به گزارش خبرنگار ایبِنا، بهرام یعقوب زاده آشوریان؛ رئیس گروه پایش و رسیدگی به رخدادهای شرکت مدیریت امن الکترونیکی کاشف در نشست تخصصی شناسایی، رسیدگی و عملیات جرمیابی دیجیتال رخداد؛ از شناسایی تا ریشهیابی، اظهار کرد: مرکز مدیریت امداد و هماهنگی رخدادهای رایانهای (ماهر)، مرکز پاسخگویی به حوادث فضای مجازی CERT در ایران است و به طور کلی سه خدمت فعالیتهای امداد و واکنشی، فعالیتهای پیشگیرانه و فعالیتهای ارتقاء سطح کیفیت امنیت را ارائه میکند. در اختیار گذاشتن و ثبت کردن تجارب مختلف در حوزه امنیت شبکه و نمونهبرداری از آن میتواند به ارتقا امنیت و سیستم دفاعی کمک کند.
وی با اشاره به یکی از اقداماتی که بانکها برای ارتقاء امنیت خود انجام میدهند، گفت: بررسی فایلهای نرمافزاهای کرک شده، برای تامین امنیت سیستم در بانکها از اهمیت ویژهای برخوردار است و بانکها میتوانند فایلهای کرک نرمافزارهایی که به صورت کرک شده استفاده میکنند را برای کاشف ارسال کنند تا تجزیه و تحلیل آن توسط تیم امنیتی کاشف انجام شده و برای بانک ارسال شود.
همچنین مهندس جمشیدی کارشناس امنیت شرکت مدیریت امن الکترونیکی کاشف در این نشست اظهار کرد: آمارهای جهانی نشان میدهد که آسیبپذیریهای سیستم از زمانی که شناسایی میشوند تا زمان برطرف شدن بین ۵۰ تا ۱۰۰ روز زمان میبرد و این در حالی است که تشکیل کمپینهای مهاجمان برای حمله از طریق آسیبپذیریها تنها سه روز طول میکشد، بنابراین شناسایی به موقع و سرعت در برطرف کردن آسیبپذیری و همچنین اقدامات لازم برای جلوگیری از نفوذ مهاجمان برای برقرار کردن امنیت سیستم بسیار مهم است.
وی افزود: یکی از راهکارهای حفظ امنیت شبکه، جدا کردن کاربری اصلی شبکه از دیگر کاربریها است تا دسترسی به کاربری اصلی محدود شود و مهاجم نتواند به راحتی به سیستم اصلی شبکه نفوذ کند. وقتی سیستم با تهاجم مواجه میشود، ذخیره و نگهداری ip مهاجمان میتواند به حفظ امنیت در آینده کمک کند، زیرا ممکن است مهاجم در آینده و از طریق یک آسیبپذیری دیگر قصد نفوذ داشته باشد.
جمشیدی در رابطه با نحوه شناسایی بدافزارهای مخرب و آدرس ip مهاجمان گفت: سامانه SIEM اطلاعات مناسبی در رابطه با آدرسهای ip و اینکه آیا آدرس ip مهاجم وجود دارد یا خیر و یا اینکه در حمله از چه بدافزاری استفاده شده است ارائه میدهد، که از آنها برای ارتقاء امنیت سیستم میتوان استفاده کرد. تکنیکها و جزئیاتی از نحوه عملکرد هر کدام از بدافزارها هم در این سامانه وجود دارد که میتوان از آنها استفاده کرد.
این کارشناس شرکت کاشف در ادامه تاکید کرد: در سامانه ویروس توتال مشخص میشود که ارسال فایلهایی که مشکوک به بدافزار هستند، توسط چه تعدادی از آنتیویروسهایی که وجود دارد، بدافزار تشخیص داده شده است.
وی افزود: بدافزارها در بین فایلهای نرمافزارهای کاربردی مثل فایرفاکس و دیگر موارد مخفی شده و با نفوذ در شبکه، اطلاعات سیستم عامل را در اختیار مهاجم میگذارند.
جمشیدی در پایان تصریح کرد: انواع مختلفی از تحلیلها وجود دارد که هر کدام اطلاعات خاصی از فایل ارائه میدهد. برای مثال در تحلیل پویا فایل مورد نظر در ابزارهای مانیتورینگ و دیگر ابزارها اجرا میشود تا نحوه کار آن مورد بررسی قرار گیرد. پس از شناسایی یک فایل با عنوان یک بدافزار میتوانیم آنها را برای تحلیل بدافزار برای یک کارشناس امنیت شبکه و یا کارشناسان ماهر ارسال کنیم تا جزئیات دقیقی درباره روش مقابله با آنها و اقدامات مورد نیاز در تامین امنیت شبکه مورد استفاده دریافت کنیم.