Forwarded from علی کیائیفر
اگر فقط IPS نیاز دارید خب ASA گزینه بهتری هست. قدرت سایبروم در اکانتیگ و ترکیب کردن و مدیریت یکپارچه ماژولهاست.
Forwarded from علی کیائیفر
خواهش میکنم. مدل CR1000iNG برای IPS تا 12.5Gbit/s جواب میده.
Forwarded from علی کیائیفر
آیا ممکن است روسیه اینترنت دنیا را قطع کند؟
روزنامه نیویورک تایمز گزارش داده که احتمال میرود روسیه در حال برنامهریزی برای قطع ارتباطات اینترنتی در صورت بروز جنگهای احتمالی باشد. کابلهای زیر اقیانوس که فعالیت زیردریاییهای روسیه در اطراف آنها افزایش یافته، نقشی حیاتی در جریان روزانه اینترنت دارند و حجم عظیمی از اطلاعات از طریق آنها بین قارهها جابهجا میشود.
روزنامه نیویورک تایمز گزارش داده که احتمال میرود روسیه در حال برنامهریزی برای قطع ارتباطات اینترنتی در صورت بروز جنگهای احتمالی باشد. کابلهای زیر اقیانوس که فعالیت زیردریاییهای روسیه در اطراف آنها افزایش یافته، نقشی حیاتی در جریان روزانه اینترنت دارند و حجم عظیمی از اطلاعات از طریق آنها بین قارهها جابهجا میشود.
Forwarded from علی کیائیفر
جناب استاد کسرایی و تعداد دیگری از دوستان افتخار دادند و یک روز کامل درخدمتشان بودیم. ملاقات استادان گران سنگی همچون ایشان مایه فخر و مباهات است.
Forwarded from علی کیائیفر
تحقيق جهاني امنيت اطلاعات ارنست و يانگ نشان ميدهد که 90% سازمانها معتقدند امنيت اطلاعات براي دستيابي آنها به اهداف کليشان بسيار حايز اهميت است. 78% از سازمانها عنوان کردند که اولين هدفشان از تلاش براي تامين امنيت اطلاعات کاهش مخاطرات ميباشد. اين سازمانها شامل 1000 شرکت ثروتمند ميشدند که بخشي از منابع خود را براي مبارزه با مسايل امنيتي اختصاص داده بودند. در ادامه اين تحقيق:
• بيش از 34% از سازمانها اظهار ميکنند که قدرت کافي براي تشخيص اين که آيا سيستمهايشان در حال حاضر مورد حمله قرار دارند يا خير را ندارند.
• بيش از 33% اظهار ميکنند که توانايي ارايه عکسالعمل مناسب در واکنش به رخدادهاي امنيتي را ندارند.
• تنها 34% از سازمانها ادعا ميکنند که حاضر به اطاعت از ضوابط امنيتي قابل اجرا ميباشند.
• 56% سازمانها بودجه ناکافي را مانع اصلي تامين موثر امنيت اطلاعات ميدانند.
• حدود 60% از سازمانها اظهار ميکنند که بازگشت سرمايه را براي امنيت اطلاعاتي به ندرت محاسبه ميکنند يا هرگز محاسبه نميکنند.
• تنها 29% سازمانها آموزش و آگاهي کارمندان را به عنوان قسمتي که بيشترين سرمايهگذاري براي امنيت اطلاعات را روي آن داشتهاند ذکر ميکنند؛ در مقابل 83% از فناوري به عنوان اولويت اول سرمايهگذاري خود در تامين امنيت اطلاعات نام مي برند.
• تنها 35% از سازمانها اظهار ميکنند که براي کارکنان برنامههاي پيوسته اطلاعرساني و آموزشي دارند. اين آمارها حاکي از اين هستند که همه سازمانها فشارهاي مالي و رواني تهديدهاي امنيت اطلاعات را حس ميکنند.
• بيش از 34% از سازمانها اظهار ميکنند که قدرت کافي براي تشخيص اين که آيا سيستمهايشان در حال حاضر مورد حمله قرار دارند يا خير را ندارند.
• بيش از 33% اظهار ميکنند که توانايي ارايه عکسالعمل مناسب در واکنش به رخدادهاي امنيتي را ندارند.
• تنها 34% از سازمانها ادعا ميکنند که حاضر به اطاعت از ضوابط امنيتي قابل اجرا ميباشند.
• 56% سازمانها بودجه ناکافي را مانع اصلي تامين موثر امنيت اطلاعات ميدانند.
• حدود 60% از سازمانها اظهار ميکنند که بازگشت سرمايه را براي امنيت اطلاعاتي به ندرت محاسبه ميکنند يا هرگز محاسبه نميکنند.
• تنها 29% سازمانها آموزش و آگاهي کارمندان را به عنوان قسمتي که بيشترين سرمايهگذاري براي امنيت اطلاعات را روي آن داشتهاند ذکر ميکنند؛ در مقابل 83% از فناوري به عنوان اولويت اول سرمايهگذاري خود در تامين امنيت اطلاعات نام مي برند.
• تنها 35% از سازمانها اظهار ميکنند که براي کارکنان برنامههاي پيوسته اطلاعرساني و آموزشي دارند. اين آمارها حاکي از اين هستند که همه سازمانها فشارهاي مالي و رواني تهديدهاي امنيت اطلاعات را حس ميکنند.
Forwarded from علی کیائیفر
این تحقیق اگر در ایران انجام میشد درصدها چطور میشد؟
Forwarded from 😷😷😷😷 😷😷😷😷
تو ایران؟ نفرمایید خواهش میکنم.... مگه میشه؟مگه داریم؟؟؟😄😄😄
Forwarded from علی کیائیفر
مهندسی اجتماعی یا Social Engineering فقط با آموزشهای مداوم و مکرر برای کارمندان سازمان قابل بهبود است. در واقع این رخنه امنیتی با هیچ ابزاری قابل کنترل و قابل دفاع نیست.
Forwarded from علی کیائیفر
شما برای امن کردن یک دارایی می توانید آنرا در گاوصندوق بگذارید اما اگر مسئول گاو صندوق کلیدش را به دزد بدهد دیگر کاری از شما ساخته نیست. یک مثال:
Forwarded from علی کیائیفر
یک موسسه مالی از یک نرم افزار سازمانی جهت حسابداری و کنترل دارایی خود و مشتریانش استفاده میکند خود نرم افزار هیچگونه باگی ندارد و شبکه هم فوق العاده امن است و هزینه زیادی صرف امنیت سخت افزاری و نرم افزاری شده و مهاجم برای نفوذ امکان دسترسی به روشهای معمول هک را ندارد یا اصلا دانش فنی آن را ندارد، ولی در این سازمان کارمندانی مشغول به کار هستند که آموزش لازم در زمینه مهندسی اجتماعی را ندیده اند. مهاجم در کمال خونسردی با یکی از کارمندان تماس می گیرد و خود را مهندس مسئول شبکه یا مسئول نرم افزار موسسه معرفی میکند و قبل از این به سادگی در تماس با سازمان نام و اطلاعات اولیه واحدهای سازمان را بدست آورده و در تماس نهایی با کارمند یکی از واحدها:
مهاجم: حسینی هستم مسئول IT درحال ارتقا نسخه نرم افزار هستیم لطفا رمز خود را به Newversion2 تغییر دهید. ضمنا تا یک ساعت وارد سیستم نشید چون هر تراکنشی ممکنه باعث اختلال بشه.
کارمند: خوب هستید آقای حسینی من الان دارم سند میزنم میشه چند دقیقه دیگه این کار رو بکنید ضمنا من یه مشکلی هم با فلش یو اس بی دارم.
مهاجم: ما امروز به همه واحدها اعلام کرده بودیم ولی مشکلی نداره من شما رو درک میکنم. می تونم تغییر سیستم شما رو با 10 دقیقه تاخیر انجام بدم.
کارمند: ولی به بنده اعلام نشده بود، به هر حال ممنونم که همکاری میکنید.
مهاجم: خواهش میکنم، در خصوص مشکلتون هم فردا تماس بگیرید، اسمتون رو بفرمایید من سریع کارتون رو انجام میدم، فرمودید شما آقای؟
کارمند: علوی هستم.
مهاجم: پس جناب علوی شما رمز رو الان تغییر بدید بنده هم از 10 دقیقه دیگه برنامه رو ارتقا میدم، راستی نام کاربریتون چی بود؟
کارمند: مثل بقیه نام خانوادگی...
به همین راحتی مهاجم با روش مهندسی اجتماعی، اطلاعات محرمانه بسیار با ارزش سیستم بانکی را از کارمندی که تصور میکرد در حال مکالمه با مسئول شبکه سازمان است دریافت کرد، بعلاوه اینکه اکثر نامهای کاربری در اختیار مهاجم قرار گرفت:
username: alavi
password: Newversion2
مهاجم: حسینی هستم مسئول IT درحال ارتقا نسخه نرم افزار هستیم لطفا رمز خود را به Newversion2 تغییر دهید. ضمنا تا یک ساعت وارد سیستم نشید چون هر تراکنشی ممکنه باعث اختلال بشه.
کارمند: خوب هستید آقای حسینی من الان دارم سند میزنم میشه چند دقیقه دیگه این کار رو بکنید ضمنا من یه مشکلی هم با فلش یو اس بی دارم.
مهاجم: ما امروز به همه واحدها اعلام کرده بودیم ولی مشکلی نداره من شما رو درک میکنم. می تونم تغییر سیستم شما رو با 10 دقیقه تاخیر انجام بدم.
کارمند: ولی به بنده اعلام نشده بود، به هر حال ممنونم که همکاری میکنید.
مهاجم: خواهش میکنم، در خصوص مشکلتون هم فردا تماس بگیرید، اسمتون رو بفرمایید من سریع کارتون رو انجام میدم، فرمودید شما آقای؟
کارمند: علوی هستم.
مهاجم: پس جناب علوی شما رمز رو الان تغییر بدید بنده هم از 10 دقیقه دیگه برنامه رو ارتقا میدم، راستی نام کاربریتون چی بود؟
کارمند: مثل بقیه نام خانوادگی...
به همین راحتی مهاجم با روش مهندسی اجتماعی، اطلاعات محرمانه بسیار با ارزش سیستم بانکی را از کارمندی که تصور میکرد در حال مکالمه با مسئول شبکه سازمان است دریافت کرد، بعلاوه اینکه اکثر نامهای کاربری در اختیار مهاجم قرار گرفت:
username: alavi
password: Newversion2
Forwarded from علی کیائیفر
مهاجمان چند مرحله تا رسیدن به هدف فاصله دارند:
در مرحله اول تحقیقات اولیه، سپس جلب اطمینان و مرحله سوم دریافت اطلاعات و در نهایت سوء استفاده از اطلاعات که هدف بوده.
در مرحله اول تحقیقات اولیه، سپس جلب اطمینان و مرحله سوم دریافت اطلاعات و در نهایت سوء استفاده از اطلاعات که هدف بوده.
Forwarded from علی کیائیفر
واقعا فکر می کنید اگر فردا به همین روش کسی با سازمان شما تماس بگیرد کارمندان سازمان شما چقدر در برابر دادن اطلاعات به فرد مهاجم مقاومت می کنند؟