بایگانی ماهیانه: آبان ۱۳۹۱

مسأله روز: SIEM

با نگاهی به گذشته به نظر می رسد که در هر مقطع زمانی، توجه سازمان ها به موضوعی در حوزه امنیت بیش از موضوعات دیگر جلب می شود و به قولی پرداختن به موضوعی خاص “مُد” می شود. یک روز فایروال stateful، روز دیگری UTM ، در مقطعی دیگر IDS و امروز: SIEM .

بخشی از این روند، طبیعی بوده و تابع روندی است که در دنیا در حال طی شدن است. اما گاهی ما در این میان، جاهای خالی و کمبودهایی داریم که بدون توجه به آنها، مستقیماً به سراغ آنچه بحث روز دنیا است می رویم و نتیجه می شود یک ساختار ظاهراً مدرن اما در عمل بلااستفاده. در این میان بازاری هم برای سوء استفاده برخی، از شرایط تحریم و بحث های بومی سازی و غیره پیش می آید و بعضاً توسط آنها به تداوم این روند دامن زده می شود.

این روزها موضوع SIEM هم بحث روز شده و اگر نبود این مشکلات ناشی از تحریم و سخت گیری شدید برندهای خارجی، احتمالاً هر روز شاهد هزینه دهها هزار دلار برای خرید SIEM توسط سازمان ها بودیم. اما آیا هر تجهیز و تکنولوژی جدیدی را یکباره باید وارد شبکه سازمان کرد؟ آیا غالب سازمان های کشور، آمادگی و حتی نیاز به استفاده از SIEM را دارند و به حدی از بلوغ برای استفاده از این فناوری رسیده اند؟ پاسخ در بسیاری از موارد منفی است …

اشتراک گذاری

ابزاری برای جمع آوری اطلاعات اولیه وب سایت

Web-Sorrow ابزاری برای جمع آوری اطلاعات اولیه امنیتی وب سایت ها است. این ابزار مبتنی بر perl است و برای اجرای در ویندوز باید مفسر perl فراهم باشد. ابزار به صورت command line بوده و ساده و مفید است. چند مثال از نحوه استفاده از آن:

basic: perl Wsorrow.pl -host scanme.nmap.org -S

stealthy: perl Wsorrow.pl -host scanme.nmap.org -ninja -proxy 190.145.74.10:3128

scan for login pages: perl Wsorrow.pl -host 192.168.1.1 -auth

CMS intense scan: perl Wsorrow.pl -host 192.168.1.1 -Ws -Cp all -I

most intense scan possible: perl Wsorrow.pl -host 192.168.1.1 -e

dump http headers: perl headerDump.pl

Check if host is alive: perl hdt.pl -host 192.168.1.1

اشتراک گذاری

مدیریت لاگ ها

سازمان های بزرگ معمولاَ از برندهای مختلفی تجهیزات امنیت خریداری می کنند. مثلاَ در یک سازمان ممکن است از سه یا چهار برند مختلف، فایروال و IPS وجود داشته باشد. اما آیا درست است که برای مدیریت لاگ ها و گزارش گیری از این تجهیزات هم محصول مربوط به هر برند را جداگانه تهیه نمود؟ گاهی دیده می شود که با وجود نصب چند دستگاه Log analyzer در شبکه سازمان، به محض اینکه برند جدیدی خریداری می شود، دستگاه لاگ و گزارشگیری آن هم سفارش داده می شود. درست است که معمولاً تجهیزات با برند مشابه بهتر و سازگارتر با هم کار می کنند، اما این توجیهی برای عدم تمرکز و مدیریت غیریکپارچه لاگ ها نیست. 

اشتراک گذاری