نتیجه جستجوی عبارت 'نفوذپذیری'
Generic placeholder image
چالش‌های مقررات انضباطی حوزه امنیت اطلاعات در سازمان‌های دولتی و خصوصی

امروزه موضوع فناوری اطلاعات و ارتباطات و البته امنیت آن، به یکی از مباحث اصلی کشور تبدیل گشته و با سایه افکندن این فناوری بر تمامی شئون زندگی مردم، مسائل و چالش‌های مختلف حقوقی را پدید آورده است. در حال حاضر در ساختارهای دولتی و خصوصی کشور، دستورالعمل ها و آئین نامه های برخورد انضباطی با کارکنان وجود دارد؛ اما متاسفانه، مکانیزم برخورد با تخلفات امنیت اطلاعات چندان شفاف نیست.با توجه به اینکه مقررات انضباطی به‌عنوان یک الزام در حوزه امنیت منابع انسانی در استانداردها محسوب میشود در این مقاله تلاش شده است به این موضوع به‌عنوان یکی از دغدغه های حوزه امنیت اطلاعات توجه شود و به چالش های این مسئله پرداخته شود.

نویسنده: احمد فرجی

دسته بندی: سیستم مدیریت امنیت اطلاعات

Generic placeholder image
اینترنت اشیا و راه‌های محافظت از آن در برابر نفوذگران

اینترنت اشیا (IoT) به عنوان انقلاب صنعتی آتی شناخته می‌شود. این فناوری بستری جهت اتصال و تعامل دستگاه‌های مختلف با یکدیگر و یا انسان فراهم می‌کند. در واقع، اینترنت اشیا افراد را قادر می‌سازد تا اشیای مورد استفاده خود را از راه دور و به کمک زیرساخت‌های اینترنتی مدیریت و کنترل کنید. با توجه به گسترش روزافزون استفاده از تجهیزات IoT و اتکای آنها بر ارتباط با شبکه گسترده ارتباطی، تأمین امنیت این اکوسیستم از یکسو حیاتی و از سوی دیگر پیچیده است. در این مقاله ضمن معرفی اجمالی IoT و اجزای اکوسیستم آن، به بررسی برخی آسیب پذیری های امنیتی و راهکارهای مقابله با آنها می پردازیم.

نویسنده: کسرا حسین پور

دسته بندی: ارزیابی امنیتی

Generic placeholder image
انواع حملات مرد میانی و راههای مقابله با آن

حمله مرد میانی (MITM: Man In The Middle) شکلی از استراق سمع فعال است که در آن حمله‌کننده یا همان هکر پیام‌های مبادله شده بین دو سیستم هدف در یک شبکه را شنود و بازپخش می‌کند؛ به گونه‌ای که دو طرف یک پیام را متقاعد کند که با یکدیگر به‌طور مستقیم صحبت می‌کنند؛ در حالی که تمام مکالمات توسط حمله‌کننده کنترل می‌شود. این حمله می تواند در لایه دو یا سه اتفاق بیفتد.این حمله یکی از خطرناکترین حملات در شبکه های کامپیوتری است. دلیل اهمیت این حمله آن است که در اکثر مواقع کاربر متوجه نمی شود که مورد حمله قرار گرفته و اطلاعات او مورد سواستفاده قرار می گیرند.

نویسنده: محمد کیانی

دسته بندی: ارزیابی امنیتی

Generic placeholder image
آسیب پذیرترین اپلیکیشنها از نظر امنیت سایبری: اپلیکیشنهای حوزه مالی، بازی و سلامت

اپلیکیشنهای موبایلی زندگی انسانها را در حوزه های مختلفی مانند مالی، سرگرمی و خرده فروشی متحول کرده اند. کاربران به دریافت خدمات غیرحضوری، سریع و برخط (Online) عادت کرده اند و سازمانها نیز از این موضوع بعنوان یک مزیت رقابتی جهت افزایش رضایتمندی مشتریان و مخاطبان خود استفاده می کنند. بررسی سرمایه گذاری سازمانها برای تولید اپلیکیشنهای جدید در حوزه های مختلف، نشان دهنده درک این واقعیت توسط آنهاست. اما متأسفانه علیرغم رشد چشمگیر توجه سازمانها به مقوله امنیت، حدود 54% از سازمانها به امنیت اپلیکیشنهای موبایلی خود، کمتر از سایر زیرساختها (مانند وب سایت و شبکه) اهمیت می دهند.

نویسنده: علی مهرآبادی

دسته بندی: امنیت برنامه های موبایل

Generic placeholder image
یکپارچه‌سازی خروجی تست نفوذپذیری با فرآیند مدیریت ریسک امنیت اطلاعات

ارزیابی ریسک به عنوان یکی از اصلی ترین الزامات ISMS محسوب می شود. استخراج و ارزیابی آسیب پذیری های فنی که عمدتا از فرآیند تست نفوذپذیری منتج می شوند نیز سهم عمده ای را در این بخش در اختیار دارد. با توجه به تنوع رویکردهای ارزیابی ریسک های فنی و فرآیندی، یکی از دغدغه مدیران در این خصوص این است که تست نفوذپذیری چگونه باید انجام شود و نتایج آن چگونه با نتایج فرآیند مدیریت ریسک یکپارچه شود. در این مقاله ابتدا کلیات فرآیند مدیریت ریسک تشریح شده و قید خواهد شد که در هر گام، چگونه خروجی تست نفوذپذیری در نتایج مدیریت ریسک ادغام خواهد شد.

نویسنده: محسن دهقان

دسته بندی: مدیریت ریسک

Generic placeholder image
گزارش تحلیلی از امنیت اپلیکیشن‌های بانکی و پرداخت داخلی و بین‌المللی

در میان اپلیکیشن‌های موبایلی، امنیت اپ‌های حوزه بانکی و صنعت پرداخت که در آنها اطلاعات مالی و حساس مشتریان مبادله می‌شود، دارای اهمیتی ویژه است. در این پژوهش تلاش شده است تا با بررسی شرایط امنیتی اپلیکیشن‌های صنعت بانکداری و فعالان نظام پرداخت جمهوری اسلامی ایران و مقایسه آن با شرایط جهانی، دورنمایی از وضعیت امنیتی آنها ارائه شود. نتایج کسب‌شده نشان می‌دهد، متأسفانه امنیت بعنوان یک عامل اتکا و اعتماد مشتریان، توسط قسمت عمده فعالان این صنعت جدی گرفته نمی‌شود. در پایان نیز پیشنهاداتی جهت بهبود شرایط امنیتی این اپلیکیشن‌ها ارائه شده است.

نویسنده: علی مهرآبادی

دسته بندی: امنیت برنامه های موبایل

Generic placeholder image
ایجاد دسترسی با استفاده از Named Pipes

در بسیاری از موارد، زمانیکه تیم ارزیابی امنیتی و تست نفوذپذیری در سازمان‌های مختلف برای گرفتن دسترسی از سیستم هدف تلاش می نمایند، با مکانیزم‌های دفاعی و کنترل های امنیتی بکارگرفته شده توسط سازمان برای دفع حملات برخورد می کنند. در این مقاله ضمن معرفی مفهوم Named Pipe، یکی از روش‌هایی را معرفی خواهیم نمود که توسط تیم تست نفوذ آشنا ایمن به منظور دور زدن برخی از این قبیل محدودیت ها و مکانیزم‌های دفاعی استفاده می‌شود.

نویسنده: کسرا حسین پور

دسته بندی: ارزیابی امنیتی

Generic placeholder image
تجزیه و تحلیل بدافزار PDF

در عصر ارتباطات و تکنولوژی امروزی، فایل‌های PDF جزو جدا نشدنی بستر انتقال اطلاعات بین افراد می‌باشند. در نگاه اول این فایل‌ها تنها حاوی اطلاعاتی در قالب نوشته و مستند هستند که می توانند شامل متن، کلمات و یا عکس‌های معمولی باشند. اما در نگاهی دقیق‌تر بر روی این فایل‌ها می‌توانیم به پتانسیل آلوده سازی و خطرناک بودن آن‌ها و سوء استفاده‌های مختلف از طریق این فایل‌ها پی ببریم. در این مطلب قصد داریم تا یک فایل PDF آلوده را مورد بررسی قرار دهیم و به نتایج یک Malware Analysis ساده برسیم.

نویسنده: کسرا حسین پور

دسته بندی: ارزیابی امنیتی