نسخه آخر جدول مایتره ، نقطه عطفی در تکامل Detection Engineering محسوب میشود، زیرا تمرکز ATT&CK را از توصیف متنی رفتار مهاجم به تشخیصهای اجرایی و مبتنی بر داده منتقل میکند. در نسخههای پیشین، guidanceهای تشخیصی عمدتاً کلی و وابسته به تفسیر تحلیلگر بودند، اما v18 با معرفی دو مفهوم کلیدی Detection Strategies و Analytics این شکاف را پر میکند.
مقوله Detection Strategy نشان میدهد چه نوع رفتار مخربی باید شکار شود، در حالی که Analytics منطق شبهکدی دقیقی ارائه میدهد که این رفتار چگونه در تلهمتری قابل مشاهده است. این رویکرد امکان ساخت Detectionهای مقاومتر، کاهش False Positive و حرکت از Alertهای تکرویدادی به روایتهای رفتاری چندمرحلهای را فراهم میکند.
در ATT&CK v18 بهطور طبیعی با SIEM، UEBA و Risk Scoring همراستا شده و Detection Engineering را از یک فعالیت تجربی به یک فرآیند مهندسیشده، قابل تکرار و قابل اندازهگیری تبدیل میکند.
https://vrgl.ir/2U3Wr
مقوله Detection Strategy نشان میدهد چه نوع رفتار مخربی باید شکار شود، در حالی که Analytics منطق شبهکدی دقیقی ارائه میدهد که این رفتار چگونه در تلهمتری قابل مشاهده است. این رویکرد امکان ساخت Detectionهای مقاومتر، کاهش False Positive و حرکت از Alertهای تکرویدادی به روایتهای رفتاری چندمرحلهای را فراهم میکند.
در ATT&CK v18 بهطور طبیعی با SIEM، UEBA و Risk Scoring همراستا شده و Detection Engineering را از یک فعالیت تجربی به یک فرآیند مهندسیشده، قابل تکرار و قابل اندازهگیری تبدیل میکند.
https://vrgl.ir/2U3Wr
❤11
پیادهسازی موفق مدیریت ریسک نتیجه تعامل پویا میان عوامل درونسازمانی و برونسازمانی است. بلوغ سازمانی در مرکز قرار دارد و تحت تأثیر مستقیم فرهنگ سازمانی، ساختار مدیریتی و حمایت مدیریت ارشد شکل میگیرد. فرهنگ، نگرش کارکنان به ریسک را تعیین میکند و حمایت مدیریت، منابع و اعتبار لازم را فراهم میسازد. ساختار مدیریتی نیز مسئولیتپذیری و جریان تصمیمگیری ریسک را مشخص میکند. از سوی دیگر، شرایط بازار و الزامات قانونی و مقرراتی بهعنوان عوامل بیرونی، جهتگیری و محدودیتهای مدیریت ریسک را تعیین میکنند. عدم توازن در هر یک از این عوامل، اثربخشی کل سیستم مدیریت ریسک را تضعیف میکند.
متن کامل مقاله را در ویرگول نوشته ام
https://vrgl.ir/rmN1W
متن کامل مقاله را در ویرگول نوشته ام
https://vrgl.ir/rmN1W
❤4
دو دسته ریسک که متخصصان امنیت با سبقه فنی، سخت درک میکنند
بسیاری از متخصصان امنیت اطلاعات درک خود از ریسک را به لایه دارایی محدود میکنند و ریسک را عمدتاً در قالب آسیبپذیریهای فنی، پیکربندی نادرست یا ضعفهای معماری میبینند. در حالیکه بخش عمده و تعیینکننده ریسکهای سایبری در دو لایه بالاتر، یعنی سطح سازمانی و سطح فرآیندی شکل میگیرد. ریسک در سطح سازمانی ریشه در فرهنگ، تصمیمهای راهبردی، میزان حمایت مدیریت ارشد و تعریف تحمل ریسک دارد و جهت کلی اقدامات امنیتی را تعیین میکند. در سطح فرآیندی نیز طراحی و اجرای ناکارآمد سیاستها و فرآیندهای کسبوکار میتواند حتی در حضور کنترلهای فنی قوی، زمینهساز رخدادهای امنیتی جدی شود.
در ویرگول مفصل بخوانید
https://vrgl.ir/Lu1VM
بسیاری از متخصصان امنیت اطلاعات درک خود از ریسک را به لایه دارایی محدود میکنند و ریسک را عمدتاً در قالب آسیبپذیریهای فنی، پیکربندی نادرست یا ضعفهای معماری میبینند. در حالیکه بخش عمده و تعیینکننده ریسکهای سایبری در دو لایه بالاتر، یعنی سطح سازمانی و سطح فرآیندی شکل میگیرد. ریسک در سطح سازمانی ریشه در فرهنگ، تصمیمهای راهبردی، میزان حمایت مدیریت ارشد و تعریف تحمل ریسک دارد و جهت کلی اقدامات امنیتی را تعیین میکند. در سطح فرآیندی نیز طراحی و اجرای ناکارآمد سیاستها و فرآیندهای کسبوکار میتواند حتی در حضور کنترلهای فنی قوی، زمینهساز رخدادهای امنیتی جدی شود.
در ویرگول مفصل بخوانید
https://vrgl.ir/Lu1VM
❤4
#موقت
تابآوری سایبری به توانایی سیستمها، سازمانها و افراد برای مقابله و بازگشت به وضعیت عادی پس از حملات سایبری اشاره دارد. این مفهوم شامل پیشگیری، شناسایی، پاسخ به تهدیدات و بازیابی سریع است.
استانداردهای مربوط به تابآوری سایبری به سازمانها کمک میکنند تا سیستمهای امنیتی خود را تقویت کرده و در صورت بروز حملات سایبری به سرعت واکنش نشان دهند.
ساعت 6:36دقیقه صبح است و دوساعت است که از ضبط دوره آفلاین مدیر امنیت CISO گذشته است . باید جمع کنم و برم سراغ کار روزانه. ۱۶ دیماه ۱۴۰۴
ضمنا میتونید در این دوره همراه من باشید به واتس اپ یا بله 09902857290 پیام بدین.
تابآوری سایبری به توانایی سیستمها، سازمانها و افراد برای مقابله و بازگشت به وضعیت عادی پس از حملات سایبری اشاره دارد. این مفهوم شامل پیشگیری، شناسایی، پاسخ به تهدیدات و بازیابی سریع است.
استانداردهای مربوط به تابآوری سایبری به سازمانها کمک میکنند تا سیستمهای امنیتی خود را تقویت کرده و در صورت بروز حملات سایبری به سرعت واکنش نشان دهند.
ساعت 6:36دقیقه صبح است و دوساعت است که از ضبط دوره آفلاین مدیر امنیت CISO گذشته است . باید جمع کنم و برم سراغ کار روزانه. ۱۶ دیماه ۱۴۰۴
ضمنا میتونید در این دوره همراه من باشید به واتس اپ یا بله 09902857290 پیام بدین.
❤7💯3
👌3❤2
امروز میخونم
https://medium.com/@PhoenixIndicus/when-a-shellcode-alert-is-just-windows-being-windows-f42e3964d49e
https://medium.com/@PhoenixIndicus/when-a-shellcode-alert-is-just-windows-being-windows-f42e3964d49e
Medium
When a Shellcode Alert Is Just Windows Being Windows
A real-world DFIR case where a Cortex XDR shellcode alert turned out to be legitimate Windows behavior. A reflection on process trees, RPC…
👍2
خوندن امشب
سلسله مقالاتی جذاب
ضمنا : خدابزرگه
https://sud0ru.ghost.io/windows-inter-process-communication-a-deep-dive-beyond-the-surface-part-7/
سلسله مقالاتی جذاب
ضمنا : خدابزرگه
https://sud0ru.ghost.io/windows-inter-process-communication-a-deep-dive-beyond-the-surface-part-7/
Sud0Ru
Windows Inter Process Communication A Deep Dive Beyond the Surface - Part 7
Welcome to the new part of the IPC series. This is the sixth part, about RPC, where we will talk about external tools you can use to conduct RPC research.
To get good research results you need a good toolset, tools that help you reach your goal without spending…
To get good research results you need a good toolset, tools that help you reach your goal without spending…
👍2🙏2
🙏1
چرا درک روحیه و تفکر امنیتی برای برخی افراد دشوار است؟
مایندست ( تفکر و روحیه) امنیتی صرفاً مجموعهای از دانش فنی یا ابزارهای کنترلی نیست، بلکه شیوهای متفاوت از فکر کردن به سیستمها، انسانها و ریسک است. دشواری درک این مایندست از آنجا ناشی میشود که امنیت، برخلاف بسیاری از حوزهها، برخلاف جریان طبیعی ذهن انسان حرکت میکند.
ذهن انسان عادت دارد به «کارکرد درست» فکر کند؛ اینکه یک سیستم چگونه طراحی شده تا بهدرستی عمل کند. اما ذهن امنیتی بهدنبال کشف «نقطه شکست» است؛ اینکه سیستم چگونه، کِی و توسط چه کسی میتواند مورد سوءاستفاده قرار گیرد. این تغییر زاویه نگاه، برای بسیاری افراد ناخوشایند و حتی استرسزاست.
از سوی دیگر، امنیت با عدم قطعیت دائمی همراه است. در امنیت، پاسخ قطعی وجود ندارد؛ فقط احتمال، سناریو و ریسک وجود دارد. بسیاری از افراد ترجیح میدهند در چارچوب دستورالعملهای شفاف و خروجیهای قابل اندازهگیری کار کنند، در حالی که موفقیت در امنیت اغلب به معنای «اتفاق نیفتادن» است؛ مفهومی که برای ذهن نتیجهمحور رضایتبخش نیست.
مایندست و روحیه امنیتی همچنین مستلزم نوعی بیاعتمادی حرفهای است؛ فرض بر این است که کاربر ممکن است خطا کند، سیستم ممکن است شکست بخورد و کنترلها ممکن است دور زده شوند. این نگرش برای افرادی که به اعتماد پیشفرض عادت دارند، سخت و گاه منفی تلقی میشود.
در نهایت، درک امنیت بار مسئولیت ذهنی و اخلاقی به همراه دارد. کسی که ریسک را میبیند، دیگر نمیتواند آن را نادیده بگیرد. به همین دلیل، همه میتوانند ابزار امنیتی یاد بگیرند، اما همه حاضر نیستند مایندست امنیتی را بپذیرند.
#آکادمی_روزبه
مرکز تخصصی آموزش و مهارت افزایی مدیر امنیت CISO
مایندست ( تفکر و روحیه) امنیتی صرفاً مجموعهای از دانش فنی یا ابزارهای کنترلی نیست، بلکه شیوهای متفاوت از فکر کردن به سیستمها، انسانها و ریسک است. دشواری درک این مایندست از آنجا ناشی میشود که امنیت، برخلاف بسیاری از حوزهها، برخلاف جریان طبیعی ذهن انسان حرکت میکند.
ذهن انسان عادت دارد به «کارکرد درست» فکر کند؛ اینکه یک سیستم چگونه طراحی شده تا بهدرستی عمل کند. اما ذهن امنیتی بهدنبال کشف «نقطه شکست» است؛ اینکه سیستم چگونه، کِی و توسط چه کسی میتواند مورد سوءاستفاده قرار گیرد. این تغییر زاویه نگاه، برای بسیاری افراد ناخوشایند و حتی استرسزاست.
از سوی دیگر، امنیت با عدم قطعیت دائمی همراه است. در امنیت، پاسخ قطعی وجود ندارد؛ فقط احتمال، سناریو و ریسک وجود دارد. بسیاری از افراد ترجیح میدهند در چارچوب دستورالعملهای شفاف و خروجیهای قابل اندازهگیری کار کنند، در حالی که موفقیت در امنیت اغلب به معنای «اتفاق نیفتادن» است؛ مفهومی که برای ذهن نتیجهمحور رضایتبخش نیست.
مایندست و روحیه امنیتی همچنین مستلزم نوعی بیاعتمادی حرفهای است؛ فرض بر این است که کاربر ممکن است خطا کند، سیستم ممکن است شکست بخورد و کنترلها ممکن است دور زده شوند. این نگرش برای افرادی که به اعتماد پیشفرض عادت دارند، سخت و گاه منفی تلقی میشود.
در نهایت، درک امنیت بار مسئولیت ذهنی و اخلاقی به همراه دارد. کسی که ریسک را میبیند، دیگر نمیتواند آن را نادیده بگیرد. به همین دلیل، همه میتوانند ابزار امنیتی یاد بگیرند، اما همه حاضر نیستند مایندست امنیتی را بپذیرند.
#آکادمی_روزبه
مرکز تخصصی آموزش و مهارت افزایی مدیر امنیت CISO
👍5❤3
جایگاه فارنزیک در ISO/IEC 27001
در ISO 27001:2022، فارنزیک عمدتاً از سه منظر پوشش داده میشود:
آمادگی برای Incident Response، قابلیت جمعآوری شواهد قابل اتکا، و حفظ اعتبار حقوقی شواهد. این سه محور در Annex A پخش شدهاند و اگر سازمان آنها را درست پیاده نکند، هرگونه DFIR بعدی از نظر فنی و حقوقی ضعیف خواهد بود.
کنترلهای کلیدی ISO 27001 مرتبط با فارنزیک
A.5.24 – Information security incident management planning and preparation
این کنترل پایهایترین ارتباط با فارنزیک را دارد. ISO انتظار دارد سازمان قبل از وقوع رخداد مشخص کرده باشد که در صورت Incident، شواهد چگونه جمعآوری، نگهداری و تحلیل میشوند. بدون این آمادگی، هر اقدامی بعد از رخداد میتواند Chain of Custody را بشکند. این کنترل نقطه اتصال ISO 27001 به DFIR واقعی است.
A.5.25 – Assessment and decision on information security events
در این کنترل، سازمان باید بتواند تشخیص دهد کدام Event یک Incident واقعی است. این دقیقاً همان جایی است که تحلیل Timeline، Correlation و Artifact Analysis وارد بازی میشود. اگر شواهد قابل تحلیل وجود نداشته باشد، این کنترل فقط روی کاغذ اجرا شده است.
A.5.26 – Response to information security incidents
پاسخ به رخداد بدون شواهد قابل اتکا، بیشتر شبیه واکنش احساسی است تا Incident Response. این کنترل بهطور ضمنی نیازمند لاگها، Artifactها و دادههایی است که بعداً بتوان آنها را بهصورت فارنزیکی تحلیل کرد.
A.8.15 – Logging
این کنترل ستون فقرات فارنزیک است. ISO صراحتاً از Logging صحبت میکند، اما از دید فنی، منظور صرفاً فعال بودن لاگ نیست، بلکه کیفیت، جامعیت و همزمانی زمانی لاگهاست. بدون لاگهای مناسب، ابزارهایی مثل Plaso، SIEM Timeline یا Memory Forensics عملاً کور میشوند.
A.8.16 – Monitoring activities
مانیتورینگ مناسب باعث میشود نقاط شروع Timeline مشخص باشند. فارنزیک بدون knowing when to look، هزینهبر و ناقص میشود. این کنترل پیشنیاز کشف نقطه ورود و Scope Incident است.
A.8.17 – Clock synchronization
این کنترل اغلب دستکم گرفته میشود، اما از دید فارنزیک حیاتی است. اگر NTP و Time Sync درست نباشد، Timeline Analysis میتواند کاملاً گمراهکننده باشد. اختلاف چند دقیقهای بین سیستمها میتواند ترتیب واقعی حمله را مخدوش کند.
A.5.28 – Collection of evidence
این تنها کنترلی است که مستقیماً به Evidence اشاره میکند. ISO انتظار دارد شواهد بهگونهای جمعآوری شوند که از نظر حقوقی و انضباطی معتبر باشند. این کنترل مستقیماً به مفاهیمی مثل Chain of Custody، Integrity، Hashing و Repeatability گره خورده است و قلب فارنزیک رسمی محسوب میشود.
از دید ISO 27001، فارنزیک یک ابزار اختیاری نیست، بلکه نتیجه طبیعی اجرای صحیح مجموعهای از کنترلها است. اگر سازمانی بگوید «ISO 27001 داریم» اما لاگ مناسب، Time Sync، فرآیند Evidence Collection و Incident Handling تعریفشده نداشته باشد، در عمل قابلیت فارنزیک ندارد، حتی اگر گواهی هم گرفته باشد.
نکته مهمی که معمولاً Auditorها هم دچار خطا میشوند این است که ISO 27001 چارچوب قابلیتسازی است، نه دستورالعمل DFIR. ابزارهایی مثل SANS SIFT، Plaso یا Volatility زمانی ارزش دارند که این کنترلها از قبل درست پیاده شده باشند.
#آکادمی_روزبه
مرکز تخصصی آموزش و مهارت افزایی مدیر امنیت CISO
در ISO 27001:2022، فارنزیک عمدتاً از سه منظر پوشش داده میشود:
آمادگی برای Incident Response، قابلیت جمعآوری شواهد قابل اتکا، و حفظ اعتبار حقوقی شواهد. این سه محور در Annex A پخش شدهاند و اگر سازمان آنها را درست پیاده نکند، هرگونه DFIR بعدی از نظر فنی و حقوقی ضعیف خواهد بود.
کنترلهای کلیدی ISO 27001 مرتبط با فارنزیک
A.5.24 – Information security incident management planning and preparation
این کنترل پایهایترین ارتباط با فارنزیک را دارد. ISO انتظار دارد سازمان قبل از وقوع رخداد مشخص کرده باشد که در صورت Incident، شواهد چگونه جمعآوری، نگهداری و تحلیل میشوند. بدون این آمادگی، هر اقدامی بعد از رخداد میتواند Chain of Custody را بشکند. این کنترل نقطه اتصال ISO 27001 به DFIR واقعی است.
A.5.25 – Assessment and decision on information security events
در این کنترل، سازمان باید بتواند تشخیص دهد کدام Event یک Incident واقعی است. این دقیقاً همان جایی است که تحلیل Timeline، Correlation و Artifact Analysis وارد بازی میشود. اگر شواهد قابل تحلیل وجود نداشته باشد، این کنترل فقط روی کاغذ اجرا شده است.
A.5.26 – Response to information security incidents
پاسخ به رخداد بدون شواهد قابل اتکا، بیشتر شبیه واکنش احساسی است تا Incident Response. این کنترل بهطور ضمنی نیازمند لاگها، Artifactها و دادههایی است که بعداً بتوان آنها را بهصورت فارنزیکی تحلیل کرد.
A.8.15 – Logging
این کنترل ستون فقرات فارنزیک است. ISO صراحتاً از Logging صحبت میکند، اما از دید فنی، منظور صرفاً فعال بودن لاگ نیست، بلکه کیفیت، جامعیت و همزمانی زمانی لاگهاست. بدون لاگهای مناسب، ابزارهایی مثل Plaso، SIEM Timeline یا Memory Forensics عملاً کور میشوند.
A.8.16 – Monitoring activities
مانیتورینگ مناسب باعث میشود نقاط شروع Timeline مشخص باشند. فارنزیک بدون knowing when to look، هزینهبر و ناقص میشود. این کنترل پیشنیاز کشف نقطه ورود و Scope Incident است.
A.8.17 – Clock synchronization
این کنترل اغلب دستکم گرفته میشود، اما از دید فارنزیک حیاتی است. اگر NTP و Time Sync درست نباشد، Timeline Analysis میتواند کاملاً گمراهکننده باشد. اختلاف چند دقیقهای بین سیستمها میتواند ترتیب واقعی حمله را مخدوش کند.
A.5.28 – Collection of evidence
این تنها کنترلی است که مستقیماً به Evidence اشاره میکند. ISO انتظار دارد شواهد بهگونهای جمعآوری شوند که از نظر حقوقی و انضباطی معتبر باشند. این کنترل مستقیماً به مفاهیمی مثل Chain of Custody، Integrity، Hashing و Repeatability گره خورده است و قلب فارنزیک رسمی محسوب میشود.
از دید ISO 27001، فارنزیک یک ابزار اختیاری نیست، بلکه نتیجه طبیعی اجرای صحیح مجموعهای از کنترلها است. اگر سازمانی بگوید «ISO 27001 داریم» اما لاگ مناسب، Time Sync، فرآیند Evidence Collection و Incident Handling تعریفشده نداشته باشد، در عمل قابلیت فارنزیک ندارد، حتی اگر گواهی هم گرفته باشد.
نکته مهمی که معمولاً Auditorها هم دچار خطا میشوند این است که ISO 27001 چارچوب قابلیتسازی است، نه دستورالعمل DFIR. ابزارهایی مثل SANS SIFT، Plaso یا Volatility زمانی ارزش دارند که این کنترلها از قبل درست پیاده شده باشند.
#آکادمی_روزبه
مرکز تخصصی آموزش و مهارت افزایی مدیر امنیت CISO
👌5
در شرایط عدم قطعیت چه کنیم ؟
** پاسخی بر مقاله مشکلات عدم قطعیت که در لینکدین نوشتم
آدمهای حرفهای حذفکنندهٔ عدم قطعیت نیستند؛ مدیرِ آناند. تفاوتشان نه در دانستنِ بیشتر، بلکه در نحوهٔ رابطهشان با ندانستن است.
آنها اول یک تمایز حیاتی را یاد میگیرند: «کنترل» با «قطعیت» یکی نیست. پزشک، خلبان یا تحلیلگر امنیت میداند که آینده مبهم است، اما میداند در هر لحظه چه چیزی در کنترل اوست. همین مرزبندی ساده، بخش بزرگی از فشار روانی را خنثی میکند. ذهن وقتی بداند کجا مسئول است و کجا نه، آرامتر تصمیم میگیرد.
دوم، آنها بهجای پاسخ قطعی، با سناریو کار میکنند. ذهن انسان از «یک آینده نامعلوم» میترسد، اما با «چند آیندهٔ ممکن» کنار میآید. خلبان نمیگوید «نمیدانم چه میشود»، میگوید «اگر X شد، Y میکنم». تحلیلگر امنیت هم دنبال قطعیت نیست؛ دنبال احتمال + پیامد است. این یعنی تبدیل اضطراب مبهم به تصمیم عملی.
سوم، حرفهایها بار تصمیم را از ذهن به رویه و ابزار منتقل میکنند. چکلیست، پروتکل، Runbook، SOP دقیقاً برای همین ساخته شدهاند: تا ذهن مجبور نباشد هر بار از صفر تصمیم بگیرد. این کار از فرسودگی شناختی جلوگیری میکند. به زبان ساده، آنها مغزشان را برای «فکر کردن» نگه میدارند، نه برای «به یاد آوردن».
چهارم، آنها رابطهشان با خطا را بازتعریف میکنند. برای فرد عادی، خطا یعنی شکست هویتی؛ برای حرفهای، خطا یعنی داده. پزشک خوب از اشتباه میآموزد بدون اینکه خودش را با آن یکی بداند. این جداسازی «من» از «نتیجه» سپر روانی بسیار قدرتمندی است در برابر عدم قطعیت.
پنجم، و شاید عمیقترین نکته: آنها بهجای امید به آرامش، به تحملپذیری تکیه میکنند. یعنی انتظار ندارند اضطراب صفر شود؛ یاد میگیرند با وجود اضطراب کار درست را انجام دهند. این همان بلوغ حرفهای است: عملِ مسئولانه در شرایط ناقص.
اگر بخواهم در یک جمله جمعبندی کنم، آدمهای حرفهای این را پذیرفتهاند که
قطعیت پاداشِ کار نیست؛ ثباتِ در تصمیمگیری پاداش است.
#آکادمی_روزبه
** پاسخی بر مقاله مشکلات عدم قطعیت که در لینکدین نوشتم
آدمهای حرفهای حذفکنندهٔ عدم قطعیت نیستند؛ مدیرِ آناند. تفاوتشان نه در دانستنِ بیشتر، بلکه در نحوهٔ رابطهشان با ندانستن است.
آنها اول یک تمایز حیاتی را یاد میگیرند: «کنترل» با «قطعیت» یکی نیست. پزشک، خلبان یا تحلیلگر امنیت میداند که آینده مبهم است، اما میداند در هر لحظه چه چیزی در کنترل اوست. همین مرزبندی ساده، بخش بزرگی از فشار روانی را خنثی میکند. ذهن وقتی بداند کجا مسئول است و کجا نه، آرامتر تصمیم میگیرد.
دوم، آنها بهجای پاسخ قطعی، با سناریو کار میکنند. ذهن انسان از «یک آینده نامعلوم» میترسد، اما با «چند آیندهٔ ممکن» کنار میآید. خلبان نمیگوید «نمیدانم چه میشود»، میگوید «اگر X شد، Y میکنم». تحلیلگر امنیت هم دنبال قطعیت نیست؛ دنبال احتمال + پیامد است. این یعنی تبدیل اضطراب مبهم به تصمیم عملی.
سوم، حرفهایها بار تصمیم را از ذهن به رویه و ابزار منتقل میکنند. چکلیست، پروتکل، Runbook، SOP دقیقاً برای همین ساخته شدهاند: تا ذهن مجبور نباشد هر بار از صفر تصمیم بگیرد. این کار از فرسودگی شناختی جلوگیری میکند. به زبان ساده، آنها مغزشان را برای «فکر کردن» نگه میدارند، نه برای «به یاد آوردن».
چهارم، آنها رابطهشان با خطا را بازتعریف میکنند. برای فرد عادی، خطا یعنی شکست هویتی؛ برای حرفهای، خطا یعنی داده. پزشک خوب از اشتباه میآموزد بدون اینکه خودش را با آن یکی بداند. این جداسازی «من» از «نتیجه» سپر روانی بسیار قدرتمندی است در برابر عدم قطعیت.
پنجم، و شاید عمیقترین نکته: آنها بهجای امید به آرامش، به تحملپذیری تکیه میکنند. یعنی انتظار ندارند اضطراب صفر شود؛ یاد میگیرند با وجود اضطراب کار درست را انجام دهند. این همان بلوغ حرفهای است: عملِ مسئولانه در شرایط ناقص.
اگر بخواهم در یک جمله جمعبندی کنم، آدمهای حرفهای این را پذیرفتهاند که
قطعیت پاداشِ کار نیست؛ ثباتِ در تصمیمگیری پاداش است.
#آکادمی_روزبه
👏4❤3
چطور مطالعه دروس تخصصی در این شرایط میتونه بهتون کمک کنه
این مساله در واقع از «مطالعه» عبور میکند و به «نقش شناختی و وجودی تخصص امنیت» میرسد. برای کسی که در حوزه امنیت کار میکند، مطالعه نه یک فعالیت جانبی است و نه صرفاً ابزار ارتقای شغلی؛ بلکه میتواند به یکی از معدود مکانیسمهای سالمِ کنترل تنش، افسردگی، احساس ناامنی و عدم قطعیت تبدیل شود، البته فقط اگر آگاهانه و درست استفاده شود. اگر نادرست باشد، دقیقاً برعکس عمل میکند و فرسودگی را تشدید میکند.
ذهن متخصص امنیت بهطور ذاتی برای دیدن تهدید تربیت شده است. این ذهن همیشه بهدنبال نشانه، الگو، ضعف، سوءاستفاده و سناریوی شکست میگردد. در شرایط عادی، این ویژگی مزیت حرفهای است، اما در شرایط ناامن اجتماعی و سیاسی، همین ویژگی میتواند به دام تبدیل شود؛ چون تهدیدهای بیرونی دیگر محدود، قابل اندازهگیری و قابل مهار نیستند. نتیجه این میشود که ذهن تحلیلگر، که نمیتواند «تحلیل نکند»، شروع میکند به تحلیل خودِ زندگی، آینده، کشور و سرنوشت، بدون اینکه دادهی کافی یا امکان مداخله داشته باشد. اینجاست که اضطراب مزمن و افسردگی شکل میگیرد.
مطالعه تخصصی امنیت، اگر عمیق و مفهومی باشد، یک کار بسیار مهم انجام میدهد: تهدید را از حالت مبهم و بیشکل به حالت مدلپذیر و ساختیافته برمیگرداند. وقتی روی Threat Modeling، DFIR، Incident Analysis، Governance یا حتی معماریهای امنیتی مطالعه میکنیم، مغز دوباره وارد جهانی میشود که در آن تهدید مرحله دارد، علت دارد، پیامد دارد و مهمتر از همه «قابل فهم» است. این کار مستقیماً احساس ناامنی را کاهش میدهد، نه به این دلیل که دنیا امنتر شده، بلکه چون ذهن دوباره حس میکند در برابر تهدید، کاملاً ناتوان نیست.
از نظر روانی، یکی از ریشههای اصلی افسردگی در متخصصان امنیت، احساس بیاثری است. ما میفهمیم چه اتفاقی در حال افتادن است، اما نمیتوانیم تغییرش بدهیم. مطالعه تخصصی عمیق این چرخه را میشکند، چون به مغز فرصت «اثرگذاری شناختی» میدهد. وقتی یک حمله را دقیقتر از قبل میفهمیم، وقتی یک Control را بهتر تحلیل میکنیم، یا وقتی میبینیم چرا یک سازمان شکست خورده، مغز تجربهی پیشرفت واقعی میکند. این پیشرفت شاید بیرونی نباشد، اما برای سیستم عصبی کاملاً واقعی است و جلوی فروپاشی روانی را میگیرد.
نکته مهم دیگر این است که مطالعه تخصصی، نشخوار ذهنی را به تحلیل واقعی تبدیل میکند. نشخوار یعنی فکر کردن مداوم بدون ساختار و بدون خروجی؛ تحلیل یعنی فکر کردن با چارچوب، فرضیه، وزندهی شواهد و نتیجهگیری موقت. ذهن تحلیلگر اگر تحلیل نکند، نشخوار میکند. مطالعه درست، ذهن را مجبور میکند دوباره تحلیلگر باشد، نه قربانی افکار. این تفاوت کوچک، از نظر روانی حیاتی است.
در سطح عمیقتر، مطالعه تخصصی به حفظ هویت کمک میکند. در بحرانهای اجتماعی، بسیاری از هویتها فرو میریزند: شهروند بودن، آیندهدار بودن، حتی امید داشتن. اما هویت حرفهای اگر زنده بماند، میتواند ستون روان شود. وقتی شما هنوز میخوانید، میفهمید و تحلیل میکنید، به خودتون یادآوری میکنید که «من فقط محصول این شرایط نیستم؛ من توان فهم دارم». این برای متخصص امنیت بسیار مهم است، چون ارزش ما صرفاً در شغل یا درآمد نیست، بلکه در شیوه دیدن جهان است.
البته این فقط یک روی ماجراست. اگر نوع مطالعه اشتباه انتخاب شود، نتیجه معکوس خواهد داشت. غرق شدن در اخبار امنیتی، Breachهای پیدرپی، فاجعهها و مقایسه دائمی خود با بازار جهانی، ذهن را بیشتر در وضعیت تهدید نگه میدارد. چنین مطالعهای اضطراب را تشدید میکند، چون به مغز پیام میدهد که «همهچیز در حال فروپاشی است و تو عقب ماندهای». مطالعهای که کمک میکند، مطالعهای است که عمق میدهد، نه هراس.
در نهایت، برای متخصص امنیت، مطالعه تخصصی در این شرایط نه فرار از واقعیت است و نه بیتفاوتی. این یک مکانیسم بقاست؛ راهی برای تبدیل ناامنی بیرونی به نظم درونی. شما با مطالعه، دنیا را عوض نمیکنید، اما اجازه نمیدهید آشوب دنیا، ساختار ذهنتان را نابود کند. و در شرایطی که بسیاری از چیزها از کنترل خارج است، حفظ سلامت ذهن تحلیلگر، خود یک دستاورد بزرگ و معنادار است.
#آکادمی_روزبه
این مساله در واقع از «مطالعه» عبور میکند و به «نقش شناختی و وجودی تخصص امنیت» میرسد. برای کسی که در حوزه امنیت کار میکند، مطالعه نه یک فعالیت جانبی است و نه صرفاً ابزار ارتقای شغلی؛ بلکه میتواند به یکی از معدود مکانیسمهای سالمِ کنترل تنش، افسردگی، احساس ناامنی و عدم قطعیت تبدیل شود، البته فقط اگر آگاهانه و درست استفاده شود. اگر نادرست باشد، دقیقاً برعکس عمل میکند و فرسودگی را تشدید میکند.
ذهن متخصص امنیت بهطور ذاتی برای دیدن تهدید تربیت شده است. این ذهن همیشه بهدنبال نشانه، الگو، ضعف، سوءاستفاده و سناریوی شکست میگردد. در شرایط عادی، این ویژگی مزیت حرفهای است، اما در شرایط ناامن اجتماعی و سیاسی، همین ویژگی میتواند به دام تبدیل شود؛ چون تهدیدهای بیرونی دیگر محدود، قابل اندازهگیری و قابل مهار نیستند. نتیجه این میشود که ذهن تحلیلگر، که نمیتواند «تحلیل نکند»، شروع میکند به تحلیل خودِ زندگی، آینده، کشور و سرنوشت، بدون اینکه دادهی کافی یا امکان مداخله داشته باشد. اینجاست که اضطراب مزمن و افسردگی شکل میگیرد.
مطالعه تخصصی امنیت، اگر عمیق و مفهومی باشد، یک کار بسیار مهم انجام میدهد: تهدید را از حالت مبهم و بیشکل به حالت مدلپذیر و ساختیافته برمیگرداند. وقتی روی Threat Modeling، DFIR، Incident Analysis، Governance یا حتی معماریهای امنیتی مطالعه میکنیم، مغز دوباره وارد جهانی میشود که در آن تهدید مرحله دارد، علت دارد، پیامد دارد و مهمتر از همه «قابل فهم» است. این کار مستقیماً احساس ناامنی را کاهش میدهد، نه به این دلیل که دنیا امنتر شده، بلکه چون ذهن دوباره حس میکند در برابر تهدید، کاملاً ناتوان نیست.
از نظر روانی، یکی از ریشههای اصلی افسردگی در متخصصان امنیت، احساس بیاثری است. ما میفهمیم چه اتفاقی در حال افتادن است، اما نمیتوانیم تغییرش بدهیم. مطالعه تخصصی عمیق این چرخه را میشکند، چون به مغز فرصت «اثرگذاری شناختی» میدهد. وقتی یک حمله را دقیقتر از قبل میفهمیم، وقتی یک Control را بهتر تحلیل میکنیم، یا وقتی میبینیم چرا یک سازمان شکست خورده، مغز تجربهی پیشرفت واقعی میکند. این پیشرفت شاید بیرونی نباشد، اما برای سیستم عصبی کاملاً واقعی است و جلوی فروپاشی روانی را میگیرد.
نکته مهم دیگر این است که مطالعه تخصصی، نشخوار ذهنی را به تحلیل واقعی تبدیل میکند. نشخوار یعنی فکر کردن مداوم بدون ساختار و بدون خروجی؛ تحلیل یعنی فکر کردن با چارچوب، فرضیه، وزندهی شواهد و نتیجهگیری موقت. ذهن تحلیلگر اگر تحلیل نکند، نشخوار میکند. مطالعه درست، ذهن را مجبور میکند دوباره تحلیلگر باشد، نه قربانی افکار. این تفاوت کوچک، از نظر روانی حیاتی است.
در سطح عمیقتر، مطالعه تخصصی به حفظ هویت کمک میکند. در بحرانهای اجتماعی، بسیاری از هویتها فرو میریزند: شهروند بودن، آیندهدار بودن، حتی امید داشتن. اما هویت حرفهای اگر زنده بماند، میتواند ستون روان شود. وقتی شما هنوز میخوانید، میفهمید و تحلیل میکنید، به خودتون یادآوری میکنید که «من فقط محصول این شرایط نیستم؛ من توان فهم دارم». این برای متخصص امنیت بسیار مهم است، چون ارزش ما صرفاً در شغل یا درآمد نیست، بلکه در شیوه دیدن جهان است.
البته این فقط یک روی ماجراست. اگر نوع مطالعه اشتباه انتخاب شود، نتیجه معکوس خواهد داشت. غرق شدن در اخبار امنیتی، Breachهای پیدرپی، فاجعهها و مقایسه دائمی خود با بازار جهانی، ذهن را بیشتر در وضعیت تهدید نگه میدارد. چنین مطالعهای اضطراب را تشدید میکند، چون به مغز پیام میدهد که «همهچیز در حال فروپاشی است و تو عقب ماندهای». مطالعهای که کمک میکند، مطالعهای است که عمق میدهد، نه هراس.
در نهایت، برای متخصص امنیت، مطالعه تخصصی در این شرایط نه فرار از واقعیت است و نه بیتفاوتی. این یک مکانیسم بقاست؛ راهی برای تبدیل ناامنی بیرونی به نظم درونی. شما با مطالعه، دنیا را عوض نمیکنید، اما اجازه نمیدهید آشوب دنیا، ساختار ذهنتان را نابود کند. و در شرایطی که بسیاری از چیزها از کنترل خارج است، حفظ سلامت ذهن تحلیلگر، خود یک دستاورد بزرگ و معنادار است.
#آکادمی_روزبه
❤9