنیتی محصولاتی که توسط کشورهای متخاصم یا رقیب تولید می شود و ممکن است به صورت هدفمند در نمونه هایی که وارد کشور می شود قرار می گیرد، در محصول بومی وجود ندارد. استفاده از محصول بومی، این حس را به وجود می آورد که اجزای فنی تأمین کننده امنیت، تحت کنترل خود ما هستند. این مزایا در وهله اول برای زیرساخت های حیاتی کشور، که بالقوه در معرض اینگونه تهدیدها هستند، ارزش دارد.
همانطور که ذکر شد ماجراهای اخیر بیشتر از آنکه ناشی از ضعف در تجهیزات باشند، به عملکرد فنی نیروی انسانی بر می گردد. بزرگ ترین معضل امنیت فضای سایبری کشور هم نیروی انسانی است نه تجهیزات بومی و غیر بومی.
Forwarded from وب سایت تخصصی شبکه
آموزش و دانلود و انجمن تخصصی شبکه سیسکو و مایکروسافت و امنیت
کتاب CCNA Routing and Switching Portable Command Guide (ICND1 100-105, ICND2 200-105, and CCNA 200-125) - آموزش و دانلود و انجمن…
CCNA Routing and Switching Portable Command Guide – سیسکو دارای هزاران دستور مختلف است که شاید در طول کار خود به عنوان یک مدیر شبکه از خیلی از آنها استفاده کنید یا نکنید این کتاب حاوی لیست بسیاری از کامند های متداول در تجهیزات سیسکو شامل روتر ها و سوئیچ های…
بهترین محصولات امنیتی در سال 2016 از نگاه مجله معتبر SC Magazine:
http://goo.gl/G3Q8q1
BEST SIEM SOLUTION:
WINNER: ALIENVAULT UNIFIED SECURITY MANAGEMENT
BEST ADVANCED PERSISTENT THREAT (APT) PROTECTION:
WINNER: FIREEYE
BEST NAC SOLUTION:
WINNER: FORESCOUT COUNTERACT
BEST CLOUD COMPUTING SECURITY SOLUTION:
WINNER: CIPHERCLOUD
BEST COMPUTER FORENSICS SOLUTION:
WINNER: VERATIO INVESTIGATOR
BEST DATA LEAKAGE PREVENTION (DLP) SOLUTION:
WINNER: SYMANTEC DATA LOSS PREVENTION
BEST EMAIL SECURITY SOLUTION:
WINNER: GLASSWALL SOLUTIONS
BEST FRAUD PREVENTION SOLUTION:
WINNER: EASY SOLUTIONS
BEST IDENTITY MANAGEMENT SOLUTION:
WINNER: SHELL CONTROL BOX 4 F2 Balabit
BEST MANAGED SECURITY SERVICE:
WINNER: CNS MOSAIC
BEST MOBILE SECURITY SOLUTION:
WINNER: IBM MAAS360 ENTERPRISE MOBILITY MANAGEMENT (EMM)
BEST MULTIFACTOR SOLUTION:
WINNER: SWIVEL SECURE
BEST UTM SOLUTION:
WINNER: SOPHOS (CYBEROAM)
BEST VULNERABILITY MANAGEMENT SOLUTION:
WINNER: CLOUD INSIGHT Alert Logic
BEST WEB CONTENT MANAGEMENT SOLUTION:
WINNER: BLUE COAT SECURE WEB GATEWAY
BEST SECURITY COMPANY
WINNER: IBM
BEST NEWCOMER SECURITY COMPANY OF THE YEAR:
WINNER: UKKOBOX
BEST PROFESSIONAL TRAINING OR CERTIFICATION PROGRAMME:
WINNER: (ISC)2 CISSP
http://goo.gl/G3Q8q1
BEST SIEM SOLUTION:
WINNER: ALIENVAULT UNIFIED SECURITY MANAGEMENT
BEST ADVANCED PERSISTENT THREAT (APT) PROTECTION:
WINNER: FIREEYE
BEST NAC SOLUTION:
WINNER: FORESCOUT COUNTERACT
BEST CLOUD COMPUTING SECURITY SOLUTION:
WINNER: CIPHERCLOUD
BEST COMPUTER FORENSICS SOLUTION:
WINNER: VERATIO INVESTIGATOR
BEST DATA LEAKAGE PREVENTION (DLP) SOLUTION:
WINNER: SYMANTEC DATA LOSS PREVENTION
BEST EMAIL SECURITY SOLUTION:
WINNER: GLASSWALL SOLUTIONS
BEST FRAUD PREVENTION SOLUTION:
WINNER: EASY SOLUTIONS
BEST IDENTITY MANAGEMENT SOLUTION:
WINNER: SHELL CONTROL BOX 4 F2 Balabit
BEST MANAGED SECURITY SERVICE:
WINNER: CNS MOSAIC
BEST MOBILE SECURITY SOLUTION:
WINNER: IBM MAAS360 ENTERPRISE MOBILITY MANAGEMENT (EMM)
BEST MULTIFACTOR SOLUTION:
WINNER: SWIVEL SECURE
BEST UTM SOLUTION:
WINNER: SOPHOS (CYBEROAM)
BEST VULNERABILITY MANAGEMENT SOLUTION:
WINNER: CLOUD INSIGHT Alert Logic
BEST WEB CONTENT MANAGEMENT SOLUTION:
WINNER: BLUE COAT SECURE WEB GATEWAY
BEST SECURITY COMPANY
WINNER: IBM
BEST NEWCOMER SECURITY COMPANY OF THE YEAR:
WINNER: UKKOBOX
BEST PROFESSIONAL TRAINING OR CERTIFICATION PROGRAMME:
WINNER: (ISC)2 CISSP
Forwarded from ایسنا
نتایج آزمون ارشد سهشنبه اعلام میشود
🔹نتایج اولیه آزمون ورودی دورههای کارشناسی ارشد ناپیوسته سال 95 کلیه داوطلبان شرکت کننده در جلسه آزمون به صورت کارنامه تنظیم شده و کارنامه کلیه داوطلبان سهشنبه 25 خرداد ماه روی سایت سازمان سنجش کشور قرار میگیرد.
isna.ir/news/95031713627
telegram.me/joinchat/BduonTvxO3NAkR3Ec3bEFw
🔹نتایج اولیه آزمون ورودی دورههای کارشناسی ارشد ناپیوسته سال 95 کلیه داوطلبان شرکت کننده در جلسه آزمون به صورت کارنامه تنظیم شده و کارنامه کلیه داوطلبان سهشنبه 25 خرداد ماه روی سایت سازمان سنجش کشور قرار میگیرد.
isna.ir/news/95031713627
telegram.me/joinchat/BduonTvxO3NAkR3Ec3bEFw
🔵🔵🔵 شرکت مایکروسافت، Linkedin را به قیمت 26میلیارد دلار خرید!
http://news.microsoft.com/2016/06/13/microsoft-to-acquire-linkedin/#sm.0001n8jegpvi1devrsj2qenocbczt
http://news.microsoft.com/2016/06/13/microsoft-to-acquire-linkedin/#sm.0001n8jegpvi1devrsj2qenocbczt
Forwarded from معاونت فرهنگی دانشجویی موسسه آ.ع ارشاد دماوند
مروری بر فعالیتهای انجمن های علمی دانشجویی موسسه ارشاد دماوند در سال تحصیلی94-95 @farhangiershaduniv
دفترچه راهنمای انتخاب رشته های تحصیلی آزمون ورودی تحصیلات تکمیلی ، دوره های کارشناسی ارشد ناپیوسته ، سال 1395 :
http://sanjesh.org/FullStory.aspx?gid=2&id=2598
@ITSSC
http://sanjesh.org/FullStory.aspx?gid=2&id=2598
@ITSSC