Forwarded from علی کیائیفر
جناب استاد کسرایی و تعداد دیگری از دوستان افتخار دادند و یک روز کامل درخدمتشان بودیم. ملاقات استادان گران سنگی همچون ایشان مایه فخر و مباهات است.
Forwarded from علی کیائیفر
تحقيق جهاني امنيت اطلاعات ارنست و يانگ نشان ميدهد که 90% سازمانها معتقدند امنيت اطلاعات براي دستيابي آنها به اهداف کليشان بسيار حايز اهميت است. 78% از سازمانها عنوان کردند که اولين هدفشان از تلاش براي تامين امنيت اطلاعات کاهش مخاطرات ميباشد. اين سازمانها شامل 1000 شرکت ثروتمند ميشدند که بخشي از منابع خود را براي مبارزه با مسايل امنيتي اختصاص داده بودند. در ادامه اين تحقيق:
• بيش از 34% از سازمانها اظهار ميکنند که قدرت کافي براي تشخيص اين که آيا سيستمهايشان در حال حاضر مورد حمله قرار دارند يا خير را ندارند.
• بيش از 33% اظهار ميکنند که توانايي ارايه عکسالعمل مناسب در واکنش به رخدادهاي امنيتي را ندارند.
• تنها 34% از سازمانها ادعا ميکنند که حاضر به اطاعت از ضوابط امنيتي قابل اجرا ميباشند.
• 56% سازمانها بودجه ناکافي را مانع اصلي تامين موثر امنيت اطلاعات ميدانند.
• حدود 60% از سازمانها اظهار ميکنند که بازگشت سرمايه را براي امنيت اطلاعاتي به ندرت محاسبه ميکنند يا هرگز محاسبه نميکنند.
• تنها 29% سازمانها آموزش و آگاهي کارمندان را به عنوان قسمتي که بيشترين سرمايهگذاري براي امنيت اطلاعات را روي آن داشتهاند ذکر ميکنند؛ در مقابل 83% از فناوري به عنوان اولويت اول سرمايهگذاري خود در تامين امنيت اطلاعات نام مي برند.
• تنها 35% از سازمانها اظهار ميکنند که براي کارکنان برنامههاي پيوسته اطلاعرساني و آموزشي دارند. اين آمارها حاکي از اين هستند که همه سازمانها فشارهاي مالي و رواني تهديدهاي امنيت اطلاعات را حس ميکنند.
• بيش از 34% از سازمانها اظهار ميکنند که قدرت کافي براي تشخيص اين که آيا سيستمهايشان در حال حاضر مورد حمله قرار دارند يا خير را ندارند.
• بيش از 33% اظهار ميکنند که توانايي ارايه عکسالعمل مناسب در واکنش به رخدادهاي امنيتي را ندارند.
• تنها 34% از سازمانها ادعا ميکنند که حاضر به اطاعت از ضوابط امنيتي قابل اجرا ميباشند.
• 56% سازمانها بودجه ناکافي را مانع اصلي تامين موثر امنيت اطلاعات ميدانند.
• حدود 60% از سازمانها اظهار ميکنند که بازگشت سرمايه را براي امنيت اطلاعاتي به ندرت محاسبه ميکنند يا هرگز محاسبه نميکنند.
• تنها 29% سازمانها آموزش و آگاهي کارمندان را به عنوان قسمتي که بيشترين سرمايهگذاري براي امنيت اطلاعات را روي آن داشتهاند ذکر ميکنند؛ در مقابل 83% از فناوري به عنوان اولويت اول سرمايهگذاري خود در تامين امنيت اطلاعات نام مي برند.
• تنها 35% از سازمانها اظهار ميکنند که براي کارکنان برنامههاي پيوسته اطلاعرساني و آموزشي دارند. اين آمارها حاکي از اين هستند که همه سازمانها فشارهاي مالي و رواني تهديدهاي امنيت اطلاعات را حس ميکنند.
Forwarded from علی کیائیفر
این تحقیق اگر در ایران انجام میشد درصدها چطور میشد؟
Forwarded from 😷😷😷😷 😷😷😷😷
تو ایران؟ نفرمایید خواهش میکنم.... مگه میشه؟مگه داریم؟؟؟😄😄😄
Forwarded from علی کیائیفر
مهندسی اجتماعی یا Social Engineering فقط با آموزشهای مداوم و مکرر برای کارمندان سازمان قابل بهبود است. در واقع این رخنه امنیتی با هیچ ابزاری قابل کنترل و قابل دفاع نیست.
Forwarded from علی کیائیفر
شما برای امن کردن یک دارایی می توانید آنرا در گاوصندوق بگذارید اما اگر مسئول گاو صندوق کلیدش را به دزد بدهد دیگر کاری از شما ساخته نیست. یک مثال:
Forwarded from علی کیائیفر
یک موسسه مالی از یک نرم افزار سازمانی جهت حسابداری و کنترل دارایی خود و مشتریانش استفاده میکند خود نرم افزار هیچگونه باگی ندارد و شبکه هم فوق العاده امن است و هزینه زیادی صرف امنیت سخت افزاری و نرم افزاری شده و مهاجم برای نفوذ امکان دسترسی به روشهای معمول هک را ندارد یا اصلا دانش فنی آن را ندارد، ولی در این سازمان کارمندانی مشغول به کار هستند که آموزش لازم در زمینه مهندسی اجتماعی را ندیده اند. مهاجم در کمال خونسردی با یکی از کارمندان تماس می گیرد و خود را مهندس مسئول شبکه یا مسئول نرم افزار موسسه معرفی میکند و قبل از این به سادگی در تماس با سازمان نام و اطلاعات اولیه واحدهای سازمان را بدست آورده و در تماس نهایی با کارمند یکی از واحدها:
مهاجم: حسینی هستم مسئول IT درحال ارتقا نسخه نرم افزار هستیم لطفا رمز خود را به Newversion2 تغییر دهید. ضمنا تا یک ساعت وارد سیستم نشید چون هر تراکنشی ممکنه باعث اختلال بشه.
کارمند: خوب هستید آقای حسینی من الان دارم سند میزنم میشه چند دقیقه دیگه این کار رو بکنید ضمنا من یه مشکلی هم با فلش یو اس بی دارم.
مهاجم: ما امروز به همه واحدها اعلام کرده بودیم ولی مشکلی نداره من شما رو درک میکنم. می تونم تغییر سیستم شما رو با 10 دقیقه تاخیر انجام بدم.
کارمند: ولی به بنده اعلام نشده بود، به هر حال ممنونم که همکاری میکنید.
مهاجم: خواهش میکنم، در خصوص مشکلتون هم فردا تماس بگیرید، اسمتون رو بفرمایید من سریع کارتون رو انجام میدم، فرمودید شما آقای؟
کارمند: علوی هستم.
مهاجم: پس جناب علوی شما رمز رو الان تغییر بدید بنده هم از 10 دقیقه دیگه برنامه رو ارتقا میدم، راستی نام کاربریتون چی بود؟
کارمند: مثل بقیه نام خانوادگی...
به همین راحتی مهاجم با روش مهندسی اجتماعی، اطلاعات محرمانه بسیار با ارزش سیستم بانکی را از کارمندی که تصور میکرد در حال مکالمه با مسئول شبکه سازمان است دریافت کرد، بعلاوه اینکه اکثر نامهای کاربری در اختیار مهاجم قرار گرفت:
username: alavi
password: Newversion2
مهاجم: حسینی هستم مسئول IT درحال ارتقا نسخه نرم افزار هستیم لطفا رمز خود را به Newversion2 تغییر دهید. ضمنا تا یک ساعت وارد سیستم نشید چون هر تراکنشی ممکنه باعث اختلال بشه.
کارمند: خوب هستید آقای حسینی من الان دارم سند میزنم میشه چند دقیقه دیگه این کار رو بکنید ضمنا من یه مشکلی هم با فلش یو اس بی دارم.
مهاجم: ما امروز به همه واحدها اعلام کرده بودیم ولی مشکلی نداره من شما رو درک میکنم. می تونم تغییر سیستم شما رو با 10 دقیقه تاخیر انجام بدم.
کارمند: ولی به بنده اعلام نشده بود، به هر حال ممنونم که همکاری میکنید.
مهاجم: خواهش میکنم، در خصوص مشکلتون هم فردا تماس بگیرید، اسمتون رو بفرمایید من سریع کارتون رو انجام میدم، فرمودید شما آقای؟
کارمند: علوی هستم.
مهاجم: پس جناب علوی شما رمز رو الان تغییر بدید بنده هم از 10 دقیقه دیگه برنامه رو ارتقا میدم، راستی نام کاربریتون چی بود؟
کارمند: مثل بقیه نام خانوادگی...
به همین راحتی مهاجم با روش مهندسی اجتماعی، اطلاعات محرمانه بسیار با ارزش سیستم بانکی را از کارمندی که تصور میکرد در حال مکالمه با مسئول شبکه سازمان است دریافت کرد، بعلاوه اینکه اکثر نامهای کاربری در اختیار مهاجم قرار گرفت:
username: alavi
password: Newversion2
Forwarded from علی کیائیفر
مهاجمان چند مرحله تا رسیدن به هدف فاصله دارند:
در مرحله اول تحقیقات اولیه، سپس جلب اطمینان و مرحله سوم دریافت اطلاعات و در نهایت سوء استفاده از اطلاعات که هدف بوده.
در مرحله اول تحقیقات اولیه، سپس جلب اطمینان و مرحله سوم دریافت اطلاعات و در نهایت سوء استفاده از اطلاعات که هدف بوده.
Forwarded from علی کیائیفر
واقعا فکر می کنید اگر فردا به همین روش کسی با سازمان شما تماس بگیرد کارمندان سازمان شما چقدر در برابر دادن اطلاعات به فرد مهاجم مقاومت می کنند؟
Forwarded from N
باعث میشه به راحتی با پیشنهادهایی اطلاعات از سازمانها خارج بشه
Forwarded from علی کیائیفر
یکی از کارمندان یکی از سرویس دهنده های Hosting در ایران، Email های بازرگانی و بازاریابی مشتریانش رو به رقبای مشتری می فروخت!
Forwarded from علی کیائیفر
اما پیاده سازی DLP نیاز به بلوغ سازمانی بالایی داره. سازمان هم باید هزینه کنه و هم جورش رو بکشه