بایگانی ماهیانه: شهریور ۱۳۹۴

درب پشتی پایدار در برخی مسیریاب های سیسکو

اگر از مسیریاب (روتر) های سیسکو سری ۱۸۴۱، ۲۸۱۱ و ۳۸۲۵ استفاده می کنید لازم هست که مراقب وجود درپشتی (Backdoor) در Firmware این مدل ها باشید. این در پشتی که دو روز قبل توسط Fireeye رونمایی شد و با نام Synful Knock شناخته می شود به نفوذگر امکان کنترل کامل مسیریاب را از راه دور می دهد. روتر شما در صورتی آلوده شده که قبلاً به دلیلی مثل ضعیف بودن پسورد، به تسخیر نفوذگر درآمده و IOS ROMMON آن با یک ورژن آلوده جایگزین شده باشد. سیسکو اخیراً درباره طیفی از حمله های علیه  iOS هشدار داده بود:

سیسکو اخیراً درباره طیفی از حمله های علیه  iOS هشدار داده بود:

In all cases seen by Cisco, attackers accessed the devices using valid administrative credentials and then used the ROMMON field upgrade process to install a malicious ROMMON. Once the malicious ROMMON was installed and the IOS device was rebooted, the attacker was able to manipulate device behavior. Utilizing a malicious ROMMON provides attackers an additional advantage because infection will persist through a reboot.

به اینگونه درهای پشتی که از ابتدا در زمان ساخت کارخانه ای محصول درون آنها قرار داده شده یا مثل این مورد خاص، توسط نفوذگرها در سخت افزار یا سیستم عامل محصول قرار داده می شود، در اصطلاح Implant گفته می شود.

برای تشخیص اینکه روتر به این درپشتی آلوده هست یا خیر، روش های مختلفی بسته به نحوه دسترسی شما به آن وجود دارد، از جمله با اجرای فرمان در داخل روتر یا ارسال بسته های خاصی از راه دور و حتی اسکن با اسکریپت مخصوص این حمله توسط nmap ، که همه اینها در اینجا توضیح داده شده است.

 

اشتراک گذاری

بررسی آنلاین پسورد با ابزار کسپرسکی

کسپرسکی یک ابزار آنلاین برای بررسی میزان پیچیدگی و مناسب بودن پسورد راه اندازی کرده که با دریافت پسورد به طور تقریبی نشان می دهد که با استفاده از روش Brute Force چقدر زمان برای یافتن پسورد شما لازم است. طبیعتاً نباید پسوردهای واقعی خود را نه در اینجا و نه در هیچ ابزار مشابهی امتحان کنید!

اشتراک گذاری

پرونده آسیب پذیری های امنیتی محصول Fireeye

اختلاف بین شرکت دو شرکت امنیتی Fireeye و ERNW بر سر افشای چند آسیب پذیری از محصولات امنیتی Fireeye توسط محقق شرکت آلمانی ERNW به شدت مورد توجه گروه ها و افراد امنیتی قرار گرفته و بحث بر سر آن ادامه دارد.موضوع از این قرار است که شرکت Fireeye برای جلوگیری از افشای این آسیب پذیری ها از دادگاهی در آلمان حکم گرفته و این مسأله به مذاق فعالان امنیت خوش نیامده است.

شاید برای ما در ایران، اقدام از طریق دادگاه خیلی طبیعی به نظر برسد، اما بر عکس در کشورهای پیشرفته، افشای مسئولانه (Responsible Disclosure) آسیب پذیری های محصولات تجاری امنیتی و غیر امنیتی، تا جایی که نقض قوانین مالکیت معنوی، حریم شخصی و حقوق تجاری به حساب نیاید، یک عرف و رسم پذیرفته شده است. با توجه به فضای به شدت رقابتی و دید مثبتی که نسبت به هکرهای قانونمند در دنیا وجود دارد، معمولاً شرکت ها تلاش می کنند ارتباط مثبتی با آنها داشته باشندو در نتیجه مواردی مثل پرونده اخیر fireeye ، یا موردی که در سال ۲۰۰۵ برای سیسکو پیش آمد، با برخورد تند فعالان امنیت مواجه می شود.

شرکت fireeye سعی کرده اتفاقات رخ داده در این مورد خاص را توضیح دهد و نشان دهد که به عنوان یک شرکت امنیتی (که بعضاً محققان خودش هم در موارد افشای مسئولانه آسیب پذیری های دیگر شرکت ها حضور دارند)، رابطه خوبی با اجتماعات هکرها و محققان امنیت دارد. این شرکت توضیح داده که در چند ماه اخیر جلسات متعددی با ERNW داشته و بر سر کلیه جزئیات فنی گزارش هایی که قرار بوده توسط ERNW از این آسیب پذیری ها افشا شود، توافق کرده اما این توافق در مراحل پایانی با شکست مواجه شده چون محقق مورد اشاره نپذیرفته که برخی جزئیات داخلی، کدها و معماری محصول مورد بحث را افشا نکند.

اینکه دو طرف این دعوا، هر دو شرکت های امنیتی هستند از دیگر ویژگی هایی است که این پرونده را از موارد مشابه قبلی متمایز کرده است.

گزارش مفصلی از این پرونده در اینجا.

و در پایان این پرسش که چه زمانی قابلیت های درونی و کیفیت مناسبات بازیگران فناوری اطلاعات و امنیت در ایران به حدی از بلوغ خواهد رسید که شاهد اینگونه بحث ها بین محققان ایرانی و تولیدکنندگان محصولات داخلی (چه امنیتی و چه غیر امنیتی) باشیم؟

اشتراک گذاری

مهاجرت متخصصان امنیت

استاد ارجمندم آقای دکتر رسول جلیلی در مصاحبه ای که با نشریه بانکداری الکترونیک داشتند، در زمینه مهاجرت متخصصان امنیت به خارج گفته اند:

در موضوع ماندگاری من آمار دقیقی ندارم که الان ارائه کنم، اما می‌توان این قضاوت را داشت که شیب مهاجرت نیروی انسانی در حوزه امنیت از متوسط نرخ مهاجرت در کل ICT کمتر است. دلیل آن هم این است که کسانی که به سراغ موضوع امنیت در کشور می‌روند، نوعاً به نسبت متوسط افرادی که در کل حوزه ICT هستند، دغدغه ملی، ارزشی و تعلق خاطر بیشتری به کشور دارند. یعنی بخشی از نیروها صرفاً به خاطر درآمد و آینده کاری وارد این حوزه نشده‌اند،‌ بلکه به این فکر بوده‌اند که چه چیزی بخوانند که مؤثرتر باشد، چون این مسائل خاستگاه ورود آنها به این حوزه بوده، ماندگاری این طیف نیروها بیشتر بوده است، در عین حال که برخی ممکن است به دلیل ادامه تحصیل یا دلایل دیگر مهاجرت کرده‌اند و برخی هم پس از چند سال تجربه کاری مهاجرت کرده‌اند. در حوزه‌های تحصیلی هم وضعیت به همین ترتیب است، ولی این کل ماجرا نیست. از آن طرف به کسی که می‌خواهد امنیت بخواند، در کشورهای دیگر نگاه خاص‌تری وجود دارد و نوعاً محدودیت‌هایی برای آنها قائل هستند. وقتی این مسائل را با وضع داخلی، انگیزه‌ها و قدرت جذب داخلی و بیرونی تلفیق کنیم،‌ مصالحه‌ای شکل گرفته است که شیب مهاجرت در حوزه امنیت به نسبت کمتر بوده است. البته در این حوزه ما برون‌رفت نیرو داریم، اما جذب نیرو از خارج نداشته‌ایم و برای انجام پروژه‌ها معمولاً از نیروهای داخلی استفاده کردیم و نزدیک به صد درصد نیاز داخلی را با توان داخلی مرتفع کردیم.

اشتراک گذاری

ادعای تقلب علیه کسپرسکی

خبر چندان جدید نیست و مربوط به حدوداً ۲۰ روز پیش هست: یک کارمند سابق کسپرسکی طبق ادعای رویترز گفته که این شرکت افرادی را برای انجام مهندسی معکوس روی آنتی ویروس های رقیب استخدام کرده تا از این طریق بتواند فایل هایی تولید کند که آنتی ویروس های رقیب اشتباهاً آنها را به عنوان بدافزار تشخیص دهند، به عبارت دیگر، در آن محصولات False Positive ایجاد کند.

اشتراک گذاری

ارتباط بین مرکز عملیات امنیت و مرکز پاسخ به حوادث: فاصله بین شناسایی و پاسخ

از بین ده ها مسأله ای که در طراحی مرکز عملیات امنیت در یک سازمان دارای سطح بلوغ قابل قبول باید حل شود، مسأله جایگاه SOC و CERT ، نسبت آنها با یکدیگر و نحوه ارتباط آنها با هم مورد توجه زیادی است و اهمیت خاصی هم دارد. این مسأله در اکثر قریب به اتفاق راه حل های جامع SOC به نوعی مورد توجه قرار گرفته است. در بسیاری از مستندات فنی و مفهومی SOC یا استانداردها (اگر بتوانیم مستندات موجود را استاندارد بنامیم) نیز به این مسأله پرداخته شده است. به طور خلاصه می توانیم بگوییم که یک نسخه و فرمول ثابت در پاسخ به مسأله نسبت SOC باCERT یا CSIRT وجود ندارد و بسته به ماهیت سازمان، وضعیت فعلی آن و برداشتی که از فرآیندهای SOC و CSIRT وجود دارد، می توان این ارتباط را طراحی کرد. به عنوان مثال، در یک جا می توان این دو را در هم ادغام کرد، به طوری که مرکز فوریت های امنیتی یا گوهر در دل SOC قرار بگیرد. ممکن هم هست که بنا به ضرورت، این دو را به شکل دو واحد سازمانی مستقل از یکدیگر اما در ارتباط با هم دید.

اما صرفنظر از جنبه شکلی این ارتباط، باید بر اهمیت جنبه ماهوی و فرآیندی این دو مرکز تأکید شود. بخش بسیار مهمی از فرآیند امنیت اطلاعات عبارت است از شناسایی (Detection) و پاسخ (Response) که هر دو نهاد SOC و CERT بیشترین نقش را در این دو بخش بر عهده دارند. طبعاً یکی از پاسخ هایی که انتظار می رود در طراحی SOC وجود داشته باشد، میزان سهم و مسئولیت هر یک از دو نهاد در شناسایی و پاسخ است.

در همین زمینه به نکته کلیدی زیر از این یادداشت توجه کنید:

If your SOC and CIRT (at the higher end of the organizational security maturity) work really well – but not together – the chance that the attacker will WIN and you will LOSE is still very high, despite all the technology investments.

اشتراک گذاری

بررسی شهرت آدرس ها با استفاده از سرویس های رایگان

یکی از ابزارهای مورد نیاز برای مقابله با تهدیدهای امروزی برای یک شبکه بزرگ، مدیریت دسترسی آدرس های IP خارجی بر اساس شهرت (Reputation) آنها است. این یکی از جنبه های هوش امنیتی (Security Intelligence) است که کمک می کند آدرس های IP بدخواه که از نفوذگر بودن آنها مطمئن هستیم را در لبه شبکه شناسایی و مسدود کرده و در نتیجه لایه های داخلی شبکه را از درگیری با این آدرس ها معاف کنیم. برای این منظور، سرویس های رایگان متعددی در اینترنت وجود دارد. به عنوان مثال:

www.ipvoid.com و http://anti-hacker-alliance.com

این دو سرویس، رابطی بین شما و تعدادی از لیست های سیاه عمومی هستند که با جستجوی یک IP در آنها و اطمینان از اینکه بدخواه است، می توانید آن را در لیست سیاه شبکه خود قرار دهید.

اشتراک گذاری

اثربخشی امنیت: بایدها و نبایدها

این یادداشت، برگرفته از ارائه من در دومین سمینار سالانه امنیت در مرکز فابا است که خرداد ۹۴ برگزار شد و در شماره ۶۱ مجله بانکداری الکترونیک هم چاپ شده است. (دانلود فایل مقاله)

اثربخشی امنیت: باید­ها و نبایدها

مقدمه

با وجود اینکه بسیاری از سازمان­ها برای مقابله با تهدیدها و دور ماندن از خطرات موجود در فضای سایبر تلاش می­کنند، اما تعداد کمی می­توانند ادعا کنند که اقداماتشان به اندازه کافی اثربخش است. منظور از اثر بخشی، برآورده ساختن هدف مورد نظر از طریق اجرای اقدامات برنامه ریزی شده است. حوادث متعددی که اخبار آنها هر روز به گوش می­رسد و هر بار نام سازمانی را در فهرست قربانیان حملات هدفمند سایبری قرار می­دهند نشان می­دهد که اثربخشی امنیت یک چالش عمده در حال حاضر است. به عنوان مثال، اخیراً اداره مدیریت پرسنل (OPM) دولت ایالات متحده مورد نفوذ هکرها  قرار گرفت و بیش از بیست میلیون رکورد حاوی پرونده اطلاعات شخصی و اداری پرسنل دولتی به سرقت رفت. دولت ایالات متحده مدعی است که این حمله توسط چین انجام شده، هر چند چین این موضوع را رد می­کند. رئیس این اداره در پی این رسوایی مجبور به استعفا شد. یکی دیگر از موارد قابل توجه، حمله موسوم به Carbanak به بیش از ۱۰۰ بانک در کشورهای مختلف اروپایی و امریکای شمالی است که در فوریه ۲۰۱۵ افشا شد. ویژگی متمایزکننده این حمله نسبت به بسیاری از نفوذهای دیگر در شبکه­ های بانکی، نفوذ به شبکه داخلی بانک­ها است. در حالی که حملات مشابه معمولاً به شرکت­های وابسته به بانک­ها انجام می­شد. در Carbanak ما با طیف وسیعی از روش­های سوء استفاده بر اساس نفوذ به شبکه داخلی و تسخیر کلاینت­های کنترل­ کننده سیستم­های بانکی مواجه هستیم. در این حمله مانند بسیاری از حملات امروزی، از ارسال ایمیل حاوی فایل آلوده برای کارمندان بانک­ها استفاده شده است که در اصطلاح به آن Spear Phishing گفته می شود. علاوه بر حوادث فوق، می­توان به نفوذ به شرکت Target در سال ۲۰۱۳، یکی از بزرگترین فروشگاه­های زنجیره­ای در آمریکا و کانادا نیز اشاره کرد. در این نفوذ، اطلاعات بیش از ۴۰ میلیون کارت مشتریان فروشگاه به علاوه بیش از ۷۰ میلیون رکورد اطلاعات شخصی مشتریان به سرقت رفت. طبق آمارهای اعلام شده سهام این شرکت با افت ۴۶ درصدی روبرو شد و حدود ۲۰۰ میلیون دلار برای ابطال کارت­های به سرقت رفته و صدور کارت­های جدید هزینه گردید. گفته می­شود که حدود ۱۱۰ میلیون نفر از شهروندان ایالات متحده به نوعی در این حادثه درگیر شده­ اند. نکته جالب توجه آن است که مرحله اول این حادثه با نفوذ به شبکه یک شرکت پیمانکار تهویه این فروشگاه­ها و سرقت مجوزهای دسترسی راه دور این شرکت به شبکه داخلی فروشگاه انجام شده است. به نمونه­ های متعدد دیگری مانند بدافزار Backoff مربوط به پایانه­های فروش، بدافزارهای استاکس‌نت و فِلِیم، حملات اکتبر سرخ (Red October) و APT1 نیز می­توان اشاره کرد.

با توجه به مقدمه فوق، و با در نظر داشتن اینکه مشاهدات نگارنده از میانگین وضعیت امنیت در فضای سایبری کشور نشان دهنده امکان رخداد مشابه این حوادث البته در مقیاس بسیار کوچک­تر در داخل کشور است، نگاهی به عوامل اثربخش نبودن اقدامات امنیتی سازمان­ها در ادامه خواهیم داشت.

برخی دلایل موفقیت حملات

“امنیت یک فرآیند است، نه یک محصول” جمله­ ای است که بارها در سال­های گذشته آن را شنیده­ ایم. این جمله توسط Bruce Schneier یکی از صاحبنظران برجسته امنیت اطلاعات در اواخر دهه ۹۰ میلادی به منظور آسیب­شناسی وضعیت امنیت سایبری در آن سال­ها مطرح شد و به شدت مورد توجه نیز قرار گرفت. عدم توجه به فرآیند امنیت و تکیه بر محصولات و فناوری­ها معضلی بود که در ابتدای فراگیر شدن شبکه­ و اینترنت در میان سازمان­ها به شدت احساس می­شد، اما امروزه در دنیای پیشرفته نمی­توان به سادگی چنین ادعایی داشت. تأکید فراوان انواع استانداردهای امنیتی بر موضوع فرآیند امنیت باعث بدیهی شدن آن برای بسیاری از سازمان­ها شده است. اما در کشور ما به نظر میرسد که هنوز در این حوزه ضعف وجود دارد و بسیاری از سازمان­ها عملاً نتوانسته­ اند به درک درستی از این جمله کلیدی دست پیدا کنند.

 

همانگونه که در شکل مشخص است، اگر هدف اقدامات را به سه دسته پیشگیری از حملات، شناسایی نفوذ­ها و حملات و نیز پاسخ به حملات دسته بندی کنیم، آنگاه سه رکن اساسی در موثر بودن این اقدامات ایفای نقش می­کنند:

– فناوری

– نیروی انسانی

– فرآیند

در صورتی که به این سه رکن به صورت متوازن و به اندازه کافی توجه نشود، سازمان نمی­تواند انتظار اثربخشی امنیت را داشته باشد.

یکی از معضلات فعلی در بازار امنیت کشور، توجه بی­رویه به رکن فناوری است که از دو دهه قبل تا امروز همچنان ادامه دارد. روندهایی که در حدود دو دهه گذشته در فناوری­های امنیتی مورد توجه بازار داخلی مشاهده می­شود را می­توان به صورت زیر بیان نمود:

– اواخر دهه ۷۰: آنتی ویروس

– سال ۸۰ تا ۸۵: فایروال و PKI

– سال ۸۴ تا ۸۹: ISMS (سیستم مدیریت امنیت اطلاعات)

– سال ۸۸ تا امروز: SOC (مرکز عملیات امنیت)

نکته جالب توجه اینجا است که در خصوص ISMS و SOC اساساً ما با راه حل­هایی چند لایه شامل انواع فناوری­ها و فرآیندها و نیز نیروی انسانی مواجه هستیم، اما متأسفانه حتی در این دو مورد هم نگاه مبتنی بر محصول به وضوح در بسیاری از سازمان­ها دیده می­شود. بررسی اینکه بازیگران داخلی هر کدام چه نقشی در تغییر این نگاه یا دامن زدن به آن داشته و می­توانند داشته باشند نیاز به فرصتی جداگانه دارد.

در نقطه مقابل، روندهایی که امروزه در دنیای پیشرفته در حال رشد است و شرکت­ها و افراد در تلاش برای توسعه راه­ حل­های مربوط به این روندها هستند، عبارتند از:

– Big Data + Security

– Data Driven Security

– Threat Intelligence

– Next-generation Security Products

در ادامه به برخی نکات کلیدی در سه بخش فناوری، فرآیند و نیروی انسانی امنیت اشاره می­کنیم.

ایجاد شبکه قابل دفاع

بسیاری از سازمان­هایی که مورد نفوذ هکرها قرار می­گیرند بودجه مناسبی را صرف خرید و نصب تجهیزات و نرم­ افزارهای امنیتی کرده­ اند. با این حال، خرید و نصب این فناوری­ها پایان کار نیست. در واقع، شبکه سازمان باید با استفاده از این فناوری­ها به درجه ای برسد که به آن شبکه قابل دفاع (Defensible) گفته می­شود. این اصطلاح اولین بار توسط Richard Bejlitch ، از صاحبنظران برجسته در زمینه امنیت شبکه در سال ۲۰۰۷ به کار گرفته شد و مورد توجه زیادی قرار گرفت. خصوصیات یک شبکه قابل دفاع عبارتند از:

– پایش شده: شبکه­ای قابل دفاع است که رخدادهای آن به طور مداوم تحث پایش امنیتی (Security Monitoring) با استفاده از فناوری­ها و روال­های مربوطه است.

– فهرست شده: شبکه­ای قابل دفاع است که لیست دارایی­های موجود در آن، حتی کوچکترین و کم اهمیت ترین دارایی­ های آن اعم از نرم­ افزارها، سخت افزارها، تجهیزات جانبی و غیره شناخته شده و دائماً به روز شوند.

– تحت کنترل: شبکه قابل دفاع، شبکه­ای به شدت کنترل شده است که عملکرد کلیه اجزای شبکه، دسترسی­ ها، جریان اطلاعات و غیره در آن به طور کامل تحت کنترل، نظارت و مدیریت است.

– کوچک شده: شبکه­ ای قابل دفاع است که ابعاد آن از هر نظر در کوچکترین اندازه مورد نیاز باشد. به عبارت دیگر، تعداد و تنوع اجزا، نرم افزارها، پورت­ها و به طور کلی سطح حمله (Attack Surface) این تا حد امکان کوچک است.

– ارزیابی شده: در یک شبکه قابل دفاع، ارزیابی امنیتی به طور مداوم در کلیه لایه­ها انجام می­شود.

– به روز: در یک شبکه قابل دفاع، به روز رسانی به صورتی یک فرآیند مداوم با اولویت بالا در تمام لایه­ ها شامل برنامه­ های کاربردی، سیستم عامل­ها و غیره چه در سرورها و چه در کلاینت­ ها و تجهیزات انجام می­شود.

تمرکز بر معماری امنیت

معماری امنیت به بیان ساده توصیف کننده اجزای امنیتی و نحوه ارتباط آنها در راستای دستیابی به اهداف امنیت در سطح شبکه (یا کل سازمان) است. یکی از معضلات دیده شده در بسیاری از سازمان­ها، عدم رعایت توازن در چیدمان ابزارهای امنیتی است. به عنوان مثال، توجه صرف بر ایمن­سازی دروازه­های ورودی شبکه (Gateways) و غفلت از ارتباطات داخلی بین سرورها یا عدم توجه به امنیت کلاینت­ها یکی از این خطاها است. اصول الزامی در طراحی و اجرای معماری امنیت عبارتند از:

– ایجاد دفاع چند لایه

– اجرای اصل حداقل دسترسی مورد نیاز

– ایجاد دید جامع (Total Visibility) نسبت به کل شبکه

– بهبود تصویر کلی (Big Picture) امنیت به جای اقدامات پراکنده

اگر بخواهیم به معماری امنیت اطلاعات از جنبه فنی نگاه کنیم، لازم است به ۲۰ کنترل امنیتی پیشنهادی موسسه SANS اشاره کنیم. این ۲۰ کنترل را می­توان فصل مشترکی برای اکثر سازمان­ها در نظر گرفت. بنابراین سازمان می­تواند وضعیت اجرای این کنترل­ها را بررسی نموده و تصویری از معماری امنیت خود به دست آورد.

فرآیند ونیروی انسانی

همانطور که اشاره شد، جنبه­ های فرآیند و نیروی انسانی نیز در جای خود اهمیت ویژه دارند. چند اصل عمومی در این دو جنبه وجود دارند که باید به آنها توجه کرد:

– لازم است اولویت امنیت اطلاعات را در مقایسه با اهداف دیگر کسب و کار افزایش دهیم.

– تلاش کنیم که تقابل میان وظایف اصلی افراد و وظایف امنیتی آنها کاهش یابد.

– امنیت نیاز به برنامه و بودجه مستقل دارد.

– امنیت یک کار تخصصی بوده و نیاز به نیروی تمام­ وقت دارد.

 

 راهکارهایی برای مدیر ارشد امنیت اطلاعات (CISO)

اگر شما مدیر یا مسئول امنیت سازمان خود هستید، احتمالاً با این تجربه روبرو شده­اید که در بسیاری از سناریوها، نقش شما بیشتر مشاوره­ای است تا اجرایی. به طور کلی مدیران امنیت نسبت به دیگر مدیران از جهان­بینی متفاوتی برخوردارند، گفتمان متفاوتی را استفاده کرده و در نتیجه معمولاً قدرت اجرایی کمتری نسبت به دیگر مدیران دارند.

 تعامل با مدیران: شما نیاز دارید که حمایت و نظر مثبت بدنه مدیریتی سازمان را جلب کنید. لذا باید توانایی ایجاد تعامل و گفتمان با همه رده­ های مدیریتی را داشته باشید. همچنین به یاد داشته باشید که باید جزئیات فنی را در حد لازم نگاه داشته و بیشتر با زبان مخاطرات امنیت با آنها صحبت کنید.

توجیه بودجه: برای توجیه هزینه­ های امنیت، بهترین روش آن است که این هزینه­ ها را در قالب هزینه پروژه­ های جاری سازمان بسته­ بندی کنید. در نتیجه، اثر منفی این هزینه­ ها در دیدگاه مدیران کاهش می­یاید. همچنین سازمان­ها و شرکت­های رقیب را در نظر داشته باشید و بدانید که بودجه درخواستی شما منطقاً نباید فاصله خیلی زیادی با سازمان­های مشابه شما داشته باشد.

ثبت و گزارش موفقیت­ها: شما باید دائماً اثر مثبت هزینه­ های انجام شده تا کنون را به مدیران خود یادآوری کنید، البته با ارائه اسناد و خروجی­های مناسب. این کار باعث می­شود که این نتایج به تدریج به عنوان ملاک سنجش عملکرد عادی سازمان پذیرفته شوند.

رابطه مناسب با همه مدیران و بدنه فنی سازمان: این را به یاد داشته باید که این شما هستید که به حمایت دیگر مدیران سازمان نیاز دارید. در صورت بروز اختلاف، معمولاً امنیت جزو اولین گزینه­ های متضرر خواهد بود.

حرکت به صورت آهسته و پیوسته: برنامه­ های امنیتی را به صورت قدم به قدم و آهسته اجرا کنید. به عنوان مثال، پیش از پیشنهاد خرید تجهیزات، اطمینان حاصل کنید که از همه قابلیت­ها تجهیزات موجود استفاده می­کنید. همچنین نمونه­ های رایگان ابزارها را تست کنید.

ایجاد خط­ مشی­ های قابل توجیه: سعی کنید که از یک الگوی ساده، واضح و بومی که مناسب سازمان شما باشد برای تدوین خط مشی­های امنیتی استفاده کنید. همچنین به فرهنگ سازمان و توانایی­ های فنی مخاطب خط­مشی توجه کمنید. در صورتی که خط مشی شما از این ویژگی­ها تبعیت نکند به سرعت با صداهای مخالف مواجه خواهید شد. حتماً سعی کنید که خط­ مشی­ ها را با مشارکت ذینفعان، به خصوص بدنه فنی سازمان، تدوین کنید. سعی کنید نظرات آنها را بشنوید، منطق راه­ حل پیشنهادی خود را توضیح دهید و ابهام­ ها را برطرف کنید، در عین حال شفاف و بدون تعارف عمل کنید.

(دانلود فایل مقاله)

اشتراک گذاری

الگوی قفل اندروید، نه چندان بهتر از کلمات عبور: انسان ها قابل پیش بینی هستند!

الگوی قفل اندروید (Android Locl Pattern) روشی برای شناسایی کاربر سیستم اندروید ارائه می کند که قرار است مشکلات انتخاب، حفظ و نگهداری کلمه عبور (پسورد) و پین کد را از دوش کاربر بردارد.

اما مطالعات نشان می دهد که الگوی تصویری هم چندان غیرقابل حدس نیست و درصد بالایی از افراد از الگوهای مشابه استفاده کرده یا روش های قابل پیش بینی را برای ایجاد الگوی خود استفاده می کنند. Marte Løge به عنوان بخشی از پایان نامه کارشناسی ارشد خود با بررسی حدود ۴۰۰۰ الگوی مورد استفاده کاربران اندروید به نتایج زیر رسیده است:

  • در بسیاری از موارد، رابطه ای بین حرف اول نام فرد یا یکی از نزدیکان او با الگوی ساده مورد استفاده وجود دارد.
  • ۴۴% الگوها یعنی چیزی نزدیک به نصف، از سمت چپ ترین نقطه بالای صفحه (نقطه شمال غربی) شروع می شوند!
  • ۷۷% الگوها از یکی از نقاط چهار گوشه صفحه شروع می شوند.
  • طول الگوهای به طور میانگین، ۵ نقطه است که به معنی حدود ۹۰۰۰ ترکیب مختلف است.
  • درصد بالایی از الگوها فقط شامل ۴ نقطه هستند که این موجب کاهش تعداد الگوهای ممکن به زیر ۲۰۰۰ تا می شود.
  • در اکثر موارد، الگو از نقاط بالا و سمت چپ شروع و به سمت راست و پایین ادامه می یابد.

این مطالعه به تفکیک کاربران زن و مرد انجام شده و نتایج آنها با هم  مقایسه شده است.

منبع

 

اشتراک گذاری