ثبت بازخورد

لطفا میزان رضایت خود را از دیجیاتو انتخاب کنید.

واقعا راضی‌ام
اصلا راضی نیستم
چطور میتوانیم تجربه بهتری برای شما بسازیم؟

نظر شما با موفقیت ثبت شد.

از اینکه ما را در توسعه بهتر و هدفمند‌تر دیجیاتو همراهی می‌کنید
از شما سپاسگزاریم.

فناوری ایران

در رویداد «امن و امان» شرکت اسپارا بررسی شد: امن‌سازی از لایه زیرساخت شبکه تا لایه اپلیکیشن

اسپارا در تجربه پروژه‌های امن‌سازی وب‌سرورها موفق شده ۹۸ درصد از حمله تیم قرمز جلوگیری کند.

سوسن نوری
نوشته شده توسط سوسن نوری | ۶ اسفند ۱۴۰۳ | ۱۶:۵۳

شرکت اسپارا رویداد «امن و امان» را با هدف به اشتراک‌گذاری دانش و تجربه در حوزه امنیت سایبری برگزار کرد.

به گزارش دیجیاتو، این دورهمی امروز، دوشنبه ۶ اسفند ۱۴۰۳، در دومین روز با حضور فعالان و مدیران حوزه امنیت سایبری برگزار شد تا به دغدغه‌ها و مشکلات سازمان‌ها در این حوزه پرداخته شود. در این برنامه، مهم‌ترین راه‌های ورود به سازمان‌های کشور، نحوه استفاده مهاجمین از این نقطه ورود و ابزارها و راهکارهای امن‌سازی بیشتر بررسی شد.

مدیر تیم قرمز اسپارا در این رویداد گفت: «ما در اسپارا درحال ارائه خدمات تیم قرمز به مشتریانمان هستیم. تیم قرمز حملات سایبری را شبیه‌سازی می‌کند؛ همان روش‌هایی را شناسایی می‌کنیم که مهاجمان برای نفوذ به سازمان‌ها استفاده می‌کنند.»

«احمد قاضی» با بیان اینکه ما مانورهایی را در قالب هکرهای کلاه سفید در سازمان‌ها انجام می‌دهیم، توضیح داد: «تلاش ما بر این است که شبیه‌سازی کاملی از حملات پیشرفته‌ را که گروه‌های هکری از آنها علیه سازمان‌ها استفاده می‌کنند، اجرا کنیم. هدف نهایی تهیه گزارشی از نقاط ضعف سازمان‌ها و ارائه به آنهاست تا سازمان‌ها بتوانند برنامه‌ای برای ارتقای امنیتشان داشته باشند.»

به گفته او، «در این ارائه صحبت از یکی از راه‌های نفوذی است که تمام مهاجمان از آن استفاده می‌کنند. این راه نفوذی می‌تواند در زمان بسیار کوتاهی، خسارت بسیار زیادی به سازمان‌ها تحمیل کند. وب‌سرورها و وب‌اپلیکیشن‌ها ویترین سازمان هستند و به مشتریان خدمات ارائه می‌دهند؛ بنابراین اهمیت بالایی دارند.»

قاضی افزود: «در این وضعیت، شناسایی و پیاده‌سازی تکنیک‌ها و روش‌هایی که مهاجمان استفاده می‌کنند تا از وب‌اپلیکیشن‌ها سوءاستفاده و به شبکه سازمان نفوذ کنند، اهمیت می‌یابد.»

۶۰ درصد نقاط ورودی پروژه‌ها از طریق وب‌اپلیکیشن‌ها و وب‌سرورها

مدیر تیم قرمز اسپارا توضیح داد: «در همین زمینه، آمار اجرای عملیات تیم قرمز اسپارا نشان می‌دهد ۶۰ درصد نقاط ورودی پروژه‌ها از طریق وب‌اپلیکیشن‌ها و وب‌سرورها بوده است؛ یعنی توانسته‌ایم از آسیب‌پذیری سازمان‌ها و نفوذ به این سرویس‌ها جلوگیری کنیم. درحالی‌که طبق آمار جهانی و گزارشی که شرکت ورایزون سال ۲۰۲۴ ارائه داده، ۴۰ درصد حملات سایبری در دنیا روی وب‌سرورها و وب‌اپلیکیشن‌ها اتفاق می‌افتد.»

او اضافه کرد: «طبق بررسی انجام‌شده، تفاوت ۲۰ درصدی راه نفوذ در ایران و خارج از کشور به ۳ دلیل است: نخست، نبود ابزارهای مناسب در سازمان‌ها باعث شده نتوانند شبکه خود را امن‌سازی کنند؛ دوم، وضعیت فرایندهای توسعه امن وب‌اپلیکیشن‌ها و وب‌سرورها موجب شده شبکه‌های سازمان‌های ایران از راه وب‌سرورها و وب‌اپلیکیشن‌ها آسیب‌پذیرتر باشند؛ سوم، نبود نیروی متخصص منجر به افزایش آمار این حوزه در ایران شده است.»

تمرکز اصلی ما روی امنیت هویت‌هاست

در ادامه این رویداد، مدیر تیم امن‌سازی اسپارا گفت: «فعالیت ما در زمینه امن‌سازی است؛ چه زمانی که حمله‌ای در سازمانی اتفاقی افتاده باشد، چه قبل از اینکه بخواهد اتفاقی بیفتد. امن‌سازی ما معمولاً از لایه زیرساخت شبکه شروع می‌شود و تا لایه اپلیکیشن و دسترسی‌هایی که در ساختار شبکه وجود دارد، ادامه می‌یابد اما به‌صورت تخصصی فعالیت اسپارا روی ساختار اکتیودایرکتوری است که مربوط به Identity می‌شود. با این توضیح که تمرکز اصلی ما روی امنیت هویت‌هاست.»

«محسن امیری» با بیان اینکه باتوجه‌به آسیب‌پذیری‌ها و روش‌های مختلف نفوذ به وب‌اپلیکیشن‌ها، ما هم شیوه‌های متنوعی برای دفاع در برابر این حملات داریم، گفت: «صحبت امروز ما متمرکز بر امن‌سازی وب‌اپلیکیشن‌هاست. با این توضیح که روش استراتژی مهاجم مشخص است و می‌توانیم استراتژی تدافعی را براساس آن برنامه‌ریزی کنیم.»

به گفته او، «باتوجه‌به اینکه مهاجم قصد دارد مواردی را روی وب‌سرور انجام دهد و به آن حمله کند. هدف او ورود به شبکه است یا تغییر ظاهر وب‌سایت برای لطمه اجتماعی به سازمان زدن. در چنین وضعی، ما با استفاده از فرایندها، تکنیک‌ها و تعریف استانداردها می‌توانیم از حمله مهاجم جلوگیری کنیم تا این اتفاق برای سازمان نیفتد.»

مدیر تیم امن‌سازی اسپارا یادآوری کرد: «اگر قبل از اینکه مهاجم وب‌سرور را تغییر دهد، ما فرایند امن‌سازی را انجام دهیم؛ اصطلاحاً به آن رویکرد پرواکتیو یا رویکرد پیشگیرانه گفته می‌شود. به‌این‌ترتیب لطمه کمتری به سازمان زده می‌شود. با نگاهی به فرایند امن‌سازی و باتوجه‌به رویکرد مهاجم به وب‌سرورها می‌توان گفت درصد قابل‌توجهی از این حملات، به‌ویژه در ایران، کاهش می‌یابد.»

او با اشاره به اینکه رویکرد، روش‌ها و تکنیک‌های اسپارا معمولاً ترکیبی از استانداردهاست، گفت: «صرفاً بر استانداردی خاص تمرکز نداریم؛ به همین دلیل این استانداردها نه‌فقط در ایران بلکه در دنیا متمایز است. این طرز فکر که از ترکیب استانداردها نشأت می‌گیرد، نه‌فقط آسیب‌پذیری‌های فعلی ما را رفع می‌کند بلکه آسیب‌پذیری‌های موجود در دنیای وب‌سرورها را که درحال‌حاضر با چالش مواجه شده‌اند، هم از بین می‌برد.»

جلوگیری از ۹۸ درصد حمله تیم قرمز

امیری با اعلام اینکه تیم اسپارا در تجربه پروژه‌های امن‌سازی وب‌سرورها موفق شده ۹۸ درصد از حمله تیم قرمز جلوگیری کند، افزود: «۲ درصد انجام‌نشده ناشی از خطای انسانی بوده است. تیم قرمز دقیقاً همان حمله هکر واقعی را شبیه‌سازی می‌کند. البته که امنیت موضوعی نسبی است و نمی‌تونیم بگوییم ۱۰۰ درصد همیشه امن است. ممکن است آسیب‌پذیری ناشناخته‌ای بیاید که باید برای آن هم استراتژی داشته باشیم.»

مدیر تیم محصول اسپارا درباره محصول Identity Aware Proxy یا همون IAP نیز توضیح داد و گفت: «این محصول در اسپارا توسعه داده شده که راهکاری سازمانی برای دسترسی امن به وب‌اپلیکیشن‌هاست. این محصول کمک می‌کند دسترسی به اپلیکیشن‌هایی که داخل سازمان هستند، با احراز هویت انجام شود. همچنین کاربری که قصد وصل شدن به این سرویس‌ها را دارد، احراز هویت شود؛ با روش‌های پیشرفته مثل احراز هویت چندگانه با رمز دوم.»

«علیرضا ابراهیمی» افزود: «این محصول راهکاری برای جایگزینی برای راهکارهای قدیمی ریموت اکسس مثل وی‌پی‌ان است که در سازمان استفاده می‌شود. از نظر تجربه کاربری هم سرعت بسیار بالاتری می‌تواند برای کاربران داشته باشد. از طرفی، لازم نیست کلاینتی برای وی‌پی‌ان نصب شود که دردسر جدید ایجاد کند.»

اضافه شدن همه اپلیکیشن‌ها با استفاده از یک اپ

او توضیح داد: «یکی از فواید مهم که می‌تواند برای سازمان‌ها اهمیت داشته باشد این است که با استفاده از یک اپ می‌توانند همه اپلیکیشن‌های خود را -چه روی اپلیکیشن‌هایی که درحال‌حاضر نمی‌توانند تغییری ایجاد کنند یا توسعه بدهند یا پشتیبانی برای آن بگیرند- متدهای به‌روز و پیشرفته را با استفاده از توکن سخت‌افزاری اضافه کنند.»

به گفته ابراهیمی، «این امکان موجب می‌شود سازمان‌ها برای الزام‌های امنیتی که از سمت سازمان‌های بالادستی به آنها اعمال می‌شود، آماده شوند تا آنها را راحت‌تر روی این اپلیکیشن‌ها اعمال و پیاده‌سازی کنند.»

دیدگاه‌ها و نظرات خود را بنویسید
مطالب پیشنهادی