مطالب پربازدید

1404/07/10 - 08:30- جنگ سایبری

«حملات تخریبی» به کشور۳ برابر شد/ افشای نام «اهداف اصلی» حملات هکرها

بر اساس داده‌های گزارش سالانه گراف، هوش مصنوعی مولد (GenAI) چشم‌انداز تهدیدات ایران را در سال ۱۴۰۳ دگرگون کرد؛ جایی که حملات با LLMJacking، باج‌افزار و فریب‌های پیشرفته، نهادهای دولتی و آموزشی را در کانون هدف قرار دادند.

1404/08/05 - 14:27- جنگ سایبری

اسرار نظامی و اطلاعات سری پدافند لیزری اسرائیل به دست هکرها افتاد

گروه هکری جبهه پشتیبانی سایبری «الجبهة الإسناد السيبرانية» اعلام کرد که با نفوذ به شرکت نظامی مایا، به اطلاعات محرمانه پدافند پیشرفته لیزری Iron Beam و تعداد زیادی از سلاح‌های پیشرفته اسرائیل دست یافته است.

1404/08/04 - 13:09- جنگ سایبری

افشای اطلاعات حساس وزارت جنگ رژیم صهیونیستی توسط گروه هکری جبهه پشتیبانی سایبری

گروه هکری «الجبهة الإسناد السيبرانية» با نفوذ به شرکت پوششی «مایا» وابسته به وزارت دفاع رژیم صهیونیستی، اطلاعات محرمانه‌ای از پروژه‌های نظامی این رژیم از جمله سامانه دفاع لیزری، پهپاد و موشک‌ها را فاش کرد.

کامیار عزیزی

انتشار شده در تاریخ 1403/08/20 - 19:04

پیوستن شرکت‌های بزرگ نرم‌افزاری به تعهد امنیت در طراحی

آژانس امنیت سایبری و امنیت زیرساخت آمریکا شش ماه پس از راه‌اندازی تعهد امنیت در طراحی، اعلام کرد که شرکت‌هایی که به این ابتکار پیوسته‌اند، بهبودهای امنیتی چشمگیری داشته‌اند.

به گزارش کارگروه بین الملل خبرگزاری سایبربان، این تعهد با هدف ارتقای امنیت محصولات نرم‌افزاری و خدمات اینترنتی تدوین شده و شامل هفت هدف کلیدی است.

اهداف تعهد امنیتی آژانس امنیت سایبری و امنیت زیرساخت (CISA)

این تعهد شامل هفت هدف اصلی است:

1. گسترش احراز هویت چندعاملی (MFA) برای کاربران.
2. حذف گذرواژه‌های پیش‌فرض در سیستم‌ها.
3. حذف دسته‌های کامل از آسیب‌پذیری‌ها به جای رفع تک‌تک آنها.
4. افزایش نصب وصله‌های امنیتی توسط مشتریان.
5. انتشار سیاست افشای آسیب‌پذیری‌ها به‌صورت عمومی.
6. غنی‌سازی گزارش‌های آسیب‌پذیری با داده‌های بیشتر.
7. ارائه اطلاعات بیشتر به مشتریان درباره نفوذهای سایبری.

شرکت‌های امضاکننده تعهد، از جمله آمازون، مایکروسافت، فورتینت (Fortinet)، اوکتا (Okta) و سوفوس (Sophos)، هر کدام اقدامات متنوعی برای دستیابی به این اهداف انجام داده‌اند.

آمازون وب سرویس (AWS)
آمازون وب سرویس به عنوان یکی از بزرگ‌ترین پلتفرم‌های ابری جهان، پیشرفت‌های قابل توجهی در احراز هویت چندعاملی داشته است.

این شرکت از ماه ژوئیه ۲۰۲۴ الزام کرد که حساب‌های مدیران از احراز هویت چندعاملی برای ورود استفاده کنند.

همچنین آمازون وب سرویس از کلیدهای امنیتی فیدو۲ (FIDO2) که در برابر حملات فیشینگ مقاوم هستند، پشتیبانی می‌کند.

کریس بتز، مدیر ارشد امنیت اطلاعات آمازون وب سرویس، اعلام کرد که از آوریل ۲۰۲۴، نزدیک به ۷۰۰ هزار مشتری جدید برای اولین بار در احراز هویت چندعاملی ثبت‌نام کرده‌اند.

فورتینت
فورتینت، شرکت ارائه‌دهنده محصولات امنیت سایبری مانند سیستم‌های تشخیص نفوذ، بسیاری از اهداف این تعهد را پیش از پیوستن به آن محقق کرده بود.

این شرکت گذرواژه‌های پیش‌فرض را حذف کرده و داده‌های طبقه‌بندی نقاط ضعف رایج (CWE) را در گزارش‌های نقص‌های امنیتی (CVE) ارائه داده است.

همچنین، فورتینت به‌روزرسانی خودکار را در دستگاه‌های سطح ابتدایی فعال کرده و احراز هویت چندعاملی را برای کاربران سرویس‌های ابری خود اجباری کرده است.

فورتینت برای افزایش امنیت مشتریان، به آن‌ها کمک می‌کند تا از محصولات قدیمی به نسخه‌های جدیدتر که هنوز به‌روزرسانی می‌شوند، مهاجرت کنند.

مایکروسافت
مایکروسافت، سازنده محبوب‌ترین سیستم‌عامل جهان، به تعهد امنیت در طراحی پیوسته و حتی در برخی زمینه‌ها فراتر رفته است.

این شرکت از ژوئن ۲۰۲۴ شروع به انتشار نقص‌های امنیتی برای نقص‌های حیاتی در سرویس‌های ابری خود کرد، حتی اگر این نقص‌ها نیازی به اقدام مشتریان نداشته باشند.

در اکتبر، مایکروسافت استفاده از احراز هویت چندعاملی را برای کاربران سرویس‌های آژور (Azure)، انترا (Entra) و اینتیون (Intune) اجباری کرد.

همچنین، مایکروسافت در تلاش است تا کلاس‌های کاملی از آسیب‌پذیری‌ها را با استانداردسازی فناوری‌های هویتی حذف کند تا خطاهای احراز هویت کاربران کاهش یابد.

برت آرسنالت، معاون شرکت و مشاور ارشد امنیت سایبری مایکروسافت، بیان کرد که این شرکت اقدامات بیشتری برای افزایش دسترسی مشتریان به داده‌های نفوذ انجام داده است.

اوکتا
اوکتا که در زمینه مدیریت هویت و دسترسی فعالیت می‌کند، تاکنون سه مورد از اهداف هفت‌گانه تعهد را تکمیل کرده است: کاهش استفاده از گذرواژه‌های پیش‌فرض، انتشار سیاست افشای آسیب‌پذیری و غنی‌سازی نقص‌های امنیتی با داده‌های بیشتر.

دیوید برادبری، مدیر ارشد امنیت اوکتا، اعلام کرد که این شرکت در مسیر تکمیل چهار هدف دیگر تا مهلت یک‌ساله قرار دارد.

اوکتا همچنین تعداد رویدادهای مرتبط با امنیت را که در پلتفرم آن ثبت می‌شود، افزایش داده و اطلاعات بیشتری به این گزارش‌ها اضافه کرده است تا به تیم‌های امنیتی در درک بهتر تهدیدات کمک کند.

سوفوس
سوفوس اعلام کرد که تمام الزامات اصلی تعهد را پیش از پیوستن به آن تکمیل کرده است.

این شرکت قبلاً احراز هویت چندعاملی را برای تمامی کاربران الزامی کرده بود.

سوفوس در حال برنامه‌ریزی است تا به مشتریان اجازه دهد از توکن‌های امنیتی فیدو۲ برای ورود به پورتال‌های وب خود استفاده کنند.

همچنین، تا ژوئیه آینده، ویژگی‌های ثبت گزارش‌های امنیتی بیشتری به محصولات خود اضافه خواهد کرد.

بازخورد شرکت‌ها به تعهد آژانس امنیت سایبری و امنیت زیرساخت
آژانس امنیت سایبری و امنیت زیرساخت در حال بررسی راه‌های به‌روزرسانی و گسترش این تعهد در سال دوم است.

شرکت‌های امضاکننده از رویکرد انعطاف‌پذیر این تعهد استقبال کرده‌اند.

کارل ویندزور از شرکت فورتینت تأکید کرد که اهداف این تعهد برای شرکت‌های کوچک و بزرگ قابل دستیابی است.

ماجوری دیکمن از شرکت بلک بری (BlackBerry) نیز این تعهد را رویکردی واقع‌بینانه و متعادل توصیف کرد که برای سازمان‌های مختلف با سطوح مختلف بلوغ امنیتی قابل اجراست.

حتی شرکت‌هایی که با برخی جنبه‌های این تعهد موافق نیستند، آن را گامی مثبت برای بهبود امنیت سایبری صنعت نرم‌افزار می‌دانند.

کیمبرلی سامرا، سخنگوی گوگل، اظهار داشت: