پاورپوینت تهدیدات امنیتی و الزامات آن

بخشی از پاورپوینت

اسلاید 1 :

تهدیدات امنیتی و الزامات آن

اسلاید 2 :

مقدمه
Threat : یک خطر بالقوه است که ممکن است از یک آسیب پذیری استفاده کند.
Exploit : وقتی تهدید بالفعل شود که ممکن است فیزیکی باشد یا یک فرآیند باشد .

اسلاید 3 :

Risk
Risk = تاثیر *احتمال وقوع تهدید

Risk =Threat + vulnerability

اسلاید 4 :

مواجهه با ریسک ها
1. Risk Acceptance

2. Risk Avoidance

3. Risk Transfer

4. Risk Mitigation

5. Risk Detterance

اسلاید 5 :

Client side attack
1. RootKit
2. Botnet&Zombie

3. logic Bomb

4. Ransomware
5. advanced persistent Threat(APT)
6. phishing
7.Smishing
8. pharming

اسلاید 6 :

Bad Rabbit
یک باج افزار است که ابتدا به سرورهای روسیه و اکراین و سپس به ترکیه و آلمان حمله کرده است.
کامپیوترهای آلوده به سمت لینکی با پسوند onion. هدایت میشوند که دامنهای از شبکه Tor است و در آنجا از کاربر خواسته میشود در ازای حفظ اطلاعاتش مبلغ ۰.۰۵ بیتکوین (حدود ۲۷۶ دلار) پرداخت کند.

کارشناسان ESET می گویند باج افزار از طریق دانلود درایور و تزریق جاوااسکریپت در بدنه اچ تی ام ای وب سایتها قربانی میگیرد و بدین صورت است که کاربری وارد یک سایت شده و سایت برای دیدن فایل فلش از کاربر میخواهد تا فلش پلیر خود را آپدیت کند. کاربر قربانی نیز شروع به دانلود فایل آپدیت کرده و باج افزار را روی سیستم خود نصب میکند که به اصطلاح به این متد smoke screen می گویند.

اسلاید 7 :

Detection&Prevention
Rootkit : آپدیت آنتی ویروس ، گرفتن patch ها ، نپذیرفتن فایل های ناشناخته attach شده به ایمیل ها
Lane Davis and Steven Dake - wrote the earliest known rootkit in the early 1990s.
NTRootkit – one of the first malicious rootkits targeted at Windows OS.
HackerDefender – this early Trojan altered/augmented the OS at a very low level of functions calls.
Machiavelli - the first rootkit targeting Mac OS X appeared in 2009. This rootkit creates hidden system calls and kernel threads.
Greek wiretapping – in 2004/05, intruders installed a rootkit that targeted Ericsson's AXE PBX.
Zeus, first identified in July 2007, is a Trojan horse that steals banking information by man-in-the-browser keystroke logging and form grabbing.
Stuxnet - the first known rootkit for industrial control systems

اسلاید 8 :

Detection&Prevention
Botnet&Zombie :

Zeus Botnets

سرعت کم و cpu usage بالا
مشکل با دسترسی به اینترنت
ایجاد ترافیک SMTP outgoing به دلیل ایجاد spam
تشخیص از طریق honeypot

روش های جلوگیری :

مانیتورینگ
Patch نرم افزارها
ابزارهای شناسایی بدافزار مثل آنتی ویروس، فایروال ، IDS، anti-bot programs

اسلاید 9 :

انواع ویروس ها
1. parasitic : از یک میزبان استفاده میکنند و دنبال یک فایل هستند که خود را اجرا کنند .

2. companion : یک برنامه با همان اسم و ظاهر برنامه اصلی میسازد .

3.polymorphic : شکل خود را تغییر میدهند .

4. Retro virus : هدفشان خود آنتی ویروس است و میخواهند آنتی ویروس از کار بیافتد.

5. Stealth : سعی دارد خود را از دید پردازش های آنتی ویروس مخفی نگه دارد .

اسلاید 10 :

Smurf attack
فرستادن چندین پیام ping که باعث میشود سرور
Down شود .

امروزه با ids ها جلوی این نوع حملات را گرفته اند .

اسلاید 11 :

Web Attack
1 . Cross site scripting (xss)

2. Directory traversal

3. Cross site request forgery (CSRF )

4 . Sql enjection

اسلاید 12 :

XSS vs. CSRF
Cross-Site Request Forgery یا csrf  يک نوع حمله هست که در آن هکر به قرباني يه لينک خاص که حاوي کد جاوا اسکريپت خطرناک است را ارسال ميکند و قرباني آن لينک رو باز مي کند و … بقيه ماجرا که هر اتفاقي ممکن است بيفتد.
اما در xss که بهش Cross-Site Scripting هم ميگن هکر از
يه راه مثل کامنت يه اسکريپت خطرناک در ديتابيس سايت ذخيره
مي کند. حالا هر کاربري وارد آن مطلب شود آن اسکريپت خودکار
اجرا ميشود و هر اتفاقي براي قرباني ممکن است بيفتد! حمله
xss به css هم معروف است و در واقع يکي هستند.

اسلاید 13 :

Directory traversal
در وب سرور ها دو دسته محافظت انجام میشود : 1 . Access control list 2. root directory

IIS version5
Ip/scripts/../../winnt/system32/cmd.exe?/c dir
Winnt
Inet pub
System 32
cmd.exe
scripts
wwwroot
scripts
html

اسلاید 14 :

جلوگیری از XSS
جلوی script code را بگیریم به عنوان مثال کاربر درفرمها فقط بتواند نام و نام خانوادگی خود را وارد کند نه url و script .

هر چیزی که چاپ میکنید فیلتر یا اسکیپ کنیم قبل از نشان دادن یا چاپ کردن مقادیر ورودی کاربر (یا مقادیری که کاربر قبلاً ثبت کرده است)، حتماً آنها را Escape کنید. اسکیپ کردن دادههای HTML این امکان را فراهم میکند تا چیزی که قرار است چاپ شود، توسط مرورگر به عنوان کد HTML شناخته نشده و فقط به عنوان یک متن عادی نشان داده شود.

NOSCRIPT SECURITY SUITE

اسلاید 15 :

WAF (Web Application Firewall)
انواع حملات قابل تشخیص :

SQL injection

Cross Site Scripting(XSS)

Cross Site Request Forgery(CSRF)

Buffer OverFlow

Denial Of Servise(DOS)

Malicious Robots و ..

اسلاید 16 :

ابزارهایی برای ارزیابی Web
Burpe Suite : ابتدا باید یک پروکسی سرور داشته باشیم بعد هر درخواستی که روی مرورگری که پروکسی سرور روی آن ست شده ، انجام شود میتوانیم با این ابزار آن را عوض کنیم یا آن را dropکنیم.
به دلیل اینکه میتوان درخواست ها را مشاهده
کرد میتوان درخواست های ناخواسته ای
که توسط خود سایت ایجاد میشود را مشاهده
و یا drop کرد .

اسلاید 17 :

ابزارهایی برای ارزیابی WEB
Acunetix :

بررسی آسیب پذیری های متداول همچون SQL Injection ، XSS Injection و Command Injection
توانایی اسکن همزمان با سرعت بالا
ارائه گزارش های جامع از نتایج تست امنیت و تهدیدات شناسایی شده
قابلیت اسکن پورت و چک نمودن سرویس های شبکه
دارای اسکنر کاملا خودکار برای تست وب سایت های Ajax و برنامه های کابردی Web2

اسلاید 18 :

ابزارهایی برای ارزیابی WEB

اسلاید 19 :

ابزارهایی برای ارزیابی WEB
Netsparker :
نرم افزار تست امنیت Netsparker Professional برای شناسایی باگ ها و مشکلات وب سرور میباشد.
برای یافتن خطا در تنظیمات وب سرور، جستجوی مشکلات و آسیب ها و حتی یافتن نقاط  قوت XSS ها در ورودی های SQL یا به طور مثال لو رفتن اطلاعات پایگاه داده، آدرس های ایمیل و یا فایل های مخفی هکر ها به کار می روند.

راحتی استفاده و عدم نیاز به هیچ گونه راهنما
اسکن فوق پیشرفته و سریع
ساپورت کامل AJAX/JavaScript/HTML5
اسکن کامل وب سرویس ها
قابلیت یافتن ضعف های امنیتی و امکان گزارش گیری از آن

اسلاید 20 :

ابزارهایی برای ارزیابی WEB