راهنمای کامل و جامع استریم کردن با کامپیوتر، کنسول و گوشی: چگونه استریمر شویم؟
در این آموزش به نحوه استریم کردن روی پلتفرم محبوب توییچ با PC، کنسول یا گوشی میپردازیم. با پیشرفت صنعت بازیهای ویدیویی، کاربران کمکم به فکر و ابداع روشهای کسب درآمد از این صنعت پرداختند. هر ماه ۸ میلیون کاربر روی پلتفرم توییچ به صورت زنده مشغول استریم کردن علاقه و استعداد خود هستند. در همین لحظه ۲.۵ میلیون نفر در توییچ مشغول تماشای محتوای مورد علاقه خود، مثل بازی، موسیقی، آشپزی و… هستند.
استریمر شدن میتواند یک راه ایدهآل برای کسب درآمد از عشق و علاقه شما باشد. تصور این که یک نفر بتواند در اتاق خود بازی کند، هزاران نفر را از سراسر دنیا به تماشای بازی خود مشغول کند و درآمد کسب کند، روزی غیرممکن بود. اما امروزه هرکسی میتواند استریمر شود!
شما نیز ممکن است با هر هدف یا محتوایی بخواهید به استریمر تبدیل شوید. با آیتیرسان همراه باشید تا به طور کامل شما را راهنمایی کنیم تا در هر پلتفرمی که میخواهید، از PC و کنسول گرفته تا موبایل، به یک استریمر تبدیل شوید.
این مطلب را نیز بخوانید: معرفی 5 مورد از بهترین نرمافزارهای ضبط بازی در کامپیوتر
تمام چیزهایی که برای استریم نیاز دارید
ابتدا نگاهی داشته باشیم به ابزارها و سختافزارهایی که نیاز دارید. تمام این سختافزارها ضروری نیستند، اما کیفیت استریم شما را بالاتر خواهند برد و از ابزار رایج استریمرهای موفق هستند.
آموزش استریم کردن
اینترنت
اینترنت پرسرعت اصلیترین نیاز شما و معضل بزرگ استریمرهای ایرانی است. برای استریم کردن با کیفیت ۷۲۰، شما به اینترنتی با سرعت ۸ مگابیت بر ثانیه و سرعت آپلودی نزدیک به ۵ مگابیت در ثانیه نیاز دارید. همچنین برای استریم با این کیفیت، تقریباً ۱.۱۴ گیگابایت در ساعت مصرف اینترنت شما خواهد شد. برای انتخاب سرویس اینترنت خود، میتوانید از بررسی جامع ما از سرویسهای اینترنت خانگی در ایران و مقایسه آنها استفاده کنید.
وبکم و میکروفون
از ویژگیهای مهم استریمهای جذاب، دیدن صورت بازیکن هنگام تجربه گیمپلی و واکنشهای او در نقاط مختلف داستان یا اتفاقات گوناگون بازی است. دیدن صورتتان باعث میشود بینندهها ارتباط بهتری با شما برقرار کنند و میتوانند شما را فراتر از نشانه روی صفحه در ذهن خود تصویر کنند.
شنیدن صدایتان و حرف زدن شما با مخاطبان نیز به تصویرتان در ذهن مخاطبان، عنصر صدا را اضافه میکند. میتوانید درمورد بازی صحبت کنید یا کامنتهای مشترکین خود را بخوانید و پاسخ دهید یا عنصر طنز به استریم خود اضافه کنید.
در هر صورت برای تجربه بهتر بینندههای شما از تماشای استریمتان، پیشنهاد میشود وبکم و میکروفون هم داشته باشید تا بتوانید ارتباط بهتری با بینندهها بگیرید و در نتیجه مشترکین شما بیشتر شوند. اگر وبکم ندارید هم نگران نباشید و آموزش استریم را با یک راه جذاب در ادامه بخوانید:
استفاده از گوشی به عنوان دوربین:
با استفاده از اپلیکیشنهای زیر میتوانید به سادگی گوشی خود را به عنوان وبکم به PC خود وصل کنید:
نرمافزار iVcam Webcam: اندروید | iOS
نرمافزار DroidCam: اندروید | iOS
نرمافزار DroidCam OBS برای اتصال مستقیم گوشی خود به OBS Studio: اندروید | (در iOS همان برنامه لینک قبلی هر ۲ کار را انجام میدهد)
یک PC جدا مخصوص استریم (اختیاری)
چه از PC استفاده کنید، چه از کنسول، بهترین راه برای استریم کردن محتوا، استفاده از یک لپتاپ دیگر مخصوص شخصیسازی و تنظیمات استریم است. هرچند PC گیمینگ اصلی شما میتواند کاربری چندمنظوره داشته باشد و هم با آن بازی کنید و هم از طریق آن استریم کنید؛ ولی برای مدیریت بهتر استریم خود مثل موزیک گذاشتن، تنظیمات پیشرفته وبکم، مدیریت و خواندن چتها و کنترل همهجانبه استریم خود نیاز به یک PC دیگر دارید.
این سیستم مخصوص استریم باید همیشه در نزدیکی شما باشد، برای همین پیشنهاد ما یک لپتاپ است. نیازی هم نیست که لپتاپ گیمینگ یا قدرتمند و گرانقیمتی باشد، یک لپتاپ میانرده یا حتی پایینرده از پس تمام کارهایی که مد نظر ماست برمیآید.
متاسفانه این روش برای کاربران ایرانی مقداری گران تمام میشود چون شما نیاز به دستگاه دیگری دارید:
کارت کپچر (Capture Card)
در روش بالا، برای استریم کردن گیمپلی خود از کنسول یا سیستمی دیگر روی یک PC دیگر، شما به دستگاهی برای ضبط و دریافت گیمپلی از کنسول و انتقال آن به PC نیاز دارید. کارت کپچر این کار را برای شما انجام خواهد داد.
کارت کپچر در ابعاد، قیمت و مدلهای مختلفی عرضه میشود. قیمت مدلهایی که از طریق HMDI محتوا را به صورت HD ضبط میکنند به بیش از ۵ میلیون تومان میرسد و برای ضبط 4K باید چیزی حدود بیشتر از ۱۵ میلیون تومان هزینه کنید!
اگر میخواهید از این روش برای استریم کردن کنسول خود استفاده کنید، قسمت مربوط به آموزش استریم کردن در PC را بخوانید.
اگر تمام موارد گفتهشده را آماده دارید؛ حالا وقت شروع است. هرچند همیشه در ذهن خود داشته باشید که تقویت سختافزارهای شما، مثل بهبود میکروفون برای کیفیت صدای بهتر، همیشه باعث بهبود کیفیت استریم شما و در نتیجه جذب بیشتر بیننده و مشترکین میشود.
طبیعتاً مهمترین نکته برای استریم کردن در کامپیوتر یا لپتاپ، مشخصات و قدرت سیستم شماست. بسته به سختافزار خود، شما میتوانید بازیهای بهروزتر و محبوبتری را استریم کنید و در نتیجه افراد بیشتری را به استریم خود جذب کنید. اما در نظر داشته باشید که اگر سیستم شما خیلی قوی نباشد هم محتوا و بازیهای بسیار زیادی همچنان برای استریم کردن وجود دارند.
نرمافزار OBS Studio
اصلیترین نیاز شما برای شروع استریم روی پیسی خود، استفاده از نرمافزار استریم است. ما آموزش را بر پایه بهترین و محبوبترین نرمافزار برای این منظور، یعنی OBS Studio پیش میبریم. به صفحه دانلود سایت OBS Studio مراجعه و آن را دانلود و نصب کنید. پس از نصب باید در آن یک پروفایل بسازید.
آموزش استریم کردن
ساخت اکانت در Twitch و لینک آن به OBS Studio
برای شروع شما نیاز به ثبتنام در بزرگترین پلتفرم مخصوص استریم و لینک کردن آن به برنامه OBS Studio دارید تا مستقیماً بتوانید با OBS Studio بازی خود را ضبط و روی توییچ استریم کنید:
به سایت رسمی توییچ مراجعه کنید و از قسمت Sign Up (بالا سمت راست) حساب توییچ خود را بسازید و وارد آن شوید.
از منوی بالا سمت راست، به Dashboard بروید.
از منوی سمت چپ به Settings بروید.
گزینه Stream Key را انتخاب کنید.
دکمه بنفش Show Key را بزنید تا کد استریم شما نمایش داده شود.
هشدار را تایید کنید و سپس کد استریم خود را کپی کنید.
به برنامه OBS Studio بروید و Settings را از طریق دکمه پایین سمت راست باز کنید.
از منوی سمت چپ باکس باز شده، Streaming را انتخاب کنید.
از منوی پایینآمده کنار قسمت سرویسها، Twitch را انتخاب کنید.
برای سرور، نزدیکترین منطقه به خود را انتخاب کنید تا استریم شما با بهترین کیفیت ممکن انجام شود.
در قسمت Stream Key، کد استریم خود را paste کنید تا اکانت توییچ شما لینک شود.
شناساندن Media Source به OBS Studio
چیزی که شما در OBS Studio میبینید، همان چیزی است که بینندههای شما در توییچ خواهند دید. وقتی پروفایل جدیدی میسازید، صفحه کاملاً سیاه است ولی شما میتوانید محتوای خود را با شناساندن منبع ویدیو خود، اضافه کنید. یک برنامه یا بازی باز، پخش کننده فیلم، وبکم، میکروفون یا هر تصویر و صوتی میتواند یک Media Source باشد که باید آن را به OBS Studio اضافه کنید.
هر کدام از موارد ذکر شده باید به صورت لایهای جداگانه به OBS Studio شما اضافه شود. این برای آن است که بتوانید با مدیریت این لایهها، هرکدام را که خواستید بالاتر و جلوتر از بقیه به نمایش بگذارید.
از باکس Sources میتوانید با گزینه + لایه و منبع جدید صوتی یا تصویری اضافه کنید. با Drag کردن لایهها ترتیب آنها را عوض کنید و با استفاده از آیکون چشم، آنها را نمایان یا پنهان کنید.
اضافه کردن تصویر پسزمینه به استریم در OBS Studio (اختیاری)
به قسمت Settings و سپس Video بروید.
رزولوشن Base و Output را به 1920 در 1080 تغییر دهید و Ok کنید. حالا ویدیو شما به ابعاد مناسب برای استریم کردن تغییر پیدا کرده است.
روی قسمت سیاه صفحه اصلی خود کلیک راست کنید و گزینه Add و سپس Image را بزنید.
تصویر خود را انتخاب کنید. میتوانید اسم لایه خود را تغییر دهید تا بین تمام لایهها مشخص باشد.
اکنون تصویر شما در OBS Studio باید نمایان شود، اگر تصویر مورد نظر 1920 در 1080 نیست میتوانید با موس خود سایز آن را تغییر دهید.
دقت داشته باشید که از باکس Sources تصویر پسزمینه خود را همیشه پایینترین لایه بگذارید تا ویدیو گیمپلی، وبکم و سایر ورودیهای دیگه شما روی آن نمایش داده شوند.
استریم کردن گیمپلی
حالا دیگر شما آماده اضافه کردن گیمپلی موردنظر خود به OBS Studio هستید:
از باکس Sources گزینه + را بزنید.
از لیست باز شده، Game Capture را انتخاب کنید.
نام لایه خود را انتخاب و OK کنید.
از قسمت Mode، گزینه Capture any fullscreen application را انتخاب کنید. حالا OBSS هر برنامهای که روی سیستم شما به صورت تمامصفحه درحال اجرا باشد را ضبط خواهد کرد. میتوانید از منوهای پایینتر تغییرات بیشتری هم انجام دهید.
فراموش نکنید که لایه گیمپلی خود را بالاتر از پسزمینه قرار دهید.
توجه: اگر گیمپلی خود را از کنسول یا سیستم دیگری دریافت میکنید در مرحله دوم این قسمت باید Video Capture Device و سپس کارت کپچر خود را انتخاب کنید.
اضافه کردن وبکم به OBS Studio
اضافه کردن وبکم هم تقریباً مثل اضافه کردن گیمپلی است. پس از اطمینان از وصل بودن یا روشن بودن وبکم خود، روی + بزنید و از قسمت Video Capture Device وبکم خود را انتخاب کنید. میتوانید نام این لایه را تغییر دهید تا در مدیریت لایهها کارتان راحتتر شود. حواستان باشد که لایه وبکم شما بالاتر از لایههای دیگر باشد تا جلوتر از آنها نمایش داده شود.
شروع به استریم در توییچ
حالا شما آماده شروع استریم خود هستید. برای شروع به سادگی از کلیدهای پایین سمت راست دکمه Start Streaming را بزنید و صبر کنید تا اتصال شما به توییچ برقرار شود. دقت داشته باشید که از وسط پنل کار OBS Studio میتوانید میزان صدای لایههای مختلف را تغییر دهید و بلندی صدا را تنظیم کنید.
آموزش استریم کردن در کنسول به صورت مستقیم
اگر نمیخواهید از لپتاپ یا کامپیوتر جدا برای استریم استفاده کنید، آموزش استریم کردن را با راه دیگر استفاده از اپلیکیشن توییچ روی کنسول شما و استریم به صورت مستقیم ادامه میدهیم.
بازی اندروید
بازی ایفون
با استفاده از کامپیوتر یا گوشی خود، یک حساب توییچ بسازید. پیشنهاد ما دانلود برنامه توییچ برای اندروید یا iOS از لینکهای بالا است که به شما امکان تنظیمات و کنترل بیشتری روی استریم خود میدهد.
اگر از کنسولهای ایکسباکس استفاده میکنید، اپلیکیشن توییچ را از Microsoft Store دانلود کنید. اگر از PlayStation استفاده میکنید نیازی به دانلود اپلیکیشن ندارید.
از اتصال هدست، میکروفون، وبکم و سایر وسایل خود مطمئن شوید.
شروع به استریم کردن در PS4 و PS5
به قسمت تنظیمات (Settings) کنسول خود بروید.
وارد Account Management شوید.
به Link with Other Services بروید.
توییچ را انتخاب کنید و وارد حساب خود شوید. میتوانید از طریق اسکن کد QR یا تایپ کردن کد دادهشده در twitch.tv/activate حساب خود را لینک کنید.
بازی مد نظر خود را اجرا کنید.
دکمه Share روی دسته خود را یک بار بزنید.
گزینه Broadcast Gameplay را انتخاب کنید و از صفحه بازشده توییچ را بزنید.
تنظیمات ویدیویی خود را اعمال کنید و با کلیک روی Start Broadcasting، شروع به استریم کردن کنید.
شروع به استریم کردن در Xbox One و Xbox Series X|S
ابتدا برنامه توییچ را باز کنید و وارد حساب خود شوید. میتوانید از طریق اسکن کد QR یا تایپ کردن کد دادهشده در twitch.tv/activate حساب خود را لینک کنید.
قبل از شروع استریم، مطمئن شوید که در بخش Privacy settings، در منوی Others can see if you’re online گزینه Online Status & history روی Everybody ست شده باشد.
همچنین در منوی Game Content باید گزینه You can broadcast gameplay را روی Allow بگذارید.
همچنین اگر از دوربین استفاده میکنید، گزینه You can share content made using Kinect or other cameras را روی Allow بذارید.
به تب Broadcast در برنامه توییچ بروید و تنظیمات ویدیویی خود را انجام دهید.
گزینه Start Streaming را بزنید.
پس از شروع استریم، شما میتوانید بازی مورد نظر خود را با کلیک روی دکمه Xbox در دسته خود انتخاب کنید.
در Xbox Series X|S میتوانید روی دکمه Xbox بزنید و در منوی باز شده به بخش Capture & share بروید. گزینه Live streaming را بزنید و توییچ را انتخاب کنید. با استفاده از گزینه Go live now میتوانید استریم خود را شروع کنید.
آموزش استریم کردن در اندروید و iOS با توییچ
بازی اندروید
بازی ایفون
اپلیکیشن توییچ را از لینکهای بالا دانلود کنید.
وارد اکانت توییچ خود شوید یا یک حساب جدید بسازید.
از زبانه Browse روی آیکون دوربین در نوار بالای صفحه بزنید و Stream Games را بزنید.
اگر از اندروید استفاده میکنید پنجرهای برای دسترسیهای موردنیاز باز خواهد شد. دسترسیهای لازم را به برنامه بدهید.
برنامه به طور خودکار تنظیمات اینترنت شما را بررسی میکند و مناسبترین تنظیمات را برای شما قرار میدهد.
بازی خود را انتخاب کنید.
اگر از iOS استفاده میکنید آیکون Record قرمز رنگ را بزنید و بازی خود را باز کنید.
اگر از اندروید استفاده میکنید روی Start Stream بزنید.
استریم شما شروع خواهد شد.
توجه: همانطور که در این مقاله و آموزش استریم گفتیم در هنگام استریم تمام صفحه شما برای بینندگان پخش خواهد شد. مراقب باشید که چیزهای شخصی شما مثل پیام، شماره آشنایان یا عکسهای شخصی روی صفحه نباشند. پیشنهاد میشود هنگام بازی از حالت Do not disturb استفاده کنید.
سعی کردیم در این مقاله آموزش استریم کردن را به صورت کامل و جامع با زبان ساده بیان کنیم. اگر سوالی در زمینه استریم دارید با ما از طریق کامنتهای این پست در ارتباط باشید.
منبع :آی تی رسان
نویسنده: Rodd Wagner
مترجم: مهدی نیکوئی
برگرفته ازكتاب: مهرهها
دومین قانون از ۱۲ قانون جدید برای مدیریت انسانی کارکنان این است: آنها را جسور و نترس کنید! اگر آنها را مانند چرخدنده و مهرههایی بیاحساس در شرکت و کسب و کار خود نمیبینید، برای کسب بالاترین تلاشهایشان باید ترسهایشان را از بین ببرید. این همان موضوعی است که بیل هیولت با آن مواجه بود. در سال ۱۹۷۰ و سه دهه پس از شروع افسانهوار فعالیت شرکت هیولتپاکارد از گاراژ پالوآلتو، شرایط شرکت دشوار شده بود. شریک هیولت یعنی دیویدپاکارد به طور موقت از شرکت دور شده بود و به عنوان معاون وزارت دفاع ایالاتمتحده خدمت میکرد.
کشور در رکود اقتصادی به سر میُبرد. سفارشهای خرید اچپی به شدت کاهش یافته و بسیار پایینتر از ظرفیت تولید کارخانه بود. طبیعی است که درآمدها و سودآوری نیز سقوط چشمگیری داشت. شرکت باید ۱۰درصد از هزینههای خود را کاهش میداد تا زنده بماند.
برخی از مدیران که عادت کرده بودند بر اساس میزان سودآوری شرکت اقدام به استخدام و اخراج کارکنان کنند، انگار دست به اسلحه برده بودند و کار همه را تمام میکردند. کارکنان وفادار و سختکوش شرکت به ناگاه غافلگیر میشدند و نامه اخراج را در دست خود میدیدند. هیولت با اطلاع از این وضعیتبخشنامهای به مدیرانش نوشت:
«تعداد موارد روزافزونی گزارش شده است که کارکنان با اخطاری اندک یا بدون اخطار درباره کاهش بهرهوریشان کنار گذاشته شدهاند. در برخی از موارد، ارزیابی عملکرد فقط پس از قطع همکاری به کارکنان داده شده است. هیچ بهانهای برای این رفتار وجود ندارد. انسانی نیست. سبک اچپی این نیست. قابل توجیه نیست.»
هیولت به مدیرانش گفت هیچکس نباید بدون هشدار قبلی از طریق ارزیابیهای مکتوب و همچنین مشاورههای سازنده درباره شیوه بهبود عملکرد اخراج شود. هرگاه ممکن باشد، شرکت و نه کارکنان باید به دنبال مکان دیگری در شرکت برای رشد و موفقیت آن نیروی کار بگردد. او نوشت کارکنان نباید خودشان مجبور شوند به دنبال واحد یا پست جدیدی در شرکت باشند. همچنین پیش از هر اقدام نامساعد، باید به خوبی درباره آن اندیشیده شود. ما باید متوجه شویم که هر کدام از افراد نمایانگر شخصیتهایی مستقل با مشکلات، خانواده و شرایط خاص خودشان هستند.
با این حال، همچنین نیاز به کاهش هزینهها بود و بدون تغییر فهرست حقوق این کار غیرممکن بود. هیولت تصمیم دیگری گرفت. بیشتر کارکنان، از جمله خودش یک روز اضافه به مرخصی خواهند رفت و میزان حقوقشان ۱۰درصد کاهش پیدا میکند. تولید در آن روز تعطیل شد. فقط کارکنان بخش فروش که برای برونرفت از آن معضل باید سفارشها را دریافت میکردند، از این قانون مستثنا شدند.
هیولت در توضیح این تصمیم خود نوشت: «معمولا در کسب و کار، فردی در خط تولید قرار دارد که بیش از دیگران تاوان میدهد؛ در حالی که مدیران و سرپرستان در کار خود باقی میمانند. انصاف فقط این است که همه کارکنان از بالا تا پایین در این درد شریک باشند.»
۶ ماه بعد، سفارشهای خرید هیولت پاکارد به سطح عادی خود بازگشت. پاکارد نوشت: «برخی اعلام کردند که از افزایش تعطیلات خود لذت بردهاند؛ هرچند مجبور بودند از مخارج خود بکاهند. نتیجه این برنامه آن بود که همه افراد بار رکود را به اشتراک گذاشتند. در شرایطی که نرخ بیکاری کشور افزایش یافته و پیدا کردن شغل دشوار شده بود، آدمهای خوب کنار گذاشته نشدند. همچنین ما کارکنان به شدت با صلاحیت خود را برای زمان بهبود اوضاع حفظ کردیم.»
بیل هیولت با این دستور که هیچ فردی نباید بدون اطلاع قبلی کنار گذاشته شود و همه باید با یکدیگر از رکود اقتصادی عبور کنند، ترس و نگرانی را از ذهن کارکنانش زدود. هیولت و پاکارد عنوان کردند که در این تصمیم، دو انگیزه داشتند. نخستین انگیزه، وفاداری بود. آنها حس مسوولیت عمیقی برای افرادی داشتند که بخش جداییناپذیر شرکت به شمار میآمدند. چرا آنها باید در آن بازار کار بیسامان، پشت کارکنان خود را خالی میکردند؟ به این دلیل که برای دو بنیانگذار و مدیر شرکت، کارکنانشان مانند پیچ و مهره نبودند.
تمام شواهد نشان میدهد در چنین مواردی که ترس و نگرانی از ذهن کارکنان حذف میشود، شاهد تعهدی متقابل از سمت آنها خواهیم بود. مایکل مالون در کتاب خود با نام بیلاند دیو درباره آن اقدام هیولت نوشته است: «بسیاری از کارکنان که تسلیم یک تعدیل ناگزیر شده بودند، با برنامه تعطیلات ۹ روزه قدردان و حتی عاشق هیولت و پاکارد شدند؛ بهویژه بیل هیولت که دو دهه دیگر هم به هدایت شرکت ادامه داد.»
انگیزه دوم مدیران شرکت اچپی، موضوعی بود که اقتصاددانان آن را «انباشت سرمایهانسانی» یا «احتکار نیروی کار» میخوانند. وفاداری دلیلی اخلاقی برای حفظ افراد در رکودهاست اما انباشت سرمایه انسانی یک دلیل منطقی و واقعبینانه است. یک رکود قرار نیست همیشگی باشد. زمانی که تمام شود، شرکت به افراد بااستعداد نیاز دارد. اگر تعداد بیش از حدی از آنها طی رکود از دست رفته باشند، شرکت مزیت رقابتی خود را در زمان احیا و سالهای پس از آن از دست میدهد. بهتر است که به گفته پاکارد «کارکنان به شدت باصلاحیت» در کنار شرکت بمانند.
این همان اتفاقی است که در گذشته میافتاد. مطالعات اقتصادی مختلف نشان دادهاند که به ازای هر یکدرصد کاهش سودآوری، فقط نیمدرصد از کارکنان تعدیل میشدند. از آنجا که کاهش بهرهوری یا سودآوری موقت بود، شرکتها آمادگی خود را برای شروع سریع در دوران احیا حفظ میکردند.
اما اتفاقی که طی ۲ دهه اخیر افتاد. در آخرین رکود اقتصادی، شرکتهای بسیاری کارکنان خوب خود را رها کردند. آنها کارکنان را با نرخی سریعتر از گذشته تعدیل کردند. شرکتها به جای کاهش ساعات کاری، تمایل بیشتری به کاهش کارکنان نشان دادند. مجله اکونومیست در تحلیلی نوشت: «در رکود ۱۹۷۳ تا ۱۹۷۵، فقط یکسوم از کاهش مجموع نفر-ساعت به دلیل تعدیل نیرو بود. بقیه آنها از طریق کاهش روزهای کاری هفته یا سال محقق شده بود. اما در بحران مالی بزرگ (سال ۲۰۰۸) این وضعیت، برعکس بود.»
شاید رکودهای جدید دشوارترند. شاید شرکتها دلیل کمتری برای حفظ کارکنان دارند. شاید نگران هزینههای بیمه یا خشم اتحادیهها هستند. شاید هم مدیران به دنبال پاداشهای خودشانند. دلیل هر چه که باشد، رابطهای غیروفادارانه بین کارکنان و کارفرمایان رقم زده است و خطر بیشتری برای رفتار ماشینوار با کارکنان پدید آورده است.
برگرفته از دنیای اقتصاد
برنامههای کاربردی، سامانهها و شبکهها با انواع مختلفی از حملههای سایبری مثل شکستن رمزهای عبور، حملههای فرهنگ لغت و جستوجوی فراگیر روبهرو هستند. در سالهای گذشته، شرکتها از برنامهنویسان انتظار نداشتند در ارتباط با مباحث امنیتی شناخت دقیقی داشته باشند، زیرا این مسئولیت برعهده کارشناسان امنیتی قرار داشت، اما امروزه یکی از وظایف مهم برنامهنویسان کدنویسی تمیز و عاری از اشتباهات رایج است. بهطور کلی، برنامههای کاربردی با دو مشکل امنیتی بزرگ روبرو هستند. مشکل اول آسیبپذیری مستتر در چارچوبها، کتابخانهها یا ابزارهایی است که برنامهنویسان برای توسعه نرمافزارها از آنها استفاده میکنند. مشکل دوم، ضعف در کدنویسی است که باعث میشود یک نرمافزار قربانی حملههای سایبری شود. موارد مذکور موضوعات مهمی هستند که باید در مورد آنها اطلاع داشته باشید. امروزه، بخش عمدهای از حملههایی که زیرساختها و شبکههای سازمانی را هدف قرار میدهند از طریق آسیبپذیریهای مستتر در برنامههای کاربردی که روی سامانههای کلاینت یا سرور اجرا میشوند پیادهسازی میشوند. از اینرو، مهم است بهعنوان یک برنامهنویس اطلاعات کاملی در ارتباط با بردارهای حمله داشته باشید تا هنگام کدنویسی برنامهها ناخواسته راه ورودی برای هکرها ایجاد نکنید.
برنامههای کاربردی و چالشهای آنها
برنامههای کاربردی که روزانه از آنها استفاده میکنیم در معرض انواع مختلفی از حملههای سایبری قرار دارند. هکرها همانند کاربران عادی، نرمافزارها را نصب و اجرا میکنند، عملکرد آنها را بررسی میکنند و در ادامه به جستوجوی آسیبپذیریهای موجود در نرمافزارها میپردازند. با توجه به اینکه هکرهای حرفهای در زمینه برنامهنویسی خبره هستند، شناخت کاملی در ارتباط با مفاهیم برنامهنویسی و نحوه سوءاستفاده از آسیبپذیریها دارند.
پیمایش دایرکتوری
توسعهدهندگان برنامههای وبمحور و مدیران سایتها همواره نگران حمله پیمایش دایرکتوری (Directory Traversal) هستند. در حمله مذکور، هکرها سیستم فایلی وبسرور را ارزیابی میکنند تا بتوانند دستورات مخرب را درون پیامهای HTTP تزریق کنند. در این تکنیک، هکر سعی میکند چندمرتبه ../.. را در یک آدرس اینترنتی آزمایش کند تا موفق شود به ساختار دایرکتوری وبسرور وارد شود. پس از ورود به دایرکتوری، چند مرتبه به عقب باز میگردد تا به دایرکتوری سیستمعامل برسد و دستورات سطح سیستمعامل را اجرا کند. برای مقابله با حملههای پیمایش دایرکتوری، باید اطمینان حاصل کنید که سیستمها با وصلههای امنیتی بهروز هستند و به دنبال فهرست سیاه کاراکترهای رایج در آدرسهای اینترنتی مثل ../.. باشید.
حملههای تزریقی
بزرگترین مشکلی که برنامههای کاربردی با آن روبرو هستند حملههای تزریقی است. حمله تزریقی به دلایل مختلفی انجام میشود. بهطور مثال، ممکن است با هدف استخراج اطلاعات انجام شود. در اینجا، نرمافزار کاربردی بهعنوان واسطی برای حمله به یک بانک اطلاعاتی مورد سوءاستفاده قرار میگیرد. هکرها از این تکنیک برای درج انواع مختلف کدهای برنامهنویسی بهجای دادههایی که نرمافزار در انتظار دریافت آنها است، استفاده میکنند. حملههای تزریقی به انواع مختلف زیر تقسیم میشوند.
تزریق SQL
تقریبا همه کارشناسان بانکهای اطلاعاتی و برنامهنویسان وب نگران این حمله هستند. زبان پرسوجوی ساختیافته SQL سرنام Structured Query Language توسط برنامهنویسان برای پیادهسازی محاورهها روی بانکهای اطلاعاتی استفاده میشود. برنامههای کاربردی وب و برنامههای سازمانی برای بازیابی دادهها از بانکهای اطلاعاتی، از زبان پرسجوی ساختیافته استفاده میکنند. بهعنوان مثال، شما ممکن است یک نرمافزار موجودی در دفتر داشته باشید که اطلاعات آن درون یک پایگاه داده ذخیره میشود. این برنامه از زبان پرسوجوی ساختیافته برای بازیابی این دادهها از بانکهای اطلاعاتی استفاده میکند و اطلاعات را نشان میدهد. در حملههای تزریق پرسوجوی ساختیافته، هکر از دستورات این زبان استفاده میکند تا دادههای موجود در بانک اطلاعاتی را دستکاری کند. در روش مذکور، هکر کدهای عادی زبان پرسوجوی ساختیافته را به برنامه وارد میکند و اطمینان دارد که برنامه دستورات فوق را برای بانک اطلاعاتی ارسال میکند. هکر دستورات SQL را در مکانی که برنامهنویسان یا مدیران بانک اطلاعاتی انتظارش را ندارند، مثل فیلدهای نام کاربری و رمز عبور در صفحه ورود به برنامه وارد میکند.
شکل ۱، نمونهای از یک حمله تزریق کد SQL را نشان میدهد. در این شکل، یک صفحه ورود به سیستم را مشاهده میکنید که منتظر دریافت نام کاربری و رمزعبور است. هنگامی که کاربر اطلاعات فیلدهای مذکور را وارد میکند، این اطلاعات در دستورات SQL قرار میگیرند تا کاربر احراز هویت شود و بتواند به سیستم وارد شود. دستوری که برای این منظور استفاده میشود، دستور select است که برای یافتن اطلاعات در پایگاه داده استفاده میشود. هنگامی که کاربر روی دکمه LOGON کلیک میکند، دستور select سعی میکند نام کاربری و رمز عبوری که در برنامه تایپ شده است را پیدا کند.
در مثال فوق، هکر باید اطمینان حاصل کند پس از اجرای یک محاوره، نتیجه دلخواه را دریافت میکند، زیرا نام کاربری و رمز عبور معتبر را نمیداند، بنابراین سعی میکند کدهای SQL را بهعنوان رمز عبور وارد میکند تا شاید بتواند به سیستم وارد شود. بهطور مثال، یکی از تکنیکهای رایجی که در این زمینه استفاده میشود، درج دستورات بانک اطلاعاتی در کادر رمز عبور است تا یک حمله تزریق کد SQL با موفقیت انجام شود:
pass’ or 1=1 --
کلمه pass چیزی است که هکر بهعنوان رمز عبور خود تایپ میکند که در واقع کار نخواهد کرد، زیرا هکر در برنامه حساب کاربری ندارد. دستور 1=1 بهعنوان شرطی در دستور select استفاده میشود، اما بهعنوان رمز عبور واقعی آزمایش نمیشود. در اینجا نکته مهم در کاراکتر «'» مستتر است که برای بستن دستور select استفاده میشود. کاراکترهای «--» در پایان این دستور اشاره به درج نظر دارند و در حالت عادی مشکل خاصی ندارند، با اینحال، نکته ظریفی وجود دارد. در کدهای اصلی، برنامهنویس از کاراکتر «'» در دستور select واقعی استفاده کرده و در اینجا این کاراکتر پایان آن دستور را مشخص میکند. اکنون دو کاراکتر «-» که در دنیای واقعی تنها برای درج نظرات توسط برنامهنویسان استفاده میشود، در خط بالا باعث نادیده گرفتن ادامه دستورات select اصلی میشوند. از اینرو، در کدنویسیهای ضعیف این تکنیک به هکر اجازه ورود به سامانه را میدهد.
یکی دیگر از چالشهای بزرگی که برنامهنویسان بانکهای اطلاعاتی با آن روبرو هستند، تغییر قیمت کالاها در یک فروشگاه آنلاین توسط هکرها است. دستور زیر اجازه به ورود به سیستم را میدهد، اما در عین حال یک عبارت بهروزرسانی را اجرا میکند که قیمت همه کتابهای جدول titles را به ۵۰ سنت تغییر میدهد:
pass’ or 1=1; update titles set price=.5 --
یکی دیگر از مخاطراتی که پیرامون برنامههای کاربردی وجود دارد، فراخوانی دستورات سیستمعامل یا سرور بانک اطلاعاتی برای ساخت حسابهای کاربری است. بهطور مثال، دستور زیر یک رویه ذخیره شده داخلی موجود در
SQL Server را فراخوانی میکند که به توسعهدهنده پایگاه داده اجازه میدهد یک فرمان سیستمعامل را برای جمعآوری اطلاعات فراخوانی کند. در مثال فوق، هکر حساب کاربری خودش که fromSQL نام دارد را در ویندوز ایجاد میکند تا بتواند برای ورود به وبسایت هدف از آن استفاده کند. خوشبختانه این تکنیک از SQL Server 2005 به بعد قابل استفاده نیست، زیرا روال ذخیره شده
xp_cmdshell بهطور پیشفرض غیرفعال است و به این دلیل نباید فعال شود.
pass’ ;exec master ..xp_cmdshell “net user fromSQL password /add» –
دستور زیر از تکنیکی مشابه حالت قبل برای افزودن حساب کاربری به گروه مدیران محلی سیستم استفاده میکند. بهطوریکه هکر یک در پشتی با قابلیتهای مدیریتی کامل بهدست میآورد. این تکنیک نیز تنها زمانی قابل استفاده است که xp_cmdshell فعال باشد، در حالیکه روی نسخههای جدید SQL Server در حالت پیشفرض غیرفعال است.
pass’ ;exec master ..xp_cmdshell “net localgroup administrators fromSQL /add” –
چگونه مانع پیادهسازی موفقیتآمیز حملههای تزریق SQL شویم؟
همانگونه که اشاره شد، ایمنسازی نرمافزارهای کاربردی از وظایف اصلی برنامهنویسان است، زیرا کارشناسان امنیتی قدرت مانور محدودی برای مقابله با این مدل حملهها دارند. از اینرو، برای محافظت از برنامههای کاربردی که دادهمحور هستند به نکات زیر دقت کنید:
Sanitization : برنامهنویسان باید از طریق بهکارگیری الگوهایی مثل عبارات باقاعده هر کاراکتر ورودی دریافتی از کاربر که میتواند کدهای SQL را اجرا کند را شناسایی و پاک کنند. بهعنوان مثال، آنها باید نقطه ویرگول و دو خط تیره را از ورودی حذف کنند.
Validation: برنامهنویسان باید ورودی را تایید کنند و اطمینان حاصل کنند که تعداد نویسههای قابل وارد کردن و نوع نویسههای استفادهشده دارای محدودیت هستند.
Parameterized queries: استفاده از پرسوجوهای پارامتری به این معنا است که ورودی بهشکل مستقیم به یک دستور SQL ارسال نمیشود، بلکه در قالب پارامتر برای دستورات ارسال میشود و تنها مقادیر خاصی پذیرفته میشوند. اگر مقدار پارامتر درست باشد، توسط دستورات SQL اجرا میشود. الگوی محاورههای پارامتری یکی از مهمترین مباحث دنیای برنامهنویسی است که باید به آن دقت کنید.
تزریق کتابخانه پیوند پویا(Dynamic-Link Library Injection)
تزریق کتابخانه پیوند پویا (DLL) هنگامی اتفاق میافتد که یک برنامه مجبور است یک DLL را در فضای آدرس خود بارگذاری کند و کد DLL را اجرا کند. کد موجود در DLL میتواند کد مخربی باشد که هکر میخواهد روی سیستم اجرا کند. این بردار حمله پیچیده و ظریف است؛ بنابراین اگر برنامهنویس در هنگام ساخت برنامههای کاربردی مکانیزمی برای اعتبارسنجی کتابخانه پویا در نظر نگرفته باشد، با موفقیت پیادهسازی میشود.
تزریق پروتکل دسترسی دایرکتوری سبک وزن
(Lightweight Directory Access Protocol Injection)
حمله تزریق پروتکل دسترسی به دایرکتوری سبک وزن هنگامی اتفاق میافتد که هکری یک فرم وب را بهگونهای پر میکند که معمولا از دادههای فرم برای پرسوجو از پایگاه داده با فراخوانی LDAP استفاده میکند، اما از آنجایی که توسعهدهنده برنامه هیچکدام از ورودیها را تایید نکرده، هکر در اجرای دستورات موفق خواهد بود. در این حالت هکر محتوا و دستورات موردنظر را درج میکند و سرور آنها را اجرا میکند.
تزریق زبان نشانهگذاری توسعهپذیر
(Extensible Markup Language Injection)
حمله تزریق زبان نشانهگذاری توسعهپذیر (XML) شبیه تزریق کد اسکیوال و تزریق LDAP است، با این تفاوت که هکر کد XML را به برنامه وارد میکند. اگر توسعهدهنده برنامه، ورودی را اعتبارسنجی نکرده باشد، هکر میتواند روند اجرای برنامه را با تزریق دادههای XML دستکاری کند. برای حل این مشکل کافی است ورودیها را اعتبارسنجی کنید تا مانع پیادهسازی موفقیتآمیز این مدل حملهها باشید.
حملات سرریز بافر (Buffer Overflow Attacks)
با توجه به اینکه بخش عمدهای از برنامههای کاربردی با زبانهای برنامهنویسی سی و سیپلاسپلاس نوشته میشوند، هنوز هم هکرها شانس خود برای انجام حملههای سرریز بافر را امتحان میکنند. بافر ناحیهای از حافظه اصلی است که برای ذخیره اطلاعات ارسالشده به برنامه استفاده میشود. سرریز بافر زمانی است که یک هکر اطلاعات زیادی را به برنامه میفرستد و باعث میشود که اطلاعات از بافر سرریز کنند. بافر را همانند لیوان آبی تصور کنید که گنجایش مشخصی دارد، هنگامی که بیشتر از ظرفیت آب درون لیوان بریزد از آن سرازیر میشود. حمله سرریز بافر نیز دقیقا به همین شکل انجام میشود. شکل ۲، نمونه سادهای از پیادهسازی موفقیتآمیز این حمله را نشان میدهد.
اگر هکر بتواند اطلاعاتی در حافظه خارج از ناحیه بافر ذخیره کند، قادر به اجرای هرگونه کدی با مجوز مدیریتی است. نرمافزارهایی که در معرض این مدل حملهها قرار میگیرند، برنامههای کاربردی یا سرویسهای در حال اجرا در پسزمینه سیستمعامل هستند.
چرا آسیبپذیری در برنامههای کاربردی وجود دارد؟
شاید بپرسید که چرا این حملات موفقیتآمیز هستند. دلایل مختلفی وجود دارد. بهطور معمول، هکرها وقت کافی برای کار با فناوریها اختصاص میدهند تا بفهمند نقاط ضعف فناوریها کجا است و چگونه از آنها برای انجام فعالیتهای مخرب استفاده کنند.
علاوه بر این، برنامهنویسان و تیمهای توسعه نرمافزارهای کاربردی، بهعمد درهای پشتی روی محصولات خود قرار میدهند تا در آینده بتوانند تغییرات موردنیاز را در برنامههای کاربردی وارد کنند. گاهیاوقات، هکرها موفق میشوند این درهای پشتی را شناسایی کنند و به سوءاستفاده از آنها بپردازند. بنابراین توسعهدهندگان مجبور میشوند وصلههایی برای بستن این درهای پشتی منتشر کنند. از مهمترین دلایل موفقیتآمیز بودن حملات به برنامههای کاربردی به موارد زیر باید اشاره کرد:
مدیریت نامناسب ورودی: مدیریت و ارزیابی ورودی یکی دیگر از وظایف مهم برنامهنویسان و توسعهدهندگان نرمافزار است. هر زمان که دادهها به یک برنامه ارسال میشوند، برنامهنویس باید آن دادهها را اعتبارسنجی کند و از مناسب بودن آنها اطمینان حاصل کند.
در این حالت، اگر دادهها نامعتبر باشند، بهجای پردازش اطلاعات، یک خطا به کاربر نمایش داده میشود. اگر برنامهنویس ورودی را تایید نکند، هکرها میتوانند دادههای مخرب را به برنامه تزریق کنند تا نرمافزار را به روشی که مطلوب نیست کنترل کنند.
مدیریت نادرست خطا: مدیریت خطا یکی دیگر از وظایف کلیدی برنامهنویسان است. برنامهنویسان باید اطمینان حاصل کنند که هرگونه خطای تولیدشده در برنامه را بهدام میاندازند و آن خطاها را بهطور مناسب مدیریت میکنند تا برنامه با مشکل جدی روبرو نشود. علاوه بر این، هنگامی که کدنوسی نرمافزار بهپایان رسید، باید بهدنبال شناسایی خطا باشید. مدیریت نادرست خطا میتواند منجر به سوءاستفاده از برنامه شود.
پیکربندی پیشفرض: هنگام نصب نرمافزار یا سیستمها، مطمئن شوید که پیکربندی پیشفرض را تا حد امکان تغییر دهید. هکرها تنظیمات پیشفرض محصولات را میشناسند و یاد میگیرند که چگونه از تنظیمات پیشفرض برای سوءاستفاده از سیستمها استفاده کنند. شما باید پیشفرضها را تغییر دهید تا هکرها شانس کمتری برای نفوذ به برنامهها داشته باشند.
پیکربندی نادرست یا پیکربندی ضعیف: بخش عمدهای از حملههای هکری بهدلیل پیکربندی نادرست یا ضعیف سیستمعامل و برنامههای کاربردی انجام میشوند. در ارتباط با نرمافزارهای مهمی مثل SQL Server، Exchange Server و نمونههای مشابه باید اطمینان حاصل کنید که پیکربندی درستی را اعمال کردهاید.
Weak cipher: یکی از بزرگترین مشکلات برنامههای کاربردی دانش کم برنامهنویسان در زمان بهکارگیری الگوریتمهای رمزنگاری است. متاسفانه برخی از برنامههایی که توسط کاربران سیستمعامل ویندوز و اندروید استفاده میشود از فناوریها یا پروتکلهای رمزگذاری ضعیف استفاده میکنند. بهطور مثال، در برخی برنامهها و سفتافزارها برای رمزگذاری دادهها از الگوریتم متقارن DES یا 3DES استفاده میشود. این رمزگذاری ضعیف است و باید با الگوریتمهای قویتری مثل AES جایگزین شود. مثال دیگر جایگزینی پروتکلهای رمزگذاری ضعیفتر مثل TLS 1.0 و TLS 1.1 با نمونه جدیدتر TLS 1.3 است.
تهدیدات روز صفر: یکی از شایعترین آسیبپذیریهایی که بسیاری از شرکتها را قربانی میکند، تهدید روز صفر است که اشاره به آسیبپذیری ناشناختهای دارد که فروشنده هنوز از آن آگاه نیست، یا بهتازگی از آن آگاه شده است. در آسیبپذیری روز صفر، زمان کافی برای عرضه وصله وجود ندارد و در نتیجه هکرها میتوانند در فرصت کوتاهی از آن استفاده کنند. بهترین راه مقابله با این حمله، بهکارگیری سامانههای تشخیص و پیشگیری از نفوذ است.
کلام آخر
یکی از جنبههای نادیده گرفته شده در حوزه توسعه برنامههای کاربردی که روزانه از آنها استفاده میکنیم مقوله امنیت است. درک این نکته که چگونه هکرها از طریق برنامههای کاربردی در حال اجرا روی سامانهها به زیرساختهای یک شرکت وارد شده و به آنها آسیب جدی وارد میکنند بسیار مهم است. نکته کلیدی در بحث توسعه نرمافزارهای کاربردی، درک این مسئله است که بهعنوان یک برنامهنویس میتوانید کار خود را انجام دهید و پس از بهاتمام رساندن یک پروژه نرمافزاری با دقت و وسواس خاصی آزمایشهای امنیتی را روی نرمافزاری که طراحی کردهاید انجام دهید.
علاوه بر این، مجموعه خطمشیها، چکلیستها و الگوهایی وجود دارد که کمک میکنند هنگام کدنویسی از اشتباهات رایج دوری کنید. با اینحال، دقت کنید هر زبان برنامهنویسی الگوهای امنیتی خاص خود را دارد و اینگونه نیست که قواعد مذکور در مورد تمامی زبانهای برنامهنویسی صدق کند. بهطور مثال، سیشارپ با ارائه مفهومی بهنام Garbage Collection روند کدنویسی را برای برنامهنویسان ساده کرد، در حالی که زبانهایی مثل سی فاقد چنین ویژگیای هستند و برنامهنویسان در هنگام تخصیص حافظه به اشیاء پویا باید خود حافظه را آزاد کنند.
برگرفته از سایت شبکه
یکی از وظایف مهم متخصصان امنیتی، ارزیابی امنیت سازمان است. این ارزیابی، جنبههای فنی مانند وضعیت پیکربندی سرورها، فایروالها، نرمافزارها، کنترلهای امنیت فیزیکی و اطلاعرسانی به کارکنان در رابطه با حملات مهندسی اجتماعی را شامل میشود. ارزیابی امنیتی یکی از وظایف مهم کارشناسان امنیت سایبری است که باید بهطور منظم انجام شود. از اینرو، دانستن نحوه انجام این ارزیابیها اهمیت زیادی دارد، زیرا امنیت سایبری در پیکربندی دیوارهای آتش و تخصیص مجوزها خلاصه نمیشود. درک چگونگی ارزیابی امنیتی بخشهای مختلف یک سازمان و خطرات مرتبط با آن کمک میکند تا بهشکل بهتری از زیرساختهای سازمانی در برابر مجرمان سایبری محافظت کنید.
ممیزی اطلاعات چیست؟
ممیزی اطلاعات (Information Audit) بهمعنای تجزیهوتحلیل و ارزیابی مکانیزمهای امنیتی، پایگاههای داده و منابعی است که اطلاعات حساس را نگهداری میکنند. اینکار با هدف تشخیص، بهبود دقت، امنیت و بهروز بودن اطلاعات و برطرف کردن مشکلات امنیتی انجام میشود. در حالت جامع، ممیزی اطلاعات به دلایل زیر انجام میشود:
رعایت مقررات و خطمشیهای اطلاعاتی و امنیتی سازمان.
آگاهیرسانی با هدف تامین امنیت بهتر منابع اطلاعاتی.
نیازهای اطلاعاتی سازمان.
شناسایی هزینههای پیرامون منابع اطلاعاتی.
شناسایی فرصتهای استفاده از منابع اطلاعاتی برای دستیابی به مزیت رقابتی راهبردی.
توسعه خطمشیهای امنیتی و اطلاعاتی.
یکپارچهسازی سرمایهگذاری در فناوری اطلاعات با اقدامات راهبردی تجاری.
شناسایی جریانها و فرایندهای اطلاعاتی.
رصد و ارزیابی سازگاری و مطابقت با استانداردها.
شناسایی منابع اطلاعاتی سازمان.
ارزیابی امنیتی چیست؟
ارزیابی امنیتی به مجموعه اقدامات دورهای اشاره دارد که وضعیت امنیتی شبکه سازمانی را بررسی میکند. ارزیابی امنیتی شامل شناسایی آسیبپذیریها در سیستمهای فناوری اطلاعات و فرآیندهای تجاری و توصیههایی برای کاهش مخاطرات امنیتی است. ارزیابیهای امنیتی به شما کمک میکنند خطرات را شناسایی کنید و مانع بروز حملههای سایبری شوید.
انواع ارزیابی
ارزیابیهای امنیتی شامل ارزیابی مخاطرات، تهدیدها، پیکربندیها، آسیبپذیریها و تست نفوذ است. هر یک از این ارزیابیها مشکلات مختلف زیرساختهای سازمانی را نشان میدهد.
ارزیابی مخاطره (Risk Assessment):
ارزیابی مخاطره (ریسک) رایجترین نوع ارزیابی در دنیای امنیت سایبری است که با شناسایی مسائلی که ممکن است باعث ایجاد اختلال در فعالیتهای تجاری شوند، به استمرار و تداوم فعالیتهای تجاری کمک میکنند. برخی منابع، ارزیابی ریسک را تجزیهوتحلیل ریسک نیز توصیف میکنند، زیرا به شناسایی ریسکهای پیرامون داراییهای درونسازمانی و یافتن راهحلهایی برای بهحداقل رساندن آن ریسکها میپردازد. بهطور کلی، ارزیابی ریسک بر مبنای مراحل زیر انجام میشود:
شناسایی داراییها (Identify assets):
اولین گام برای ارزیابی ریسک، شناسایی داراییهای سازمان است. دارایی هر چیزی است که برای سازمان ارزش دارد. بهعنوان مثال، اگر شرکتی یک سایت تجارت الکترونیکی داشته باشد که صدها هزار دلار در روز درآمد دارد، یک دارایی مهم بهشمار میرود.
شناسایی تهدیدات (Identify threats):
پس از شناسایی داراییها، باید تهدیدات پیرامون هر دارایی را شناسایی کنید. بهطور کلی، داراییها با تهدیدات مختلفی روبهرو هستند. تنها کاری که باید در این مرحله انجام دهید، فهرست کردن تهدیدات است. بهعنوان مثال، ممکن است یک وبسایت با حمله انکار سرویس (DoS) روبرو شود یا هارددیسک روی وبسرور به دلایل مختلف، همچون حملههای بدافزاری از کار بیفتد.
تحلیل تأثیر (Analyze impact):
این مرحله برای تعیین تأثیری که هر تهدید روی دارایی میگذارد، انجام میشود. بهعنوان مثال، تأثیر یک حمله «انکار سرویس توزیعشده» (DDoS) بر روی سایت تجارت الکترونیک شرکت بهمعنای از دست دادن درآمد در مدت زمانی است که فرآیند بازیابی کامل شده و همهچیز به شرایط اولیه باز گردد. به همین دلیل مهم است که باید تاثیر تهدید بهدقت بررسی شود.
اولویتبندی تهدیدها (Prioritize threats):
پس از شناسایی تهدیدات پیرامون داراییها، هر تهدید را بر مبنای تاثیری که بر فعالیتهای تجاری میگذارد و بر اساس احتمال وقوع تهدید اولویتبندی کنید. در این مرحله باید تصویر کاملتری از تهدیدها داشته باشید.
کاهش تهدید (Mitigate the threat):
پس از اولویتبندی تهدیدها، باید مشخص کنید بر مبنای چه راهکاری بهدنبال کاهش آنها هستید. برای مثال، میتوانید وبسرور را پشت دیوار آتشی قرار دهید تا مانع پیادهسازی موفقیتآمیز حملات پیرامون وبسرور شوید یا از راهحل RAID برای مقابله با خرابی ناگهانی دیسکدرایوها و از دست دادن اطلاعات استفاده کنید.
ارزیابی تهدید (Threat Assessment):
ارزیابی تهدید بخشی از فرآیند ارزیابی ریسک است که تهدیدات مختلف پیرامون یک دارایی را شناسایی میکنید. همانگونه که اشاره شد، شما با تهدیدات مختلفی پیرامون یک دارایی روبهرو هستید، از اینرو بخشی از ارزیابی ریسک، به مبحث اولویتبندی تهدیدها اختصاص دارد.
ارزیابی پیکربندی (Configuration Assessment):
با ارزیابی پیکربندیها، متخصصان امنیت سایبری پیکربندی امنیتی سیستمها یا شبکه را بررسی میکنند. رویکرد فوق شامل آمادهسازی چکلیستی از بهترین شیوههای پیکربندی و بهترین روشهای پیادهسازی آنها است، اما یک سازمان چه داراییهای مهمی دارد که باید به فکر ارزیابی و پیکربندی درست آنها باشیم؟ از جمله این داراییها به موارد زیر باید اشاره کرد:
سامانهها:
هنگام ارزیابی، مطمئن شوید که جدیدترین وصلهها روی سامانهها نصب شدهاند. اطمینان حاصل کنید که هیچ نرمافزار یا سرویس غیرضروری روی سامانهها اجرا نمیشود. همه سامانهها باید با رمزهای عبور قوی محافظت شوند. همه سامانهها باید نرمافزار آنتیویروسی داشته باشند که پایگاه داده آن شامل جدیدترین تعریف و امضا ویروسها است. این پایگاه داده باید بهطور خودکار بهروزرسانی شود.
سرور فایل (File server):
هنگام ارزیابی پیکربندی امنیتی سرور فایل، بررسی کنید کاربران قبل از دسترسی به فایلهای روی سرور توسط سرور فایل احراز هویت شوند، مجوزهای درستی به پوشهها اختصاص داده شده باشد، افرادی را که قادر به دسترسی به اطلاعات هستند کنترل کنید و مطمئن شوید که اصل حداقل امتیاز رعایت شده باشد.
وب سرور (Web server):
وبسایتهایی که با اطلاعات حساس بازدیدکنندگان در ارتباط هستند باید از پروتکلهای SSL/TLS برای رمزنگاری اطلاعات استفاده کنند، احراز هویت بهشکل درستی انجام شده باشد و هیچ فایل غیرضروریای در سرور وب وجود نداشته باشد. وبسرور باید دارای ویژگی گزارشگیری باشد تا بتوانید بر فرآیند دسترسی به وبسایتها نظارت دقیقی اعمال کنید.
سرور SMTP:
علاوه بر وصله و ایمن کردن سامانهها، مطمئن شوید که سرور SMTP توسط دیوار آتش محافظت میشود و هیچگونه دسترسی مستقیم به سرور وجود ندارد. علاوه بر این، سرور SMTP باید توسط ابزارهای امنیتی مثل ضدویروسها محافظت شود تا هرگونه ایمیلی که حاوی ضمیمه آلوده یا هرزنامههایی است که برای سرور ارسال میشوند شناسایی شوند. توجه به این نکته نقش مهمی در کاهش حملههای فیشینگ دارد. بهطور معمول، سازمانهای بزرگ فعال در حوزههای مالی و بیمه با حجم قابل توجهی از هرزنامههایی روبهرو هستند که بیارزش هستند و باز کردن تنها یک مورد از این هرزنامهها راه نفوذ هکرها به سامانهها را هموار میکند.
روترها (Routers):
کارشناسان خبره برای دسترسی به Console ، Auxiliary و Telnet روی روترها گذرواژههایی را تعیین میکنند تا بتوانند افرادی را که قصد دسترسی به پیکربندی روترها دارند کنترل کنند. برای حفظ امنیت، بهتر است از پروتکل پوسته امن (SSH) سرنام Secure Shell به جای Telnet برای مدیریت از راه دور به روتر استفاده کنید. مطمئن شوید روتر یک فهرست کنترل دسترسی (ACL) دارد که کنترل میکند چه ترافیکی مجاز است از روتر عبور کند. بهعنوان مثال، این امکان وجود دارد تا روتر را به گونهای پیکربندی کنید که به ترافیک شبکههای مشخصی اجازه عبور دهد. علاوه بر این، باید یک قانون انکار ضمنی همه (Implicit Deny All) در انتهای یک فهرست کنترل دسترسی قرار دهید. این قانون میگوید، هرگونه ترافیکی که برای روتر وارد میشود به غیر از ترافیک مربوط به شبکههای مشخصشده، باید رد شود. این قانون باید به ترافیک ورودی رابط سریال روی روتر اعمال شود تا هرگونه ترافیکی که وارد روتر میشود این قانون روی آن اعمال شود.
فایروالها (Firewalls):
دیوارهای آتش باید به گونهای پیکربندی شوند که هرگونه ترافیکی بهجز ترافیکی را که صراحتاً مجاز به عبور از دیوار آتش است رد کنند. این پیکربندی بهعنوان رد ضمنی شناخته میشود و اعلام میدارد که تنها ترافیک تعریفشده در دیوارآتش مجاز به عبور است. از آنجایی که فایروالها به اینترنت متصل هستند، باید اطمینان حاصل کنید که تمامی ویژگیهای مدیریت راه دور روی آنها غیرفعال شده باشد و از مکانیزم احراز هویت قوی روی دستگاه استفاده شده باشد.
سوئیچها (Switches):
مطمئن شوید گذرواژهها روی درگاه کنسول، درگاه کمکی و درگاههای Telnet سوئیچها پیکربندی شدهاند تا بتوانید افرادی را که دسترسی مدیریتی به دستگاه دارند کنترل کنید. همچنین، بررسی کنید درگاههای استفادهنشده غیرفعال باشند تا مجرمان سایبری موفق نشوند از این درگاهها برای نفوذ استفاده کنند. برای حفظ امنیت، بهتر است کاربران هر واحد را در شبکه جداگانهای قرار دهید و از مکانیزم تقسیمبندی (Segments) برای شکستن یک شبکه واحد به شبکههای کوچکتر استفاده کنید. امروزه در بیشتر سازمانهای بزرگ از فناوری شبکه محلی مجازی (VLAN) برای ایمنسازی، مدیریت بهتر کاربران و نظارت دقیق بر پهنای باند استفاده میشود.
کارمندان (Employees):
هنگام انجام ارزیابیهای دستی، دانش کارکنان در ارتباط با مسائل امنیت را بیازمایید و چند سناریو حمله مهندسی اجتماعی را برای آنها ترتیب دهید. بهعنوان مثال، میتوانید به بررسی این موضوع بپردازید که آیا یک کارمند رمز عبور خود را در اختیار فردی که ناشناس است قرار میدهد یا خیر. همچنین، میتوانید درایوهای USB را روی میز کارمندان قرار دهید تا ببیند چند نفر از آنها یک درایو USB ناشناس را به سیستمهای خود متصل میکنند. کارمندانی که آموزشهای امنیتی دقیقی دیده باشند بهخوبی از این نکته اطلاع دارند که یک درایو USB ناشناس ممکن است حاوی ویروس باشد و نباید چنین درایوهایی را به سامانههای خود متصل کنند.
امنیت فیزیکی (Physical security):
یکی دیگر از موضوعات مهم پیرامون مبحث ارزیابی، امنیت فیزیکی است. آیا تمام درها و پنجرهها قفل دارند؛ آیا تنظیمات CMOS سیستمها برای جلوگیری از بوت شدن از طریق دیسکهای نوری یا درایوهای USB تغییر کردهاند؛ آیا روی سامانههایی که اطلاعات محرمانه دارند، ویژگی کنترل یا مشاهده از راه دور نصب شده یا نرمافزارهای برقراری ارتباط از راه دور مثل Team Viewer نصب شده است؛ آیا از مکانیزمهای نرمافزاری یا سختافزای برای عدم اتصال درایوهای USB روی سامانهها استفاده شده است یا خیر.
ارزیابی آسیبپذیری (Vulnerability Assessment):
ارزیابی آسیبپذیری به شناسایی نقاط و مناطقی اشاره دارد که احتمال بروز حملههای سایبری از آن مناطق بیشتر است. بیشتر ارزیابیهای آسیبپذیری با استفاده از ابزارهای رایجی مثل Nessus، OpenVAS یا LANguard GFI انجام میشوند. شکل ۱، رابط کاربری ابزار LANguard GFI را که اسکنر شناسایی آسیبپذیری شبکه است نشان میدهد. این ابزار به کارشناسان شبکه کمک میکند بخشهایی از یک سامانه را که در برابر حملهها آسیبپذیرتر هستند شناسایی کنند.
ابزار ارزیابی آسیبپذیری با هدف تجزیهوتحلیل پیکربندیهای یک سیستم و شناسایی بخشهایی که نیازمند رسیدگی بیشتر هستند مورد استفاده قرار میگیرد. از جمله وظایف اصلی این ابزارها به موارد زیر باید اشاره کرد:
ارزیابی وضعیت وصلههای نصب شده روی سامانهها و گزارش این موضوع که آیا وصلههایی وجود دارند که روی سامانهای نصب نکردهاید.
شناسایی حسابهای کاربری که بدون رمز عبور روی یک سیستم ساخته شدهاند.
اطلاعرسانی در ارتباط با حسابهایی که مدت زمان طولانی است که از آنها استفاده نشده است.
اطلاعرسانی در ارتباط با وجود انواع مختلفی از حسابهای مدیریتی.
شناسایی رخنهها یا آسیبپذیریهایی که نیازمند رسیدگی هستند.
شکل 1
نکته کلیدی که هنگام کار با ابزارهای ارزیابی آسیبپذیریها باید به آنها دقت کنید این است که ابزارهای مذکور تنها پیکربندی سامانهها را بررسی میکنند و تا حد امکان توصیههایی را برای رفع مشکل ارائه میکنند، اما کار خاصی در ارتباط با کاهش یا دفع حملههای سایبری انجام نمیدهند، زیرا وظیفه اصلی آنها بررسی پیکربندیهای سامانهها است. هنگامی که قصد ارزیابی آسیبپذیریها را دارید باید موارد زیر را بررسی کنید.
حسابهای استفاده نشده (Unused accounts):
آیا حسابهای کاربریای وجود دارند که برای مدت زمان طولانی استفاده نشدهاند. بهطور معمول در همه شرکتها، کارمندان پس از گذشت مدت زمانی محل کار را ترک میکنند، در حالی که حسابهای کاربری آنها همچنان فعال است. هرگونه حساب کاربریای که استفاده نمیشود، ممکن است در معرض حملههای سایبری قرار بگیرد، زیرا هیچ کارمندی وجود ندارد که وضعیت آنها را بررسی کند. از اینرو، مهم است که حسابهای استفادهنشده را شناسایی کرده و آنها را غیرفعال کنید.
حسابهای مدیریتی (Administrative accounts):
حسابهای مدیریتی را باید بهدقت زیر نظر بگیرید. هرچه تعداد حسابهای مدیریتی کمتر باشد، بهتر است؛ زیرا تعداد افرادی که قادر به اعمال تغییرات در محیط هستند محدودتر است.
سیستمعامل وصلهنشده (Unpatched operating system):
سیستمعامل وصلهنشده یک خطر امنیتی بزرگ در دکترین دفاعی بهوجود میآورد، بههمین دلیل مراقب سیستمهایی باشید که وصلهنشده هستند. علاوه بر این، همواره این احتمال وجود دارد که نرمافزارهای آسیبپذیری که وصله نشدهاند، روی سامانه کاربران نصب شده باشند. اگر سرور ایمیل یا سرور پایگاه داده آسیبپذیر داشته باشید یک مهاجم میتواند یک حمله سرریز بافر روی آن انجام دهد و دسترسی مدیریتی کامل به سیستم پیدا کند.
نرمافزار آسیبپذیر (Vulnerable software):
یکی از قابلیتهای کاربردی نرمافزارهای ارزیابی آسیبپذیری توانایی آنها در شناسایی نرمافزارهای آسیبپذیری است که روی سیستم در حال اجرا هستند. برای مثال، اگر سامانهای در برابر حمله CGI سرنام Common Gateway Interface آسیبپذیر باشد، نرمافزار ارزیابی به شما اطلاع میدهد.
شناسایی آسیبپذیریها (Identifying vulnerabilities):
هدف از اسکن شناسایی آسیبپذیریها پیدا کردن نقاط ضعف موجود در سیستم است. بهعنوان مثال، اگر سیستمی با وصلهها بهروز نباشد، بهعنوان یک نقطه آسیبپذیر در شبکه شناخته میشود.
تشخیص فقدان کنترلهای امنیتی (Identifying the lack of security controls):
هنگام انجام ارزیابی آسیبپذیری، بهدنبال بررسی این موضوع باشید که آیا کنترلهای امنیتی وجود دارند که باید استفاده شوند و در حال حاضر استفاده نمیشوند. بهعنوان مثال، هنگام ارزیابی امنیت یک سرور پایگاه داده متوجه شوید توسط فایروال محافظت نمیشود. در این مورد، باید به مدیر پایگاه داده اطلاع دهید که سامانهها باید از طریق دیوارآتش با سرور پایگاه داده ارتباط برقرار کنند تا همهچیز تحت کنترل قرار گیرد.
شناسایی پیکربندیهای نادرست رایج (Identifying common misconfigurations):
هنگام انجام اسکن آسیبپذیری، پیکربندی سیستم را بررسی کنید تا هرگونه پیکربندی نادرستی را که میتواند باعث بروز مشکلات امنیتی شود پیدا کنید. بهعنوان مثال، ممکن است متوجه شوید نام پیشفرض حساب مدیریتی در یک سرور تغییر نکرده است.
کلام آخر
همانگونه که مشاهده کردید، یکی از وظایف مهم کارشناسان امنیت، انجام ارزیابیها و ممیزیهای امنیتی است. بهطور معمول، توصیه میشود ارزیابیها و ممیزیها را در بازههای زمانی کوتاهمدت انجام دهید تا مطمئن شوید آسیبپذیری ناشناختهای روی یک سیستم و بهویژه وبسرورها وجود ندارد.
نوعی ماده خاموش کننده است که اخیراً توسعه یافته و جایگزین ماده ای به نام هالون 1211 (Halon 1211) شده است. هالون 1211 در کپسول های آتش نشانی استفاده می شد که مشکلات زیادی برای سلامتی انسان دارد و از مواد آسیب رسان به لایه اوزن است. از نظر عملکرد، FE36 شبیه به هالون 1211 است، اما 20 برابر برای انسان کم خطرتر بوده و آسیبی متوجه لایه ازون نمی کند.
از نظر عملکرد، FE36 شبیه به هالون 1211 است، اما 20 برابر برای انسان کم خطرتر میباشد
FE36 جایگزین شده، بسیاری از مشکلات هالون 1211 را ندارد. از این ماده برای آتش سوزی هایی با کلاس A، B و C و در مواقعی استفاده می شود که کاری از دست پودر، CO2 و آب ساخته نیست. این ماده در کپسول هایی با سیلندر فلزی و با عنوان مایع تحت فشار 15 نگهداری می شود تا در مواقع حریق به طرف آتش پرتاب شود. نام شیمیایی آن hexafluoropropane با فرمول شیمیایی HFC-236fa بوده و حداقل غلظت مورد نیاز آن برای خاموش کردن آتش 5،3٪ درصد است.
نحوه عملکرد کپسول آتش نشانی FE36
از این کپسول برای آتش سوزی های کلاس A و B و C استفاده می شود و به هنگام حریق، FE36 انباشته شده در داخل کپسول، به سمت آتش پرتاب می شود و با برقراری تعادل شیمیایی و جذب گرمای آتش حریق، منجر به خاموشی آن می شود. مهم ترین مزیت FE36 در این است که چون در دمای 4.4 درجه سانتیگراد، تبدیل به گاز می شود، پس از خاموش شدن آتش هیچ اثری از خود به جای نمی گذارد.
مزایای اطفاحریق FE36
زمانی که FE36 از کپسول آتش نشانی خارج می شود، فاقد بو بوده و اثر سمی ندارد. همچنین بعد از اتمام آتش سوزی، هیچ اثری از آن در محل آتش سوزی باقی نمی ماند. از دیگر ویژگی های مثبت آن غیر رسانا بودن است و در اثر شوک حرارتی هیچ گونه آسیبی به دستگاه های مکانیکی، برقی و الکترونیکی نمی زند. این ماده در عین حال که کارایی زیاد و عملکرد مناسبی دارد، به محیط زیست آسیب نزده و تهدیدی برای لایه ازون نیست. زمان مورد نیاز برای تخلیه این ماده از کپسول، کمتر از 10 ثانیه است و در سریع ترین زمان ممکن آتش را خاموش می کند. از آنجایی که این ماده ایمن است، می توان از آن در محیط های کاری استفاده کرد. این کپسول می تواند در دمای اتاق به خوبی عمل کند.
ویژگی های مثبت آن غیر رسانا بودن است و در اثر شوک حرارتی هیچ گونه آسیبی به دستگاه های مکانیکی، برقی و الکترونیکی نمی زند
فاکتورهای مهم fe36
گازی بی بو و پاک
هیچ گونه تاثیری در محل اطفا نمیگذارد
غیر سمی است و برای انسان خطری ندارد و در محیطهایی که انسانهای کار میکنند هم قابل استفاده است
یکی از مهمترین فاکتورهای این گاز غیر سمی است و برای انسان خطری ندارد و در محیطهایی که انسانهای کار میکنند هم قابل استفاده است
کپسول نگهدارنده FE36 که جزئی از تجهیزات آتش نشانی، در قسمت روی سیلندر، یک شیر ایمنی دارد که حداکثر ایمنی را فراهم می کند. برای بدنه سیلندر، از رنگ الکترواستاتیک استفاده شده است که این رنگ مقاومت بالایی در برابر خوردگی دارد.
کاربردهای کپسول آتش نشانی FE36
این کپسول که از تجهیزات اطفاء حریق در فضاهای مخصوص نگهداری سرورها، رایانه ها، بایگانی های ارزشمند، تجهیزات آزمایشگاهی، تجهیزات مخابراتی، تأسیسات دریایی، بیمارستان ها، بانک ها، موزه ها و موارد این چنینی کاربرد دارند. برای خاموش کردن آتش سوزی محفظه موتور ماشین نیز استفاده می شود.
قیمت کپسول آتش نشانی FE36
قیمت FE36 با توجه به کیفیت سیلندر نگهداره، عملکرد و … تعیین می شود. یک کپسول آتش نشانی FE36 باکیفیت، ویژگی های زیر را دارد:
بدنه ضخیمی دارد.
بیمه آن معتبر است.
جنس شیلنگ و سایر متعلقات آن خوب است.
روی بدنه آن برچسب شرکت فروشنده و شارژ کننده وجود دارد.
کارت تاریخ شارژ و یا فروش دارد.
شارژ کپسول FE36
از آنجایی که مواد داخل این کپسول فاسد نمی شود، نیاز به شارژ سالانه ندارد.
مزیت بزرگ این کپسولها آن است که میتوان بدون داشتن یک سیستم اطفای حریق و پا پنل اطفا از آنها با تیوب های حساس به گرما برای داخل رک ها استفاده نمود
شرکت پیشران صنعت ویرا با اساس نامه اتوماسیون صنعتی و کنترل ابزار دقیق و ساخت تابلوهای برق فشار قوی و ضعیف از سال 92 تاسیس گشت و ازهمان ابتدا در حوزه کاربرد ابزار دقیق در bms و سپس تولید و ساخت آنها قدم نهاد و در ادامه مسیر توانست با اتکا به تجربیات چندین ساله و استخدام نیروهای متخصص برق عملا جزو شرکتهایی باشد که محصولات قابل اتکایی با عناوین مانیتورینگ شرایط محیطی اتاق سرور -کنترلرهای دمای دیتا سنتر -دیتالاگرهای سردخانه و انبار -هشدار دهنده های دمای یخچال و فریزر و شمارشگرهای نمایشگاهی و فروشگاهی و تابلوهای برق متنوع با کاربردهای مختلف روانه بازار نماید در حال حاضر سیستمهای کنترل دما و رطوبت اتاق سرور این شرکت تنها سیستم مبتنی بر سخت افزار صنعتی plc-hmi در ایران است.