عادل کریمی اسلایدهای ارائه خودش در جلسه ماهانه Ruxmon در سیدنی رو درباره هانی پات ها برای دانلود قرار داده. این اسلایدها به صورت مفید و مختصر داستان هانی پات و روندهای جدید اون رو ذکر می کنه.

آشنایی من با عادل به وبلاگ امنیت وب (websecurity.ir) یعنی حدود ۱۰ سال پیش بر میگرده و بعد از اون در پروژه های متعددی با هم همکاری داشتیم. عادل علاوه بر اینکه یک متخصص حرفه ای امنیت هست، یک عکاس فوق العاده هم هست و میتونید از دیدن عکسهاش در پس زمینه فایل ارائه لذت ببرید.

وضعیت بازار و فرصت های شغلی امنیت اطلاعات یکی از پربحث ترین موضوعاتی بوده که افراد چه به صورت حضوری در محافل مختلف و چه از طریق ایمیل از من سوال می کنند. همینطور وقتی با دوستان و آشنایانم از همکاران قدیمی و جدید که بعضی از آنها سال ها در این بازار سابقه فعالیت داشته و از افراد شناخته شده هستند صحبت می کنیم، معمولاً یکی از موضوعات بسیار مورد توجه، مربوط به بازار و فرصت های شغلی می شود.

اگر به بخش بازار و مشاغل در این وبلاگ مراجعه کنید، مطالب مختلفی از جمله گزارش های مربوط به روندها و جهت گیری های بازار امنیت اطلاعات در دنیا را خواهید یافت که من معمولاً در صورت مشاهده، سعی می کنم در اینجا معرفی کنم.

کمبود نیروی متخصص نسبت به نیاز بازار امنیت، یک روند جهانی است و معمولاً اینگونه روندها به فاصله چند سال، در ایران هم تکرار خواهد شد. به این گزارش نگاه کنید.

اگر سیستم شما آلوده به یکی از بدافزارهای باجگیر Coinvault یا Bitcryptor شده، با این ابزار کسپرسکی می توانید به رایگان فایل های خود را نجات دهید.

گزارش تحلیلی Burning-Glass از بازار امنیت سایبری در ایالات متحده حاوی اطلاعات جالبی از جایگاه های شغلی، میزان درآمد، دوره های آموزشی و زمینه های کاری امنیت سایبری است. سهم بالایی از جایگاه های شغلی مورد نیاز، به امنیت اطلاعات سلامت (Healthcare Cyber Security) اختصاص دارد.

یک هکر آلمانی روشی برای نفوذ به خودپردازهای شرکت Wincor Nixdorf معرفی کرده که از طریق آن به اطلاعات حساس داخلی خودپرداز دست پیدا کرده است. اهمیت این موضوع آنجاست که گویا محصولات این شرکت در ایران هم استفاده می شود. جزئیات در اینجا.

امنیت سایبری در اتوموبیل های جدید که به انواع فناوری های کامپیوتری و شبکه مجهز هستند، یکی از داغ ترین موضوعات روز دنیا است و به خصوص بعد از نمایش نحوه نفوذ به خودروهای کرایسلر در اکثر کنفرانس ها و محافل امنیت مورد توجه ویژه قرار گرفته است.

اخیراً یک کنفرانس دو روزه به طور اختصاصی ا همین موضوع در ژاپن با نام escar برگزار شده است. با نگاهی به سرفصل ها و خلاصه سخنرانی ها می توان دریافت که امنیت سایبری در خودروها دارای چه جنبه ها و ابعادی است.

سیسکو شرکت Lancope را که تولید کننده محصولات پایش و تحلیل ترافیک شبکه است به قیمت ۴۵۲ میلیون دلار می خرد.

مرکز طراحی امن وابسته به IEEE Computer Society با هدف تأکید بر طراحی امن سیستم های کامپیوتری (به جای تمرکز صرف بر یافتن باگ ها از طریق تست نفوذ) توسط گروهی از متخصصان امنیت نرم افزار از جمله دکتر Gary McGraw و با حمایت شرکت های مطرح مثل گوگل، توییتر، EMC و … ایجاد شده است.

از جمله مستندات این مرکز، اجتناب از ۱۰ ایراد برتر امنیتی در طراحی نرم افزار است، که مطالعه آن به شدت توصیه می شود. راهکارهای ارائه شده در این مقاله عبارتند از:

۱- اعتماد را به صورت واقعی دریافت یا ارائه کنید، اما هرگز آن را مبتنی بر فرضیات بنا نکنید.

۲- از مکانیزمی برای احراز هویت استفاده کنید که قابل دور زدن یا نفوذ پذیر نباشد.

۳- پس از احراز هویت، حتماً بررسی مجوزها را انجام دهید.

۴- دستورات کنترلی و داده ای را به شیوه ای سختگیرانه از هم جدا کنید، و هرگز دستورات کنترلی دریافتی از منبع غیرقابل اعتماد را اجرا نکنید.

۵- روشی صریح برای اعتبارسنجی تمام داده ها تعریف کنید.

۶- رمزنگاری را به شیوه ای صحیح به کار گیرید.

۷- داده های حساس و شیوه مدیریت آنها را تعیین کنید.

۸- همواره کاربران را در نظر داشته باشید.

۹- توجه کنید که یکپارچگی نرم افزار با قطعات خارجی چه تأثیری بر سطح حمله (Attack Surface) نرم افزار می گذارد.

۱۰ – انعطاف پذیری لازم را در خصوص تغییرات آینده اشیاء و اکتورها در نظر داشته باشید.