تجربه
یکی از روشهای مورد استفاده مهاجمان برای این که بتوانند دسترسی root را دوباره بهدست بیاورند، استفاده از «Linux Capabilities» برای باینری Python است.
مثال :
bash
setcap cap_setuid+ep /usr/bin/python3.12
توضیح:
در لینوکس، دستور setcap به یک فایل اجرایی قابلیتهایی (Capabilities) میدهد که معمولاً فقط فایلهای با سطح دسترسی SUID دارند.
در این مثال، با فعالکردن قابلیت cap_setuid+ep برای /usr/bin/python3.12، مهاجم باعث میشود که باینری Python بتواند سطح دسترسی کاربر جاری را به root تغییر دهد (مثل setuid root بدون نیاز به SUID bit).
⚠️ پیامد امنیتی:
بدون اینکه بیت SUID را روی فایل Python تنظیم کنند یا باینری را تغییر دهند، مهاجم میتواند با استفاده از همین قابلیتها:
از طریق Python یک شِل (Shell) با دسترسی root اجرا کند.
دربپشتیهای سطح پایین و پنهان بسازد.
این تغییر سطح دسترسی ممکن است از دید ابزارهای امنیتی یا سیستمهای مانیتورینگ ساده پنهان بماند، چون فایل Python هنوز ظاهر عادی دارد.
#نشر_دانش
#آکادمی_روزبه
مرکز تخصصی CISSP
یکی از روشهای مورد استفاده مهاجمان برای این که بتوانند دسترسی root را دوباره بهدست بیاورند، استفاده از «Linux Capabilities» برای باینری Python است.
مثال :
bash
setcap cap_setuid+ep /usr/bin/python3.12
توضیح:
در لینوکس، دستور setcap به یک فایل اجرایی قابلیتهایی (Capabilities) میدهد که معمولاً فقط فایلهای با سطح دسترسی SUID دارند.
در این مثال، با فعالکردن قابلیت cap_setuid+ep برای /usr/bin/python3.12، مهاجم باعث میشود که باینری Python بتواند سطح دسترسی کاربر جاری را به root تغییر دهد (مثل setuid root بدون نیاز به SUID bit).
⚠️ پیامد امنیتی:
بدون اینکه بیت SUID را روی فایل Python تنظیم کنند یا باینری را تغییر دهند، مهاجم میتواند با استفاده از همین قابلیتها:
از طریق Python یک شِل (Shell) با دسترسی root اجرا کند.
دربپشتیهای سطح پایین و پنهان بسازد.
این تغییر سطح دسترسی ممکن است از دید ابزارهای امنیتی یا سیستمهای مانیتورینگ ساده پنهان بماند، چون فایل Python هنوز ظاهر عادی دارد.
#نشر_دانش
#آکادمی_روزبه
مرکز تخصصی CISSP
🙏4❤1
قابل توجه مسوولان
روند افزایشی را در برون سپاری خدمات IT و امنیت را شاهد هستم.
در کنار منافع ( که برخی مواقع جبر بوده ) بایستی ریسک ها را هم در نظر گرفت.
🔴لازم است مسوولان کشوری نسبت به تهیه و ابلاغ تطابق سنجی با گزارشاتی چون SOC1, 2,3 اقدام کنند تا برون سپاری ها تحت کنترل باشد وگرنه در آینده نزدیک شاهد شکست های حفاظتی شدید از سوی پیمانکاران خواهیم بود
هلدینگ ها و شرکت های مادر هم میتوانند با ابلاغ گزارشات تطابق سنجی SOC به زیر مجموعه های خود نقشی مهم در کنترل امنیت ایفا کنند
۲۷ مهرماه ۱۴۰۴ ثبت شد.
روزبه نوروزی
**گزارشات SOC از بحث مرکز عملیات امنیت جداست و مقوله ای نظارتی است.
روند افزایشی را در برون سپاری خدمات IT و امنیت را شاهد هستم.
در کنار منافع ( که برخی مواقع جبر بوده ) بایستی ریسک ها را هم در نظر گرفت.
🔴لازم است مسوولان کشوری نسبت به تهیه و ابلاغ تطابق سنجی با گزارشاتی چون SOC1, 2,3 اقدام کنند تا برون سپاری ها تحت کنترل باشد وگرنه در آینده نزدیک شاهد شکست های حفاظتی شدید از سوی پیمانکاران خواهیم بود
هلدینگ ها و شرکت های مادر هم میتوانند با ابلاغ گزارشات تطابق سنجی SOC به زیر مجموعه های خود نقشی مهم در کنترل امنیت ایفا کنند
۲۷ مهرماه ۱۴۰۴ ثبت شد.
روزبه نوروزی
**گزارشات SOC از بحث مرکز عملیات امنیت جداست و مقوله ای نظارتی است.
👌8❤3👍3
وصله شده این dMSA، درست؛ ولی BadSuccessor از attribute دیگری در همان ساختار trust chain سوءاستفاده میکند.
توجه داشته باشید
دوره های سطح ۱ و ۲
پوشش دهنده گپ های دانشی شما
https://specterops.io/blog/2025/10/20/the-near-return-of-the-king-account-takeover-using-the-badsuccessor-technique/
توجه داشته باشید
دوره های سطح ۱ و ۲
پوشش دهنده گپ های دانشی شما
https://specterops.io/blog/2025/10/20/the-near-return-of-the-king-account-takeover-using-the-badsuccessor-technique/
SpecterOps
The (Near) Return of the King: Account Takeover Using the BadSuccessor Technique - SpecterOps
After Microsoft patched Yuval Gordon’s BadSuccessor privilege escalation technique, BadSuccessor returned with another blog from Yuval, briefly mentioning to the community that attackers can still abuse dMSAs to take over any object where we have a write…
⚡3💯1
#امنیت_به_زبان_ساده
هرم درد : تمرکز بر راس هرم
تاکتیکها، تکنیکها و رویهها (TTPs) سخت و موثر
کشف TTPs بالاترین و مؤثرترین و سخت ترین سطح دفاع است. در این سطح، ما دیگر به دنبال یک فایل یا ابزار خاص نیستیم، بلکه به دنبال الگوی رفتاری مهاجم هستیم
تاکتیک (Tactic): هدف کلی مهاجم چیست؟ (مثلاً: دسترسی اولیه، ارتقای سطح دسترسی، حرکت جانبی در شبکه).
تکنیک (Technique): چگونه آن هدف را دنبال میکند؟ (مثلاً: برای دسترسی اولیه از فیشینگ استفاده میکند).
رویه (Procedure): جزئیات دقیق پیادهسازی آن تکنیک چگونه است؟ (مثلاً: ایمیل فیشینگ با یک فایل PDF آلوده که از یک آسیبپذیری خاص در Adobe Reader استفاده میکند).
برای مدافع: شناسایی TTPها نیازمند دید جامع به کل زنجیره حمله، تحلیلگران خبره و ابزارهای پیشرفته مانند SIEM و SOAR است. ما به دنبال “داستان” حمله هستیم، نه فقط یک نشانه . هم سخت است هم موثر . کشف کردن این عنصر نیاز به یک عملیات پیچیده دارد اما وقتی کشف شد هکر را خلع سلاح میکند
درد برای مهاجم: فلجکننده! وقتی ما بتوانیم TTPهای یک مهاجم را شناسایی کنیم ، در واقع کل استراتژی و کتابچه راهنمای (Playbook) او را بیاثر کردهایم.
مهاجم دیگر نمیتواند با تغییر ابزار یا IP به کار خود ادامه دهد. او باید روش فکر کردن و عمل کردن خود را از پایه تغییر دهد که این کار بسیار پرهزینه، زمانبر و گاهی غیرممکن است.
مثال: ما متوجه میشویم که مهاجم همیشه ابتدا از طریق فیشینگ وارد میشود، سپس با استفاده از PowerShell یک اسکریپت بدون فایل (Fileless) را برای حرکت جانبی اجرا میکند و در نهایت دادهها را فشرده کرده و از طریق DNS Tunneling به بیرون ارسال میکند. ما با تمرکز بر شناسایی و مسدود کردن هر یک از این رفتارها (نه فقط ابزارها)، کل عملیات او را، صرف نظر از ابزاری که استفاده میکند، مختل میکنیم.
#آکادمی_روزبه www.haumoun.com
ثبت نام دوره سطح ۱ و ۲ واتس اپ 09902857290
هرم درد : تمرکز بر راس هرم
تاکتیکها، تکنیکها و رویهها (TTPs) سخت و موثر
کشف TTPs بالاترین و مؤثرترین و سخت ترین سطح دفاع است. در این سطح، ما دیگر به دنبال یک فایل یا ابزار خاص نیستیم، بلکه به دنبال الگوی رفتاری مهاجم هستیم
تاکتیک (Tactic): هدف کلی مهاجم چیست؟ (مثلاً: دسترسی اولیه، ارتقای سطح دسترسی، حرکت جانبی در شبکه).
تکنیک (Technique): چگونه آن هدف را دنبال میکند؟ (مثلاً: برای دسترسی اولیه از فیشینگ استفاده میکند).
رویه (Procedure): جزئیات دقیق پیادهسازی آن تکنیک چگونه است؟ (مثلاً: ایمیل فیشینگ با یک فایل PDF آلوده که از یک آسیبپذیری خاص در Adobe Reader استفاده میکند).
برای مدافع: شناسایی TTPها نیازمند دید جامع به کل زنجیره حمله، تحلیلگران خبره و ابزارهای پیشرفته مانند SIEM و SOAR است. ما به دنبال “داستان” حمله هستیم، نه فقط یک نشانه . هم سخت است هم موثر . کشف کردن این عنصر نیاز به یک عملیات پیچیده دارد اما وقتی کشف شد هکر را خلع سلاح میکند
درد برای مهاجم: فلجکننده! وقتی ما بتوانیم TTPهای یک مهاجم را شناسایی کنیم ، در واقع کل استراتژی و کتابچه راهنمای (Playbook) او را بیاثر کردهایم.
مهاجم دیگر نمیتواند با تغییر ابزار یا IP به کار خود ادامه دهد. او باید روش فکر کردن و عمل کردن خود را از پایه تغییر دهد که این کار بسیار پرهزینه، زمانبر و گاهی غیرممکن است.
مثال: ما متوجه میشویم که مهاجم همیشه ابتدا از طریق فیشینگ وارد میشود، سپس با استفاده از PowerShell یک اسکریپت بدون فایل (Fileless) را برای حرکت جانبی اجرا میکند و در نهایت دادهها را فشرده کرده و از طریق DNS Tunneling به بیرون ارسال میکند. ما با تمرکز بر شناسایی و مسدود کردن هر یک از این رفتارها (نه فقط ابزارها)، کل عملیات او را، صرف نظر از ابزاری که استفاده میکند، مختل میکنیم.
#آکادمی_روزبه www.haumoun.com
ثبت نام دوره سطح ۱ و ۲ واتس اپ 09902857290
❤6💯1
تجربه امروز در SOC و پایگاه داده
اسکما
در معماری پایش امنیتی پایگاهداده، وجود یک سازوکار هماهنگ میان Parser، Rule Engine و Dashboard حیاتی است تا تحلیلگر SOC بتواند رفتارهای غیرعادی را در لایه داده بهصورت دقیق و با زمینه سازی (Context Awareness) مشاهده کند.
نخستین گام، تقویت Parser است؛ این مؤلفه باید فیلد حیاتی schema_name را از لاگهای SQL استخراج و ذخیره کند، زیرا بدون آن، تشخیص سطح حساسیت و حوزهی داده عملاً غیرممکن است. دادههای خام، زمانی ارزش امنیتی مییابند که با اسکما مرتبط شوند و مشخص شود عملیات روی کدام بخش از دادههای سازمان انجام گرفته است.
در گام دوم، Rule Engine باید تناظر یابی حساسیت یا Sensitivity Mapping اسکماها را بشناسد و آن را در تحلیل همبسته بهکار گیرد. به این معنا که یک دستور SELECT از اسکمای عمومی ممکن است عادی تلقی شود، اما همان دستور از اسکمای مالی یا منابع انسانی باید بهعنوان رویداد پرریسک نشانهگذاری گردد. این همبستگی میان حساسیت داده و رفتار کاربر، مبنای تشخیص تهدیدهای داخلی و دسترسیهای غیرمجاز است.
در نهایت، Dashboard باید خروجی تحلیل را بر اساس طبقهبندی اسکماها نمایش دهد تا فعالیتهای مرتبط با اسکماهای Critical در نمایی مجزا، فوری و رنگکدبندیشده در دسترس تیم SOC قرار گیرد.
#آکادمی_روزبه
اسکما
در معماری پایش امنیتی پایگاهداده، وجود یک سازوکار هماهنگ میان Parser، Rule Engine و Dashboard حیاتی است تا تحلیلگر SOC بتواند رفتارهای غیرعادی را در لایه داده بهصورت دقیق و با زمینه سازی (Context Awareness) مشاهده کند.
نخستین گام، تقویت Parser است؛ این مؤلفه باید فیلد حیاتی schema_name را از لاگهای SQL استخراج و ذخیره کند، زیرا بدون آن، تشخیص سطح حساسیت و حوزهی داده عملاً غیرممکن است. دادههای خام، زمانی ارزش امنیتی مییابند که با اسکما مرتبط شوند و مشخص شود عملیات روی کدام بخش از دادههای سازمان انجام گرفته است.
در گام دوم، Rule Engine باید تناظر یابی حساسیت یا Sensitivity Mapping اسکماها را بشناسد و آن را در تحلیل همبسته بهکار گیرد. به این معنا که یک دستور SELECT از اسکمای عمومی ممکن است عادی تلقی شود، اما همان دستور از اسکمای مالی یا منابع انسانی باید بهعنوان رویداد پرریسک نشانهگذاری گردد. این همبستگی میان حساسیت داده و رفتار کاربر، مبنای تشخیص تهدیدهای داخلی و دسترسیهای غیرمجاز است.
در نهایت، Dashboard باید خروجی تحلیل را بر اساس طبقهبندی اسکماها نمایش دهد تا فعالیتهای مرتبط با اسکماهای Critical در نمایی مجزا، فوری و رنگکدبندیشده در دسترس تیم SOC قرار گیرد.
#آکادمی_روزبه
👏9❤1
بیاموزید
نشر دهید
چیزی از شما کم نمیشود
بلکه
افزون میشود
امتحان کنید
نشر دهید
چیزی از شما کم نمیشود
بلکه
افزون میشود
امتحان کنید
❤23💯5
الان میخوانم ؛ برایتان خواهم نوشت
https://specterops.io/blog/2025/10/23/catching-credential-guard-off-guard/
https://specterops.io/blog/2025/10/23/catching-credential-guard-off-guard/
SpecterOps
Catching Credential Guard Off Guard - SpecterOps
Uncovering the protection mechanisms provided by modern Windows security features and identifying new methods for credential dumping.
❤5
👏9
از ارائه های همایش فارغالتحصیلان CISSP
🟣چرا در حلقهی OODA، توقف در “مشاهده” و “جهتگیری” ضامن تصمیمات امنیتی موفق است؟
💯تبریک به فارغالتحصیلان محترم آکادمی روزبه.
دریافت گواهی CISSP یک نقطه عطف فنی نیست؛ بلکه تأییدیهای بر توانایی شما در تفکر استراتژیک، جامع و ریسکمحور است.
در دنیای امنیت که سرعت تغییرات تهدیدات سرسامآور است، بزرگترین ابزار شما دیگر یک فایروال نیست، بلکه حلقه OODA (Observe, Orient, Decide, Act) است. اما چگونه یک CISSP حرفهای از این چارچوب برای جلوگیری از فاجعه استفاده میکند؟
🔴بزرگترین اشتباه در مدیریت امنیت، عجله برای رسیدن به فاز “Decide” (تصمیم) و “Act” (اجرا) است. رهبران امنیتی موفق، عمداً سرعت خود را در فازهای ابتدایی - “Observe” (مشاهده) و “Orient” (جهتگیری) - کاهش میدهند.
مشاهده فراتر از داده: در فاز “Observe”، ما صرفاً به هشدارها و لاگهای خام نگاه نمیکنیم. ما به جمعآوری اطلاعات جامع (Threat Intelligence)، درک عمیق از معماری کسبوکار، تعامل با قوانین و مقررات، و آگاهی از فرهنگ سازمانی میپردازیم. مشاهده یک متخصص CISSP شامل متن (Context) است، نه فقط داده.
فاز “Orient” حیاتیترین بخش است که اغلب نادیده گرفته میشود. اینجا جایی است که داده خام به بینش عملی تبدیل میشود. در این مرحله، ما:
✅️دادههای مشاهده شده را در فریمورکهای ریسک (مانند ISO 27005 یا NIST) مدلسازی میکنیم.
✅️ تعصبات شناختی (Cognitive Biases) تیم و خودمان را شناسایی میکنیم.
✅️تأثیرات تصمیمات احتمالی بر روی موجودیتهای کلیدی (C-Suite، مشتریان، سهامداران) را پیشبینی میکنیم.
✅️دانش خود در حوزه معماری امنیت و طراحی سیستمهای امن را برای درک اینکه آیا این تهدید یک نقص سیستمی است یا یک نقص عملیاتی، به کار میگیریم.
🔰توقف هوشمندانه، تصمیم ایمن: اگر فازهای “Observe” و “Orient” با عمق کافی انجام نشود، تصمیم (Decide) در خلاء یا بر اساس فرضیات ناقص گرفته خواهد شد. تصمیمگیری عجولانه منجر به “اقدامات فاجعهبار” میشود: هدر رفتن بودجه، اتخاذ راهحلهای کوتاهمدت ناامن، یا بدتر از همه، نادیده گرفتن ریشه اصلی مشکل.
✳️به عنوان یک CISSP، ماموریت ما کاهش دادن زمان کل حلقه OODA است، و این کاهش زمان نه با سرعت دادن به مراحل، بلکه با افزایش دقت “مشاهده” و “جهتگیری” محقق میشود. این کند کردن استراتژیک، تضمین میکند که تصمیمات ما دقیق و پایدار باشند و احتمال شکست استراتژیک به حداقل برسد.
موفقیت شما در امنیت، در عمق تفکر شما نهفته است، نه فقط در سرعت عملتان.
#OODA #مدیریت_ریسک #امنیت_اطلاعات #آکادمی_روزبه
www.haumoun.com
پنج شنبه ۸ آبان ۱۴۰۴ تهران شرکت هامون
🟣چرا در حلقهی OODA، توقف در “مشاهده” و “جهتگیری” ضامن تصمیمات امنیتی موفق است؟
💯تبریک به فارغالتحصیلان محترم آکادمی روزبه.
دریافت گواهی CISSP یک نقطه عطف فنی نیست؛ بلکه تأییدیهای بر توانایی شما در تفکر استراتژیک، جامع و ریسکمحور است.
در دنیای امنیت که سرعت تغییرات تهدیدات سرسامآور است، بزرگترین ابزار شما دیگر یک فایروال نیست، بلکه حلقه OODA (Observe, Orient, Decide, Act) است. اما چگونه یک CISSP حرفهای از این چارچوب برای جلوگیری از فاجعه استفاده میکند؟
🔴بزرگترین اشتباه در مدیریت امنیت، عجله برای رسیدن به فاز “Decide” (تصمیم) و “Act” (اجرا) است. رهبران امنیتی موفق، عمداً سرعت خود را در فازهای ابتدایی - “Observe” (مشاهده) و “Orient” (جهتگیری) - کاهش میدهند.
مشاهده فراتر از داده: در فاز “Observe”، ما صرفاً به هشدارها و لاگهای خام نگاه نمیکنیم. ما به جمعآوری اطلاعات جامع (Threat Intelligence)، درک عمیق از معماری کسبوکار، تعامل با قوانین و مقررات، و آگاهی از فرهنگ سازمانی میپردازیم. مشاهده یک متخصص CISSP شامل متن (Context) است، نه فقط داده.
فاز “Orient” حیاتیترین بخش است که اغلب نادیده گرفته میشود. اینجا جایی است که داده خام به بینش عملی تبدیل میشود. در این مرحله، ما:
✅️دادههای مشاهده شده را در فریمورکهای ریسک (مانند ISO 27005 یا NIST) مدلسازی میکنیم.
✅️ تعصبات شناختی (Cognitive Biases) تیم و خودمان را شناسایی میکنیم.
✅️تأثیرات تصمیمات احتمالی بر روی موجودیتهای کلیدی (C-Suite، مشتریان، سهامداران) را پیشبینی میکنیم.
✅️دانش خود در حوزه معماری امنیت و طراحی سیستمهای امن را برای درک اینکه آیا این تهدید یک نقص سیستمی است یا یک نقص عملیاتی، به کار میگیریم.
🔰توقف هوشمندانه، تصمیم ایمن: اگر فازهای “Observe” و “Orient” با عمق کافی انجام نشود، تصمیم (Decide) در خلاء یا بر اساس فرضیات ناقص گرفته خواهد شد. تصمیمگیری عجولانه منجر به “اقدامات فاجعهبار” میشود: هدر رفتن بودجه، اتخاذ راهحلهای کوتاهمدت ناامن، یا بدتر از همه، نادیده گرفتن ریشه اصلی مشکل.
✳️به عنوان یک CISSP، ماموریت ما کاهش دادن زمان کل حلقه OODA است، و این کاهش زمان نه با سرعت دادن به مراحل، بلکه با افزایش دقت “مشاهده” و “جهتگیری” محقق میشود. این کند کردن استراتژیک، تضمین میکند که تصمیمات ما دقیق و پایدار باشند و احتمال شکست استراتژیک به حداقل برسد.
موفقیت شما در امنیت، در عمق تفکر شما نهفته است، نه فقط در سرعت عملتان.
#OODA #مدیریت_ریسک #امنیت_اطلاعات #آکادمی_روزبه
www.haumoun.com
پنج شنبه ۸ آبان ۱۴۰۴ تهران شرکت هامون
⚡4🙏2❤1
بحثی حقوقی از درس CISSP
📘 مسئولیت مستقیم شرکتها (Direct Liability)
مسئولیت مستقیم یعنی حالتی که شرکت یا سازمان به خاطر اجازه دادن، چشمپوشی، یا نادیده گرفتن رفتار نادرست یکی از کارکنانش، خودش بهطور مستقیم در برابر قانون پاسخگو میشود.
به بیان سادهتر، اگر شرکت به شکل آگاهانه، یا از روی سهلانگاری، باعث شود کارمندی عمل خلافی انجام دهد، قانون آن را رفتار خود شرکت تلقی میکند.
این موضوع بهویژه درباره مدیران و افرادی صادق است که از طرف سازمان اختیار قانونی دارند و به نام آن عمل میکنند. چون مدیران میتوانند بخشی از مسئولیتهایشان را به کارمندان تفویض کنند، هرگاه فردی در چارچوب همان اختیار تفویضشده کاری انجام دهد، ممکن است مسئولیت مستقیماً متوجه شرکت شود.
بنابراین اگر بتوان ثابت کرد که رفتار، تصمیم یا کوتاهی شرکت موجب انجام عمل مجرمانه شده است، قانون سازمان را مسئول مستقیم جرم میداند، نه فقط کارمند متخلف را.
⚖️ رابطه با مفهوم Mens Rea (نیت یا آگاهی مجرمانه)
در جرائم کیفری، اصل بر این است که دادگاه باید ثابت کند فرد از پیامدهای مجرمانهی کار خود آگاه بوده و قصد ارتکاب جرم را داشته است ؛ یعنی وجود Mens Rea.
در مورد یک شرکت، این آگاهی معمولاً در تصمیمها یا خطمشیهای مدیریتی جستجو میشود.
با این حال، نوعی از جرائم وجود دارند که در آنها نیازی به اثبات نیت یا قصد مجرمانه نیست و همین وقوع عمل ممنوعه برای مسئولیتپذیری کافی است.
به این جرائم میگویند: جرائم با مسئولیت مطلق (Strict Liability Offenses).
در چنین حالتی، اگر کارمند در حین انجام وظایف خود مرتکب تخلفی شود -مثلاً نقض مقررات زیستمحیطی یا امنیت داده - شرکت بدون نیاز به اثبات قصد، پاسخگو خواهد بود.
🧩 اصل انتساب رفتار کارمند به شرکت
وقتی قانون، مسئولیت را به شرکتها تسری دهد، رفتار یا حتی قصد ذهنی یک کارمند میتواند به شرکت نسبت داده شود.
اما این انتساب فقط زمانی معتبر است که:
رفتار انجامشده در چارچوب وظایف شغلی و اختیارات قانونی فرد باشد.
به این معیار، در حقوق کیفری و مدیریتی، اصطلاحاً “Course and Capacity of Employment Benchmark” میگویند.
اگر کارمند دست به کاری بزند که خارج از محدودهی اختیاراتش است (مثلاً دسترسی غیرمجاز یا کلاهبرداری رایانهای برای منافع شخصی)، مسئولیت او بر عهدهی خودش است ؛ هرچند که سازمان کاملاً از تبعات حقوقی آن در امان نخواهد بود، چون ممکن است نبود کنترلهای نظارتی یا سهلانگاری مدیریتی خود شرکت زیر سؤال برود.
جمع بندی
مقوله Direct Liability یعنی سازمان بدون واسطه در وقوع جرم نقش داشته (با اقدام یا کوتاهی).
و Mens Rea در شرکت از طریق تصمیمها، سیاستها و بیاحتیاطی مدیران نمایان میشود.
وStrict Liability یعنی کافی است عمل ممنوعه رخ دهد تا شرکت مسئول باشد، حتی بدون اثبات نیت.
وCourse and Capacity Benchmark حدی است که تشخیص میدهد عمل کارمند، کاری سازمانی بوده یا شخصی.
وجود کنترلها، آموزشها و خطمشیهای روشن میتواند از انتساب Mens Rea به سازمان جلوگیری کند و این دقیقاً مصداق Due Diligence / Due Care است.
#آکادمی_روزبه
📘 مسئولیت مستقیم شرکتها (Direct Liability)
مسئولیت مستقیم یعنی حالتی که شرکت یا سازمان به خاطر اجازه دادن، چشمپوشی، یا نادیده گرفتن رفتار نادرست یکی از کارکنانش، خودش بهطور مستقیم در برابر قانون پاسخگو میشود.
به بیان سادهتر، اگر شرکت به شکل آگاهانه، یا از روی سهلانگاری، باعث شود کارمندی عمل خلافی انجام دهد، قانون آن را رفتار خود شرکت تلقی میکند.
این موضوع بهویژه درباره مدیران و افرادی صادق است که از طرف سازمان اختیار قانونی دارند و به نام آن عمل میکنند. چون مدیران میتوانند بخشی از مسئولیتهایشان را به کارمندان تفویض کنند، هرگاه فردی در چارچوب همان اختیار تفویضشده کاری انجام دهد، ممکن است مسئولیت مستقیماً متوجه شرکت شود.
بنابراین اگر بتوان ثابت کرد که رفتار، تصمیم یا کوتاهی شرکت موجب انجام عمل مجرمانه شده است، قانون سازمان را مسئول مستقیم جرم میداند، نه فقط کارمند متخلف را.
⚖️ رابطه با مفهوم Mens Rea (نیت یا آگاهی مجرمانه)
در جرائم کیفری، اصل بر این است که دادگاه باید ثابت کند فرد از پیامدهای مجرمانهی کار خود آگاه بوده و قصد ارتکاب جرم را داشته است ؛ یعنی وجود Mens Rea.
در مورد یک شرکت، این آگاهی معمولاً در تصمیمها یا خطمشیهای مدیریتی جستجو میشود.
با این حال، نوعی از جرائم وجود دارند که در آنها نیازی به اثبات نیت یا قصد مجرمانه نیست و همین وقوع عمل ممنوعه برای مسئولیتپذیری کافی است.
به این جرائم میگویند: جرائم با مسئولیت مطلق (Strict Liability Offenses).
در چنین حالتی، اگر کارمند در حین انجام وظایف خود مرتکب تخلفی شود -مثلاً نقض مقررات زیستمحیطی یا امنیت داده - شرکت بدون نیاز به اثبات قصد، پاسخگو خواهد بود.
🧩 اصل انتساب رفتار کارمند به شرکت
وقتی قانون، مسئولیت را به شرکتها تسری دهد، رفتار یا حتی قصد ذهنی یک کارمند میتواند به شرکت نسبت داده شود.
اما این انتساب فقط زمانی معتبر است که:
رفتار انجامشده در چارچوب وظایف شغلی و اختیارات قانونی فرد باشد.
به این معیار، در حقوق کیفری و مدیریتی، اصطلاحاً “Course and Capacity of Employment Benchmark” میگویند.
اگر کارمند دست به کاری بزند که خارج از محدودهی اختیاراتش است (مثلاً دسترسی غیرمجاز یا کلاهبرداری رایانهای برای منافع شخصی)، مسئولیت او بر عهدهی خودش است ؛ هرچند که سازمان کاملاً از تبعات حقوقی آن در امان نخواهد بود، چون ممکن است نبود کنترلهای نظارتی یا سهلانگاری مدیریتی خود شرکت زیر سؤال برود.
جمع بندی
مقوله Direct Liability یعنی سازمان بدون واسطه در وقوع جرم نقش داشته (با اقدام یا کوتاهی).
و Mens Rea در شرکت از طریق تصمیمها، سیاستها و بیاحتیاطی مدیران نمایان میشود.
وStrict Liability یعنی کافی است عمل ممنوعه رخ دهد تا شرکت مسئول باشد، حتی بدون اثبات نیت.
وCourse and Capacity Benchmark حدی است که تشخیص میدهد عمل کارمند، کاری سازمانی بوده یا شخصی.
وجود کنترلها، آموزشها و خطمشیهای روشن میتواند از انتساب Mens Rea به سازمان جلوگیری کند و این دقیقاً مصداق Due Diligence / Due Care است.
#آکادمی_روزبه
❤4💯4
ردپا ها در فارنزیک
این قسمت: شل بگ
شلبگ (Shellbag) ساختاری در سیستمعامل ویندوز است که برای ذخیره تنظیمات نمایش پوشهها در Windows Explorer به کار میرود. هر زمان کاربر یک پوشه را باز میکند یا نمای آن را تغییر میدهد (مثل حالت آیکون، اندازه پنجره یا موقعیت آن)، این تنظیمات در رجیستری ویندوز بهصورت کلیدهای Shellbag ذخیره میشود تا در بازدید بعدی همان پوشه، تنظیمات قبلی حفظ گردد.
اطلاعات شلبگ در فایلهای رجیستری کاربران نگهداری میشود، از جمله:
HKCU\Software\Microsoft\Windows\Shell\Bags
HKCU\Software\Microsoft\Windows\Shell\BagMRU
همچنین این دادهها بهصورت فیزیکی در فایلهای NTUSER.DAT و USRCLASS.DAT مربوط به هر حساب کاربری ذخیره میشوند.
از دید دیجیتال فارنزیک (Digital Forensics)، شلبگها ارزش شواهدی بالایی دارند زیرا میتوانند سوابق پوشههایی را که کاربر باز کرده- اگر پوشه بعداً حذف شده باشد-نمایش دهند. آنها شامل مسیر کامل فولدر، شناسه دستگاه (Device ID)، و زمان آخرین دسترسی هستند. این ویژگیها کمک میکند تا فعالیتهای کاربر، استفاده از درایوهای خارجی (مثل USB)، یا مرور پوشههای شبکهای بازسازی شود.
ابزارهایی مانند ShellBagsView، RegRipper Shellbags plugin و ShellBags Explorer برای مشاهده و تحلیل این دادهها استفاده میشوند. در تحلیلهای قضایی، شلبگها معمولاً بهمنظور تعیین مسیرهایی که کاربر مشاهده کرده یا حذفشان کرده به کار میروند. به همین دلیل، دستکاری یا حذف آنها (یک اقدام ضدفارنزیکی) میتواند نشانهای از تلاش برای پنهانسازی فعالیتها باشد.
www.haumoun.com
www.roozbeh.academy
مثال عملی در فارنزیک:
فرض کنید مظنونی ادعا کند USB را وصل نکرده؛ شلبگ میتواند Device ID و مسیر F:\MalwareFolder را نشان دهد، حتی اگر درایو جدا شده باشد.
در پروندههای قضایی (مثل child exploitation یا data theft)، شلبگها برای اثبات “knowledge” کاربر (یعنی کاربر پوشه را دیده) استفاده میشوند.
این قسمت: شل بگ
شلبگ (Shellbag) ساختاری در سیستمعامل ویندوز است که برای ذخیره تنظیمات نمایش پوشهها در Windows Explorer به کار میرود. هر زمان کاربر یک پوشه را باز میکند یا نمای آن را تغییر میدهد (مثل حالت آیکون، اندازه پنجره یا موقعیت آن)، این تنظیمات در رجیستری ویندوز بهصورت کلیدهای Shellbag ذخیره میشود تا در بازدید بعدی همان پوشه، تنظیمات قبلی حفظ گردد.
اطلاعات شلبگ در فایلهای رجیستری کاربران نگهداری میشود، از جمله:
HKCU\Software\Microsoft\Windows\Shell\Bags
HKCU\Software\Microsoft\Windows\Shell\BagMRU
همچنین این دادهها بهصورت فیزیکی در فایلهای NTUSER.DAT و USRCLASS.DAT مربوط به هر حساب کاربری ذخیره میشوند.
از دید دیجیتال فارنزیک (Digital Forensics)، شلبگها ارزش شواهدی بالایی دارند زیرا میتوانند سوابق پوشههایی را که کاربر باز کرده- اگر پوشه بعداً حذف شده باشد-نمایش دهند. آنها شامل مسیر کامل فولدر، شناسه دستگاه (Device ID)، و زمان آخرین دسترسی هستند. این ویژگیها کمک میکند تا فعالیتهای کاربر، استفاده از درایوهای خارجی (مثل USB)، یا مرور پوشههای شبکهای بازسازی شود.
ابزارهایی مانند ShellBagsView، RegRipper Shellbags plugin و ShellBags Explorer برای مشاهده و تحلیل این دادهها استفاده میشوند. در تحلیلهای قضایی، شلبگها معمولاً بهمنظور تعیین مسیرهایی که کاربر مشاهده کرده یا حذفشان کرده به کار میروند. به همین دلیل، دستکاری یا حذف آنها (یک اقدام ضدفارنزیکی) میتواند نشانهای از تلاش برای پنهانسازی فعالیتها باشد.
www.haumoun.com
www.roozbeh.academy
مثال عملی در فارنزیک:
فرض کنید مظنونی ادعا کند USB را وصل نکرده؛ شلبگ میتواند Device ID و مسیر F:\MalwareFolder را نشان دهد، حتی اگر درایو جدا شده باشد.
در پروندههای قضایی (مثل child exploitation یا data theft)، شلبگها برای اثبات “knowledge” کاربر (یعنی کاربر پوشه را دیده) استفاده میشوند.
👏7❤3👍3
در دنیای فارنزیک دیجیتال، گرفتن و تحلیل memory dump (یا همان تصویر حافظه RAM) از ویندوز کار نسبتاً جاافتادهای است.
اما وقتی نوبت به سیستمهای Linux میرسه، ابزارها، قالب دادهها، و ساختارهای کرنل آنقدر متنوع و غیراستاندارد هستند که پارس کردن (parse) درست حافظهی لینوکس تقریباً همیشه مشکلزاست.
مقاله توضیح میده که:
مشکلات، از ناهمگونی بین نسخههای کرنل و buildهای سفارشی شروع میشن؛
بعد به مسئلهی symbol درست نداشتن (kernel symbols) میرسه؛
و نهایتاً خطاهای ابزارهایی مثل Volatility یا Rekall در تفسیر ساختارهای task_struct، mm_struct، dentry و غیره رو بررسی میکنه.
آخرین برنامه های آکادمی روزبه را از واتس اپ زیر دریافت کنید 09902857290
Www.haumoun.com
https://memoryforensic.com/the-problem-with-parsing-linux-based-memory-dumps/
اما وقتی نوبت به سیستمهای Linux میرسه، ابزارها، قالب دادهها، و ساختارهای کرنل آنقدر متنوع و غیراستاندارد هستند که پارس کردن (parse) درست حافظهی لینوکس تقریباً همیشه مشکلزاست.
مقاله توضیح میده که:
مشکلات، از ناهمگونی بین نسخههای کرنل و buildهای سفارشی شروع میشن؛
بعد به مسئلهی symbol درست نداشتن (kernel symbols) میرسه؛
و نهایتاً خطاهای ابزارهایی مثل Volatility یا Rekall در تفسیر ساختارهای task_struct، mm_struct، dentry و غیره رو بررسی میکنه.
آخرین برنامه های آکادمی روزبه را از واتس اپ زیر دریافت کنید 09902857290
Www.haumoun.com
https://memoryforensic.com/the-problem-with-parsing-linux-based-memory-dumps/
❤3⚡2
تحلیل جامع نقش LLMها در قدرت اطلاعاتی جهانی
از منظر راهبردی، عصر جدید هوش مصنوعی بهویژه مدلهای زبانی بزرگ (LLMها) مانند ChatGPT، Gemini یا Claude را میتوان نقطهای از گذار تاریخی دانست که در آن «دانش» و «اطلاعات زبانی» همان نقشی را ایفا میکنند که نفت در قرن بیستم داشت. این فناوری، در ذات خود نهتنها یک ابزار فنی بلکه زیرساختی سیاسی و اقتصادی است که قدرت را در اختیار دارندگان داده و ظرفیت محاسباتی متمرکز میکند. از این زاویه، نگرانی دربارهی استفادهی LLMها برای حفظ سلطه و کنترل جهانی نهتنها بیپایه نیست بلکه از روندهای آشکار دو دهه گذشته تغذیه میکند.
در سطح فنی، LLMها از میلیونها سند، مکاتبه، گفتار و تعامل انسانی برای آموزش استفاده میکنند و از همین طریق قابلیت درک، پیشبینی و حتی بازسازی الگوهای فکری افراد و جوامع را مییابند. برخلاف موتورهای جستجو که فقط دادههای صریح جمعآوری میکنند، LLMها قادرند از میان زبان روزمره، «نقشهی شناختی» کاربران را استنباط کنند؛ یعنی بفهمند انسانها چه ارزشی را درک میکنند، چگونه تصمیم میگیرند، و چه چیزی برایشان اقناعکننده است. این قابلیت، بهویژه برای دولتها یا بلوکهای قدرتی که توان ذخیره، تحلیل و همپوشانی چنین دادههایی را دارند، ابزاری بالقوه برای پروفایلسازی شناختی جهانی فراهم میکند.
در سطح ژئوپلیتیک، توسعهی LLMها با تمرکز سرمایه و زیرساخت در چند کشور خاص همراه است. ایالات متحده، چین، و تا حدی اتحادیهی اروپا، مالک تقریباً تمام ابررایانهها و GPU فارمهای لازم برای آموزش مدلهای در مقیاس تریلیون پارامتر هستند. این تمرکز، عملاً به معنای حاکمیت دیجیتالی چندقطبی اما نامتوازن است؛ وضعیتی که در آن کشورهای فاقد زیرساخت نهتنها مصرفکنندهی داده و مدل میشوند بلکه روایتهای ذهنی و زبانی خود را نیز از فیلتر مدلهای بیگتک دریافت میکنند. نتیجه، شکلگیری «نظم نوین اطلاعاتی» است؛ نظمی که در آن، کنترل گفتمان عمومی و درک جمعی بیش از هر زمان تابع الگوریتمهایی میشود که ساختار آنها شفاف نیست.
از منظر اخلاق و حاکمیت فناوری، مسئله به «نیت» سازندگان برنمیگردد بلکه به عدم توازن شفافیت و پاسخگویی مرتبط است. حتی اگر هدف اولیهی تولید LLMها پیشبرد دانش و اقتصاد بوده، نتیجهی ناخواسته میتواند ایجاد ابزارهایی برای مهندسی شناخت و کنترل نرم باشد: از سانسور الگوریتمی گرفته تا همسویی محتوایی (alignment) که میتواند ذهن جمعی را شکل دهد یا پنهان کند. این همان مرحلهای است که مرز میان تحقیق علمی، منافع اقتصادی و امنیت ملی کاملاً درهممیآمیزد.
در مقابل، برخی استدلال میکنند که نگرانی از کنترل مطلق اغراقآمیز است، زیرا جوامع کاربری، قوانین حفظ حریم خصوصی، و جنبشهای منبع باز (مانند LLaMA، Mistral یا Falcon) میتوانند توازن ایجاد کنند. اما باید پذیرفت که این پروژههای باز نیز غالباً بر زیرساخت مالکیتی متکیاند و در سطح مدل، هنوز توان مقابله با هیولاهای اطلاعاتی چندملیتی را ندارند.
در جمعبندی، میتوان گفت LLMها ذاتاً برای جاسوسی یا سلطه ساخته نشدهاند، اما در ساختار فعلی قدرت، بهعنوان ابزار بالقوهی تسلط گفتمانی و شناختی جهان عمل میکنند. قدرت واقعی امروز نه در تملک اطلاعات، بلکه در مهندسی برداشت ذهنی از آن است و LLMها دقیقاً در همین نقطه ایستادهاند: مرز میان فهم و کنترل🛡
از منظر راهبردی، عصر جدید هوش مصنوعی بهویژه مدلهای زبانی بزرگ (LLMها) مانند ChatGPT، Gemini یا Claude را میتوان نقطهای از گذار تاریخی دانست که در آن «دانش» و «اطلاعات زبانی» همان نقشی را ایفا میکنند که نفت در قرن بیستم داشت. این فناوری، در ذات خود نهتنها یک ابزار فنی بلکه زیرساختی سیاسی و اقتصادی است که قدرت را در اختیار دارندگان داده و ظرفیت محاسباتی متمرکز میکند. از این زاویه، نگرانی دربارهی استفادهی LLMها برای حفظ سلطه و کنترل جهانی نهتنها بیپایه نیست بلکه از روندهای آشکار دو دهه گذشته تغذیه میکند.
در سطح فنی، LLMها از میلیونها سند، مکاتبه، گفتار و تعامل انسانی برای آموزش استفاده میکنند و از همین طریق قابلیت درک، پیشبینی و حتی بازسازی الگوهای فکری افراد و جوامع را مییابند. برخلاف موتورهای جستجو که فقط دادههای صریح جمعآوری میکنند، LLMها قادرند از میان زبان روزمره، «نقشهی شناختی» کاربران را استنباط کنند؛ یعنی بفهمند انسانها چه ارزشی را درک میکنند، چگونه تصمیم میگیرند، و چه چیزی برایشان اقناعکننده است. این قابلیت، بهویژه برای دولتها یا بلوکهای قدرتی که توان ذخیره، تحلیل و همپوشانی چنین دادههایی را دارند، ابزاری بالقوه برای پروفایلسازی شناختی جهانی فراهم میکند.
در سطح ژئوپلیتیک، توسعهی LLMها با تمرکز سرمایه و زیرساخت در چند کشور خاص همراه است. ایالات متحده، چین، و تا حدی اتحادیهی اروپا، مالک تقریباً تمام ابررایانهها و GPU فارمهای لازم برای آموزش مدلهای در مقیاس تریلیون پارامتر هستند. این تمرکز، عملاً به معنای حاکمیت دیجیتالی چندقطبی اما نامتوازن است؛ وضعیتی که در آن کشورهای فاقد زیرساخت نهتنها مصرفکنندهی داده و مدل میشوند بلکه روایتهای ذهنی و زبانی خود را نیز از فیلتر مدلهای بیگتک دریافت میکنند. نتیجه، شکلگیری «نظم نوین اطلاعاتی» است؛ نظمی که در آن، کنترل گفتمان عمومی و درک جمعی بیش از هر زمان تابع الگوریتمهایی میشود که ساختار آنها شفاف نیست.
از منظر اخلاق و حاکمیت فناوری، مسئله به «نیت» سازندگان برنمیگردد بلکه به عدم توازن شفافیت و پاسخگویی مرتبط است. حتی اگر هدف اولیهی تولید LLMها پیشبرد دانش و اقتصاد بوده، نتیجهی ناخواسته میتواند ایجاد ابزارهایی برای مهندسی شناخت و کنترل نرم باشد: از سانسور الگوریتمی گرفته تا همسویی محتوایی (alignment) که میتواند ذهن جمعی را شکل دهد یا پنهان کند. این همان مرحلهای است که مرز میان تحقیق علمی، منافع اقتصادی و امنیت ملی کاملاً درهممیآمیزد.
در مقابل، برخی استدلال میکنند که نگرانی از کنترل مطلق اغراقآمیز است، زیرا جوامع کاربری، قوانین حفظ حریم خصوصی، و جنبشهای منبع باز (مانند LLaMA، Mistral یا Falcon) میتوانند توازن ایجاد کنند. اما باید پذیرفت که این پروژههای باز نیز غالباً بر زیرساخت مالکیتی متکیاند و در سطح مدل، هنوز توان مقابله با هیولاهای اطلاعاتی چندملیتی را ندارند.
در جمعبندی، میتوان گفت LLMها ذاتاً برای جاسوسی یا سلطه ساخته نشدهاند، اما در ساختار فعلی قدرت، بهعنوان ابزار بالقوهی تسلط گفتمانی و شناختی جهان عمل میکنند. قدرت واقعی امروز نه در تملک اطلاعات، بلکه در مهندسی برداشت ذهنی از آن است و LLMها دقیقاً در همین نقطه ایستادهاند: مرز میان فهم و کنترل
Please open Telegram to view this post
VIEW IN TELEGRAM
💯5❤1👏1
چرا نمیتوان به تلمتری های EDR اعتماد کرد .
درباب نقد سایت زیر که بحث این روزها است از زاویه ای دیگر
https://www.edr-telemetry.com
سامانههای تشخیص و پاسخ در نقاط پایانی (EDR) با وعدهی "دید کامل" از طریق جمعآوری حجم وسیعی از دادههای تلهمتری، به سنگ بنای امنیت مدرن تبدیل شدند. با این حال، اتکای مطلق به این دادهها یک فرض خطرناک است، زیرا مهاجمان پیشرفته اکنون قادر به کور کردن، دستکاری و فریب عامل EDR هستند.
مشکل اصلی در این است که عامل EDR خود بر روی سیستمی اجرا میشود که ممکن است در معرض خطر قرار گیرد. مهاجمان با استفاده از تکنیکهای پیچیده، این منبع داده را غیرقابل اعتماد میکنند:
1. حملات سطح کرنل (Kernel-Level Attacks): با دسترسی به هسته سیستمعامل (Ring 0)، مهاجمان میتوانند قلابها (Hooks) و مکانیزمهای نظارتی EDR را مستقیماً حذف یا غیرفعال کنند. تکنیک BYOVD (Bring Your Own Vulnerable Driver) نمونه بارز این روش است که در آن از یک درایور امضاشده و آسیبپذیر برای خاموش کردن دفاع امنیتی استفاده میشود.
2. دور زدن در فضای کاربری (User-Space Evasion): روشهایی مانند فراخوانی مستقیم سیستمی (Direct System Calls) به بدافزار اجازه میدهند تا لایههای نظارتی EDR را کاملاً دور زده و فعالیتهای خود را بدون تولید هیچگونه تلهمتری انجام دهد.
پیامد این حملات، ایجاد یک حس امنیت کاذب و مرگبار است. تیمهای امنیتی ممکن است با تحقیقات ناقص مواجه شوند و حملات فعال را نادیده بگیرند، زیرا ابزار اصلی دیدهبانی آنها کور شده است.
راهبرد صحیح، پذیرش اصل "عدم اعتماد به یک منبع داده" است. تیمهای امنیتی باید تلهمتری EDR را به طور مداوم با منابع داده مستقل دیگر مانند لاگهای شبکه (NDR)، فایروالها و لاگهای بومی سیستمعامل همبستهسازی و راستیآزمایی کنند. همچنین، شکار تهدید فعال و تحلیل حافظه زنده (Memory Forensics) به ابزارهای ضروری برای کشف فعالیتهایی تبدیل شدهاند که از دید EDR پنهان ماندهاند.
درباب نقد سایت زیر که بحث این روزها است از زاویه ای دیگر
https://www.edr-telemetry.com
سامانههای تشخیص و پاسخ در نقاط پایانی (EDR) با وعدهی "دید کامل" از طریق جمعآوری حجم وسیعی از دادههای تلهمتری، به سنگ بنای امنیت مدرن تبدیل شدند. با این حال، اتکای مطلق به این دادهها یک فرض خطرناک است، زیرا مهاجمان پیشرفته اکنون قادر به کور کردن، دستکاری و فریب عامل EDR هستند.
مشکل اصلی در این است که عامل EDR خود بر روی سیستمی اجرا میشود که ممکن است در معرض خطر قرار گیرد. مهاجمان با استفاده از تکنیکهای پیچیده، این منبع داده را غیرقابل اعتماد میکنند:
1. حملات سطح کرنل (Kernel-Level Attacks): با دسترسی به هسته سیستمعامل (Ring 0)، مهاجمان میتوانند قلابها (Hooks) و مکانیزمهای نظارتی EDR را مستقیماً حذف یا غیرفعال کنند. تکنیک BYOVD (Bring Your Own Vulnerable Driver) نمونه بارز این روش است که در آن از یک درایور امضاشده و آسیبپذیر برای خاموش کردن دفاع امنیتی استفاده میشود.
2. دور زدن در فضای کاربری (User-Space Evasion): روشهایی مانند فراخوانی مستقیم سیستمی (Direct System Calls) به بدافزار اجازه میدهند تا لایههای نظارتی EDR را کاملاً دور زده و فعالیتهای خود را بدون تولید هیچگونه تلهمتری انجام دهد.
پیامد این حملات، ایجاد یک حس امنیت کاذب و مرگبار است. تیمهای امنیتی ممکن است با تحقیقات ناقص مواجه شوند و حملات فعال را نادیده بگیرند، زیرا ابزار اصلی دیدهبانی آنها کور شده است.
راهبرد صحیح، پذیرش اصل "عدم اعتماد به یک منبع داده" است. تیمهای امنیتی باید تلهمتری EDR را به طور مداوم با منابع داده مستقل دیگر مانند لاگهای شبکه (NDR)، فایروالها و لاگهای بومی سیستمعامل همبستهسازی و راستیآزمایی کنند. همچنین، شکار تهدید فعال و تحلیل حافظه زنده (Memory Forensics) به ابزارهای ضروری برای کشف فعالیتهایی تبدیل شدهاند که از دید EDR پنهان ماندهاند.
Edr-Telemetry
EDR Telemetry Project: Transparent Benchmarking & Telemetry Analysis for Businesses
Explore transparent, vendor-neutral EDR telemetry benchmarks. Make confident security decisions with real-world data and practical analysis for your business.
💯5👏1
۱-متخصص ادمین اسپلانک
۲-متخصص مجازی سازی، استوریج و بک آپ
ارسال رزومه به hr@haumoun.com
۲-متخصص مجازی سازی، استوریج و بک آپ
ارسال رزومه به hr@haumoun.com
❤6
آکادمی آموزش روزبه 📚
با توجه به نتایج نظر سنجی و درخواست ۵۰ درصد از شما تقدیم به ایران واتس اپ 09902857290
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6👍3🔥2