#فرصت_همکاری کارشناس CMDB در هلدینگ توسعه فناوری اطلاعات گردشگری ایران

ما به دنبال یک کارشناس CMDB برای پروژه ITSM هستیم؛ فردی که با دانش و تجربه در حوزه مدیریت دارایی‌ها و پیکربندی‌ها، بتواند در طراحی، توسعه و ارتقای پایگاه داده متمرکز نقش مؤثری ایفا کند.

 وظایف و مسئولیت‌ها:
- طراحی، پیاده‌سازی و نگهداری پایگاه داده CMDB
- جمع‌آوری، مستندسازی و به‌روزرسانی اطلاعات مربوط به دارایی‌ها و آیتم‌های پیکربندی(CIها)
- تعریف و مدیریت روابط بین CIها در چارچوب ITIL 
- همکاری با تیم‌های زیرساخت، نرم‌افزار و امنیت برای اطمینان از صحت داده‌ها
- ایجاد گزارش‌ها و داشبوردهای مدیریتی درباره وضعیت دارایی‌ها و تغییرات

شرایط و ویژگی‌ها:
- آشنایی کامل با مفاهیم ITIL و فرآیند Configuration Management
- تجربه کاری با ابزارهای ITSM و و CMDB (ServiceNow، BMC Remedy، Micro Focus یا ابزارهای مشابه)
- توانایی تحلیل و مدل‌سازی داده‌ها
- مهارت در مستندسازی و دقت بالا در کار با جزئیات
- آشنایی با مفاهیم شبکه، سرورها، نرم‌افزارها و سایر دارایی‌های IT
- روحیه کار تیمی و مسئولیت‌پذیری

داشتن گواهینامه ITIL و تجربه در پروژه‌های بزرگ ITSM مزیت محسوب می‌شود. 
نوع همکاری: تمام‌وقت 
محل شرکت: تهران
حداقل سابقه کار: ۳ تا ۶ سال 
حقوق: توافقی

ارسال رزومه:
🗃 HR@TIT.IR

✅ Channel
💬 Group

#کلاهبرداری‌ های اینترنتی را چگونه می‌توان گزارش کرد؟

✅ Channel
💬 Group

💠 آشنایی سریع با برخی از حملات شبکه و روش محافظتشان OSI Security Attacks

⏬ L1: Physical
حملات:
- قطع کابل یا خرابکاری فیزیکی (Cable Cut, Sabotage)
- شنود از طریق Tapping یا استفاده از تجهیزات غیرمجاز
- تداخل الکترومغناطیسی (EMI, Jamming)
حفاظت سریع:
- کنترل فیزیکی دسترسی به رک و کابل‌ها
- استفاده از فیبر نوری به جای کابل مسی
- دوربین مداربسته و مانیتورینگ محیط

⏬ L2: Data Link
حملات:
- ARP Spoofing / ARP Poisoning
- MAC Flooding (برای از کار انداختن سوئیچ)
- VLAN Hopping
حفاظت سریع:
- فعال‌سازی Port Security روی سوئیچ‌ها
- استفاده از Dynamic ARP Inspection (DAI)
- تقسیم‌بندی درست VLANها
- استفاده از 802.1X برای احراز هویت دستگاه‌ها

⏬ L3: Network
حملات:
- IP Spoofing
- ICMP Flood / Smurf Attack
- Routing Table Poisoning
- DDoS مبتنی بر IP
حفاظت سریع:
- فایروال لایه ۳
- تنظیم Access Control List (ACL) دقیق
- استفاده از Anti-Spoofing روی روترها (uRPF)
- تنظیم Rate Limiting برای ترافیک ICMP

⏬ L4: Transport
حملات:
- TCP SYN Flood
- UDP Flood
- Port Scanning
حفاظت سریع:
- فایروال Stateful (بررسی وضعیت ارتباط)
- استفاده از IDS/IPS برای شناسایی الگوهای غیرعادی
- تنظیم Rate Limiting یا SYN Cookies برای جلوگیری از SYN Flood

⏬ L5: Session
حملات:
- Session Hijacking
- Replay Attack
حفاظت سریع:
- استفاده از TLS/SSL برای رمزنگاری ارتباط
- تنظیم Timeout کوتاه برای Sessionهای غیر فعال
- استفاده از توکن‌های یکبار مصرف (OTP)

⏬ L6: Presentation
حملات:
- حملات رمزنگاری ضعیف (Downgrade Attack)
- تزریق داده در پروتکل‌های رمزگذاری شده
حفاظت سریع:
- استفاده از الگوریتم‌های رمزنگاری قوی (AES, TLS1.3)
- عدم پشتیبانی از پروتکل‌های قدیمی (SSL, TLS 1.0/1.1)
- بررسی و اعتبارسنجی داده‌ها قبل از پردازش

⏬ L7: Application
حملات:
- SQL Injection
- XSS (Cross-Site Scripting)
- CSRF (Cross-Site Request Forgery)
- HTTP Flood (لایه ۷ DDoS)
حفاظت سریع:
- استفاده از WAF (Web Application Firewall)
- اعتبارسنجی ورودی‌ها (Input Validation)
- احراز هویت و مدیریت نشست امن
- تنظیم Rate Limiting برای درخواست‌های HTTP

#آگاهی_رسانی

✅ Channel
💬 Group

🔴 گزارش «چشم‌انداز تهدیدات سایبری در ایران»

- این مستند شامل بررسی دوساله حملات به زیرساخت‌های فناوری کشور از ابتدای ۱۴۰۲ تا اسفند ۱۴۰۳ است و توسط تیم CTI شرکت گراف با هدف افزایش آگاهی امنیتی در فضای سایبری کشور، تهیه شده است.
- محتوای این سند در اسفند ۱۴۰۳ از طریق جمع‌آوری داده‌ها از محتوای موجود در اینترنت و منابع متن‌باز و تحلیل آنها تهیه شده است.

سرفصل‌های محتوایی گزارش:
- مقایسه کلی انگیزه حملات در سال ۲۰۲۳ و ۲۰۲۴
- مقایسه حملات هدفمند در ۲۰۲۳ و ۲۰۲۴
- بررسی آمار صنایع مورد هدف در حملات
- توزیع حملات سایبری بر اساس اندازه سازمان‌ها
- تغییر الگوی حمالت سایبری به شرکتها براساس اندازه
- تمرکز بر افشای اطلاعات و اخاذی دیجیتال
- حملات Info-Stealها؛ تهدید خاموش و پرهزینه
- هوش مصنوعی مولد و انقلاب در مهندسی اجتماعی
- حملات BEC و Deepfake: چهره‌ جدید کلاهبرداری‌های مالی
- بدافزارهای‌‌ موبايلی‌‌ و ديپ‌فيک: حمله به چهره شما
- ابرهای‌‌ تاريک: تهدید GenAI برای فضای‌‌ ابری‌‌

#گزارش #گراف #جنگ_سایبری #جنگ_ترکیبی #حمله_سایبری #حمله #هک

✅ Channel
💬 Group

🔴 گزارش «چشم‌انداز تهدیدات سایبری در ایران»

#گزارش #گراف #جنگ_سایبری #جنگ_ترکیبی #حمله_سایبری #حمله #هک

✅ Channel
💬 Group

آغاز مرحله مقدماتی مسابقه BlueCup

⏺ در مرحله اول این رقابت، شرکت‌کنندگان با مجموعه‌ای از چالش‌های مربوط به شناسایی حملات روبه‌رو می‌شن. شروع مسیر با سوالاتی از حوزه پاسخگویی به رخداد خواهد بود و بعد از اون باید سراغ حل چالش‌های فنی برید.

🏆 نفرات برتر این مرحله به دور بعد راه پیدا می‌کنن و در قالب گروهی رقابت می‌کنن؛ رقابت‌ها تا فینال ادامه خواهد داشت و در نهایت برترین‌ها در قالبی متفاوت به مصاف هم میرن.

📅 تاریخ برگزاری: جمعه ۱۸ مهر
⏰ زمان: ۱۰ صبح تا ۱۷ (هفت ساعت)
📍 محل: بخش مسابقات در پروفایل کاربری Challenginno

⚡️ نکات مهم:
- برای شرکت در مسابقه نیازی به ثبت‌نام مجدد و پرداخت هزینه نیست.
- کاربرانی که هنوز ثبت‌نام نکرده‌اند، تا شروع مسابقه فرصت دارن حساب خودشون رو بسازن.
- سطح مسابقه: مقدماتی تا متوسط

🎁 جوایز نقدی:
🥇 نفر اول: ۳۰ میلیون تومان
🥈 نفر دوم: ۱۰ میلیون تومان
(در فینال امکان انتخاب حالت Raise هم وجود داره که شرایط اون اعلام خواهد شد.)

🔗 همین حالا آماده شو و وارد رقابت BlueCup بشو!
🌐 https://challenginno.ir

🌐 https://news.1rj.ru/str/challenginno

🔴 ایگور ریکوف (Egor rykov)، مدیر منطقه‌ای شرکت Positive Technologies (PT) در ایران

«در حال برنامه‌ریزی برای یک رویداد بزرگ در ایران هستیم که می‌تواند همه چیز را به سطحی بالاتر ببرد. جزئیات این رویداد را فعلاً نمی‌توانیم اعلام کنیم، اما امیدواریم حتی پیش از نوروز بتوانیم آن را برگزار کنیم. این رویداد یک چشم‌انداز بلندمدت دارد و ما کاملاً جدی هستیم.»

#همایش_نمایشگاه_رویداد

✅ Channel
💬 Group

📁 برنامه تقسیم کار ملی هوش مصنوعی

ستاد توسعه فناوری و کاربرد هوش مصنوعی | شهریور ۱۴۰۴

#AI #سند

✅ Channel
💬 Group

📁 برنامه تقسیم کار ملی هوش مصنوعی

ستاد توسعه فناوری و کاربرد هوش مصنوعی | شهریور ۱۴۰۴

#AI #سند

✅ Channel
💬 Group

عرفان بهتون یاد میده چطوری از فروشگاه‌های اینترنتی مفتی خرید کنید 😅😅

هکرم
اینم نمونه‌کارم

✅ Channel
💬 Group

دام تازه مجرمان سایبری با ابلاغیه جعلی

- پلیس فتا هشدار داد که مجرمان سایبری با شگردی تازه، تصویر مبهم و ناخوانای ابلاغیه قضایی جعلی ارسال می‌کنند و همراه آن لینک آلوده را در پیام‌رسان‌ها و شبکه‌های اجتماعی منتشر می‌کنند.
آنها با این روش، اطلاعات بانکی، گذرواژه‌ها و رمزارزها را سرقت می‌کنند و به تلفن همراه نفوذ می‌کنند.

#هشدار #پلیس_فتا #آگاهی_رسانی #کلاهبرداری

✅ Channel
💬 Group

CIS API Security Guide

رابط نرم‌افزاری یا APIها یکی از حیاتی‌ترین اجزای اکوسیستم دیجیتال امروز هستند، این مستند با ارائه مراحل عملی به شما کمک می‌کنه در برابر تهدیدات رو‌به‌رشد مقاوم‌تر شوید.

#API #CIS

✅ Channel
💬 Group

CIS API Security Guide
v1.0.0
March 2025

#API #CIS

✅ Channel
💬 Group

#فرصت_همکاری در ۳ ردیف شغلی در مرکز مبادله ایران (فعال در حوزه بانکی)

- کارشناس تست نفوذ
- کارشناس مرکز عملیات امنیت (Tier 1)
- کارشناس مرکز عملیات امنیت (Tier 2)

شرایط جذب:
- داشتن حداقل سه سال سابقه کار مرتبط در حوزه امنیت
- فارغ التحصیل رشته‌های نرم افزار و فناوری اطلاعات
- پایان خدمت و پایان تحصیل (دانشجو نبودن)

در صورت تمایل به همکاری، لطفا رزومه خود را به ذکر عنوان شغلی به آدرس ایمیل زیر ارسال نمایید.

🗃 a.kiani@ice.ir

✅ Channel
💬 Group

فصل‌نامه تخصصی ویراگستر شماره ۲۹ (تابستان ۱۴۰۴)

در این شماره می‌خوانیم:
- وقتش رسیده اتاق سرور کوچک خود را تبدیل به دیتاسنتر کنید!
- اگر می‌خواهید اتاق سرور بسازید؛ این ۹ نکته حیاتی را رعایت کنید!
- دیتاسنترهای هوش مصنوعی؛ هدف جنگ‌های آینده
- چگونه خطرات ایمنی محل کار دیتاسنترها را کاهش دهیم
- سوالاتی که باید پیش از ترک شغل، از خودتان بپرسید!
- چگونه مدیران باهوش مصنوعی تصمیم‌های بهتری می‌گیرند؟
- چگونه بدون اخراج کارمندان هزینه‌ها را کاهش دهیم؟

#مجله

✅ Channel
💬 Group

فصلنامه ویراگستر / شماره ۲۹ / تابستان ۱۴۰۴

#مجله

✅ Channel
💬 Group

🔎 گزارش HackerOne 2025 منتشر شد

برخی از مهم‌ترین یافته‌ها:
- رشد ۲۱۰٪ گزارش‌های آسیب‌پذیری مرتبط با هوش مصنوعی
- جهش ۵۴۰٪ در حملات Prompt Injection
- بیش از ۳ میلیارد دلار خسارت احتمالی پیشگیری شده
- مجموعاً ۸۱ میلیون دلار پاداش (Bounty) به هکرهای کلاه‌سفید پرداخت شده

#Report

✅ Channel
💬 Group

The Rise of the Bionic Hacker

Hacker-Powered Security #Report
9th Edition | hackerone | 2025

✅ Channel
💬 Group

🖥️ وبینار رایگان تکامل کشف تهدید

⏪ آیا تیم امنیتی شما با انبوهی از هشدارها و حملاتی که از لایه‌های مختلف عبور می‌کنند، دست و پنجه نرم می‌کند؟ با پیچیده‌تر شدن تهدیدات سایبری، ابزارهای سنتی مانند SIEM دیگر به تنهایی کافی نیستند.
⏪ در این وبینار، ما به بررسی مسیر تکامل امنیت سایبری خواهیم پرداخت: از ریشه‌های SIEM سنتی تا ظهور قابلیت‌های پیشرفته XDR.
⏪ به ما بپیوندید تا بیاموزید چگونه یک رویکرد ترکیبی و هم‌افزا از SIEM و XDR می‌تواند چه مزایایی را برای سازمان شما به ارمغان بیاورد

📅 دوشنبه ۱۴ مهرماه ۱۴۰۴ ساعت ۱۱ الی ۱۲

ثبت‌نام:
🔗 http://radsecure.ir/webinar

#همایش_نمایشگاه_رویداد

✅ Channel
💬 Group

🔺گزارش zimperium از ۸۰۰ وی‌پی‌ان‌ رایگان

- بسیاری از افراد فکر می‌کنند استفاده از VPN روی موبایل یعنی امنیت و آرامش خیال. اما تحقیقات جدید نشان می‌دهد بسیاری از اپلیکیشن‌های VPN، به‌ویژه نسخه‌های رایگان، نه تنها محافظ شما نیستند بلکه می‌توانند خودشان به یک تهدید جدی تبدیل شوند.
- یک بررسی جامع از حدود ۸۰۰ اپلیکیشن VPN رایگان برای اندروید و iOS توسط زیمپریوم (Zimperium) نشان می‌دهد شمار قابل‌توجهی از این برنامه‌ها خطرات جدی امنیتی و حریم خصوصی دارند. از استفاده از نسخه‌های قدیمی OpenSSL (در معرض آسیب‌پذیری Heartbleed) گرفته تا پذیرش گواهی‌های جعلی که امکان حملات MITM را فراهم می‌کن، این اپ‌ها می‌توانند اطلاعات شخصی و سازمانی را در معرض افشا قرار دهند.

⚫️ چرا این وی‌پی‌ان‌ها خطرناک‌اند؟

1️⃣ کتابخانه‌های قدیمی و پر از حفره امنیتی
برخی از این VPNها هنوز از نرم‌افزارهایی استفاده می‌کنند که آسیب‌پذیری‌های شناخته‌شده‌ای مثل حفره معروف Heartbleed دارند. این یعنی داده‌های حساس کاربران مثل رمزعبور یا اطلاعات شخصی می‌تواند لو برود.
2️⃣خطر حملات مرد میانی (MitM)
وقتی VPN گواهی سرور را درست بررسی نکند، هکر می‌تواند وسط راه قرار بگیرد و تمام ارتباطات رمزنگاری‌شده شما را شنود کند.
3️⃣مجوزهای مشکوک و غیرضروری
بعضی VPNها دسترسی‌هایی می‌خواهند که هیچ ربطی به کارشان ندارد؛ مثل خواندن لاگ‌های گوشی، دسترسی همیشگی به موقعیت مکانی، یا حتی شناسایی دستگاه‌های داخل شبکه خانگی شما! این دسترسی‌ها می‌تواند راهی برای جاسوسی یا فروش داده‌ها باشد.
4️⃣امکان فریب و نفوذ از طریق اپ‌های دیگر
برخی از این برنامه‌ها بخش‌هایی را بدون حفاظت رها کرده‌اند. در نتیجه اپلیکیشن‌های دیگر می‌توانند به تنظیمات VPN دسترسی پیدا کنند، صفحه ورود کاربر را باز کنند و او را فریب دهند تا اطلاعاتش را وارد کند.

چه باید کرد؟
- به هر VPN اعتماد نکنید، مخصوصاً نسخه‌های رایگان یا ناشناس.
- پیش از نصب، مجوزهایی که اپلیکیشن درخواست می‌کند را بررسی کنید.
- تنها از برندها و سرویس‌های شناخته‌شده با سابقه امنیتی معتبر استفاده کنید.
- سازمان‌ها باید مراقب باشند کارکنان از VPNهای نامطمئن در گوشی‌های کاری استفاده نکنند.

نکته مهم:
وی‌پی‌ان قرار است حریم خصوصی و امنیت شما را حفظ کند، اما اگر انتخاب درستی نداشته باشید، دقیقاً برعکس عمل می‌کند و به بزرگ‌ترین تهدید برای اطلاعاتتان تبدیل می‌شود.

🔗 مطالعه کامل گزارش زیمپریوم (zimperium)

#هشدار

✅ Channel
💬 Group

🌐 هوش‌مصنوعی فیشینگ‌ها را طبیعی‌تر می‌کند

- یک پژوهش مشترک بین رویترز و دانشگاه هاروارد نشان می‌دهد ابزارهای مولد متن می‌توانند ایمیل‌های #فیشینگ بسیار واقعی تولید کنند؛ در این آزمایش که از ChatGPT، Grok و DeepSeek استفاده شد، از میان ۱۰۸ شرکت‌کننده، حدود ۱۱ درصد روی لینک‌های مخرب کلیک کردند.
- پدیده «فیشینگ به‌عنوان سرویس» (PhaaS) در بازارهای پنهان رشد کرده و ارائه‌دهندگان خدمات مخرب با اشتراک‌های ماهانه، توان راه‌اندازی دامنه‌ها و صفحات ورود جعلی مشابه سرویس‌هایی مثل گوگل و مایکروسافت را آسان کرده‌اند.
- هم‌زمان، استفاده از دیپ‌فیک صوتی و تصویری باعث شده جعل هویت مدیران و همکاران در حملات مهندسی اجتماعی ساده‌تر و متقاعدکننده‌تر شود. این ابزارها به مهاجمان امکان می‌دهند پیام‌ها را دقیقاً به سبک و صدای اهدافشان شکل دهند.
- تحلیل‌گران هشدار می‌دهند که کشف و خنثی‌سازی حملات فیشینگ تولیدشده با هوش‌مصنوعی باید در سال ۲۰۲۶ به یکی از اصلی‌ترین اولویت‌های تیم‌های امنیت سایبری تبدیل شود.

#هشدار

✅ Channel
💬 Group