بررسی دلایل تفاوت قیمت قابل توجه لایسنس محصولات مایکروسافت در ایران

/در /توسط

1- انواع محتلف لایسنس

یکی از مهمترین دلایل تفاوت قیمت قابل توجه و سردرگم کننده محصولات مایکروسافت در ایران ، انواع مختلف لایسنس های ارائه شده میباشند. توجه داشته باشید که قیمت محصولات ، نظر به نوع هر لایسنس متفاوت است.

بررسی انواع مختلف لایسنس میپردازیم:

لایسنس های: Retail
– این لایسنس ها مادام العمر بوده و هیچ گونه محدودیتی در زمان استفاده آن ها بر روی سیستم شما وجود ندارد.
– این لایسنس ها را می توان به دفعات بر روی سیستم خود نصب و راه اندازی کرده و در صورت پاک کردن نرم افزار خود می توانید مجددا آن را فعال سازی کنید .
– با تهیه ی این نوع از لایسنس ها می توانید حتی مادربرد خود را نیز تعویض نمایید . برای این منظور تنها کافی است پیش از تعویض مادربرد بوسیله نرم افزار Skype با قسمت Activation Center مایکروسافت تماس گرفته و یا با بخش پشتیبانی شرکت تماس حاصل کنید. به این ترتیب لایسنس شما بدون هیچگونه هزینه ای بر روی سیستم جدید قابل استفاده است .

لایسنس های: MSDN با یک بار فعال سازی

–این نوع لایسنس توسط مایکروسافت برای استفاده در شرکت های توسعه نرم افزار برای مقاصد تست، توسعه و طراحی محصول و با قیمت های پایین تر و محدودیت استفاده بیشتر ارائه می شود.
– این نسخه (لایسنس یکبار فعالسازی) قابلیت نصب و فعالسازی تنها یک مرتبه بروی یک سخت افزار را داراست، لازم به ذکر است نصب و فعالسازی مجدد حتی بروی سیستم اول نیز ممکن نیست، برای نصب مجدد شما تنها می توانید از سیستم خود Backup تهیه کنید آن را روی همان سیستم Restore کنید.

–هر گونه تغییر سخت افزاری (نظیر ارتقا قطعات سیستم) می تواند باعث از کار افتادن این نوع لایسنس شود، لایسنس های یکبار فعالسازی تنها بروی یک سیستم و با سخت افزار ثابت مادام العمر قابل استفاده هستند و برخلاف نسخه های (ریتیل) امکان فعالسازی مجدد را ندارند. ضمنا این لایسنس به صورت مادام العمر بوده و نیازی به هیچ گونه خرید مجدد به صورت سالیانه ندارد.

لایسنس های: (OEM)Original Equipment Manufacturer
– این لایسنس ها مادام العمر بوده و صرفا جهت استفاده بر روی سخت افزار مشخص یا دستگاه مشخصی به شرکت های تولید کننده سخت افزار(مانند کمپانی های تولید کننده لپ تاپ و سرور) ارائه می شوند .
-این نوع از لایسنس ها ویژه تولید کنندگان سخت افزار بوده و فروش عمومی آن توسط مایکروسافت به اشخاص، شرکت ها و سازمان ها انجام نمی شود.
-در صورت تعویض مادربرد و تغییر سخت افزار لایسنس غیر فعال می شود .
-در صورت پاک شدن ویندوز لایسنس امکان فعال سازی مجدد روی همان سیستم را دارد(در برخی از انواع نسخه های OEM تنها یکمرتبه اعتبار نصب و فعالسازی وجود دارد).
-این نسخه ها امکان دریافت پشتیبانی فنی مستقیم از مایکروسافت را ندارند و پشتیبانی محصول بر عهده تولید کننده سخت افزار (Manufacturer) می باشد.
-این نسخه ها امکان استفاده جهت آپگرید به نسخه های بعدی و یا بالاتر را نداشته و جهت نصب بایستی نسخه مرتبط با لایسنس مجددا به صورت Clean-Install نصب کردد.
– در ایران برخی سایت های متفرقه و بی اصالت به لایسنس های اشتراکی که به چندین نفر فروخته می شود OEM اطلاق می کنند، این لایسنس ها معمولا بعد از مدت کوتاهی (نهایتا یک سال) توسط مایکروسافت بلاک(مسدود) و ابطال می شوند.

لایسنس های: Open License Program (OLP)
– این لایسنس ها مخصوص شرکت ها و سازمان هایی هستند که قصد خرید لایسنس برای تعداد بالای سخت افزار را دارند.
متاسفانه در ایران تنها نوع خاصی از لایسنس های OLP به نام Academic و Charity به صورت غیر قانونی و بوسیله جعل مدارک مراکز آموزشی و یا خیریه (و معمولا از طریق واسطه هایی در کشور های همچون هند، امارات و …) جهت استفاده از تخفیفات مایکروسافت تهیه می شوند.
به دلیل غیر واقعی بودن مدارک خرید این گونه از لایسنس ها احتمال بلاک شدن و یا لغو خرید مشتری بعد از تحویل لایسنس وجود دارد، همچنین به دلیل روند طولانی این نوع سفارش معمولا تحویل لایسنس مشتری در کمتر از 3 تا 4 هفته ممکن نیست.
لازم به ذکر است برخلاف تصور معمول دسترسی به پنل لایسنس مشتری توسط واسطه سفارش دهنده و شرکت ارایه دهنده به سادگی مقدور بوده و همزمان تمام افراد درگیر در فرآیند سفارش می توانند به لایسنس مشتری دسترسی داشته باشند.
همچنین این نوع سفارش جهت خرید مستقیم سازمان ها از مایکروسافت بوده و به دلیل وجود تحریم های فعلی امکان خرید مستقیم نسخه های قانونی OLP از نوع Business توسط و یا به نام مشتری حقیقی و حقوقی مستقر در ایران به طور مستقیم مقدور نیست.

لایسنس های: Volume Licensing (VL)
-این لایسنس ها مخصوص شرکت ها و سازمان هایی هستند که قصد خرید لایسنس برای تعداد بالای سخت افزار را دارند.
لازم به ذکر است این نوع لایسنس با دفعات فعالسازی بالا و تعیین شده امکان نصب و فعالسازی جهت تعداد بالای سیستم را تنها به تعداد فعالسازی تعیین شده ممکن می سازد.
برای مثال لایسنس VL با 50 فعالسازی مجموعا امکان 50 مرتبه نصب و فعالسازی (بروی 1 تا 50 سیستم) را مقدور می سازد.

چگونه کانتینرها (Container) آینده امنیت سایبری را تغییر می‌دهند؟

/در /توسط

استفاده از کانتینرها به جهت توسعه سریع، امکان جابه‌جایی و پایداری سرویس در نرم‌افزارهای مدرن به طور روز افزون در حال افزایش است. با توجه به پیش بینی Gartner، تا سال ۲۰۲۵، ۸۵درصد از شرکت‌ها از Containerها در سرورهای اجرایی خود بهره‌ خواهند برد که این رقم در سال ۲۰۲۰ حدود ۳۰درصد است.

Containerها به صورت عمومی از زیرساخت محیط‌های سیستم‌عامل لینوکس استفاده کرده که با استفاده از این پلتفرم متن‌باز (open source)، منابع سیستم را در کنار قابلیت هایی مانند پایداری سیستم، هزینه پایین و کمک به امنیت و محافظت سایبری از طریق شخصی سازی برای محیط‌های ابری، امکان فوق العاده‌ای را به سازمان‌ها و شرکت‌ها ارائه می‌کند.

 

اما کانــتِــیــنِــرها (Container)ها چه چیزی هستند و چرا مهم هستند؟

بر اساس توضیحات مربوط در سایت Docker، کانینتر یک پکیج استاندارد از یک نرم افزار  که به همراه کد‌های نرم‌افزار، تنظیمات و کتابخانه‌های موجود، نیازمندی‌هایی که برای اجرای یک نرم‌افزار نیاز است، را یکجا در خود قرار داده‌است. این ترکیب نرم‌افزاری (Software Bundle) به توسعه‌دهندگان نرم‌افزار و افراد در حوزه IT امکانی را ارائه می‌کند تا پیاده سازی (deploy) کردن نرم‌افزارها را به راحتی  در محیط‌های مختلف، انجام دهند. همچنین این روند کار سرعت بسیار بالا، قابلیت جابجایی بالا و مقیاس پذیری (Scaability) سریعی را در پیاده‌سازی امنیت، را امکان‌پذیر می‌کند. با استفاده از این ساختار و چارچوب، سیاست‌ها و ابزارهای امنیتی با کارایی بالاتری در خصوص محافظت از یکپارچگی سیستم، اجرا و به طور کلی زنجیره تامین نرم افزار در یک کسب و کار، به اجرا گذاشته خواهند شد.

Containerها یک یا چند پروسه (process) هستند که به صورت مجزا از سایر اکوسیستم سیستم عامل در حال اجرا هستند. در شکل زیر مقایسه ماشین‌های مجازی (Virtual Machines) و کانتینرها نمایش داده شده‌است. کانتینرها از یک هسته سیستم عامل مشترک (در این مثال لینوکس) استفاده کرده و پروسه‌های یک نرم‌افزار را نسبت به یکدگیر ایزوله می‌کنند. تکنولوژی‌هایی مانند داکر (Docker) و Kubernates، امکان ایجاد و استفاده از این کانتینر‌ها را فراهم کرده اند به گونه‌ای که مانند یک ماشین مجازی با مصرف منابع بسیار پایین، راه‌اندازی سرویس‌های مختلفی را روی یک پلتفرم سخت افزاری و هسته سیستم عامل یکسان، امکان پذیر ساخت‌اند.

 

container vs virtual machine

 

این مدل، موارد استفاده مختلفی شامل،‌ دستگاه‌ها و سیستم‌عامل هدف مختلفی را پشتیبانی کرده و شرکت‌های بزرگ و کوچک را برای استفاده از آن ترغیب می‌کند. برخلاف ماشین‌های مجازی، نرم‌افزارهایی که از چندین کانتینر استفاده می‌کنند به راحتی در همه مدل‌های ابری شامل ابرخصوصی، هیبریدی و عمومی قابلیت پیاده سازی آسان و پایداری را در اختیار دارند.

 

امنیت کانــتِــیــنِــر چیست؟

محاظت از اکوسیستم کانتینرها شامل تمامی مراحل یک نرم‌افزار که از این زیرساخت استفاده می‌کند نیز می‌شود و امنیت کانتینرها به صورت مداوم و یکپارچه در حوزه امنیت گردش کار ابری (Cloud Workflow) بسیار پراهمیت است. به طور کلی امنیت مداوم زیرساخت کانتینرها برای یک سازمان به صورت زیر است:

  • ایمن سازی (روند تولید، تست، استفاده) Pipeline کانتینر و خود نرم افزار
  • ایمن سازی پیاده سازی کانتینرها و زیرساخت مورد‌ نیاز آن

دستیابی به سیاست‌های امنیتی و همچنین استفاده از چک لیست‌ها، اجازه مقیاس پذیری کانتینرها را از سازمان می‌گیرد. در واقع چالش‌های امنیتی مختلفی در زمان پیاده سازی امنیت کانتینرها وجود دارد. تیم امنیت اطلاعات باید نیاز استفاده از کانتینرها و زیرساخت محیط خود را متعادل کند. ابزارهای ایجاد نرم‌افزار و کتابخانه‌ها و ابزارهای اجرایی مورد نیاز آن ها باید از هم متمایز شوند. همچنین برای کسب اطلاعات بیشتر در خصوص امنیت کانتینرها از این سند در سایت رسمی بیت‌دیفندر می‌توانید استفاده نمایید.

 

راه‌کارهای امنیتی فعلی برای کانــتِــیــنِــرها

اخیرا شرکت بیت‌دیفندر، راهکاری با عنوان GravityZone Security for Containers را ارائه کرده که امنیت زیرساخت ابری (Cloud Workload Security) را بدون نیاز به نیازمندی به کرنل لینوکس (linux kernel) و همچنین containerها را با استفاده از تکنولوژی‌های بیت‌دیفندر محافظت می‌کند.

 

Container workflow - process including partner software

 

این نسخه جدید قابلیت‌هایی نظیر جلوگیری از تهدیدات، eXtended Endpoint Detection & Response (XEDR) و ضد Exploit برای سیستم عامل لینوکس را با افزایش دید و کنترل وسیع‌تر ادمین‌های امنیت و شبکه، از طریق پلتفرم یکپارچه GravityZone در محیط‌های ابری عمومی، خصوصی و هیبریدی ارائه می‌کند.

عدم وابستگی به کرنل لینوکس، به کسب و کارها این امکان را می‌دهد تا به آخرین نسخه توزیع‌های لینوکس، بدون تاخیری که به صورت عمومی در شرکت‌های تولید‌کننده راهکار امنیتی رخ می‌دهد، مهاجرت کرده و نگرانی برای امنیت خود نداشته باشند. برای مطالعه در خصوص محصول Bitdefener GravityZone Security for Containers اینجا کلیک کرده و در صورت نیاز به اطلاعات بیشتر با ما در تماس باشید.

آنتی ویروس بیت دیفندر سازمانی

چگونه بیت دیفندر شما را در مقابل باج افزارها محافظت می کند (بخش دوم)

/در , /توسط

در بخش اول این بلاگ به برخی از قابلیت های بیت دیفندر در خصوص لایه های مختلف بیت دیفندر در مواجهه با باج افزارها اشاره شد.

 

حملات باج افزارها، به عنوان یکی از جدی ترین تهدیداتی که در دنیای دیجیتال با آن ها سر و کار داریم بدل شده اند که همچنان هم بیشتر و هم پیچیده تر نیز شده اند.

هدف مجرمان سایبری بسیار ساده است: یافتن اهداف برای گرفتن دسترسی، دانلود و نصب بدافزار و رمزگذاری اطلاعات آن ها و جلوگیری از استفاده آن از سیستم هایشان! قربانیان باج افزار، معمولا باید به این مرحله از دست رفتن اطلاعات یا پرداخت باج فکر کنند.

 

آیا می توانید برای داده های خود قیمت تعیین کنید؟

بیشتر اطلاعات شخصی بر دو نوع خاطرات ارزشمند یا داده های مالی تقسیم می شوند. هرچند با توجه به اینکه امروز با توجه به شیوع ویروس کرونا، آشپزخانه و پذیرایی هم به اتاق کار ما بدل شده اند و دستگاه های ما حامل اطلاعات حساس کاری نیز شده اند.

 

چگونه از نحوه محافظت از داده ها و فایل های خود اطمینان حاصل کنیم؟

تکنولوژی ضدباج افزار بیت دیفندر، با جلوگیری از آلودگی به بدافزارها، تهدیدات مرتبط با باج افزارها که باعث رمزگذاری فایل ها می شوند را، دفع می کند. قابلیت Advanced Threat Defence – ATD به صورت مداوم تمامی برنامه های درحال اجرای سیستم را به جهت رفتارهایی مبنی بر رمزگذاری فایل ها را مانیتور می کند. ماژول ATD برای هدف گیری پروسس های مخرب و رفتار آن ها طراحی شده است. مثلا در صورتی که یک نرم افزار فایل hosts را تغییر دهد، خود را در دیگر پروسس ها تزریق کند، یا تلاش برای غیرفعال یا حذف آنتی ویروس کند. در این شرایط، ATD این پروسس را به عنوان یک پروسس مخرب که به سیستم آسیب می رساند، شناسایی کرده و متوقف می کند.

 

این تکنولوژی، با استفاده از روش های پیشرفته هوش مصنوعی باج افزارهای شناخته شده و حتی جدید را به صورت بلادرنگ شناسایی کرده و رفتارهای مخرب آن ها مانند رمزگذاری را پیش از شروع متوقف می کند. علاوه بر آن ATD از اطلاعات شبکه محافظت جهانی بیت دیفندر GPN به جهت توقف باج افزارهای جدید نیز بهره برده و شما را در خصوص رفتارهای مخرب به محض شناسایی مطلع خواهد ساخت.

 

Bitdefender Ransomware Remediationعلاوه بر موارد مذکور، قابلیت امنیتی ضدباج افزار بیت دیفندر، اطمینان پیدا می کند تا در صورتی که اسناد و فایل های حساس، توسط بدافزاری که توانسته همه قابلیت های امنیتی را دور بزند، حفظ شوند. این امر توسط قابلیت Ransomware Remediation انجام شده که امکان بازیابی فایل ها و داده های رمزشده را فراهم می کند. اگر یک نرم افزار مخرب فایل ها را رمزگذاری کند، یک نسخه پشتیبان از فایل های هدف، به صورت خودکار ایجاد خواهد شد و امکان بازیابی آن ها نیز با چند کلیک فراهم می شود.

 

برای محافظت از سیستم های خود، با استفاده از یک راهکار چندلایه شما می توانید از راهکارهای بیت دیفندر بهره برده و ریسک آلودگی به این باج افزارها را تا حد بسیار بالایی کاهش دهید.

آنتی ویروس بیت دیفندر سازمانی

چگونه بیت دیفندر شما را در مقابل باج افزارها محافظت می کند (بخش اول)

/در , /توسط

با نگاه به گزارشات تهدیدات سال 2020، متوجه می شویم که باج افزارها، به عنوان یک عنصر قابل مشاهده در زمان شیوع ویروس کرونا کاربران خانگی و سازمانی را به مخاطره انداخته اند.

کار از خانه یا دورکاری، واژه ای که این روزها به دلیل شیوع ویروس کرونا بیشتر به گوشمان می خورد و در همه جهان، همه این روش از کار را به عنوان روش جدید برگزیده اند که البته همین امر باعث شده تا مجرمان سایبری به دستگاه ها و شبکه های خانگی نفوذ کرده و باعث حملات زیادی باج افزاها شوند. گاها ممکن است که سطح پایین تر امنیت در شبکه های خانگی به این مجرمان گاها در سرقت یا دستکاری اطلاعات نیز کمک کرده است.

این ریسک حتی ممکن است که بیشتر هم بشود، چرا که کارمندان برای سهولت استفاده ممکن است به جای استفاده از دستگاه های شرکتی از دستگاه های شخصی برای انجام امور استفاده کنند.

Real-time Protection

حملات گسترده ای در سال گذشته میلادی در حوزه های مختلف مانند آموزش، مالی و … در صدر اخبار قرار گرفت، نشان دهنده این مهم است که مجرمان سایبری پشت باج افزارها، هرگز بین قربانیان خود تبعیض قائل نمی شوند. باید در نظر گرفت که آلودگی ممکن است در چندین ثانیه رخ دهد. کلیک بر روی یک لینک آلوده، سند و حتی با بازدید و دانلود ناخواسته از یک سایت مخرب به دلیل عدم وصله بودن مرورگر وب، همگی ممکن است در کسری از ثانیه شما را به دام این باج افزارها بیاندازد.

راهکار ضد باج افزار بیت دیفندر شما را درمقابل تهدیدات و حملات باج افزارها محافظت کرده و با دفع آن ها اطلاعات حساس شما را در مقابل سرقت یا تخریب محافظت می کند.

Bitdefender Shield به صورت بلادرنگ و دائمی، برای جلوگیری و توقف بدافزارها، شامل باج افزارها، طراحی شده است که با اسکن فایلها، ایمیل ها، امکان آلودگی به چنین تهدیداتی را کاهش می دهد. لایه های مختلف دفاعی در مقابل باج افزارها مانند Online Threat Prevention که ترافیک وب مانند HTTP و HTTPS را اسکن می کنند، با جلوگیری از ورود به وبسایت های مخرب، شما را از تهدیداتی از قبیل فیشینگ، کلاهبرداری، بدافزارها و حتی باج افزارها مصون می کند. این قابلیت بر روی مرورگرهای محبوب مانند Google Chrome, Safari و Mozilla Firefox به کاربر در زمانی که یک وبسایت مخرب را باز می کند، هشدار می دهد.

 

web attack prevention

 

لایه دیگر محافظتی Network Threat Prevention است که مسئولیت توقف حملات پیش از نفوذ به حفره های امنیتی سیستم شما را بر عهده دارد. این لایه با شناسایی و متوقف کردن حملاتی مانند Brute-Force، اسکنرهای پورت، از نشر اطلاعات حساس سازمان شما که توسط Botnetها اقدام به اسکن اطلاعات، می کنند، خنثی می کند. این Botnetها به صورت مداوم در حال اسکن شبکه ها برای پورت ها باز و درصورت شناسایی سرویس های شبکه حاوی حفره امنیتی، شروع به توزیع باج افزار و تروجان می کنند. که قابلیت Network Threat Prevention سیستم شما را در مقابل چنین تهدیداتی محافظت می کند.

 

network threat preventionاز آنجایی که کاربری خانگی و شرکتی روزانه به سمت دیجیتال تر شدن پیش می رود، الان صحبت بر رسر “اگر” یا “کی” دستگاه ها یا شبکه ها تحت تاثیر حملاتی سایبری قرار می گیرند، نیست. یک تهدید واقعی و منسجم یک باج افزار می تواند بیشتر سیستم عامل ها را تحت تاثیر قرار داده و آلوده کند.

برای محافظت از سیستم های خود، با استفاده از یک راهکار چندلایه شما می توانید از راهکارهای بیت دیفندر بهره برده و ریسک آلودگی به این باج افزارها را تا حد بسیار بالایی کاهش دهید.

فاز دوم دفاعی SOC – شناخت شناسه های تهدیدات سایبری

/در , , /توسط

شناسه ­های تهدید

 در فاز اول ساختار SOC، سطح اولیه شناخت از حمله‌ها و گام‌های ضروری برای شکستن زنجیره حمله را بررسی کردیم. در این مقاله در مورد فازهای SOC و سطح پیشرفته محافظت از سازمان در برابر شناسه های تهدید مختلف صحبت خواهیم کرد. در گذشته وقتی صحبت از ویروس میشد، منظورمان یک فایل با  ‘exe’ و تعدادی پاپ آپ بود. بسیاری از ویروس های ساخته شده توسط بچه اسکریپتی ها بود و که باعث هیچ ضرری به هیچ کامپیوتری نمی شدند.

اما بدافزار امروزی توسط بچه اسکریپتی ها ساخته نشده، بلکه آنها توسط شرکت هایی برای کسب درآمد توسعه یافته‌اند و پشت هر بد افزار ساخته شده، هدف­ها و انگیزه هایی وجود دارد.

خانواده‌ی بدافزارها در دسته بندی های : ویروس/ Worm/ PUP/ جاسوس افزار/ نرم افزارهای تبلیغاتی/ ویروس چند شکلی/ آنتی ویروس تقلبی/ ویروس محافظ صفحه، وجود دارند. اینها تأثیر زیادی ایجاد نخواهند کرد یا انگیزه‌ی تجاری، پشت‌شان وجود نخواهد داشت.

شناسه‌های تهدید

اما امروزه شناسه‌های تهدید و بد افزارهای مدرن با روش های بی همتای کدگذاری، بسیار گسترده تر هستند، امروزه بدافزارها قابلیتهای درون ساختی مانند دانلود قسمت های اضافی کدهای مخرب، نفوذ به اطلاعات، برقراری ارتباطات خارج از سرورها، پاک کردن اطلاعات، رمز گذاری فایل ها و بسیاری از موارد دیگر را دارند.

بدافزار امروزی با دستور، انگیزه، هدف مالی و… ساخته شده اند.

خانواده نرم‌افزارهای مدرن این موارد است: تروجان‌ها/ روت کیت/ بات/ بات نت/ بدافزار POS/ بدافزار ATM/ باج افزار/ بدافزار رمز گذاری/ ربات جاسوسی/ Wiper/ تروجان CnC/ اکسپلویت کیت/ مرورگر هایجک/ دزد هویت نامه/ RAT/ WMI Backdoors/ Skeleton Key / کی لاگر و…

 

 

شناسه های تهدید،توسط مجرمان سایبری مورد استفاده قرار گرفته اند تا حمله سایبری‌شان را روی سازمان شما اجرا کنند.

 

بنابراین فهم اولیه از تهدیدات مدرن، برای هر گروه SOC ضروری می شود. فهم شناسه‌های تهدید در نظارت SOC خیلی مهم‌تر است.

SOC باید بداند که دارد با چه چیزی معامله می کند، باید عملکرد را بفهمد، باید الگو را متمایز کند، باید انواع انتشارات مختلف توسط جامعه هکر ها را بشناسد و همچنین تیم SOC باید روش‌های مدیریت بدون هیچ گونه اختلال را بداند‌.

شناسه های تهدید، انواع مختلف بدافزار/ اسکریپت‌ها/ برنامه‌های آسیب پذیر که از آنها استفاده مخرب میشود/ ابزارهای ویندوز و شبکه است که توسط مجرمان سایبری مورد استفاده قرار گرفته اند تا حمله سایبری‌شان را روی سازمان شما اجرا کنند.

 

این قابلیت‌ها می توانند به این صورت طبقه بندی شوند:

۱) دسترسی اولیه – حمله کنندگان برای به دست آوردن جایگاه اولیه در یک شبکه سو استفاده می کنند.

۲) اجرا- اجرای کد کنترل شده توسط حمله کننده در یک سیستم محلی یا از راه دور.  این تاکتیک اغلب به همراه دسترسی اولیه به عنوان ابزاری برای اجرای کد، بعد از رسیدن به دسترسی و سپس حرکت فرعی برای توسعه‌ی دسترسی به سیستم های از راه دور  در یک شبکه استفاده می شود.

۳) ماندگاری – ماندگاری عبارت است از هرگونه دسترسی، اقدام یا تغییر پیکربندی در یک سیستم که به دشمن امکان حضور مداوم در آن سیستم را می دهد.

دشمنان اغلب نیاز به دسترسی به سیستم ها از طریق ایجاد وقفه هایی مانند راه اندازی مجدد سیستم ، از دست دادن اعتبارنامه یا سایر خرابی ها دارند که برای راه اندازی مجدد آنها نیاز به یک ابزار دسترسی از راه دور باشد.

۴) افزایش امتیازات – افزایش امتیازات نتیجه اقداماتی است که به یک دشمن اجازه می دهد تا سطح بالاتری از مجوزها را در یک سیستم یا شبکه بدست آورد.  ابزارها یا اقدامات مشخصی برای اجرای عملکردشان، به سطح بالاتری از امتیازات نیازمندند و احتمالاً در بسیاری از نقاط طی عملیات ضروری هستند.

مهاجمان می توانند به سیستمی که فاقد دسترسی و امتیاز ویژه ای است  وارد شوند و از ضعف سیستم برای دستیابی به مدیر محلی یا سیستم بهره ببرند.

راه‌های زیادی وجود دارد که یک مهاجم بتواند هدایت و کنترل را با سطوح متعددی از پنهان بودن ایجاد کند.

۵) دور زدن دفاع- دور زدن دفاع شامل تکنیک هایی است که یک دشمن ممکن است برای فرار شناسایی شدن یا جلوگیری از سایر دفاع ها استفاده کند.  بعضی اوقات این اقدامات شبیه یا متفاوت از تکنیک‌های سایر طبقه‌بندی‌هایی است که مزیت اضافی واژگونی دفاع یا کاهش اثر معین را دارا هستند.

۶) دسترسی هویتی- دسترسی هویتی تکنیک هایی را که منجر به دسترسی یا کنترل هویت نامه سیستم، دامنه یا سرویس که در یک محیط سازمانی استفاده می شود را نشان می­دهد.

مهاجمان احتمالاً قصد خواهند داشت که هویت نامه‌های مجاز کاربران یا حساب‌های مدیر (مدیر سیستم محلی یا کاربران دامنه با دسترسی مدیر)را برای استفاده در شبکه به دست آورند.

۷) کشف- کشف شامل تکنیک هایی است که به مهاجم اجازه می دهد تا اطلاعات سیستم و شبکه داخلی را به دست آورد.

وقتی مهاجمان به یک سیستم جدید دسترسی پیدا می کنند، باید خود را در جهت آن چه که اکنون روی آن کنترل دارند و همینطور سودی که عملکرد آن سیستم به مقصود فعلی یا اهداف کلی آنها در حین نفوذ می‌دهد، قرار دهند.

۸) حرکت جانبی- حرکت جانبی شامل تکنیک هایی است که یک مهاجم را قادر می سازد به سیستم های از راه دور در یک شبکه، دسترسی و کنترل داشته باشد و می تواند شامل اجرای ابزارها در سیستم های از راه دور هم بشود اما نه لزوماً.

تکنیک‌های حرکت جانبی این اجازه را به یک مهاجم می‌دهد که بدون نیاز به ابزارهای اضافی، مانند ابزار دسترسی از راه دور، اطلاعات را از سیستم گردآوری کند.

۹) جمع آوری داده‌ها- جمع آوری داده‌ها شامل تکنیک هایی است که برای تشخیص و جمع آوری اطلاعات، مانند فایل‌های حساس، از یک شبکه هدف، قبل از استخراج استفاده می شود. همچنین مکان‌هایی را در یک سیستم یا شبکه در بر می گیرد که ممکن است مهاجم به دنبال استخراج اطلاعات از آن باشد.

۱۰) سرقت یا دسترسی به اطلاعات کامپیوتری- به تکنیک ها و ویژگی‌هایی گفته می شود که منجر به حذف فایل‌ها یا اطلاعات از یک شبکه هدف، توسط مهاجم می شود یا به این کار کمک می‌کند.

همچنین مکان‌هایی را در یک سیستم یا شبکه در بر می گیرد که ممکن است مهاجم به دنبال استخراج اطلاعات از آن باشد.

 

۱۱) هدایت و کنترل – تاکتیک هدایت و کنترل نشان دهنده این است که چگونه مهاجمان با سیستم های تحت کنترل‌شان در یک شبکه ارتباط برقرار می‌کنند.

 

امروزه شناسه‌های تهدید و بد افزارهای مدرن با روش های بی همتای کدگذاری، عظیم و گسترده تر هستند.

 

راه‌های زیادی وجود دارد که یک مهاجم بتواند هدایت و کنترل را با سطوح متعددی از پنهان بودن، بسته به پیکربندی سیستم و ساختار شبکه، ایجاد کند.

با توجه به سطوح گسترده تنوع که برای مهاجم در سطح شبکه در دسترس است، فقط از رایج‌ترین فاکتورها برای توصیف تفاوت‌ها در هدایت و فرمان استفاده شد‌.

در زیر انواع مختلف خانواده‌ی بدافزار که به عنوان ناقلان حمله باعث نویز بیشتر در شناسه‌های تهدید می شوند را میتوانید مشاهده کنید. این لیست کامل نیست، فقط نمونه ای از انواع مختلف منتشر شده است.

 

نتیجه- شناسه‌های تهدید

چرا باید نگران بدافزارها و عملکردهای آن باشم؟

ما باید نگران باشیم! چون بدافزارهای مدرن روشهایی خاص برای انتشار، با ساختار دستوری پیچیده‌تر دارند که قدرت در اختیار گیری آن‌ها بیشتر است‌.

در مورد هر بدافزاری که با آن روبرو هستید، مسئولیت تیم AV سازمان شما نیست (که با آن مقابله کند)، بلکه مسئولیت اصلی SOC است که عملکرد آن و قابلیت‌های آن‌ها را برای نفوذ در شبکه شما بفهمد.

اکثر آن‌ها تنها نخواهند بود، در بیشتر موارد آنها گروهی کار می کنند تا کارشان را عملی کنند.

در مورد هر بدافزاری که با آن روبرو هستید، مسئولیت اصلی SOC است که عملکرد آن و قابلیت‌های آن‌ها را برای نفوذ در شبکه شما بفهمد.

 

 

اولین فاز دفاعی SOC – درک زنجیره حمله سایبری -رویکرد دفاعی با / بدون SOC

/در , /توسط

این مقاله به شما کمک می کند تا تهدیدات سایبری مدرن و رایج ترین سطوح حمله استفاده شده پشت هر گونه حمله بدافزار/سایبری را بشناسید. در بیشتر مواقع، حملات سایبری در مراحل مختلفی اتفاق می افتد. بنابراین تیم سایبری باید الگوها و زنجیره حمله را بشناسد.

بنابراین شکستن زنجیره حمله و جلوگیری از مجرمان به قصد متوقف کردن هدفشان، تاثیر بد تجاری از بین رفتن اطلاعات را کم میکند. این کار بصورت صد در صدی مراحل دفاعی را برای سازمان شما فراهم نمی کند.

 

این کار اطلاعات مختصری در مورد ناقلان حمله فراهم می‌کند و اینکه هر تیم SOC باید یک مکانیسم دفاعی برای آن بسازد تا مرحله اولیه نظارت امنیتی را داشته باشد. این گام‌ها می‌تواند توسط هر تیم امنیت شبکه یا صنایعی با مقیاس کوچک یا شرکت‌های کوچکتر که نمی‌توانند SOC تهیه کنند، پیروی شود تا به آنها کمک کند که به وسیله آن، دیوار دفاعی بسازند.

در بیشتر مواقع، حملات سایبری در مراحل مختلفی اتفاق می افتد.

 

۳ واقعیت اساسی که باید به ذهن بسپارید:

مجرمان اینترنتی همیشه جلوتر از کنترل های امنیتی برنامه ریزی می کنند.

۱) هر چیزی را به آسانی به حمله کننده ندهید، کار را برای او سخت کنید. ( اقدامات کنترلی در شبکه)

۲) برنامه‌های آسیب پذیر مجاز را در صورت عدم استفاده فعال نکنید، حمله کنندگان همیشه از برنامه های مجاز در شبکه استفاده می کند. ( سو استفاده از  LOLBins)

۳) فکر نکنید که حمله کنندگان، فقط یک بخش از یک کد واحد را ایجاد می کنند، آنها همیشه به مراحل حمله با دستورالعمل ها و قابلیت های گوناگون متکی هستند. (زنجیره کشتار سایبری)

 

بنابراین، مکانیسم دفاعی که می‌سازید، باید بر اساس محیط تان باشد.

) دفاع در برابر ورود بد افزار-( وارد شدن به شبکه سازمان تان)

۲) اگر بد افزار با موفقیت وارد شد، چگونه قرار است از حرکات جانبی و ماندگاری آن دفاع کنید؟-(حرکت به درون شبکه سازمان‌تان)

۳) اگر حمله کننده، همه فعالیت هایش را کامل کند، مرحله نهایی او استخراج داده یا نفوذ خواهد بود. ( ترک از شبکه سازمان‌تان)

نکته کوچک: این زنجیره کشتار سایبری نیست، یک فاز اساسی از حمله است.

بیایید مراحل را تجزیه کنیم و از مکانیسم های دفاعی آن در برابر ناقلین آلودگی رایج مطمئن شویم.

 

مکانیسم دفاعی که می‌سازید، باید بر اساس محیط تان باشد.

 

 

 

 مرحله۱: دریافت بدافزار/ هرزنامه

در هر سازمانی، فایروال/ IPS و  راه های ورودی ایمیل، نقش مهمی برای دفاع در برابر ورود بدافزار به سازمان شما دارند. اما اخیراً این تکنیک ها به آسانی توسط حمله کنندگان سایبری، مغلوب می‌شود. حمله‌های سایبری امروزی شامل یک مرحله نیستند آنها بد افزار را در هر سازمانی، در مراحل مختلف آلودگی ، پخش می کنند. در ابتدا حمله کنندگان قربانی را فریب می‌دهند تا روی هر گونه آدرس اینترنتی غیرمخرب کلیک کند و آن را به یک CnC منتقل می کند و پی لود مخرب خود را آزاد میکند. این مراحل نمی‌توانند توسط سیستم‌های دفاعی سنتی مسدود شوند.

دو راه اساسی: ۱) پخش ایمیل- هرزنامه، فیشینگ هدفدار، کمپین‌های ایمیل. ۲)نقاط ورودی RDP

الف) پیوست های ایمیل رایج مورد استفاده در بیشتر کمپین های ایمیل

  1. vbs (VBS فایل اسکریپت)

2 .js (فایل جاوا اسکریپت)

3 .exe (اجرا شدنی)

4 .jar (فایل آرشیو جاوا)

5 .docx ، .doc ، .dot (اسناد آفیس)

6 .html ، .htm (فایل‌های صفحه وب)

7 .wsf (فایل اسکریپت ویندوز)

8 .pdf

9 .xml (فایل اکسل)

 

10.rtf (فایل با فرمت متن غنی، استفاده شده توسط آفیس)

پیوست ایمیل که ناخواسته و غیر مجاز هستند را بلاک کنید. جیمیل این افزونه ها را بلاک کرد و می‌تواند در سازمان شما هم بلاک شود.

ade, .adp, .bat, .chm, .cmd, .com, .cpl, .dll, .dmg, .exe, .hta, .ins, .isp, .jar, .js,.jse, .lib, .lnk,.mde, .msc, .msi, .msp, .mst, .nsh .pif, .scr, .sct,.shb, .sys, .vb, .vbe, .vbs, .vxd, .wsc, .wsf, .wsh

ب) کارکنان را برای اجرای اسکریپت ها در نقطه پایانی مرحله محدود کنید.

ج) آگاهی کاربر از ایمیل های هرزنامه و آموزش های مناسب به کاربران

در هر سازمانی، فایروال/ IPS و  راه های ورودی ایمیل، نقش مهمی برای دفاع در برابر ورود بدافزار به سازمان شما دارند.

RDP – پروتکل دسکتاپ از راه دور (پورت ۳۳۸۹) که سرورهای اتصالات RDP آسیب پذیر را شناسایی می‌کند، به لطف ابزارهای اسکن مانند شودان (Shodan)  و مس اسکن (masscan) به طرز شگفت آوری آسان شده است.

به همین دلیل به سادگی، مسئله فقط استفاده از ابزارهای جستجوی فراگیر(بروت فورس) مانند NLBrute برای شکستن هویت نامه‌های RDP و حمله‌کنندگانی که در آن هستند، می‌باشد. از طرف دیگر حمله کنندگان  می‌توانند به راحتی به DarkMarket xDedic زیر زمینی بروند، جایی که دسترسی به سرور های آلوده می تواند فقط ۶ دلار هزینه داشته باشد.

RDP تبدیل به یک ناقل آلودگی مورد علاقه، برای مجرمان باج افزار شده است، به خصوص با باج افزارهایی نظیر سم سم، کرایسیس، لاک کریپت، شِید، آپوکالیپس و انواع مختلف دیگر که همه وارد عمل می‌شوند.

. مکانیسم دفاعی سوء استفاده از RDP:

. دسترسی با فایروال ها را محدود کنید.

. از پسورد (رمز عبور)های قوی و 2FA/MFA استفاده کنید.

. کاربرانی که می توانند با استفاده از RDP وارد سیستم شوند را محدود سازید.

. برای مقابله با حملات جستجوی فراگیر، سیاست قفل حساب را تنظیم کنید.

 

مرحله۱-الف: ‏بازیابی پی لودها از سرورهای کنترل و فرمان

در نسخه های اخیر، ایمیل ها گزینه های مناسبی برای حمله کنندگان سایبری هستند که قربانی را فریب دهند تا روی هر لینک مخربی با تصاویر یا کلمات جذاب کلیک کند. در برخی موارد، ایمیل اولین طعمه برای فریب قربانی است تا همه‌ی اسکریپت ها را از طریق ایمیل اجرا کند که خود باعث سوء استفاده از برنامه های کاربر و دانلود هر گونه پی لود در مرحله دوم آلودگی می‌شود. غیرفعال کردن یا محدود کردن آن منابع مجاز در دانلود فایل‌ها از اینترنت می تواند به جلوگیری از دریافت پی لودها کمک کند.

حمله کنندگان سایبری همیشه دوست دارند از برنامه های مجاز مایکروسافت آفیس برای دستیابی به اهدافشان سوء استفاده کنند. زیرا:

۱) برنامه های آفیس در سطح جهانی پذیرفته شده‌اند. بیشترین نام های مورد استفاده توسط حمله کنندگان در پیوست یک ایمیل (فاکتور، گزارش ها، ترازنامه، اسناد و مناقصه ها) است.

۲) برنامه های آفیس براحتی مسلح می شوند. قابلیت‌های درون ساختی مایکروسافت توسط حمله شوندگان جذب می‌شود و از آن‌ها به روش های متعددی استفاده میکنند.

 

 

چگونه حمله کنندگان برای انتقال پی لودها از برنامه‌های مایکروسافت سوء استفاده می‌کنند؟

الف) ماکروها – غیرفعال یا محدود کردن

ب) پیوند دادن و جایگذاری (OLE)-محدود یا غیرفعال کردن

ج) تبادل پویای داده (DDE)- این عملکرد از word برداشته شود ، هنوز نیاز است که در Excel و Outlook هم غیر فعال شود.

د) بهره برداری از ویرایشگر معادله– CVE-2017-11882 – این عملکرد، در به روز رسانی امنیتی ویندوز در ژانویه ۲۰۱۸ برداشته شد.

نه فقط برنامه های مایکروسافت آفیس، حمله کنندگان همچنین از برنامه های مجاز و ابزارهای درون ساختی ویندوز، برای انتقال پی لود ها استفاده می کنند.

الف) VBS اسکریپت و جاوا اسکریپت- اگر احتیاج ندارید غیرفعال کنید.

ب) پاورشل-غیرفعال کردن یا کاهش قابلیت ها با استفاده از قفل برنامه یا سیاست محدودیت نرم افزاری ویندوز  (SRP)

ج) سو استفاده از certutil.exe, mshta.exe, regsvr32.exe, bitsadmin.exe and curl.exe- بلاک کردن برنامه ها و بلاک کردن ایجاد درخواست های خارجی

در میان برنامه های مجاز، این موارد می‌تواند برای ایجاد لیست سفید برنامه استفاده شود: هم بلاک کردن و هم تحت کنترل گرفتن توصیه می شود.

 

   ایمیل ها گزینه های مناسبی برای حمله کنندگان سایبری هستند که قربانی را فریب دهند تا روی هر لینک مخربی با تصاویر یا کلمات جذاب کلیک کند.

 

مرحله۲: مطمئن شوید که بد افزار در سازمان اجرا یا پخش نمیشود.

 

به طور معمول سازمان ها به آنتی ویروس (AV)  برای جلوگیری از اجرای بد افزار تکیه می‌کنند.

حمله ها برای نادیده گرفتن/ دور زدن AV توسعه یافته اند. برای اثرگذار بودن، نرم‌افزار محافظت نقطه پایانی، باید از یادگیری ماشینی برای تجزیه و تحلیل هوشمندتر فایل و از تجزیه و تحلیل فعالیت سیستم در زمان واقعی برای تشخیص و بلاک رفتارهای مخرب استفاده کند.

 

لیست سفید برنامه لایه دفاعی خوب دیگری است که نگهداری آن می­تواند مشکل باشد. حمله کنندگان همچنین می توانند با تزریق کد مخرب به فرایندهای تایید شده، لیست سفید و AV را دور بزنند.

حمله کنندگان همچنین می توانند بسیاری از روش‌های AV/NGAV را با تزریق کد مخرب به فضای حافظه‌ی یک فرایند مجاز، دور بزنند، بنابراین امتیازات آن را می‌ربایند و تحت قالب آن عمل می‌کنند.

 

انواع مختلفی از تکنیک‌های تزریق مخرب وجود دارد که حمله‌کنندگان می‌توانند به کار ببرند؛ تزریق DLL، تزریق DLL انعکاسی، فرایند تو خالی، فرآیند دوپلگنگینگ، بمب گذاری اتم و…

دفاع در برابر اجرای بد افزار در محیط شما شامل این موارد است:

۱) محافظت نقطه پایانی

۲)لیست سفید برنامه

۳) اگر ممکن است استفاده کاربران از اسکریپت‌ها را محدود یا قطع کنید.

۴) کنترل ویندوز به وسیله فولدرها

۵) برای جلوگیری از تکنیک های تزریق، فرآیندهای نظارت و تماس های API را به کار بگیرید.

حمله ها برای نادیده گرفتن/ دور زدن AV (آنتی ویروس) توسعه یافته اند.

 

مرحله۳: مطمئن شوید در/ بعد از مرحله آخر از زنجیره حمله، به اطلاعاتتان نفوذ یا استخراج نشده باشد.

وقتی حمله کنندگان اولین دسترسی را پیدا کردند، توجه‌شان به فعالیت‌های بعد از بهره ‌برداری جلب می‌شود. برای ادامه عملکرد توسط ردیاب، حمله کنندگان ترجیح می‌دهند که قانع باشند و از ابزارهای مجاز و فرآیندهایی که قبلاً در سیستم وجود داشت استفاده کنند.

حمله کنندگان می توانند از عملکردها و ابزارهای سیستم سوء استفاده کنند و نقاط بارگذاری متعددی ایجاد کنند، از جمله ذخیره کردن اسکریپت ها در رجیستری.

تعداد زیادی از انواع مختلف بد افزارها طراحی شده‌اند که برای تکثیر خودکار، اغلب از ابزارهای اجرایی از راه دور سوء استفاده کرده­اند.

استراتژی سوء استفاده از برنامه های مجاز و عملکردهای درون‌ ساختی، به منظور عملی کردن فعالیتهای مخرب بدون اعلام جنگ است. بعضی از ابزارهای بسیار رایجی که مورد سوء استفاده قرار گرفته‌اند، این موارد است: پاورشل، ابزارهای مدیریتی ویندوز (WMI) و ابزارهای مدیریتی از راه دور مانند PsExec.

تکنیکهای حمله کنندگان و مکانیسم های دفاعی:

۱) سوء استفاده از برنامه هایی که برای ارتقای خودکار طراحی شده است.

الف) هر موقع که ممکن است، از بالاترین سطح اجرایی UAC استفاده کنید.

ب) حالت تایید ادمین را فعال کنید.

ج) کاربران را از گروه ادمین محلی بردارید.

۲) سرقت DLL

الف) نرم افزار محافظت نقطه پایانی

ب)به DLL‌های از راه دور، اجازه بارگذاری ندهید.

ج) حالت جستجوی DLL ایمن را فعال کنید.

۳) بهره‌برداری‌های افزایش امتیاز (دزدی رمز، افزایش آسیب پذیری آدرس دهی عنصر اطلاعاتی NULL، تنظیم توصیف‌گر امنیتی بر روی NULL و…)

الف) نرم افزار محافظت نقطه پایانی با فضای کاربر، فضای هسته اصلی و سطح دید CPU

۴) استخراج اعتبار

الف) فعال کردن حافظه پنهان

ب) با استفاده از قفل برنامه، پاورشل را محدود یا غیرفعال کنید.

ج) حداقل ایمنی را ایجاد کنید، از اشتراک هویت‌نامه خودداری کنید.

د) محافظت نقطه پایانی که از LSASS و سایر ذخیره‌‌های هویتی محافظت می کند.

۵) تکنیک حرکت فرعی ( سو استفاده از ابزارهای مدیریتی از راه دور و…)

الف) پیشنهادات تنظیمات UAC

ب) بهترین روش های تقسیم شبکه (منبع: SANS)

ج) احراز هویت دو عاملی

۶) پنهان کردن اسکریپت‌های مخرب در رجیستری

الف) با اجرای خودکار نظارت کنید.

۷) ایجاد تسک‌های برنامه ریزی شده مخرب

الف) بر رویداد ID 4698 ارتباط امنیتی ویندوز نظارت کنید.

۸) سوء استفاده از WMI برای ترغیب اجرای اسکریپت ها بر اساس رویدادها (در راه اندازی و…)

الف) سابسکرایبشن‌های رویداد WMI دفاعی بسازید.

ب) اگر ممکن است یک پورت ثابت برای WMI از راه دور تنظیم کرده و آن را مسدود کنید.

استراتژی سوء استفاده از برنامه های مجاز و عملکردهای درون‌ ساختی، به منظور عملی کردن فعالیتهای مخرب بدون اعلام جنگ است.

نتیجه

همه این متن در مورد فهم اولیه در مورد این موضوع است که با چه نوع رفتاری از ناقلان و سطوح حمله ممکن است در سازمان مواجه شویم و در مرحله اول یک دیوار دفاعی بسازیم.

این کار برای شما ایمنی صد درصدی در مقابل همه رفتار ها ایجاد نمی‌کند، روش های نوظهور و تک و ارتباط بیشتری در الگوهای بد افزار در حال پدیدار شدن است. بنابراین باید مطمئن شویم که در مقابل حملات سایبری الگوهای شناخته شده، بر اساس توصیه های آمده شده در بالا، از قبل ایمن شده‌ایم.

به یاد داشته باشید؛ “وقتی مدافعان یاد میگیرند، مجرمان رشد میکنند.”

شما می توانید برای به روز رسانی های روزانه سایبری، ما را در لینکدین، توئیتر و فیسبوک دنبال کنید.

به یاد داشته باشید؛ “وقتی مدافعان یاد میگیرند، مجرمان رشد میکنند.”

منبع

تشخیص و پاسخ گسترده چیست و چه مزایایی دارد؟آیا می‌خواهید با XDR شروع کنید؟

/در , , , /توسط

هر سه تا پنج سال یک‌بار، یک اصطلاح جدید فناوری امنیت سایبری به ‌شدت مورد استقبال قرار می‌گیرد. در سال 2021 نوبت به فناوری تشخیص و پاسخ گسترده (XDR) رسیده است. سال 2017، زمانی که فناوری تشخیص و پاسخ به نقطه پایانی (EDR) به‌عنوان «جام مقدس» در دفاع سایبری معرفی شد را به یاد می­آوریم.

فن آوری EDR در نسخه بیت دیفندر  الترا استفاده شده است.

قرار بر این بود EDR به حل همه چالش‌های امنیت سایبری ما بپردازد. پذیرندگان اولیه می‌توانستند این پتانسیل را ببینند، اما کاستی‌های متداولی را نیز تجربه کردند. EDR به‌ویژه از دقت پایین و سایر مشکلات عملکردی رنج می‌برد که در بسیاری از موارد منجر به هشدارهای حادثه غیر واقعی برای تیم‌های آماده‌سازی و در نتیجه کمبود نیروهای امنیتی برای مقابله با آن‌ها می‌شد.

با گذشت زمان EDR رشد پیدا کرده و در حال حاضر ارزش خود را ثابت کرده است. امروزه EDR یکی از مؤلفه‌های اصلی یک ساختار امنیتی جامع است و به‌ویژه هنگام مبارزه با حملات هدفمند و پیچیده از اهمیت ویژه‌ای برخوردار میشود. اگرچه تجربه EDR نشان داده است ،تلاش‌های پیشگیرانه را همان‌طور که در ابتدا نیز بیان شده بود منسوخ نکرده است. درواقع، این امر نیاز به تمرکز بیشتر بر پیشگیری، برای کاهش تعداد حوادث امنیتی شناسایی‌شده توسط EDR را برجسته کرده است. نسل اول راه‌حل‌های EDR در اعمال همبستگی رویدادهای امنیتی، فراتر از یک نقطه پایانی (endpoints) دارای محدودیت بود. این محدودیت بار تشخیص حملات پیچیده را بر عهده تیم‌های فناوری اطلاعات و عملیات امنیت می‌گذاشت.

تشخیص و پاسخ گسترده

تشخیص و واکنش گسترده (xEDR) دو مورد اصلی را علاوه بر آنچه در حال حاضر با EDR داریم، بهبود می‌بخشد:

  • همبستگی رویداد در سطح سازمانی برای کاهش دیدگاه پراکنده از حوادث پیچیده امنیتی
  • افزودن منابع بیشتر علاوه بر نقاط پایانی، مانند منابع شبکه برای ایجاد تصویری بزرگ‌تر از حملات

درحالی‌که این فناوری ازلحاظ تئوری، ساده و عالی به نظر می‌رسد اما در عمل انجام این پیشرفت‌ها به‌خصوص در یک زمان، ساده نیست. پذیرندگان اولیه XDR و تحلیل گران صنعت به‌طور یکسان، توانایی xEDR را در تشخیص و پاسخ -تأیید می‌کنند اما در مورد آن هشدارهایی نیز ارائه می‌دهند. اغلب نگرانی‌ها مربوط به عدم بلوغ راه‌حل، عدم وجود استانداردهای صنعت ازنظر ویژگی‌های الزامی و ترس از گیر افتادن با یک فروشنده امنیتی برای مدت طولانی استاست. البته همه این موارد خطراتی است که برای دسته‌ای از راه‌حل‌ها که هنوز در حال رشد و ظهور هستند، انتظار می‌رود.

همچنین، آنچه تاکنون واقعاً بخشی از بحث نبوده است، میزان استفاده مؤثر از راه‌حل‌های XDR توسط سازمان‌هایی است که تیم‌های عملیاتی امنیتی قابل‌توجهی ندارند (این موضوع به‌ویژه در مورد مشاغل متوسط ​​و کوچک صادق است).

با توجه به اینکه -فروشندگان xEDR، با قابلیت‌های اصلی مختلف (امنیت شبکه، امنیت نقطه پایانی، SIEM) در حال  ارائه خدمات به سازمان‌هایی با اندازه‌های مختلف هستند، هنوز مشخص نیست که چه تعداد و چه نوع کارمندی برای اجرای مؤثر راه‌حل‌های جدید موردنیاز است.

بنابراین، یک سؤال واقع‌گرایانه وجود دارد که ارزش پرسیدن دارد: آیا راهی وجود دارد که از مفاهیم XDR به روش قابل‌هضم‌تری استفاده کرد؟ چگونه می‌توان از EDR به XDR رشد کرد درحالی‌که کارمندان امنیتی اختصاصی بیشتری اضافه نکرد یا بر کارکنان موجود فشار وارد نکرد؟ XEDR یک گزینه عالی برای شروع است.

XEDR (تشخیص و پاسخ نقطه پایانی گسترده) چیست؟

XEDR (تشخیص و پاسخ نقطه پایانی گسترده) قابلیت‌های EDR، مانند تجزیه‌ و تحلیل امنیت و همبستگی رویدادهای امنیتی در سطح سازمانی، که به‌طور طبیعی در EDR به کار میرود، را دارد. XEDR مرزهای تجزیه‌وتحلیل امنیتی را فراتر از نقطه پایانی خود گسترش می‌دهد و رویدادها را از تمام نقاط پایانی در زیرساخت‌های سازمان به هم پیوند می‌دهد. این موضوع به زیرساخت‌های سازمانی به‌عنوان مجموع نقاط پایانی، همان‌طور که EDR انجام می‌دهد نگاه نمی‌کند، در عوض، یک دیدگاه کلی‌نگر را در نظر می‌گیرد و زیرساخت‌ها را به‌عنوان یک موجود واحد در نظر می‌گیرد که توسط چندین عنصر تشکیل‌ شده است (نقاط نهایی).

xEDR دارای سه مزیت مهم است:

  • مزایای XDR را درجایی که بیشترین اهمیت را دارند متمرکز می‌کند: در نقاط پایانی. چرا نقاط پایانی بیشترین اهمیت را دارند؟ زیرا اینجا مکانی است که داده‌ها در آن قرار می‌گیرند (سرورها / کانتینرها) و اینجا مکانی است که تعامل کاربر (ایستگاه‌های کاری) انجام می‌شود. نقاط پایانی در مقایسه با سایر عناصر زیرساخت در معرض خطر بسیار بالاتری قرار دارند.
  • امکان ادغام گام‌به‌گام سایر منابع در شبکه (غیر از نقاط پایانی) را در طول زمان فراهم می‌کند تا قابلیت تشخیص و مشاهده را افزایش دهد. این ریسک فناوری رایج در راه‌حل جدید را کاهش می‌دهد و از ادغام منابع جدید (چشم‌انداز وسیع‌تر) بدون از دست دادن داده ها پشتیبانی میکند. آنچه EDR بسیار خوب انجام می‌دهد: عمق چشم‌انداز.
  • نیازها را از نظر مهارت و تعداد کارکنان حفظ می‌کند (و حتی ممکن است کاهش دهد) و به بیشتر سازمان‌ها اجازه می‌دهد تاب‌آوری سایبری خود را بدون هیچ‌گونه هزینه عملیاتی اضافی افزایش دهند.

با نگاهی به تجربه گذشته EDR در می یابیم، XDR نیز با گذشت  زمان رشد کرده و و رویکرد  xEDR  می‌تواند مشکل شناسایی و مدیریت حوادث پیچیده سایبری را بهتر و سریع‌تر حل نماید.

نصب و فعالسازی آنتی ویروس بیت دیفندر

/در /توسط

آنتی ویروس بیت دیفندر را می‌توان بر روی ویندوز، مک (نسخه مک)، اندروید و iOS نصب کرد. با توجه به اینکه این محصول میتواند یک، سه، پنج و ده کاربره باشد، برای فعالسازی آن بر روی اولین دستگاه باید کد لایسنس خود را وارد نمایید و سپس برای نصب آن روی سایر دستگاه‌ها کافی است که پس از پایان نصب با اطلاعات اکانت بیت دیفندر خود وارد سنترال شوید تا بیت دیفندر به‌صورت خودکار بر روی دستگاه‌های جدید نیز فعال شود. در ادامه روش نصب آنتی ویروس بیت دیفندر روی سیستم‌ عامل‌ها ویمدوز آمده است.

نصب و فعالسازی آنتی ویروس بیت دیفندر روی ویندوز

آنتی ویروس بیت دیفندر، راهکار امنیتی ویژه است که قابلیت نصب روی ویندوز را به صورت آنلاین را داراست.

دانلود آنلاین

1. روی گزینه دانلود ذیل محصول بیت دیفندر مورد نظر کلیک کنید و در پنجره باز شده، ویندوز- دانلود آنلاین را انتخاب کنید.

2. فایل دانلود شده Bitdefender_TS.exe را باز کنید و بر روی Run کلیک کنید.

3. با اجرا شدن فایل مذکور، بصورت خودکار توتال سکیوریتی بیت دیفندر روی سیستم ویندوز شما دانلود خواهد شد.

4. پس از اتمام دانلود، با کلیک کردن بر روی INSTALL فرآیند نصب آغاز خواهد شد. توجه داشته باشید که زبان توتال سکیوریتی حتما انگلیسی باشد و در غیر این صورت آن را تغییر دهید. (این محصول فاقد زبان فارسی است).

چگونه آنتی ویروس بیت دیفندر را حذف کنیم؟

/در /توسط

رای حذف بیت دیفندر با توجه به نوع ویندوزتان به ترتیب ذیل عمل کنید:

ویندوز 7، 8 و 8.1

  1. از منوی  استارت وارد کنترل پنل شوید. ( در ویندوز 8 و 8.1 در قسمت منو می‌توانید عبارتControl Panel را تایپ نمایید)
  2. بر روی گزینه Uninstall a program یا Programs and Features. کلیک نمایید.
  3. Bitdefender را پیدا کرده و گزینه Uninstall را انتخاب نمایید.
  4. در پنجره باز شده روی Remove کلیک کرده و با توجه به اینکه می‌خواهید بیت دیفندر را مجددا نصب و یا بطور کامل حذف کنید، از بین دو گزینه I want to reinstall it و I want to permanently remove it یکی را انتخاب نمایید.
  5. سپس برای ادامه بر روی Next کلیک نمایید.
  6. صبر کنید تا فرآیند حذف تکمیل شود و سپس سیستم خود را  مجددا راه اندازی نمایید.

ویندوز 10

  1. از منوی شروع وارد تنظیمات )setting) شوید.
  2. در قسمت Setting بر روی گزینه Apps کلیک نمایید.
  3. Bitdefender را پیدا کرده و گزینه Uninstall را انتخاب نمایید.
  4. دوباره بر روی Uninstall کلیک کنید تا انتخاب خود را تایید نمایید.
  5. در پنجره باز شده روی Remove کلیک کرده و با توجه به اینکه می‌خواهید بیت دیفندر را مجددا نصب و یا بطور کامل حذف کنید، از بین دو گزینه I want to reinstall it و I want to permanently remove it یکی را انتخاب نمایید.
  6. سپس برای ادامه بر روی Next کلیک نمایید.
  7. صبر کنید تا فرآیند حذف تکمیل شود و سپس سیستم خود را مجددا راه اندازی نمایید.
آنتی ویروس بیت دیفندر سازمانی

بیت دیفندر سنترال چیست و چگونه باید از آن استفاده کرد؟

/در /توسط

بیت دیفندر سنترال چیست و چگونه باید از آن استفاده کرد؟

Bitdefender Central چیست و چگونه باید از آن استفاده کرد؟

 

بیت دیفندر علاوه بر ارائه بهترین حفاظت برای سیستم‌های شما، تجربه خوشایندی از مدیریت و استفاده از محصولاتش بر روی همه سیستم‌ها (ویندوز، Mac و اندروید) را در اختیارتان می‌گذارد و این در واقع دلیل ایجاد بیت دیفندر سنترال است.

Bitdefender Central یک پلتفرم مبتنی بر وب است که در آن به تمام ویژگی‎ها و خدمات آنلاین محصولات دسترسی دارید و می‌توانید از راه دور، کارهای حائز اهمیتی را بر روی دستگاههایی که آنتی ویروس بیت دیفندر بر روی آن نصب شده است انجام دهید. شما می‌توانید از طریق هر کامپیوتر و یا گوشی موبایلی که به اینترنت متصل باشد، وارد اکانت بیت دیفندر  در شوید واقع شما ابتدا باید وارد سایت https://central.bitdefender.com/home خود شوید.

در ادامه با هر یک از ماژول‎‌های Bitdefender Central آشنا خواهید شد:

My Devices

  • در این قسمت می‌توانید لیست دستگاههایی را که آنتی ویروس‌های بیت دیفندر را روی آن نصب کرده‌اید، مشاهده کنید.

  • آنتی ویروس‌های بیت دیفندر (Bitdefender 2018) را بر روی سیستم‌های (ویندوز، Mac و اندروید) خود نصب کنید.
  • از راه دور دستگاه‌هایی را که آنتی ویروس‌های بیت دیفندر بر روی آنها نصب است کنترل کنید. لیست ذیل کارهایی است که می‌توانید از طریق Bitdefender Central بر روی سیستم‌های ویندوز خود (که بیت دیفندر روی آنها نصب است) انجام دهید:
    • مشاهده و رفع مشکلاتی که بیت دیفندر بر روی دستگاه گزارش می‌کند.
    • مشاهده تعداد روزهای باقی‌مانده از اشتراک بیت دیفندر مربوط به دستگاه
    • اسکن سریع و اسکن کامل سیستم (Quick Scan & Full System)
    • Optimize کردن سیستم (برای کامپیوترهای با Bitdefender Total Security 2018)
    • اجرای اسکن Vulnerability بر روی کامپیوتر
    • استفاده از ویژگی Anti-Theft (برای دستگاه‌هایی که Bitdefender Total Security 2018 و یا Bitdefender Mobile Security) موقعیت‌یابی (Locate)، پاک کردن داده‌ها (Wipe)، قفل کردن (Lock)

Parental Advisor

  • Activity: فعالیت‌های کودک را بر اساس زمان سپری شده و نوع فعالیتی که با کامپیوتر انجام داده نشان می‌دهد.
  • Applications: اپلیکیشن‌هایی را که کودک از آنها بر روی کامپیوتر خود استفاده می‌کند، نشان می‌دهد.
  • Websites: دامنه‌های مورد علاقه کودک را نشان می‌دهد تا والدین آنها را مجاز و یا محدود کنند.
  • Phone Contacts: لیست شماره‌هایی را که کودک بر روی گوشی اندروید خود دارد، نشان می‌دهد و والدین می‌توانند در صورت لزوم آنها را Block کنند.
  • Child Location: لیستی از نواحی تعریف شده توسط والدین است که وقتی کودک وارد آنها می‌شود و یا از آنها خارج می‌شود (مانند مدرسه و خانه) به والدین اطلاع داده می‌شود.
  • Social: فعالیت‌های کودک مانند پست‌ها و عکس‌هایی را که روی فیسبوک قرار می‌دهد، مانیتور می‌کند.
  • Time Schedule: دسترسی به دستگاه را در ساعات مشخصی مانند زمان خواب محدود می‌کند. همچنین می‌توان در ساعات مشخصی در طول روز اجازه دسترسی به دستگاه را به کودک داد.

Tech Assist

  • سرویس‌های Tech Assist ای را که روی اکانت خود دارید، در اینجا مشاهده می‌کنید.

My Subscriptions

  • جزئیات تمام اشتراک‌های مرتبط با اکانت خود را می‌توانید در این قسمت مشاهده کنید.
  • دستگاه‌هایی را که یک اشتراک بر روی آنها است، مشاهده کنید.
  • می‌توانید اشتراک را با استفاده از کد فعالسازی بیت دیفندر، فعال کنید.

My Offers

  • در این قسمت صرفا آفرهای شخصی‌سازی‌شده را دریافت می‌کنید که 100% با نیازهای امنیتی سیستم شما متناسب هستند.

Support

  • دسترسی مستقیم به تیم پشتیبانی را فراهم می‌کند.

Settings – My Account

  • تغییر پسورد اکانت خود را می‌توانید در این قسمت انجام دهید.
  • اطلاعات شخصی خود را برای آفرهای شخصی‌سازی‌شده وارد کنید.
  • می‌توانید زبان اکانت بیت دیفندر خود را برای محصولاتی که روی سیستم ویندوزتان نصب کرده‌اید، تغییر دهید.