نوشته‌ها

باج افزار

چگونه: از یک محیط سالم و مقاوم در برابر باج ­افزار مطمئن شویم

بیت دیفندر سازمانی

نصب و فعالسازی آنتی ویروس بیت دیفندر

نصب و فعالسازی آنتی ویروس خانگی بیت دیفندر

آنتی ویروس بیت دیفندر را می‌توان بر روی ویندوز، مک (نسخه مک)، اندروید و iOS نصب کرد. با توجه به اینکه این محصول میتواند یک، سه، پنج و ده کاربره باشد، برای فعالسازی آن بر روی اولین دستگاه باید کد لایسنس خود را وارد نمایید و سپس برای نصب آن روی سایر دستگاه‌ها کافی است که پس از پایان نصب با اطلاعات اکانت بیت دیفندر خود وارد سنترال شوید تا بیت دیفندر به‌صورت خودکار بر روی دستگاه‌های جدید نیز فعال شود. در ادامه روش نصب آنتی ویروس بیت دیفندر روی سیستم‌ عامل‌ها ویمدوز آمده است.

نصب و فعالسازی آنتی ویروس بیت دیفندر روی ویندوز

آنتی ویروس بیت دیفندر، راهکار امنیتی ویژه است که قابلیت نصب روی ویندوز را به صورت آنلاین را داراست.

دانلود آنلاین

1. روی گزینه دانلود ذیل محصول بیت دیفندر مورد نظر کلیک کنید و در پنجره باز شده، ویندوز- دانلود آنلاین را انتخاب کنید.

2. فایل دانلود شده Bitdefender_TS.exe را باز کنید و بر روی Run کلیک کنید.

3. با اجرا شدن فایل مذکور، بصورت خودکار توتال سکیوریتی بیت دیفندر روی سیستم ویندوز شما دانلود خواهد شد.

4. پس از اتمام دانلود، با کلیک کردن بر روی INSTALL فرآیند نصب آغاز خواهد شد. توجه داشته باشید که زبان توتال سکیوریتی حتما انگلیسی باشد و در غیر این صورت آن را تغییر دهید. (این محصول فاقد زبان فارسی است).

ضد بدافزار

کسب و کارهای کوچک و متوسط باید در مقابل « حملات باج افزار » آماده باشند

در حال حاضر «حملات باج افزار» تهدیدی علیه امنیت سایبری با سریع‌ترین میزان انتشار است که بر کسب و کارهای کوچک و متوسط (SMBها) اثر می‌گذارند.

این حوادث باج افزار می‌توانند به سازمان‌هایی با هر اندازه و تقریباً درون هر صنعتی صدمه بزنند. گزارش نیم‌سالۀ شرکت بیت‌دیفندر[1] در سال 2020 تحت عنوان «گزارش دورنمای تهدید 2020» به این مسئله اشاره کرد که تمام گزارشات حملات باج افزار ی در جهان به میزان 715% نسبت به مدت مشابه سال قبل جهش ناگهانی داشت.

حوادث مرتبط با همه‌گیری بیماری کرونا نیز تاثیر شدیدی داشت و برای سال 2021 میزان مشابهی از این‌گونه تهدیدات انتظار می‌رود. احتمال حملات سایبری باج افزار موفقی که به‌طور گسترده گزارش شده‌اند مجرمان سایبری را ترغیب کند و آن‌ها به‌دنبال روش‌های پیچیده‌تری برای حمله به سیستم‌های امنیتی شرکت‌ها باشند.

باج‌ افزار چیست؟

قبل از این‌ که کسب و کارهای کوچک و متوسط بتوانند امید به دفاع از خود داشته باشند، آن‌‎ها باید دقیقا درک کنند که «باج‌ افزار» چیست و چگونه کار می‌کند. «باج‌ افزار» نوعی بدافزار است که تهدید می‌کند در صورت پرداخت نشدن باج، داده‌های حساس سازمان را منتشر خواهد کرد یا به‌طور مداوم دسترسی به اسناد را مسدود می‌کند.

گونۀ پیشرفته‌تر «باج‌ افزار» فایل‌های یک شرکت را رمزنگاری کرده و آن‌ها را با استفاده از یک فرآیند، غیرقابل دسترسی می‌کند، سپس برای رمزگشایی آن درخواست پول می‌کند. قربانیان این حملات اغلب مجبور به استفاده از کلیدهای رمزگشایی برای بازیابی اسناد خود می‌شوند.

هکرها معمولاً از طریق ارزهای دیجیتالی مانند «بیت‌کوین» و هم‌چنین رمز ارزهای دیگر درخواست پرداخت پول می‌کنند. از آن‌جایی که ردیابی این نوع پرداخت‌ها سخت است، کشف و تعقیب قانونی هکرها نیز مشکل و بی‌حاصل است.

حملات باج‌افزاری معمولاً توسط «تروجان‌ها»[2] انجام می‌شود. تروجان‌ها «بدافزاری» هستند که کاربران را از مقصد حقیقی خود گمراه می‌کنند، مانند اسب تروجانی که توسط شعر «انه‌اید»[3] اثر «ویرژیل»[4] مشهور شد. این ویروس‌های بدافزار به‌گونه‌ای در فایل‌های متعارف مخفی شده تا کاربر فریب خورده و آن‌ها را بارگیری کند و یا زمانی که از طریق ضمیمۀ ایمیل دریافت می‌کند‌، آن‌ها را باز کند.

حملۀ باج‌افزاری به‌وضوح رو به افزایش است. گزارشی که در ماه آگوست 2021 از سازمان تحقیقاتی «اینترنشنال دیتا کورپ(IDC)» منتشر شد، نشان داد که بیش از یک سوم سازمان‌ها در سراسر جهان حملات باج‌افزاری یا رخنۀ امنیتی را تجربه کردند که حاصل این حملات قطع دسترسی به سیستم‌ها یا داده‌ها طی 12 ماه گذشته بود. به‌ گفتۀ این گزارش، برای سازمان‌هایی که قربانی «باج‌افزار» شده‌اند، تجربۀ چندین حادثۀ «باج‌افزاری» غیرمتعارف نیست.

گزارش «State of the Channel Report» سال 2020 شرکت «داتو»[5] بیان کرد که نزدیک به 70% از «ارائه‌کنندگان خدمات مدیریت‌شده (MSPs)» باج‌افزار را به‌عنوان شایع‌ترین حملۀ بدافزاری معرفی کردند. با این‌حال از آن‌جایی که بیشتر «ارائه‌کنندگان خدمات مدیریت‌شده» یعنی 84% آن‌ها در خصوص باج‌افزار «بسیار نگران» هستند، تنها 30% از آن‌ها اعلام کردند که مشتریانشان که کسب و کارهای کوچک و متوسط هستند عقیدۀ مشابهی با آن‌ها دارند.

با انتشار منظم گزارشات فراوان از حملات باح‌افزاری در خبرها، کسب و کارهای کوچک و متوسط باید این‌گونه حملات را جدی بگیرند چرا که تاثیرات چنین حملاتی می‌تواند برای کسب و کار آن‌ها فاجعه‌آمیز باشد.

بهترین روش‌ها برای جلوگیری از حملات سایبری باج‌ افزار ی

پس کسب و کارهای کوچک و متوسط چگونه می‌توانند از خود در برابر «باج‌افزار» و دیگر «حملات سایبری» مراقبت کنند؟

یکی از این راه‌ها در صورتی که تا به‌حال اینکار را انجام نداده‌اند، به‌کار گیری سپر دفاعی چند لایه‌ است، یعنی فراتر از صرفاً اجرای یک نرم‌افزار تشخیص بدافزار. آن‌ها باید ابزارهایی داشته باشند که در «اندپوینت»[6] و «لایه‌های شبکه» شفافیت ایجاد کند که شامل «EDR»[7] و «MDR»[8] می‌شود.

«EDR» به‌طور مداوم بر دستگاه‌های «اندپوینت» نظارت کرده و به فعالیت‌های مشکوک پاسخ می‌دهد تا حملات سایبری را کم اثر کند. ابزارهای «EDR» در«سرورهای ابری» یا «در محل» موجود بوده که داده‎‌ها را از دستگاه‌های «اندپوینت» جمع‌آوری کرده و سپس آن‌ها را برای مشکلات و حملات احتمالی تجزیه و تحلیل می‌کنند. این نرم‌افزار بر روی دستگاه‌های «کاربر نهایی» نصب شده و داده‌ها بر روی پایگاه‌دادۀ متمرکز ذخیره می‌شود.

«MDR» به شرکت‌ها «فعالیت‌های مداوم امنیت سایبری» و برون‌سپاری شده ارائه می‌کند و هم‌چنین امنیت را برای «اندپوینت‌ها»، «شبکه‌ها» و هم‌چنین «تجزیه و تحلیل امنیت» و «تخصص در تجسس حمله» به ارمغان می‌آورد. مراقبت در برابر «باج‌افزار» تلاشی مداوم است و نه صرفاً پاره وقت و از آن‌جایی که شرکت‌های کوچک بسیاری برای ارائۀ پوشش شبانه روزی تجهیز نشده‌اند، آن‌ها برای کمک به جلوگیری از انتشار و اجرای حملات «باج‌افزاری» درون سازمان به خدمات «MDR» نیاز دارند.

«MDR» و «EDR»

«MDR» و «EDR» برای کسب و کارهای کوچک و متوسط قابل دسترسی شده‌اند که امنیتی به «مرکز عملیات امنیت» ارائه می‌دهند که در گذشته تنها شرکت‌های بزرگ توانایی مالی برای تهیۀ آن را داشتند.

از آن‌جایی که حتی تاخیرهای جزئی در شناسایی و پاسخ به «باج‌افزار» می‌تواند منجر به مشکلات عدیده‌ای شود، دفاع در مقابل این حملات با استفاده از رویکرد چندلایه‌ایِ براساس حفاظت پیشگیرانه ضروری است.

کسب و کارهای کوچک و متوسط باید گذشته از استقرار آخرین ابزارهای امنیتی برای محافظت در برابر «باج‌افزار»، بر جلوگیری یا حداقل کاهش احتمال صدمه دیدن با یک حمله تمرکز داشته باشند که این مسئله شامل انجام ارزیابی‌های منظمِ خطرِ امنیتی، همراه با رویکردهای مداوم برای مدیریتِ وصلۀ امنیتی با استفاده از خدماتی مانند «MDR» و «EDR» است.

با انطباق پذیر شدن حملات «باج‌افزاری»، دورنمای این تهدیدات دائماً درحال تحول است، بنابراین ارزیابی‌های مکررِ خطر از طریق «MDR» و «EDR» پیشنهاد می‌شود. ارائه‌کنندگان معتبر فراوانی برای «خدمات امنیتی مدیریت شده» وجود دارد که می‌توان برای این ارزیابی‌ها و خدمات دیگر از آن‌ها کمک گرفت.

«کسب و کارهای کوچک و متوسط» باید درک کنند که «جلوگیری» کافی نیست، آن‌ها هم‌چنین باید دارای «برنامۀ کاهش اثر» مناسبی باشند که شامل «فایل پشتیبان غیر قابل نفود» است. زمانی که یک جریان احتمالی «باج‌افزار جدید» سعی در رمز گذاری فایل‌ها می‌کند، پشتیبان غیر قابل نفود از فایل‌های مورد نظر می‌تواند بعد از این‌که بدافزار مسدود شد، فایل‌ها را بازیابی کند.

«اینترنشنال دیتا کورپ» به راه‌های دیگری نیز اشاره کرده که شرکت‌ها می‌توانند از آن‌ها برای راهبرد خود در برابر «حملات باج‌افزاری» استفاده کنند. این راه‌ها شامل: «بررسی و تصدیق محافظت از داده‌ها و امنیت، انجام بازیابی اطلاعاتِ شرکا و تامین کنندگان»، «روش‌های دوره‌ای پاسخگویی تست حساسیت» و «توزیع مضاعف اطلاعات تهدید بین دیگر سازمان‌ها و یا نهاد‌های دولتی».

آموزش امنیت سایبری

هیچ‌گونه راهبرد امنیتی، بدون برنامه‌های آموزشی موثر برای تمام کاربران، کامل نیست. همان‌طور که گزارش شرکت «داتو» نشان داد، «آموزش کاربر مصرف‌کننده» بخش اساسی یک «راهبرد محافظت موثر در برابر باج‌افزار» است. به گزارش این شرکت «فیشینگ»، «فعالیت‌های ضعیف کاربر» و «فقدان امنیت سایبری از سمت کاربر» سه دلیل حملات موفق باج‌افزاری بوده است.

این گزارش ادامه می‌دهد، درک این مسئله مهم است که «آموزش امنیت» باید فراتر از صرفاً پوشش چگونگی تشخیص حملات فیشینگ باشد. با این‌که «فیشینگ» در صدر لیست قرار دارد، اما «رمز عبور ضعیف»، «دسترسی باز به پروتکل دسترسی از راه دور به دسکتاپ» و «گروهی از خطاهای کاربر» نیز از دلایل دیگر این نفوذها هستند.

اولویت قرار دادن راهبرد امنیت سایبری

«کسب و کارهای کوچک و متوسط» باید «امنیت سایبری» را در اولویت بالاترین سطوح شرکت قرار دهند. این مسئله به این معنا است که مدیر عامل و دیگر مدیران ارشد باید مثالی طراحی و آن ‌را شفاف‌سازی کنند که «فعالیت‌های امنیتی» که به جلوگیری از حملات باج‌افزاری کمک می‌کنند، وظیفۀ همۀ افراد است.

«کسب و کارهای کوچک و متوسط» با انجام اقدامات احتیاطی ضروری می‌توانند با قدرت در مقابل حملات «باج‌افزاری» و دیگر حملات دفاع کنند.

[1] bitdefender

[2] Trojans

[3] The Aeneid

[4] Virgil

[5] Datto

[6] Endpoint

[7] Endpoint Detection and Response

[8] Managed Detection and Response

آنتی ویروس سازمانی شرکتی

بدافزار حذف‌کننده اطلاعات، Meteor سرنخ جدید حملات اخیر به وزارت راه و شهرسازی و سیستم ریلی ایران

روزهای پایانی سومین هفته تیرماه، وزارت راه و شهرسازی و سیستم ریلی ایران مورد حملات سایبری قرار گرفت و تمامی سامانه‌های وزارت راه و شرکت راه آهن از دسترس خارج  شدند.گزارش‌ها حاکی از آن بود که این حمله باعث تعویق صد ها قطار یا لغو آن‌ها شده است. چنانچه تصویر نشان می‌دهد بر تابلوی اعلان برنامه قطارهای راه‌آهن در ایستگاه تهران نوشته شده: «تاخیر زیاد بدلیل حملات سایبری» و از مسافران خواسته شده بود تا برای کسب اطلاعات بیشتر، با شماره‌ای تماس بگیرند که متعلق به دفتر مقام معظم رهبری، حضرت آیت الله خامنه ای بود.

پس از گذشت بیش از ۴۸ ساعت از حمله، از مجموع حدود ۴۰۰ سرور، تنها ۵ سرور شروع به فعالیت کردند و به نظر می‌رسید  نسخه‌های پشتیبان یا وجود نداشت یا به دلایلی امکان فعال شدن نداشتند. درگاه وزارت راه و شهرسازی  پس از چند روز  بالا آمد؛ اطلاعات ۴ ماه اخیر از سایت حذف شده بود. بنابراین به نظر می‌رسد آخرین نسخه پشتیبان در دست مربوط به ۴ ماه قبل است.

به گزارش شرکت امن‌پرداز و سنتینل وان SentinelOne، این حمله نتیجه‌ بدافزاری جدید و قبلاً دیده‌نشده‌ به نام «Meteor» است. در این گزارش‌ها آمده است که این اولین استقرار این بدافزار است؛ ولیکن با توجه به تحلیل‌ بدافزار Meteor، از سه سال گذشته کار خود را آغاز کرده است.

خوان آندرس گوئرر، محقق سنتینل وان SentinelOne، خاطرنشان کرده است: «علی‌رغم عدم وجود مشخصه‌های خاص تسخیر، توانستیم مهم‌ترین مولفه‌های این حمله را بازیابی کنیم و ردپای مهاجمی ناشناس  را پیدا کردیم . این بدافزار  برای فلج کردن سیستم‌های قربانی طراحی شده ‌است و هیچ راه‌حلی برای بهبود از طریق مدیریت دامنه یا بازیابی نسخه‌های پشتیبان باقی نمی‌گذاشت».

به نقل از SentinelOne، زنجیره آلودگی‌ها با سو استفاده از سیاست‌های گروهی یا Group Policy اتفاق افتاده که با وارد کردن ابزارهایی متشکل از فایل های batch که برای هماهنگ کردن اجزای مختلف استفاده می شود، صورت می‌گرفت. این فایل‌ها، خود  از چندین فایل آرشیو  RAR استخراج شده اند که به همدیگر متصل هستند و اجزای رمزنگاری فایل سیستم و تغییرات MBR را تسهیل می‌کنند و باعث قفل سیستم میشود. در این تحلیل، فایل‌های batch دیگری هم پیدا شده‌اند که برای قطع اتصال دستگاه های آلوده از شبکه استفاده می‌شوند و مانع از فعالیت سیستم دفاعی ویندوز می‌شوند؛ تکنیکی که اخیراً مورد توجه گروه‌های تهدید قرار گرفته است.

اولین اقدام بدافزار در رابطه با فایل cache.bat است که بر پاکسازی موانع برای حمله عناصر بعدی است.

cache.bat سه عملکرد اصلی را انجام می دهد ابتدا دستگاه آلوده را از شبکه جدا می کند، سپس بررسی می کند که آیا ضد ویروس کسپرسکی بر روی دستگاه نصب شده است یا خیر، اگر نصب بود در این صورت خارج می شود و در غیر اینصورت فایل cache.Bat باعث حذف Windows Defender می شود و راه را برای یک حمله باز می کند.

دو batch files دیگر نیز وجود دارند که Event Log ها را پاک می نمایند، و همچنین یک Task به صورت زمانبندی شده  توسط اسکریپتی به نام mstask ایجاد و تنظیم می شود بدافزار Meteor Wiper را در پنج دقیقه مانده تا نیمه شب اجرا نماید.

بخش اصلی این حمله یک زنجیره ای که بر عهده یک فایل اجرایی با نام env.exe یا msapp.exe است.

این Wiper قادر است اقدامات ذیل را انجام دهد:

  1.  Change Passwords برای تمام یوزرها
  2.  غیر فعال کردن Screensavers
  3.  Process Termination بر اساس یک لیست از پروسس های هدف
  4. نصب Screen Locker
  5. غیر فعال کردن Recovery Mode
  6. تغییر پالیسی های Boot Policy Error Handling
  7. ایجاد لیستی از برنامه های زمان بندی
  8. Log OFF Local Sessions
  9. Delete Shadow Copies
  10. تغییر تصاویر Lock Screen
  11. اجرای خواسته ها

هنگامی که محققان SentinelOne به صورت عمیق تر نرم افزار Wipe را مورد بررسی قرار دادند متوجه این قضییه شدند که این Wiper توسط Developer های متعددی ایجاد شده است؛ همچنین این گزارش اضافه می کند که این Wiper برای این عملیات خاص ساخته نشده است اما تاکنون نیز حمله مشابهی مشاهده نشده و احتمالا حمله کنندگان تحت حمایت یک دولت می باشند.

محققان موفق نشده اند هک شدن  سایت راه آن ایران را به فرد یا تیم خاصی منتسب نمایند اما توضیح داده اند که سطح حمله کننده متوسط می باشد که اجزای تیم عملیاتی او از افراد مبتدی تا خوب تشکیل شده اند، اگرچه آنها نتوانستند دلیل حمله را مشخص کنند ، اما آنها خاطرنشان کردند که به نظر می رسد مهاجمان با تنظیمات کلی سیستم راه آهن ایران آشنا بوده اند و این بدان معناست که هکرها قبل از شروع به حمله در سیستم های این اداره کلی وقت گذرانده اند.

EDR

به دنبال راهکار EDR هستید؟ کدام راهکار EDR برای کسب و کار شما مناسب است؟

مروزه بسیاری از شرکت‌ها در خصوص راهکار EDR فکر می‌کنند تا از کسب و کار خود در مقابل تهدیدات محافظت کنند. اما کدام راهکار مناسب کسب و کار شماست؟

هر کسب و کاری بر اساس نوع خود در مقابل یک اتفاق امنیتی یکسان ممکن است واکنش متفاوتی داشته باشد در نتیجه آمادگی و برنامه ریزی برای پاسخ دهی به رخدادهای امنیتی و انتخاب ابزارهای مناسب و پیاده سازی آن ها، یک مسیر طولانی برای تقویت لایه‌های دفاعی یک سازمان است. انتخاب درست ترین راهکار که شما و کسب و کارتان را در مقابل این تهدیدات محافظت کند، یک گام مهم به شمار می‌آید.

Endpoint Protection Platform یا Endpoint Detection & Response
آیا همیشه از Endpoint Security برای محافظت از کسب و کارتان استفاده کرده اید؟‌ آیا ممکن است در بین لایه‌های دفاعی که در نظر گرفته‌اید فواصلی موجود داشته باشد تا به آن‌ها رسیدگی کنید؟

امروزه راهکارهای Endpoint Protection Platform (EPP) که توسط تولیدکنندگان برتر امنیت سایبری ارائه می شوند،‌ توانایی توقف اکثر بدافزارها و تهدیدات متنوع را فراهم می‌کنند. هوش مصنوعی، یادگیری ماشین و رفتارشناسی باعث شده تا آن‌ها نسبت به گذشته عملکرد بهتری داشته باشند.

شناسایی پیش از اجرا (Pre-Execution)، جلوگیری از تهدیدات در زمان اجرا (On-execution) و حتی توقف آن‌ها پس از اجرا (Post-Execution) از قابلیت های متداول راهکارهای EPP امروز هستند. همچنین نرخ شناسایی اشتباه پایین، سرعت و دقت بالا در شناسایی نیز از قابلیت های EPPهای امروز به شمار می‌آیند. اما EPP به عنوان یک دسته‌بندی محصول یک سری محدودیت‌هایی را به همراه دارد که هر شرکت امنیتی باید در نظر داشته باشد.

چه زمانی Endpoint Protection ممکن است با محدودیت مواجه شود؟
شناسایی و توقف حملات در زمان ابتدایی وقوع آن‌ها به عنوان یک ایده‌آل برای هر تیم امنیتی است. اما همیشه جلوگیری از تهدیدات ممکن است به صورت ۱۰۰درصد اتفاق نیافتد. حملات بدون فایل (File-less Attacks) و حملات مبتنی بر مرورگرهای وب، بدون وجود هیچ فایل مخربی شروع به اقدامات خود کرده و حملات پیچیده و چندمرحله‌ای را انجام داده که به راحتی توسط راهکارهای EPP قابل شناسایی و جلوگیری نیستند. اما این محدودیت های EPPها چیست؟ به برخی از این محدودیت‌ها در زیر اشاره شده است:

خیلی کم و خیلی دیر
شناسایی توسط EPPها ممکن است زمانی رخ دهد که بدافزارها به قسمتی با به طور کامل به هدف خود دست یافته و سیستم‌های هدف خود را تحت تاثیر قرار داده باشند و فقط بخشی از جنبه های حمله متوقف شود.

عدم ارتباط بین رخدادها

بسیاری از رخدادهایی که توسط EPPها تولید می‌شود، معمولا ارتباط معنایی با یکدیگر نداشته و تحلیگران امنیت اطلاعات امکان بررسی زنجیره یک حمله و دیدن رخدادهای مرتبط با هم را ندارند.

EDRها دیگر یک راهکار لاکچری نیستند. امروزه یک نیاز هستند!

EPPها برای شناسایی بدافزارها و تهدیدات معمولی و روزانه مناسب و لازم هستند. اما برای شناسایی و محافظت در مقابل حملات پیشرفته، پیچیده و هدفمند کافی نیستند. اگر شما یک سری دارایی‌ها، مشتریان و اطلاعات باارزش دارید، به صورت بالقوه در ریسک بوده و EDR برای شما یک ضرورت است و به عنوان یک راهکار لاکچری در نظر گرفته نمی‌شود!

ناکافی برای محافظت در مقابل تهدیدات پیشرفته

در بسیاری از مواقع EPPها برای شناسایی تهدیدات پیشرفته که عموما از طریق یک رفتار نرمال فاز ابتدایی حمله را آغاز می‌کنند، ناکافی هستند. رفتارهایی مانند باز شدن یک سند، شروع یک ارتباط شبکه‌ای به صورت ریموت، دانلود از اینترنت و …. اما ممکن است رفتار مخرب در زمان آینده بروز کرده و فازهای بعدی اتفاق بیافتد.

کمبود ایجاد رخدادهای ضروری و قابلیت‌های پاسخ‌دهی

EPPها رخدادهای زیادی را تولید می‌کنند، اما این رخداد‌ها همه قسمت‌های یک حمله را شامل نمی‌شوند. اگرچه که این ابزار رخداد‌هایی را برای اعمالی که متوقف کرده است تولید می‌کند، اما ممکن است برای بررسی و تحقیقات بیشتر در خصوص یک حمله، نیاز به اقداماتی به صورت دستی وجود داشته باشد تا عملیات مخرب به صورت کامل شناسایی شود. اما واقعا از کجا برای این تحقیق باید شروع کرد؟

پاسخ دهی به حملات زمانی که شناسایی می‌شوند

راهکارهای EPP معمولا رخدادهای کمی در خصوص فازهای ابتدایی حملات تولید می کنند و اطلاعات کمی در خصوص آن‌ها ارائه می‌دهند. یک کاربر ممکن است یک رفتار نامتعارف در کامپیوتر،‌ ترافیک شبکه یا … را مشاهده کرده ولی جزییات بیشتری در خصوص این مورد را، برای بررسی بیشتر، در احتیار نداشته باشد.

عدم توانایی در شناسایی دلایل اصلی و جلوگیری از اتفاق مجدد حملات

بله، راهکارهای EPP شما یک سری چیزها را متوقف می‌کند. آیا می‌توان مطمئن شد که کل حم یا فقط یک بخشی از آن متوقف شده است؟ آیا بقیه قسمت‌های حمله فرار کرده و موفق شد؟ کدام قسمت نقطه ورود است؟ از کدام قسمت وارد شد؟ جطور این نقاظ را محافظت کرده و جلوی چنین تهدیداتی را بگیریم؟ این‌ها سوالاتی هستند که راهکارهای EDR برای آن‌ها پاسخهای مناسبی ارائه می‌دهند.

هیج دیدی نسبت به Technique,Tactic,Procedure (TTP)های مربوطه و Indicator of Compromise (IoC)های یک حمله ارائه نمی‌دهند
آیا این رخداد فقط برای همین یک بار است یا به صورت سیستماتیک است و بر روی سایر دستگاه‌ها نیز در حال وقوع است؟ آیا حملات مشابهی در زمان های دیگر رخ داده است؟ آیا این حمله در سایر دستگاه‌های سازمانی نیز مشاهده شده و وجود دارد؟ آیا از نشانه‌‌های یافته شده در حلمه می‌توان بر روی تمام دستگاه‌های سازمان جستو انجام داد؟

عدم وجود توصیه‌ها برای بهبود استقرار سیستم‌های امنیتی

چگونه وضعیت امنیتی خود را بهبود و لایه‌های امنیتی خود را در مقابل نفوذ مجرمان سایبری مقاوم می‌کنید. آیا تنظیمات سیستم‌عامل، نرم‌افزارها و فاکتورهای رفتاری افراد که ریسک را به سازمان اضافه ‌می‌کنند، صحیح بوده و به درستی بررسی می‌شود؟ اگر این ریسک‌ها شناسایی شد، چگونه خود را در مقابل آنها محاظت می‌کنیم؟

مطمئنا در یک راهکار EDR در کنار یک راهکار EPP امکانات بینظیری را برای مواجهه با تهدیدات سایبری در اختیار تیم‌های امنیتی می‌گذارد. در این زمینه راه‌کارهای ULTRA SECURITY بیت‌دیفندر به عنوان یک راهکار یکپارچه این قابلیت‌ها را ارائه می‌دهند اما برای سازمان‌ها و کسب و کارهایی که فقط و فقط نیاز به بهرهمندی از قابلیت‌های EDR هستند، این راهکار به صورت جداگانه و در کنار سایر محصولات امنیتی ممکن بوده و شما را یک قدم به بهبود وضعیت امنیتی‌تان نزدیک‌تر می‌کند.

لایسنس ویندوز 10 پرو

به روز رسانی KB4474419 و kb3118401 در ویندوز

بیت دیفندر سازمانی

ارتقا آنتی ویروس شرکتی گرویتی زون بیت دیفندر به نسخه 6.21.1-1

ارتقا آنتی ویروس شرکتی گرویتی زون بیت دیفندر به نسخه 6.21.1-1

چرا باید Update کنیم؟

با توجه به اینکه ماشین مجازی بیت‌دیفندر GravityZone بر روی Ubuntu 16.04 LTS قرار داد و این نسخه سیستم عامل تا پایان آوریل ۲۰۲۱، بیشتر پشتیبانی نخواهد شد و به پایان زمان و چرخه کارکرد خود خواهد رسید. این به این معنی است که دیگر وصله‌های حیاتی برای آن توسط Ubuntu ارائه نشده و کاربران در معرض خطرات بالقوه قرار خواهند گرفت. بنابراین، بیت دیفندر به جهت حفظ امنیت مشتریان، به نسخه Ubuntu 20.04 LTS مهاجرت خواهد نمود. به همین منظور این سند را مطالعه کرده و GravityZone خود را upgrade نمایید.

این امر چگونه اتفاق می‌افتد؟

بین ۹ و ۳۰ مارس ۲۰۲۰، بر اساس تعداد ایستگاه‌های کاری محافظت شده و معماری پیاده سازی شده برای GravityZone، در کنسول مدیریتی پیغامی (در بالای صفحه به رنگ نارنجی) ارسال شده و کاربر از بروزرسانی مطلع خواهد شد.

این پروسه در چندین فاز اتفاق خواهد افتاد. بر اساس اسناد و توصیه های Ubuntu، ابتدا سیستم عامل از Ubuntu 16.04 LTS به نسخه 18.04LTS و بعد از آن به نسخه نهایی Ubuntu 20.04 LTS بروزرسانی خواهد شد.

برای این آپدیت بخصوص، Automatic GravityZone product update (بروزرسانی خودکار GravityZone) غیرفعال است. در صورتی که آن را فعال کرده باشید، پس از مراحل بروزرسانی مجدد فعال خواهد شد.

بنا بر سرعت اینترنت، و قدرت سخت افزار، این بروزرسانی حدود ۳۰ دقیقه بطول خواهد انجامید.

در صورتی که از GravityZone  به صورت All-in-one-Deployment استفاده می شود، دستگاه‌هایی که به صورت اسکن مرکزی بدون fallback تنظیم شده باشند، در طول پروسه بروزرسانی بدون محافظ خواهند بود. لذا حتما در Policyها یک fallback برای این مورد تنظیم کنید.

بهترین روش

از Virtual Appliance بیت دیفندر GravityZone در محیط مجازی سازی خود یک Snapshot تهیه نموده تا در صورت بروز مشکل بتوانید به حالت پیشین بازگردید. این تنها راه برای بازیابی در زمان بروز مشکل در بروزرسانی است. اگر در نمی دانید که چگونه Snapshot تهیه کنید از این لینک برای ارسال درخواست پشتیبانی استفاده نمایید.

پس از گرفتن Snapshot این مراحل را طی کنید.

  • در کنسول مدیریتی بیت‌دیفندر (Control Center) موارد زیر را در قسمت Notificationها فعال کرده تا اعلامیه مربوط به بروزرسانی را دریافت کنید.
    • Update Available: به همراه آیتم Show console update. شما را در خصوص بروزرسانی های موجود باخبر می کند.
    • GravityZone Update: به همراه آیتم Send per email. شما را در خصوص پایان مراحل بروزرسانی باخبر می کند.

پیش نیاز‌ها

  • همه یا اگر بیش از یک GravityZone appliance موجود است باید روشن باشند
  • همه GravityZone appliance باید با یکدیگر در ارتباط باشند
  • GravityZone appliance باید از سیستم عامل ubuntu 16.04 LTS استفاده کند
  • نسخه فعلی GravityZone باید نسخه زیر باشد.
    • 6.20.1-1
  • حداقل ۵ گیگابایت فضا بر روی دیسک موجود باشد
  • هیچ پکیج اضافی دیگری بر روی سیستم نصب نباشد
  • Repositoryها به صروت پیش فرض، فقط شامل repositoryهای رسمی بیت‌دیفندر باشد.

نحوه بروزرسانی

  1. به کنسول GravityZone وارد شوید
  2. به بخش Configuration -> Update -> GravityZone roles بروید
  3. بر روی دکمه آبی Update کلیک کنید
  4. سپس در این صفحه بروزرسانی را تایید (confirm) نمایید

در زمان بروزرسانی:

  • دسترسی به کنسول وب برای همه کاربران امکان پذیر نخواهد بود.
  • پروسه بروزرسانی در همان پنجره در مرورگر نمایش داده خواهد شد.

در پس زمینه

  • سرویس ها متوقف خواهد شد
  • از پایگاه داده نسخه پشتیبان تهیه خواهد شد
  • پایگاه داده MongoDB به نسخه 4.4 تغییر خواهد کرد
  • پکیج‌های بیت دیفندر و پکیج‌های پیش نیاز آن حذف خواهند شد
  • سیستم عامل به Ubuntu 18.04 LTS بروز خواهد شد
  • سیستم عامل به Ubuntu 20.04 LTS بروز خواهد شد
  • پکیج‌های بیت دیفندر و پکیج‌های پیش نیاز آن نصب خواهند شد
  • Repository در سیستم عامل تغییر کرده تا بروزرسانی ها و وصله های امنیتی مربوط به نسخه Ubuntu 20.04 LTS در آینده دریافت شود.
  • در هر بار بروزرسانی سیستم عامل، یک بار ماشین مجازی GravityZone راه اندازی مجدد خواهد شد.

لینک به منبع

*********  لطفا قبل از بروز رسانی با کارشناسان فنی شرکت تماس حاصل نمایید.

بیت دیفندر سازمانی

تخفیف عیدانه بیت دیفندر برای مشتریان سازمانی

تخفیف عیدانه بیت دیفندر برای مشتریان سازمانی

به مناسبت پایان سال 1399 و ورود به سال 1400 شمسی، شرکت بیت دیفندر به خریداران آنتی ویروس های این شرکت تخفیف ویژه عید ارایه می نماید.
این تخفیف مشمول مشتریان جدید و مشتریان تمدیدی که اقدام به تمدید و ارتقای محصول خود نمایند اهدا میشود.

فروش های ویژه، به شکل اختصاصی فقط برای بازار ایران در نظر گرفته شده است

برای دریافت اطلاعات بیشتر با ما تماس حاصل نمایید.

بیت دیفندر سازمانی

ارتقا به آنتی ویروس بیت دیفندر ۲۰۲۰

با اتشار رسمی نسخه سال ۲۰۲۰ آنتی ویروس بیت دیفندر در سایت این شرکت، شما میتوانید آنتی ویروس خود را به آخرین و جدید ترین نسخه بیت دیفندر ارتقا دهید.

برای این منظور نیاز است مراحل زیر را طی نمایید.

۱- وارد سایت سنترال بیت دیفندر شوید.

۲- فایل نصب بیت دیفندر را دریافت نمایید.

۳- فرآیند نصب را طی نمایید.

در آخرین نسخه بیت دیفندر ۲۰۲۰ تغییرات زیر را مشاهده خواهیم کرد:

  • مقابله به تهدیدات پیشرفته.( این آیتم بهبود یافته است.)
  • حفاظت از بانکداری آنلاین ( این آیتم بهبود یافته است.)
  • حفاظت از اتصال شبکه های بیسیم. ( این آیتم بهبود یافته است.)
  • جلوگیری از جمع آوری و پیگیری داده ها از مرورگرها ( این آیتم جدید است.)
  • جلوگیری از شنود میکروفون و وب کم. ( این آیتم جدید است.)
لایسنس ویندوز 10 پرو

بسیار مهم! تغییر پورت پیش فرض ریموت دسکتاپ در ویندوز

بسیار مهم! تغییر پورت پیش فرض ریموت دسکتاپ در ویندوز

برای تغییر پورت پیش فرض ریموت دستک تاپ در ویندوزهای مختلف از طریق ویرایش رجیستری ویندوز، به شرح زیر عمل می کنیم. پورت پیش فرض ویندوز 3389 می باشد.

 

  1. دستور regedit.exe برای ویرایش رجیستری ویندوز را اجرا نمایید.
  2. مسیر کلید رجیستری زیر را پیدا نمایید
  3. PortNumber را باز کرده ، در فیلد Value Data میتوانیم شماره پورت پیشفرض را از 3389 به عدد دلخواه خود تغییر داد.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
پورت RDP ویندوز
پورت RDP ویندوز