اصول امنیت اطلاعات شماره ۲

در ادامه مبحث ارائه شده در خصوص اصول امنیت اطلاعات در مقاله قبل که به معرفی اصول مقدماتی و پیش نیاز پرداخته شد، در این مقاله به معرفی و بررسی سایر اصول و قواعد امنیت اطلاعات که به عنوان قواعد اصلی و پایه ای در نظر گرفته می شوند، می پردازیم:

۸امنیت فیزیکی: امنیت فیزیکی یکی از اقدامات پایه ای در امنیت اطلاعات محسوب می شود. بدون کنترل های کافی در امنیت فیزیکی، سایر تلاش ها برای امن سازی اطلاعات بسیار سخت و حتی غیرممکن است. امنیت فیزیکی نیاز به زیرساخت ها و تجهیزاتی دارد که بتواند خطر سرقت، تخریب و دستکاری را کاهش دهد. امنیت فیزیکی به صورت تک لایه ای مانند کنترل تردد به ساختمان برای مقابله با خطرات کافی نیست و نیاز است از یک رویکرد لایه ای برای کاهش دسترسی های غیرمجاز و خرابی سامانه ها و تجهیزات استفاده شود. در این راستا باید از تجهیزات مختلف و چیدمان لایه ای برای دسترسی مجاز به سامانه ها، زیرساخت شبکه، تجهیزات فناوری اطلاعات و ارتباطات و رسانه ها استفاده کرد. از جمله تجهیزات می توان به کنترل تردد و احراز هویت چندعاملی، دوربین های نظارتی، اطفاء حریق و… اشاره نمود.

۹امنیت کارکنان: کارکنان به عنوان افرادی که می توانند به طور مجاز و قانونی به امکانات، دارایی ها، سامانه ها و سایر افراد سازمان دسترسی داشته باشند، ممکن است به طور عمدی یا غیرعمدی اقدام به بهره برداری غیرقانونی و آسیب رساندن به آنها نماید. سازمان ها باید با شناخت تهدیدات داخلی و استفاده از یک چارچوب مشخص برای امنیت کارکنان، ریسک های ممکن را مدیریت نمایند. حضور کارکنان در اقدامات خرابکارانه، افشای اطلاعات و سرقت تجهیزات، می تواند نقش مهمی را در تخریب اعتبار، عملیات، بهره وری و مالی سازمان داشته باشد. ناآگاهی کارکنان در مورد مسئولیت های امنیتی شان و نقش آنها در حفاظت از سامانه ها و اطلاعات، موجب خرابکاری های غیرعمدی می شود. به عنوان مثال تلاش های مهندسی اجتماعی با هدف سو استفاده از کارکنان در دسترسی ها و دانسته های آنها، می تواند اثرات زیانباری را به همراه داشته باشد و اطلاعات حساسی افشا گردد.

بنابراین ایجاد فرهنگ اطلاع رسانی امنیت از طریق جلسات و برنامه های آموزشی مداوم به منظور ارتقا سطح آگاهی تمامی کارکنان از نقش ها، وظایف و مسئولیت هایشان، انواع حملات و روش های مقابله یک مقوله حیاتی است. همچنین سازمان باید در خصوص آشنایی کارکنان در استفاده از اینترنت اطمینان حاصل کند و تمامی ملاحضات و نکات امنیتی را در هنگام استفاده از اینترنت به آنها متذکر شود. به عنوان مثال در یک سازمان هنگامی که کارکنان از طریق یک ایمیل یا نرم افزار P2P فایلی را دریافت می کنند ممکن است با دور زدن سیاست های امنیتی، نا خواسته کدمخرب و ویروسی را وارد سازمان نمایند که برای مقابله با این گونه خطرات باید کارکنان آموزش لازم را در خصوص ویروس یابی فایل ها قبل از استفاده از آن و انتقال به شبکه، دریافت نمایند. همچنین استفاده از نرم افزارهای P2P که از VOIP استفاده می کنند مانند skype یا سایر نرم افزارهایی که می تواند با پروتکل های خاص فایروال را دور بزند، موجب ایجاد نقاط دسترسی آسیب پذیر در سامانه ها می شود.

با آگاهی دادن به کارکنان در خصوص نرم افزارهای غیرمجاز و مخرب و پروتکل های مختلف و خدمات اینترنتی، سازمان ها می توانند جلوی بسیاری از تهدیدات را بگیرند.

۱۰زیرساخت ارتباطات: با گسترش زیرساخت های ارتباطی سامانه ها و شبکه ها، مدیریت کابل قوی می تواند به حفظ صحت و دسترسی پذیری ارتباطات و محرمانگی و صحت اطلاعات کمک شایانی نماید. مدیریت کابل مناسب، احتمال دسترسی غیرمجاز به طور سهوی یا عمدی را کاهش می دهد. قرار دادن کابل ها به صورت کنترل شده و اطمینان از برچسب گذاری و جداسازی مناسب و امکان دسترسی آسان به آنها جهت بازدید ها می تواند به شناسایی دستکاری های پنهانی یا دسترسی غیرمجاز به کابل ها و اطلاعات توسط عامل مخرب یا خرابی زیرساخت ارتباطات که تاثیر زیادی بر دسترس پذیری اطلاعات دارد، کمک کند. برچسب گذاری کابل ها همچنین می تواند از اتصال تصادفی یک سامانه به سامانه ای دیگر با طبقه بندی پایینتر را که باعث نشت اطلاعات می شود، جلوگیری نماید.

سرمایه گذاری در زمینه مدیریت کابل و ایجاد زیرساخت های مناسب مانند استفاده از فیبرنوری علاوه بر کاهش تهدیدات پیش بینی نشده، سرعت بالاتری را در انتقال اطلاعات فراهم می کند. پیاده سازی در دسترس و قابل مشاهده زیرساخت های کابل باعث کاهش اقدامات هزینه بر در آینده مانند به روز رسانی، اعتبار بخشی و ممیزی، یافتن خطا، مدیریت تنظمیات و بازرسی های دوره ای برای کشف دستکاری و خرابکاری می شود.

خطر تشعشع از تجهیزات و کابل ها فرصتی را برای شنود و رهگیری اطلاعات حساس و طبقه بندی شده فراهم می کند. بعضی از محیط ها که گسترده و در مکان های بیشتری فراگیر شده اند، امکان حملات مبتنی بر تشعشع و پرتوهای سیگنالی را افزایش می دهد. بدین منظور با استفاده از زیرساخت های مناسب کابل و روش های نصب و راه اندازی مطمئن و ایمن در برابر خطر پرتوها مانند شیلد کردن، می توان امنیت اطلاعات را افزایش داد.

۱۱ابزارها و سامانه های ارتباطی: این ابزارها نقش دروازه دیجیتالی برای ورود و خروج اطلاعات به یک شبکه را ایفا می کند و باعث تسهیل افشای اطلاعات به صورت عمدی یا سهوی می شود. به عبارت دیگر این ابزارها یک نقطه دسترسی به سامانه ای را که به آن متصل هستند، به شمار می آیند.

تدوین و بکارگیری سیاست ها و رویه های استفاده از این ابزارها نقش ویژه ای را در کاهش احتمال نشت اطلاعات را بازی می کند به گونه ای که کارکنان اطلاع کافی را از خطرات و روش های حفاظت از اطلاعات در هنگام اسکن، کپی، چاپ و انتقال را کسب نمایند. همچنین موقعیت فیزیکی و نحوه قرارگیری این ابزارها نیز در دسترسی غیرمجاز به آنها تاثیر دارد.

این ابزارها شامل ابزارهای رادیویی و مادون قرمز، بلوتوث، کیبردهای بی سیم و سایر ابزارهای انتقال اطلاعات بی سیم که امکان اتصال به سامانه ها را دارد، شبکه های بی سیم با امکان قرارگیری در معرض سو استفاده، ابزارهای چندکاره فکس، کپی، اسکن و… و همچنین تلفن ها و سامانه های تلفنی است.

به منظور کاهش تهدیدات آنها، شیلد کردن تجهیزات رادیویی و دارای تشعشع، قرار ندادن تجهیزات شبکه های بی سیم با برد بالا و امکان سواستفاده از آن، رمزنگاری اطلاعات در این بسترها و آگاهی کارکنان از خطرات و تهدیدات آنها و اعمال سیاست های امنیتی از جمله اقدامات موثر در این خصوص است.

۱۲نیازمندی های الزامی چارچوب سیاست امنیتی ممانعتی: به منظور مقابله با تهدیدات رایج امنیتی سایبری، ۴ استراتژی برتر باید توسعه داده شود تا این استراتژی ها حملات هدفمند سایبری در اینترنت به شبکه ها و ایستگاه های کاری را کاهش دهد. این استراتژی ها در قالب یک چارچوب که به صورت لایه ای طراحی شده اند، در زیر نمایش داده شده است. این چارچوب لایه ای می تواند حداقل ۸۵% حملات به ایستگاه های کاری در شبکه را پوشش دهد.

  • برنامه‌ Whitelisting یا فهرست سفید: برنامه‌ کنترل اجرای نرم‌افزارهای مجاز
  • وصله برنامه ها :نصب و به روز رسانی وصله های امنیتی و ارتقا برنامه
  • وصله سیستم عامل :نصب و به روز رسانی وصله های امنیتی و ارتقا سیستم عامل
  • اصل حداقل سطح دسترسی :دسترسی کنترل شده و حداقلی برای راهبر شبکه و سایر کاربران

این چهار لایه از جمله مهمترین موارد در جلوگیری از حملات، اختلالات و نشت اطلاعات از ایستگاه های کاری در شبکه است. البته رعایت سایر موارد ممانعتی و جلوگیری کننده نیز به منظور افزایش سطح امنیتی الزامی است.

۱۳محصول امنیتی: استفاده از محصولات امنیتی که قابلیت لازم در کشف و جلوگیری از تهدیدات و آسیب پذیری های جدید داشته باشد، امری مهم است زیرا سازمان ها به منظور مقابله با تهدیدات و حفظ محرمانگی، اعتماد بسیاری به این محصولات می نمایند. بدین منظور باید محصولات امنیتی توسط مراجع ذیصلاح (مراکز و موسسات دارای فناوری و تخصص ارزیابی محصولات و اعطا گواهینامه رتبه بندی) ارزیابی و مورد تایید قرار گرفته و گواهینامه دریافت نمایند. سپس سازمان ها باید از میان آنها محصولات مورد نیاز خود را انتخاب نمایند.

انتخاب، تهیه و تامین، نصب و راه اندازی، تنظیم کردن، نگهداری، بهبود و استاندارد سازی و در نهایت جایگزینی یا حذف محصول، چرخه حیات یک محصول امنیتی است.

انتخاب یک محصول با اطمینان بالا، کمک بسیار زیادی به حفظ امنیت سازمان می کند لذا باید سازمان ها به هنگام استفاده از یک محصول، چرخه حیات آن را در نظر گرفته و  زمانی اقدام به جایگزینی و حذف آن نمایند که یا دیگر نیاز سازمان نیست یا اطمینان و کارایی لازم را ندارد. به عنوان مثال بعضی سازمان ها اقدام به تغییر در فناوری خود نموده از سامانه ها و مکانیزم “ابر” استفاده می کنند، در این زمان بکارگیری فایروال و سامانه مدیریت یکپارچه تهدیدات مبتنی بر “ابر” الزامی است یا رایانه کاربران تبدیل به ابزارهای موبایل و تبلت می شود که نیاز است محصولات امنیتی مانند ضدبدافزارها نیز تغییر نمایند.

۱۴امنیت رسانه های ذخیره سازی: امروزه خطرات بیشماری از سوی رسانه ها و ابزارهای ذخیره سازی و انتقال اطلاعات، سازمان ها را تهدید می کند.استفاده از یک برنامه که رسانه های ذخیره ساز و قابل اتصال به رایانه ها و شبکه ها را مدیریت و کنترل نماید، می تواند کمک قابل توجهی در جلوگیری از خروج و افشای اطلاعات نماید. فرآیندها، سیاست ها و روش های بهینه و مستندسازی آنها که به امنیت رسانه ها کمک نماید علاوه بر جلوگیری از استفاده سو از آنها در حال حاضر، می تواند جلوی تهدیداتی که در آینده متصور است را نیز بگیرد.

تهدید از اینجا ناشی می شود که وقتی سیستم عامل برای اجرای برنامه ای  از روی رسانه مورد نظر، عملکردی را به صورت مجاز تلقی می کند، دیگر نمی تواند تفاوتی بین اجرای قانونی و درست و اجرای مخرب و نادرست آن قائل شود لذا سیستم عامل مورد تهدید واقع می شود. عامل مخرب می تواند از طریق آسیب پذیری های شناخته شده و با اتصال یک فلش به رایانه ای در شبکه، اطلاعات کلید رمز دسترسی به سایر سامانه ها را تخریب یا سرقت نماید. لذا ابزارهایی که به طور مستقیم به حافظه سیستم دسترسی دارند، می توانند عملیات خواندن یا نوشتن به حافظه را توسط عوامل مخرب انجام دهند لذا بهترین راه حل برای مقابله با تهدید این ابزارها، استفاده از ابزارهای کنترلی و یا خراب کردن فیزیکی پورت است تا نتوان ابزاری را به آن متصل نمود.

نتیجه:

در این مقاله به ارائه برخی از اصول پایه ای در امنیت اطلاعات از جمله امنیت فیزیکی، محصولات امنیتی، امنیت رسانه های ذخیره ساز، زیرساخت و ابزارهای ارتباطی پرداخته شد. رعایت و بکارگیری این اصول در امنیت اطلاعات توسط سازمان ها و شرکت ها و حتی افراد نقش چشمگیری را در مقابله با تهدیدات مختلف در فضای سایبر بازی می کند. باید توجه داشت که امنیت اطلاعات یک فرآیند است و به منظور مقابله با آسیب پذیری های فعلی و جدید باید این اصول را به عنوان یک راه حل یکپارچه و به هم پیوسته در نظر گرفت و از آنها استفاده نمود. در مقاله بعد سایر الزامات و اصول امنیت اطلاعات معرفی می گردد.

مراجع

Department of Defence-Intelligence and Security group. (2014). Australian Government Information Security Manual-PRINCIPLES. Australian Government.

Sadidafarin.ir

اصول امنیت اطلاعات شماره ۱

مقدمه

با توجه به اهمیت نقش و جایگاه امنیت اطلاعات برای مقابله با تهدیدات مختلف و پیشرفته، سازمان ها به خصوص مدیران ارشد و تصمیم گیرندگان آن با چالش های جدی در خصوص امنیت اطلاعات روبرو هستند. یکی از این چالش ها و سردرگمی ها انتخاب راه حل های امنیتی برای سازمان خودشان است. برای خروج از این سردرگمی ها، سازمان ها ابتدا باید اجزا مورد تهدید، نیازها و اصول امنیتی را بشناسند و به این سوالات کلیدی پاسخ دهند که “چه اجزایی از سازمان باید امن شوند؟” و “اصول و پایه های امنیت اطلاعات در یک سازمان چیست؟”.

به عنوان مثال سازمانی از یک پورتال اداری برای ارتباط و انجام ماموریت بخش های خود که به طور جغرافیایی در یک کشور پراکنده هستند، استفاده می کند. مدیران سازمانی با این مشکل روبرو هستند که چه اجزایی از سامانه های اجرایی و اطلاعاتی، تجهیزات ارتباطی و زیرساخت های خود را امن نمایند. یا به عبارت دیگر آیا فقط امنیت زیرساخت کافی است؟ آیا توجه به امنیت نیروی انسانی نیاز است؟ آیا نیاز سازمان در استفاده از تجهیزات امنیتی است؟ و سوال های دیگری که ممکن است مدیران با آن روبرو شوند.

برای پاسخ به این سوال ها لازم است در ابتدا یک سازمان اصول و پایه های امنیتی را که برای مقابله با تهدیدات لازم است بشناسد و سپس در خصوص استفاده و بکارگیری آنها اقدام نماید. بدین منظور در این مقاله به تشریح اصول و پایه های کلی امنیتی می پردازیم

اصول و قواعد امنیت اطلاعات

۱مدیریت ریسکمدیریت ریسک فرآیندی است که در آن ریسک شناسایی، تحلیل و ارزیابی شده و گام های کاهش ریسک تا رسیدن به سطح قابل قبول برداشته می شود. مدیریت ریسک باید مبتنی بر درک جامعی از وضعیت امنیت اطلاعات سازمان باشد به عبارت دیگر امنیت اطلاعات با روش های مدیریت ریسک فراگیر ترکیب شود. رویکرد مدیریت ریسک باید به عنوان فرآیندی برای تعادل بین اقدامات و هزینه های اقتصادی برای محافظت از اطلاعات و سامانه ها پیاده سازی و بکار گرفته شود.

فرآیند شناخت، تحلیل و ارزیابی ریسک های امنیت اطلاعات می تواند به سازمان ها برای انتخاب کنترل های امنیتی مناسب با محیط کسب وکارشان کمک شایانی نماید.

۲نقش ها و مسئولیت هانقش ها و مسئولیت ها باید براساس جایگاه سازمانی به کارکنان سازمان اعطا گردد و متناسب با وظایف آنها، سطوح اختیارات افراد و دسترسی به اطلاعات و منابع تعریف گردد. سازمان نیاز به یک چارچوب حاکمیت امنیت اطلاعات موثر دارد تا به تصمیم گیرندگان سازمان در فهم جامع و دقیق از محیط تهدید کمک کرده در نهایت بتوانند تصمیمات مبتنی بر ریسک مناسبی را اتخاذ کنند. همچنین این چارچوب به جوابگویی مناسب همه وظایف کمک می کند. در واقع وظایف و نقش ها باید به طور کامل شفاف، همراه با افزایش راستی و درستی در انجام کارها بر اثر کاهش تضاد در وظایف و تفکیک مناسب وظایف باشند.

۳مستندسازی امنیت اطلاعات: مستندسازی برای هر روش و مکانیزم امنیت اطلاعات حیاتی است و باید رویه ها و سیاست ها در آن مستند سازی گردد. آنچه باید مستند سازی شود شامل سیاست های امنیتی، طرح مدیریت ریسک امنیتی، طرح امنیتی سامانه ها و شبکه، رویه های عملیاتی استاندارد، طرح پاسخ به رخداد، رویه های اضطراری و طرح بازیابی خرابی و تداوم کسب و کار است.

طبق آمار منتشره توسط شرکت سیسکو، ۷۵% شرکت ها در ۱۰ کشور پیشرفته دارای سیاست های امنیتی در شبکه شان هستند و این درحالی است که ۴۰% از کارکنان و ۲۰% از متخصصین فناوری اطلاعات آنها نمی دانند که سیاست های امنیتی وجود دارد.

۴اعتباربخشی سامانه ها: سازمان باید از وجود سطح امنیتی مناسب برای اطلاعات و سامانه های خود اطلاع پیدا کند و بفهمد تا چه سطحی از ریسک باقی مانده قابل قبول است. برای این منظور نیاز است تا ممیزی امنیتی برای تمامی اطلاعات طبقه بندی شده و سامانه ها و شبکه ها براساس استانداردها صورت گیرد. این عملیات توسط ارزیاب های رسمی امنیت اطلاعات انجام می شود. پس از ارزیابی گواهی نامه رسمی دریافت می گردد. با توجه به شناخت میزان ریسک، باید راه حل های امنیتی به منظور ارتقا امنیت تامین و بهره برداری شود.

۵مانیتورینگ امنیت اطلاعات: امنیت اطلاعات یک فرآیند مداوم است و اطمینان از امنیت باید در همه زمان ها باشد. آسیب پذیری ها می تواند با یک طراحی و پیاده سازی ضعیف، مدیریت تغییرات یا نگهداری و همچنین تغییر در فناوری ها یا روش ها و مکانیزم های حمله بوجود آید. روش های مانیتورینگ به شناخت آسیب پذیری های جدید و نگهداری امنیت در برابر حوادث و تغییرات ناشناخته کمک می کند. در عملیات مانیتورینگ علاوه بر نظارت بر کارایی و عملکرد سامانه ها و منابع مختلف می توان به مدیریت آسیب پذیری ها (کشف، ارزیابی، تحلیل و مقابله با آنها) و مدیریت تغییرات (اعمال تغییر در سامانه ها، شناسایی اختلالات و نواقص و رخنه ها، تحلیل و رفع نابسامانی و آسیب در هنگام تغییر) نیز پرداخت.

۶رخدادهای امنیت سایبر: رخدادهای امنیتی در فضای سایبر می تواند تاثیر بسزایی در تخریب عملیات کسب و کار یک بنگاه داشته و باعث تحمیل هزینه ها، افشا اطلاعات مشتریان و خدشه دار شدن اعتبار بنگاه یا حتی دولت ها شود. بدین منظور نیاز است اقدامات موثری برای مقابله با رخدادهای امنیتی انجام شود. استفاده از رویه ها و ابزارهای شناسایی و کشف رخدادها، به روز نگه داشتن سامانه ها در محیط تهدید، گزارش دهی مناسب رخدادها و مدیریت رخدادها با ضبط رخداد، تخصیص مسئولیت، مدیریت داده ها در برابر اثر کدهای مخرب و حفظ صحت آنها از اقدامات موثر است.

۷تعامل با صنعت و برون سپاریبرون سپاری می تواند در انتخاب گزینه های مختلف برای تامین خدمات فناوری اطلاعات با هزینه مناسب و خدمات بهتر کمک نماید. البته ممکن است با ریسک هایی از جمله قرار گرفتن اطلاعات در مکان های نامناسب و دسترسی افراد بیشتر به اطلاعات همراه باشد که منجر به افشا و نشت اطلاعات گردد.

محاسبات ابری یکی ازمهمترین تغییرات را در دهه آینده در تکنولوژی ارتباطات و اطلاعات بوجود خواهد آورد به این صورت که با ایجاد زیر ساخت هایی با مزایای مالی و عملیاتی روشن برای سازمان ها، آنها ترغیب به استفاده از آن می گردند. این در حالی است که اتصال به اینترنت ذات این فناوری بوده و اطلاعات باید در اینگونه شبکه ها و سرورها ذخیره شوند. با این حال فعالیت های مخرب سایبری علیه این فناوری در حال گسترش است و یکی از تهدیدات عمده سازمان ها می تواند در دهه آینده استفاده از این فناوری بدون در نظر گرفتن ملاحظات امنیتی و روش های امن باشد.

شرکت های متعددی اقدام به تامین و توسعه زیرساخت های این فناوری برای سازمان و بنگاه های دیگر نموده اند که حفظ امنیت اطلاعات و جلوگیری از افشا آن یکی از چالش های آینده محسوب می گردد.

توجه به این نکته ضروری است که انتخاب شرکتی برای برون سپاری و ارتباط با صنایع مختلف باید براساس اطمینان از حفظ محرمانگی، صحت و دسترس پذیری اطلاعات باشد.

نتیجه

در این مقاله ۷ اصل از اصول امنیت اطلاعات ارائه شد که می تواند به عنوان اصول مقدماتی و اولیه امنیتی درنظر گرفته شود. به منظور رعایت این اصول نیازی به استفاده از ابزارهای تخصصی و پیشرفته نبوده و سازمان ها می توانند با صرف حداقل هزینه ها به این اصول دست یابند و با مدنظر قراردادن آنها پایه های امنیتی خود را شکل داده و به بینش مناسبی برای طراحی امنیتی و پیاده سازی آنها برسند.

در مقاله بعدی به ارائه سایر اصول امنیتی از جمله امنیت فیزیکی، نرم افزار، ارتباطات و کارکنان، مقوله رمزنگاری و کنترل دسترسی و امنیت دامنه ها و شبکه پرداخته می شود.

مراجع

Department of Defence-Intelligence and Security group. Australian Government Information Security Manual-PRINCIPLES. Australian Government

Sadidafarin.ir

نرم افزارهای امنیتی تقلبی

مقدمه

نفوذگران همواره به دنبال روش های خلاقانه برای توزیع بدافزارهای خود هستند. در میان رویکردها و روش های مختلف، آنتی ویروس های جعلی (fake Anti-Virus) یکی از حملاتی است که امروزه به عنوان یک روش فعال برای انتشار بدافزارها استفاده می شود. در یک حمله آنتی ویروس جعلی، حمله کننده بدافزار خود را در قالب یک نرم افزار امنیتی قانونی مثل آنتی ویروس، پنهان می کند و کاربر را برای نصب آن متقاعد می کند.

این حملات در فضای سایبری بسیار رشد پیدا کرده است و از طریق آن، حمله کننده ها حتی اقدام به اخاذی و گرفتن مبالغی پول برای نصب آنتی ویروس جعلی می کنند و در برخی موارد سیستم کاربر را در اختیار گرفته تا پولی به حمله کنندگان پرداخت شود. به این بدافزارها، باج افزار (ransomware) گفته می شود. شیوه کار به این صورت است که در هنگام فعالیت کاربر در اینترنت، به او اخطار می دهند که رایانه یا گوشی هوشمند وی به ویروسی مخرب آلوده است و فقط آنتی ویرس مورد نظر که تقلبی است، قادر به پاک کردن آن است. این نوع از بدافزارها نیز به وحشت افزار ( scareware) معروفند. در این بین از او می خواهند که آن را روی رایانه یا گوشی هوشمند خود نصب نمایند. با این اقدام، رایانه یا ابزار موبایل کاربر به یک ویروس یا بدافزار مجهز می شود. در برخی موارد نیز فقط کاربر هزینه ای را برای نصب آنتی ویروس جعلی می پردازد اما آنتی ویروس مذکور هیچ گونه کارایی نداشته و فقط کاربر برای برنامه ای بدون خاصیت و حتی مخرب هزینه کرده است.

توسعه دهندگان نرم افزارهای امنیتی تقلبی از ترس و عکس العمل طبیعی انسان در مقابل تهدید استفاده می کنند و بدافزار خود را انتشار می دهند در حالی که کاربر می خواهد بلافاصله تهدید را دفع نماید.

در شکل زیر نمونه ای از باج افزار را مشاهده می کنید.

برای کاربران عادی و حتی حرفه ای دانستن روش های توزیع و مقابله با این بدافزارها که در قالب نرم افزار آنتی ویروس جعلی، پنهان شده اند، بسیار ضروری است. در بسیاری مواقع سازمان ها یا شرکت ها از انتشار بدافزار در میان رایانه ها و شبکه های خود به شدت آسیب دیده اند، بدین منظور سازمان ها نیز باید روش های مقابله ای با این تهدید را شناخته و آنها را در سازمان یا شرکت خود در قالب سیاست یا ابزار خاص پیاده سازی نمایند.

نحوه انتشار آنتی ویروس جعلی

نرم افزارهای امنیتی جعلی با ترفند های مختلف مانند به روز رسانی یک برنامه، تکنیک های مهندسی اجتماعی، استفاده از صفحات pop-up و غیرفعال کردن به روز رسانی ویندوز و آنتی ویروس اقدام به نصب بدافزار به صورت پنهانی و غیرقابل شناسایی و حتی سرقت اطلاعات می کنند. در شکل زیر آنتی ویروس جعلی XP 2008 نشان داده شده است. این آنتی ویروس از برند مایکروسافت برای انتشار خود استفاده کرده است در حالی که توسط مایکروسافت طراحی نشده است.

در زیر روش های انتشار و ترویج نرم افزارهای امنیتی تقلبی بیان شده است:

مرور وب سایت: در هنگام گشت زنی در اینترنت و بازدید وب سایت ها، وب سایتی یک پیغام جعلی را در صفحه یا به صورت pop-up نمایش می دهد و مضمون آن این است که رایانه یا ابزار موبایل تحت تاثیر یک ویروس قرار گرفته و کاربر را ترغیب به دانلود یا خرید ابزار آنتی ویروس جعلی می کند. این گونه پیام ها اصولا کاربران را تحریک می کند تا نرم افزار آنتی ویرس را نصب کنند یا به روز رسانی نمایند یا بدافزار شناخته شده را حذف نمایند. به محض اینکه کاربر پیام را کلیک می کند، نرم افزار امنیتی تقلبی روی سیستم دانلود می شود.

تکنیک SEO poisoning : توسعه دهندگان نرم افزارهای امنیتی جعلی (که عموما ویروس نویس هستند)، از تکنیکی به نام SEO  poisoning  برای قرار دادن لینک دانلود نرم افزار امنیتی مخرب در رتبه های بالاتر موتورهای جستجو استفاده می کنند. SEO (Search   engine optimization)  به معنی بهینه سازی موتور جستجو با تولید محتوای جذاب برای موتور جستجو است، تا رتبه و امتیاز یک سایت در موتور جستجو در جایگاه بالاتری قرار بگیرد. در تکنیک SEO poisoning، نرم افزار امنیتی تقلبی ممکن است در لیست نتایج جستجو و هنگام جستجوی کلید واژه های مرتبط با امنیت رایانه در صفحات اول و در میان فروشندگان محصولات امنیتی معتبر قرار بگیرد. با این روش کاربران ناآگاه ممکن است به یک سایت جعلی رفته و حتی درخواست خدمات پویش آنلاین رایگان را داشته باشند. حتی ممکن است کلید واژه ها فقط به امنیت ختم نشود و موضوعات خبری یا اتفاقات جذاب را نیز شامل شود.

ایمیل: کلاهبرداری فیشینگ امروزه بسیار رایج است لذا دانستن روش های مختلف فیشینگ، برای شناسایی آنها بسیار مهم است. در مورد نرم افزارهای امنیتی جعلی، یک ایمیل فیشینگ توسط کاربر دریافت می شود که از او می خواهد scareware را اجرا و دانلود کند. در این ایمیل فیشینگ، به یک URL اشاره کرده است اما در واقع وب سایتی است که بدافزار در آن قرار دارد. در روش دیگر، کد مخرب به صورت ضمیمه ایمیل قرار دارد که پس از باز کردن آن، کاربر فقط یک عکس، screensaver یا یک فایل آرشیو شده را می بیند. در حقیقت پس از بازکردن فایل ضمیمه، کاربر به طور ناخواسته کدمخرب را اجرا کرده است.

تکنیک Drive-by Download  : نرم افزارهای امنیتی جعلی می توانند همچنین از حمله drive-by download استفاده کنند. این حملات از ضعف‌های امنیتی و به طور خاص آسیب‌پذیری‌های مرورگرهای وب، پلاگین‌ها، افزودنی‌ها و هر چیزی که با مرورگر وب، pdf viewer، حتی email client مرتبط باشد، استفاده می‌کنند. در واقع حمله drive-by download به معنی دانلود ناخواسته و بدون اطلاع برنامه از طریق اینترنت است. با این تکنیک و استفاده از آسیب پذیری های وصله نشده که روی نسخه های قدیمی نرم افزارها وجود دارد، می توان آنتی ویروس جعلی را بدون خواست کاربر منتشر کرد.

تماشای ویدئو آنلاین:  برخی از نرم افزارهای امنیتی تقلبی از طریق دانلود یک کد آلوده و نرم افزار اجباری که به منظور تماشای یک ویدئو آنلاین در سایت ارائه شده، منتقل می شود. بدین منظور باید از روش های امن برای تماشای فایل های ویدئویی آنلاین استفاده نمود.

برنامه های آنلاین مخرب و فایل های آلوده:  رایانه ها و ابزارهای موبایل می توانند از طریق یک فایل PDF یا برنامه جاوا یا فلش مخرب که به عنوان مثال در یک بازی آنلاین جاسازی شده است، به بدافزار یا جاسوس افزار و آنتی ویروس جعلی تجهیز شوند. به منظور مقابله با این فایل های اجرایی و برنامه های آنلاین، باید از آنتی ویروسی که همواره به روز است و ویژگی حفاظت بلادرنگ آن فعال است، استفاده شود.

از طریقP2P  : نرم افزارهای جعلی می توانند در پوشش نرم افزارهای دانلود شده از طریق شبکه های peer-to-peer مانند torrent ها منتقل شود.

نصب برنامه توسط کاربر: آلوده سازی ممکن است از طریق نصب نرم افزارهای رایگان، برنامه های کرک شده یا کپی غیرقانونی انجام شود. هنگامی که از منبع یک برنامه مطمئن نیستید باید هرگام از نصب را به دقت کنترل کنید تا از نصب نرم افزار مخرب در قالب toolbar، add-on و… جلوگیری شود.

در شکل زیر تصویری از یک آنتی ویروس جعلی نشان داده شده است.

نحوه شناسایی و مقابله با آنتی ویروس جعلی

به منظور افزایش شانس جهت مقابله با نرم افزارهای امنیتی جعلی، نخستین گام شناخت نرم افزارهای شناخته شده و معتبر امنیتی است. سایت AV-Comparatives لیستی از این نرم افزارها را ارائه نموده است. همچنین باید نرم افزارهای جعلی امنیتی را شناسایی نمود. در آدرس زیر لیست بیش از ۳۰۰ نرم افزار امنیتی جعلی ارائه شده است.

 http://en.wikipedia.org/wiki/List_of_rogue_security_software

نصب آنتی ویروس معتبر و استفاده از فایروال آن و به روز بودن همیشگی این نرم افزارها می تواند در کاهش این تهدید کمک نماید.

به منظور افزایش ضریب امنیتی، استفاده از نرم افزارهای مانیتورینگ معتبر با ویژگی کنترل و نظارت بر برنامه های نصب شده روی رایانه ها و مانیتورینگ مستمر و دائمی شبکه، می تواند به سازمان ها یا شرکت ها کمک نماید.

کدهای مخرب تلاش می کنند تا حفاظت حقیقی یک سیستم را به خطر بیاندازد بدین منظور با غیرفعال کردن مولفه های امنیتی و نرم افزارهای آنتی ویروس مجاز و اجازه ندادن به کاربر برای پاک کردن نرم افزارهای ناخواسته و غیرمجاز، امنیت سیستم را کاهش می دهند. بعضی از برنامه های جعلی، یک انیمیشن و شبیه سازی از خراب شدن، پاک شدن، راه اندازی مجدد و سایر اتفاقات خطرناک را به قربانی خود نمایش می دهند و او را به شدت تحت تاثیر قرار می دهند. حتی باعث کند شدن رایانه یا ابزار موبایل و رفتار غیر عادی در آن می شود. برخی از این نشانه ها در زیر آمده است:

  • هشدار سیستم از نوع بالون جعلی که توسط برنامه مخرب بوجود می آید. در زیر نمونه ای از آن نشان داده شده است.
  • درخواست خرید/به روز رسانی برنامه امنیتی جعلی به صورت هشدارهای pop-up مکرر و خسته کننده، به کاربر نشان داده می شود.
  • واسط کاربری شبیه یک برنامه آنتی ویروس واقعی، تعداد غیرواقعی از ویروس را نمایش می دهد و ادعا می کند که برای ثبت نام و پاک شدن آنها باید پول پرداخت شود. نمونه ای از آن در شکل زیر مشاهده می شود. که دو ویروس را شناسایی نموده و در خواست ادامه فرآیند را دارد.
  • ظاهر شدن آیکون های جدید و ناشناخته در دسکتاپ کاربر می تواند نشانه ای از وجود کد مخرب و نرم افزارهای جعلی باشد.
  • مرورگر، مکرر پیغام امنیتی جعلی نشان می دهد و کاربر را به وب سایت های مشکوک و دارای گواهینامه نامعتبر هدایت می کند و نتیجه آن browser hijacking است.

نتیجه

نرم افزارهای امنیتی جعلی به هنگام دانلود با خود مولفه های مخرب مانند تروجان, روت کیت، کی لاگر را به همراه دارند.  مولفه های تروجانی، سیستم را تغییر می دهند و آن را آماده و آسیب پذیر در مقابل حمله می کنند، روت کیت نتایج موتور جستجو را به سایت های مشکوک تغییر مسیر می دهد و کی لاگر سعی در ذخیره سازی کلیدهای زده شده از جمله کلمات عبور، داده های کارت اعتباری و … می کند. به منظور مقابله با این نرم افزارها باید از آنتی ویروس معتبر و به روز استفاده نمود. اطلاع رسانی از نحوه انتشار و عملکرد این نرم افزارهای مخرب به کاربران در سازمان یا شرکت می تواند بسیار موثر باشد. مانیتورینگ مستمر وضعیت امنیتی شبکه، اطلاعات مبادله شده، برنامه های نصب شده و تغییر مسیر وب سایت ها به سایت های مشکوک نیز کمک قابل توجهی به امنیت اطلاعات شرکت و حفظ عملکرد بالای سامانه ها می نماید.

منابع :

AV-Comparatives. Rogue security software (fake or rogue Anti-Virus). Retrieved from http://www.av-comparatives.org/it-security-tips/rogue-security-software-fake-rogue-anti-virus/

آسیب‌پذیری جدیدی که هدف آن چیپ‌های بلوتوث است !

کشف آسیب‌پذیری جدیدی که چیپ‌های بلوتوث را هدف می‌گیرد

آسیب پذیری شناسایی شده در چیپ های بلوتوث یک کمپانی معروف آمریکایی شبکه های سازمانی را به خطر انداخته است. محققان اخیرا دو حفره امنیتی خطرناک را در چیپ های بلوتوث کمپانی تگزاس اینسترومنتس یافته اند که در اکسس پوینت های بی سیم شرکت هایی نظیر سیسکو، مراکی و اروبا تعبیه شده و شبکه های سازمانی را در معرض خطر قرار می دهد. این آسیب پذیری توسط متخصصان امنیتی ارمیس پیدا شده و آن را BLEEDINGBIT نامیده اند. هکرها با استفاده از این حفره می توانند به شبکه های سازمانی نفوذ کرده، کنترل اکسس پوینت ها را در دست گرفته و بدافزارها را در سراسر شبکه پخش کنند. آنچه که داستان را بدتر می کند این است که نفوذ مهاجمان و اقدامات آنها در شبکه های سنتی یا از طریق راه حل های امنیتی کاربر نهایی قابل شناسایی و توقف نیست.

BLEEDINGBITدو شکل دارد که حالت اول آن چیپ های بلوتوث cc2640 و cc2650 تعبیه شده در اکسس پوینت های سیسکو و مراکی را هدف قرار داده است. هکرها با هدف قرار دادن این چیپ حافظه BLE را مختل کرده و کنترل کامل اکسس پوینت را به دست می گیرند.

حالت دوم نیز چیپ cc2540 موجود در اکسس پوینت های سری ۳۰۰ اروبا و قابلیت دانلود فرمور آن را تحت تاثیر قرار می دهد. دلیل این امر در پشتی پیش فرضی است که در فرمور به کار رفته و امکان دانلود بروزرسانی را به کاربر می دهد. هکرها با سوءاستفاده از این قابلیت می توانند نسخه ای کاملا متفاوت از فرمور را روی چیپ نصب کرده و سیستم عامل آن را بازنویسی کنند که در نهایت به نفوذ در شبکه منجر می شود.

کمپانی های اروبا و مراکی که تحت نظر سیسکو قرار دارد، از تعامل با مشتریان و انتشار اصلاحیه های امنیتی خبر داده اند.

 منبع : https://digiato.com/

میخواهید UTM بخرید؟ این سوالات را از خود بپرسید

میخواهید UTM بخرید؟ این سوالات را از خود بپرسید

قبل از اینکه به سراغ خرید دستگاه های UTM بروید، اینجا سوالاتی است که باید از خودتان و در مورد شبکه ای که قصد تهیه دستگاه برای آن را دارید بپرسید. با این سوالات به یک دید کلی میرسید که چه دستگاه و با چه ویژگی های سخت افزاری برای شما مناسب است. اینجا لیست سوالاتی است که نیاز دارید بپرسید و بدانید که UTM شما باید:

  • یک سیستم امنیتی تمام و کمال برای تمامی پروتکل ها و تکنولوژی های موجود داشته باشد، یا نیاز دارد که تنها تکنولوژی ها ونیازهای فعلی سازمان شما را پاسخ دهد؟
  • چه نوعی از امنیت می بایست توسط UTM در سازمان شما ایجاد شود؟ ) مکانیزم های مربوط به Firewall، VPN، Application Control، و غیره(
  • آیا نیاز دارید که یک Access Point بی سیم در دستگاه شما تعبیه شده باشد؟ معمولا دستگاه های UTM خاصی دارای این قابلیت هستند که معمولاً دستگاه های سطوح پایین تر و مربوط به کسب و کارهای کوچک و متوسط هستند.
  • پهنای باندی که قرار است توسط دستگاه مدیریت شود چه میزان است؟ این میتواند شامل دریافت و جمع آوری اطلاعات از دستگاه های تک تک کاربران، دریافت اطلاعات از پهنای باند ارسالی و دریافتی هر کاربر، مقدار استفاده از پهنای باند توسط هر کاربر، تعداد کاربرانی که هر لحظه به اینترنت دسترسی دارند و یا حتی تعداد ایمیل ها ارسالی و دریافتی هر کاربر باشد. همچنین دستگاه میتواند وظیفه آنالیز این رکورد ها و اینکه آنها مکررا اتفاق می افتند یا خیر را نیز بر عهده داشته باشد. این اطلاعات میتواند کمک کند که سایز دستگاه UTM اینکه آیا شبکه ما نیاز به بازسازی و طراحی مجدد دارد یا خیر را نیز تعیین کند.
  • چه تعداد کاربر در شبکه سازمان حضور دارند؟ چه تعداد دستگاه، اعم از ثابت و موبایل، در شبکه حضور دارند؟ بالاترین و پایین ترین میزان حضور دستگاه ها در شبکه در چه زمانی و با چه خروجی است؟ از حداقل دو سال قبل تا به حال تغییرات تعداد افراد به چه صورت بوده است؟ پاسخ به این سوالات میتواند تعیین کند که میزان رشد شما چگونه است و نیاز های آینده شما چطور میتواند باشد؟ همچنین میتوانید با این پاسخ بسنجید که باید دستگاهی بخرید که از نظر فنی قابلیت گسترش داشته باشد یا نه.
  • آیا شما به یک آنتی ویروس Gateway نیاز دارید یا نه؟ بسیاری از UTM ها دارای آنتی ویروس های Gateway هستند، ولی اغلب سازمان ها تمایلی به تعویض سیستم آنتی ویروس خود ندارند و ترجیح میدهند که با سیستمی مجزا کار کنند. ولی این مطلب را باید مد نظر داشت که بین عملکرد آنتی ویروس Gateway و آنتی ویروس Client تفاوت هایی وجود دارد
  • در هنگام خرید این دستگاه، تمامی موارد فوق را بخاطر داشته باشید و از آنها نوت برداری کنید. این امر شما را کمک میکند تا بهترین گزینه را برای نیاز فعلی و آتی سازمان خود انتخاب کنید.

CTB Locker چیست و نحوه کار آن به چه ترتیب است؟

CTB Locker چیست و نحوه کار آن به چه ترتیب است؟

این گونه از بد‌افزار‌ها مانند CTB Locker  بر خلاف سایر نمونه‌ها، ‌عملاً با سیستم‌ عامل کاری نداشته و هدف اصلی آن‌ها، فایل‌ها و اطلاعات شخصی کاربران است که با رمزگذاری یا Encrypt کردن این فایل‌ها از کاربر ‌می‌خواهند ‌برای باز‌گرداندن اطلاعات خود، مبالغی را که بعضا تا هزاران دلار افزایش می‌یابد ‌پرداخت کنند. از همین رو به آن‌ها نام باج‌گیر اطلاق می‌شود.

این بد‌افزار از تکنولوژی کریپتوگرافیک Eliptical Curve بهره می‌برد و با سرور Command and Control بر روی TOR ارتباط برقرار می‌کند. همچنین مؤسسه امنیتی Kafein اظهار کرده ‌که این بد‌افزار، بخشی از کیت مخصوصی است که به بهای حدود ۳ هزار دلار فروخته می‌شود و در نتیجه، احتمال وجود سایر بد‌افزارهای باج‌گیر مبتنی بر این کیت بسیار بالاست.
وقتی سیستم قربانی به این بد‌افزار آلوده می‌شود، در ابتدا تمامی فایل‌های سیستم اسکن شده و رمز گذاری می‌شوند، به گونه‌ای که دیگر قابل دسترسی نیستند. نسخه‌های قبلی این بد‌افزار فایل‌های رمز شده را با پسوند CTB مشخص می‌کرد؛ اما در نسخه‌های جدید یک پسوند اتفاقی برای آن‌ها انتخاب می‌شود.
بعد از آن یک صفحه به شما نمایش داده می‌شود که شما را از رمز شدن فایل‌ها آگاه کرده و دستور‌العملی برای پرداخت مبلغ جهت بازگرداندن آن‌ها به شما ارائه می‌کند.

نسخه‌های جدید این بد‌افزار حتی به کاربر اجازه می‌دهد ‌برای اطمینان پنج مورد از فایل‌های رمز شده را رمزگشایی کند که این کار برای آن است که کاربر متوجه شود ‌در صورت پرداخت مبلغ، فایل‌های خود را باز‌پس خواهد گرفت و از این طریق برای پرداخت مبلغ تشویق شود.

مواردی که روی شدت سیگنال تاثیر دارند

مواردی که باید بررسی شود شدت تاثیر مکانی هایی که باید بررسی شود
مانه چوب کم در های چوبی
دیوار کم دیوار های داخلی مد نظر است
مبلمان کم خود مبل ها و پارتیشن هایی که توی اداره ها هست
شیشه کن منظور پنجره هست
شیشه های دوجداره متوسط پنجره
تراکم جمعیت متوط جا هایی که تعداد زیادی آدم هسن
کاشی سرامیک متوسط دیوارهای سرامیکی
بلوک ها بتنی زیاد دیواد های خارجی ساختمان
آینه زیاد آینه
فلز زیاد هر شی فلزی تاثیر زیادی روی سیگنال دارد
آب زیاد مثل آکواریوم و آبشار مصنوعی

(WAF (Web Application Firewall

(WAF (Web Application Firewall

WAF یک فایروال عموماً  نرم افزاری هست که برای شناسایی و جلوگیری از انواع حملات و تهدیدات روی بستر Web از آن استفاده میشود ، از جمله این حملات میتوان به حملات Hidden Field Manipulation  ، Cookie Poisoning ، Parameter Tampering  ، Buffer Over Flow  ، XSS ، Backdoor  ،  Stealth Commanding  ،  Forced Browsing ، Third Party Misconfiguration  ، SQL Injection و بسیاری دیگر از حملات که از حفره های امنیتی شناخته شده در بستر Web استفاده میکنند ، اشاره کرد .

تفاوت اصلی میان یک فایروال معمولی و WAF سر این میباشد که یک فایروال معمولی صرفاً میتواند ارتباط بین وب سرور و اینترنت را امن نماید (این کار را در سطح لایه ۳ و ۴ انجام میدهد.) در حالی که WAF با بررسی کردن محتوای هدر HTTP و مقایسه آن با الگو های حملات که در دیتابیس خود دارد و یا با مشاهده رفتار غیرعادی در سیر محتوای ارسالی و دریافتی ، حملات را شناسایی کرده و آنها را بسته به سیاست تعیین شده در تنظیمات خود مانیتور ، Drop و یا Reject  میکند به همین دلیل ممکن است که یک ترافیک از دید فایروال یک ترافیک سالم باشد اما از دید WAF  بعنوان یک ترافیک مخرب و یا حمله شناسایی شود لذا WAF معمولاً پشت فایروال و جلوی WebSite و یا Web Application Server  قرار میگیرد .

WAF را میتوان بصورت نرم افزاری ، سخت افزاری و سرویس Cloud  ارائه داد که شرکت های زیر میتوان بعنوان موفقترین و بهترین شرکت ها در ارائه WAF نام برد :

AKAMAI Technology

Fortinet

Sophos

CloudFlare

F5 SilverLine و … .

تفاوت اصلی میان فایروال و IPS

(IPS (Intrusion Prevention System و (IDS (Intrusion Detection System

IPS یک سیستم شناسایی حملات در سطح شبکه میباشد که ترافیک را بر اساس دیتابیس الگو حملاتی که دارد ، شناسایی میکند همچنین IPS ها میتوانند بر اساس رفتار غیر عادی ترافیک عبوری در سطح شبکه نیز حملات را شناسایی کنند و پس از شناسایی حملات بسته به سیاست های امنیتی مورد استفاده در سازمان ترفیک را مانیتور Drop و یا Reject کنند .

تفاوت اصلی میان فایروال و IPS  سر این میباشد که فایروال ترافیک در سطح لایه ۳و ۴ بررسی کرده و هیچ نظارتی بر روی محتوای ترافیک ندارد اما IPS  با بررسی محتوای ترافیک و مقایسه آن با دیتابیس خود و یا با در نظر گرفتن رفتار ترافیک های عبوری حملات را شناسایی میکند به همین دلیل معمولاً IPS پشت فایروال قرار میگیرد که در صورتی که ترافیک مجاز به ورود به شبکه شد محتوای آنرا از نظر مخرب بودن یا نبودن بررسی کند .

IDS (Intrusion Detection System) : در حالیکه IPS معمولاً در مسیر ترافیک عبوری قرار میگیرد و جنبه امنیتی دارد ، IDS نیز با ساختاری مشابه IPS خارج از مسیر اصلی ترافیک قرار میگیرد و صرفاً از آن برای آنالیز ترافیک های شبکه استفاده میشود بطوریکه معمولاً از استفاده از قابلیت هایی مثل SPAN یک نسخه کپی ترافیک برای IDS فرستاده میشود و IDS در صورتیکه پس از بررسی محتوای ترفیک دریافتی متوجه ترافیک مخربی شد معمولاً آنرا بصورت یک Alert  برای یک سیستم مدیریتی ارسال میکند و معمولاً خوش بصورت مستقیم جلوی ترافیک مخرب را نمیگیرد .

IPS و IDS بصورت Network based و Host Based مورد استفاده قرار میگیرند و وجود هردو آنها ضروری است .

Network Based  ترافیک را در سطح شبکه های مختلف بررسی میکند و Host Based ترافیک را فقط برای یک Host مورد نظر بررسی میکند و زمانی کاربرد دارند که ترافیک از یک سیستم داخل شبکه به کاربر میرسد و اصلاً به Gateway و Network IPS نمیرشد .

Host based IPS/IDS  ها را میتوان بصورت جداگانه و یا پک های EndPoint Security در آنتی ویروس هایی مثل Kaspersky و Symantec و McAfee بر روی سیستم های کاربران نصب کرد .

Cisco Firepower  ، DarkTrace، McAfee IPS  ،IPS  IBM  و Snort را جمله IPS/IDS های مورد استفاده در شبکه میباشند .