مقالات

تفاوت های آنتی‌ویروس کسپرسکای (Kaspersky) نسخه‌ی SELECT و ADVANCED

تفاوت‌های نسخه‌ی select و Advanced آنتی‌ویروس کسپرسکای (Kaspersky) 2. وجه تما...

آسیب پذیری Print Spooler با نام PrintNightmare

هنگامی‌که سرویس Windows Print Spooler به طور نامناسب عملیاتی را در سطح کاربری privileged انجام دهد، باعث میشود آسیب‌پذیری از نوع اجرای کد از راه‌ دور به شناسه CVE-2021-34527که اص...

Operational technology Cyber Security Management System(OT CSMS)

Operational technology Cyber Security Management System(OT CSMS) فناوری عملیاتی (OT): در ابتدایی‌ترین سطح، OT به فناوری اشاره دارد که دستگاه‌ها و فرآیندهای خاص را در گردش کار صنعتی، مانیتور وکنت...

مدل ATT & CK در راستای مستندسازی تاکتیک‌ها و تکنیک‌های مهاجمان بر اساس مشاهدات تکامل یافته و دنیای واقعی

مدل ATT&CK توسط MITER در سال 2013 ایجاد شد تا تاکتیک‌ها (چگونگی دستیابی) و تکنیک‌های مهاجمان (روش‌های مهاجمان) را بر اساس مشاهدات تکامل یافته و دنیای واقعی مستند کند. ATT&CK مخففAdvers...

بکارگیری پدافند غیرعامل و پدافند عامل در امنیت سایبری ICS

یکی از مدل‌های امنیت سایبری مدل ARC است. این مدل امنیت سایبری را به مجموعه ای از مراحل تقسیم می کند که به تدریج خطرات سایبری را کاهش می دهد. هر مرحله به یک مسئله امنیتی خاص، قابل درک، مانند ایمن سازی دستگا...

هوشمند سازی منابع اطلاعاتی در فضای آزاد (OSINT)

Open Source INTelligence اطلاعاتی است که "از مطالب موجود در دسترس عموم و در فضای آزاد دریافت شده است". در واقع OSINT اطلاعاتی است که بدون مهارت و ابزار تخصصی قابل دستیابی است، به عبارتی منابعی که...

معرفی استاندارد ایزو 20000-1:2018 و تفاوت های آن با نسخه 2013

این استاندارد بین المللی برای مدیریت کیفیت خدمات فناوری اطلاعات است، ISO20000 که مجموعه ای از الزامات استاندارد برای یک سیستم مدیریت خدمات فناوری اطلاعات (SMS) را فراهم می کند، لذا یکی از نیازهای حیاتی ساز...

بهترین فایروال های متن باز

فایروال بیشتر به دلیل محافظت از شبکه در برابر تهدید با فیلتر کردن ترافیک ورودی و خروجی و اطمینان از امنیت شبکه شناخته می شود. به طور کلی، فایروال به معنای فعال کردن برنامه یا سیستمی است که اساساً برای مسدود کرد...

معرفی استاندارد ISO-IEC 27701: استاندارد سیستم اطلاعات حریم خصوصی

این استاندارد از جدیدترین استانداردها در سری ISO 27000 است که شامل مواردی است که سازمانها هنگام اجرای PIMS (سیستم مدیریت اطلاعات حریم خصوصی) باید انجام دهند. استاندارد 27701 در پاسخ به GDPR (مقررات عمومی حفا...

چالش ها و تهدیدات شبکه

در يک تعريف ساده شبکه به مجموعه‌ای از دستگاه‌ها (کامپيوترها. ابزارها ازجمله pad و ... و device ها ازجمله router، Hub،switch و ... ) اطلاق مي‌شود که به‌نوعی باهم در ارتباط هستند. مؤلفه&...

راهنمای تکنیک‌های امنیت اطلاعات در استاندارد سیستم مدیریت امنیت اطلاعات ISO IEC 27003 : 2017

این استاندارد راهنمایی در مورد الزامات سیستم مدیریت امنیت اطلاعات (ISMS) را که در ISO / IEC 27001 مشخص شده ارائه می دهد و توصیه هایی ("باید") ، امکانات ("می تواند") و مجوزها ("ممکن&quot...

مدیریت ریسک در ITIL

فرهنگ لغات ITIL ریسک را به صورت زیر تعریف می‌کند : ریسک مخاطره‌ای است که در صورت بروز بر تحقق خروجی‌های مورد انتظار سازمان از سرویس موثر است. ریسک باعث عدم قطعیت نتایج عرضه‌ی سرویس می&zwn...

چالش ها و تهدیدات رایانش ابری

با بالا رفتن حجم عملیات محاسباتی و سنگین شدن این فرایند، جهشی عظیم در فناوری اطلاعات به‌نام «رایانش ابری» پدید آمد. در رایانش ابری منابع سخت‌افزاری، نرم‌افزاری بین کاربران و کار...

تکنیک های ارزیابی امنیتی نرم افزار

آزمون نفوذ نرم‌افزار چیست؟ آزمون نفوذ به فرایندی گفته میشود که در آن تیم نفوذ با بررسی دقیق برنامه‌های کاربردی در زمینههای مختلف همچون ضعف طراحی، مشکلات فنی، ضعف ارتباطات صحیح و غیره پردا...

مراحل تأسیس مرکز عملیات امنیت

مراحل تأسیس مرکز عملیات امنیت از منظر McAfee طرح ریزی مناسب اقدامی حیاتی برای توسعه و پیاده سازی است، بدین معنا که مانند هر برنامه ی امنیتی دیگر، پیاده سازی باید در فرایندی تکرار شونده انجام پذیرد تا به...

معرفی OWASP

کلمه OWASP مخفف شده Open Web Application Security Protocol Project است و یک پروژه غیر دولتی است که در آن به شما به عنوان یک کارشناس برنامه نویس تحت وب، معیارهایی که بایستی برای امن تر شدن نرم افزار خود بکار ببر...

سیاست های امنیت اطلاعات چیست

سیاست امنیت اطلاعات (Information Security Policy) مجموعه ای از سیاست های صادر شده توسط یک سازمان است تا اطمینان حاصل شود که تمام کاربران فناوری اطلاعات و رویه های موجود در حوزه‌ های مختلف سازمان، کنتر...

فرآیند تست نفوذ ، انواع تست و حملات

اگر دارای سازمان یا کسب و کاری هستید که با مشتریان زیادی در ارتباط هستید و اطلاعات و داده‌های کاربران را ذخیره می‌کنید و به ویژه هنگامی که شما در حال گسترش سازمان، یا در حال اجرای سیستم...

مراحل پیاده سازی سیستم مدیریت امنیت اطلاعات منطبق با ISO 27001:2013

در این مقاله بدون هیچ مقدمه‌ای، به تشریح مراحل پیاده‌سازی ISMS در سازمان‌هایی که تمایل به پیاده‌سازی این استاندارد توسط کارشناسان خود دارند، می‌پردازیم. فاز صفر: فرهنگ‌سازی...

مدیریت ظرفیت در طراحی سیستم مدیریت خدمات فناوری اطلاعات (ITIL V3)

مدیریت ظرفیت در فاز طراحی از سیستم مدیریت خدمات فناوری اطلاعات (capacity management in design phase of ITIL V3) مدیریت ظرفیت فرایندی است که در سراسر چرخه ی عمر خدمات فاوا توسعه می یابد....

اهمیت تست نفوذ یا آزمون نفوذپذیری در سازمان‌

امروزه با رواج حملات سایبری، اهمیت تست نفوذ سازمانی و آزمون نفوذپذیری به صورت منظم و دوره‌ای برای به‌دست آوردن اطمینان از عملکرد صحیح تمهیدات امنیتی بیشتر شده است. تست نفوذ یا Penetration Test یک...

انتخاب فایروال مناسب برای شبکه

یکی از مهمترین مسائل پشتیبانی شبکه‌های سازمانی، انتخاب فایروال (Firewall) مناسب می‌باشد. با وجود آنتی‌ویروس‌های که در شبکه‌ها مورد استفاده قرار می‌گیرد، فایروال‌ها یا دیو...

مقاله سفارشی‌سازی سلسله مراتب پیاده‌سازی متدلوژی ‎ITIL

مقاله ارائه راه‌کاری جهت بهینه‌کردن و سفارشی‌سازی سلسله مراتب پیاده‌سازی متدلوژی ‎ITIL در شرکت‌های ارائه‌دهنده خدمات فناوری اطلاعات در این مقاله که به...

تست یا آزمون نفوذ سنجی - Penetration Test چیست

تست نفوذ یا Penetration Test یک پروسه مجاز، برنامه‌ریزی شده و سیستماتیک برای به کارگیری آسیب‌پذیری‌ها جهت نفوذ به سرور، شبکه و یا منابع برنامه‌های کاربردی است. در واقع تست نفوذ روشی برای ارز...

امکان سنجی تغییرات و مدیریت تغییرات در ITIL

با توجه به اهمیت انجام تغییرات در سیستم‌ها و سرویس‌ها، مقاومت پرسنل در برابر انجام تغییر، پیچیدگی و حجم کار، گستردگی و نیاز به تفکیک وظایف افراد درگیر در تغییر، نیاز به یک سامانه یک‌پارچه جهت ثبت...

مدیریت حوادث در فاز عملیات ITIL

فرهنگ لغات ITIL حوادث را به صورت زیر تعریف می‌کند : هر رخدادی که جزئی از یک عملیات استاندارد سرویس نیست و به بروز وقفه یا کاهش کیفیت سرویس‌دهی منجر شده یا می‌شود. ‎(Steinberg,2011)‎&...

تست نفوذ Domain Controller

ممکن است در سازمانی قرار بگیرید که تمامی دسترسی‌ها بر بستر VDI باشد و این ارتباطات نیز توسط سرویس Domain Controller ویندوز دستخوش قانون گذاری شده باشد، برای تست نفوذ در این بستر (DC) ما از چهار طریق می&zwn...

نحوه شناسایی و تعیین محدوده پیاده سازی ISMS

تعیین محدوده ISMS سیستم مدیریت امنیت اطلاعات برگرفته شده از استاندارد بین المللی ISO/IEC 27001، ابزاری است برای شناسایی، مدیریت و به حداقل رساندن احتمال وقوع تهدیدات عمدی و غیرعمدی، که امروزه سازمان‌ه...

اهمیت امنیت اطلاعات در سازمان‌ها

در عصر حاضر توجه به امنیت در تمام عرصه‌های زندگی از مهمترین موضوعات به شمار می‌رود. موضوع امنیت اطلاعات در سازمان‌ها و به خصوص سازمان هایی که با اطلاعات حیاتی کار می‌کنند بسیار پررنگ‌تر...

اهمیت امنیت منابع انسانی در سازمان

امنيت اطلاعات يك مسألة حياتي است و امروزه سازمان‌ها در سراسر دنيا با آن روبه‌رو هستند. امنيت سيستم‌هاي اطلاعاتي، هم فناوري و هم افراد (عوامل انساني) را در برمي‌گيرد. یکی از جنبه&z...

چرا به مشاوره امنیت اطلاعات نیاز داریم ؟

مشاوره امنیت اطلاعات و موضوع امنیت اطلاعات امروزه در سازمان‌ها به منظور انتخاب و پیاده‌سازی فناوری‌های مناسب از جایگاه ویژه‌ای برخوردار می‌باشد. باور عمومی از واژه امنیت اطلاعات همواره...

تکنیک‌های جدید نرم‌افزارهای مخرب در رویارویی با سیستم‌های تحلیل خودکار تهدیدات(ATAS)

سیستم‌های خودکار بررسی تهدیدات (Sandboxes)، از روش‌های متعددی برای کشف و تشخیص بدافزارها استفاده می‌کنند. امروزه، بدافزارها از تکنیک‌های هوشمندانه‌ای برای دور زدن این سیستم‌ها استف...