آکادمی آموزش روزبه 📚
این نظر منه و بهتره یک CISO هم این دید رو داشته باشه: مسدود کردن کامل پاورشل در سازمانها (که خیلی روتین شده) ؛ واکنشی است که در امنیت سایبری میتوان به آن نام امنیت با محدودیت و فلج سازی گذاشت . اگرچه این کار در نگاه اول سطح حمله را کاهش میدهد، اما در درازمدت…
در مورد پاورشل پست قبل رو گذاشتم که با توجه به برخی نطرات لازم دیدم اصل وجود پاورشل و مزایا رو بررسی کنم
بستن پاورشل در سازمان بدون انجام آنالیز ریسک، یکی از رایجترین تصمیمهای احساسی در حوزه امنیت است؛ تصمیمی که در ظاهر ریسک را کم میکند اما در عمل، توان عملیاتی سازمان را کاهش میدهد. پاورشل فقط یک خط فرمان نیست، بلکه لایه اصلی مدیریت، مانیتورینگ و دفاع در سیستمعامل ویندوز محسوب میشود.
پاورشل ابزار اصلی ادمین برای استانداردسازی تنظیمات، خودکارسازی عملیات، اعمال Baselineهای امنیتی و کنترل تغییرات است. بدون آن، مدیریت به کارهای دستی و پراکنده تبدیل میشود؛ یعنی افزایش خطای انسانی، نبود قابلیت Audit و شکلگیری تدریجی Configuration Drift. این دقیقاً همان وضعیتی است که مهاجم از آن بهره میبرد. با بستن پاورشل شما Agility را از سازمان میگیرید و کار گل بزرگی به تیم IT تحمیل میکنید.
از منظر امنیتی، پاورشل برای تیم آبی یک ابزار حیاتی دید و تحلیل است. بررسی وضعیت Credential Guard، شناسایی Local Adminهای غیرمجاز، کشف Scheduled Taskهای مشکوک، استخراج هدفمند Event Logها و حتی Threat Hunting پیشرفته، همگی به پاورشل وابستهاند. بستن آن یعنی کور کردن تیم امنیت و وابستهکردن کامل سازمان به خروجی EDRها.
در Incident Response، پاورشل نقش کلیدی دارد. جمعآوری شواهد، ایزولهسازی سیستم، مقایسه وضعیت قبل و بعد از حادثه و اجرای Playbookهای پاسخ به رخداد بدون پاورشل یا غیرممکن است یا بسیار کند. در این شرایط، مهاجم همواره یک قدم جلوتر است.
پاورشل ذاتاً خطرناک نیست؛ بلکه مدیریتنشده خطرناک است. قابلیتهایی مثل AMSI، Script Block Logging، Constrained Language Mode و JEA دقیقاً برای کنترل ریسک طراحی شدهاند. رویکرد بالغ امنیتی، حذف ابزار نیست؛ مدیریت هوشمندانه آن بر اساس ریسک واقعی سازمان است.
🎉 بعنوان مدیر CISO با مدیریت درست ریسک ، توانمند ساز بیزنس باشید نه مانع کسب کار
بستن پاورشل در سازمان بدون انجام آنالیز ریسک، یکی از رایجترین تصمیمهای احساسی در حوزه امنیت است؛ تصمیمی که در ظاهر ریسک را کم میکند اما در عمل، توان عملیاتی سازمان را کاهش میدهد. پاورشل فقط یک خط فرمان نیست، بلکه لایه اصلی مدیریت، مانیتورینگ و دفاع در سیستمعامل ویندوز محسوب میشود.
پاورشل ابزار اصلی ادمین برای استانداردسازی تنظیمات، خودکارسازی عملیات، اعمال Baselineهای امنیتی و کنترل تغییرات است. بدون آن، مدیریت به کارهای دستی و پراکنده تبدیل میشود؛ یعنی افزایش خطای انسانی، نبود قابلیت Audit و شکلگیری تدریجی Configuration Drift. این دقیقاً همان وضعیتی است که مهاجم از آن بهره میبرد. با بستن پاورشل شما Agility را از سازمان میگیرید و کار گل بزرگی به تیم IT تحمیل میکنید.
از منظر امنیتی، پاورشل برای تیم آبی یک ابزار حیاتی دید و تحلیل است. بررسی وضعیت Credential Guard، شناسایی Local Adminهای غیرمجاز، کشف Scheduled Taskهای مشکوک، استخراج هدفمند Event Logها و حتی Threat Hunting پیشرفته، همگی به پاورشل وابستهاند. بستن آن یعنی کور کردن تیم امنیت و وابستهکردن کامل سازمان به خروجی EDRها.
در Incident Response، پاورشل نقش کلیدی دارد. جمعآوری شواهد، ایزولهسازی سیستم، مقایسه وضعیت قبل و بعد از حادثه و اجرای Playbookهای پاسخ به رخداد بدون پاورشل یا غیرممکن است یا بسیار کند. در این شرایط، مهاجم همواره یک قدم جلوتر است.
پاورشل ذاتاً خطرناک نیست؛ بلکه مدیریتنشده خطرناک است. قابلیتهایی مثل AMSI، Script Block Logging، Constrained Language Mode و JEA دقیقاً برای کنترل ریسک طراحی شدهاند. رویکرد بالغ امنیتی، حذف ابزار نیست؛ مدیریت هوشمندانه آن بر اساس ریسک واقعی سازمان است.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5👍2💯1
تعویض رمز عبور حساب krbtgt؛ یکی از حیاتیترین اقدامات مقاوم سازی Active Directory
در میان تمام اقدامات امنیتی Active Directory، چرخش رمز عبور حساب krbtgt جزو کارهایی است که معمولاً به تعویق میافتد؛ نه بهخاطر بیاهمیت بودن، بلکه بهدلیل حساسیت و ریسک عملیاتی آن. در حالی که همین اقدام مستقیماً یکی از خطرناکترین سناریوهای Kerberos، یعنی Golden Ticket، را خنثی میکند.
چرا krbtgt اینقدر مهم است؟
حساب krbtgt کلید امضای بلیتهای Kerberos در دامنه است. اگر مهاجمی به هش این حساب دسترسی پیدا کند، میتواند بلیتهای جعلی Kerberos بسازد که عملاً تاریخ انقضا ندارند و برای همیشه معتبر میمانند. این یعنی پایداری کامل در دامنه بدون نیاز به اجرای مجدد اکسپلویتها.
تنها راه بیاثرکردن این بلیتها، تعویض رمز عبور krbtgt است؛ زیرا با تغییر کلید امضا، تمام بلیتهای قبلی نامعتبر میشوند.
روش صحیح تعویض krbtgt
فرآیند چرخش krbtgt ساده به نظر میرسد، اما ترتیب و دقت در اجرا حیاتی است:
- یکبار رمز عبور krbtgt را ریست کنید (از طریق ADUC یا اسکریپت).
- صبر کنید تا Replication بین تمام Domain Controllerها کامل و بدون خطا انجام شود (معمولاً 24 ساعت).
- سلامت Replication و لاگها را بررسی کنید.
- اطمینان حاصل کنید تمام DCها نسخهٔ جدید krbtgt را دارند.
- بار دوم، مجدداً رمز عبور krbtgt را ریست کنید.
چرا ریست دوم مهم است؟
ریست اول یک کلید جدید ایجاد میکند، اما بلیتهایی که با کلید قبلی صادر شدهاند ممکن است همچنان معتبر بمانند.
ریست دوم تضمین میکند هیچ بلیتی با کلید قدیمی در دامنه قابل استفاده نیست. این مرحله عملاً Golden Ticket را از ریشه قطع میکند.
چکلیست عملیاتی پیشنهادی
- قبل از هر کاری، Replication را کاملاً بررسی کنید.
- ریست اول krbtgt.
- تأیید Replication بدون خطا و تأخیر.
- ریست دوم krbtgt.
- مانیتورینگ لاگهای Kerberos و احراز هویت پس از عملیات.
اگر Replication سالم باشد، این فرآیند نباید باعث اختلال غیرعادی در احراز هویت شود.
در میان تمام اقدامات امنیتی Active Directory، چرخش رمز عبور حساب krbtgt جزو کارهایی است که معمولاً به تعویق میافتد؛ نه بهخاطر بیاهمیت بودن، بلکه بهدلیل حساسیت و ریسک عملیاتی آن. در حالی که همین اقدام مستقیماً یکی از خطرناکترین سناریوهای Kerberos، یعنی Golden Ticket، را خنثی میکند.
چرا krbtgt اینقدر مهم است؟
حساب krbtgt کلید امضای بلیتهای Kerberos در دامنه است. اگر مهاجمی به هش این حساب دسترسی پیدا کند، میتواند بلیتهای جعلی Kerberos بسازد که عملاً تاریخ انقضا ندارند و برای همیشه معتبر میمانند. این یعنی پایداری کامل در دامنه بدون نیاز به اجرای مجدد اکسپلویتها.
تنها راه بیاثرکردن این بلیتها، تعویض رمز عبور krbtgt است؛ زیرا با تغییر کلید امضا، تمام بلیتهای قبلی نامعتبر میشوند.
روش صحیح تعویض krbtgt
فرآیند چرخش krbtgt ساده به نظر میرسد، اما ترتیب و دقت در اجرا حیاتی است:
- یکبار رمز عبور krbtgt را ریست کنید (از طریق ADUC یا اسکریپت).
- صبر کنید تا Replication بین تمام Domain Controllerها کامل و بدون خطا انجام شود (معمولاً 24 ساعت).
- سلامت Replication و لاگها را بررسی کنید.
- اطمینان حاصل کنید تمام DCها نسخهٔ جدید krbtgt را دارند.
- بار دوم، مجدداً رمز عبور krbtgt را ریست کنید.
چرا ریست دوم مهم است؟
ریست اول یک کلید جدید ایجاد میکند، اما بلیتهایی که با کلید قبلی صادر شدهاند ممکن است همچنان معتبر بمانند.
ریست دوم تضمین میکند هیچ بلیتی با کلید قدیمی در دامنه قابل استفاده نیست. این مرحله عملاً Golden Ticket را از ریشه قطع میکند.
چکلیست عملیاتی پیشنهادی
- قبل از هر کاری، Replication را کاملاً بررسی کنید.
- ریست اول krbtgt.
- تأیید Replication بدون خطا و تأخیر.
- ریست دوم krbtgt.
- مانیتورینگ لاگهای Kerberos و احراز هویت پس از عملیات.
اگر Replication سالم باشد، این فرآیند نباید باعث اختلال غیرعادی در احراز هویت شود.
❤3👏2
آکادمی آموزش روزبه 📚
در مورد پاورشل پست قبل رو گذاشتم که با توجه به برخی نطرات لازم دیدم اصل وجود پاورشل و مزایا رو بررسی کنم بستن پاورشل در سازمان بدون انجام آنالیز ریسک، یکی از رایجترین تصمیمهای احساسی در حوزه امنیت است؛ تصمیمی که در ظاهر ریسک را کم میکند اما در عمل، توان…
باز هم بحث پاورشل
این بار جواب به مغالطه فلسفی
مساله :
دوستی عنوان کرد که چون در ایران هانت و فارنزیک ضعیف است، پس PowerShell را نباید روی کلاینتها فعال کرد
من چه میگویم؟
در این بحث، اگر از منظر فلسفهٔ استدلال و فلسفهٔ علم نگاه کنیم، استدلال «چون در ایران هانت و فارنزیک ضعیف است، پس PowerShell را نباید روی کلاینتها فعال کرد» نمونهای روشن از مغالطهٔ فلسفی است، نه یک تحلیل عقلانی.
نخستین خطا، استنتاج از فقدان است. نبودِ یک توانمندی (هانت و فارنزیک) بهعنوان دلیل برای حذف یک قابلیت دیگر به کار میرود. در منطق، فقدانِ ابزار شناخت هرگز دلیلی برای نفیِ موضوع شناخت نیست. این استدلال شبیه این است که بگوییم چون میکروسکوپ نداریم، مطالعهٔ بیماریهای میکروسکوپی بیمعناست. مشکل در ابزار فهم است، نه در موضوع.
دومین مغالطه، علیت معکوس است. در فلسفهٔ علم، ابزار مشاهده و دادهسازی مقدم بر تحلیل و نظریهاند. اما این استدلال میگوید چون تحلیل نداریم، پس منبع داده را حذف کنیم. به بیان دیگر، فقدان تحلیل بهجای آنکه انگیزهای برای ایجاد ابزار شود، به توجیه حذف آن تبدیل شده است.
سوم، این دیدگاه گرفتار تعصب وضع موجود است. وضعیت فعلی سازمان یا کشور بهعنوان معیار حقیقت و عقلانیت فرض میشود؛ در حالیکه عقلانیت علمی دقیقاً برای عبور از محدودیت وضعیت موجود شکل میگیرد، نه تثبیت آن.
در نهایت، این استدلال نمونهای از تبدیل جهل به اصل تصمیمسازی است. ندانستن یا ناتوانی عملی بهجای آنکه مسئله تلقی شود، به مبنای سیاستگذاری ارتقا داده میشود. از منظر فلسفی، چنین منطقی نهتنها امنیت تولید نمیکند، بلکه آگاهانه انتخاب میکند که «کمتر ببیند» تا با واقعیت تهدید مواجه نشود.
این بار جواب به مغالطه فلسفی
مساله :
دوستی عنوان کرد که چون در ایران هانت و فارنزیک ضعیف است، پس PowerShell را نباید روی کلاینتها فعال کرد
من چه میگویم؟
در این بحث، اگر از منظر فلسفهٔ استدلال و فلسفهٔ علم نگاه کنیم، استدلال «چون در ایران هانت و فارنزیک ضعیف است، پس PowerShell را نباید روی کلاینتها فعال کرد» نمونهای روشن از مغالطهٔ فلسفی است، نه یک تحلیل عقلانی.
نخستین خطا، استنتاج از فقدان است. نبودِ یک توانمندی (هانت و فارنزیک) بهعنوان دلیل برای حذف یک قابلیت دیگر به کار میرود. در منطق، فقدانِ ابزار شناخت هرگز دلیلی برای نفیِ موضوع شناخت نیست. این استدلال شبیه این است که بگوییم چون میکروسکوپ نداریم، مطالعهٔ بیماریهای میکروسکوپی بیمعناست. مشکل در ابزار فهم است، نه در موضوع.
دومین مغالطه، علیت معکوس است. در فلسفهٔ علم، ابزار مشاهده و دادهسازی مقدم بر تحلیل و نظریهاند. اما این استدلال میگوید چون تحلیل نداریم، پس منبع داده را حذف کنیم. به بیان دیگر، فقدان تحلیل بهجای آنکه انگیزهای برای ایجاد ابزار شود، به توجیه حذف آن تبدیل شده است.
سوم، این دیدگاه گرفتار تعصب وضع موجود است. وضعیت فعلی سازمان یا کشور بهعنوان معیار حقیقت و عقلانیت فرض میشود؛ در حالیکه عقلانیت علمی دقیقاً برای عبور از محدودیت وضعیت موجود شکل میگیرد، نه تثبیت آن.
در نهایت، این استدلال نمونهای از تبدیل جهل به اصل تصمیمسازی است. ندانستن یا ناتوانی عملی بهجای آنکه مسئله تلقی شود، به مبنای سیاستگذاری ارتقا داده میشود. از منظر فلسفی، چنین منطقی نهتنها امنیت تولید نمیکند، بلکه آگاهانه انتخاب میکند که «کمتر ببیند» تا با واقعیت تهدید مواجه نشود.
❤4
بررسی عناوین پیشنهادی برای پایان نامه های کارشناسی ارشد امنیت
این بار : تعیین هویت و الگوریتم های هوش مصنوعی
با دوستی در مورد پایان نامه اش صحبت میکردیم مواردی را به چالش گذاشتیم . کنارش عناوین زیر را که جالب دیدم برای شما میگذارم
⬅️ طراحی سیستم احراز هویت مداوم و سبکوزن (Lightweight) در لبه شبکه با استفاده از معماریهای فضای حالت (Mamba)
تمرکز:
- کارایی انرژی در موبایل و IoT
- State Space Models (SSMs)
- Continuous Authentication
نوآوری: جایگزینی معماری Transformer با معماری Mamba برای دستیابی به پیچیدگی خطی و کاهش تأخیر در پردازش دادههای رفتاری طولانی
⬅️ سیستم تعیین هویت چندعامله مقاوم در برابر نقص داده (Missing Modality) با مکانیزم توجه متقاطع (Cross-Attention)
تمرکز:
- Robust Multimodal Fusion
- جبران نویز محیطی یا قطعی سنسور
نوآوری: استفاده از Cross-Attention برای بازسازی ویژگیهای مودالیته مفقود شده (مثلاً تشخیص هویت وقتی تصویر تار است اما صدا واضح است)
⬅️ طراحی چارچوب احراز هویت مبتنی بر یادگیری تجمیعی شخصیسازی شده (Personalized FL) مقاوم در برابر حملات مسمومسازی مدل
تمرکز:
- Non-IID Data Handling
- Model Poisoning Defense
نوآوری: ارائه الگوریتم تجمیعی جدید که همزمان با حفظ حریم خصوصی، تغییرات مخرب (Malicious Updates) را در دادههای غیرهمگون کاربران شناسایی و حذف میکند
⬅️ مقابله با جعل هویت ناشی از مدلهای انتشار (Diffusion Models) با استفاده از تحلیل ناسازگاریهای فرکانسی و بافتی
تمرکز:
- Diffusion-based Deepfake Detection
- GenAI Threats
نوآوری: تمرکز بر کشف آرتیفکتهای خاص مدلهای Stable Diffusion و Midjourney به جای مدلهای قدیمی GAN با استفاده از تبدیلهای فرکانسی پیشرفته
⬅️ تشخیص ناهنجاریهای هویتی پیشرفته و حملات روز صفر با استفاده از یادگیری تضادی (Contrastive Learning)
تمرکز:
- Self-Supervised Learning
- Behavioral Graphs
نوآوری: استفاده از رویکرد SimCLR یا MoCo برای یادگیری نمایشهای رفتاری غنی بدون نیاز به برچسب، جهت افزایش دقت نسبت به Autoencoderهای سنتی
🐣الگوریتمها و معماریهای اصلی
CNN
ResNet
EfficientNet
Vision Transformer (ViT)
Transformer Encoder
Self‑Attention
LSTM
GRU
Bi‑LSTM
Temporal CNN
Siamese Network
Triplet Loss
Contrastive Loss
Autoencoder
Variational Autoencoder (VAE)
One‑Class SVM
Isolation Forest
DBSCAN
k‑Means
Attention‑Based Fusion
Ensemble Learning
Generative Adversarial Network (GAN)
Adversarial Training
Capsule Network
Federated Learning
Federated Averaging (FedAvg)
FedProx
Differential Privacy (DP‑SGD)
Secure Aggregation
Knowledge Distillation
Quantization‑Aware Training
MobileNet
این بار : تعیین هویت و الگوریتم های هوش مصنوعی
با دوستی در مورد پایان نامه اش صحبت میکردیم مواردی را به چالش گذاشتیم . کنارش عناوین زیر را که جالب دیدم برای شما میگذارم
⬅️ طراحی سیستم احراز هویت مداوم و سبکوزن (Lightweight) در لبه شبکه با استفاده از معماریهای فضای حالت (Mamba)
تمرکز:
- کارایی انرژی در موبایل و IoT
- State Space Models (SSMs)
- Continuous Authentication
نوآوری: جایگزینی معماری Transformer با معماری Mamba برای دستیابی به پیچیدگی خطی و کاهش تأخیر در پردازش دادههای رفتاری طولانی
⬅️ سیستم تعیین هویت چندعامله مقاوم در برابر نقص داده (Missing Modality) با مکانیزم توجه متقاطع (Cross-Attention)
تمرکز:
- Robust Multimodal Fusion
- جبران نویز محیطی یا قطعی سنسور
نوآوری: استفاده از Cross-Attention برای بازسازی ویژگیهای مودالیته مفقود شده (مثلاً تشخیص هویت وقتی تصویر تار است اما صدا واضح است)
⬅️ طراحی چارچوب احراز هویت مبتنی بر یادگیری تجمیعی شخصیسازی شده (Personalized FL) مقاوم در برابر حملات مسمومسازی مدل
تمرکز:
- Non-IID Data Handling
- Model Poisoning Defense
نوآوری: ارائه الگوریتم تجمیعی جدید که همزمان با حفظ حریم خصوصی، تغییرات مخرب (Malicious Updates) را در دادههای غیرهمگون کاربران شناسایی و حذف میکند
⬅️ مقابله با جعل هویت ناشی از مدلهای انتشار (Diffusion Models) با استفاده از تحلیل ناسازگاریهای فرکانسی و بافتی
تمرکز:
- Diffusion-based Deepfake Detection
- GenAI Threats
نوآوری: تمرکز بر کشف آرتیفکتهای خاص مدلهای Stable Diffusion و Midjourney به جای مدلهای قدیمی GAN با استفاده از تبدیلهای فرکانسی پیشرفته
⬅️ تشخیص ناهنجاریهای هویتی پیشرفته و حملات روز صفر با استفاده از یادگیری تضادی (Contrastive Learning)
تمرکز:
- Self-Supervised Learning
- Behavioral Graphs
نوآوری: استفاده از رویکرد SimCLR یا MoCo برای یادگیری نمایشهای رفتاری غنی بدون نیاز به برچسب، جهت افزایش دقت نسبت به Autoencoderهای سنتی
🐣الگوریتمها و معماریهای اصلی
CNN
ResNet
EfficientNet
Vision Transformer (ViT)
Transformer Encoder
Self‑Attention
LSTM
GRU
Bi‑LSTM
Temporal CNN
Siamese Network
Triplet Loss
Contrastive Loss
Autoencoder
Variational Autoencoder (VAE)
One‑Class SVM
Isolation Forest
DBSCAN
k‑Means
Attention‑Based Fusion
Ensemble Learning
Generative Adversarial Network (GAN)
Adversarial Training
Capsule Network
Federated Learning
Federated Averaging (FedAvg)
FedProx
Differential Privacy (DP‑SGD)
Secure Aggregation
Knowledge Distillation
Quantization‑Aware Training
MobileNet
❤3
در ادامه کمک به اون دوستم چند مقاله ای که خونده بودم رو خلاصه کردم براتون میگذارم
ترکیب الگوریتم های یادگیری CNN و LSTM در تشخیص آلودگی ترافیک رمزشده
با گسترش استفاده از رمزنگاری سرتاسری (TLS/HTTPS)، تحلیل محتوای بستهها برای تشخیص آلودگی عملاً غیرممکن شده و تمرکز پژوهشها به سمت تحلیل الگوهای رفتاری ترافیک سوق یافته است. در این میان، مدلهای Deep Learning بهویژه ترکیب CNN و LSTM بهعنوان یکی از رویکردهای مؤثر برای تشخیص ترافیک مخرب در محیطهای رمزشده مطرح شدهاند.
در این معماری ترکیبی، CNN (Convolutional Neural Network) مسئول استخراج الگوهای محلی از توالی ویژگیهای ترافیکی است. بهجای تصویر، ورودی CNN معمولاً توالیهایی مانند اندازه پکتها (Packet Size Sequence) یا دنبالهی جهتدار ارسال و دریافت هستند. CNN با استفاده از کانولوشن یکبعدی، الگوهای کوتاهمدت مانند burstهای غیرعادی، handshakeهای غیرمتعارف یا رفتارهای خاص C2 را شناسایی میکند؛ الگوهایی که بهسختی با Feature Engineering سنتی قابل استخراجاند.
در گام بعد، خروجی CNN به LSTM (Long Short-Term Memory) داده میشود تا وابستگیهای زمانی بلندمدت مدلسازی شوند. LSTM بهطور خاص در تشخیص رفتارهای دورهای (Beaconing)، زمانبندی منظم ارتباطات و الگوهای تکرارشوندهی بدافزارها عملکرد بالایی دارد؛ ویژگیهایی که در ترافیک benign معمولاً ساختارمند و پایدار نیستند.
مزیت اصلی این ترکیب، تفکیک نقشهاست: CNN بهعنوان استخراجکنندهی الگوی محلی و LSTM بهعنوان مدلکنندهی پویایی زمانی. با این حال، چالش اصلی چنین رویکردی کاهش تفسیرپذیری و افزایش پیچیدگی محاسباتی است؛ موضوعی که استفاده از تکنیکهای XAI مانند saliency maps و temporal attribution را ضروری میکند.
در مجموع، مدلهای CNN+LSTM ابزار قدرتمندی برای تشخیص آلودگی در ترافیک رمزشده هستند، بهویژه زمانی که هدف کشف الگوهای رفتاری پیچیده فراتر از قواعد ایستا و مدلهای کلاسیک باشد.
#هوش_مصنوعی #یادگیری_ماشین
ترکیب الگوریتم های یادگیری CNN و LSTM در تشخیص آلودگی ترافیک رمزشده
با گسترش استفاده از رمزنگاری سرتاسری (TLS/HTTPS)، تحلیل محتوای بستهها برای تشخیص آلودگی عملاً غیرممکن شده و تمرکز پژوهشها به سمت تحلیل الگوهای رفتاری ترافیک سوق یافته است. در این میان، مدلهای Deep Learning بهویژه ترکیب CNN و LSTM بهعنوان یکی از رویکردهای مؤثر برای تشخیص ترافیک مخرب در محیطهای رمزشده مطرح شدهاند.
در این معماری ترکیبی، CNN (Convolutional Neural Network) مسئول استخراج الگوهای محلی از توالی ویژگیهای ترافیکی است. بهجای تصویر، ورودی CNN معمولاً توالیهایی مانند اندازه پکتها (Packet Size Sequence) یا دنبالهی جهتدار ارسال و دریافت هستند. CNN با استفاده از کانولوشن یکبعدی، الگوهای کوتاهمدت مانند burstهای غیرعادی، handshakeهای غیرمتعارف یا رفتارهای خاص C2 را شناسایی میکند؛ الگوهایی که بهسختی با Feature Engineering سنتی قابل استخراجاند.
در گام بعد، خروجی CNN به LSTM (Long Short-Term Memory) داده میشود تا وابستگیهای زمانی بلندمدت مدلسازی شوند. LSTM بهطور خاص در تشخیص رفتارهای دورهای (Beaconing)، زمانبندی منظم ارتباطات و الگوهای تکرارشوندهی بدافزارها عملکرد بالایی دارد؛ ویژگیهایی که در ترافیک benign معمولاً ساختارمند و پایدار نیستند.
مزیت اصلی این ترکیب، تفکیک نقشهاست: CNN بهعنوان استخراجکنندهی الگوی محلی و LSTM بهعنوان مدلکنندهی پویایی زمانی. با این حال، چالش اصلی چنین رویکردی کاهش تفسیرپذیری و افزایش پیچیدگی محاسباتی است؛ موضوعی که استفاده از تکنیکهای XAI مانند saliency maps و temporal attribution را ضروری میکند.
در مجموع، مدلهای CNN+LSTM ابزار قدرتمندی برای تشخیص آلودگی در ترافیک رمزشده هستند، بهویژه زمانی که هدف کشف الگوهای رفتاری پیچیده فراتر از قواعد ایستا و مدلهای کلاسیک باشد.
#هوش_مصنوعی #یادگیری_ماشین
❤3
خلاصه معماری امن n8n برای SOC
ابزار n8n در SOC نباید بهعنوان یک ابزار ساده Automation دیده شود، بلکه باید مانند یک لایه Orchestration با سطح دسترسی بسیار بالا طراحی و حاکمیتگذاری شود. جایگاه درست n8n بین ابزارهای تشخیص (SIEM/EDR) و ابزارهای اجرایی (Firewall، EDR، IAM) است و نقش آن اجرای تصمیمات SOC، نه تصمیمگیری مستقل، میباشد.
در معماری امن، n8n باید در یک Automation Zone مجزا مستقر شود و ارتباط آن با سایر سامانهها فقط از طریق API Gateway و شبکهای با Egress کنترلشده صورت گیرد. احراز هویت مبتنی بر SSO و MFA الزامی است و کنترل دسترسی باید تفکیکشده باشد؛ بهطوری که هیچ کاربری همزمان توانایی طراحی Workflow و مدیریت Secrets را نداشته باشد.
ذخیرهسازی Credential داخل n8n یک ریسک جدی است؛ بنابراین تمامی Secrets باید از طریق Vault یا Key Management System خارجی تأمین شوند. Workflowها باید بر اساس سطح ریسک (Low، Medium، High) طبقهبندی شوند و برای اقدامات مخرب، Human‑in‑the‑Loop و Kill‑Switch الزامی باشد.
در نهایت، لاگ کامل اجراها باید به SIEM ارسال شود و n8n روی زیرساخت Hardened اجرا گردد. چنین معماریای n8n را از یک ابزار پرریسک به یک توانمندساز امن SOC تبدیل میکند.
ابزار n8n در SOC نباید بهعنوان یک ابزار ساده Automation دیده شود، بلکه باید مانند یک لایه Orchestration با سطح دسترسی بسیار بالا طراحی و حاکمیتگذاری شود. جایگاه درست n8n بین ابزارهای تشخیص (SIEM/EDR) و ابزارهای اجرایی (Firewall، EDR، IAM) است و نقش آن اجرای تصمیمات SOC، نه تصمیمگیری مستقل، میباشد.
در معماری امن، n8n باید در یک Automation Zone مجزا مستقر شود و ارتباط آن با سایر سامانهها فقط از طریق API Gateway و شبکهای با Egress کنترلشده صورت گیرد. احراز هویت مبتنی بر SSO و MFA الزامی است و کنترل دسترسی باید تفکیکشده باشد؛ بهطوری که هیچ کاربری همزمان توانایی طراحی Workflow و مدیریت Secrets را نداشته باشد.
ذخیرهسازی Credential داخل n8n یک ریسک جدی است؛ بنابراین تمامی Secrets باید از طریق Vault یا Key Management System خارجی تأمین شوند. Workflowها باید بر اساس سطح ریسک (Low، Medium، High) طبقهبندی شوند و برای اقدامات مخرب، Human‑in‑the‑Loop و Kill‑Switch الزامی باشد.
در نهایت، لاگ کامل اجراها باید به SIEM ارسال شود و n8n روی زیرساخت Hardened اجرا گردد. چنین معماریای n8n را از یک ابزار پرریسک به یک توانمندساز امن SOC تبدیل میکند.
❤12🔥3
🍉هدیه یلدای من برای شما ایرانیان :
و اینهم گذراندم : دوره رسمی ISSMP مدیر عالی امنیت سایبری
ISSMP: Information Security System Management Professional from ISC2
اگر جویای دانش هستید این دوره عظیم را همراه با تجربیات عملی خودم با شما به اشتراک خواهم گذاشت.
و اینهم گذراندم : دوره رسمی ISSMP مدیر عالی امنیت سایبری
ISSMP: Information Security System Management Professional from ISC2
اگر جویای دانش هستید این دوره عظیم را همراه با تجربیات عملی خودم با شما به اشتراک خواهم گذاشت.
🔥7👏5👍3😍2
با جمع بندی نهایی با استاد روزبه و شرکت هامون قرار شد دوره جامع CISO به شکل زیر برگزار شود و شرکت هامون ۲۰ درصد از هزینه ها رو متقبل شود.
🎉 دوره آفلاین CISO
با توجه به مشغله های مخاطبان این دوره که مدیران امنیت و IT هستند و همچنین پروژه های استاد روزبه ؛ تصمیم گرفته شد دوره CISO بصورت آفلاین برگزار شود ۲۴ ساعت
در این دوره؛ اول هر هفته یک رکورد از استاد برای دانشجو در پلتفرم اختصاصی بارگزاری میشود که فایل فقط در آن پلتفرم قابل مشاهده است .
همچنین گروهی تلگرامی ایجاد میشود که چهارشنبه ها بین ۲۱تا ۲۲ شب استاد به سوالات پاسخ خواهند داد و رفع اشکال انجام میشود
هزینه این دوره با تخفیف بیش از ۲۰ درصدی شرکت هامون ۹ م و ۸۰۰ است که مدرک شرکت در دوره هم از سوی شرکت هامون صادر میشود
🔆دوره تکمیلی :
برای تقویت دانشجویان و ارزیابی آموخته ها و انجام کار عملی ؛ علاوه بر این دوره کارگاه حضوری و آزمون برگزار خواهد شد که اجباری نیست
هزینه کارگاه و آزمون ۳ م تومان است و جدای از دوره بعد از دوره برگزار میشود
💐 نکته:
استاد روزبه در دوره اصلی تمام مطالب را پوشش خواهند داد و دوره تکمیلی فقط برای تقویت سواد دوستان است و در دوره اصلی چیزی باقی نمیماند که آموزش داده نشده باشد
✔️مدیریت آموزش شرکت هامون و آکادمی روزبه
واتس اپ و بله 09902857290
Www.haumoun.com
با توجه به مشغله های مخاطبان این دوره که مدیران امنیت و IT هستند و همچنین پروژه های استاد روزبه ؛ تصمیم گرفته شد دوره CISO بصورت آفلاین برگزار شود ۲۴ ساعت
در این دوره؛ اول هر هفته یک رکورد از استاد برای دانشجو در پلتفرم اختصاصی بارگزاری میشود که فایل فقط در آن پلتفرم قابل مشاهده است .
همچنین گروهی تلگرامی ایجاد میشود که چهارشنبه ها بین ۲۱تا ۲۲ شب استاد به سوالات پاسخ خواهند داد و رفع اشکال انجام میشود
هزینه این دوره با تخفیف بیش از ۲۰ درصدی شرکت هامون ۹ م و ۸۰۰ است که مدرک شرکت در دوره هم از سوی شرکت هامون صادر میشود
🔆دوره تکمیلی :
برای تقویت دانشجویان و ارزیابی آموخته ها و انجام کار عملی ؛ علاوه بر این دوره کارگاه حضوری و آزمون برگزار خواهد شد که اجباری نیست
هزینه کارگاه و آزمون ۳ م تومان است و جدای از دوره بعد از دوره برگزار میشود
استاد روزبه در دوره اصلی تمام مطالب را پوشش خواهند داد و دوره تکمیلی فقط برای تقویت سواد دوستان است و در دوره اصلی چیزی باقی نمیماند که آموزش داده نشده باشد
✔️مدیریت آموزش شرکت هامون و آکادمی روزبه
واتس اپ و بله 09902857290
Www.haumoun.com
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2
خیلی خوشحالم از وجود بدنه باسواد و دغدغه مند در سازمانهای کشور که از دیروز که اعلامیه دوره CISO درج شد تماسها برای برگزاری دوره شروع شد.
فعلا برگزاری یک دوره خصوصی درون سازمانی برای یکی از بزرگترین هلدینگ های کشور برنامه ریزی شده است .
شما هم میتوانید با واتس اپ و بله 09902857290 برای سازمان خود برنامه ریزی نمایید .
با احترام روزبه نوروزی
www.haumoun.com
فعلا برگزاری یک دوره خصوصی درون سازمانی برای یکی از بزرگترین هلدینگ های کشور برنامه ریزی شده است .
شما هم میتوانید با واتس اپ و بله 09902857290 برای سازمان خود برنامه ریزی نمایید .
با احترام روزبه نوروزی
www.haumoun.com
❤2
مقالهی فوربس پنج مهارت کلیدی را برای موفقیت مدیر ارشد امنیت اطلاعات (CISO) برمیشمارد. نخست، مهارتهای ارتباطی و ترجمه است که CISO باید بتواند ریسکهای امنیتی را به زبان کسبوکار و برای هیئت مدیره توضیح دهد.
دوم، توانایی رهبری و مدیریت تیم، شامل جذب استعدادها و ایجاد فرهنگ امنیتی در سازمان.
سوم، دانش فنی عمیق و بهروز درباره تهدیدات نوظهور، معماری امنیتی و چارچوبهایی مانند NIST و MITRE ATT&CK.
چهارم، تفکر استراتژیک و تجاری برای همسوسازی برنامه امنیت با اهداف سازمان و مدیریت بودجه.
پنجم، تابآوری و مدیریت بحران، که توانایی هدایت پاسخ به حوادث و حفظ تداوم کسبوکار را شامل میشود.
این مهارتها CISO را از یک متخصص فنی به یک رهبر مؤثر تبدیل میکند که میتواند امنیت را به عنوان یک ارزش تجاری معرفی کند.
در دوره CISO مدیر ارشد امنیت بیشتر بیاموزیم .
https://www.forbes.com/councils/forbestechcouncil/2025/01/16/five-essential-skills-for-cisos-a-roadmap-to-success-in-cybersecurity-leadership/
دوم، توانایی رهبری و مدیریت تیم، شامل جذب استعدادها و ایجاد فرهنگ امنیتی در سازمان.
سوم، دانش فنی عمیق و بهروز درباره تهدیدات نوظهور، معماری امنیتی و چارچوبهایی مانند NIST و MITRE ATT&CK.
چهارم، تفکر استراتژیک و تجاری برای همسوسازی برنامه امنیت با اهداف سازمان و مدیریت بودجه.
پنجم، تابآوری و مدیریت بحران، که توانایی هدایت پاسخ به حوادث و حفظ تداوم کسبوکار را شامل میشود.
این مهارتها CISO را از یک متخصص فنی به یک رهبر مؤثر تبدیل میکند که میتواند امنیت را به عنوان یک ارزش تجاری معرفی کند.
در دوره CISO مدیر ارشد امنیت بیشتر بیاموزیم .
https://www.forbes.com/councils/forbestechcouncil/2025/01/16/five-essential-skills-for-cisos-a-roadmap-to-success-in-cybersecurity-leadership/
Forbes
Council Post: Five Essential Skills For CISOs: A Roadmap To Success In Cybersecurity Leadership
CISOs now have a prominent seat at the table with other C-level executives and are driving strategy alongside their counterparts.
👏2❤1
مهارتی برای CISO
خطر: دامِ کمیتگرایی در استفاده از MITRE
از دیدگاه مدیریت ریسک، استفاده از ماتریس MITRE ATT&CK بدون تحلیلِ بافت کسبوکار، CISO را به خطای استراتژیک «معادلسازی پوشش فنی با کفایت امنیتی» میکشاند. تصور اینکه «پوشش ۸۰٪ تکنیکها برابر با ۸۰٪ کاهش ریسک است»، اشتباهی مهلک است؛ زیرا تکنیکهای حمله وزن یکسانی ندارند و نفوذ اغلب از طریق یک نقطه ضعف حیاتی رخ میدهد، نه میانگین پوشش کلی.
جدول MITRE صرفاً نقشهای از رفتار مهاجم است، نه ابزاری برای سنجش بلوغ یا ROI. اتکای صرف به پر کردن خانههای این ماتریس، منجر به انحراف بودجه میشود؛ مانند تمرکز افراطی بر ابزارهای تشخیص (Detection) و غفلت از تابآوری (Resilience).
فرمول صحیح دفاعی باید به جای «تعداد تکنیکهای مسدود شده»، بر اساس «اثر هر تکنیک بر داراییهای حیاتی» بنا شود. بدون این رویکرد، سازمان تنها با یک امنیت ساختگی و کاغذی روبرو خواهد بود، نه کاهش واقعی ریسک.
در دوره CISO بیشتر بیاموزیم
شرکت پیشگامان فناوری اطلاعات هامون
www.haumoun.com
خطر: دامِ کمیتگرایی در استفاده از MITRE
از دیدگاه مدیریت ریسک، استفاده از ماتریس MITRE ATT&CK بدون تحلیلِ بافت کسبوکار، CISO را به خطای استراتژیک «معادلسازی پوشش فنی با کفایت امنیتی» میکشاند. تصور اینکه «پوشش ۸۰٪ تکنیکها برابر با ۸۰٪ کاهش ریسک است»، اشتباهی مهلک است؛ زیرا تکنیکهای حمله وزن یکسانی ندارند و نفوذ اغلب از طریق یک نقطه ضعف حیاتی رخ میدهد، نه میانگین پوشش کلی.
جدول MITRE صرفاً نقشهای از رفتار مهاجم است، نه ابزاری برای سنجش بلوغ یا ROI. اتکای صرف به پر کردن خانههای این ماتریس، منجر به انحراف بودجه میشود؛ مانند تمرکز افراطی بر ابزارهای تشخیص (Detection) و غفلت از تابآوری (Resilience).
فرمول صحیح دفاعی باید به جای «تعداد تکنیکهای مسدود شده»، بر اساس «اثر هر تکنیک بر داراییهای حیاتی» بنا شود. بدون این رویکرد، سازمان تنها با یک امنیت ساختگی و کاغذی روبرو خواهد بود، نه کاهش واقعی ریسک.
در دوره CISO بیشتر بیاموزیم
شرکت پیشگامان فناوری اطلاعات هامون
www.haumoun.com
👏3❤1
علاقمندان میتونن متون و مفاهیم تحلیلی و عمیق امنیت که بصورت سلسله مقالات و مرحله ای در Substack منتشر میشود رو در لینک زیر دنبال کنند
نکته: در نسخه Substack App اگر متن شامل کلمات انگلیسی و فارسی باشد بهم ریخته نشان داده میشود پس بهتر است در نسخه وب مقالات را مشاهده نمایید
https://substack.com/@roozbehnoroozi?utm_source=notes-invite-friends-item&r=739xgp
نکته: در نسخه Substack App اگر متن شامل کلمات انگلیسی و فارسی باشد بهم ریخته نشان داده میشود پس بهتر است در نسخه وب مقالات را مشاهده نمایید
https://substack.com/@roozbehnoroozi?utm_source=notes-invite-friends-item&r=739xgp
Substack
Roozbeh Noroozi | Substack
❤2
چرا SOC های ما ناکارآمدند؟
در سلسله مقالاتی در سطح استراتژیک تا تاکتیکی و فنی دلایل تاکارمدی SOC ها را بررسی خواهم کرد. در این نوشته از دیدگاه استراتژی بدان پرداخته ام .
خلاصه:
پیادهسازی نابالغ SOC برخلاف تصور رایج، نهتنها امنیت سازمان را تقویت نمیکند، بلکه مستقیماً با اهداف استراتژی امنیت اطلاعات در تضاد است. SOCهایی که بدون همسویی با اهداف کسبوکار، سطح پذیرش ریسک و فرآیند مدیریت ریسک راهاندازی میشوند، به مراکز تولید هشدار بیارزش تبدیل میشوند. تمرکز افراطی بر ابزار بهجای فرآیند، نبود شاخصهای عملکرد معنادار و مصرف غیربهینه منابع انسانی و مالی، باعث میشود SOC به یک مرکز هزینه تبدیل شود، نه یک دارایی استراتژیک. بلوغ SOC یک مسئله فنی نیست، بلکه یک تصمیم حاکمیتی و استراتژیک است.
مقالات را در لینک زیر دنبال کنید (نسخه تحت وب )
https://open.substack.com/pub/roozbehnoroozi/p/soc?utm_campaign=post-expanded-share&utm_medium=web
در سلسله مقالاتی در سطح استراتژیک تا تاکتیکی و فنی دلایل تاکارمدی SOC ها را بررسی خواهم کرد. در این نوشته از دیدگاه استراتژی بدان پرداخته ام .
خلاصه:
پیادهسازی نابالغ SOC برخلاف تصور رایج، نهتنها امنیت سازمان را تقویت نمیکند، بلکه مستقیماً با اهداف استراتژی امنیت اطلاعات در تضاد است. SOCهایی که بدون همسویی با اهداف کسبوکار، سطح پذیرش ریسک و فرآیند مدیریت ریسک راهاندازی میشوند، به مراکز تولید هشدار بیارزش تبدیل میشوند. تمرکز افراطی بر ابزار بهجای فرآیند، نبود شاخصهای عملکرد معنادار و مصرف غیربهینه منابع انسانی و مالی، باعث میشود SOC به یک مرکز هزینه تبدیل شود، نه یک دارایی استراتژیک. بلوغ SOC یک مسئله فنی نیست، بلکه یک تصمیم حاکمیتی و استراتژیک است.
مقالات را در لینک زیر دنبال کنید (نسخه تحت وب )
https://open.substack.com/pub/roozbehnoroozi/p/soc?utm_campaign=post-expanded-share&utm_medium=web
Substack
تضاد پیادهسازی نابالغ SOC با اهداف استراتژی امنیت اطلاعات
مقدمه SOC بهعنوان قلب عملیات امنیتی سازمان، قرار است تجسم عملی استراتژی امنیت اطلاعات باشد.
❤5