Forwarded from 💠Jalal💠
یک کتاب Data Center Handbook جدید که در سال 2015 منتشر شده گرفتم ، انشاء الله که به درد همه اعضاء محترم گروه بخورد . 👆🏼
Forwarded from 💠Jalal💠
یک کتاب دیگر هم که در مورد نرم افزار شبیه ساز GNS3 است و مربوط به سال 2015 است را هم برای اعضاء محترم گروه باشتراک میگذارم و امیدوارم که مورد استفاده این عزیزان قرار بگیرد : 👆🏼
Forwarded from علی کیائیفر
طرح یک مسئله که یک چالش همه گیر است:
همه ما در شبکه های خود ناچاریم برای رفع نیازهای سازمانی از برخی نرم افزارهای بومی استفاده کنیم. مثل نرم افزارهای مالی و انبار و حقوق و دستمزد و کارگزینی و اتوماسیون اداری و ... .
هنگام انتخاب یک محصول بومی شاید پارامترهای مختلفی را درخصوص آن مورد توجه قرار دهیم. اما نکته مغفول موضوع امنیت است. در واقع مهمترین دارایی سازمان را در نرم افزارهایی قرار می دهیم که اطمینانی به امنیت آن نداریم.
همه روزه اخبار مختلفی از کشف آسیب پذیری های مختلف در نرم افزارهای مختلف از شرکتهای معتبر دنیا پخش می شود و این نقاط ضعف و آسیب پذیر بلافاصه توسط سازندگان برطرف می شوند. یقینا نرم افزارهای بومی هم پر از نقاط آسیب پذیر هستند. سئوال اینجاست واقعا چه کسی باید نقاط آسیب پذیر نرم افزارهای بومی را کشف و گزارش کند؟ ما چگونه حساس ترین اطلاعات سازمانی را در دل نرم افزارهایی قرار می دهیم که هیچگونه رفرنس امنیتی قابل اطمینانی در خصوص کارکرد آنها وجود ندارد؟
این نگرانی زمانی افزایش می یابد که متاسفانه اکثر نرم افزارهای ایرانی توسط اکثر آنتی ویروسها به عنوان ویروس شناخته می شوند. این نشان می دهد که اصول برنامه نویسی و امنیتی در تولید نرم افزار رعایت نشده است! شرکت های سازنده هم بدون پذیرفتن هرگونه مسئولیتی مشکل را به گردن خطای آنتی ویروسها می اندازند! و جالب اینجاست که کارشناسان امنیتی همیشه تسلیم می شوند و برای نرم افزارهای اداری یک Rule تعریف می کنند که با Folder نرم افزارهای اداری کاری نداشته باشد! یعنی آنتی ویروس نسبت به مهمترین دارایی های اطلاعاتی ما بی تفاوت باشد! هرچه بادا باد!
به عنوان یک کارشناس امنیتی برای حل این معضل همه گیر چه پیشنهادی دارید؟
همه ما در شبکه های خود ناچاریم برای رفع نیازهای سازمانی از برخی نرم افزارهای بومی استفاده کنیم. مثل نرم افزارهای مالی و انبار و حقوق و دستمزد و کارگزینی و اتوماسیون اداری و ... .
هنگام انتخاب یک محصول بومی شاید پارامترهای مختلفی را درخصوص آن مورد توجه قرار دهیم. اما نکته مغفول موضوع امنیت است. در واقع مهمترین دارایی سازمان را در نرم افزارهایی قرار می دهیم که اطمینانی به امنیت آن نداریم.
همه روزه اخبار مختلفی از کشف آسیب پذیری های مختلف در نرم افزارهای مختلف از شرکتهای معتبر دنیا پخش می شود و این نقاط ضعف و آسیب پذیر بلافاصه توسط سازندگان برطرف می شوند. یقینا نرم افزارهای بومی هم پر از نقاط آسیب پذیر هستند. سئوال اینجاست واقعا چه کسی باید نقاط آسیب پذیر نرم افزارهای بومی را کشف و گزارش کند؟ ما چگونه حساس ترین اطلاعات سازمانی را در دل نرم افزارهایی قرار می دهیم که هیچگونه رفرنس امنیتی قابل اطمینانی در خصوص کارکرد آنها وجود ندارد؟
این نگرانی زمانی افزایش می یابد که متاسفانه اکثر نرم افزارهای ایرانی توسط اکثر آنتی ویروسها به عنوان ویروس شناخته می شوند. این نشان می دهد که اصول برنامه نویسی و امنیتی در تولید نرم افزار رعایت نشده است! شرکت های سازنده هم بدون پذیرفتن هرگونه مسئولیتی مشکل را به گردن خطای آنتی ویروسها می اندازند! و جالب اینجاست که کارشناسان امنیتی همیشه تسلیم می شوند و برای نرم افزارهای اداری یک Rule تعریف می کنند که با Folder نرم افزارهای اداری کاری نداشته باشد! یعنی آنتی ویروس نسبت به مهمترین دارایی های اطلاعاتی ما بی تفاوت باشد! هرچه بادا باد!
به عنوان یک کارشناس امنیتی برای حل این معضل همه گیر چه پیشنهادی دارید؟
Forwarded from Deleted Account
با سلام و احترام ؛ معمولا این خود نرم افزار و شیوه کد زدن در فایلهای اجرایی آن نیست که بعنوان ویروس شناخته میشود معمولا رفتار غیر طبیعی و اتصالات مشکوک نرم افزارها و برخی دسترسی های سیستمی نرم افزار آنتی ویروسها رو به اشتباه می اندازد. در واقع ما یک سری الگوی امنیتی مشخص الزام آور در برنامه نویسی برای رعایت الگوی امنیتی که موجب عدم شناسایی رفتار غیر معمول به وسیله آنتی ویروسها بشه نداریم.
در خصوص تهیه نرم افزارها فکر میکنم گام اول اهمیت دادن به سه موضوع اصلی بسیار مفید میتونه باشه 1-نرم افزار دارای گواهی امنیتی از مراکز معتبر ممیزی امنیتی کشور باشه 2-از تکنولوژی بروزی برای تولید استفاده کرده باشه و پلتفرم اجرای اون دارای آسیبپذیری های کمتری باشه 3-دارای تیم توسعه و پشتیبان پیگیر و پاسخگو و همچنین متعهدی باشه و نرم افزار دارای بروزرسانی های دوره ای باشه
اگر نرم افزار برای محیط داخل شبکه محلی تهیه شده با بهره بردازی از روشهای تامین امنیت مکمل مثل utm و آنتی ویروس میشه حملات insider attack رو شناسایی و کنترل کرد و از سرورهای بانک اطلاعاتی و یا سرویس دهنده وب با طراحی زونهای مناسب مثل DMZ و...و فعالسازی ips و محدودسازی دسترسی ها و همچنین کنترل در لایه 7و ایزوله کردن دسترسی ها نگرانی ها بابت آسیب پذیری های داخلی رو برطرف کرد. حتی مستقل از سطح امنیت خود نرم افزار این میتونه کارساز باشه. اما در خصوص نرم افزارهایی که در بستر شبکه گسترده مثل اینترنت استفاده میشه به جز موارد فوق باید کانال دسترسی کدگذاری شده مثل تانلینگ های مرسوم و کنترل دسترسی چندعامله صورت بگیره تا کاربر بیرونی تا سطح یک کاربر داخلی از لحاظ امنیتی شناسایی بشه.
در خصوص تهیه نرم افزارها فکر میکنم گام اول اهمیت دادن به سه موضوع اصلی بسیار مفید میتونه باشه 1-نرم افزار دارای گواهی امنیتی از مراکز معتبر ممیزی امنیتی کشور باشه 2-از تکنولوژی بروزی برای تولید استفاده کرده باشه و پلتفرم اجرای اون دارای آسیبپذیری های کمتری باشه 3-دارای تیم توسعه و پشتیبان پیگیر و پاسخگو و همچنین متعهدی باشه و نرم افزار دارای بروزرسانی های دوره ای باشه
اگر نرم افزار برای محیط داخل شبکه محلی تهیه شده با بهره بردازی از روشهای تامین امنیت مکمل مثل utm و آنتی ویروس میشه حملات insider attack رو شناسایی و کنترل کرد و از سرورهای بانک اطلاعاتی و یا سرویس دهنده وب با طراحی زونهای مناسب مثل DMZ و...و فعالسازی ips و محدودسازی دسترسی ها و همچنین کنترل در لایه 7و ایزوله کردن دسترسی ها نگرانی ها بابت آسیب پذیری های داخلی رو برطرف کرد. حتی مستقل از سطح امنیت خود نرم افزار این میتونه کارساز باشه. اما در خصوص نرم افزارهایی که در بستر شبکه گسترده مثل اینترنت استفاده میشه به جز موارد فوق باید کانال دسترسی کدگذاری شده مثل تانلینگ های مرسوم و کنترل دسترسی چندعامله صورت بگیره تا کاربر بیرونی تا سطح یک کاربر داخلی از لحاظ امنیتی شناسایی بشه.
Forwarded from Amir Torkaman
و معمولاً هم مى بايست براى اينكه اينگونه نرم افزارها به درستى به كار خود ادامه دهند، از بروز رسانى سيستم عاملهاى آنها جلوگيرى به عمل آوريم كه همين موضوع به ريسك آنها ميفزايد.
Forwarded from علی کیائیفر
روشهایی مثل UTM و آنتی ویروس مشکل اصلی نرم افزار رو حل نمی کنه. اینها برای تامین امنیت بستر هست که ما معمولا رعایت می کنیم. من در یک نرم افزار ایرانی وب بیس که باید روی WAN باز باشه شاهد بودم که برنامه نویس یک شاه کلید برای خودش ساخته بود که از هرجایی میتونست Login کنه! توجیهش این بود برای حل مشکلات مشتری ها ازش استفاده می کنه! منظورم وجود نقاط ضعف اینچنینی داخل نرم افزارهاست که از کنترل ما خارج هست. نمونه بارزش رو در تجربه شرکت انیاک دیدیم که چه غوغایی به پا شد!
Forwarded from علی کیائیفر
👍👍👍👍
دقیقا!
شرکت سازنده تاکید میکنه به هیچ وجه Update نکنید!
سئوال اصلی اینه گروه امنیتی سازمان باید
دقیقا!
شرکت سازنده تاکید میکنه به هیچ وجه Update نکنید!
سئوال اصلی اینه گروه امنیتی سازمان باید
Forwarded from علی کیائیفر
سئوال اصلی اینه گروه امنیتی سازمان باید پیرو شرکت نرم افزاری باشه یا برعکس؟
Forwarded from PeYmAn AKB
يكجورايي مجبوري تابع شركت نرم افزاري باشي چون نياز داري بهش
Forwarded from Deleted Account
من فکر میکنم با لاگ کردن دسترسی ها روی فایروال بشه دسترسی های غیر مجاز رو شناسایی کرد و چون مثال شما وب بیس بود در نتیجه با تعریف کردن rule روی waf دسترسی برنامه نویس با شاه کلید رو هم بست. البته به شرط اینکه یکبار این لاگین انجام شده باشه.
Forwarded from Deleted Account
منم منظورم اینه که امنیت در یک نرم افزار 100 درصد نیست حتی اگه همه مراحل تست امنیتی رو گذرونده باشه. پس با تجهیزاتی مثل انواع فایروال و آنتی ویروس باید روی امنیت یک لایه مضاعف ایجاد کرد.
Forwarded from Deleted Account
مثلا یک فایروال دیتابیس میتونه درصد زیادی از حملات ناشی از ضعف امنیتی دیتابیس و طراحی نادرستش رو برطرف کنه. همونطوری که waf میتونه جلوی بیشتر حملات وب رو بگیره و فایروال جلوی دسترسی ها به پورتها را محدود کنه. همه اینا کنار هم یک تضمین مضاعف برای امنیت نرم افزاره که یک مدیر فناوری نباید از اونا چشم پوشی کنه
Forwarded from علی کیائیفر
وقتی شما یک Security Update نصب می کنید و کل سیستم از کار میفته دیگه چه کاری از دست شما ساخته است؟ باید به شرکت مهلت معین داد تا مشکلش رو حل کنه اگر حل نکرد؟؟؟
Forwarded from Deleted Account
مثلا شما که شاهد بودید که طرف با شاه کلیدش ورود کرد حالا دیگه یک لاگ دسترسی http دارید با مقدار پاس شده مشخص که میتونید اونو disallow کنید تا با اون شاه کلید نتونه ورود کنه دیگه.😉
Forwarded from Deleted Account
امنیت یه حد نسبی داره. هیچکی نمی تونه مدعی باشه مطلق اونو پیاده سازی کرده. من نظرم اینه دستگاههای مکمل امنیت به کمک مدیر میان تا جلوی درصد قابل توجه ای از ضعفهای لایه 7 و سایر لایه ها رو بگیرن. نرم افزار شما حتی اگه open source باشه امن سازی کدهاش یه تیم خبره میخواد که هیچ الگوی تعریف شده قطعی استاندرادی برای امن سازیش نداره.owasp و سایر الگوها نسبی هستند و فقط توصیه امنیتی دارند.
Forwarded from Deleted Account
مهندس کیایی فر من فکر میکنم الان بزرگترین معضل ما نداشتن تجهیزات امنیتی مکمل برای نرم افزارهای آسیب پذیرمون نیست بلکه فقدان کارشناسهای امنیتی خبره برای پیکربندی مناسب اونها با توجه به بستر شبکه و نرم افزارهای موجود و پلتفرمهای سروری سازمانها و ادارت هستش.مثلا فلان سازمان فلان فایروال رو داره فقط توش دو تا rule داره و خیالش راحته که یه فایروال داره و تموم.
Forwarded from علی کیائیفر
نرم افزارهای خارجی معمولا شناخته شده هستند و دائم زیر تست توسط گروه های حرفه ای هستند. اما نرم افزارهای ایرانی خیر. نرم افزارهای ایرانی نه تنها رفرنس قابل اعتماد امنیتی ندارن بلکه شما رو از نصب Security Updateها در لایه OS هم منع می کنن. نمونه بارزش رو یکی از دوستان چند وقت پیش اینجا طرح کردن که پیمانکار نرم افزار مشکل Stopشدن یک سرویس رو به مشکل سخت افزاری ربط داده بود!
Forwarded from Omid
با عرض سلام
براي غلبه بر اين مشكل به نظر تنها راه موجود تعريف فرآيند براي توليد نرم افزار هاي بومي ميباشد،زماني كه توليد يك محصول بر اساس روال هاي از پيش تعيين شده باشه،ميتوان امنيت را از زمان تهيه معماري نرم افزار تا مرحله گسترش و بروزرساني آن بعنوان يك عامل اصلي تعيين كنيم،از طرفي واحدي در سازمان بعنوان مميز داخلي (عموما بخشي از واحد امنيت سازمان)بايد بصورت دوره اي نرم افزارهاي موجود را تست كند و فيدبك آن را به واحد توسعه نرم افزار ارائه دهد.
براي غلبه بر اين مشكل به نظر تنها راه موجود تعريف فرآيند براي توليد نرم افزار هاي بومي ميباشد،زماني كه توليد يك محصول بر اساس روال هاي از پيش تعيين شده باشه،ميتوان امنيت را از زمان تهيه معماري نرم افزار تا مرحله گسترش و بروزرساني آن بعنوان يك عامل اصلي تعيين كنيم،از طرفي واحدي در سازمان بعنوان مميز داخلي (عموما بخشي از واحد امنيت سازمان)بايد بصورت دوره اي نرم افزارهاي موجود را تست كند و فيدبك آن را به واحد توسعه نرم افزار ارائه دهد.