مروری بر امکانات SELKS

SELKS یک توزیع مبتنی بر Debian ، ساخته شده بر پایه سیستم تشخیص و پیشگیری از نفوذ Suricata و قدرت گرفته از ELK است. شرکت Stamus Networks این توزیع را به صورت متن باز منتشر کرده و البته نسخه تجاری آن را هم که حاوی امکانات بیشتر و پشتیبانی و غیره است تولید کرده است. SELKS از ابتدا یک سیستم تشخیص نفوذ بود که به تدریج امکانات مختلف NSM هم به آن اضافه شد. با استفاده از Scirius امکان راهبری Suricata و استفاده از امکانات شکار تهدید وجود دارد. با استفاده از EveBox امکان مدیریت Event ها و Escalate کردن و آرشیو و … وجود دارد. صدها قابلیت از پیش آماده برای ساختن داشبورد و گزارش، در کنار ده ها داشبورد آماده، از دیگر امکانات SELKS است. به طور خلاصه، امکانات رایگان SELKS به راحتی شما را به یک سنسور تشخیص نفوذ و NSM مفید مجهز می کند. کافی است در هر ناحیه از شبکه که نیاز به پایش و تحلیل ترافیک دارید، یک کپی از ترافیک را به سنسور SELKS ارسال کنید. رقبای SELKS را می توان Zeek و SecurityOnion دانست.

اشتراک گذاری

اسکنر آسیب پذیری مبتنی بر Nmap

Nmap با استفاده از اسکریپتهای متنوعی که در بخش NSE ارائه می کند، می تواند فراتر از یک پورت اسکنر ساده عمل کند. در سال های اخیر ابزارهای متعددی برای تسهیل استفاده از اسکریپتهایNSE ارائه شده است. یکی از این ابزارها، Flan نام دارد که یک اسکنر آسیب پذیری مبتنی بر Nmap است که توسط کلاودفلیر ارائه شده است.

اشتراک گذاری

مسأله سازمان های دارای بیش از یک SIEM

گذر زمان نشان می دهد که بسیاری از چالش های امنیت سازمانی در کشورهای مختلف تکرار می شوند و فقط زمان دچار شدن به این چالش ها متفاوت است. در موضوع SOC تقریباً تمام اتفاقاتی که مشاهده می کنیم، قبلاً در سازمان های خارجی دیده شده و به عنوان تجربیات مثبت منفی آنها، بیان شده است. از جمله، سازمان هایی که دارای بیش از یک SIEM هستند. زندگی با چند SIEM اصلاً منطقی نیست، اما به نظر می رسد که واقعی است:

https://medium.com/anton-on-security/living-with-multiple-siems-c7fea37c5020

 

 

اشتراک گذاری

معادل فارسی برای Security Orchestration

یکی از مشکلات همیشگی ما در مواجهه با پدیده های جدید، دو راهی استفاده از نام پدیده به زبان اصلی یا پیدا کردن معادل مناسب برای آن است. گاهی آن پدیده از دنیایی آمده که قبلاً در آنجا معادل سازی انجام گرفته اما گاهی هم این اتفاق صورت نگرفته است. نداشتن معادل فارسی وقتی دردسر ساز است که می خواهیم از آن کلمه در متن های نوشتاری استفاده کنیم. بعضی افراد کلمه بدون معادل را با حروف فارسی می نویسند. من در صورتی این کار را انجام می دهم که آن کلمه، مثل تلفن، در زبان فارسی جا افتاده و پذیرفته شده باشد. در غیر اینصورت کلمه را با حروف انگلیسی می نویسم. اینها را گفتم تا به عبارت Security Orchestration برسم. آیا معادلی که بتواند مفهوم این عبارت را به خوبی برساند، وجود دارد؟

اشتراک گذاری

منع ورود برخی دانشمندان رمزنگاری به آمریکا

بعد از اینکه Adi Shamir به خاطر مشکل ویزا نتوانست در رویداد RSA 2019 و به خصوص پنل رمزنگاران که هر ساله  با حضور او تشکیل می شود شرکت کند، Ross Anderson استاد رمزنگاری دانشگاه کیمبریج هم نتوانسته وارد آمریکا شود. این موضوع باعث طرح این سوال شده که آیا اخیراً محدودیتی برای ورود این قشر به آمریکا وضع شده و آیا لیست سیاهی در این زمینه وجود دارد؟

اشتراک گذاری

گزارش DBIR 2019

شرکت Verizon مطابق روال هر سال، گزارش موسوم به DBIR را منتشر کرد. این گزارش بر نوع خاصی از حوادث امنیتی که  Data Breach یا افشای اطلاعات نام دارد، متمرکز است. گزارش امسال حاصل بررسی بیش از ۴۱ هزار حادثه امنیتی است که بیش از ۲ هزار حادثه، از نوع افشای اطلاعات بوده است.

اشتراک گذاری

قابلیت های مرکز عملیات امنیت آینده

ارائه ای از Splunk در مورد قابلیت های مورد انتظار مرکز عملیات امنیت که در کنفرانس RSA انجام شده است.

تمام ارائه های کنفرانس RSAC 2019 از اینجااینجا قابل مشاهده و دریافت است.

اشتراک گذاری

استانداردهای جدید PCI برای امنیت نرم افزارهای پرداخت

انجمن PCI دو استاندارد جدید در حوزه امنیت نرم افزار منتشر کرده است که جایگزین استانداردهای قبلی از جمله PA-DSS خواهد شد.

استاندارد اول، “نیازمندی ها و روال های ارزیابی چرخه حیات نرم افزار امن” را بیان می کند.

 

 

استاندارد دوم، “نیازمندی ها و روال های ارزیابی نرم افزار امن” را ارائه می کند.

 

 

به نظر می رسد که استانداردهای جدید، علاوه بر پوشش اهداف PA-DSS، توجه ویژه ای به الزامات مهندسی نرم افزار امن در چرخه حیات توسعه نرم افزار داشته باشند.

اشتراک گذاری

بحث درباره چیستی و تاریخچه شکار تهدید و نشانه های نفوذ

هفته گذشته گفتگویی بین دو نفر از افراد شناخته شده امنیت سایبری در مورد شکار تهدید (Threat hunting) و نشانه های نفوذ (Indicators of Compromise) در توئیتر و بعد در وبلاگهای این دو نفر انجام شد که مطالعه آنها برای افراد فعال در زمینه دفاع سایبری، تشخیص نفوذ و فارنزیک مفید است. Richard Bejlitch و Robert M. Lee بهترین افرادی هستند که می شود انتظار داشت درباره شکار تهدید و نشانه های نفوذ با هم مناظره کنند. بحث از توئیت زیر شروع شد:

بعد از شکل گرفتن بحث در توئیتر، در مورد اینکه آیا شکار تهدید بخشی از تشخیص نفوذ است یا خیر، چند پست توسط هر دو نفر در وبلاگها منتشر شد.

Hunting vs. Incident Response vs. Just Doing Your 

More on Threat Hunting

Threat Hunting, TTPs, Indicators, and MITRE ATT&CK – Bingo

The Origin of the Term Indicators of Compromise (IOCs)

مطالعه این چند یادداشت و توئیت های مربوطه به جز جنبه فنی و آموزشی خوبی که برای افراد علاقه مند دارد، از لحاظ فرهنگی و اخلاقی هم مفید است. اینکه دو فرد صاحب نظر چطور در مورد یک موضوع مورد اختلاف با هم بحث می کنند و دیدگاه دیگری را نقد می کنند. نکته دیگر اینکه به کار بردن کلمات و اصطلاحات در جا و معنای درست تا چه اندازه اهمیت دارد.

اشتراک گذاری