- وقتی فکر می‌کنی با خرید فلان سولوشن امنیتی، سازمان‌ات امن میشه! 😅
- وقتی فقط ظاهر امنیت برات مهمه، نه اصل ماجرا …!

#فان

✅ Channel
💬 Group

اطلاعیه جدید مرکز ماهر

با عنایت به لزوم آمادگی دستگاه‌های اجرایی در خصوص امنیت شبکه و سامانه‌های داده‌ورزی، ضروری است اقدامات مراقبتی زیر در شبکه، مراکز داده و اتاق‌سرور آن دستگاه در دستور کار قرار گرفته و سازو کار لازم برای حصول اطمینان از رعایت اقدامات، پیش‌بینی شود:

۱. در دسترس بودن مسئول فناوری اطلاعات دستگاه بصورت شبانه روزی
۲. اطمینان از قطع کلیه دسترسی‌های از راه دور مدیریتی
۳. ایران اکسس نمودن خدماتی که کاربر خارج از کشور ندارد
۴. اطمینان از ثبت لاگ تجهیزات شبکه، سامانه‌های اطلاعاتی و پایگاه‌های داده دستگاه و کفایت منابع لازم
۵. اطمینان از به‌ روز بودن تمامی سامانه‌های امنیتی، به‌ویژه ضد بدافزار
۶. رصد مداوم دارایی‌های سایبری دستگاه و امنیت آن‌ها توسط تیم یا افراد مسئول، الزاماً به‌صورت محلی
۷. اطمینان از رعایت کنترل دسترسی بین زون‌های مختلف شبکه، به ویژه خدمات بیرونی دستگاه از سامانه‌های اطلاعاتی داخلی (اداری)
۸. عدم تغییر در سامانه‌های اطلاعاتی موجود یا عملیاتی نمودن خدمت (سامانه اطلاعاتی) جدید
۹. کسب اطمینان از جداسازی داده‌های جاری از داده‌های آرشیوی و تهیه پشتیبان مناسب و نگهداری آن جدا از شبکه
۱۰. کنترل و رصد مکرر پارامترهای مختلف سرورها مانند دما وعملکرد صحیح فن سرورها برای بررسی هر نوع فعالیت غیرعادی
۱۱. قطع ارتباط ILO ها با اینترنت و قراردادن آن‌ها در یک Zone مجزا از شبکه
۱۲. اعلام هرگونه رفتار مشکوک در شبکه، کاربران و سامانه‌ها به مرکز ماهر
(شماره تلفن 88115724-021 یا آدرس پست الکترونیکی Report@Cert.ir)

تاریخ ابلاغ: ۱۴۰۴/۶/۱۸

#هشدار_سایبری #ماهر

✅ Channel
💬 Group

#فرصت_همکاری «کارشناس ارزیابی آسیب‌پذیری و تست نفوذ وب» در شرکت مهندسی سیستم یاس ارغوانی (وابسته به هلدینگ بهسازان بانک ملت)

توانایی‌های فنی:
- انجام فرآیند آسیب‌پذیری
- انجام تست نفوذ وب
- آشنایی با تحلیل کد و کشف آسیب‌پذیری‌ها (Code Review)
- شبیه‌سازی حملات سمت سرور و کلاینت در حوزه وب و شبکه
- آشنایی با مفاهیم اولیه رمزنگاری
- اسکن، شناسایی و ارزیابی آسیب‌پذیری‌های امنیتی و ارائه گزارش فنی
- تعامل با تیم مرکز عملیات امنیت در خصوص ارتقا سطح دفاعی

نیازمندی‌ها:
- داشتن درک عمیقی از Web OWASP Top 10، CVEs و Exploitهای وب
- توانایی کار با ابزارهای اسکن و شناسایی آسیب‌پذیری‌ها مانند Burp Suite، SQLMap، Nessus، Wireshark، Metasploit، Nmap، Kali و ...
- آشنایی با فرآیند تیم قرمز و MITRE ATT&CK مزیت محسوب می‌شود
- آشنایی با حداقل یکی از زبان‌های اسکریپت نویسی مانند Python، Bash، Powershell
- توانایی تحقیق و توسعه در خصوص چالش‌های جدید و توانایی یادگیری سریع
- نظارت بر کیفیت و صحت نتایج تست‌ها
- اولویت‌بندی ریسک‌ها و پیشنهاد اقدامات اصلاحی

نوع همکاری: به صورت تمام وقت
حقوق: توافقی
جنسیت: خانم/آقا

ارسال رزومه:
🗃 security@sys-yaas.com

✅ Channel
💬 Group

فصل دهم #کتاب "تیم قرمز حرفه‌ای" (تعیین محدوده بصورت نتیجه محور)

تالیف: جیکوب جی اوکلی
ترجمه: مهدی لقایی، سهیل هاشمی

فصل اول | فصل دوم | فصل سوم | فصل چهارم | فصل پنجم | فصل ششم | فصل هفتم | فصل هشتم | فصل نهم

📖 نسخه اصلی کتاب

✅ Channel
💬 Group

🚓 رئیس پلیس راهور فراجا (سردار سید تیمور حسینی) درباره چالش‌های موجود در حوزه شماره‌گذاری خودروها، گفت:

- یکی از مشکلات جدی پلیس راهور، امکان دستکاری اعداد فارسی روی پلاک‌هاست. به‌عنوان مثال، عدد ۲ به‌راحتی قابل تغییر به ۳ یا یک است، یا می‌توان برخی اعداد را با چسب یا رنگ دستکاری کرد.
- این در حالی است که در استاندارد جهانی، پلاک‌ها با اعداد لاتین صادر می‌شود و این اعداد به هیچ عنوان قابلیت تغییر و جعل ندارد.
- وی با اشاره به اقدامات آینده برای رفع این چالش، افزود: پلیس راهور در حال تدوین یک طرح جامع برای تحول در نظام شماره‌گذاری کشور است. یکی از پیش‌بینی‌ها در این طرح، تغییر شیوه درج اعداد پلاک‌ها مطابق با استانداردهای جهانی است.

✅ Channel
💬 Group

#فرصت_همکاری «متخصص امنیت وب» در شرکت ارمیا

- آشنایی کامل با استاندارد OWASP
- آشنایی با یکی از زبان‌های برنامه نویسی
- تسلط بر روش‌های تست نفوذ Web
- تجربه ی کار با زبان‌های اسکریپتی مثل Python و  bash
- تسلط کافی بر اصول و مفاهیم پایه شبکه و امنیت و لینوکس
- آشنایی با تکنیک ها و روش های تست نفوذ وب و شبکه
- آشنایی با تست نفوذ اپلیکیشن های اندرویدی
- آشنایی با ابزار های تست نفوذ و انواع Vulnerability Scanner
- آشنایی با پایگاههای داده

- داشتن گواهینامه دوره های تخصصی مانند CHFI، PWK، CEH و دوره‌های مرتبط SANS مزیت محسوب می‌گردد.
- دارای مدرک حداقل کارشناسی در یکی از رشته‌های نرم افزار، سخت افزار، برق و فناوری اطلاعات مزیت محسوب میشود.
- فقط در استان محل سکونت پذیرفته میشود.

ارسال رزومه:
🗃 hr@ermiagroup.ir

✅ Channel
💬 Group

کشورهایی که بیشترین سرمایه‌گذاری را در هوش مصنوعی #AI انجام دادند

✅ Channel
💬 Group

🍫 امنیت شکلاتی در سازمان‌ها

امنيتی كه فقط ظاهرى محكم دارد، اما در عمل با كوچكترين تهديد فرو مى‌ريزد …

#اینفوگرافیک #آگاهی_رسانی

✅ Channel
💬 Group

«ترس از سرزنش»، دشمن پنهان امنیت سایبری

آیا تجربه‌ای از این موضوع دارید؟

#جملات_ناب #هشدار #آگاهی_رسانی

✅ Channel
💬 Group

سومین وبینار بازیابی پس از حادثه | «عبور از بحران و بهبود ساختار DR پس از بحران»

شنبه، ۲۹ شهریور از ساعت ۱۹، در یک وبینار آموزشی رایگان یاد می‌گیریم به چه‌شکلی پس از عبور از بحران‌ها، با تحلیل Postmortem و مرور تجربه‌ها، ساختارهای پاسخ‌گویی و بازیابی (DR) را بهبود دهیم و سرویس‌های سازمان را ایمن‌تر از گذشته بازگردانیم.

در این رویداد، علاوه‌بر پاسخ به سوالات شرکت‌کنندگان به موارد زیر می‌پردازیم:
- تحلیل Postmortem
- اصلاح فرآیندها و معماری DR
- بازگردانی داده‌ها و Validate سرویس‌ها
- بازبینی SLA و SLOها
- تهیه Incident Report
- معرفی خدمات و محصول‌های آروان‌کلاد برای DR

🗓 شنبه ۲۹ شهریور ۱۴۰۴ ساعت ۱۹ الی ۲۱

از لینک زیر می‌توانید در این رویداد رایگان شرکت کنید:

🔗 evnd.co/UHtJb

#همایش_نمایشگاه_رویداد

✅ Channel
💬 Group

♻️ ترفند یک مسافر برای دریافت بیش از ۳۰۰ وعده رایگان با جابه‌جایی روزانه تاریخ پرواز!

مردی در چین با خرید یک بلیت درجه‌یک (First Class) قابل‌استرداد و تکرار یک الگوی ساده، توانست برای بیش از یک سال هر روز وارد سالن VIP فرودگاه بین‌المللی شی‌آن شود و بدون سوار شدن به هیچ پروازی، از پذیرایی و خدمات رایگان استفاده کند. او پس از صرف غذا، تاریخ همان پرواز را به «فردا» منتقل می‌کرد و روز بعد همین روند را از نو تکرار می‌کرد؛ نتیجه، بیش از ۳۰۰ وعدهٔ رایگان در یک سال بود.

- سالن‌های ویژه در فرودگاه‌ها برای دارندگان بلیت‌های گران‌قیمت طراحی شده‌اند و معمولاً مجموعه‌ای از خدمات شامل خوراک، نوشیدنی، اینترنت بی‌سیم، دوش و فضای استراحت ارائه می‌کنند. همین جذابیت، برخی را به جست‌وجوی راه‌هایی سوق می‌دهد تا بدون انجام سفر واقعی، صرفاً از این امکانات بهره ببرند.
- در این پرونده، مسافر هر بار با بلیتی معتبر وارد سالن می‌شد و پیش از زمان پرواز، رزرو خود را به روز بعد تغییر می‌داد. از منظر مقررات داخلی شرکت هواپیمایی، او شرط لازم برای ورود «داشتن بلیت فعال» را احراز کرده بود؛ بنابراین رفتار او ذیل «منطقهٔ خاکستری» قرار گرفت: استفادهٔ حداکثری از انعطاف مقررات، بی‌آن‌که صریحاً قاعده‌ای را نقض کند.
- پس از آن‌که کارکنان به الگوی تکراری او پی بردند، دسترسی‌اش متوقف شد؛ اما ماجرا به همین‌جا ختم نشد. مسافر بلیت قابل‌استردادش را لغو کرد و کل وجه پرداختی را «مطابق شرایط خرید» بی‌کم‌وکاست پس گرفت. به این ترتیب، پرونده بدون پیگرد حقوقی پایان یافت.
- این رویداد بار دیگر نشان داد که سیاست‌های بسیار منعطف در تغییر تاریخ و دسترسی خودکار به سالن‌ها، اگر بدون پایش رفتاریِ هوشمند اجرا شوند، می‌توانند زمینهٔ سوء‌استفاده ناخواسته را فراهم کنند.
- کارشناسان صنعت هوانوردی راهکارهایی مانند محدود کردن تعداد دفعات تغییر رایگان، ثبت هشدار برای الگوهای غیرعادی و جداسازی سطح دسترسی سالن از صرف «داشتن بلیت» را پیشنهاد می‌کنند.
- از منظر اخلاقی نیز پرسش مهمی برجاست: آیا هر استفادهٔ «قانوناً مجاز»، الزاماً «منصفانه» است؟ موافقان، مسئولیت را متوجه طراحی خدمات می‌دانند و مخالفان، چنین رفتاری را بهره‌برداری فرصت‌طلبانه از منابع محدود تلقی می‌کنند.
- فارغ از داوری اخلاقی، این پرونده نمونه‌ای روشن از چگونگی «هک‌کردن» یک سیاست خدماتی در عصر اتوماسیون است.

درس امروز رفیق
❕️ هرجا قوانین خیلی منعطف باشن و نظارت هوشمند وجود نداشته باشه، دیر یا زود یه نفر راه سوءاستفاده رو پیدا می‌کنه. درست مثل دنیای سایبری که بعضیا به‌جای #هک فنی، از ضعف سیاست‌ها بهره می‌برن …

✅ Channel
💬 Group

نبوغ آمیزترین دستگاه #شنود تاریخ!

✅ Channel
💬 Group

آغاز ثبت‌نام بیست‌ودومین کنفرانس بین‌المللی #انجمن_رمز ایران در امنیت اطلاعات و رمزشناسی

🗓 تاریخ برگزاری: ۱۶ و ۱۷ مهر ۱۴۰۴
📍 مکان: مرکز همایش های بین المللی دانشگاه شهید بهشتی
🖊 ثبت‌نام در کارگاه‌ها و کنفرانس آغاز شده است. علاقه‌مندان می‌توانند با مراجعه به سایت رسمی کنفرانس، ثبت‌نام خود را تکمیل کنند.

ویژه برنامه‌های کنفرانس:
- بیش از ۴۰ ارائه مقاله در نشست‌های تخصصی

سخنرانان کلیدی:
- ۲ سخنرانی کلیدی بین‌المللی:
پروفسور Bart Preneel (KU Leuven، بلژیک): «امنیت سایبری و هوش مصنوعی: یک رابطه همزیستانه؟» و پروفسور Peter Schwabe (Radboud، هلند): «گذار به رمزنگاری پساکوانتومی»
- ۵ سخنران مدعو از اساتید و محققین جوان با موضوعات نوین امنیت سایبری
- معرفی پایان‌نامه‌ها و رساله‌های برتر
- نشست تخصصی با حضور پژوهشگران و صنعتگران

کارگاه‌های علمی پیشاکنفرانس (۱۴ و ۱۵ مهر):
- ۱۸ کارگاه منتخب با موضوعات متنوع و کاربردی در حوزه امنیت سایبری
فهرست کارگاه‌ها:
🔗 https://iscisc2025.sbu.ac.ir/fa/home/Content/45

ویژه برنامه‌های ارتباط با صنعت:
- کافه اشتغال: ارتباط مستقیم شرکت‌ها با دانشجویان و متخصصان جوان
- ارائه‌های برق‌آسا: معرفی شرکت‌ها، برنامه‌های منابع انسانی و نیازهای فناورانه

وب‌سایت رسمی دبیرخانه:
🔗 iscisc2025.sbu.ac.ir/fa
ایمیل دبیرخانه:
✉️ iscisc2025@sbu.ac.ir

#همایش_نمایشگاه_رویداد

✅ Channel
💬 Group

اثر انگشت جعلی هم در مارکت موجوده

📌 هنگام انجام معاملات در محضر، دادگاه، پاسگاه یا بنگاه‌های معاملاتی و … حتماً دقت لازم را داشته باشید.

#هشدار #آگاهی_رسانی

✅ Channel
💬 Group

دوازدهمین همایش سالانه بانکداری نوین و نظام‌های پرداخت

دوازدهمین همایش سالانه بانکداری نوین و نظام‌های پرداخت با محوریت «حکمرانی و تاب‌آوری زیست‌بوم مالی و بانکی در برابر تهدیدات سایبری و بحران‌ها» به همت پژوهشکده پولی و بانکی و با حمایت بانک مرکزی و شرکت ملی انفورماتیک، ۲۶ تا ۲۸ آبان ۱۴۰۴ در مرکز نمایشگاه‌های بین‌المللی تهران برگزار می‌شود.

🔗 https://mbps.mbri.ac.ir/

#همایش_نمایشگاه_رویداد

✅ Channel
💬 Group

#فرصت_همکاری متخصص لایه ۳ مرکز عملیات امنیت "SOC Teir3" در شرکت صبا سیستم صدرا

نیازمندی‌های فنی:
- توانایی شکار تهدیدات (Threat Hunting & Proactive Analysis)
- آشنایی با معماری امنیتی شبکه نظیر Zero Trust
- تسلط بر روی تحلیل حملات سطح وب
- طراحی و توسعه ماژول‌های مختلف اسپلانک اعم از ES، UBA و MLTK
- تجربه کاری با ابزار هایThreat Intelligence ، SOAR و EDR
- آشنایی با دیجیتال فارنزیک (Digital Forensics) برای جمع‌آوری شواهد
- توانایی خودکارسازی فرایندهای امنیتی، توسعه پلی‌بوک‌ها و بسترهای SOAR
- توانایی سفارشی‌سازی و تسلط بر ابزارهای EDR،SIEM و Sysmon برای پایش رفتارهای مخرب
- آشنایی با تکنیک‌های شبیه‌سازی حملات با ابزارهایی مانند Atomic Red Team و Caldera
- تجربه‌ی عملی در حوزه‌ تحلیل رخدادهای امنیتی (Incident Response) و شناسایی منشا حملات (Root Cause Analysis)
- تسلط عمیق بر روی فریم‌ورک‌هایی نظیر MITRE ATT&CK / D3FEND و نحوه استفاده از آن در تحلیل‌های امنیتی و یوزکیس نویسی
- تسلط بر روی پروتکل‌های شبکه نظیر TCP/IP, DNS, SSL, SMB, HTTP, IP Routing و تحلیل ترافیک (PCAP, NetFlow) جهت شناسایی C2 و فعالیت‌های مخرب
- مستندسازی یافته‌ها و پیشنهاد راهکارهای مقابله با تهدید

ارسال رزومه:
🗃 hr@ssystems.ir

✅ Channel
💬 Group

📄 #لیست مهمترین استانداردها/دستورالعمل‌ها و فریمورک‌های مرتبط با امنیت هوش مصنوعی

☑️ ISO/IEC 22989:2022
Information technology - Artificial intelligence - Artificial intelligence concepts and terminology

☑️ ISO/IEC 23053:2022
Framework for Artificial Intelligence (AI) Systems Using Machine Learning (ML)

☑️ ISO/IEC 23894:2023
Information technology - Artificial intelligence - Guidance on risk management

☑️ ISO/IEC TR 24028:2020
Information technology - Artificial intelligence - Overview of trustworthiness in artificial intelligence

☑️ ISO/IEC 38507:2022
Information technology - Governance of IT - Governance implications of the use of artificial intelligence by organizations

☑️ ISO/IEC 42001:2023
Information Technology - Artificial Intelligence - Management System (AIMS)

☑️ ISO/IEC AWI 42003
Information technology - Artificial intelligence - Guidance on the implementation of ISO/IEC 42001

☑️ ISO/IEC 42005:2025
Information technology - Artificial intelligence (AI) - AI system impact assessment

☑️ ISO/IEC 42006:2025
Information technology - Artificial intelligence - Requirements for bodies providing audit and certification of artificial intelligence management systems

☑️ ISO/IEC AWI 42007
Information technology - Artificial intelligence - High-level framework and guidance for the development of conformity assessment schemes for AI systems

☑️ NIST AI Risk Management Framework (AI RMF)
(Rev 1.0 - 2023)

☑️ NIST SP 800-53
Security and Privacy Controls for Information Systems and Organizations (Rev 5.1.1 - Nov 7, 2023)

☑️ EU AI Act
The AI Act is a European regulation on artificial intelligence (AI)
(July 2024)

☑️ General Data Protection Regulation (EU GDPR)
Europe’s data privacy and security law includes hundreds of pages’ worth of new requirements for organizations around the world
(May 2018)

☑️ ENISA AI Cybersecurity Guidelines

☑️ High-Level Expert Group on AI (HLEG) Ethics Guidelines

⬇️ Technical Part

☑️ MITRE ATLAS™
ATLAS (Adversarial Threat Landscape for Artificial-Intelligence Systems) is a globally accessible, living knowledge base of adversary tactics and techniques against Al-enabled systems based on real-world attack observations and realistic demonstrations from Al red teams and security groups.

☑️ OWASP AI Security & Privacy Guide

☑️ OWASP GenAI Security Project

☑️ Google Secure AI Framework (SAIF)

#Standard #ISO #Framework #AI #GRC #MITRE #OWASP

✅ Channel
💬 Group

📱 موبایل‌ها نقطه کور امنیت سازمان

🔸 موبایل‌های شخصی کارمندان که به وای‌فای سازمان متصل می‌شوند، یکی از راحت‌ترین راه‌های نفوذ هستند.
🔸 در صورت نبود سیاست‌های امنیتی مشخص برای مدیریت این دستگاه‌ها، ریسک دسترسی غیرمجاز، نشت داده و حملات سایبری افزایش می‌یابد.

📌 برای کاهش این ریسک، سازمان باید چارچوب مشخصی برای کنترل اتصال دستگاه‌های شخصی در نظر بگیرد مثلاً اتصال موبایل‌های شخصی فقط به وای‌فای مهمان (Guest) با دسترسی محدود به منابع داخلی انجام شود.

#هشدار #آگاهی_رسانی

✅ Channel
💬 Group

📺 سریال «تحت تعقیب: هکر نوجوان»

عنوان: Most Wanted: Teen Hacker
ژانر: مستند جنایی/جرم واقعی
کارگردان: سامی کیِکسی (Sami Kieksi)
تعداد قسمت‌ها: ۴ اپیزود (حدوداً ۴۰ دقیقه‌ای)
پخش: از ۵ سپتامبر ۲۰۲۵ در HBO Max

داستان / موضوع
سریال زندگی و فعالیت‌های سایبری واقعی Aleksanteri Kivimäki، هکری فنلاندی را روایت می‌کند، از نوجوانی تا زمانی که تبدیل به یک هکر شناخته‌شده می‌شود.

چند مورد از اقداماتش:
- تعامل با گروه هکرها و فعالیت‌های خراب‌کارانه آنلاین در سنین نوجوانی.
- حملات به شبکه‌های بازی مثل PlayStation و Xbox Live (اختلال/قطع سرویس)
- قطع سرویس‌های آنلاین جهانی
- تماس‌های جعلی (Swatting) برای ایجاد خطر یا هشدار جعلی به نیروهای پلیس تا به محل هدف بروند.
- هک اطلاعات حساس مراکز روان‌درمانی (Vastaamo) در فنلاند، که اطلاعات بیماران زیادی را در بر می‌گرفت و سپس اخاذی شده است.

از نظر فنی و امنیت سایبری مستند خوبیه. (برای فهم روش‌ها، نفوذها، و آسیب‌پذیری‌هایی که وجود دارند.)

#فیلم_مستند

✅ Channel
💬 Group

💢 جزئیاتی از پرونده بابک شهبازی #جاسوس موساد را در این مستند ببینید

شغل:
در حوزه طراحی و نصب دستگاه‌های خنک‌کننده صنعتی (کولینگ) به عنوان پیمانکار در شرکت‌های وابسته به سازمان‌ها و مراکز مخابراتی، نظامی و امنیتی فعالیت می‌کرد.

برخی از مهمترین اطلاعاتی که توسط او در اختیار موساد قرار می‌گیرد:
- تعداد و مدل سرورها و خنک‌کننده‌های بکار رفته در سازمان‌های محتلف
- آدرس دقیق هر مرکز یا شرکتی که تاسیسات خنک کننده برایش نصب شده و نوع فعالیت‌های آن
- مکان دقیق اتاق دیتاسنتر، تعداد پله‌ها و ستون‌ها و ارتقاع دیوارها
- تعداد پرسنل هر پروژه به ویژه مسئولین مانیتورینگ اتاق دیتاسنتر و نحوه‌ی ورود و خروجشان
- مشخصات افراد شامل آدرس منزل، شماره تلفن و تخصص و وظیفه‌شان
- شرکت‌های دخیل در هر پروژه و نوع قرارداد و نحوه‌ی وصل‌شدنشان به پروژه

#هشدار #فیلم_مستند

✅ Channel
💬 Group

GITEX GLOBAL
Mon, Oct 13, 2025 / Fri, Oct 17, 2025
Dubai World Trade Centre

نمایشگاه جیتکس گلوبال ۲۰۲۵ (بزرگ‌ترین نمایشگاه فناوری جهان) از ۲۱ تا ۲۵ مهرماه سال ۱۴۰۴ در مرکز تجارت جهانی دبی برگزار خواهد شد.

#همایش_نمایشگاه_رویداد

🔗 https://www.gitex.com
🔗 https://visit.gitex.com

✅ Channel
💬 Group