یک مرکز دولتی در تهران در نظر دارد از بین داوطلبین مرد متخصص در حوزه SOC سطح 1، 2 و 3 با شرایط ذیل اقدام به جذب نیرو به صورت پروژه ای نماید :

نیازمندی‌های نیروی سطح 1:

1️⃣متولدین دهه هفتاد به بعد با حداقل شش ماه سابقه کار
2️⃣ دارای کارت پایان خدمت
3️⃣حداقل مدرک لیسانس در رشته های مرتبط
4️⃣شایستگی های تخصصی:
• آشنایی با مفاهیم امنیت و SOC
• آشنایی بایکی از SIEM های بومی وغیر بومی
• توانایی بررسی، تحلیل و گزارش رخدادهای SIEM و مستندسازی
• آشنا به لاگ های انواع سیستم عامل ، وب وشبکه
• آشنایی با انواع حملات در لایه‌های مختلف شبکه
• آشنایی با انواع حملات وب
• آشنا به مفاهیم شبکه و محصولات امنیتی مانند فایروال‌ها، WAF ,DLP ,IPS/IDS
• آشنا به سرویس های زیرساختی از جمله DNS ،DC ،DHCP
•توانایی حضور در شیفت ساعات غیر کاری

نیازمندی‌های نیروی سطح 2:

1️⃣دارای کارت پایان خدمت
2️⃣ حداقل مدرک لیسانس در رشته های مرتبط
3️⃣ حداقل 2 سال تجربه در حوزه امنیت و SOC
4️⃣ شایستگی های تخصصی:
• تسلط به مفاهیم امنیت و SOC
• تسلط به splunk و SPL پیشرفته (advanced SPL)
• توانایی بررسی، تحلیل و گزارش رخدادهای SIEM و مستندسازی
• تسلط به لاگ های انواع سیستم عامل ، وب وشبکه
• تسلط به انواع حملات در لایه‌های مختلف شبکه
• توانایی ایجاد use case و correlation search در splunk
• تسلط به متدهای MITRE ATT&CK
• آشنا به سرویس های زیرساختی از جمله DNS ،DC ،DHCP
• تسلط بر مهارت‌های Incident Response

نیازمندی‌های نیروی سطح 3 :

1️⃣دارای کارت پایان خدمت
2️⃣ حداقل مدرک لیسانس در رشته های مرتبط
3️⃣ حداقل 4 سال تجربه در حوزه امنیت و SOC
4️⃣ شایستگی های تخصصی:

• توانایی شکار تهدیدات (Threat Hunting & Proactive Analysis)
• آشنایی با معماری امنیتی شبکه نظیر Zero Trust
• تسلط بر روی تحلیل حملات سطح وب
• طراحی و توسعه ماژول های مختلف اسپلانک اعم از ES، UBA و MLTK
• تجربه کاری با ابزار هایThreat Intelligence ، SOAR و EDR
• آشنایی با دیجیتال فارنزیک (Digital Forensics برای جمع‌آوری شواهد
• توانایی خودکارسازی فرایندهای امنیتی، توسعه پلی‌بوک‌ها و بسترهای SOAR
• تسلط و سفارشی سازی ابزارهایEDR،SIEM و Sysmon برای پایش رفتارهای مخرب
• آشنایی با تکنیک‌های شبیه‌سازی حملات با ابزارهایی مانند Atomic Red Team و Caldera
• تجربه‌ی عملی در حوزه‌ تحلیل رخدادهای امنیتی(Incident Response) و شناسایی منشا حملات (Root Cause Analysis)
• تسلط عمیق بر روی فریم ورک هایی هایی نظیر MITRE ATT&CK / D3FEND و نحوه استفاده از آن در تحلیل‌های امنیتی و یوزکیس نویسی
• تسلط بر روی پروتکل های شبکه نظیر TCP/IP, DNS, SSL, SMB, HTTP, IP Routing و تحلیل ترافیک (PCAP, NetFlow) جهت شناسایی C2 و فعالیت های مخرب
• مستندسازی یافته‌ها و پیشنهاد راهکارهای مقابله با تهدید



امکانات و تسهیلات:
⭕️ محیط پویا و برگزاری دوره های اموزشی مورد نیاز
⭕️پرداخت به موقع حقوق و مزایا
⭕️پرداخت پاداش عملکرد
⭕️بیمه کامل تامین اجتماعی
⭕️بیمه تکمیلی
⭕️هدایای سازمانی
⭕️وام سازمانی

⬅️ روز و ساعات کاری: شنبه تا چهارشنبه | ۷ تا ۱۵:۳۰
⬅️محدوده محل کار: تهران، چهارراه ولیعصر

🖥 ارسال رزومه به : info@soorinsec.ir

استاکس‌نت: نخستین سلاح سایبری-فیزیکی تاریخ و تأثیر آن بر برنامه هسته‌ای ایران – تحلیل فنی دقیق به بررسی عمیق و دقیق عملیات استاکس‌نت (Stuxnet) می‌پردازیم – یکی از پیچیده‌ترین و ترسناک‌ترین حملات سایبری تاریخ که نه تنها یک بدافزار ساده بود، بلکه نخستین سلاح سایبری-فیزیکی (cyber-physical weapon) واقعی به شمار می‌رود. این کرم کامپیوتری، طراحی‌شده برای ایجاد آسیب فیزیکی (kinetic) واقعی در زیرساخت‌های صنعتی، برنامه غنی‌سازی اورانیوم ایران در تأسیسات نطنز را هدف قرار داد. بر اساس گزارش‌های معتبر مانند تحلیل رالف لانگنر (کارشناس برجسته ICS)، گزارش CCDCOE، و اسناد افشاشده از منابع مانند New York Times و کتاب "Confront and Conceal"، جزئیات فنی، حساس و شوکه‌کننده این عملیات را بررسی می‌کنیم. این نوشتار بر پایه facts مستند تهیه شده و حتی جنبه‌های محرمانه و جنجالی آن را پوشش می‌دهد – حتی اگر طولانی شود، ارزش مطالعه دارد!

پیشینه عملیاتی و حساس: همکاری محرمانه آمریکا و اسرائیل
استاکس‌نت بخشی از عملیات فوق‌محرمانه مشترک ایالات متحده و اسرائیل با نام رمز Operation Olympic Games بود که از سال ۲۰۰۶ میلادی تحت نظارت دولت جرج بوش آغاز شد و در دوران باراک اوباما به اوج رسید. هدف اصلی: جلوگیری از پیشرفت برنامه هسته‌ای ایران بدون نیاز به حمله نظامی مستقیم، که اسرائیل (تحت رهبری نتانیاهو) بارها تهدید به انجام آن کرده بود. شوکه‌کننده‌ترین بخش: این عملیات با بودجه‌ای در حدود صدها میلیون دلار و تیمی متشکل از حداقل ۳۰ تا ۴۵ متخصص elite – شامل مهندسان ICS، برنامه‌نویسان PLC، کارشناسان فیزیک هسته‌ای، توسعه‌دهندگان ویندوز و مأموران اطلاعاتی – توسعه یافت. توسعه آن حداقل ۱۰,۰۰۰ نفر-روز (معادل ۲۷ نفر-سال) زمان برد و نیاز به دانش عمیق از سانتریفیوژهای IR-1 (دزدیده‌شده از شبکه عبدالقدیر خان) داشت.
حساس‌ترین جزئیات: آزمایش استاکس‌نت در مجتمع اتمی دیمونا اسرائیل با استفاده از سانتریفیوژهای واقعی مشابه نطنز انجام شد. همچنین، آزمایشگاه ملی آیداهو (INL) آمریکا در سال ۲۰۰۸ با زیمنس همکاری کرد تا آسیب‌پذیری‌های Step7 را شناسایی کند – اطلاعاتی که مستقیماً برای ساخت payload استفاده شد. کد استاکس‌نت حاوی سرنخ‌های جنجالی مانند "19790509" (تاریخ اعدام حبیب القانیان، تاجر یهودی ایرانی پس از انقلاب) و "Myrtus" (اشاره به کتاب استر در تورات، نماد حمله پیش‌دستانه) بود، که به همکاری آمریکا-اسرائیل اشاره دارد. حتی برخی تحلیل‌ها پیشنهاد می‌کنند کد توسط دو تیم جداگانه نوشته شد: اسرائیلی‌ها بخش سلاح (weapon system) و آمریکایی‌ها payload را توسعه دادند. شوکه‌کننده: اوباما شخصاً دستور ادامه عملیات را داد، حتی پس از لو رفتن کد، برای جلوگیری از حمله هوایی اسرائیل! جزئیات فنی تخصصی: از عفونت تا نابودی فیزیکی
استاکس‌نت یک کرم کامپیوتری پیشرفته بود که در سه لایه عمل می‌کرد: لایه IT برای انتشار، لایه کنترل برای دستکاری، و لایه فیزیکی برای آسیب. اندازه آن حدود ۱ مگابایت (۲۰ برابر بدافزارهای معمولی) بود و شامل چهار آسیب‌پذیری روز صفر (zero-day) ویندوز بود که حتی کارکنان مایکروسافت از برخی از آن‌ها بی‌خبر بودند.
۱. بهره‌برداری از آسیب‌پذیری‌های روز صفر (رکورد بی‌سابقه):

CVE-2010-2568: آسیب‌پذیری LNK در Windows Shell – کد مخرب هنگام نمایش آیکون فایل‌های .lnk روی USB بدون نیاز به کلیک یا autorun اجرا می‌شد.
MS10-061: آسیب‌پذیری Print Spooler برای ارتقای محلی privileges به سطح SYSTEM.
MS08-067: آسیب‌پذیری RPC در Server Service (مشابه کرم Conficker) برای اجرای کد از راه دور.
MS10-092: آسیب‌پذیری Task Scheduler برای ارتقای privileges.
علاوه بر این، از دو آسیب‌پذیری دیگر (CVE-2010-2772 و CVE-2010-3888) برای rootkit و escalation استفاده کرد. شوکه‌کننده: این اولین بدافزاری بود که شش آسیب‌پذیری (چهار zero-day) را همزمان بهره‌برداری کرد!

۲. امضای دیجیتال سرقت‌شده و روت‌کیت پیشرفته:
درایورهای kernel-mode (MrxCls.sys و MrxNet.sys) با گواهی‌های معتبر دزدیده‌شده از شرکت‌های Realtek، JMicron و C-Media (تایوان) امضا شده بودند تا مکانیسم Windows Driver Signature Enforcement را دور بزنند. روت‌کیت دوگانه: MrxNet.sys فایل‌ها را با hooking توابع kernel مانند ZwQueryDirectoryFile مخفی می‌کرد؛ اجرای in-memory با تزریق به فرآیندهای legitimate (مانند lsass.exe) و hooking APIهای ntdll.dll (مانند ZwMapViewOfSection). حساس: این تکنیک‌ها اجازه می‌داد استاکس‌نت بدون نوشتن روی دیسک اجرا شود و کاملاً نامرئی بماند – حتی برای آنتی‌ویروس‌های پیشرفته آن زمان.
۳. مکانیسم‌های انتشار در شبکه‌های air-gapped:
عفونت اولیه احتمالاً از طریق یک جاسوس هلندی (مهندس ایرانی‌الاصل) با USB وارد نطنز شد. انتشار از طریق USB (بدون autorun)، شبکه محلی (SMB، RPC، HTTP، MSSQL)، پرینترهای اشتراکی و پروژه‌های Siemens SIMATIC Step7/WinCC (.s7p و .mcp). ایجاد سرور RPC داخلی برای command-and-control محلی و آپدیت peer-to-peer بدون اینترنت. شوکه‌کننده: استاکس‌نت به بیش از ۱۰۰,۰۰۰ سیستم در جهان (از جمله در آمریکا و اروپا) گسترش یافت، اما payload فقط در نطنز فعال می‌شد – این لو رفتن ناخواسته کد منبع را به wild برد و پایه‌ای برای بدافزارهای بعدی شد!
۴. Payload هدفمند و حمله man-in-the-middle بر PLCها:
استاکس‌نت فقط در محیط دقیق نطنز فعال می‌شد (fingerprinting پیشرفته): شبکه Profibus-DP، frequency converterهای Vacon NX (فنلاند) یا Fararo Paya (ایران)، و cascadeهای ۱۶۴ تایی سانتریفیوژهای IR-1 (۶ مرحله با ۲۷-۲۸ ماشین در هر مرحله).

جایگزینی DLL ارتباطی s7otbxdx.dll با نسخه مخرب برای رهگیری بلوک‌های سازمانی OB1 و OB35 در PLCهای Siemens S7-315/417.
دو payload اصلی:
• حمله overpressure: بستن شیرهای ایزوله در مراحل ۱-۲ و ۱۵، افزایش فشار در سانتریفیوژها با غیرفعال کردن سنسورهای فشار و جلوگیری از تخلیه به dump system. ضبط ۲۱ ثانیه داده نرمال (۱۰۶۴ هرتز) و replay جعلی به HMI (WinCC) برای فریب اپراتورها.
• حمله rotor speed: افزایش سرعت به ۱۴۱۰ هرتز (over-speed و رزونانس مرگبار) برای ۱۵ دقیقه، سپس کاهش به ۲ هرتز (فشار استاتیک نامتعادل) برای ۵۰ دقیقه – تکرار هر ۲۷ روز. کد مشروع را suspend می‌کرد و داده‌های جعلی به SCADA می‌فرستاد.
حساس و شوکه‌کننده: این حمله باعث می‌شد سانتریفیوژها از داخل پاره شوند، اما اپراتورها هیچ چیز غیرعادی نمی‌دیدند – منجر به اخراج اشتباه دانشمندان ایرانی به اتهام بی‌کفایتی یا خیانت شد!

نابودی فیزیکی و فریب کامل: استاکس‌نت حدود ۹۰۰ تا ۱۰۰۰ سانتریفیوژ (۱۰-۲۰% ظرفیت نطنز) را نابود کرد، اما نه با انفجار فوری، بلکه با کاهش تدریجی عمر روتورها – شبیه "شیطان در ماشین" که مهندسان ایرانی را دیوانه کرد. IAEA ثبت کرد که ایران هزاران سانتریفیوژ جدید جایگزین کرد، اما ایران آن را "حادثه فنی محدود" نامید.
لو رفتن و گسترش جهانی: کد استاکس‌نت ناخواسته لو رفت و بیش از ۲۰۰,۰۰۰ سیستم را آلوده کرد (۶۰% در ایران)، اما فقط نطنز را نابود کرد. این منجر به variants مانند Duqu (جاسوسی) و Flame (جاسوسی گسترده) شد – بخشی از پلتفرم Tilded که حداقل سه بدافزار دیگر داشت.
ریسک‌های محرمانه: حمله overpressure می‌توانست باعث جامد شدن گاز UF6 و انفجار detectable شود، اما طراحان ریسک را پذیرفتند تا پوشش حفظ شود. هیچ قابلیت remote stop نداشت – پس از مسدود کردن سرورهای C&C توسط ایران در اوت ۲۰۱۰، автоном عمل می‌کرد.
جاسوسی و انگیزه‌های پنهان: استاکس‌نت داده‌ها را exfiltrate می‌کرد و از انتشار برای جمع‌آوری هوش از سایت‌های دیگر استفاده کرد. شوکه‌کننده: ممکن است برای نمایش قابلیت‌های سایبری آمریکا/اسرائیل طراحی شده باشد، نه فقط تأخیر ایران – حتی با ریسک جنگ سایبری متقابل. ایران پس از آن واحد سایبری سپاه را تشکیل داد و حملات متقابل (مانند Shamoon) زد.
اشتباهات و bugs: bugs باعث ری‌بوت سیستم‌ها و BSOD در ایران شد، که منجر به کشف توسط VirusBlokAda در ژوئن ۲۰۱۰ گردید. خودنابودی در ۲۴ ژوئن ۲۰۱۲ برنامه‌ریزی شده بود.

تأثیرات استراتژیک و بلندمدت

تأخیر حداقل ۱ تا ۲ سال در برنامه غنی‌سازی (برخی تخمین‌ها ۱۸ ماه)؛ کاهش نرخ تزریق UF6 و تولید LEU. گزارش‌های IAEA و ISIS جایگزینی گسترده را تأیید کردند.
میراث: استاکس‌نت پارادایم جنگ سایبری را تغییر داد – اولین حمله موفق با آسیب فیزیکی واقعی. اما انتشار کد منبع، چارچوبی برای حملات آینده فراهم کرد. ایران دفاع سایبری‌اش را تقویت کرد و برنامه‌اش را ادامه داد. جهانی: کشورها مانند انگلیس استراتژی سایبری‌شان را بازنگری کردند؛ ریسک false flag و attribution نادرست می‌تواند به جنگ واقعی منجر شود.

یک کمپین مخرب با استفاده از دامنه‌ای جعلی که خود را به‌عنوان سرویس فعال‌سازی ویندوز معرفی می‌کند، کاربران را فریب داده و آن‌ها را به اجرای اسکریپت‌های مخرب PowerShell ترغیب می‌کند. این روش با تکیه بر اعتماد کاربران به فرآیندهای رسمی مایکروسافت، امکان اجرای کد دلخواه را بدون نیاز به فایل اجرایی سنتی فراهم می‌سازد.
کاربران از طریق لینک‌های فریبنده یا صفحات جعلی به محیطی هدایت می‌شوند که ظاهری کاملاً قانونی دارد. در این مرحله، با نمایش پیام‌های اضطراری مرتبط با فعال‌سازی سیستم‌عامل، از کاربر خواسته می‌شود دستورات مشخصی را در PowerShell اجرا کند. اجرای این دستورات منجر به بارگذاری و اجرای بدافزار شده و دسترسی اولیه مهاجم به سیستم را برقرار می‌کند.
اجرای کد مخرب در بستر PowerShell
دانلود و اجرای مؤلفه‌های ثانویه
ایجاد بستر برای حرکت جانبی در شبکه
افزایش ریسک سرقت اطلاعات و تداوم نفوذ
اقدامات پیشگیرانه
منع اجرای دستورات PowerShell از منابع ناشناس
بازبینی سیاست‌های امنیتی برای محدودسازی اجرای اسکریپت‌ها
استفاده از راهکارهای EDR و پایش رفتار اسکریپت‌ها
ارتقای آگاهی کاربران نسبت به فریب‌های مبتنی بر مهندسی اجتماعی

یک آسیب‌پذیری بسیار جدی با شناسه CVE-2025-14847 که به نام MongoBleed شناخته می‌شود، در تعداد زیادی از سرورهای MongoDB کشف و فعالاً مورد سوءاستفاده قرار گرفته است. این نقص به مهاجمان بدون نیاز به احراز هویت و تنها با ارسال بسته‌های شبکهٔ دست‌کاری‌شده اجازه می‌دهد داده‌های حساس را مستقیماً از حافظه سرور استخراج کنند — از جمله گذرواژه‌ها، توکن‌ها، کلیدهای API و اطلاعات پیکربندی.
در بسیاری از موارد، سرورهای MongoDB به‌صورت مستقیم در اینترنت در دسترس هستند و پیکربندی پیش‌فرض شامل فعال بودن فشرده‌سازی zlib می‌شود. نقص در پردازش این بسته‌های فشرده باعث می‌شود حافظهٔ تخصیص‌نیافته به مهاجم بازگردانده شود، که می‌توان از آن برای جمع‌آوری مقادیر بسیار بالایی از اطلاعات حساس استفاده کرد.
برآوردها نشان می‌دهد بیش از ۸۷,۰۰۰ نمونه MongoDB در سطح اینترنت هنوز در نسخه‌های آسیب‌پذیر اجرا می‌شوند که این موضوع سطح ریسک را بسیار بالا می‌برد. این ضعف حتی قبل از احراز هویت قابل سوءاستفاده است، که آن را به یکی از تهدیدات حیاتی برای زیرساخت‌های داده‌ای تبدیل می‌کند.

در یک روش جدید انتشار بدافزار، حملات ClickFix از صفحهٔ جعلی Blue Screen of Death (BSOD) ویندوز به‌عنوان طعمه استفاده می‌کنند. مهاجم با نمایش یک تصویر تمام‌صفحه که دقیقاً شبیه به صفحه خطای سیستم‌عامل است، کاربر را فریب داده و او را به اجرای دستورات مخرب در PowerShell یا ترمینال ترغیب می‌کند.
کاربر به‌واسطه یک لینک فریبنده یا تبلیغات مخرب وارد صفحهٔ جعلی BSOD می‌شود.
صفحهٔ BSOD جعلی به‌گونه‌ای طراحی شده که کاربر فکر می‌کند سیستم واقعاً دچار خطای بحرانی شده است.
با نمایش دستورالعمل‌هایی برای «رفع مشکل»، کاربر تشویق می‌شود چند خط فرمان را در PowerShell یا Run وارد کند.
این دستورات مخرب باعث دانلود و اجرای بدافزار روی سیستم می‌شود و مهاجم کنترل دستگاه را به‌دست می‌گیرد.
از آنجا که صفحهٔ جعلی دقیقاً شبیه به BSOD واقعی است، احتمال فریب کاربران بسیار بالا است.
اجرای دستورات مخرب در سطح PowerShell می‌تواند منجر به نصب ماژول‌های ثانویه، ارتباط با سرورهای کنترل‌ از‌ راه‌ دور، سرقت اطلاعات و حرکت جانبی در شبکه شود.
هیچ‌گاه دستورات PowerShell یا Run را از صفحات ناشناس و پیام‌های هشدار غیررسمی اجرا نکنید.

🔴 اینستاگرام اخیرا یک باگی رو رفع کرده که به مهاجمین امکان میداد تا بصورت انبوه، ایمیل بازنشانی پسورد ارسال کنن.

در همین حال شرکت Malwarebytes هشداری به مشتریاش ارسال و اعلام کرده که بازیگران تهدید تونستن داده های 17.5 میلیون اکانت اینستاگرام رو بدزدن.

این داده ها در چندین فروم بصورت رایگان منتشر شده و کسی که داده ها رو منتشر کرده، اعلام کرده که از طریق یک نشت تایید نشده در API اینستاگرام در سال 2024 جمع آوری کرده.

این مجموعه شامل ۱۷,۰۱۷,۲۱۳ اکانت اینستاگرام و حاوی اطلاعات زیر است (اکانتها اطلاعات مختلفی رو دارن):

- شناسه (ID): ۱۷,۰۱۵,۵۰۳
- نام کاربری: ۱۶,۵۵۳,۶۶۲
- ایمیل: ۶,۲۳۳,۱۶۲
- شماره تلفن: ۳,۴۹۴,۳۸۳
- نام: ۱۲,۴۱۸,۰۰۶
- آدرس: ۱,۳۳۵,۷۲۷

برخی محققین گفتن که داده ها مربوط به سال 2022 هستش و با منابع مختلف تکمیل شده، اما مدرک خاصی نیاوردن.

متا هم اعلام کرده که هیچ رخدادی در خصوص API، در سالهای 2022 و 2024 نداشته.

با توجه به اینکه، این داده ها، شامل پسورد نیست، بنابراین نیازی به تغییر پسورد وجود نداره. اما باید حواستون به فیشینگ باشه.

همچنین توصیه شده اگه پیام یا لینک بازنشانی پسورد رو دریافت کردید که خودتون نفرستادید، توجهی به این پیامها نکنید و همچنین در صورت امکان 2FA رو فعال کنید.

#اینستاگرام
#Instagram

🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)

اطلاعات ۱۷.۵ میلیون اکانت اینستاگرام افشا شده و به صورت عمومی درحال پخش شدن هست.
این اطلاعات شامل یوزرنیم، نام کامل، ایمیل، شماره تلفن، آدرس جزئی و User ID بوده و فیشینگ حرفه‌ای، دزدی اکانت، داکسینگ و حتی خطر فیزیکی (به خاطر آدرس) وجود داره. اگر فعال سیاسی بودی/هستی و در کشور پرریسکی زندگی میکنی، خطر بازداشت جدی هست!

اقدام فوری اینه که رمز قوی و جدید بذاری (از داخل اپ، نه لینک ایمیل!) و اینکه 2FA رو با اپ Authenticator فعال کنی (SMS نه!).

دیتابیس افشا شده از کاربران اینستاگرام بررسی شده و تعداد ۲۱,۴۴۷ کاربر شماره ایران داشتن. هشدار رو جدی بگیرید.

ما دوره آگاهی برگزار نمی‌کنیم؛ ما فرهنگ امنیت می‌سازیم
در اغلب سازمان‌ها، Security Awareness هنوز به‌عنوان یک چک‌لیست تلقی می‌شود: چند کلاس آموزشی، چند اسلاید، یک آزمون، یک گواهی… و پرونده بسته می‌شود.

اما ریسک سایبری با شرکت‌کردن در یک دوره از بین نمی‌رود.
ریسک زمانی کاهش می‌یابد که رفتار انسان‌ها تغییر کند. در سه سال گذشته، Diyako Secure Bow یک مدل ‌
Security Awareness & Culture Engineering
طراحی و اجرا کرده است  مدلی که همسو با چارچوب‌های بین‌المللی مانند CSCU (Certified Secure Computer User) است، اما بسیار فراتر از آموزش عمل می‌کند.

ما هدفمان ساختن کاربران مطلع نبود. ما سیستم‌هایی طراحی کردیم برای ساختن انسان‌های امنیت‌محور، چرا اغلب برنامه‌های Security Awareness شکست می‌خورند بیشتر ارائه‌دهندگان فقط این موارد را تحویل می‌دهند:
• کلاس
• محتوا
• آزمون
• گواهی

اما این‌ها را تحویل نمی‌دهند:
• تغییر واقعی رفتار
• کاهش ریسک انسانی
• بلوغ سازمانی
• شکل‌گیری فرهنگ امنیت

نتیجه؟
سازمان‌هایی با کارکنان آموزش‌دیده اما انسان‌هایی همچنان آسیب‌پذیر.
این همان شکافی است که دیاکو برای پرکردن آن به‌وجود آمد.
ما چه کاری متفاوت انجام می‌دهیم؟

مدل ما بر سه ستون بنیادی استوار است:
۱. ترجمه ریسک سایبری به زبان انسان
ما تهدیدات پیچیده‌ای مثل:
فیشینگ، مهندسی اجتماعی، سرقت هویت، بدافزار و نشت داده
را به سناریوهایی تبدیل می‌کنیم که هر کارمند در زندگی روزمره‌اش لمس می‌کند ایمیل، واتساپ، موبایل، بانکداری دیجیتال، فضای ابری، ابزارهای همکاری سازمانی.

در این مدل، امنیت:
دیگر یک مفهوم فنی نیست، بلکه یک واقعیت شخصی است.
⸻
۲. ما رفتار را مهندسی می‌کنیم، نه حافظه را
برنامه‌های ما برای تغییر عادت‌ها طراحی شده‌اند:
• کاربران ایمیل‌های مشکوک را گزارش می‌کنند
• روی لینک‌های ناشناس کلیک نمی‌کنند
• از هویت و اعتبارنامه‌های خود محافظت می‌کنند
• دستگاه‌ها و داده‌ها را به‌عنوان دارایی سازمانی می‌بینند

این یعنی حرکت واقعی از:
آگاهی به  رفتار و به فرهنگ و این همان جایی است که امنیت واقعی آغاز می‌شود.
⸻
۳. ما بلوغ را اندازه می‌گیریم، نه سایر المان ها را! ما این موارد را پایش می‌کنیم:
• میزان کاهش ریسک انسانی
• انطباق رفتاری کاربران
• مقاومت در برابر مهندسی اجتماعی
• کیفیت واکنش به رخدادهای امنیتی

نتیجه این‌که‌چه میزان ریسک از سازمان حذف شده است.
⸻
نتیجه چیست؟
سازمان‌هایی که مدل دیاکو را پیاده کرده‌اند، فقط کارکنان خود را آموزش ندادند، آن‌ها دیوار آتش انسانی (Human Firewall) ساختند. امنیت تبدیل شد به بخشی از طرز فکر، تصمیم‌گیری و رفتار روزمره افراد نه صرفا چیزی که می‌دانند.

CSCU
فقط یک مدرک نیست، یک طرز فکر است فلسفه آن ساده است:
«هر کاربر، یک کنترل امنیتی است.»

در کمان امن دیاکو ما این فلسفه را از فایل‌های شیک پی دی اف محور خارج کردیم و آن را در DNA سازمان‌ها تزریق کردیم.

اگر سازمان شما به دنبال:
• کاهش واقعی احتمال نفوذ
• افزایش تاب‌آوری سایبری
• فرهنگ امنیت پایدار
• حاکمیت ریسک انسانی در سطح CISO
است، شما به «یک دوره دیگر» نیاز ندارید.
شما به Security Culture Engineering نیاز دارید

اولین آشنایی من با دنیای مرکز عملیات امنیت و پاسخدهی به حملات سایبری برمی‌گردد به سال‌های ۱۳۸۹–۱۳۹۰؛ زمانی که با اولین و بزرگ‌ترین پروژه امنیت سایبری در ایران درگیر شدم. محصول سیم محبوب آن روزها، آرک سایت و کانکتورهای متنوع و جذابش هنوز هم در خاطرم زنده است. زیرساخت کشور، بعد هم پروژه مرکز عملیات امنیت طرح بانک ملت  و ...
یادش به‌خیر
امروز در سال ۱۴۰۴، حدود ۱۴–۱۵ سال از آن پروژه گذشته، اما خاطره روزهایی که با دست خالی، بدون مشاور تخصصی و بدون منابع کامل، کار را جلو می‌بردیم هنوز تازه است. کارِ گِل‌سخت اما شیرینی که پایه‌های تجربه من در حوزه مدیریت رویدادهای امنیتی را ساخت. از آقای نمازی و مدیر واحد آرش غلام ابوالفضل، تا سایر تیم های دیگه سیستمی مثل واحد مدیریت امنیت اطلاعات خانم حیرانی  ... و یا واحد امنیت شبکه مهیار سکوت ... 😍
عباس جان، کجایی؟ !
35 شهر ماموریت
هر استان 2-3 مرتبه
دان تایم ساعت3 بامداد هر استان، مجوز، بی برنامگی و ... کلی چالش بدیهی!
IPS - کانکتور .... ترافیک بالا پایین هر استان و نت مرکز استان
  یادش بخیر، هر کی هم از کنار پروژه رد می شود اسم ابزار ها می رفت توی رزومش بعد باهاش مصاحبه میکردی تا حالا لاگین نکرده بود توی داشبورد : دی
سال ها بعد هر کی میرفت خارجه و مهاجرت در پی وی ام دنبال لیست آی پی و پسورد ها بود، چرا حالا خدا داند!!!! بگذریم

- قدیم و بیشتر دوست داشتم کیفیت ادم ها بهتر بود شاید : شاید!

اهمیت راه‌اندازی و استمرار مرکز عملیات امنیت
مرکز عملیات امنیت، قلب تپنده نظارت و پاسخ‌گویی به تهدیدهای فضای مجازی در هر سازمان است. ایجاد این مرکز تنها آغاز مسیر است؛ ارزش واقعی آن در پایداری و بهبود پیوسته نهفته است

یک مرکز فعال و مداوم:
به‌صورت شبانه‌روزی تهدیدها را شناسایی و مهار می‌کند
با بررسی رویدادهای گذشته و روندهای جاری، پیش‌بینی حملات آینده را ممکن می‌سازد
با به‌روزرسانی مداوم روش‌ها، ابزارها و توانمندی‌های تیم، سطح بلوغ امنیتی سازمان را ارتقا می‌دهد
تضمین می‌کند که سرمایه‌گذاری‌های امنیتی به بیشترین بازدهی برسد و خطرها در سطح قابل قبول باقی بماند
مرکز عملیات امنیت بدون استمرار، مانند سامانه هشدار خاموش است؛ شاید ظاهرش برقرار باشد، اما در زمان بحران کارایی نخواهد داشت

با وجود گذشت بیش از یک دهه سطح تخصص و دانش آنچه که مشخص است رشدش صعودی نبوده و به جای کسب تخصص بیشتر تایتل و رزومه ها قشنگ شدن تا عمق تخصص
و دانش ها بعضا متاسفانه سطحی است