Selling Cyber Insurance Without Risk Governance Is a National Failure so The Hard Truth:
Titles Are Growing, but Problem Solving Is Not!

شاید تلخ‌ترین بخش ماجرا اینجاست که هر طرف را که نگاه می‌کنیم، کمتر کسی به‌دنبال حل ریشه‌ای مسئله است، بیشتر تمرکزها بر نمایش، عنوان، پست، رزومه و انباشت موقعیت‌های ظاهری است، نه بر ساختن زیرساخت واقعی.

بحث بیمه سایبری در ایران جدی‌تر شده و شرکت‌ها به‌دنبال ارائه پوشش‌های برای حوادث سایبری هستند. اما مسئله مهمی وجود دارد که کمتر درباره آن صحبت می‌شود: آیا واقعا سازمان‌های ما زیرساخت لازم برای ورود به فضای بیمه سایبری را دارند؟

واقعیت این است که اغلب کسب‌وکارها هنوز ساده‌ترین مؤلفه‌های حکمرانی ریسک را ندارند. بسیاری از سازمان‌ها حتی یک فهرست دقیق دارایی‌ها (Asset Inventory) ندارند، نه دارایی‌های فناوری، نه دارایی‌های داده‌ای و نه دارایی‌های حیاتی کسب‌وکار. وقتی دارایی مشخص نباشد، ارزش‌گذاری آن، سنجش ریسک، تخمین خسارت و در نهایت نرخ‌گذاری بیمه غیرممکن است که هیچ جوک مضحکی است و‌باز دری از درهای رانت و فساد🥸

در کنار این موضوع، مدیریت ریسک سازمانی (ERM) نیز در اکثر کسب‌وکارها یا وجود ندارد یا صرفا یک سند تشریفاتی است. در دنیا، ریسک سایبری باید بخشی از سبد کل ریسک سازمان باشد و ارزش مالی توقف خدمات، نشت داده یا اختلال عملیاتی کاملا شفاف محاسبه شود. اما در ایران مشخص نیست توقف یک سرویس کلیدی چقدر خسارت می‌زند، یا از دست رفتن داده‌های مشتری چه اثر مالی و اعتباری دارد. وقتی این اعداد وجود ندارند، بیمه‌گر بر چه مبنایی باید ریسک را قیمت‌گذاری کند؟!

از سوی دیگر، سطح دفاع سایبری اکثر سازمان‌ها با استانداردهای جهانی فاصله جدی دارد. بیمه‌گر در دنیا قبل از صدور بیمه‌نامه، وضعیت SOC، IR، بخش‌بندی شبکه، فرآیندهای پاسخ‌به‌حادثه، تمرین‌های مدیریتی و گزارش‌های واقعی آزمون نفوذ را بررسی می‌کند. اما در کشور ما، اغلب این اقلام یا وجود اثر بخش و واقعی ندارند یا صرفا در سطح ادعا مطرح می‌شوند. نتیجه این می‌شود که بیمه‌گر عملا نمی‌داند با چه حجمی از تهدید و چه سطحی از ضعف دفاعی روبه‌رو است.

این ترکیب دارایی نامشخص، ریسک نامشخص و بلوغ امنیتی نامشخص باعث می‌شود بیمه‌نامه سایبری بیشتر شبیه یک قرارداد صوری است و مشکل زمانی بزرگ‌تر می‌شود که حادثه‌ای رخ دهد😵‍💫 سازمان خسارت می‌بیند، بیمه‌گر وارد بررسی می‌شود و به دلیل نبود کنترل‌های کافی یا عدم پایبندی به الزامات، بخش زیادی از خسارت ممکن است رد شود. در این شرایط، سازمان هم هک شده، هم خسارت نگرفته، و هم وارد بحران اعتباری شده است.

مسئله این نیست که بیمه سایبری بد است. مسئله این است که بازار ما هنوز آماده آن نیست. ما زیرساخت‌های اساسی مانند Asset Management، ERM، سنجش بلوغ دفاع سایبری و ارزش‌گذاری داده را نساخته‌ایم. بدون این ستون‌ها، بیمه سایبری نه تنها کمکی به مدیریت ریسک نمی‌کند، بلکه می‌تواند در روز حادثه بحران را دوچندان کند
یک‌بار با حمله و یک‌بار با رد خسارت.

محض رضای خدایان در کشورمان یک گزارش مفصل جرمیابی سایبری ندیدیم که بخوانیم و گزارش خودمون هم اجازه انتشار نداشت! بعد بیمه سایبری!

بیمه سایبری زمانی معنا و اثربخشی واقعی پیدا می‌کند که نظام حکمرانی ریسک و بلوغ امنیتی سازمان‌ها به سطحی برسد که ریسک‌ها قابل اندازه‌گیری، دارایی‌ها قابل ارزش‌گذاری و کنترل‌ها قابل راستی‌آزمایی باشند.

یعنی هیچکس‌نیست در بدنه ها، هیچکس!
ایرانی، شریف، متخصص، دلسوز، فرا سازمانی، میهن دوست و … آگاه!

https://www.linkedin.com/posts/alirezaghahrood_selling-cyber-insurance-without-risk-governance-activity-7405128030383345664-MDNB

The Age of Masks
Masks Everywhere
So
The Theater of Integrity
In an Era Where Deceit Speaks of Honor

شهر عجیبی شده است…

دزد، از نان حلال استوری می‌گذارد.
خبرچین، از مردانگی می‌گوید.
دروغ‌گو، از صداقت.
و بی‌ذات، از اصالت…

اگر از من بپرسید
به چه کسی نباید اعتماد کرد؟
می‌گویم: کسی که با همه دوست است.

دوست همه بودن
نیازمند هزاران نقاب است
هزاران دروغ
و هزاران تزویر.

بامداد

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.12.12

https://www.linkedin.com/posts/alirezaghahrood_the-age-of-masks-masks-everywhere-so-the-activity-7405198331066540032-i_i4

Cybersecurity Is the Price of Strategic Negligence
Security Fails Don’t Start in IT
They Start in Governance.

امنیت سایبری
موضوع فناوری نیست، مسئله حاکمیت و تداوم کسب‌وکار است

در بسیاری از جلسات هیئت‌مدیره، امنیت سایبری هنوز به‌عنوان یک موضوع فنی یا مسئولیت واحد IT تلقی می‌شود. این نگاه، دقیقا همان نقطه‌ای است که ریسک‌های راهبردی از آن‌جا آغاز می‌شوند.

واقعیت امروز این است که
امنیت سایبری مستقیما با بقای کسب‌وکار، اعتبار برند، انطباق قانونی و مسئولیت هیئت‌مدیره گره خورده است. از منظر هیئت‌مدیره، امنیت سایبری یعنی:
•اطمینان از تداوم عملیات (Business Continuity) در شرایط بحران
•کاهش ریسک‌های مالی، حقوقی و اعتباری
•محافظت از اعتماد ذینفعان، مشتریان و سهام‌داران
•پاسخ‌گویی شفاف به نهادهای ناظر و الزامات حاکمیتی
•و مهم‌تر از همه مدیریت ریسک، نه مدیریت ابزار

سؤال کلیدی برای مدیران ارشد این نیست که
چه فایروال یا چه تکنولوژی‌ای داریم؟
بلکه باید پرسید:
•آیا ریسک‌های سایبری ما شناسایی و اولویت‌بندی شده‌اند؟
•آیا سناریوهای اختلال، حمله و بحران تمرین شده‌اند؟
•آیا نقش‌ها و مسئولیت‌ها در زمان Incident شفاف است؟
•و آیا امنیت، بخشی از تصمیم‌های کلان تجاری ما هست یا فقط یک هزینه عملیاتی؟

سازمان‌هایی که امنیت سایبری را به سطح Boardroom می‌آورند،
آن را نه به‌عنوان مانع، بلکه به‌عنوان توانمندساز اعتماد، پایداری و رشد می‌بینند.

امنیت سایبری زمانی ارزش واقعی خود را نشان می‌دهد که
زبان آن از تکنولوژی به زبان ریسک، تصمیم و مسئولیت مدیریتی ترجمه شود.

Special Thanks to👍🏽😇🫶
Diyako Secure Bow

#Cybersecurity #BoardLevelSecurity #CISO #RiskManagement #CorporateGovernance
#BusinessContinuity #DigitalTrust #ExecutiveLeadership

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.12.13

https://www.linkedin.com/posts/alirezaghahrood_cybersecurity-boardlevelsecurity-ciso-activity-7405462645031780352-Z4OB

Why Privacy Policies Like Diligent’s Matter More Than Ever

In today’s digital economy, data is power but trust is everything. A well-defined Privacy Policy is no longer a legal formality; it is a core pillar of digital governance and cyber resilience. Diligent’s Privacy Policy reflects several critical principles that every modern organization must embrace:
First, transparency. Users have the right to know what personal data is collected, how it is processed, where it is stored, and for what purpose. This clarity is the foundation of digital trust.

Second, regulatory accountability. Strong privacy frameworks align with global regulations such as GDPR and modern data protection laws. Compliance is not just about avoiding penalties, it is about demonstrating maturity in governance, risk, and compliance (GRC).
Third, user rights and control. Modern privacy policies empower individuals with rights such as access, correction, deletion, and objection to processing. This shift from “data ownership by companies” to “data rights for users” is one of the most important transformations in cybersecurity governance.
Fourth, security by design. A privacy policy is only credible if it is backed by real security controls encryption, access management, breach response, and third-party risk management.

Finally, brand credibility in the digital age. Organizations that treat privacy seriously send a strong signal to customers, investors, and partners:
“We are built on trust, not just technology.”

Privacy is no longer a compliance checkbox.
It is a strategic asset.

Special Thanks to 👍❤️✔️
Diligent
https://lnkd.in/dagRY_WX

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.12.13

#PrivacyByDesign #DataProtection #CyberGovernance #GRC #DigitalTrust #CISO #RiskManagement #Compliance

https://www.linkedin.com/posts/alirezaghahrood_privacybydesign-dataprotection-cybergovernance-activity-7405509316734062592-S4m1

#DiyakoSecureBow
————————————
CISO as a Service (vCISO)

Malicious HTML:
The Quiet Dominant Vector in Email Attacks

Email remains the primary entry point for cyber incidents not because organizations ignore it, but because adversaries continuously adapt faster than traditional controls.

This data point is particularly telling
38% of email threats are now driven by malicious HTML documents. Not executable malware. Not obvious attachments. Just “simple” HTML files.

From a CISO and board level risk perspective, this trend highlights several uncomfortable truths
1. HTML Is Being Weaponized as a Trust Envelope
HTML files exploit user trust and technical blind spots.
They bypass classic attachment heuristics by
•Rendering convincingly legitimate login pages
•Embedding obfuscated redirects and credential harvesting logic
•Acting as lightweight droppers that evade AV first detection models

This is no longer “phishing as usual.” It is application layer social engineering.

2. Legacy Email Security Is Optimized for Yesterday’s Threats
Many secure email gateways were designed around
•Executables
•Macro enabled documents
•Known exploit signatures

But HTML based payloads live in the gray zone between content and code, where
•Signature based detection is weak
•Sandboxing is often skipped
•User context becomes the primary control

That is a governance failure, not a technical one.

3. Risk Ownership Is Shifting from IT to Leadership
When 38% of threats rely on deception rather than exploitation, the control surface changes
•Training alone is insufficient
•Technology alone is insufficient
•Risk accountability must sit with leadership

This is where vCISO models become critical aligning email security with:
•Business risk tolerance
•Identity and access strategy
•Incident response readiness
•Executive decision-making under uncertainty

4. Shadow AI Will Accelerate This Curve
With generative AI, attackers now mass produce:
•Highly contextual HTML lures
•Perfectly localized language
•Behaviorally tuned phishing flows

Meanwhile, unmanaged Shadow AI inside organizations introduces data leakage and impersonation risk, feeding the same attack ecosystem.

What Should Change Now
A mature response in 2025 requires
•HTML aware inspection and detonation
•Identity centric email security
•Executive level phishing simulations (not checkbox training)
•Continuous risk metrics reported to the board
•Explicit ownership of email risk within enterprise risk management

Email is no longer an IT hygiene issue.
It is a business continuity issue.

-Secure Business Continuity-
2025.10.13
——————————————————
#DiyakoSecureBow
#Cybersecurity #vCISO #CISO #ShadowAI #RiskManagement

https://www.linkedin.com/posts/diyako-secure-bow_diyakosecurebow-diyakosecurebow-cybersecurity-activity-7405475339252109313-t0K3

Freedom Is Measured by the Height of Thought
And
When I Felt Free From My Body, You Were There

شاید از آغاز سن نوجوانی یا شایدم جوانی
نه اصراری به زندگی دارم، نه اصراری به مرگ‌، اگر گلوله‌ای به سمتم شلیک شود، سرم را خم نخواهم کرد و اگر برای بریدن این رگ
تیغی در خانه نباشد، تا مغازه هم نخواهم رفت

من از حرف‌های سطحی بیزارم
دوست دارم درباره‌ی مرگ، عقل، معنای عمیق زندگی، تاریخ، کائنات، ماورا، دروغ‌هایی که گفتی،کودکی‌ات، چیزهایی که شب‌ها بیدارت نگه می‌دارند، ترس‌ها و دل‌نگرانی‌ها حرف بزنم

من آدم‌هایی را دوست دارم که عمق دارند
آن‌هایی که با احساس حرف می‌زنند‌و ذهنی متفاوت دارند

بگذریم، سقف آزادی
رابطه‌ی مستقیمی با قامت فکری مردم دارد، در جامعه‌ای که اندیشه‌ها کوتاه است، آزادی هم سقفی کوتاه دارد، وقتی سقف کوتاه باشد
آدم‌های بزرگ آن‌قدر سرشان به سقف می‌خورد، که حذف می‌شوند
و آدم‌های کوتوله، بی‌دغدغه جولان می‌دهند

مردم برای بقا، مدام سر خم می‌کنند، کوتاه می‌شوند
قوز می‌کنند و سقف‌ها پایین‌تر و پایین‌تر می‌آید
تا جایی که، دیگر کسی نمی‌تواند قد علم کند

اما…کاش میشد در خاک مادری نسل های تازه به خاک رسیده
در شرایط روحی، روانی … بهتر از من و هم نسل هایم رشد میکردن و تجربه لطیف زندگی در این کره خاکی با این حال

همه‌چیز می‌گذرد
کم یا بیش
تلخ یا آرام

و من
در تک‌تک لحظاتی که، گاهی از کالبد جسم حس رهایی داشتم
تو در یادم بودی، تک ستاره گذر زمان توی این ۲ سال و اندی😍♥️😇

کم و بیش می‌گذره
ولی الحمدلله
مردونه می‌گذره

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.12.13

https://www.linkedin.com/posts/alirezaghahrood_freedom-is-measured-by-the-height-of-thought-activity-7405647379623833601-83ww

#DiyakoSecureBow
————————————
CISO as a Service (vCISO)

OWASP Top 10 for Agentic AI Applications 2026
December 2025

The OWASP Top 10 for Agentic AI Applications 2026 is a globally peer reviewed security framework that identifies the most critical risks affecting autonomous and agentic AI systems. Developed through extensive collaboration with more than 100 industry experts, researchers, and security practitioners worldwide, this initiative reflects real world threat intelligence and operational experience.

As AI systems evolve from passive models into autonomous agents capable of planning, reasoning, taking actions, and making decisions across complex workflows, the associated risk landscape expands significantly. This Top 10 addresses those emerging challenges by focusing specifically on security, governance, and control risks unique to agentic architectures.

By distilling the broader OWASP GenAI Security guidance into a clear, actionable, and operationally focused format, the framework provides a practical starting point for organizations seeking to design, deploy, and operate agentic AI systems securely. It equips AI builders, security teams, and executive decision-makers with concrete guidance to reduce risk, strengthen trust, and enable responsible adoption of autonomous AI at scale.

-Secure Business Continuity-
2025.12.14
——————————————————
#Cybersecurity #vCISO ##CISO #threat #Risk_Management #OWASP #ApplicationSecurity

https://www.linkedin.com/posts/diyako-secure-bow_owasp-top-10-for-app-2026-activity-7405833939547942913-lbuq

The Cost of Financial Blind Spots
Three Teams, Three Years, One Critical Lesson in Financial Leadership

در سه سال گذشته، با وجود فعالیت پویا و رو به رشد شرکت در حوزه مالی با چالش‌هایی مواجه شد که از نظر شدت و اثرگذاری، برای من یادآور سال ۱۳۸۹ و تجربه‌ی شکل‌گیری اولین کسب‌وکارم بود. طی این دوره، سه مرتبه تیم مالی شرکت (مشاور، مدیر و کارشناس) به‌طور کامل تغییر کرد، تجربه‌ای پرهزینه، فرسایشی و سرشار از درس‌های سخت مدیریتی
در آخرین مورد، همزمان با ورود یک ممیز مالی برای بررسی دقیق‌تر، مدیر مالی شرکت به‌صورت ناگهانی و شبانه استعفا داد. پس از بررسی و تحلیل ساختار مالی، مشخص شد فرد مذکور فاقد تخصص، تسلط و شایستگی حرفه‌ای لازم برای این جایگاه بوده است. فارغ از مباحث اخلاقی، شرافت حرفه‌ای، یا حتی لقمه‌ی حلال و مسئولیت‌پذیری فردی، امروز با صراحت می‌پذیرم که ریشه‌ی اصلی این مسئله به خود من بازمی‌گردد، چراکه اشراف مالی من در سطحی نبود که بتواند به‌موقع انحراف را تشخیص دهد و کنترل مؤثر اعمال کند.
بی‌تردید می‌توان با چنین مواردی برخوردهای سخت، بازدارنده و حتی عبرت‌آموز داشت تا مانع از تکرار این آسیب‌ها برای سایر شرکت‌ها شد‌ اما در نهایت، مسئولیت راهبری، نظارت و انتخاب‌های کلیدی، پیش از هر چیز بر عهده‌ی مدیرعامل است. این تجربه، برای من یک یادآوری جدی بود که در کنار توسعه فنی، تجاری و برندینگ، بلوغ مالی یک الزام غیرقابل مذاکره برای بقای هر کسب‌وکار است.

حالا مقایسه نظام تأمین اجتماعی ایران با مدل‌های جهانی
چرا فرآیندها در ایران فرسایشی و در جهان چابک‌اند؟

تأمین اجتماعی، ستون فقرات امنیت اقتصادی هر جامعه است. کارکرد این نهاد، تضمین حداقل معیشت در شرایط بیکاری، بیماری، ازکارافتادگی و بازنشستگی است. اما تجربه عمومی و تخصصی در ایران نشان می‌دهد که این نهاد به‌جای حامی اجتماعی، اغلب به یک ساختار فرسایشی، کند، پرتنش و غیرقابل پیش‌بینی تبدیل شده است.
این گزارش، به‌صورت تحلیلی، تفاوت مدل ایران با مدل‌های موفق جهانی را بررسی می‌کند.

وضعیت ایران: یک نظام سنگین با منطق دهه ۵۰
-مشکلات ساختاری
تعدد قوانین متناقض
تصمیم‌گیری‌های چندلایه
تمرکز شدید اختیار در سطوح بالا
فرآیندهای کاغذمحور یا شبه‌دیجیتال
- مشکلات فناوری
عدم یکپارچگی دیتابیس‌ها
قطعی و کندی سیستم‌ها
نبود تبادل داده برخط با سایر نهادها (مالیات، ثبت احوال، بانک‌ها)
- پیامدها
تأخیرهای چندماهه در پرداخت‌ها
سردرگمی بیمه‌شدگان
فرسودگی نیروی انسانی
شکل‌گیری نارضایتی اجتماعی مزمن

مدل کشورهای توسعه‌یافته (اروپا، کانادا)
ویژگی‌های کلیدی:
دیجیتال‌سازی کامل خدمات (Digital-by-Default)
استفاده از هویت دیجیتال ملی (eID)
قوانین شفاف، بدون بخشنامه‌های متناقض
تعریف SLA رسمی برای همه خدمات
امکان پیگیری لحظه‌ای وضعیت درخواست
نتیجه:
ثبت درخواست = چند دقیقه
بررسی = چند روز
پرداخت = اتوماتیک
بدون نیاز به مراجعه حضوری
در این کشورها:
تأخیر یک خطای سیستمی قابل پیگیری است، نه یک وضعیت عادی

ریشه اصلی تفاوت کجاست؟
مشکل اصلی نه کمبود تکنولوژی است، نه کمبود نیروی انسانی.
تفاوت واقعی در این سه عامل است:
نوع حکمرانی (Governance Model)
شفافیت قانون‌گذاری
استفاده واقعی از داده و اتوماسیون

در ایران:
فناوری روی ساختار معیوب سوار شده
در جهان:
ساختار اصلاح شده و فناوری در قلب تصمیم‌سازی قرار دارد

هیچ سامانه‌ای به‌تنهایی مشکل را حل نخواهد کرد

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.12.14

https://www.linkedin.com/posts/alirezaghahrood_the-cost-of-financial-blind-spots-three-teams-activity-7405837706179862528-hkKd

Together Through Every Trap: The Power of Support

گاهی مربی خوب
نه کسی است که راه را بلد است
نه کسی که فقط دستور می‌دهد…

مربی خوب
کسی است که دستت را می‌گیرد، حتی وقتی خودش خسته است،
حتی وقتی پایش در تله‌های زندگی گیر کرده🤓

او مسیر را برایت هموار نمی‌کند، بلکه نمی‌گذارد تنها از آن عبور کنی.

بزرگ‌ترین هدیه یک مربی
دانش نیست
تجربه نیست
حتی ساید صرف یک موفقیت هم نیست…

احساس امنیت در مسیر رشد است.

#مربی_خوب #رشد #یادگیری
#انسانیت‌ #زندگی #مسیر

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.12.14

https://www.linkedin.com/posts/alirezaghahrood_aetaezaeqahyabraewaewaeq-aezaecaex-ahyaepaexagvahyaezahy-activity-7406024997649022976-N3e6

Threat Research | Malware Intelligence
PyStoreRAT Intelligence Report
December 2025

This intelligence report delivers an in depth technical analysis of PyStoreRAT, a Python based Remote Access Trojan (RAT) exhibiting a modular, stealth oriented design tailored for persistent access and flexible post compromise operations.

The report dissects PyStoreRAT’s core architecture, detailing how its components interact to enable resilient command and control (C2) communications, dynamic tasking, and adaptive execution flows. Special focus is placed on the malware’s persistence mechanisms, illustrating how PyStoreRAT maintains long term footholds across compromised environments while minimizing detection.

A comprehensive examination of the command retrieval and tasking model reveals how the malware decouples instruction delivery from execution logic, allowing operators to dynamically update behaviors without redeploying the core implant. This design significantly enhances operational agility and reduces the observable footprint typically associated with traditional RAT families.

Finally, the report analyzes PyStoreRAT’s modular execution framework, demonstrating how additional capabilities can be selectively loaded, executed, and removed at runtime. This modularity not only supports tailored attack campaigns but also complicates forensic analysis and defensive attribution.

Overall, PyStoreRAT exemplifies a new generation of low noise, high flexibility malware, reflecting the broader evolution of threat actor tooling toward adaptive, service oriented malicious architectures.

Special Thanks to🙏♥️😇👍🏽
Morphisec

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.12.15

https://www.linkedin.com/posts/alirezaghahrood_threat-analysis-2025-activity-7406070383654858752-All8

Profit as a Moral Compass
دو‌رویی و منافق محوری، شکل رایج بقا در این حوالی🫨

حالا که کمی آب از آسیاب افتاده…

حالا که کمی آب از آسیاب افتاده، خیلی‌ها شروع کرده‌اند به حرف‌زدن.
مثل فلان مسول، خبرنگار ‌و مدیر عامل فلان شرکت!

نه آن روز که باید می‌ایستادند
نه آن لحظه که اطلاع‌رسانی می‌توانست جلوی خسارت را بگیرد
بلکه بعد از عبور موج، وقتی هزینه‌ای در کار نیست.

مسئله فقط کسانی نیستند که خط سفید را پذیرفتند.
مسئله حتی آن‌هایی نیستند که نپذیرفتند اما سکوت کردند.
مسئله، آن‌هایی هستند که بعد از امن‌شدن فضا، شجاع می‌شوند.

شجاعت بدون هزینه
موضع‌گیری بدون ریسک
و حقیقتی که فقط وقتی گفته می‌شود، که دیگر چیزی را تغییر نمی‌دهد.

این همان جایی است که
اخلاق، تبدیل به روایت می‌شود
نه کنش.

در چنین فضای، اصول برای زمان آرامش ذخیره می‌شوند
نه برای لحظه‌ی تصمیم.

و بعد تعجب می‌کنیم، چرا چیزی از میهن باقی نمانده!
وقتی ایستادن را به بعد موکول کردیم و الان نه را جایگزین مسئولیت کردیم.

حالا که آب از آسیاب افتاده، گفتن آسان است.
اما آن‌چه جامعه را می‌سازد، همیشه در لحظه‌ای اتفاق می‌افتد
که گفتن، پرهزینه است.

و‌ نکته اخر در این عرصه نقاب در شهوت پست و‌ مقا‌م دو زار ده شاهی مادیات، چند نفر شرایط خط سفید را اگر داشتند، نمی پذیرفتن!؟ چند درصد آمار این موضوع در صورت واقعیت، حقیقتی بود تلخ و موازی است با مثلا واقعیت پنهان!

پ ن: این اصل در هر موضوعی صدق میکند، حواشی موضوعات اخیر در ر‌پ فارسی، موضع گیری ها و بویژه سایر مسله های اجتماعی … و ما مردمی جو‌ زده تک بعدی! + به دور از خرد، تامل و آگاهی!

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.12.15

https://www.linkedin.com/posts/alirezaghahrood_profit-as-a-moral-compass-%D8%AF%D9%88%D8%B1%D9%88%DB%8C%DB%8C-%D9%88-%D9%85%D9%86%D8%A7%D9%81%D9%82-activity-7406077274535735296-F0E3

#DiyakoSecureBow
————————————
CISO as a Service (vCISO)

Inside the Five Most Dangerous Emerging Attack Techniques: Expanded Insights from the SANS Keynote at RSAC 2025 December

This whitepaper delivers an in depth analysis of the five most critical and rapidly evolving attack techniques currently reshaping the cybersecurity threat landscape. Drawing directly from the SANS keynote at RSAC 2025, it goes beyond surface level trends to examine how modern adversaries are exploiting cloud environments, identity layers, automation, and trust boundaries at scale.

Each chapter is structured to move from threat context to real world case studies, and ultimately to actionable defensive strategies. The focus is not theoretical security, but operational resilience what security leaders must understand and implement now to remain ahead of highly adaptive threat actors.

Authored by leading SANS instructors and globally recognized practitioners, the whitepaper combines deep technical insight with pragmatic guidance that security teams, architects, and executives can apply immediately. It is particularly valuable for organizations navigating cloud first architectures, hybrid environments, and complex supply-chain dependencies.

Key takeaways include:
•How attacker tradecraft is evolving faster than traditional detection models
•Why cloud misconfigurations and identity abuse remain primary entry points
•What security teams must change in architecture, monitoring, and governance
•Practical recommendations to reduce exposure and improve cyber resilience

This is essential reading for CISOs, security architects, cloud leaders, and risk owners seeking to translate cutting-edge threat intelligence into decisive, defensible action.

Special Thanks to🤗👍🏽😇🙏
SANS Institute
SANS Cyber Academy
SANS Technology Institute
RSA Security

-Secure Business Continuity-
2025.10.14
——————————————————
#Whitepaper #CloudSecurity
#ThreatResearch #RSAC2025

https://www.linkedin.com/posts/diyako-secure-bow_5-most-dangerous-new-attack-techniques-2025-activity-7405845257621311488-EXh3

When Knowledge Loses Its Promise
Educating a Generation in an Age of Moral Inversion

وقتی دانش وعده‌اش را از دست می‌دهد
آموزش یک نسل در عصر وارونگی اخلاقی👀

چگونه می‌توان نسل جدید را قانع کرد که آموزش، کلید موفقیت است
وقتی هر روز با تحصیل‌کردگان با سطح درآمدی سخت و ناتوان از زیستنن شرافتمندانه روبه‌روست و در مقابل، دزدهایی را می‌بینند
که ثروت، قدرت و تریبون دارند؟

چگونه می‌توان از ارزش یادگیری سخن گفت
در جامعه‌ای که رابطه، رانت و وقاحت
از دانش، تلاش و شایستگی جلو زده‌اند؟

با این نرخ سقوط فرسایشی و بی‌صدا در همهمه
با این ابتذال شتاب‌گرفته‌ای که گوی سبقت را
از هر ترند و هر الگوی جعلی موفقیت ربوده
آموزش دیگر نه مسیر پیشرفت
که برای بسیاری شبیه یک شوخی تلخ شده است.

مسئله این نیست که نسل جدید تنبل است یا بی‌انگیزه
مسئله این است که تناقض را با چشم می‌بیند
بی‌عدالتی را لمس می‌کند
و دیگر ... نه نمی شود!

اگر آموزش قرار است دوباره معنا پیدا کند
باید نتیجه داشته باشد
باید به کرامت، امنیت و امکان زندگی شرافتمندانه ختم شود
وگرنه هیچ نسلی را نمی‌توان
با توصیه‌هایی که واقعیت هر روزه آن‌ها را نقض می‌کند،
پرورش داد.

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.12.15

https://www.linkedin.com/posts/alirezaghahrood_when-knowledge-loses-its-promise-educating-activity-7406360028871311361-VlUg

Signature Based Security
وقتی بدافزارها خود را بازنویسی می‌کنند | پایان اتکای صرف به امضا ها

تصور کنید بدافزاری در یک سیستم فعال شود که در هر بار اجرا یا حتی هر بار مشاهده فایل، کدی کاملا متفاوت تولید می‌کند، بدون امضای ثابت، بدون الگوی تکرارشونده و حتی با استفاده از مدل‌های زبانی بزرگ (LLM) برای بازنویسی پویا و هوشمند خود.

این سناریو دیگر فرضی نیست.
بدافزارهایی مانند PromptFlux نمونه‌ای روشن از نسل جدید تهدیدات سایبری مبتنی بر هوش مصنوعی هستند، تهدیداتی که عملا بسیاری از ابزارهای سنتی تشخیص بدافزار را بی‌اثر می‌کنند.

تحول اجتناب‌ناپذیر در راهبردهای دفاع سایبری
در مواجهه با این نوع تهدیدات، مدل‌های دفاعی مبتنی بر Signature، Hash و IOCهای ایستا عملا کارایی خود را از دست می‌دهند. دفاع مؤثر، نیازمند تغییر پارادایم از تشخیص شکل‌به درک رفتار و نیت است.

۱. تحلیل رفتاری به‌جای شناسایی امضا (Behavior over Signature)
تمرکز دفاع باید از کد ثابت‌به رفتار واقعی برنامه در زمان اجرا منتقل شود. همگی می‌توانند نشانه‌هایی از رفتار مخرب باشند، حتی اگر کد ظاهرا بی‌ضرر به نظر برسد.
برای مثال:
• برقراری ارتباط غیرمنتظره یک اسکریپت ساده با APIهای LLM
• تولید پویا و مکرر کد
• الگوهای غیرعادی در مصرف منابع یا دسترسی‌ها

۲. تمرکز بر نیت کد، نه ظاهر آن (Intent-Based Detection)
سیستم‌های امنیتی پیشرفته باید بتوانند نیت رفتاری (Behavioral Intent) را استخراج و تحلیل کنند، نه صرفا. Syntax یا Pattern کد را.
بدافزارهای مجهز به LLM می‌توانند:
• ساختار، نحو و منطق پیاده‌سازی خود را دائما تغییر دهند
• اما هدف عملیاتی آن‌ها ثابت می‌ماند (دسترسی، ماندگاری، سرقت داده، فرمان‌پذیری)

۳. دفاع تطبیق‌پذیر و پیوسته (Adaptive & Continuous Defense)
در جنگ هوش‌ها، سرعت یادگیری و تطبیق تعیین‌کننده بقاست.
مدل‌های امنیتی باید:
• به‌صورت خودکار از داده‌های جدید یاد بگیرند
• الگوهای تهدید نوظهور را سریعا در سیاست‌های دفاعی اعمال کنند
• اجرای کدهای ناشناخته را در محیط‌های ایزوله (Sandbox / Detonation Environment) انجام دهند تا ریسک نفوذ به حداقل برسد

جمع‌بندی راهبردی
امنیت سایبری آینده، بر سه ستون اصلی استوار است:
1. درک رفتار به‌جای شناسایی امضا
2. تشخیص نیت واقعی کد به‌جای ظاهر آن
3. انطباق مداوم در برابر تهدیدات خودآموز

سازمان‌هایی که بتوانند هوش مصنوعی را نه‌تنها در حمله، بلکه در دفاع سایبری به‌کار بگیرند، در برابر نسل جدید بدافزارهای هوشمند و خودتکاملی، مزیت راهبردی خواهند داشت.

پ ن: تدوین دوره های سفارشی سازی امنیت سایبری سازمانی

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.12.16

#امنیت_سایبری
#هوش_مصنوعی
#ThreatResearch
#Malware
#AI_Security
#CyberDefense

https://www.linkedin.com/posts/alirezaghahrood_aepaetaeuahyaesabraebaepahyaeqaezahy-aevaewaecabraetaedaeuaewaehahy-activity-7406595557755949057-yqVS

Continuous Learning, Community Impact, and Appreciation to ISACA

Over the past months, I have had the opportunity to participate in a diverse and thoughtfully designed set of ISACA webinars and professional education sessions. These programs addressed a broad spectrum of contemporary challenges facing the cybersecurity, risk, audit, and governance community well beyond purely technical considerations.

The sessions covered critical domains such as:
_Governance, Risk, and Compliance (GRC) and the harmonization of risk and compliance through automation.
_Cyber risk management in the age of AI, including building a solid business case for AI adoption.
_Cyber resilience, vulnerability and patch management through compliance-driven strategies.
-Foundations of IT audit and preparing the next generation of IT auditors.
-Leadership development, career growth, and talent pipeline building for cybersecurity and audit functions.
-People centered security and change management, leveraging frameworks such as ADKAR.
-And notably, the role of professional communities and the art of building effective, value-driven ecosystems.

What stands out across these learning experiences is ISACA’s holistic and pragmatic perspective connecting security, business objectives, human factors, and governance into a coherent model. This approach enables professionals to address real organizational needs rather than focusing solely on tools, controls, or isolated technical solutions.

I would like to express my sincere appreciation to ISACA for its continued leadership in advancing professional knowledge, fostering global collaboration, and strengthening the cybersecurity and governance community. By cultivating an active, inclusive, and forward looking professional ecosystem, ISACA plays a vital role in elevating both individual practitioners and organizational maturity worldwide.

Today, continuous learning, professional dialogue, and community engagement are no longer optional. They are essential responsibilities for anyone committed to managing digital risk and building sustainable cyber resilience.

Special Thanks to 👍❤️🙏😇
ISACA

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.12.16

https://www.linkedin.com/posts/alirezaghahrood_cpe-certificates-isaca-2025-activity-7406645525527040001-s4bp

Grateful for the Journey, Proud of the People
From Experience to Gratitude

من که نفهمیدم بهر چی ا‌ومدم روی‌ زمین، اما خوش گذشت
فارغ از همه بالا و پایین ها
دوست داشتم همکاری با این مجموعه رو اولین تجربه بعد از مدیر پروژه های امنیت بعد از قریب به ۹-۱۰ سال کار کارشناسی اولین تجربه مدیر بودن به اعتماد مدیریت برام جذاب بود و‌دوس داشتم و کلی یاد گرفتم♥️😇
Borna Taghavi
Babak بابک
Behshad Behzadi
SEPEHR KALANI MOGHADDAM
kamran mohammadi
Mohsen Houshmand Sarvestani

و ما بقیه دوستان و همکاران غایب در این تصویر در سرو رایانه
Arash BojnordiAzad
Saman Salamat
Amir Safari Vahed
amir sheikh bikloo
Majid Salek Nader
Omid Koushki
Bahram Arfaei
Payam Yousefi Mokri
Sharareh Razmjou, BBA, MBA (Business Analytics)
Vahid Lotfi
Elahe Ghanbari
Alireza Abrishami

و‌ همه سرویا
ندا، خانم گنجییان ، اقای حق طلب بزرگ( روحشان قرین رحمت)، آقای شاکری، آقای چنگیزی( روحشان قرین رحمت) و کلیه همکاران … که اسامی زیاد بوده و است 🙏🤗
SarvRayaneh

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.12.17

https://www.linkedin.com/posts/alirezaghahrood_grateful-for-the-journey-proud-of-the-people-activity-7406906027142660096-Rr7-

#DiyakoSecureBow
————————————
CISO as a Service (vCISO)

AI Agent Security
Architecture, Attack Surface, and Defense

A Practical 90Day Roadmap for Securing Agentic AI Systems | 2025

As organizations rapidly adopt agentic AI systems capable of autonomous planning, decision making, and execution the traditional security perimeter is no longer sufficient.
AI agents are not just applications; they are actors with authority, context, memory, and access.

This whitepaper delivers a practical, architecture driven security framework for organizations deploying or planning to deploy autonomous AI agents across enterprise environments.

What this guide addresses:

Agentic AI Architecture & Trust Boundaries
A clear breakdown of agent components, decision loops, tool invocation layers, memory stores, and execution environments and where security controls must be enforced.

Expanded Attack Surface of AI Agents
From prompt injection and tool misuse to memory poisoning, agent to agent privilege escalation, and unauthorized action execution.

MCP Hardening Framework (Model Context Privilege)
A structured approach to securing:
•Models (LLMs, fine tuned agents, orchestration logic)
•Context (memory, embeddings, retrieved data, system prompts)
•Privileges (API access, identity, execution rights, autonomy scope)

Defensive Controls for Agent Risk Reduction
Including:
•Least privilege execution and scoped autonomy
•Runtime monitoring and behavior validation
•Policy based action gating and human in the loop checkpoints
•Secure tool interfaces and auditability by design

90-Day Security Implementation Roadmap
A prioritized, effort aware checklist covering:
•Governance and ownership models
•Secure architecture baselines
•Control implementation and validation
•SOC, IR, and continuous monitoring alignment

Why this matters
Agentic AI failures are not theoretical.
A single compromised agent can:
•Perform unauthorized actions at machine speed
•Propagate errors across interconnected workflows
•Undermine trust, compliance, and operational resilience

Security, governance, and resilience must be embedded by design not added after deployment.

This whitepaper is written for CISOs, CTOs, AI platform owners, security architects, and board level stakeholders who need actionable guidance not abstract principles.

If your organization is experimenting with or scaling autonomous AI agents, this roadmap is not optional.

Special Thanks to♥️👍🏽😇🙏
CrowdStrike

-Secure Business Continuity-
2025.10.17
——————————————————
#AIOps #AgenticAI #CISOasaService
#AISecurity #CyberGovern #vCISO

https://www.linkedin.com/posts/diyako-secure-bow_ai-agent-security-architecture-2025-activity-7406969444993945600-xvZq

When Survival Replaces Dignity
We Laugh, Because Screaming No Longer Works
Normalization Is the Final Stage of Decay

اگر قرار باشد کیفیت یک عقیده را بسنجیم
باید ببینیم پیروانش چه خدمتی به جامعه انسانی کرده‌اند.

بگذریم

ما مانده‌ایم میان دو افراط:
تعصبات کور نسل قبل و افسارگسیختگی بی‌تعریف نسل بعد.
نه از سنت، تعادل آموختیم و نه از روشنفکری، مسئولیت.

همه‌چیز عادی‌شده: حرام‌خواری، رهاشدگی، پست‌فروشی، سیل اخبار منفی،غارت‌های تکرارشونده…

و حالا تورم، نه به‌عنوان یک بحران بلکه به‌عنوان یک وضعیت نرمال.

دیگر مسئله، عدد و درصد نیست، مسئله این است که
فشار تورم بی‌صدا‌وارد سفره، روابط و امنیت روانی خانواده‌هایی شده
جز آن ۳–۴٪ خاص .

واکنش جمعی ما چیست؟ خشم؟ مطالبه؟ اصلاح؟
نه… یک کلیپ طنز تلخ و خنده‌ای زهرآلود و عبور.

وقتی فاجعه عادی می‌شود
طنز آخرین پناه تلقی می شود
که دیگر صدا ها شنیده نشده و نمی‌شود.

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.12.18

🔔 هشدار پلیس دبی | Dubai Police Public Safety Alert

پلیس دبی با توجه به ناپایداری شرایط جوی در ساعات آینده، از شهروندان و ساکنان خواسته است نهایت احتیاط را رعایت کنند و از تردد غیرضروری تا ظهر روز جمعه خودداری نمایند.

این هشدار صرفا یک اطلاع‌رسانی عمومی نیست، یادآور یک اصل مهم است:
ایمنی، همیشه مقدم بر برنامه‌هاست.

در چنین شرایطی:
• تصمیم‌های عجولانه ریسک‌زا هستند
• آگاهی و تبعیت از هشدارهای رسمی، نشانه مسئولیت‌پذیری است
• پیشگیری، کم‌هزینه‌تر از مواجهه با بحران است

لطفا هشدارهای رسمی را جدی بگیریم و ایمنی خود و دیگران را در اولویت قرار دهیم.

Special Thanks to 😇♥️🙏👍🏽
Dubai Police HQ
Dubai Police
Dubai Police Academy
گاهی هشدار فقط مربوط به هوا و طوفان نیست، بعضی وقت‌ها، نشانه‌ای است برای مکث… برای آهسته‌تر رفتن، دیدن اطراف و تصمیم گرفتن آگاهانه‌تر.

در جهانی که بی‌ثباتی تبدیل به نرم شده، چه در طبیعت، چه در اقتصاد، چه در امنیت، هوشمندی یعنی احتیاط، آمادگی و انتخاب درست زمان حرکت، امشب، شاید بهترین تصمیم این باشد که
کمی بایستیم
گوش بدهیم
و قبل از هر قدم بعدی، شرایط را بسنجیم🤓

بعد در مملکتم
بازیکن سطح پایین حرف های رکیک در صدای ملی می زند، عذر هم نمی خواد، تشویق به جو خوردن به جای برنج، منتظر پلی اف قیمت ها با نرخ جدید بنزین، … کافی یک دور باطل در اخبار بزنیم
قشنگ سکانس اخر کارتون رابین هود همهمه و خر تو الاغ شده بود و فقط تصویر اینجای کارتون گیر کرده! درد را باید گفت و مطالبه کرد!

اگر بخواهی، می‌توانیم، اما اگر بخواهیم

#DubaiPolice
#PublicSafety
#WeatherAlert
#StaySafe
#RiskAwareness
#UAE

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.12.18

https://www.linkedin.com/posts/alirezaghahrood_dubaipolice-publicsafety-weatheralert-activity-7407480699785568256-XgOY

1. WARNING: CVE-2025-20393 is rated 10.0, with no patch available.

Cisco confirmed active exploitation of an AsyncOS zero-day by a China-linked APT. The flaw allows root-level command execution on affected email security appliances and enables attackers to establish persistence.
Details and mitigations:
https://lnkd.in/dKZ5aRc2

2. A critical ASUS Live Update vulnerability is now on CISA’s exploited list.

CVSS 9.3, supply chain based, and tied to ShadowHammer, it embedded malicious code in signed updates for carefully chosen devices.
https://lnkd.in/dzW-DxTC

3. HPE patched a CRITICAL CVSS 10.0 flaw in OneView that allows unauthenticated remote code execution.

All versions before 11.00 are affected, with hotfixes for 5.20–10.20.No active exploits reported, but patching is urgent. Details here
https://lnkd.in/ddGsRZtm

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.12.19

https://www.linkedin.com/posts/alirezaghahrood_cisco-warns-of-active-attacks-exploiting-activity-7407599988215635968-3iGW