Untitled-2

احراز هویت و انواع آن

🕓 زمان مطالعه: 10 دقیقه

احراز هویت فرآیندی است برای تعیین اینکه یک شخص یا چیز واقعا شخص یا چیزی که ادعا می کنند هستند یا خیر.

تکنولوژی احراز هویت با بررسی اینکه آیا اطلاعات اکانت کاربر با اطلاعات موجود در پایگاه داده کاربران مجاز یا یک سرور احراز هویت داده مطابقت دارد، کنترل دسترسی را برای سیستم ها فراهم می کند. احراز هویت، ایمنی سیستم ها، پروسه ها و اطلاعات سازمانی را تضمین می کند.

چندین نوع احراز هویت وجود دارد. برای هویت کاربر، کاربران معمولاً با آی دی کاربری شناسایی می شوند. احراز هویت زمانی اتفاق می‌افتد که کاربر اطلاعات اکانتی مانند پسورد را ارائه کند که با آی دی کاربری خود مطابقت دارد.

الزام به داشتن شناسه کاربری و پسورد به عنوان احراز هویت تک-عاملی (SFA) شناخته می شود. در سال های اخیر، سازمان ها با درخواست فاکتورهای احراز هویت بیشتر، احراز هویت را تقویت کرده اند. این فاکتور های بیشتر می توانند کد منحصر به فردی باشند که هنگام تلاش برای لاگین به سیستم از طریق دستگاه تلفن همراه به کاربر ارائه می شود یا یک امضای بیومتریک، مانند اسکن صورت یا اثر انگشت. این به عنوان احراز هویت دو-مرحله ای (2FA) شناخته می شود.

پروتکل های احراز هویت می توانند از 2FA فراتر بروند و از عوامل متعددی برای احراز هویت یک شخص یا سیستم استفاده کنند. روش های احراز هویت که از دو یا چند عامل استفاده می کنند، احراز هویت چند-عاملی (MFA) نامیده می شوند.

 

چرا احراز هویت در امنیت سایبری مهم است؟

احراز هویت، سازمان ها را قادر می سازد تا ایمنی شبکه های خود را با دادن اجازه دسترسی فقط به کاربران یا پروسه های احراز هویت شده به منابع محافظت شده، حفظ کنند. این منابع می توانند شامل کامپیوترهای شخصی، شبکه های بی سیم، اکسس پوینت بی سیم، پایگاه های داده، وب سایت ها و سایر اپلیکیشن ها و سرویس های مبتنی بر شبکه باشد.

پس از احراز هویت، یک کاربر یا پروسه معمولاً تحت یک پروسه احراز دسترسی قرار می گیرد تا مشخص شود که آیا موجودیت تأیید شده، به یک منبع یا سیستم محافظت شده خاص می تواند دسترسی داشته باشد یا خیر. یک کاربر می تواند احراز هویت شود، اما اگر به کاربر اجازه دسترسی به یک منبع داده نشده باشد، امکان دسترسی به آن فراهم نمی شود.

در حالی که اصطلاحات احراز هویت (Authentication) و احراز دسترسی (Authorization) اغلب به جای یکدیگر استفاده می‌شوند و با هم پیاده‌سازی می‌شوند، اما عملکردهای مجزایی هستند. احراز هویت شامل تأیید هویت یک کاربر یا پروسه ثبت شده قبل از فعال کردن دسترسی به شبکه ها و سیستم های محافظت شده است. احراز دسترسی یک فرآیند دقیق تر است که تضمین می کند کاربر یا پروسه احراز هویت شده مجوز دسترسی به منبع خاص درخواست شده را دریافت کرده است یا خیر.

فرآیندی که از طریق آن دسترسی به برخی منابع محافظت شده به کاربران خاصی محدود می شود، کنترل دسترسی نامیده می شود. در مدل های کنترل دسترسی، احراز هویت همیشه قبل از احراز دسترسی است. انواع مختلف کنترل دسترسی به لایه های مختلف احراز هویت نیاز دارند.

 

احراز هویت چگونه کار می کند؟

در طی احراز هویت، اطلاعات اکانت ارائه شده توسط کاربر با اطلاعات موجود در یک پایگاه داده حاوی اطلاعات کاربران مجاز مقایسه می شود. این پایگاه داده می تواند بر روی سرور سیستم عامل محلی یا سرور احراز هویت قرار گیرد. اگر اطلاعات اکانت با اطلاعات موجود در فایل مطابقت داشته باشند و موجودیت تأیید شده، مجاز به استفاده از منبع باشد، کاربر دسترسی پیدا می کند.

مجوزهای کاربر تعیین می کند که کاربر به کدام منابع و سایر حقوق دسترسی مرتبط با کاربر، دسترسی پیدا می کند. آن حقوق دیگر، می تواند فاکتورهایی مانند ساعاتی که کاربر می تواند به منبع دسترسی داشته باشد و چه مقدار از منبع می تواند مصرف کند، باشد.

به طور سنتی، احراز هویت توسط سیستم‌ ها یا منابعی که به آنها دسترسی پیدا می کردید، انجام می ‌شد. به عنوان مثال، یک سرور با استفاده از سیستم پسورد، آی دی های لاگین یا نام کاربری و پسورد خود، کاربران را احراز هویت می کرد.

با این حال، پروتکل‌ های اپلیکیشن وب – مانند HTTP و HTTPS – stateless هستند، به این معنی که احراز هویت دقیق، کاربران نهایی را ملزم می‌کند که هر بار که با استفاده از HTTPS به منبعی دسترسی پیدا می‌کنند، مجددا احراز هویت شوند. برای ساده‌سازی احراز هویت کاربر برای اپلیکیشن‌های وب، سیستم احراز هویت، یک توکن تأیید احراز هویت امضا شده را برای اپلیکیشن کاربر نهایی صادر می‌کند. آن توکن به هر درخواست کلاینت اضافه می شود. این بدان معناست که کاربران مجبور نیستند هر بار که از یک اپلیکیشن وب استفاده می کنند، عملیات لاگین را انجام دهند.

 

احراز هویت برای چه مواردی استفاده می شود؟

سازمان‌ها از احراز هویت برای کنترل افرادی که می‌توانند به شبکه‌ و منابع شرکت دسترسی داشته باشند، و برای شناسایی و کنترل ماشین‌ها و سرورهایی که دسترسی دارند، استفاده می‌کنند. شرکت ها همچنین از احراز هویت استفاده می کنند تا کارمندان راه دور بتوانند به اپلیکیشن ها و شبکه ها به طور ایمن دسترسی داشته باشند.

برخی از موارد استفاده خاص شامل موارد زیر است:

لاگین به سیستم های شرکتی

روش‌های احراز هویت به منظور تأیید هویت کارکنان و اعطا دسترسی آنها به سیستم‌های شرکتی مانند ایمیل، پایگاه‌های داده و مرکز اسناد، استفاده می‌شود. این روش به حفظ محرمانه بودن و یکپارچگی داده های حساس شرکت کمک می کند.

بانکداری آنلاین و تراکنش های مالی

روش های احراز هویت، هویت مشتریان را تأیید می کند و اطمینان حاصل می کند که فقط کاربران مجاز می توانند به حساب های بانکی دسترسی داشته باشند، تراکنش های مالی را تأیید کنند و سایر فعالیت های بانکی آنلاین را انجام دهند.

دسترسی راه دور ایمن

بسیاری از سازمان ها به کارمندان خود اجازه می دهند از راه دور کار کنند و از مکان های خارج از سازمان به منابع متصل شوند. روش های احراز هویت، دسترسی راه دور ایمن، تأیید هویت کاربران ریموت، اطمینان از دسترسی مجاز و حفظ امنیت زیرساخت شبکه سازمان را امکان پذیر می کند.

سوابق الکترونیکی مراقبت های بهداشتی (EHRs)

روش‌های احراز هویت در مراقبت‌های بهداشتی حیاتی هستند تا از حریم خصوصی و امنیت EHR بیماران محافظت کنند و در عین حال متخصصان مجاز مراقبت‌های بهداشتی را قادر می‌سازند در صورت نیاز به آنها دسترسی داشته باشند.

تراکنش های تجارت الکترونیک. روش های احراز هویت برای تأیید هویت مشتریان، محافظت از اطلاعات حساس و امکان ساختن تراکنش های آنلاین امن، استفاده می شود. این کار به جلوگیری از کلاهبرداری و افزایش اعتماد مشتری کمک می کند.

 

فاکتورهای احراز هویت چیست؟

اعتبارسنجی یک کاربر با شناسه کاربری و پسورد، ابتدایی ترین نوع احراز هویت در نظر گرفته می شود و فقط کافی است که کاربر آن دو اطلاعات را بداند. از آنجایی که این نوع احراز هویت تنها به یک عامل احراز هویت متکی است، این یک نوع SFA است.

احراز هویت قوی در برابر حمله، قابل اعتمادتر و مقاوم تر است. به طور معمول، حداقل از دو نوع مختلف فاکتور احراز هویت استفاده می کند و اغلب به رمزهای عبور قوی با حداقل هشت کاراکتر، ترکیبی از حروف کوچک و بزرگ، نمادها و اعداد خاص نیاز دارد. 2FA و MFA انواعی از احراز هویت قوی هستند که MFA یکی از رایج‌ترین روش‌های احراز هویت امروزی است.

یک فاکتور احراز هویت بخشی از داده یا ویژگی را ارائه می کند که می تواند کاربری که درخواست دسترسی به یک سیستم دارد را تائید کند. یک ضرب المثل امنیتی قدیمی می گوید که فاکتورهای احراز هویت می تواند چیزی باشد که شما می دانید، چیزی که دارید یا چیزی که هستید. فاکتورهای اضافی در سال‌های اخیر پیشنهاد و اعمال شده‌اند که مکان، اغلب به عنوان فاکتور چهارم و زمان به عنوان فاکتور پنجم عمل می‌کند.

انواع احراز هویت چند عاملی

فاکتورهای احراز هویت

فاکتورهای احراز هویت که در حال حاضر مورد استفاده قرار می گیرند عبارتند از:

زمان و مکان

دو مورد از پنج فاکتوری هستند که برای احراز هویت کاربری که درخواست دسترسی به یک سیستم را دارد، استفاده می شود.

فاکتور دانش

فاکتور دانش، یا چیزی که شما می دانید، می تواند هر اطلاعات اکانتی باشد که منعکس کننده اطلاعات کاربر است، مانند شماره شناسایی شخصی (PIN)، نام کاربری، پسورد یا جوابهای سؤالات امنیتی مخفی.

فاکتور مالکیت

فاکتور مالکیت ،یعنی چیزی که شما دارید می تواند نوعی اطلاعات اکانت باشد  که کاربر می تواند با خود داشته باشد یا حمل کند مثل دستگاه های سخت افزاری مانند توکن امنیتی، کارت هوشمند یا تلفن همراه که می توانید برای دریافت پیام متنی یا اجرای اپلیکیشن احراز هویت که می تواند پسورد یکبار مصرف (OTP) یا پین ایجاد کند، استفاده کنید.

فاکتور ذاتی

عامل ذاتی، یا چیزی که شما هستید، معمولا بر اساس شناسایی بیومتریک مانند اثر انگشت ، تشخیص چهره یا اسکن شبکیه است.

فاکتور مکان

جایی که شما هستید ممکن است کمتر مشخص باشد، اما گاهی اوقات برای تکمیل فاکتورهای دیگر استفاده می شود. مکان را می توان با دقت معقول توسط دستگاه های مجهز به سیستم موقعیت یاب جهانی یا با دقت کمتر به وسیله بررسی آدرس ها و مسیرهای شبکه تعیین کرد. فاکتور مکان معمولاً تنها فاکتور نیست که برای احراز هویت استفاده می شود. معمولاً فاکتورهای دیگری را تکمیل می کند و ابزاری برای رد برخی درخواست ها فراهم می کند. به عنوان مثال، می‌تواند از دسترسی مهاجمی که در یک منطقه جغرافیایی دور افتاده قرار دارد و خود را به عنوان کاربری که معمولاً از خانه یا محل کار خود در کشور اصلی سازمان لاگین می کند معرفی می کند، جلوگیری کند.

فاکتور زمان

مانند فاکتور مکان، فاکتور زمان یا زمانی که شما در حال احراز هویت هستید، مکانیزم تکمیلی دیگری برای از بین بردن مهاجمانی است که سعی می کنند در زمانی که آن منبع در دسترس کاربر مجاز نیست، به آن منبع دسترسی پیدا کنند. اغلب با موقعیت مکانی جفت می شود. به عنوان مثال، اگر کاربر آخرین بار در ظهر در ایالات متحده احراز هویت شده باشد، تلاش برای احراز هویت یک ساعت بعد از آسیا بر اساس ترکیب زمان و مکان رد می شود. علیرغم شایستگی آنها به عنوان فاکتورهای تکمیلی احراز هویت، مکان و زمان به خودی خود برای احراز هویت یک کاربر، بدون حداقل یکی از سه فاکتور اول، کافی نیستند.

 

انواع مختلف احراز هویت چیست؟

انواع مختلفی از مکانیسم های احراز هویت وجود دارد، از جمله موارد زیر:

احراز هویت تک-عاملی

SFA رایج ترین روش احراز هویت است؛ و فقط یک فایل پسورد که در آن شناسه های کاربر همراه با هش های پسوردهای مرتبط با هر کاربر ذخیره می شود، کافی است. هنگام لاگین به سیستم، پسوردی که کاربر ارسال می کند هش شده و با مقدار موجود در فایل رمز مقایسه می شود. اگر دو هش مطابقت داشته باشند، کاربر احراز هویت می شود.

این رویکرد برای احراز هویت دارای اشکالات متعددی است، به ویژه برای منابع مستقر در سیستم های مختلف. یکی از دلایل این است که مهاجمانی که به فایل پسورد یک سیستم دسترسی پیدا می کنند، می توانند از حملات brute-force علیه پسوردهای هش شده برای استخراج پسورد استفاده کنند. SFA همچنین ملزم می کند اپلیکیشن های مدرنی که به منابع چندین سیستم دسترسی دارند چندین احراز هویت انجام دهند.

تکنولوژی Single Sign-On برخی از نقاط ضعف احراز هویت مبتنی بر پسورد را برطرف کرده است. همچنین می توان تا حدی با نام های کاربری و رمزهای عبور هوشمندتر بر اساس قوانینی مانند حداقل طول و پیچیدگی و با استفاده از حروف بزرگ و نمادها آنها را برطرف کرد. با این حال، احراز هویت مبتنی بر پسورد و احراز هویت مبتنی بر دانش نسبت به سیستم هایی که به چندین روش مستقل نیاز دارند آسیب پذیرتر هستند.

احراز هویت دو-عاملی

2FA یک لایه حفاظتی اضافی را با ملزم کردن کاربر به ارائه فاکتور دوم تائید هویت علاوه بر پسورد، فراهم می کند. در این روش کاربر ملزم به می شود. این سیستم ها اغلب از کابران می خواهند کد تائید ارسالی به تلفن همراه از پیش ثبت شده یا کدی که در یک اپلیکیشن احراز هویت ایجاد می شود را وارد کنند.

احراز هویت چند-عاملی

MFA از کاربران می خواهد با بیش از یک فاکتور، هویت خود را احراز کنند، که ممکن است یک فاکتور بیومتریک مانند اثر انگشت یا تشخیص چهره باشد، یا یک فاکتور مالکیت مانند جا کلیدی امنیتی، یا یک کد که توسط اپلیکیشن احراز هویت تولید شده.

رمز یکبار مصرف

OTP یک رشته کاراکترهای عددی یا عددی-الفبایی است که به طور خودکار ایجاد می شود و یک کاربر را احراز هویت می کند. این پسورد فقط برای یک جلسه لاگین یا تراکنش معتبر است و معمولاً برای کاربران جدید یا کاربرانی که پسورد خود را گم کرده‌اند نیز استفاده می شود. در این روش به آنها یک OTP داده می شود تا لاگین کنند و پسورد جدید خود را بسازند.

احراز هویت سه-عاملی

این نوع MFA از سه عامل احراز هویت استفاده می‌کند – معمولاً اینها یک فاکتور دانش، مانند پسورد، همراه با یک فاکتور مالکیت، مانند یک توکن امنیتی، و یک فاکتور ذاتی، مانند بیومتریک هستند.

احراز هویت بیومتریک

انواع احراز هویت بیومتریک

احراز هویت بیومتریک

این نوع احراز هویت معمولاً به عنوان فاکتور دوم یا سوم استفاده می شود. اسکن اثر انگشت، اسکن صورت یا شبکیه چشم و تشخیص صدا نمونه های رایجی هستند. حداقل 16 فاکتور احراز هویت بیومتریک وجود دارد، از اسکن اثر انگشت و شبکیه چشم گرفته تا تشخیص صدا و الگوهای رگ.

احراز هویت موبایل

این پروسه تأیید کاربران از طریق دستگاه های آنها، یا تأیید صحت خود دستگاه ها است. این به کاربران امکان می دهد از هر کجا به مکان ها و منابع امن وارد شوند. فرآیند احراز هویت تلفن همراه معمولاً به MFA نیاز دارد که می تواند شامل OTP ها، احراز هویت بیومتریک یا کد پاسخ سریع باشد.

احراز هویت مداوم

با این نوع احراز هویت، کاربران وارد یا خارج نمی شوند. در عوض، اپلیکیشن یک شرکت به طور مداوم یک امتیاز احراز هویت را محاسبه می کند که میزان اطمینان از اینکه مالک حساب شخصی است که از دستگاه استفاده می کند را اندازه می گیرد.

احراز هویت رابط برنامه نویسی اپلیکیشن (API)

سه روش زیر، روش های استاندارد مدیریت احراز هویت API هستند:

  • در احراز هویت ابتدایی HTTP، سرور، اطلاعات احراز هویت مانند نام کاربری و پسورد را از یک کلاینت درخواست می کند. سپس مشتری اطلاعات احراز هویت را در یک هدر احراز دسترسی به سرور ارسال می کند.
  • در احراز هویت کلید API، یک مقدار تولید شده منحصر به فرد به کاربر برای اولین بار اختصاص داده می شود که نشان می دهد کاربر شناخته شده است. هر بار که کاربر سعی می کند دوباره وارد سیستم شود، از کلید منحصر به فرد او استفاده می شود تا تأیید شود که همان کاربری است که قبلاً وارد سیستم شده است.
  • Open Authorization یا OAuth، یک استاندارد باز برای احراز هویت و احراز دسترسی مبتنی بر توکن در اینترنت است. این استاندارد این امکان را فراهم می سازد که اطلاعات اکانت کاربر توسط سرویس های شخص ثالث مانند فیسبوک، بدون افشای پسورد کاربر، استفاده شوند. OAuth به عنوان یک واسطه از طرف کاربر عمل کرده و به سرویس یک توکن دسترسی ارائه می دهد که به اشتراک گذاری اطلاعات اکانت خاص را مجاز می کند.

 

احراز هویت در مقابل احراز دسترسی

احراز هویت تأیید می کند که کاربر همان کسی است که می گوید. احراز دسترسی فرآیندی است که از طریق آن یک ادمین، حقوقی را به کاربران تأیید شده اعطا می کند؛ و همچنین فرآیند بررسی مجوزهای اکانت کاربری برای تأیید دسترسی کاربر به آن منابع است.

امتیازات و ترجیحات اعطا شده برای یک اکانت مجاز به مجوزهای کاربر بستگی دارد. آنها به صورت محلی یا روی یک سرور احراز هویت ذخیره می شوند. یک ادمین تنظیمات تعریف شده برای این متغیرهای دسترسی کاربر را ایجاد می کند.

 

احراز هویت کاربر در مقابل احراز هویت ماشین

ماشین‌ها و اپلیکیشن‌ها باید اقدامات خودکار خود را در یک شبکه مجاز کنند. نمونه هایی از این موارد عبارتند از سرویس های بکاپ گیری آنلاین، پچ، به روز رسانی و سیستم های نظارت از راه دور، مانند مواردی که در تکنولوژی های پزشکی از راه دور و شبکه هوشمند استفاده می شود. همه اینها باید به طور ایمن احراز هویت شوند تا تأیید شوند که مجاز به انجام هر تعاملی که درخواست می کنند هستند و هکر نیستند.

احراز هویت ماشین را می توان با اطلاعات اکانت ماشین، مشابه شناسه و پسورد کاربر، اما ارائه شده توسط دستگاه مورد نظر، انجام داد. احراز هویت ماشین همچنین از گواهی‌های دیجیتال صادر و تأیید شده توسط یک مرجع گواهی به عنوان بخشی از زیرساخت کلید عمومی برای اثبات هویت در حین تبادل اطلاعات از طریق اینترنت استفاده می‌کند.

با رشد دستگاه‌های مجهز به اینترنت، احراز هویت قابل اعتماد دستگاه برای فعال کردن ارتباطات ایمن برای اتوماسیون خانگی و سایر کاربردهای اینترنت اشیا، بسیار حیاتی است. هر اکسس پوینت اینترنت اشیا یک نقطه نفوذ بالقوه است. و هر دستگاه شبکه ای نیاز به احراز هویت ماشین قوی دارد و باید برای دسترسی محدود پیکربندی شود تا در صورت نقض آنها، کارهایی را که می توان انجام داد محدود کرد.

SaaS-PaaS-IaaS

SaaS، PaaS و IaaS: چه تفاوتی دارند و از کدام باید استفاده شود؟

🕓 زمان مطالعه: 5 دقیقه

SaaS ،PaaS و IaaS سه اصطلاح رایجی هستند که انواع مختلفی از محاسبات مبتنی بر سرویس را توصیف می کنند. شرکت‌ها به‌جای خرید مستقیم دارایی‌های فیزیکی مانند تجهیزات سخت‌افزاری و مجوزهای نرم‌افزاری، منابع آی تی را از ارائه‌دهندگان ابری خارجی تامین می‌ کنند.

مدل as-a-service (به عنوان یک سرویس) کارایی را به حداکثر می‌رساند، بنابراین می‌تواند اقتصادی‌تر از جایگزین‌های سنتی باشد. سازمان‌ها فقط برای آنچه استفاده می‌کنند، پرداخت می‌کنند و توزیع و پیش‌ بینی هزینه‌ها را آسان‌ تر می‌کنند. منابع جدید را می توان هر زمان که نیاز بود تهیه کرد و رشد سریع را در پاسخ به نیازهای جدید کسب و کار امکان پذیر می کند.

در حالی که SaaS ،PaaS و IaaS همگی این مزایا را به اشتراک می‌گذارند، هر کدام موارد استفاده و گروه‌های کاربر متفاوتی را هدف قرار می‌دهند. در این مقاله، ما به این خواهیم پرداخت که چگونه این سه پیشنهاد در استک تکنولوژی شما جای می‌گیرند و چه زمانی باید یکی را بر دیگری ترجیح دهید.

 

SaaS: نرم افزار به عنوان سرویس

SaaS مخفف Software-as-a-Service است. SaaS در بین این سه اصطلاح از همه بیشتر استفاده می شود. SaaS به نرم افزار کاملی اطلاق می شود که می توان در ازای پرداخت هزینه اشتراک مکرر، از آن استفاده کرد. محصولات SaaS معمولاً در فضای ابری میزبانی می شوند و از طریق یک مرورگر وب یا دستگاه موبایل قابل دسترسی هستند. این مفهوم همچنین می‌تواند به نرم‌افزار دسکتاپ که لایسنس مشابهی دارند، اشاره داشته باشد – مانند پرداخت هزینه برنامه‌های مایکروسافت آفیس از طریق پلن مایکروسافت 365.

برخی از اپلیکیشن های محبوب SaaS عبارتند از Slack برای پیام رسانی، GitHub برای میزبانی کد و Stripe برای صورتحساب پرداخت. هر یک از اینها یک پلتفرم آماده برای استفاده در اختیار شما قرار می دهد که مشکل خاصی را برای شما حل می کند.

راهکارهای SaaS معمولاً به طور مداوم ارائه می‌شوند، بنابراین در طول عمر خود بهبود می‌یابند. در زمان اشتراک، ویژگی‌ها و پچ های امنیتی جدید بدون نیاز به اقدام از سوی کاربر نهایی، به صورت منظم در اختیار قرار می گیرند.

اکثر ارائه دهندگان SaaS چندین پلن پرداخت مختلف را ارائه می دهند که به شما امکان می دهد ترکیبی از ویژگی های مورد نیاز خود را انتخاب کنید. پشتیبانی از کاربران بیشتر، فضای ذخیره‌سازی بالاتر و ماژول‌های افزودنی را می‌توان در صورتی که نیاز بود خریداری کرد، به جای پرداخت هزینه برای همه چیز از قبل.

 

PaaS: پلتفرم به عنوان سرویس

PaaS مخفف Platform-as-a-Service است. برخلاف SaaS، سرویس های PaaS کاربران نهایی نرم افزار را هدف قرار نمی دهند. آنها ابزارهایی هستند که تیم های توسعه برای ساخت، استقرار و نگهداری اپلیکیشن ها از آنها استفاده می کنند.

راهکار‌های PaaS، پیچیدگی تدارک و مدیریت زیرساخت‌ها را از بین می‌برند. توسعه دهندگان قبلا با کانفیگ سیستم عامل، نصب محیط اجرای زبان برنامه نویسی خود و کانفیگ وظایف مدیریتی مانند پشتیبان گیری و مانیتورینگ، سرورها را به صورت دستی تنظیم می کردند.

سرویس های PaaS مانند Heroku و Firebase این وظایف را برای شما انجام می دهند. آنها یک محیط آماده را فراهم می کنند که به شما امکان می دهد هر بار که تغییرات را انجام می دهید، کد را به طور خودکار اجرا کنید. ارائه‌دهنده PaaS، زبان‌های سورس در پروژه شما را شناسایی می‌کند، زمان اجرای مناسبی را تخصیص می دهد و سرویس شما را در اینترنت در دسترس قرار می‌دهد.

استفاده از PaaS می تواند باعث صرفه جویی قابل توجهی در زمان و هزینه برای تیم های پر مشغله DevOps شود. استقرار را سریع و آسان کرده، مقیاس‌پذیری داخلی را ایجاد و معمولا مدیریت آنها نسبت به زیرساخت ‌های خود-میزبان آسان ‌تر است. اکثر پلتفرم‌ های PaaS دارای یک کنترل پنل گرافیکی هستند که به شما امکان می‌دهد اپ های مستقر شده را مانیتور کرده و تغییرات مشکل‌ ساز را به عقب برگردانید.

 

IaaS: زیرساخت به عنوان سرویس

IaaS مخفف Infrastructure-as-a-Service است. IaaS یک مدل محاسبات ابری است که دسترسی تقاضا-محور به توان محاسباتی، ذخیره سازی و شبکه را ارائه می دهد. سرورهای مجازی رایج‌ترین شکل IaaS هستند، اما شبکه ‌های خصوصی، لود بالانسرها و سیستم‌ های ذخیره‌سازی نیز می‌توانند تحت این عنوان قرار بگیرند. همه ارائه دهندگان بزرگ ابر مانند AWS ،Azure ،Google Cloud و DigitalOcean با هدف ارائه راهکارهای IaaS تاسیس شدند.

منابع فراهم شده توسط یک ارائه دهنده IaaS معمولاً به صورت یکی از دو مدل مقابل ارائه می شوند: میزبانی مشترک یا اختصاصی. میزبانی مشترک به این معنی است که چندین منبع محاسباتی مجازی متعلق به چندین مشتری توسط سخت افزار فیزیکی یکسانی پشتیبانی می شوند. این مقرون به صرفه تر است، اما اگر “همسایگان شلوغ” داشته باشید، می تواند به عملکرد آسیب برساند. میزبانی اختصاصی به شما امکان استفاده انحصاری از یک دارایی فیزیکی خاص را می دهد. این کار شبیه به قرار دادن سرور خود در دیتاسنتر ارائه دهنده ابری است.

زیرساخت به عنوان سرویس هزینه ها را کاهش داده و انعطاف پذیری بیشتری را نسبت به سرورهای محلی سنتی ارائه می دهد. شما آزاد هستید که منابع خود را برای برآوردن تقاضاهای متغیر مشتری و عرضه محصول جدید افزایش یا کاهش دهید. شما کنترل سرورهای مجازی را که تدارک می بینید در دست دارید، بنابراین می توانید سیستم عامل را انتخاب کنید، پکیج های مورد نیاز خود را نصب کنید و تنظیمات را برای حداکثر کارایی و قابلیت اطمینان تنظیم کنید.

 

SaaS یا PaaS یا IaaS: کدام را باید استفاده کنید؟

SaaS، PaaS و IaaS هر یک جنبه منحصر به فرد محاسبات ابری را در نظر می گیرند. اگر به دنبال نرم افزار جدیدی برای کمک به راه اندازی کسب و کار خود هستید، پلتفرم نرم افزار به عنوان سرویس (SaaS) چیزی است که باید به دنبال آن باشید. محصولاتی که با استفاده از این اصطلاح به بازار عرضه می‌شوند، راهکار‌های آماده‌ای هستند که می‌توانید به طور مداوم لایسنس آنها را تمدید کنید.

PaaS و IaaS گزینه های فنی تری هستند که هدف آنها توسعه دهندگان و تیم های مهندسی است. این راهکارها به شما امکان می دهند محصولات SaaS خود را بسازید و تحویل دهید. تفاوت آنها در سطح کنترلی است که در اختیار شما قرار می دهند.

PaaS به شما امکان می دهد زیرساخت خود را برون سپاری کنید تا بتوانید روی عملکرد اپلیکیشن خود تمرکز کنید. این راهکارها به طور خودکار کد شما را می سازند و آن را در یک محیطی که به درستی پیکربندی شده مستقر می کنند. آنها می توانند به شما کمک کنند تا محصولات جدید را سریعتر به بازار بیاورید و در عین حال بار نگهداری از پلتفرم را در طول زمان کاهش دهید. با این حال، رویکردهای PaaS می توانند در درازمدت محدود کننده باشند زیرا شما با ویژگی های پلتفرمی که انتخاب می کنید محبوس شده اید.

IaaS کنترل کامل منابع محاسباتی را در اختیار شما قرار می دهد. شما می‌توانید ضمن بهره‌مندی از گزینه ‌های مقیاس‌ پذیری سرویس های ابری، اجزا زیرساخت خود را تدارک و مدیریت کنید. این کار مساوی با یک بار نگهداری بزرگتر است زیرا شما مسئول پیکربندی و نگهداری همه سیستم ها هستید، مانند اینکه یک ماشین فیزیکی در محل شما قرار دارد.

PaaS معمولاً بهترین انتخاب برای شرکت‌هایی است که راهکار‌های ساده SaaS را تولید می‌کنند که در آن انتشار سریع کد ها اولویت اصلی است. IaaS برای سازمان هایی که در حال حاضر ابزارهای خود را مدیریت می کنند و خواهان بیشترین میزان کنترل بر محیط خود هستند، مناسب تر است.

خلاصه

SaaS ،PaaS و IaaS اشکال مختلفی از محاسبات ابری هستند که به شما امکان می‌دهند منابع را بر اساس سرویس‌های دوره ای خریداری کنید. این اغلب انعطاف‌پذیرتر و مقرون به صرفه‌تر از خرید تجهیزات یا صدور لایسنس برای آنها است.

این سه مدل در مقابل یکدیگر نیستند. کسب‌ و کارها می‌توانند از همه آنها در کنار یکدیگر استفاده کنند: سرورهای اختصاصی می‌توانند بر روی پلتفرم IaaS میزبانی شوند و استقرار اپلیکیشن ها ممکن است یک راهکار PaaS را هدف قرار دهند، در حالی که وظایف اداری مانند حقوق و دستمزد، مدیریت پروژه و منابع انسانی با استفاده از محصولات شخص ثالث SaaS انجام می‌شود.

درک حوزه های تمرکز مربوط به SaaS، PaaS و IaaS به شما کمک می کند تا تکنولوژی بهینه را برای هر سناریوی جدید انتخاب کنید. ترکیب و تطبیق می تواند موثرترین رویکرد تدارکات باشد که به شما امکان می دهد از مزایای هر سه با کمترین مشکل بهره مند شوید. در حالی که IaaS و PaaS به ارائه راهکارهای نرم افزاری کمک می کنند، SaaS چیزی است که سازمان ها می توانند هم مصرف و هم تولید کنند.

api چیست

رابط برنامه نویسی اپلیکیشن یا API چیست و چگونه کار میکند؟

🕓 زمان مطالعه: 11 دقیقه

Application Programming Interface  یا رابط برنامه نویسی اپلیکیشن، کدی است که دو نرم افزار را قادر می سازد تا با هم ارتباط برقرار کنند. یک API تعریف می‌کند که چگونه یک توسعه ‌دهنده باید از یک سیستم عامل یا برنامه‌های کاربردی دیگر خدمات درخواست کند و داده‌ها را در زمینه‌های مختلف و در کانال‌های متعدد در معرض نمایش بگذارد.

هر داده ای را می توان با یک رابط برنامه نویسی اپلیکیشن به اشتراک گذاشت. APIها توسط فراخوانی تابع، متشکل از فعل ها و اسم ها پیاده سازی می شوند. نحو مورد نیاز در مستندات اپلیکیشن فراخوانی شده توضیح داده می شود. به عنوان مثال، در یک وب سایت املاک و مستغلات، یک API ممکن است دارایی های املاک موجود را بر اساس جغرافیا منتشر کند، در حالی که API دوم نرخ بهره فعلی را ارائه می دهد و سومی یک ماشین حساب وام مسکن ارائه می دهد.

در روزهای اولیه وب 2.0، مفهوم یکپارچه سازی داده ها و اپلیکیشن ها از منابع مختلف، mashup نامیده می شد. نرم افزارهای طراحی شده برای تبادل داده از طریق اینترنت و محاسبات ابری، همگی برای افزایش علاقه به APIها و سرویس ها ترکیب شده اند.

API چگونه کار میکند.

API چگونه کار می کند.

API ها چگونه کار می کنند؟

API ها از دو عنصر مرتبط تشکیل شده اند:

  • مشخصاتی که نحوه تبادل اطلاعات بین برنامه‌ها را در قالب درخواست به منظور پردازش و بازگرداندن داده‌های لازم توضیح می‌دهد؛ و
  • یک رابط نرم افزاری که با توجه به آن مشخصات نوشته شده و برای استفاده منتشر شده است.

نرم افزاری که می خواهد به ویژگی ها و قابلیت های API دسترسی پیدا کند، آن را فراخوانی می کند و نرم افزاری که API را ایجاد می کند، آن را منتشر می کند.

APIها به داده هایی که کاربران و سایر اپلیکیشن ها درخواست می کنند اجازه دسترسی می دهند. دسترسی به یک سرویس یا بخشی از عملکرد با استفاده از نقش‌های از پیش تعریف ‌شده تأیید می‌شود که مدیریت می کند چه کسی یا چه سرویسی می‌تواند به اقدامات و داده‌های خاص دسترسی داشته باشد. APIها همچنین یک دنباله حسابرسی ارائه می دهند که جزئیات چه کسانی و چه چیزهایی به سیستم دسترسی داشته اند و چه زمانی این اتفاق افتاده است را در اختیار قرار می دهد.

اپلیکیشن هایی که API را فراخوانی می کنند به طور سنتی در زبان های برنامه نویسی خاص نوشته می شدند. APIهای وب را می توان از طریق هر زبان برنامه نویسی فراخوانی کرد، اما صفحات وب ایجاد شده در زبان HTML یا ابزارهای تولید اپلیکیشن نیز می توانند به آنها دسترسی داشته باشند.

رایج ترین معماری ها برای APIها عبارتند از Representational State Transfer (REST) وSimple Object Access Protocol (SOAP) که مشخصات یک پروتکل ارتباطی استاندارد را برای تبادل پیام بر اساس زبان XML تعریف می کند. SOAP به کدهای مرتبط با زیرساخت سطح پایین کمتری نسبت به REST نیاز دارد. با این حال، APIهای REST برای مقیاس‌بندی و استقرار مجدد آسان تر و برای پیاده‌ سازی و ادغام با وبسایت‌ها و خدمات ساده ‌تر هستند. APIهای REST امروزه بیشتر مورد استفاده قرار می گیرند، به ویژه برای تعاملات وب.

چرا APIها برای تجارت مهم هستند

APIها کیفیت و تحویل نرم افزار و سرویس ها را بهبود بخشیده اند. نرم افزار سفارشی که برای یک هدف خاص توسعه یافته است، اغلب برای ارجاع به APIهایی نوشته می شود که ویژگی های مفید در زمینه های مختلف را ارائه می دهند. این امر زمان توسعه، هزینه و خطر خطا را کاهش می دهد.

تعداد فزاینده سرویس های وب که ارائه دهندگان ابری از طریق APIها در معرض قرار می دهند، ایجاد اپلیکیشن های مختص ابر، اینترنت اشیا و اپ هایی که از دستگاه های موبایل و کاربران پشتیبانی می کنند را ترغیب کرده است.

APIها یک لایه دیجیتال اضافه می کنند که از طریق آن داده ها و دارایی های شرکت با حاکمیت و امنیت لازم ارائه می شود. این رویکرد تعاملات مشتری، کارمند و شریک را افزایش می دهد. عملکرد و دامنه خدمات بیشتر ارزش ارائه شده به کاربران را افزایش می دهد و تجربه مشتری را بهبود می بخشد. به عنوان مثال، وب سایت قبلی نیازهای مشتری را در رابطه با جستجوی املاک پیش بینی می کند.

APIها همچنین فرصت‌های کسب درآمد جدیدی را برای کسب ‌و کارها ایجاد می‌کنند، مانند تولید داده‌ها با بسته‌های سفارشی‌ شده و طرح‌هایی برای شرکای تجاری.

مزایای استفاده از API چیست؟

APIها مجموعه ای از قوانین هستند. آنها نحوه نوشتن کد برنامه توسط توسعه دهندگان را استاندارد می کنند و فرآیندهای توسعه نرم افزار داخلی سازمان را بهبود می بخشند.

استفاده از قوانین و قالب‌های مشابه کد را ساده‌تر و شفاف‌تر می‌کند. استانداردسازی همچنین همکاری بین توسعه دهندگان را تسهیل می کند زیرا آنها اجزای نرم افزاری را با هدف ادغام با API ها می سازند. این به نوبه خود توسعه ویژگی را تسهیل می کند و زمان ورود به بازار را کاهش می دهد.

APIهای عمومی و آنهایی که با شرکا به اشتراک گذاشته شده اند، سازمان را قادر می سازد تا کارهای زیر را انجام دهد:

کنترل و مدیریت ایمن نحوه دسترسی کاربران و سیستم ها به داده ها و عملکرد خدمات؛

به اشخاص ثالث اجازه می دهد تا از داده های آن استفاده کنند – حتی به معنای محدود – که باعث افزایش قرار گرفتن در معرض نام تجاری شرکت می شود.

پایگاه داده مشتریان خود را رشد دهد و نرخ تبدیل آن را با همسو کردن خدمات خود با سایر مارک های مورد اعتماد افزایش دهد. و

از APIهای آن پول درآورید تا به یک خط درآمد تبدیل شوند. این یک تاکتیک رایج برای درگاه های پرداخت آنلاین است. به عنوان مثال، شرکت هایی که از APIهای PayPal استفاده می کنند، مایلند برای استفاده از یک سیستم پرداخت قابل اعتماد هزینه پرداخت کنند.

چالش های استفاده از APIها

چالش ها و محدودیت هایی در رابطه با API ها وجود دارد، از جمله موارد زیر:

  • توسعه API به منظور یکپارچگی با سیستم‌ها و داده‌هایی که ارائه می‌کنند، می‌تواند پیچیده و پرهزینه باشد. انواع خاصی از عملکرد ممکن است از طریق رویکردی مانند اتوماسیون پروسه رباتیک بهتر مورد بررسی قرار گیرند.
  • از آنجایی که APIها توسط استانداردسازی هدایت می شوند، در برابر حملات سایبری مربوط به افشا داده ها، احراز هویت کاربر، مجوز سطح شی و سطح عملکرد، تخصیص انبوه و حملات تزریق، آسیب پذیر هستند.
  • APIها اغلب به روز رسانی می شوند که این امر به روز نگه داشتن اسناد را دشوار می کند. مدیریت صحیح چرخه عمر API و منسوخ شدن APIهای قدیمی می تواند به کاهش این چالش کمک کند.
  • APIها باید برای اطمینان از عملکرد آنها در صورت نیاز، آزمایش شوند. بهترین رویکرد این است که شیوه های آزمایش را مدون کنید.
OWASP

OWASP API Security Top 10

انواع APIها

چهار نوع API وجود دارد: خصوصی، عمومی، پارتنری و ترکیبی.

  • APIهای خصوصی، یا APIهای داخلی، به صورت داخلی برای استفاده توسط توسعه دهندگان شرکت به منظور بهبود محصولات و خدمات خود منتشر می شوند. APIهای خصوصی در معرض اشخاص ثالث قرار نمی گیرند.
  • APIهای عمومی، یا APIهای باز، به صورت عمومی برای استفاده همه منتشر می شوند. هیچ محدودیتی برای این APIها وجود ندارد.
  • APIهای پارتنری را فقط طرف های خاصی استفاده می کنند که یک شرکت به صورت توافقی داده ها را با آنها به اشتراک می گذارد. این APIها در روابط تجاری، اغلب برای ادغام نرم افزار بین شرکت های شریک استفاده می شوند.
  • APIهای ترکیبی چندین API را برای رسیدگی به وظایف مرتبط یا وابسته به هم، ترکیب می کنند. آنها اغلب سرعت و عملکرد را در مقایسه با APIهای فردی بهبود می بخشند.

APIها همچنین به صورت محلی، وب، راه دور و برنامه طبقه بندی می شوند.

  • APIهای محلی خدمات سیستم عامل یا میان افزار را به برنامه ها ارائه می دهند. نمونه‌هایی از APIهای محلی عبارتند از APIهای دات‌نت مایکروسافت، API تلفنی برای برنامه‌های صوتی و APIهای دسترسی به پایگاه داده.
  • APIهای وب برای نمایش منابعی مانند صفحات HTML طراحی شده اند و با استفاده از پروتکل HTTP قابل دسترسی هستند. هر URL وب یک API وب را فعال می کند. APIهای وب اغلب APIهای RESTful نامیده می شوند زیرا ناشر رابط های REST هیچ داده ای را به صورت داخلی در بین درخواست ها ذخیره نمی کند. به این ترتیب، درخواست‌های بسیاری از کاربران اینترنت می‌توانند در هم آمیخته شوند.
  • APIهای راه دور از طریق یک شبکه ارتباطی برای دستکاری منابع خارج از کامپیوتر درخواست کننده، تعامل دارند. این یک دسته گسترده‌تر است که شامل APIهای وب می باشد، اما محدود به آن نیست. APIهای راه دور نیازی به طراحی بر اساس استانداردهای وب ندارند، اگرچه بسیاری از آنها چنین هستند. Java Database Connectivity API و Java Remote Method Invocation API دو نمونه از APIهای راه دور هستند.
  • APIهای برنامه، مبتنی بر فناوری فراخوانی رویه راه دور (RPC) هستند که باعث می شود یک جزء برنامه راه دور برای بقیه نرم افزار، محلی به نظر برسد. APIهای معماری سرویس گرا، مانند APIهای سری WS مایکروسافت، APIهای برنامه هستند.

چرا طراحی API مهم است

طراحی خوب API برای استفاده موفق از API ضروری است. معماران نرم افزار زمان قابل توجهی را صرف بررسی تمام کاربردهای ممکن یک API و منطقی ترین راه برای استفاده از آن می کنند.

ساختارهای داده و مقادیر پارامتر، اهمیت ویژه ای دارند زیرا باید بین فراخوانی کننده یک API و ناشر آن مطابقت داشته باشند.

امنیت قوی نیز یکی از جنبه های مهم طراحی API است. بهره گیری از APIهای با پیکربندی نادرست یک روش معمول برای مهاجمان سایبری است. APIها دروازه ای هستند که سیستم ها و داده های یک سازمان را به کاربران داخلی و خارجی ارائه می کنند. هر گونه آسیب می تواند مشکلات امنیتی گسترده و جدی ایجاد کند.

چند نمونه از APIها

سیستم‌های عامل و ابزارهای میان‌افزار ویژگی‌های خود را از طریق مجموعه‌ای از APIها که معمولاً جعبه ابزار نامیده می‌شوند، نمایش می‌دهند. دو مجموعه مختلف از ابزار که از مشخصات API یکسان پشتیبانی می کنند، برای برنامه نویسان قابل تعویض هستند و مبنای سازگاری و قابلیت همکاری هستند. مشخصات API دات نت مایکروسافت مبنایی برای بسته میان افزاری در لینوکس است که اکنون توسط مایکروسافت پشتیبانی می شود.

بسیاری از محصولات و ابزارهای نرم افزاری، از ابزارهای DevOps مانند Docker، Jenkins و GitLab گرفته تا پلتفرم های سازمانی مانند Microsoft SharePoint، عملکرد را از طریق APIها ارائه می دهند. رسانه های اجتماعی، به ویژه، از APIهای باز برای تسهیل عملکرد شخص ثالث، مانند توانایی ایجاد فیدهای خبری و اشتراک گذاری عکس ها، بهره می برند.

اینترنت محرک اصلی APIها است. شرکت‌هایی مانند فیس‌بوک، گوگل و یاهو APIهایی را منتشر می‌کنند تا توسعه‌دهندگان شخص ثالث را تشویق کنند تا بر روی توسعه قابلیت‌های سرویس های این شرکت ها کار کنند. این APIها همه چیز از ویژگی‌های اینترنتی جدید که سایت‌های سرویس‌های دیگر را مرور می‌کنند تا برنامه‌های دستگاه تلفن همراه که دسترسی آسان به منابع برنامه‌های وب را ارائه می‌دهند، را فراهم کرده‌اند. ویژگی‌های جدید مانند تحویل محتوا، واقعیت افزوده و کاربردهای جدید فناوری پوشیدنی تا حد زیادی از طریق این APIها ایجاد می‌شوند.

کاربرد API در صنایع مختلف

APIها تقریباً در هر صنعتی که شرکت ها، شرکا و ارائه دهندگان داده ها را تبادل می کنند، ارزش ایجاد می کنند.

 

ترندهای API

فراگیر بودن اینترنت، استفاده گسترده از محاسبات ابری و تغییر از اپلیکیشن های یکپارچه به میکروسرویس ها، همگی به افزایش استفاده از API کمک کرده اند. ترندهای پیرامون APIها شامل موارد زیر است:

REST و وب

فراخوانی های API وب می توانند از هر زبان برنامه نویسی انجام شوند، اما صفحات وب ایجاد شده در HTML یا ابزارهای تولید کننده اپلیکیشن نیز می توانند آنها را ایجاد کنند. افزایش نقش اینترنت و ابر در زندگی روزمره و فعالیت های تجاری، استفاده از APIها و ابزارهای برنامه نویسی ساده یا حتی عدم برنامه نویسی را برای دسترسی به API گسترش داده است.

REST و SOAP هر دو می‌توانند خدمات ابری را فراخوانی کرده، به آن‌ها متصل شوند، مدیریت کنند و با آن‌ها تعامل داشته باشند. REST برای APIهای وب ترجیح داده می شود زیرا از پهنای باند کمتری استفاده می کند و گزینه های بیشتری برای زبان های برنامه نویسی مانند جاوا اسکریپت و پایتون در اختیار می گذارد. وب سایت های بزرگ مانند آمازون، گوگل، لینکدین و توییتر از APIهای RESTful استفاده می کنند.

APIها و ابر

محاسبات ابری قابلیت‌های جدیدی را برای تقسیم نرم‌افزار به اجزای قابل استفاده مجدد، ارتباط اجزا به درخواست‌ها و مقیاس دهی تعداد نسخه‌های نرم‌افزار با تغییر تقاضا معرفی می‌کند.

این قابلیت‌های ابری تمرکز APIها را از مدل‌های برنامه‌نویس محور ساده مبتنی بر RPC به مدل‌های وب‌ محور RESTful و حتی به آنچه برنامه‌نویسی فانکشنال یا مدل‌های سرویس‌ لامبدا نامیده می شوند که می‌توانند فوراً در صورت نیاز در فضای ابری مقیاس دهی شوند، تغییر داده‌اند.

API به عنوان سرویس

گرایش به فکر کردن به APIها به عنوان مظهر منابع عمومی تغییر کرده است. بسیاری از اپلیکیشن‌ها و کاربران از APIها به‌عنوان یک ابزار عمومی استفاده می‌کنند، اما آن‌ها نیز سرویس در نظر گرفته می‌شوند و معمولاً به توسعه و استقرار کنترل‌شده‌تری نیاز دارند.

SOA و میکروسرویس‌ها نمونه هایی از APIهای سرویس هستند. سرویس ها داغ ترین ترند در APIها هستند، تا جایی که ممکن است همه APIها در آینده به عنوان مظهر سرویس‌ها دیده شوند.

هوش مصنوعی در APIها

هوش مصنوعی و یادگیری ماشین به طور فزاینده ای برای تولید خودکار اسناد و نظارت بر روند استفاده از API استفاده می شوند.

انتشار و مدیریت API

شرکتی که API را منتشر می کند، تمام جنبه های طراحی و استفاده از آن از جمله امنیت، قابلیت اطمینان و هزینه استفاده را کنترل می کند. همچنین افزودن عملکردهای مختلف، خواه توسط ناشر یا اشخاص ثالث توسعه یافته باشند را کنترل می کند. این بدان معناست که شرکت باید عملکرد API را تحت شرایط سرویس خود حفظ کند، همانطور که در مورد هر برنامه یا سرویسی عمل می کند.

موارد زیر جنبه های کلیدی انتشار و مدیریت API هستند:

تست API. مانند همه نرم افزارها، APIها باید تست شوند. این API منتشر شده را در برابر مشخصاتی که کاربران برای فرمت‌بندی درخواست‌های خود استفاده می‌کنند، تأیید می‌کند. تست API همچنین تضمین می کند که:

  • نقاط پایانی اپلیکیشن و عملکردهای اشتراک داده همانطور که انتظار می رود کار می کنند.
  • فیدهای داده‌ پارتنرها داده‌های مورد انتظار را ارسال می‌کنند، چگونه، چه زمانی و کجا انتظار می‌رود.
  • داده های بی ارزش وارد پایگاه داده نمی شود و مشکلات اپلیکیشن یا مشکل خرابی داده ها را ایجاد نمی کند؛ و
  • یک اپلیکیشن در تمام پلتفرم ها از جمله دسکتاپ، وب و موبایل کار می کند.

تست API معمولاً به عنوان بخشی از مدیریت چرخه حیات اپلیکیشن انجام می شود، هم برای نرم افزاری که API را منتشر می کند و هم برای همه نرم افزارهایی که از آن استفاده می کنند. APIها همچنین باید در فرم منتشر شده خود آزمایش شوند تا اطمینان حاصل شود که می توان به درستی به آنها دسترسی داشت.

مدیریت API

مدیریت API به مجموعه فعالیت های مرتبط با انتشار یک API برای استفاده اشاره دارد. مدیریت این امکان را برای کاربران فراهم می کند که API و مشخصات آن را پیدا کنند و دسترسی به آن را بر اساس مجوزها یا سیاست های تعریف شده توسط مالک تنظیم کنند.

پلتفرم مدیریت API

پلتفرم های مدیریت API به کسب و کارها کمک می کند تا همانگونه که به آنها APIها وابسته می شوند، آنها را مدیریت کنند.

 

مدیریت API رایج شده است به این دلیل که مشاغل به طور فزاینده ای به آنها وابسته­تر می شوند، تعداد بیشتری از آنها را می­پذیرند و با پیچیدگی های مدیریتی که آنها تحمیل می کنند، مقابله می کنند. سازمان ها نیازهای مدیریتی متفاوتی دارند، اما معمولاً عملکردهای اساسی از جمله امنیت، حاکمیت، تجزیه و تحلیل و کنترل نسخه را در بر می گیرند.

APIها به مستندات قوی، سطوح امنیتی پیشرفته، تست جامع، نسخه‌سازی روتین و قابلیت اطمینان بالا نیاز دارند. برای رفع این الزامات، سازمان ها از نرم افزار مدیریت API به عنوان یک پلتفرم ترکیبی یا با ابزارهای فردی استفاده می کنند. این ابزارها معمولاً شامل چندین مؤلفه اصلی هستند: پورتال توسعه دهنده، مدیریت چرخه حیات، مدیر سیاست، تجزیه و تحلیل و درگاه API.

نقاط پایانی API و امنیت

نقاط پایانی API نقاطی هستند که کلاینت و سرور در آنجا با هم ارتباط برقرار می کنند و API درخواست­های منابع را دریافت می کند. آنها معمولاً یک URL هستند که توسط سرور در معرض دید قرار می گیرند و سیستم های دیگر را قادر می سازد به نقاط پایانی متصل شوند. آنها به عنوان نقاط ورود به شبکه شرکت عمل می کنند. نقاط پایانی جایی هستند که کد توسعه دهنده با کد و داده­های یک سازمان در تعامل است.

نقاط پایانی API اهداف جذابی برای مهاجمان هستند و باید محافظت شوند. برخی از اقدامات امنیتی به شرح زیر است:

  • از محدود کردن نرخ برای جلوگیری از بات­ها و تهدیدات انکار سرویس توزیع شده (DDoS) استفاده کنید.
  • برای اطمینان از وارد شدن اطلاعات صحیح و جلوگیری از حملات تزریق، ورودی را اعتبارسنجی کنید.
  • رمزهای عبور را به عنوان مقادیر هش نامتقارن ذخیره کنید.
یو تی ام چیست؟

مدیریت تهدید یکپارچه یا UTM چیست و چه ویژگی هایی دارد؟

🕓 زمان مطالعه: 6 دقیقه

مدیریت تهدید یکپارچه (UTM) راهکاری است که چندین ویژگی یا سرویس امنیتی در یک دستگاه واحد در شبکه شما ترکیب می شوند. با استفاده از UTM، کاربران شبکه شما با چندین ویژگی مختلف از جمله آنتی ویروس، فیلتر محتوا، فیلتر ایمیل و وب، آنتی اسپم و غیره محافظت می شوند.

UTM یک سازمان را قادر می سازد تا خدمات امنیتی آی تی خود را در یک دستگاه ادغام کرده و به طور بالقوه حفاظت از شبکه را ساده کند. در نتیجه، کسب ‌و کار شما می‌تواند تمام تهدیدات و فعالیت‌های مرتبط با امنیت را از طریق تنها یک پنل کنترل کند. به این ترتیب، دید کامل و ساده ای را بر تمام عناصر امنیت یا معماری بی سیم خود به دست می آورید.

ویژگی های مورد نظر یک مدیر تهدید یکپارچه

ویژگی های خاصی وجود دارد که یک راهکار ایده آل UTM باید آنها را دارا باشد:

آنتی ویروس

یک UTM دارای نرم افزار آنتی ویروس است که می تواند شبکه شما را کنترل کند، سپس ویروس ها را شناسایی کرده و از آسیب رساندن به سیستم شما یا دستگاه های متصل به آن جلوگیری کند. این کار با استفاده از اطلاعات موجود در پایگاه‌های داده سیگنیچر، که انبارهایی حاوی پروفایل های ویروس‌ها هستند، انجام می‌شود تا بررسی شود که آیا هیچ ویروسی در سیستم شما اکتیو است یا در تلاش است به آن دسترسی پیدا کند.

برخی از تهدیداتی که نرم افزار آنتی ویروس در یک UTM می تواند متوقف کند شامل فایل های آلوده، تروجان ها، کرم ها، جاسوس افزارها و سایر بدافزارها است.

ضد بدافزار

مدیریت تهدید یکپارچه با شناسایی بدافزار و سپس پاسخ دادن، از شبکه شما در برابر بدافزار محافظت می کند. یک UTM می تواند برای شناسایی بدافزار شناخته شده، فیلتر کردن آن از جریان داده های شما و جلوگیری از نفوذ آن به سیستم شما، از قبل پیکربندی شود. UTM همچنین می تواند برای شناسایی تهدیدات بدافزار جدید با استفاده از آنالیز اکتشافی، که شامل قوانینی برای آنالیز رفتار و ویژگی های فایل ها است، پیکربندی شود.

UTM همچنین می تواند از سندباکس به عنوان یک اقدام ضد بدافزار استفاده کند. با سندباکس، سلولی در داخل کامپیوتر به عنوان یک سندباکس عمل می کند که فایل مشکوک را ضبط می‌کند. حتی اگر بدافزار مجاز به اجرا باشد، سندباکس از تعامل آن با سایر برنامه‌های کامپیوتر جلوگیری می‌کند.

فایروال

فایروال توانایی اسکن ترافیک ورودی و خروجی را برای ویروس ها، بدافزارها، حملات فیشینگ، اسپم ها، تلاش برای نفوذ به شبکه و سایر تهدیدات امنیت سایبری دارد. از آنجایی که فایروال‌های UTM داده‌های ورودی و خروجی شبکه شما را بررسی می‌کنند، می‌توانند از استفاده از دستگاه‌های داخل شبکه برای گسترش بدافزار به سایر شبکه‌هایی که به آن متصل می‌شوند نیز جلوگیری کنند.

پیشگیری از نفوذ

یک سیستم UTM می تواند قابلیت پیشگیری از نفوذ (IPS) را که حملات را شناسایی و از آنها جلوگیری می کند در اختیار یک سازمان قرار دهد. برای شناسایی تهدیدات، یک IPS بسته‌های داده را آنالیز کرده و به دنبال الگوهای شناخته شده در تهدیدات می‌گردد. وقتی یکی از این الگوها شناسایی شد، IPS حمله را متوقف می کند.

شبکه خصوصی مجازی

شبکه خصوصی مجازی (VPN) که با یک دستگاه UTM ارائه می شود، عملکردی مشابه زیرساخت VPN معمولی دارد. VPN یک شبکه خصوصی ایجاد می کند که از درون یک شبکه عمومی تانل زده و به کاربران امکان می دهد که داده ها را از طریق شبکه عمومی – بدون نگرانی از مشاهده داده ها توسط دیگران – ارسال و دریافت کنند. همه ارسال‌ها رمزگذاری می شوند بنابراین حتی اگر کسی در مسیر داده‌ها باشد، برای او بی‌فایده خواهد بود.

وب فیلترینگ

ویژگی وب فیلترینگ UTM می‌تواند از مشاهده وب‌ سایت‌ یا صفحات خاص توسط کاربران جلوگیری کند. این کار با متوقف کردن مرورگر کاربران از لود صفحات سایت ها در دستگاه آنها انجام می شود. وب فیلترینگ می تواند بنا به اهداف سازمان شما صفحات خاصی را هدف قرار دهد.

برای مثال، اگر می‌خواهید از پرت شدن حواس کارمندان توسط سایت‌های رسانه‌های اجتماعی خاص جلوگیری کنید، می‌توانید از بارگیری آن سایت‌ها در دستگاه‌هایشان در زمانی که به شبکه شما متصل هستند جلوگیری کنید.

پیشگیری از از دست دادن داده

پیشگیری از از دست دادن داده (DLP) امکان می دهد نقض داده و تلاش برای استخراج غیر مجاز آن را شناسایی کرده و از آن جلوگیری کنید. برای انجام این کار، سیستم DLP، داده‌های حساس را رصد کرده و هنگامی که تلاش یک عامل مخرب برای سرقت آن را شناسایی می‌کند، آن را بلاک و در نتیجه از داده‌ها محافظت می‌کند.

مزایای استفاده از راهکار یکپارچه مدیریت تهدید

انعطاف پذیری و سازگاری

با یک شبکه UTM، می توانید از مجموعه ای از راهکارهای انعطاف پذیر برای مدیریت شبکه های پیچیده موجود در زیرساخت های تجاری مدرن استفاده کنید. شما می توانید آنچه را که نیاز دارید از میان مجموعه ای از ابزارهای مدیریت امنیت انتخاب کرده و بهترین گزینه را برای شبکه خاص خود انتخاب کنید. همچنین می‌توانید لایسنسی دریافت کنید که تمام تکنولوژی هایی که می‌خواهید را در اختیار قرار می دهد و در زمان شما برای خرید راهکارهای فردی صرفه‌جویی می‌کند.

از آنجا که یک UTM انعطاف پذیر است، شما این آزادی را دارید که بیش از یک تکنولوژی امنیتی را به دلخواه خود به کار بگیرید. همچنین، یک UTM با به‌روزرسانی‌های خودکار ارائه می‌شود که سیستم شما را برای مقابله با آخرین تهدیدات موجود آماده نگه می‌دارد.

یکپارچه سازی و مدیریت متمرکز

در یک راه‌اندازی معمولی بدون UTM، ممکن است مجبور شوید از چندین مؤلفه امنیتی، از جمله فایروال، کنترل اپلیکیشن، VPN و موارد دیگر به طور همزمان استفاده کنید. این می تواند زمان و منابع را از تیم شما بگیرد. با این حال، با یک UTM، می توانید همه چیز را یکپارچه کرده و با یک کنسول مدیریت، کنترل کنید. این امر نظارت بر سیستم و همچنین رسیدگی به اجزای خاصی در UTM را که ممکن است نیاز به به روز رسانی یا بررسی داشته باشند را آسان تر می کند.

ماهیت متمرکز یک UTM همچنین به شما امکان می دهد بر چندین تهدید به طور همزمان نظارت کنید زیرا آنها بر چندین مؤلفه شبکه شما تأثیر می گذارند. در یک شبکه بدون این ساختار متمرکز، زمانی که یک حمله چند-ماژوله در حال وقوع است، جلوگیری از آن می تواند بسیار دشوار باشد.

مقرون به صرفه بودن

به دلیل راه اندازی متمرکز، UTM تعداد دستگاه هایی که سازمان شما برای محافظت از شبکه نیاز دارد را کاهش می دهد. این ممکن است منجر به صرفه جویی قابل توجهی در هزینه شود. علاوه بر این، به دلیل اینکه کارکنان کمتری برای نظارت بر سیستم مورد نیاز هستند، می توانید در هزینه های نیروی انسانی نیز صرفه جویی کنید.

افزایش آگاهی از تهدیدات امنیتی شبکه

ترکیب متمرکز بودن UTM همراه با عملکرد سریعتر منجر به افزایش آگاهی از تهدیدات امنیتی شبکه می شود و شما را قادر می سازد حفاظت از تهدیدات پیشرفته (ATP) را پیاده سازی کنید. این کار تیم آی تی شما را برای مدیریت بهتر تهدیدات پایدار پیشرفته (APT) و سایر خطرات مدرن پیش رو، مجهز می کند.

توانایی بهبود یافته برای مقابله با این نوع تهدیدات ناشی از توانایی یک UTM برای اجرای چندین مکانیسم پاسخ به تهدید به صورت هماهنگ است که نیروها را در برابر تهدیدهایی که سعی در نفوذ به شبکه شما دارند ترکیب می کند.

راهکار امنیتی سریعتر برای کسب و کارها

با یک UTM، می توانید روش پردازش داده ها را بهینه کرده و همزمان از منابع کمتری استفاده کنید. UTM به اندازه چندین مؤلفه که مستقل از یکدیگر کار می کنند به منابع نیاز ندارد. راندمان بالاتری که از یک UTM دریافت می کنید ممکن است به شما این امکان را بدهد که منابع را برای مدیریت بهتر سایر فرآیندهای ضروری وابسته به شبکه آزاد کنید.

فایروال نسل بعدی در مقابل UTM

اگرچه، در ظاهر، ممکن است به نظر برسد که تفاوت‌های بین فایروال‌های نسل بعدی (NGFW) و UTM صرفاً معنایی هستند، بسته به اینکه از کدام NGFW استفاده می‌کنید، ممکن است تفاوت‌هایی وجود داشته باشد. هر دو راهکار از شبکه شما محافظت می کنند، با این حال، با UTM، این امکان وجود دارد که سرویس هایی را که به آن نیاز ندارید دریافت کنید. ادغام این سرویس ها با شبکه فعلی شما می تواند کار بیشتری را شامل شود. همچنین می‌تواند منجر به تصمیم‌گیری‌های دشوار و فرآیند راه‌اندازی چالش‌برانگیز شود زیرا سعی می‌کنید ویژگی‌های UTM را با آنچه قبلاً دارید ترکیب کنید یا یکی را در مقابل دیگری قرار دهید تا مشخص کنید کدام راهکار بهتر است.

از سوی دیگر، با NGFWها، مانند فایروال نسل بعدی فورتی گیت، می توانید ویژگی های مورد نیاز خود را روشن کنید و آن را به یک راهکار کامل UTM تبدیل کنید. برعکس، شما می توانید انتخاب کنید که فقط از آن به عنوان فایروال استفاده کنید یا برخی از حفاظت ها را فعال کنید اما برخی دیگر را نه. به عنوان مثال، اگر فورتی گیت دارید و از تمام ظرفیت آن استفاده می کنید، به عنوان یک سیستم UTM نیز کار خواهد کرد.

تفاوت دیگر این است که NGFW یک راهکار موثر برای شرکت های بزرگتر است، در حالی که یک UTM معمولی ممکن است تحت فشار تقاضاهای یک سازمان از کار بیفتد.

سینگل ساین آن - SSO

Single Sign-On چیست؟

🕓 زمان مطالعه: 4 دقیقه

Single Sign-On (SSO) یک سرویس احراز هویت است که به کاربر اجازه می دهد با یک بار استفاده از اطلاعات لاگین – مثلا نام کاربری و رمز عبور – بتواند به چندین اپلیکیشن دسترسی داشته باشد.

افراد، شرکت ها و سازمان های کوچک و متوسط می توانند از SSO برای سهولت مدیریت اطلاعات اکانت متعدد استفاده کنند.

SSO به کاربران این امکان را می دهد تا بتوانند به چندین اپلیکیشن لاگین کنند، بدون اینکه نیاز به یادآوری پسورد برای هر کدام داشته باشند.

سینگل ساین-آن

سینگل ساین-آن چگونه کار میکند؟

SSO چگونه کار می کند؟

SSO یک تمهید مدیریت هویت متحد است. استفاده از چنین سیستمی گاهی فدراسیون هویت نامیده می شود. Open Autorization (OAuth) فریم ورکی است که امکان استفاده از اطلاعات اکانت کاربر توسط سرویس های شخص ثالث مانند فیسبوک را بدون افشای پسورد کاربر فراهم می کند.OAuth به عنوان یک واسطه از طرف کاربر نهایی عمل کرده و یک توکن دسترسی در اختیار سرویس قرار می دهد که اجازه می دهد اطلاعات خاصی از اکانت به اشتراک گذاشته شود. هنگامی که یک کاربر تلاش می کند به یک اپلیکیشن از ارائه دهنده خدمات دسترسی پیدا کند، ارائه دهنده خدمات درخواستی را برای احراز هویت به ارائه دهنده هویت ارسال می کند. سپس ارائه دهنده خدمات، احراز هویت را تأیید کرده و کاربر وارد می شود.

در یک وب سرویس SSO پایه، یک ماژول ایجینت در سرور اپلیکیشن، اطلاعات احراز هویت خاص را برای یک کاربر از یک پالیسی سرور اختصاصی SSO دریافت کرده و کاربر را از طریق یک بانک کاربر، مانند LDAP، احراز هویت می‌کند. این سرویس، کاربر نهایی را برای تمام اپلیکیشن هایی که مجوزشان به کاربر داده شده است، احراز هویت می‌کند و درخواست‌های پسورد بعدی برای اپلیکیشن ‌های دیگر در همان جلسه را حذف می‌کند.

انواع تنظیمات SSO

برخی از سرویس های SSO از پروتکل هایی مانند Kerberos یاSAML استفاده می کنند.

  • در یک راه اندازی مبتنی بر Kerberosپس از ارائه اطلاعات اکانت توسط کاربر، یک تیکت TGT صادر می شود. TGT تیکت های سرویس را برای سایر اپلیکیشن هایی که کاربر می‌خواهد به آنها دسترسی داشته باشد فرا می خواند، بدون اینکه از کاربر بخواهد اطلاعات اکانت را دوباره وارد کند.
  • SAML یک استاندارد زبان نشانه گذاری توسعه پذیر است که تبادل اطلاعات احراز هویت کاربر و مجوز را در دامنه های امن تسهیل می کند. سرویس‌های SSO مبتنی بر SAML ارتباطات بین کاربر، ارائه‌دهنده هویت – که فهرست کاربر را نگه داری می کند – و ارائه‌دهنده خدمات را شامل می شود.
  • SSO مبتنی بر کارت هوشمند از کاربر نهایی می خواهد که برای اولین لاگین از کارتی استفاده کند که اطلاعات اکانت را در خود دارد. پس از استفاده از کارت، کاربر مجبور نیست نام کاربری یا پسورد را دوباره وارد کند. کارت‌های هوشمند SSO گواهی‌ها و یا پسوردها را در خود ذخیره می‌کنند.

خطرات امنیتی SSO

اگرچه SSO برای کاربران یک راحتی محسوب می شود، اما خطراتی را برای امنیت سازمان ایجاد می کند. مهاجمی که کنترل اطلاعات SSO کاربر را به دست می‌آورد، به هر اپلیکیشنی که کاربر اجازه دسترسی به آن را دارد، دسترسی پیدا می‌کند و میزان آسیب احتمالی را افزایش می‌دهد.

به منظور جلوگیری از دسترسی مخرب،SSO باید با ناظر هویت لینک شود. همچنین برای بهبود امنیت، سازمان ها می توانند از احراز هویت دو-مرحله ای (2FA) یا احراز هویت چند-عاملی در کنار SSO استفاده کنند.

 SSOاجتماعی

گوگل، لینکدین، اپل، توییتر و فیسبوک خدمات محبوب SSO را ارائه می دهند که به کاربران نهایی امکان می دهد با اطلاعات احراز هویت رسانه های اجتماعی خود به اپلیکیشن های شخص ثالث لاگین کنند. اگرچه SSO اجتماعی یک راحتی برای کاربران محسوب می شوند اما می توانند خطرات امنیتی ایجاد کنند زیرا یک نقطه خرابی واحد ایجاد می کنند که می توانند توسط مهاجمان مورد سوء استفاده قرار گیرند.

بسیاری از متخصصان امنیتی به کاربران نهایی توصیه می‌کنند از استفاده از سرویس‌های SSO اجتماعی خودداری کنند زیرا وقتی مهاجمان کنترل اطلاعاتSSO کاربر را به دست می‌آورند، می‌توانند به سایر اپلیکیشن‌هایی که از اطلاعات یکسانی استفاده می‌کنند دسترسی داشته باشند.

SSO سازمانی

نرم افزار و سرویس های سازمانی (eSSO)، پسورد منیجرهایی هستند که شامل بخش های کلاینت و سرور می باشند و کاربر را از طریق ارسال مجدد اطلاعات اکانت به اپلیکیشن های مورد نظر لاگین میکنند. این اطلاعات اکانت ها تقریبا همیشه نام کاربری و پسورد هستند. این اپلیکیشن ها برای کار با سیستم eSSO نیازی به تغییر ندارند.

مزایای SSO چیست

از مزایای SSO می توان به موارد زیر اشاره کرد:

  • کاربران باید پسورد و نام کاربری کمتری را برای هر اپلیکیشن به خاطر بسپارند و مدیریت کنند.
  • فرآیند ثبت نام و استفاده از اپلیکیشن ها ساده شده است – نیازی به وارد کردن مجدد پسورد نیست.
  • حملات فیشینگ کاهش می یابد.
  • تیم های پشتیبانی آی تی شکایت یا مشکل کمتری در رابطه با پسورد دریافت خواهند کرد.

معایب SSO چیست

  • سطوح خاصی از امنیت را که ممکن است هر اپلیکیشن برای لاگین به آن نیاز داشته باشد در اختیار قرار نمی دهد.
  • اگر دسترسی از بین برود، کاربران از تمام سیستم های متصل بهSSO خارج می شوند.
  • اگر کاربران غیرمجاز دسترسی پیدا کنند، می توانند به بیش از یک اپلیکیشن دسترسی داشته باشند.

فروشندگان SSO

فروشندگان مختلفی محصولات، خدمات و ویژگی های SSO را ارائه می دهند. فروشندگان SSO شامل موارد زیر هستند:

  • Rippling به کاربران امکان می دهد از چندین دستگاه وارد اپلیکیشن های ابری شوند.
  • Avatier Identity Anywhere SSO برای پلتفرم های مبتنی بر کانتینر داکر است.
  • OneLogin by One Identity یک پلتفرم مدیریت دسترسی و هویت ابری است که از SSO پشتیبانی می کند.
  • Okta ابزاری با قابلیت SSO است. Okta همچنین از 2FA پشتیبانی می کند و در عمدتا توسط سازمان ها استفاده می شود.
اطلاعات اکانت

یک حمله روز-صفر است؟ بدافزار است؟ نه! نام کاربری و رمز عبور است

🕓 زمان مطالعه: 4 دقیقه

همانطور که تهدیدات سایبری همچنان در حال تکامل هستند، دشمنان طیف وسیعی از ابزارها را برای نقض دفاع امنیتی و دسترسی به داده های حساس به کار می گیرند. با کمال تعجب، یکی از قوی‌ترین سلاح‌های موجود در انبار مهمات آن‌ها، کدهای مخرب نیست، بلکه نام‌های کاربری و رمزهای عبور به سرقت رفته یا ضعیف هستند. این مقاله به بررسی جدی بودن اطلاعات اکانت هک شده، چالش‌هایی که برای راهکارهای امنیتی ایجاد می‌کنند و اهمیت اجرای اقدامات قوی برای محافظت از محیط‌های اکتیو دایرکتوری می ‌پردازد. علاوه بر این، ما Silverfort Unified Identity Protection را معرفی می کنیم، یک راهکار جامع که امنیت پیشرفته ای را برای محیط های اکتیو دایرکتوری در برابر سوء استفاده از اطلاعات اکانت هک شده ارائه می دهد.

قدرت اطلاعات اکانت به سرقت رفته: دسترسی کامل به تمام منابع

در دنیای حملات سایبری، نام‌های کاربری و رمزهای عبور دزدیده شده ابزار بسیار مؤثری برای دسترسی غیرمجاز به شبکه‌ها و سیستم‌ها هستند. آنها یک نقطه ورود در اختیار دشمنان قرار می دهند که امکان دسترسی بعدی به منابع حساس محلی و ابری را می دهند. اطلاعات اکانت لو رفته یک تهدید مهم است زیرا تشخیص تهدیدات سایبری به شدت به شناسایی ناهنجاری ها در فعالیت های مختلف مانند پروسه ها، ترافیک شبکه و رفتار کاربر بستگی دارد. ناهنجاری‌ها به عنوان پرچم‌های قرمز عمل می‌کنند که نشان‌دهنده نقض احتمالی امنیتی یا فعالیت‌های مخرب است. اما احراز هویت مخرب با اطلاعات لو رفته، مشابه لاگینی است که توسط کاربر واقعی انجام شده است. راهکارهای فعلی مدیریت هویت و امنیت راهی برای تشخیص این دو ندارند، بنابراین می توانند اولی را بلاک و دیگری را مجاز کنند.

به دست آوردن اطلاعات اکانت هک شده هرگز آسان تر از الان نبوده است

مهاجمان از تکنیک های مختلفی برای به دست آوردن اطلاعات اکانت لو رفته استفاده می کنند. ممکن است آنها را از بازارهای دارک وب خریداری کنند یا از طریق استفاده از کی لاگرها یا تخلیه حافظه در ماشین های هک شده به دست آورند. بسیار مهم است که این واقعیت را بپذیریم که بسیاری از نام‌های کاربری و گذرواژه‌های یک سازمان در نهایت افشا می شوند بنابراین نیاز به اقدامات امنیتی پیشگیرانه خواهند داشت.

اکتیو دایرکتوری

حفاظت یکپارچه هویت

حفاظت یکپارچه هویت

مهاجمان از غیاب قدیمی حفاظت اکتیو هویت در محیط های اکتیو دایرکتوری پیشرفت می کنند. خبر خوب این است که دیگر لازم نیست شاهد این موضوع باشید؛ سرویس سیلورفورت کاری میکند که سرویس احراز هویت چند-عاملی برای اکتیو دایرکتوری، قابل دسترس، کامل و دارای امکان نصب راحت باشد و این ضمانت را میدهد که سازمان شما دربرابر حملات سایبری بهتر از قبل مقاوم شوند. همین امروز سفر خود را آغاز کنید.

اکتیو دایرکتوری نمی تواند از احراز هویت مخرب در لحظه جلوگیری کند

در حالی که پلتفرم‌های وب و SaaS مدرن دارای قابلیت‌های احراز هویت چند-عاملی درونی (MFA) هستند – که امنیت را با افزودن یک لایه اضافی از احراز هویت تقویت می‌کنند – همین سطح حفاظت اغلب در محیط‌های اکتیو دایرکتوری وجود ندارد. پروتکل های احراز هویت مورد استفاده در اکتیو دایرکتوری (یعنی NTLM و Kerberos) فاقد پشتیبانی داخلی احراز هویت چند-عاملی هستند. در نتیجه، محیط های اکتیو دایرکتوری در برابر حملاتی که از اطلاعات افشا شده استفاده می کنند، بسیار آسیب پذیر هستند.

حملات حرکت جانبی در محیط های اکتیو دایرکتوری

ضعف قابلیت‌های امنیتی اکتیو دایرکتوری که تنها تطبیق ساده نام کاربری و رمز عبورهستند، مرتباً توسط دشمنانی که حملات حرکت جانبی را اجرا می‌کنند، مورد سوء استفاده قرار می‌گیرد. از آنجایی که اکتیو دایرکتوری توانایی تمایز بین احراز هویت قانونی و احراز هویت مخرب با استفاده از اطلاعات هک شده ندارد، دشمنان می‌توانند به صورت جانبی در محیط اکتیو دایرکتوری حرکت کنند، امتیازات و سطح دسترسی ها را افزایش دهند و بدون اینکه شناسایی شوند به منابع حیاتی دسترسی پیدا کنند.

تقویت امنیت اکتیو دایرکتوری با حفاظت یکپارچه هویت سیلورفورت

برای مقابله با سوء استفاده از اطلاعات اکانت لو رفته در محیط های اکتیو دایرکتوری، سازمان ها به یک راهکار امنیتی جامع نیاز دارند که نظارت مستمر، آنالیز ریسک و پاسخ اکتیو را ارائه دهد. راهکار حفاظت یکپارچه هویت سیلورفورت با اجرای احراز هویت چند-عاملی در هر احراز هویت در اکتیو دایرکتوری، از جمله اپلیکیشن های قدیمی، دسترسی خط فرمان به ایستگاه‌های کاری و سرورها، اشتراک‌ گذاری فایل‌ها و هر گونه احراز هویت NTLM، Kerberos یا LDAP، حفاظت قوی را فراهم می‌کند.

با استفاده از حافظت یکپارچه هویت سیلورفورت، سازمان ها مزیت متمایزی در کاهش خطرات مرتبط با اطلاعات اکانت هک شده به دست می آورند. این راهکار تمام دفعات احراز هویت را مانیتور می کند، خطرات را در لحظه آنالیز و به صورت اکتیو با بلاک کردن دسترسی یا اجرای احراز هویت چند-عاملی پاسخ می دهد. با سیلورفورت، سازمان‌ها می‌توانند محیط‌های اکتیو دایرکتوری خود را تقویت کرده و از دارایی‌های حیاتی در برابر استفاده مخرب اطلاعات دزدیده شده محافظت کنند.

پایان

اطلاعات اکانت به سرقت رفته یک تهدید بزرگ در حوزه حملات سایبری است. مشروعیت فریبنده آنها راهکارهای امنیتی مرسوم را به چالش می کشد و حملات حرکت جانبی را در محیط های اکتیو دایرکتوری ممکن می کند. با اجرای حفاظت یکپارچه هویت سیلورفورت، سازمان‌ها می‌توانند وضعیت امنیتی اکتیو دایرکتوری خود را ارتقا دهند و به طور اکتیو در برابر سوء استفاده از اطلاعات اکانت دزدیده شده دفاع کنند.

نظارت بر شبکه

چرا به نظارت مستمر بر شبکه نیاز دارید؟

🕓 زمان مطالعه: 4 دقیقه

تغییرات در نحوه کار ما پیامدهای قابل توجهی برای امنیت سایبری داشته است، به ویژه در نظارت بر شبکه. پرسنل دیگر در یک شبکه سازمانی با خیال راحت کنار هم نمی‌نشینند، تیم‌های توسعه‌ دائماً سیستم‌ها را ساخته و خراب می‌کنند و سرویس ها را در معرض اینترنت قرار می‌دهند. ردیابی این کاربران، تغییرات و سرویس ها دشوار است – سطوح حمله‌ای که با محیط اینترنت مواجه هستند به ندرت برای مدت طولانی ثابت می‌مانند.

اما یک شبکه امن عملیاتی، ستون فقرات هر کسب و کار مدرن است و با وجود بردارهای حمله و نقاط ورود مختلف، تکیه بر فایروال ها و اسکن نقطه-زمانی دیگر کافی نیست. شما باید بدانید که چگونه فایروال‌های شما در لحظه با اعتبارسنجی واقعی در مورد نحوه پیکربندی آنها تغییر می کنند. شما به نظارت مستمر بر شبکه نیاز دارید.

چه چیزی باید در شبکه مانیتور شود

چه چیزی در شبکه شما نیاز به محافظت دارد؟

چه چیزی در شبکه شما نیاز به محافظت دارد؟

شبکه‌های سازمانی امروزی با دورکاری، محاسبات ابری و ادغام های شخص ثالث به قدری گسترش پیدا کرده اند که دیگر محافظت فقط به کامپیوترها و دستگاه هایی که در دفتر و دیتاسنتر وجود دارند محدود نمی شود.

از سخت‌افزار و نرم‌افزار خود شبکه گرفته تا تمام دستگاه‌هایی که برای دسترسی به آن استفاده می‌شوند، از نقاط پایانی اینترنت اشیا گرفته تا لپ‌تاپ‌ها و تلفن‌های هوشمند، امنیت شبکه اکنون باید فراتر از محیط، به منابع ابری، دستگاه‌های لبه، محتوای میزبانی شده توسط شخص ثالث، یکپارچگی با سایر سخت افزارها یا نرم افزارها و دارایی های میزبانی شده در دفاتر پراکنده، نظارت داشته باشد.

تنها برای پیچیده تر کردن مسائل، برخی از این سرویس ها، به خصوص سرویس هایی که در فضای ابری میزبانی می شوند، ممکن است فقط برای مدت زمان کوتاهی برای پروژه ها، رویدادها و استقرارهای خاص فعال باشند یا اینکه نحوه طراحی آنها بدین صورت باشد. با چنین شبکه پراکنده ای، مدل قلعه و خندق دیگر برای امن سازی شبکه مناسب نیست.

چه مشکلی ممکن است در شبکه شما رخ دهد؟

آسیب‌پذیری‌ها به روش‌های مختلفی می تواند به شبکه‌ شما وارد شود، از جمله پیکربندی‌های نادرست، گواهی‌های در حال انقضا، ویژگی های جدید اضافه شده به محیط‌های ابری، پچ های نصب نشده یا در معرض اینترنت قرار دادن غیرضروری سرویس‌ها. علاوه بر این، خطر همیشگی حمله فیشینگ، نفوذ به زنجیره تامین و اطلاعات اکانت افشا شده وجود دارد.

به عنوان مثال، یک سرویس SMB ویندوز در شبکه داخلی شما یک آسیب پذیری نیست، اما قرار دادن آن در معرض اینترنت یک موضوع کاملاً متفاوت است – این همان چیزی است که منجر به حمله باج افزار WannaCry شد که در سراسر جهان گسترش یافت. به طور مشابه، شرکت مخابراتی استرالیایی آپتوس در سال 2022 دچار نقض داده مخربی شد که باعث افشا جزئیات 11 میلیون مشتری شد. این نفوذ از طریق یک API محافظت نشده و در معرض دید عموم رخ داد که نیازی به احراز هویت کاربر نداشت، بنابراین هر کسی که API را در اینترنت پیدا می کرد می‌توانست بدون نام کاربری یا پسورد به آن متصل شود.

چگونه می توانید از شبکه خود محافظت کنید؟

نظارت مستمر بر شبکه با اسکن منظم می‌توانست هر دوی این آسیب‌پذیری‌ها را شناسایی کرده و از این رخنه‌ها جلوگیری کند. مانیتورینگ از اتوماسیون برای کشف و شناسایی عیوب و نقاط ضعف در دستگاه ها، اپلیکیشن ها و سیستم عامل های شما استفاده می کند. این کار را با ارسال پروب‌ها برای جستجوی پورت‌ها و سرویس‌های باز انجام می‌دهد و پس از کشف فهرست سرویس‌ها، هر کدام را برای اطلاعات بیشتر، ضعف‌های پیکربندی یا آسیب‌پذیری‌های شناخته شده بررسی می‌کند.

داشتن طیف وسیعی از سیستم‌ها در شبکه از لپ‌تاپ‌ها و ایستگاه‌های کاری در دفتر یا خانه گرفته تا سیستم‌هایی در پلتفرم‌های ابری مانند AWS، Azure و Google Cloud امری عادی است. تیم شما ممکن است از طیف وسیعی از سیستم عامل ها نیز استفاده کند. تصمیم گیری در مورد اینکه اسکن شبکه شما شامل چه چیزی باشد می تواند سخت باشد، اما راه های مختلفی برای انجام آن وجود دارد: تماس-محور، حساسیت-محورو پوشش-محور.

 

نظارت مستمر بر شبکه

لزوم نظارت مستمر بر شبکه

چرا نیاز به نظارت مداوم دارید؟

شبکه شما همیشه در حال تغییر است. سرویس‌های جدید ایجاد می‌شوند، اپلیکیشن های وب به‌روزرسانی می‌شوند، مجوزها تغییر می‌کنند و دستگاه‌ها اضافه و حذف می‌شوند. همه اینها می توانند آسیب پذیری های بالقوه را ایجاد کنند. هدف نظارت مستمر، ارائه بازخورد و بینش تقریباً آنی نسبت به این تغییرات، ارزیابی و اولویت‌بندی آسیب‌پذیری‌ها است تا بتوانید ریسک را در سرتاسر زیرساخت خود بشناسید.

با این تصویر واضح از آنچه که مهاجمان می‌توانند ببینند و چه چیزی در زیرساخت اینترنت شما قابل دسترسی است، می‌توانید به‌راحتی با هر مشکلی به محض بروز آن مقابله کنید. نظارت مستمر نه تنها دید بر آسیب‌پذیری‌های موجود در محیط فناوری اطلاعات و دستگاه‌های راه دور را فراهم می‌کند، بلکه چگونگی تبدیل آن آسیب‌پذیری‌ها به ریسک تجاری که به احتمال زیاد توسط مهاجمان هدف قرار می‌گیرند را فراهم می‌کند.

سی پی یو - Cpu

چرا ما هنوز کامپیوترهای 128 بیتی نداریم؟

🕓 زمان مطالعه: 4 دقیقه

تغییر از 32-بیتی به 64-بیتی برای CPUهای جامعه مصرف کننده رویداد بسیار بزرگی بود و قبل از آن، رقابت برای افزودن بیت های بیشتر داغ خوانده می شد، اما در دو دهه گذشته، ما به 64-بیت چسبیده ایم. آینده CPUها چیست؟

 

پردازنده های 32 بیتی در مقابل 64 بیتی

یک پردازنده 32-بیتی می تواند 32 بیت اطلاعات را به طور همزمان پردازش کند، در حالی که یک پردازنده 64-بیتی می تواند 64 بیت را پردازش کند. این باعث می شود پردازنده های 64-بیتی بتوانند اطلاعات بیشتری را به طور همزمان مدیریت کنند که منجر به عملکرد و قابلیت های بهتر می شود.

اکثر کامپیوترها و دستگاه­های موبایل مدرن از پردازنده های 64-بیتی استفاده می کنند، اما برخی از دستگاه های قدیمی هنوز پردازنده های 32-بیتی دارند، به همین دلیل هنوز سیستم عامل های 32-بیتی وجود دارند. قابل ذکر است که ویندوز 11 نسخه 32-بیتی ندارد و ویندوز 10 آخرین نسخه ای است که از این پردازنده های قدیمی پشتیبانی می کند. همچنین، MacOS اپل به طور کامل پشتیبانی از اپلیکیشن­های 32-بیتی را کنار گذاشته است؛ هر دو پلتفرم اصلی کامپیوتر به ظاهر برای همیشه با 32-بیت خداحافظی می کنند.

 

اندازه بیت و رم

یکCPU  32-بیتی برای مدیریت داده ها در قطعات 32 بیتی طراحی شده است، به این معنی که می تواند به 4,294,967,296 یا (32^2) مکان حافظه جداگانه دسترسی داشته باشد که هر یک آدرس منحصر به فرد دارند. با این حال، حافظه واقعی قابل استفاده در سیستم‌های 32-بیتی اغلب کمتر از 4 گیگابایت است زیرا فضای آدرس حافظه برای سایر دستگاه‌های سخت‌افزاری مانند پردازنده‌های گرافیکی محفوظ است. به عنوان مثال، اگر پردازنده گرافیکی شما دارای 512 مگابایت VRAM باشد، فقط می توانید 3.5 گیگابایت رم سیستم را آدرس دهی کنید.

به طور کلی، CPUهای 64-بیتی می توانند حافظه بسیار بیشتری نسبت به همتایان 32-بیتی خود آدرس دهی کنند. یکCPU  64-بیتی برای مدیریت داده­ها در تکه های 64-بیتی طراحی شده است که به آن امکان می دهد به 18,446,744,073,709,551,616 یا (64^2) مکان حافظه جداگانه دسترسی داشته باشد که هر کدام دارای یک آدرس منحصر به فرد هستند. از نظر تئوری، یکCPU  64-بیتی می تواند تا 16 اگزابایت رم را آدرس دهی کند.

در واقع، مقدار رمی که یکCPU  64-بیتی می تواند آدرس دهی کند، توسط سیستم عامل و محدودیت های فیزیکی سخت افزار کامپیوتر محدود می شود. با این وجود، کامپیوترها و سرورهای مدرن با پردازنده‌های 64-بیتی می‌توانند مقادیر قابل توجهی رم نسبت به سیستم‌های 32-بیتی را در خود جای دهند و بسیاری از سیستم‌ها از صدها گیگابایت یا حتی ترابایت رم پشتیبانی می‌کنند.

 

چرا CPU ها به سمت 64-بیت رفتند؟

برای پاسخگویی به تقاضاهای رو به رشد برای قدرت پردازش بیشتر و آدرس‌پذیری حافظه، معماری پردازنده‌ها از 32-بیتی به 64-بیتی تغییر یافت. کامپیوترهای شخصی در اوایل دهه 2000 شروع به استفاده از پردازنده های 64-بیتی کردند، اما این پردازنده ها قبلاً در دهه 1990 برای سرورها و ایستگاه های کاری در دسترس بودند.

پردازنده های 64-بیتی می توانند حجم زیادی از داده ها را پردازش کنند و به حافظه بسیار بیشتری دسترسی داشته باشند. آنها عملکرد و کارایی بالاتری را در مقایسه با پردازنده های 32-بیتی ارائه می دهند. به همین دلیل است که امروزه اکثر کامپیوترها و دستگاه های موبایل از پردازنده های 64-بیتی استفاده می کنند.

افزایش تعداد هسته های CPU به طور خاص منجر به نیاز اجتناب ناپذیر به ظرفیت رم بیشتر شد.

 

مزایای اندازه­های بیت بزرگتر

اندازه بیت بزرگتر، دامنه بیشتری از مقادیر عددی را امکان پذیر می­سازد که می تواند برای کارهایی که به دقت بالایی نیاز دارند مانند محاسبات علمی و مالی، مفید باشد.

همچنین می توانید امنیت بهبود یافته ای را برای کارهایی مانند رمزگذاری پیاده سازی کنید زیرا با افزایش اندازه بیت، شکستن کدها چالش برانگیزتر می شود.

بیت‌های بیشتر، پردازنده را قادر می‌سازد تا عملیات پیچیده‌تر و مقادیر بیشتری از داده‌ها را به طور همزمان مدیریت کند و عملکرد و کارایی کلی را بهبود بخشد.

 

اندازه بیت بزرگتر همچنین می تواند سازگاری کامپیوتر را با مجموعه داده­های بزرگ و اپلیکیشن­های پیچیده بهبود بخشد. این یک مسئله مهم در یادگیری ماشین و سایر بارهای کاری HPC (محاسبات با عملکرد بالا) است.

 

چرا ما ممکن است هرگز به کامپیوترهای 128-بیتی نیاز نداشته باشیم

پیش بینی آینده محاسبات عملا غیرممکن است، اما چند دلیل وجود دارد که چرا کامپیوترهای 128-بیتی ممکن است هرگز مورد نیاز نباشند:

کاهش بازدهی: با افزایش اندازه بیت پردازنده، معمولا بهبود عملکرد و قابلیت­ها کمتر قابل توجه است. به عبارت دیگر، بهبود از 64- به 128-بیت به هیچ وجه قابل مقایسه با تغییر از پردازنده های 8-بیتی به 16-بیتی نیست.

راه حل­های جایگزین: ممکن است راه­های جایگزینی برای رفع نیاز به افزایش قدرت پردازش و آدرس دهی حافظه وجود داشته باشد، مانند استفاده از چندین پردازنده یا سخت افزار تخصصی به جای یک پردازنده واحد و بزرگ با اندازه بیت بزرگ.

محدودیت های فیزیکی: ممکن است به دلیل محدودیت های تکنولوژیکی یا مواد، ایجاد یک پردازنده 128-بیتی مدرن پیچیده، غیرممکن باشد.

هزینه و منابع: توسعه و تولید پردازنده‌های 128-بیتی می‌تواند هزینه‌ و منابع­ زیادی طلب کند و تولید انبوه به صرفه نباشد.

 

جمع بندی

درست است که مزایای تغییر از 64-بیتی به 128-بیتی ممکن است امروز ارزشش را نداشته باشد ولی امکان دارد اپلیکیشن­ها یا تکنولوژی­های جدیدی در آینده ظاهر شوند که می توانند توسعه پردازنده های 128­-بیتی را به جلو ببرند.

پیشرفت‌ها در هوش مصنوعی، محاسبات کوانتومی یا سایر فناوری‌هایی که هنوز کشف نشده‌اند ممکن است نیاز به پردازنده‌های قدرتمندتر با اندازه بیت‌های بزرگتر را ایجاد کند. آینده تکنولوژی­ همیشه نامشخص است و آنچه امروز غیر ضروری یا غیرمحتمل به نظر می رسد می تواند در سال های آینده ضروری شود.

 

هوش مصنوعی

هر آنچه درباره هوش مصنوعی باید بدانید!

🕓 زمان مطالعه: 7 دقیقه

اخیراً تبلیغات زیادی در زمینه هوش مصنوعی صورت گرفته است، اما این بدان معنا نیست که ربات ها قرار است جایگزین ما شوند. این مقاله این موضوع را شفاف میکند و توضیح می دهد که کسب و کارها چه رویکردی باید نسبت به هوش مصنوعی داشته باشند.

از تفکر در مورد ماشین‌های خودران گرفته تا ترس از ربات‌های هوش مصنوعی که می‌توانند دنیا را نابود کنند، در چند سال گذشته تبلیغات هوش مصنوعی زیادی انجام شده است. هوش مصنوعی تصورات، رویاها و گهگاهی کابوس های ما را تسخیر کرده است. با این حال، واقعیت این است که پیشرفت هوش مصنوعی در حال حاضر بسیار کمتر از آن چیزی است که ما پیش‌بینی می‌کردیم. به عنوان مثال، خودروهای خودران که اغلب به عنوان نمادی از آینده بی حد و حصر هوش مصنوعی در نظر گرفته می‌شوند، یک مورد استفاده محدود را نشان می‌دهند و هنوز یک برنامه رایج در تمام بخش‌های حمل‌ونقل نیستند.

هوش مصنوعی در مقابل یادگیری ماشین

هوش مصنوعی در مقابل یادگیری ماشین

هوش مصنوعی در مقابل یادگیری ماشین

هوش مصنوعی و یادگیری ماشین اصطلاحاتی هستند که اغلب به جای هم استفاده می شوند، اما مفاهیم متفاوتی را نشان می دهند. هدف هوش مصنوعی ایجاد آگاهی است که به معنای قابلیت آگاهی و استعداد قبولی در تست تورینگ است که با استفاده از آموخته ها و ارتقاء آن به سطح بعدی کار می کند. هدف استفاده از هوش مصنوعی کپی کردن اعمال انسان است، مانند ایجاد یک ربات تمیزکننده که به روشی شبیه به انسان عمل می کند.

یادگیری ماشین زیر مجموعه ای از هوش مصنوعی است که شامل مدل های ریاضی است و توانایی های آن بر اساس ترکیب ماشین ها با داده ها است. یادگیری ماشین با یادگیری درس از رویدادها و سپس اولویت بندی آن درس ها کار می کند. در نتیجه، یادگیری ماشین می‌تواند اقداماتی را انجام دهد که انسان‌ها قادر به انجام آن‌ها نیستند، مانند مرور مجموعه‌های وسیعی از داده‌ها، کشف الگوها، پیش‌بینی احتمالات و موارد دیگر.

 

هوش مصنوعی عمومی در مقابل هوش مصنوعی محدود

مفهوم هوش مصنوعی عمومی (General AI) همان چیزی است که اغلب مردم را می‌ترساند، زیرا مظهر “ربات‌های ارباب” ما است که جایگزین انسان‌ها می‌شوند. با این حال، در حالی که این ایده از نظر فنی امکان پذیر است، ما در حال حاضر در آن مرحله نیستیم.

بر خلاف هوش مصنوعی عمومی، هوش مصنوعی محدود (Narrow AI) یک شکل تخصصی از هوش مصنوعی است که برای کارهای بسیار خاص تنظیم شده است. این متمرکز بودن به پشتیبانی از انسان‌ها کمک می‌کند و ما را از کارهایی که خیلی سخت یا بسیار مضر هستند، رهایی می‌بخشد. هوش مصنوعی قرار نیست جایگزین ما شود. هوش مصنوعی محدود در حال حاضر در صنایع مختلف مانند ساخت خودرو یا جعبه های بسته بندی استفاده می شود. در امنیت سایبری، هوش مصنوعی محدود می‌تواند داده‌ها و گزارش‌های فعالیت را به منظور جستجوی ناهنجاری‌ها یا نشانه‌های حمله آنالیز کند.

 

هوش مصنوعی و یادگیری ماشین در طبیعت

سه مدل رایج هوش مصنوعی و یادگیری ماشین در طبیعت وجود دارد: هوش مصنوعی مولد، یادگیری ماشین تحت نظارت و یادگیری ماشین بدون نظارت.

 

هوش مصنوعی مولد

هوش مصنوعی مولد یک زمینه پیشرفته در هوش مصنوعی است که با مدل هایی مانند LLM که بر روی مجموعه ای از دانش، آموزش داده شده است. فناوری هوش مصنوعی مولد توانایی تولید محتوای جدید بر اساس اطلاعات موجود در آن مجموعه را دارد. هوش مصنوعی مولد به عنوان شکلی از “تصحیح خودکار” یا ” تایپ از قبل” توصیف شده است، اما قدرتمندتر. نمونه هایی از اپلیکیشن های هوش مصنوعی مولد عبارتند از بینگ، بارد، ChatGPT، Dall-E و دستیاران تخصصی سایبری مانند IBM Security QRadar Advisor with Watson یا MSFT Security CoPilot.

هوش مصنوعی مولد برای مواردی مانند ایده پردازی، کمک به ویرایش و انجام تحقیقات بر روی یک مجموعه متن قابل اعتماد، بهترین گزینه است. متخصصان امنیت سایبری، مانند تیم‌های SOC و فیوژن، می‌توانند از هوش مصنوعی مولد به منظور تحقیق استفاده کنند تا به آن‌ها در درک آسیب‌پذیری‌های روز-صفر، توپولوژی‌های شبکه یا شاخص‌های نفوذ (IoC) کمک کنند. مهم است که بدانیم هوش مصنوعی مولد گاهی اوقات “توهم” ایجاد می کند، یعنی پاسخ های اشتباه.

به گفته ایتای مائور، مدیر ارشد استراتژی امنیت در Cato Networks، “هوش مصنوعی مولد می تواند به مجرمان نیز کمک کند. به عنوان مثال، آنها می توانند از آن برای نوشتن ایمیل های فیشینگ استفاده کنند. قبل از ChatGPT، یکی از تشخیص های اساسی ایمیل های فیشینگ اشتباهات املایی و دستور زبان بد بود. اینها نشانه هایی بودند که نشان می داد چیزی مشکوک است. اکنون مجرمان می توانند به راحتی یک ایمیل فیشینگ به زبان های مختلف و با دستور زبان کامل بنویسند.”

 

یادگیری بدون نظارت

یادگیری بدون نظارت در یادگیری ماشین به این معنی است که داده های آموزشی و نتایج، برچسب گذاری نمی شوند. این رویکرد به الگوریتم‌ها اجازه می‌دهد تا بدون دخالت انسان از داده‌ها استنتاج کنند، الگوها، خوشه‌ها و ارتباطات را بیابند. یادگیری بدون نظارت معمولاً برای توصیه های پویا مانند وب سایت های خرده فروشی استفاده می شود.

در امنیت سایبری، یادگیری بدون نظارت می‌تواند برای خوشه‌بندی یا گروه‌بندی و یافتن الگوهایی که قبلاً آشکار نبودند استفاده شود، به عنوان مثال می‌تواند به شناسایی همه بدافزارها با امضای خاصی که از یک کشور خاص سرچشمه می‌گیرد، کمک کند. همچنین می تواند ارتباطات و لینک های بین مجموعه داده ها را بیابد. به عنوان مثال، تعیین اینکه آیا افرادی که روی ایمیل های فیشینگ کلیک می کنند، احتمال بیشتری برای استفاده مجدد از رمزهای عبور دارند یا خیر. یکی دیگر از موارد استفاده، تشخیص ناهنجاری است، مانند شناسایی فعالیتی که ممکن است نشان دهد مهاجم از اطلاعات اکانت دزدیده شده استفاده می کند.

یادگیری بدون نظارت همیشه انتخاب درستی نیست. هنگامی که خروجی اشتباه تاثیر بسیار بالا و پیامدهای شدیدی دارد، زمانی که به زمان های آموزشی کوتاه نیاز است، یا زمانی که شفافیت کامل مورد نیاز است، توصیه می شود رویکرد متفاوتی در پیش بگیرید.

 

یادگیری تحت نظارت

در یادگیری تحت نظارت، داده های آموزشی با جفت های ورودی/خروجی برچسب گذاری می شوند و دقت مدل به کیفیت برچسب گذاری و کامل بودن مجموعه داده ها بستگی دارد. مداخله انسانی اغلب برای بررسی خروجی، بهبود دقت و اصلاح هرگونه سوگیری مورد نیاز است. یادگیری تحت نظارت بهترین گزینه برای انجام پیش بینی ها است.

در امنیت سایبری، یادگیری تحت نظارت برای طبقه بندی استفاده می شود که می تواند به شناسایی فیشینگ و بدافزار کمک کند. همچنین می‌توان از آن برای رگرسیون استفاده کرد، مانند پیش‌بینی هزینه یک حمله جدید بر اساس هزینه‌های حوادث گذشته.

اگر زمانی برای آموزش وجود نداشته باشد یا کسی برای برچسب زدن یا آموزش داده ها وجود نداشته باشد، یادگیری تحت نظارت گزینه مناسبی نیست. همچنین زمانی که نیاز به آنالیز مقادیر زیادی از داده وجود دارد، زمانی که داده کافی وجود ندارد، یا زمانی که طبقه بندی/خوشه بندی خودکار هدف نهایی است، توصیه نمی شود.

 

یادگیری تقویتی (RL)

یادگیری تقویتی (RL) فضایی بین یادگیری کاملاً تحت نظارت و بدون نظارت جای می گیرد و یک رویکرد منحصر به فرد برای یادگیری ماشین است. این به آن معنا است که زمانی که یک مدل آموزشی در پیش بینی موارد استفاده خاص ناکام باشد، یک مدل دیگر بازآموزی می شود. حتی یادگیری عمیق، با دسترسی به مجموعه بزرگ داده‌، همچنان می‌تواند موارد استفاده غیرمتعارف را که یادگیری تقویتی می‌تواند به آن رسیدگی کند، از دست بدهد. وجود یادگیری تقویتی یک پذیرش ضمنی است که مدل ها می توانند ناقص باشند.

 

نظر مجرمان سایبری درباره هوش مصنوعی

مجرمان درباره هوش مصنوعی چه می گویند

آنچه مجرمان سایبری درباره هوش مصنوعی مولد می گویند

هوش مصنوعی مولد مورد توجه مجرمان سایبری است. به گفته ایتای مائور “جنایتکاران سایبری از روزی ChatGPT، Bard و سایر برنامه های هوش مصنوعی مولد معرفی شدند، در مورد نحوه استفاده از صحبت می کردند و همچنین تجربیات و افکار خود را در مورد قابلیت های آنها به اشتراک می گذاشتند. همانطور که به نظر می رسد، آنها معتقدند که GenAI دارای محدودیت هایی است و احتمالا در چند سال آینده برای استفاده مهاجمان کامل تر خواهد شد.”

برخی از نمونه های مکالمه عبارتند از:

چارچوب مدیریت ریسک هوش مصنوعی توسط NIST

هنگام تعامل با هوش مصنوعی و راه حل های مبتنی بر هوش مصنوعی، درک محدودیت ها، خطرات و آسیب پذیری های هوش مصنوعی بسیار مهم است. چارچوب مدیریت ریسک هوش مصنوعی توسط NIST مجموعه‌ای از دستورالعمل‌ها و بهترین شیوه‌ها است که برای کمک به سازمان‌ها در شناسایی، ارزیابی و مدیریت ریسک‌های مرتبط با استقرار و استفاده از فناوری‌های هوش مصنوعی طراحی شده اند.

چارچوب از شش عنصر تشکیل شده است:

  1. معتبر و قابل اعتماد – هوش مصنوعی می تواند اطلاعات اشتباهی را ارائه دهد که در GenAI به عنوان “توهم” نیز شناخته می شود. مهم است که شرکت‌ها بتوانند هوش مصنوعی مورد استفاده خود از لحاظ دقت و قابل اعتماد بودن اعتبار سنجی کنند.
  1. ایمن – اطمینان از اینکه اطلاعات خواسته شده با سایر کاربران به اشتراک گذاشته نمی شود، مانند مورد سامسونگ.
  2. ایمن و انعطاف پذیر – مهاجمان از هوش مصنوعی برای حملات سایبری استفاده می کنند. سازمان ها باید اطمینان حاصل کنند که سیستم هوش مصنوعی آنها در برابر حملات محافظت شده و ایمن است و میتواند تلاش برای سواستفاده هکر ها و یا استفاده آنها از هوش مصنوعی سازمان برای حمله را خنثی کند.
  3. مسئولیت پذیر و شفاف – مهم است که بتوانیم زنجیره تامین هوش مصنوعی را توضیح دهیم و اطمینان حاصل کنیم که گفتگوی شفاف در مورد نحوه عملکرد آن وجود دارد. هوش مصنوعی جادو نیست.
  4. افزایش حریم خصوصی – اطمینان از محافظت و ناشناس بودن اطلاعات درخواستی در دریاچه داده و به هنگام استفاده.
  5. منصفانه – این یکی از مهمترین عناصر است. این به معنای مدیریت سوگیری مضر است. به عنوان مثال، اغلب در تشخیص چهره هوش مصنوعی تعصب وجود دارد، به طوری که مردان با پوست روشن در مقایسه با زنان و افراد با پوست تیره‌تر با دقت بیشتری شناسایی می‌شوند. به عنوان مثال، هنگام استفاده از هوش مصنوعی برای اجرای قانون، این می تواند پیامدهای شدیدی داشته باشد.

 

سوالاتی که باید از فروشنده بپرسید

در آینده نزدیک، ارائه قابلیت‌های هوش مصنوعی مولد توسط فروشندگان بسیار رایج خواهد بود. در اینجا لیستی از سوالاتی که باید برای انتخاب درست بپرسید، آمده است.

1. چی و چرا؟

قابلیت های هوش مصنوعی چیست و چرا به آنها نیاز است؟ به عنوان مثال، GenAI در نوشتن ایمیل بسیار خوب است، بنابراین GenAI برای یک سیستم ایمیل منطقی است. فروشنده برای چه چیزی استفاده می کند؟

2. داده های آموزشی

داده های آموزشی باید به درستی و با دقت مدیریت شوند، در غیر این صورت می توانند سوگیری ایجاد کنند. مهم است که در مورد انواع داده های آموزشی، نحوه پاکسازی، نحوه مدیریت و غیره سوال کنید.

3. انعطاف پذیری در آن هوش مصنوعی به کار رفته است؟

آیا فروشنده در نظر گرفته است که مجرمان سایبری به خود سیستم و کنترل های امنیتی به کار رفته حمله می کنند؟

4. بازگشت سرمایه واقعی در مقابل ادعا

بازگشت سرمایه به چه صورت اتفاق می افتد و آیا بازگشت سرمایه، به کارگیری هوش مصنوعی یا یادگیری ماشین را توجیه می کند (یا به منظور اغراق و برای اهداف فروش اضافه شده اند)؟

5. آیا واقعاً مشکلی را حل می کند؟

مهمترین سوال – آیا هوش مصنوعی مشکل شما را حل می کند و آیا آن را به خوبی انجام می دهد؟ پرداخت هزینه بیشتر و متحمل شدن سربار اضافی هیچ فایده ای ندارد مگر اینکه هوش مصنوعی مشکل را حل کند و آنطور که باید کار کند.

هوش مصنوعی می تواند ما را قدرتمند کرده و به ما کمک کند عملکرد بهتری داشته باشیم اما این یک راه حل معجزه آسا نیست. به همین دلیل برای کسب ‌و کارها مهم است که درباره ابزارهای با قابلیت هوش مصنوعی که برای پیاده‌سازی داخلی انتخاب می‌کنند، تصمیم‌ گیری آگاهانه ای داشته باشند.

برای کسب اطلاعات بیشتر در مورد موارد استفاده از هوش مصنوعی و یادگیری ماشین، خطرات، اپلیکیشن ها، آسیب‌پذیری‌ها و پیامدهای آن برای کارشناسان امنیتی، ویدیو کامل کلاس را اینجا تماشا کنید.

اینترنت چگونه کار میکند

اینترنت چگونه کار می کند؟

🕓 زمان مطالعه: 5 دقیقه

همه در مورد اینترنت صحبت می کنند و اینکه آیا یا چگونه باید آن را قانون گذاری کرد. اما عده کمی از مردم می دانند که اینترنت واقعا چگونه کار می کند – یا اینکه دقیقاً اینترنت چیست.

اینترنت دقیقا چیست؟

احتمالاً شما “شبکه محلی” خود را در خانه دارید که از تمام دستگاه های متصل به روتر شما تشکیل شده است که به اینترنت متصل می شود. کلمه “اینترنت” به یک سیستم جهانی از “شبکه های کامپیوتری متصل به هم” اشاره دارد.

اینترنت واقعاً همین است—تعداد بسیار زیادی از شبکه های کامپیوترهای در سراسر جهان که به هم متصل شده اند. البته، سخت‌افزار فیزیکی زیادی وجود دارد – از کابل‌های زیر خیابان‌های شهرتان گرفته تا کابل‌های عظیم در کف اقیانوس‌ها و ماهواره‌هایی که در مدار اطراف سیاره هستند – که این ارتباط را ممکن می‌کند. همچنین نرم‌افزارهای زیادی در پس‌زمینه کار می‌کنند که به شما امکان می‌دهند آدرس وب‌سایتی مانند “google.com” را تایپ کنید و کامپیوتر‌تان را وادار کنید تا اطلاعات را به مکان فیزیکی که آن وب‌سایت در آن قرار دارد به سریع‌ترین شکل ممکن ارسال کند.

حتی زمانی که فقط به یک وب سایت متصل می شوید، چیزهای بیشتری در پشت پرده اتفاق می افتد. کامپیوتر‌ شما نمی‌تواند مستقیماً یک تکه از اطلاعات یا «بسته» داده را به کامپیوتر‌ میزبان وب‌سایت ارسال کند. در عوض، بسته‌ای را به روتر خانگی شما ارسال می‌کند که حاوی اطلاعاتی در مورد جایی است که می‌رود و سرور وب کجا باید پاسخ دهد. سپس روتر شما آن بسته را به روترهای ارائه‌دهنده خدمات اینترنتی شما (مخابرات، شاتل یا هر شرکت دیگری که استفاده می‌کنید) می‌فرستد، جایی که به روتر دیگری در ارائه‌دهنده خدمات اینترنتی دیگر ارسال می‌شود و به همین ترتیب تا زمانی که به مقصد برسد. هر بسته ای که از سرور راه دور به سیستم شما ارسال می شود، سفر معکوس را انجام می دهد.

رک در دیتاسنتر

دیتاسنتر

با یک تشبیه ناقص، کمی شبیه ارسال نامه از طریق پست است. کارمند پست محلی شما نمی تواند فقط نامه را بگیرد و مستقیماً در سراسر کشور یا قاره به آدرس مقصد ببرد. در عوض، نامه به اداره پست محلی شما می رود، در آنجا به اداره پست دیگری ارسال می شود، و سپس یک پست دیگر، و به همین ترتیب، تا زمانی که به مقصد برسد. مدت بیشتری طول می کشد تا یک نامه به آن طرف دنیا برسد تا آن طرف کشور، زیرا باید توقف های بیشتری داشته باشد، و این به طور کلی برای اینترنت نیز صادق است. کمی بیشتر طول می کشد تا بسته ها مسافت های طولانی با انتقال­های – یا “هاپ های” – بیشتر را طی کنند.

برخلاف پست فیزیکی، ارسال بسته‌های داده هنوز هم بسیار سریع است، و چندین بار در ثانیه اتفاق می‌افتد. هر بسته، بسیار کوچک است و تعداد زیادی از بسته ها هنگام ارتباط کامپیوترها به فرستاده و دریافت می شوند – حتی اگر فقط یک وب سایت لود شود. زمان سفر یک بسته با میلی ثانیه اندازه گیری می شود.

داده ها می توانند مسیرهای متفاوت زیادی را طی کنند

این شبکه از شبکه ها کمی جالب تر و پیچیده تر از آن چیزی است که به نظر می رسد. با ارتباط همه این شبکه ها به یکدیگر، داده­ها تنها یک مسیر را طی نمی کنند. از آنجایی که شبکه ها به چندین شبکه دیگر متصل هستند، شبکه کاملی از ارتباطات در سراسر جهان وجود دارد. این بدان معنی است که آن بسته ها (قطعات کوچک داده ارسال شده بین دستگاه ها) می توانند چندین مسیر را طی کنند تا به جایی که می خواهند برسند.

به عبارت دیگر، حتی اگر شبکه ای بین شما و یک وب سایت از کار بیفتد، معمولاً مسیر دیگری وجود دارد که داده ها می توانند طی کنند. روترها در طول مسیر از چیزی به نام پروتکل درگاه مرزی یا BGP برای انتقال اطلاعات در مورد اینکه آیا یک شبکه از کار افتاده و مسیر بهینه برای داده ها استفاده می کنند.

ایجاد این شبکه به هم پیوسته (یا اینترنت) به سادگی وصل کردن هر شبکه به یک شبکه نزدیک نیست. شبکه‌ها به روش‌های مختلف در طول مسیرهای مختلف به هم متصل می‌شوند و نرم‌افزاری که روی این روترها (به این دلیل که ترافیک را در امتداد شبکه هدایت می‌کنند نامیده می‌شوند) اجرا می‌شود، همیشه برای یافتن مسیرهای بهینه برای داده‌ها کار می‌کند.

دستور تریسرت Tracert

دستور تریسرت Tracert

در واقع می‌توانید مسیری را که بسته‌های شما به آدرس مقصد طی می‌کنند، با استفاده از دستور tracert مشاهده کنید، که به روترها در مسیری که بسته طی می‌کند اعلام می کند که گزارش دهند.

به عنوان مثال، در تصویر زیر، مسیر Howtogeek.com را از ارتباط اینترنتی Comcast در یوجین، اورگان دنبال کردیم. بسته‌ها از طریق شبکه کامکست به سمت شمال به سیاتل رفتند، قبل از اینکه از طریق شیکاگو، نیویورک و نیوآرک به شبکه اصلی ارتباطات تاتا (as6453.net) هدایت شوند و سپس به مرکز داده لینود در نیوآرک، نیوجرسی برسند. جایی که وب سایت میزبانی می شود.

ما از بسته‌هایی که “سفر می کنند” صحبت می‌کنیم، اما البته که، آنها فقط تکه‌هایی از داده هستند. یک روتر با روتر دیگری تماس می گیرد و داده­های موجود در بسته را ارسال می کند. روتر بعدی از اطلاعات روی بسته استفاده می کند تا بفهمد به کجا می­رود و داده­ها را در مسیر خود به روتر بعدی منتقل می کند. بسته فقط یک سیگنال روی سیم است.

آدرس های آی پی، DNS، TCP/IP، HTTP، و جزئیات بیشتر

حداقل، این یک نمای کلی از نحوه عملکرد اینترنت است. موضوعات کوچک زیادی برای اینترنت که همه ما از آنها استفاده می کنیم، مهم هستند و می توانید با جزئیات بیشتر در مورد آنها مطالعه کنید.

به عنوان مثال، هر دستگاه در یک شبکه دارای یک آدرس آی پی عددی منحصر به فرد در آن شبکه است. داده به این آدرس­ها ارسال می شود. هم آدرس های IPv4 قدیمی تر و هم آدرس های IPv6 جدیدتر وجود دارد. IP مخفف “پروتکل اینترنت” است، بنابراین آدرس IP یک “آدرس پروتکل اینترنت” است. اینها آدرس هایی هستند که دستگاه های موجود در شبکه از آنها استفاده می کنند و صحبت می کنند.

مردم از نام های دامنه قابل خواندن برای انسان مانند darianet.com و google.com استفاده می کنند که به یاد ماندنی تر و قابل درک تر از یک سری اعداد هستند. با این حال، هنگامی که از نام های دامنه مانند این استفاده می کنید، کامپیوتر شما با سرور سیستم نام دامنه خود (DNS) تماس می گیرد و آدرس آی پی عددی آن دامنه را می خواهد. آن را مانند یک دفترچه تلفن عمومی بزرگ در نظر بگیرید. شرکت ها و افرادی که خواستار نام دامنه هستند باید برای ثبت آنها هزینه ای بپردازند. احتمالاً از سرویس DNS ارائه‌دهنده خدمات اینترنتی خود استفاده می‌کنید، اما می‌توانید از سرور DNS دیگری مانند Google Public DNS یا OpenDNS استفاده کنید.

در زیربنای همه اینها، لایه‌های مختلفی از “پروتکل‌ها” وجود دارد که دستگاه‌ها حتی در هنگام استفاده از پروتکل اینترنت از آنها برای ارتباط استفاده می‌کنند. رایج ترین پروتکل انتقال TCP/IP است که مخفف عبارت Transmission Control Protocol/Internet Protocol است. TCP کلا در مورد اطمینان است و دستگاه ها به صورت رفت و برگشتی چت می کنند و بسته های داده را ردیابی می کنند تا اطمینان حاصل شود که هیچ چیز در طول مسیر گم نمی شود. اگر گم شود، مورد توجه قرار گرفته و دوباره ارسال می شود. همچنین پروتکل های دیگری مانند UDP وجود دارد که قابلیت اطمینان را برای سرعت بیشتر حذف می کند.

در بالای پروتکل‌های انتقال مانند TCP و UDP، پروتکل‌های اپلیکیشن مانند HTTP یا HTTPS قرار دارند – پروتکل انتقال ابرمتن، که مرورگر وب شما از آن استفاده می‌کند. پروتکل HTTP در بالای پروتکل TCP کار می کند که در بالای پروتکل IP کار می کند. سایر اپلیکیشن­ها ممکن است از پروتکل های متفاوتی استفاده کنند یا پروتکل های خود را ایجاد کنند که با این وجود روی پروتکل هایی مانند TCP و IP کار می کنند. بسیاری از تکنولوژی­هایی که ما استفاده می‌کنیم شامل لایه‌هایی از تکنولوژی است که بر روی لایه‌های دیگر ساخته شده‌اند، و همین امر در مورد اینترنت نیز صادق است.