👏9
از ارائه های همایش فارغالتحصیلان CISSP
🟣چرا در حلقهی OODA، توقف در “مشاهده” و “جهتگیری” ضامن تصمیمات امنیتی موفق است؟
💯تبریک به فارغالتحصیلان محترم آکادمی روزبه.
دریافت گواهی CISSP یک نقطه عطف فنی نیست؛ بلکه تأییدیهای بر توانایی شما در تفکر استراتژیک، جامع و ریسکمحور است.
در دنیای امنیت که سرعت تغییرات تهدیدات سرسامآور است، بزرگترین ابزار شما دیگر یک فایروال نیست، بلکه حلقه OODA (Observe, Orient, Decide, Act) است. اما چگونه یک CISSP حرفهای از این چارچوب برای جلوگیری از فاجعه استفاده میکند؟
🔴بزرگترین اشتباه در مدیریت امنیت، عجله برای رسیدن به فاز “Decide” (تصمیم) و “Act” (اجرا) است. رهبران امنیتی موفق، عمداً سرعت خود را در فازهای ابتدایی - “Observe” (مشاهده) و “Orient” (جهتگیری) - کاهش میدهند.
مشاهده فراتر از داده: در فاز “Observe”، ما صرفاً به هشدارها و لاگهای خام نگاه نمیکنیم. ما به جمعآوری اطلاعات جامع (Threat Intelligence)، درک عمیق از معماری کسبوکار، تعامل با قوانین و مقررات، و آگاهی از فرهنگ سازمانی میپردازیم. مشاهده یک متخصص CISSP شامل متن (Context) است، نه فقط داده.
فاز “Orient” حیاتیترین بخش است که اغلب نادیده گرفته میشود. اینجا جایی است که داده خام به بینش عملی تبدیل میشود. در این مرحله، ما:
✅️دادههای مشاهده شده را در فریمورکهای ریسک (مانند ISO 27005 یا NIST) مدلسازی میکنیم.
✅️ تعصبات شناختی (Cognitive Biases) تیم و خودمان را شناسایی میکنیم.
✅️تأثیرات تصمیمات احتمالی بر روی موجودیتهای کلیدی (C-Suite، مشتریان، سهامداران) را پیشبینی میکنیم.
✅️دانش خود در حوزه معماری امنیت و طراحی سیستمهای امن را برای درک اینکه آیا این تهدید یک نقص سیستمی است یا یک نقص عملیاتی، به کار میگیریم.
🔰توقف هوشمندانه، تصمیم ایمن: اگر فازهای “Observe” و “Orient” با عمق کافی انجام نشود، تصمیم (Decide) در خلاء یا بر اساس فرضیات ناقص گرفته خواهد شد. تصمیمگیری عجولانه منجر به “اقدامات فاجعهبار” میشود: هدر رفتن بودجه، اتخاذ راهحلهای کوتاهمدت ناامن، یا بدتر از همه، نادیده گرفتن ریشه اصلی مشکل.
✳️به عنوان یک CISSP، ماموریت ما کاهش دادن زمان کل حلقه OODA است، و این کاهش زمان نه با سرعت دادن به مراحل، بلکه با افزایش دقت “مشاهده” و “جهتگیری” محقق میشود. این کند کردن استراتژیک، تضمین میکند که تصمیمات ما دقیق و پایدار باشند و احتمال شکست استراتژیک به حداقل برسد.
موفقیت شما در امنیت، در عمق تفکر شما نهفته است، نه فقط در سرعت عملتان.
#OODA #مدیریت_ریسک #امنیت_اطلاعات #آکادمی_روزبه
www.haumoun.com
پنج شنبه ۸ آبان ۱۴۰۴ تهران شرکت هامون
🟣چرا در حلقهی OODA، توقف در “مشاهده” و “جهتگیری” ضامن تصمیمات امنیتی موفق است؟
💯تبریک به فارغالتحصیلان محترم آکادمی روزبه.
دریافت گواهی CISSP یک نقطه عطف فنی نیست؛ بلکه تأییدیهای بر توانایی شما در تفکر استراتژیک، جامع و ریسکمحور است.
در دنیای امنیت که سرعت تغییرات تهدیدات سرسامآور است، بزرگترین ابزار شما دیگر یک فایروال نیست، بلکه حلقه OODA (Observe, Orient, Decide, Act) است. اما چگونه یک CISSP حرفهای از این چارچوب برای جلوگیری از فاجعه استفاده میکند؟
🔴بزرگترین اشتباه در مدیریت امنیت، عجله برای رسیدن به فاز “Decide” (تصمیم) و “Act” (اجرا) است. رهبران امنیتی موفق، عمداً سرعت خود را در فازهای ابتدایی - “Observe” (مشاهده) و “Orient” (جهتگیری) - کاهش میدهند.
مشاهده فراتر از داده: در فاز “Observe”، ما صرفاً به هشدارها و لاگهای خام نگاه نمیکنیم. ما به جمعآوری اطلاعات جامع (Threat Intelligence)، درک عمیق از معماری کسبوکار، تعامل با قوانین و مقررات، و آگاهی از فرهنگ سازمانی میپردازیم. مشاهده یک متخصص CISSP شامل متن (Context) است، نه فقط داده.
فاز “Orient” حیاتیترین بخش است که اغلب نادیده گرفته میشود. اینجا جایی است که داده خام به بینش عملی تبدیل میشود. در این مرحله، ما:
✅️دادههای مشاهده شده را در فریمورکهای ریسک (مانند ISO 27005 یا NIST) مدلسازی میکنیم.
✅️ تعصبات شناختی (Cognitive Biases) تیم و خودمان را شناسایی میکنیم.
✅️تأثیرات تصمیمات احتمالی بر روی موجودیتهای کلیدی (C-Suite، مشتریان، سهامداران) را پیشبینی میکنیم.
✅️دانش خود در حوزه معماری امنیت و طراحی سیستمهای امن را برای درک اینکه آیا این تهدید یک نقص سیستمی است یا یک نقص عملیاتی، به کار میگیریم.
🔰توقف هوشمندانه، تصمیم ایمن: اگر فازهای “Observe” و “Orient” با عمق کافی انجام نشود، تصمیم (Decide) در خلاء یا بر اساس فرضیات ناقص گرفته خواهد شد. تصمیمگیری عجولانه منجر به “اقدامات فاجعهبار” میشود: هدر رفتن بودجه، اتخاذ راهحلهای کوتاهمدت ناامن، یا بدتر از همه، نادیده گرفتن ریشه اصلی مشکل.
✳️به عنوان یک CISSP، ماموریت ما کاهش دادن زمان کل حلقه OODA است، و این کاهش زمان نه با سرعت دادن به مراحل، بلکه با افزایش دقت “مشاهده” و “جهتگیری” محقق میشود. این کند کردن استراتژیک، تضمین میکند که تصمیمات ما دقیق و پایدار باشند و احتمال شکست استراتژیک به حداقل برسد.
موفقیت شما در امنیت، در عمق تفکر شما نهفته است، نه فقط در سرعت عملتان.
#OODA #مدیریت_ریسک #امنیت_اطلاعات #آکادمی_روزبه
www.haumoun.com
پنج شنبه ۸ آبان ۱۴۰۴ تهران شرکت هامون
⚡4🙏2❤1
بحثی حقوقی از درس CISSP
📘 مسئولیت مستقیم شرکتها (Direct Liability)
مسئولیت مستقیم یعنی حالتی که شرکت یا سازمان به خاطر اجازه دادن، چشمپوشی، یا نادیده گرفتن رفتار نادرست یکی از کارکنانش، خودش بهطور مستقیم در برابر قانون پاسخگو میشود.
به بیان سادهتر، اگر شرکت به شکل آگاهانه، یا از روی سهلانگاری، باعث شود کارمندی عمل خلافی انجام دهد، قانون آن را رفتار خود شرکت تلقی میکند.
این موضوع بهویژه درباره مدیران و افرادی صادق است که از طرف سازمان اختیار قانونی دارند و به نام آن عمل میکنند. چون مدیران میتوانند بخشی از مسئولیتهایشان را به کارمندان تفویض کنند، هرگاه فردی در چارچوب همان اختیار تفویضشده کاری انجام دهد، ممکن است مسئولیت مستقیماً متوجه شرکت شود.
بنابراین اگر بتوان ثابت کرد که رفتار، تصمیم یا کوتاهی شرکت موجب انجام عمل مجرمانه شده است، قانون سازمان را مسئول مستقیم جرم میداند، نه فقط کارمند متخلف را.
⚖️ رابطه با مفهوم Mens Rea (نیت یا آگاهی مجرمانه)
در جرائم کیفری، اصل بر این است که دادگاه باید ثابت کند فرد از پیامدهای مجرمانهی کار خود آگاه بوده و قصد ارتکاب جرم را داشته است ؛ یعنی وجود Mens Rea.
در مورد یک شرکت، این آگاهی معمولاً در تصمیمها یا خطمشیهای مدیریتی جستجو میشود.
با این حال، نوعی از جرائم وجود دارند که در آنها نیازی به اثبات نیت یا قصد مجرمانه نیست و همین وقوع عمل ممنوعه برای مسئولیتپذیری کافی است.
به این جرائم میگویند: جرائم با مسئولیت مطلق (Strict Liability Offenses).
در چنین حالتی، اگر کارمند در حین انجام وظایف خود مرتکب تخلفی شود -مثلاً نقض مقررات زیستمحیطی یا امنیت داده - شرکت بدون نیاز به اثبات قصد، پاسخگو خواهد بود.
🧩 اصل انتساب رفتار کارمند به شرکت
وقتی قانون، مسئولیت را به شرکتها تسری دهد، رفتار یا حتی قصد ذهنی یک کارمند میتواند به شرکت نسبت داده شود.
اما این انتساب فقط زمانی معتبر است که:
رفتار انجامشده در چارچوب وظایف شغلی و اختیارات قانونی فرد باشد.
به این معیار، در حقوق کیفری و مدیریتی، اصطلاحاً “Course and Capacity of Employment Benchmark” میگویند.
اگر کارمند دست به کاری بزند که خارج از محدودهی اختیاراتش است (مثلاً دسترسی غیرمجاز یا کلاهبرداری رایانهای برای منافع شخصی)، مسئولیت او بر عهدهی خودش است ؛ هرچند که سازمان کاملاً از تبعات حقوقی آن در امان نخواهد بود، چون ممکن است نبود کنترلهای نظارتی یا سهلانگاری مدیریتی خود شرکت زیر سؤال برود.
جمع بندی
مقوله Direct Liability یعنی سازمان بدون واسطه در وقوع جرم نقش داشته (با اقدام یا کوتاهی).
و Mens Rea در شرکت از طریق تصمیمها، سیاستها و بیاحتیاطی مدیران نمایان میشود.
وStrict Liability یعنی کافی است عمل ممنوعه رخ دهد تا شرکت مسئول باشد، حتی بدون اثبات نیت.
وCourse and Capacity Benchmark حدی است که تشخیص میدهد عمل کارمند، کاری سازمانی بوده یا شخصی.
وجود کنترلها، آموزشها و خطمشیهای روشن میتواند از انتساب Mens Rea به سازمان جلوگیری کند و این دقیقاً مصداق Due Diligence / Due Care است.
#آکادمی_روزبه
📘 مسئولیت مستقیم شرکتها (Direct Liability)
مسئولیت مستقیم یعنی حالتی که شرکت یا سازمان به خاطر اجازه دادن، چشمپوشی، یا نادیده گرفتن رفتار نادرست یکی از کارکنانش، خودش بهطور مستقیم در برابر قانون پاسخگو میشود.
به بیان سادهتر، اگر شرکت به شکل آگاهانه، یا از روی سهلانگاری، باعث شود کارمندی عمل خلافی انجام دهد، قانون آن را رفتار خود شرکت تلقی میکند.
این موضوع بهویژه درباره مدیران و افرادی صادق است که از طرف سازمان اختیار قانونی دارند و به نام آن عمل میکنند. چون مدیران میتوانند بخشی از مسئولیتهایشان را به کارمندان تفویض کنند، هرگاه فردی در چارچوب همان اختیار تفویضشده کاری انجام دهد، ممکن است مسئولیت مستقیماً متوجه شرکت شود.
بنابراین اگر بتوان ثابت کرد که رفتار، تصمیم یا کوتاهی شرکت موجب انجام عمل مجرمانه شده است، قانون سازمان را مسئول مستقیم جرم میداند، نه فقط کارمند متخلف را.
⚖️ رابطه با مفهوم Mens Rea (نیت یا آگاهی مجرمانه)
در جرائم کیفری، اصل بر این است که دادگاه باید ثابت کند فرد از پیامدهای مجرمانهی کار خود آگاه بوده و قصد ارتکاب جرم را داشته است ؛ یعنی وجود Mens Rea.
در مورد یک شرکت، این آگاهی معمولاً در تصمیمها یا خطمشیهای مدیریتی جستجو میشود.
با این حال، نوعی از جرائم وجود دارند که در آنها نیازی به اثبات نیت یا قصد مجرمانه نیست و همین وقوع عمل ممنوعه برای مسئولیتپذیری کافی است.
به این جرائم میگویند: جرائم با مسئولیت مطلق (Strict Liability Offenses).
در چنین حالتی، اگر کارمند در حین انجام وظایف خود مرتکب تخلفی شود -مثلاً نقض مقررات زیستمحیطی یا امنیت داده - شرکت بدون نیاز به اثبات قصد، پاسخگو خواهد بود.
🧩 اصل انتساب رفتار کارمند به شرکت
وقتی قانون، مسئولیت را به شرکتها تسری دهد، رفتار یا حتی قصد ذهنی یک کارمند میتواند به شرکت نسبت داده شود.
اما این انتساب فقط زمانی معتبر است که:
رفتار انجامشده در چارچوب وظایف شغلی و اختیارات قانونی فرد باشد.
به این معیار، در حقوق کیفری و مدیریتی، اصطلاحاً “Course and Capacity of Employment Benchmark” میگویند.
اگر کارمند دست به کاری بزند که خارج از محدودهی اختیاراتش است (مثلاً دسترسی غیرمجاز یا کلاهبرداری رایانهای برای منافع شخصی)، مسئولیت او بر عهدهی خودش است ؛ هرچند که سازمان کاملاً از تبعات حقوقی آن در امان نخواهد بود، چون ممکن است نبود کنترلهای نظارتی یا سهلانگاری مدیریتی خود شرکت زیر سؤال برود.
جمع بندی
مقوله Direct Liability یعنی سازمان بدون واسطه در وقوع جرم نقش داشته (با اقدام یا کوتاهی).
و Mens Rea در شرکت از طریق تصمیمها، سیاستها و بیاحتیاطی مدیران نمایان میشود.
وStrict Liability یعنی کافی است عمل ممنوعه رخ دهد تا شرکت مسئول باشد، حتی بدون اثبات نیت.
وCourse and Capacity Benchmark حدی است که تشخیص میدهد عمل کارمند، کاری سازمانی بوده یا شخصی.
وجود کنترلها، آموزشها و خطمشیهای روشن میتواند از انتساب Mens Rea به سازمان جلوگیری کند و این دقیقاً مصداق Due Diligence / Due Care است.
#آکادمی_روزبه
❤4💯4
ردپا ها در فارنزیک
این قسمت: شل بگ
شلبگ (Shellbag) ساختاری در سیستمعامل ویندوز است که برای ذخیره تنظیمات نمایش پوشهها در Windows Explorer به کار میرود. هر زمان کاربر یک پوشه را باز میکند یا نمای آن را تغییر میدهد (مثل حالت آیکون، اندازه پنجره یا موقعیت آن)، این تنظیمات در رجیستری ویندوز بهصورت کلیدهای Shellbag ذخیره میشود تا در بازدید بعدی همان پوشه، تنظیمات قبلی حفظ گردد.
اطلاعات شلبگ در فایلهای رجیستری کاربران نگهداری میشود، از جمله:
HKCU\Software\Microsoft\Windows\Shell\Bags
HKCU\Software\Microsoft\Windows\Shell\BagMRU
همچنین این دادهها بهصورت فیزیکی در فایلهای NTUSER.DAT و USRCLASS.DAT مربوط به هر حساب کاربری ذخیره میشوند.
از دید دیجیتال فارنزیک (Digital Forensics)، شلبگها ارزش شواهدی بالایی دارند زیرا میتوانند سوابق پوشههایی را که کاربر باز کرده- اگر پوشه بعداً حذف شده باشد-نمایش دهند. آنها شامل مسیر کامل فولدر، شناسه دستگاه (Device ID)، و زمان آخرین دسترسی هستند. این ویژگیها کمک میکند تا فعالیتهای کاربر، استفاده از درایوهای خارجی (مثل USB)، یا مرور پوشههای شبکهای بازسازی شود.
ابزارهایی مانند ShellBagsView، RegRipper Shellbags plugin و ShellBags Explorer برای مشاهده و تحلیل این دادهها استفاده میشوند. در تحلیلهای قضایی، شلبگها معمولاً بهمنظور تعیین مسیرهایی که کاربر مشاهده کرده یا حذفشان کرده به کار میروند. به همین دلیل، دستکاری یا حذف آنها (یک اقدام ضدفارنزیکی) میتواند نشانهای از تلاش برای پنهانسازی فعالیتها باشد.
www.haumoun.com
www.roozbeh.academy
مثال عملی در فارنزیک:
فرض کنید مظنونی ادعا کند USB را وصل نکرده؛ شلبگ میتواند Device ID و مسیر F:\MalwareFolder را نشان دهد، حتی اگر درایو جدا شده باشد.
در پروندههای قضایی (مثل child exploitation یا data theft)، شلبگها برای اثبات “knowledge” کاربر (یعنی کاربر پوشه را دیده) استفاده میشوند.
این قسمت: شل بگ
شلبگ (Shellbag) ساختاری در سیستمعامل ویندوز است که برای ذخیره تنظیمات نمایش پوشهها در Windows Explorer به کار میرود. هر زمان کاربر یک پوشه را باز میکند یا نمای آن را تغییر میدهد (مثل حالت آیکون، اندازه پنجره یا موقعیت آن)، این تنظیمات در رجیستری ویندوز بهصورت کلیدهای Shellbag ذخیره میشود تا در بازدید بعدی همان پوشه، تنظیمات قبلی حفظ گردد.
اطلاعات شلبگ در فایلهای رجیستری کاربران نگهداری میشود، از جمله:
HKCU\Software\Microsoft\Windows\Shell\Bags
HKCU\Software\Microsoft\Windows\Shell\BagMRU
همچنین این دادهها بهصورت فیزیکی در فایلهای NTUSER.DAT و USRCLASS.DAT مربوط به هر حساب کاربری ذخیره میشوند.
از دید دیجیتال فارنزیک (Digital Forensics)، شلبگها ارزش شواهدی بالایی دارند زیرا میتوانند سوابق پوشههایی را که کاربر باز کرده- اگر پوشه بعداً حذف شده باشد-نمایش دهند. آنها شامل مسیر کامل فولدر، شناسه دستگاه (Device ID)، و زمان آخرین دسترسی هستند. این ویژگیها کمک میکند تا فعالیتهای کاربر، استفاده از درایوهای خارجی (مثل USB)، یا مرور پوشههای شبکهای بازسازی شود.
ابزارهایی مانند ShellBagsView، RegRipper Shellbags plugin و ShellBags Explorer برای مشاهده و تحلیل این دادهها استفاده میشوند. در تحلیلهای قضایی، شلبگها معمولاً بهمنظور تعیین مسیرهایی که کاربر مشاهده کرده یا حذفشان کرده به کار میروند. به همین دلیل، دستکاری یا حذف آنها (یک اقدام ضدفارنزیکی) میتواند نشانهای از تلاش برای پنهانسازی فعالیتها باشد.
www.haumoun.com
www.roozbeh.academy
مثال عملی در فارنزیک:
فرض کنید مظنونی ادعا کند USB را وصل نکرده؛ شلبگ میتواند Device ID و مسیر F:\MalwareFolder را نشان دهد، حتی اگر درایو جدا شده باشد.
در پروندههای قضایی (مثل child exploitation یا data theft)، شلبگها برای اثبات “knowledge” کاربر (یعنی کاربر پوشه را دیده) استفاده میشوند.
👏7❤3👍3
در دنیای فارنزیک دیجیتال، گرفتن و تحلیل memory dump (یا همان تصویر حافظه RAM) از ویندوز کار نسبتاً جاافتادهای است.
اما وقتی نوبت به سیستمهای Linux میرسه، ابزارها، قالب دادهها، و ساختارهای کرنل آنقدر متنوع و غیراستاندارد هستند که پارس کردن (parse) درست حافظهی لینوکس تقریباً همیشه مشکلزاست.
مقاله توضیح میده که:
مشکلات، از ناهمگونی بین نسخههای کرنل و buildهای سفارشی شروع میشن؛
بعد به مسئلهی symbol درست نداشتن (kernel symbols) میرسه؛
و نهایتاً خطاهای ابزارهایی مثل Volatility یا Rekall در تفسیر ساختارهای task_struct، mm_struct، dentry و غیره رو بررسی میکنه.
آخرین برنامه های آکادمی روزبه را از واتس اپ زیر دریافت کنید 09902857290
Www.haumoun.com
https://memoryforensic.com/the-problem-with-parsing-linux-based-memory-dumps/
اما وقتی نوبت به سیستمهای Linux میرسه، ابزارها، قالب دادهها، و ساختارهای کرنل آنقدر متنوع و غیراستاندارد هستند که پارس کردن (parse) درست حافظهی لینوکس تقریباً همیشه مشکلزاست.
مقاله توضیح میده که:
مشکلات، از ناهمگونی بین نسخههای کرنل و buildهای سفارشی شروع میشن؛
بعد به مسئلهی symbol درست نداشتن (kernel symbols) میرسه؛
و نهایتاً خطاهای ابزارهایی مثل Volatility یا Rekall در تفسیر ساختارهای task_struct، mm_struct، dentry و غیره رو بررسی میکنه.
آخرین برنامه های آکادمی روزبه را از واتس اپ زیر دریافت کنید 09902857290
Www.haumoun.com
https://memoryforensic.com/the-problem-with-parsing-linux-based-memory-dumps/
❤3⚡2
تحلیل جامع نقش LLMها در قدرت اطلاعاتی جهانی
از منظر راهبردی، عصر جدید هوش مصنوعی بهویژه مدلهای زبانی بزرگ (LLMها) مانند ChatGPT، Gemini یا Claude را میتوان نقطهای از گذار تاریخی دانست که در آن «دانش» و «اطلاعات زبانی» همان نقشی را ایفا میکنند که نفت در قرن بیستم داشت. این فناوری، در ذات خود نهتنها یک ابزار فنی بلکه زیرساختی سیاسی و اقتصادی است که قدرت را در اختیار دارندگان داده و ظرفیت محاسباتی متمرکز میکند. از این زاویه، نگرانی دربارهی استفادهی LLMها برای حفظ سلطه و کنترل جهانی نهتنها بیپایه نیست بلکه از روندهای آشکار دو دهه گذشته تغذیه میکند.
در سطح فنی، LLMها از میلیونها سند، مکاتبه، گفتار و تعامل انسانی برای آموزش استفاده میکنند و از همین طریق قابلیت درک، پیشبینی و حتی بازسازی الگوهای فکری افراد و جوامع را مییابند. برخلاف موتورهای جستجو که فقط دادههای صریح جمعآوری میکنند، LLMها قادرند از میان زبان روزمره، «نقشهی شناختی» کاربران را استنباط کنند؛ یعنی بفهمند انسانها چه ارزشی را درک میکنند، چگونه تصمیم میگیرند، و چه چیزی برایشان اقناعکننده است. این قابلیت، بهویژه برای دولتها یا بلوکهای قدرتی که توان ذخیره، تحلیل و همپوشانی چنین دادههایی را دارند، ابزاری بالقوه برای پروفایلسازی شناختی جهانی فراهم میکند.
در سطح ژئوپلیتیک، توسعهی LLMها با تمرکز سرمایه و زیرساخت در چند کشور خاص همراه است. ایالات متحده، چین، و تا حدی اتحادیهی اروپا، مالک تقریباً تمام ابررایانهها و GPU فارمهای لازم برای آموزش مدلهای در مقیاس تریلیون پارامتر هستند. این تمرکز، عملاً به معنای حاکمیت دیجیتالی چندقطبی اما نامتوازن است؛ وضعیتی که در آن کشورهای فاقد زیرساخت نهتنها مصرفکنندهی داده و مدل میشوند بلکه روایتهای ذهنی و زبانی خود را نیز از فیلتر مدلهای بیگتک دریافت میکنند. نتیجه، شکلگیری «نظم نوین اطلاعاتی» است؛ نظمی که در آن، کنترل گفتمان عمومی و درک جمعی بیش از هر زمان تابع الگوریتمهایی میشود که ساختار آنها شفاف نیست.
از منظر اخلاق و حاکمیت فناوری، مسئله به «نیت» سازندگان برنمیگردد بلکه به عدم توازن شفافیت و پاسخگویی مرتبط است. حتی اگر هدف اولیهی تولید LLMها پیشبرد دانش و اقتصاد بوده، نتیجهی ناخواسته میتواند ایجاد ابزارهایی برای مهندسی شناخت و کنترل نرم باشد: از سانسور الگوریتمی گرفته تا همسویی محتوایی (alignment) که میتواند ذهن جمعی را شکل دهد یا پنهان کند. این همان مرحلهای است که مرز میان تحقیق علمی، منافع اقتصادی و امنیت ملی کاملاً درهممیآمیزد.
در مقابل، برخی استدلال میکنند که نگرانی از کنترل مطلق اغراقآمیز است، زیرا جوامع کاربری، قوانین حفظ حریم خصوصی، و جنبشهای منبع باز (مانند LLaMA، Mistral یا Falcon) میتوانند توازن ایجاد کنند. اما باید پذیرفت که این پروژههای باز نیز غالباً بر زیرساخت مالکیتی متکیاند و در سطح مدل، هنوز توان مقابله با هیولاهای اطلاعاتی چندملیتی را ندارند.
در جمعبندی، میتوان گفت LLMها ذاتاً برای جاسوسی یا سلطه ساخته نشدهاند، اما در ساختار فعلی قدرت، بهعنوان ابزار بالقوهی تسلط گفتمانی و شناختی جهان عمل میکنند. قدرت واقعی امروز نه در تملک اطلاعات، بلکه در مهندسی برداشت ذهنی از آن است و LLMها دقیقاً در همین نقطه ایستادهاند: مرز میان فهم و کنترل🛡
از منظر راهبردی، عصر جدید هوش مصنوعی بهویژه مدلهای زبانی بزرگ (LLMها) مانند ChatGPT، Gemini یا Claude را میتوان نقطهای از گذار تاریخی دانست که در آن «دانش» و «اطلاعات زبانی» همان نقشی را ایفا میکنند که نفت در قرن بیستم داشت. این فناوری، در ذات خود نهتنها یک ابزار فنی بلکه زیرساختی سیاسی و اقتصادی است که قدرت را در اختیار دارندگان داده و ظرفیت محاسباتی متمرکز میکند. از این زاویه، نگرانی دربارهی استفادهی LLMها برای حفظ سلطه و کنترل جهانی نهتنها بیپایه نیست بلکه از روندهای آشکار دو دهه گذشته تغذیه میکند.
در سطح فنی، LLMها از میلیونها سند، مکاتبه، گفتار و تعامل انسانی برای آموزش استفاده میکنند و از همین طریق قابلیت درک، پیشبینی و حتی بازسازی الگوهای فکری افراد و جوامع را مییابند. برخلاف موتورهای جستجو که فقط دادههای صریح جمعآوری میکنند، LLMها قادرند از میان زبان روزمره، «نقشهی شناختی» کاربران را استنباط کنند؛ یعنی بفهمند انسانها چه ارزشی را درک میکنند، چگونه تصمیم میگیرند، و چه چیزی برایشان اقناعکننده است. این قابلیت، بهویژه برای دولتها یا بلوکهای قدرتی که توان ذخیره، تحلیل و همپوشانی چنین دادههایی را دارند، ابزاری بالقوه برای پروفایلسازی شناختی جهانی فراهم میکند.
در سطح ژئوپلیتیک، توسعهی LLMها با تمرکز سرمایه و زیرساخت در چند کشور خاص همراه است. ایالات متحده، چین، و تا حدی اتحادیهی اروپا، مالک تقریباً تمام ابررایانهها و GPU فارمهای لازم برای آموزش مدلهای در مقیاس تریلیون پارامتر هستند. این تمرکز، عملاً به معنای حاکمیت دیجیتالی چندقطبی اما نامتوازن است؛ وضعیتی که در آن کشورهای فاقد زیرساخت نهتنها مصرفکنندهی داده و مدل میشوند بلکه روایتهای ذهنی و زبانی خود را نیز از فیلتر مدلهای بیگتک دریافت میکنند. نتیجه، شکلگیری «نظم نوین اطلاعاتی» است؛ نظمی که در آن، کنترل گفتمان عمومی و درک جمعی بیش از هر زمان تابع الگوریتمهایی میشود که ساختار آنها شفاف نیست.
از منظر اخلاق و حاکمیت فناوری، مسئله به «نیت» سازندگان برنمیگردد بلکه به عدم توازن شفافیت و پاسخگویی مرتبط است. حتی اگر هدف اولیهی تولید LLMها پیشبرد دانش و اقتصاد بوده، نتیجهی ناخواسته میتواند ایجاد ابزارهایی برای مهندسی شناخت و کنترل نرم باشد: از سانسور الگوریتمی گرفته تا همسویی محتوایی (alignment) که میتواند ذهن جمعی را شکل دهد یا پنهان کند. این همان مرحلهای است که مرز میان تحقیق علمی، منافع اقتصادی و امنیت ملی کاملاً درهممیآمیزد.
در مقابل، برخی استدلال میکنند که نگرانی از کنترل مطلق اغراقآمیز است، زیرا جوامع کاربری، قوانین حفظ حریم خصوصی، و جنبشهای منبع باز (مانند LLaMA، Mistral یا Falcon) میتوانند توازن ایجاد کنند. اما باید پذیرفت که این پروژههای باز نیز غالباً بر زیرساخت مالکیتی متکیاند و در سطح مدل، هنوز توان مقابله با هیولاهای اطلاعاتی چندملیتی را ندارند.
در جمعبندی، میتوان گفت LLMها ذاتاً برای جاسوسی یا سلطه ساخته نشدهاند، اما در ساختار فعلی قدرت، بهعنوان ابزار بالقوهی تسلط گفتمانی و شناختی جهان عمل میکنند. قدرت واقعی امروز نه در تملک اطلاعات، بلکه در مهندسی برداشت ذهنی از آن است و LLMها دقیقاً در همین نقطه ایستادهاند: مرز میان فهم و کنترل
Please open Telegram to view this post
VIEW IN TELEGRAM
💯5❤1👏1
چرا نمیتوان به تلمتری های EDR اعتماد کرد .
درباب نقد سایت زیر که بحث این روزها است از زاویه ای دیگر
https://www.edr-telemetry.com
سامانههای تشخیص و پاسخ در نقاط پایانی (EDR) با وعدهی "دید کامل" از طریق جمعآوری حجم وسیعی از دادههای تلهمتری، به سنگ بنای امنیت مدرن تبدیل شدند. با این حال، اتکای مطلق به این دادهها یک فرض خطرناک است، زیرا مهاجمان پیشرفته اکنون قادر به کور کردن، دستکاری و فریب عامل EDR هستند.
مشکل اصلی در این است که عامل EDR خود بر روی سیستمی اجرا میشود که ممکن است در معرض خطر قرار گیرد. مهاجمان با استفاده از تکنیکهای پیچیده، این منبع داده را غیرقابل اعتماد میکنند:
1. حملات سطح کرنل (Kernel-Level Attacks): با دسترسی به هسته سیستمعامل (Ring 0)، مهاجمان میتوانند قلابها (Hooks) و مکانیزمهای نظارتی EDR را مستقیماً حذف یا غیرفعال کنند. تکنیک BYOVD (Bring Your Own Vulnerable Driver) نمونه بارز این روش است که در آن از یک درایور امضاشده و آسیبپذیر برای خاموش کردن دفاع امنیتی استفاده میشود.
2. دور زدن در فضای کاربری (User-Space Evasion): روشهایی مانند فراخوانی مستقیم سیستمی (Direct System Calls) به بدافزار اجازه میدهند تا لایههای نظارتی EDR را کاملاً دور زده و فعالیتهای خود را بدون تولید هیچگونه تلهمتری انجام دهد.
پیامد این حملات، ایجاد یک حس امنیت کاذب و مرگبار است. تیمهای امنیتی ممکن است با تحقیقات ناقص مواجه شوند و حملات فعال را نادیده بگیرند، زیرا ابزار اصلی دیدهبانی آنها کور شده است.
راهبرد صحیح، پذیرش اصل "عدم اعتماد به یک منبع داده" است. تیمهای امنیتی باید تلهمتری EDR را به طور مداوم با منابع داده مستقل دیگر مانند لاگهای شبکه (NDR)، فایروالها و لاگهای بومی سیستمعامل همبستهسازی و راستیآزمایی کنند. همچنین، شکار تهدید فعال و تحلیل حافظه زنده (Memory Forensics) به ابزارهای ضروری برای کشف فعالیتهایی تبدیل شدهاند که از دید EDR پنهان ماندهاند.
درباب نقد سایت زیر که بحث این روزها است از زاویه ای دیگر
https://www.edr-telemetry.com
سامانههای تشخیص و پاسخ در نقاط پایانی (EDR) با وعدهی "دید کامل" از طریق جمعآوری حجم وسیعی از دادههای تلهمتری، به سنگ بنای امنیت مدرن تبدیل شدند. با این حال، اتکای مطلق به این دادهها یک فرض خطرناک است، زیرا مهاجمان پیشرفته اکنون قادر به کور کردن، دستکاری و فریب عامل EDR هستند.
مشکل اصلی در این است که عامل EDR خود بر روی سیستمی اجرا میشود که ممکن است در معرض خطر قرار گیرد. مهاجمان با استفاده از تکنیکهای پیچیده، این منبع داده را غیرقابل اعتماد میکنند:
1. حملات سطح کرنل (Kernel-Level Attacks): با دسترسی به هسته سیستمعامل (Ring 0)، مهاجمان میتوانند قلابها (Hooks) و مکانیزمهای نظارتی EDR را مستقیماً حذف یا غیرفعال کنند. تکنیک BYOVD (Bring Your Own Vulnerable Driver) نمونه بارز این روش است که در آن از یک درایور امضاشده و آسیبپذیر برای خاموش کردن دفاع امنیتی استفاده میشود.
2. دور زدن در فضای کاربری (User-Space Evasion): روشهایی مانند فراخوانی مستقیم سیستمی (Direct System Calls) به بدافزار اجازه میدهند تا لایههای نظارتی EDR را کاملاً دور زده و فعالیتهای خود را بدون تولید هیچگونه تلهمتری انجام دهد.
پیامد این حملات، ایجاد یک حس امنیت کاذب و مرگبار است. تیمهای امنیتی ممکن است با تحقیقات ناقص مواجه شوند و حملات فعال را نادیده بگیرند، زیرا ابزار اصلی دیدهبانی آنها کور شده است.
راهبرد صحیح، پذیرش اصل "عدم اعتماد به یک منبع داده" است. تیمهای امنیتی باید تلهمتری EDR را به طور مداوم با منابع داده مستقل دیگر مانند لاگهای شبکه (NDR)، فایروالها و لاگهای بومی سیستمعامل همبستهسازی و راستیآزمایی کنند. همچنین، شکار تهدید فعال و تحلیل حافظه زنده (Memory Forensics) به ابزارهای ضروری برای کشف فعالیتهایی تبدیل شدهاند که از دید EDR پنهان ماندهاند.
Edr-Telemetry
EDR Telemetry Project: Transparent Benchmarking & Telemetry Analysis for Businesses
Explore transparent, vendor-neutral EDR telemetry benchmarks. Make confident security decisions with real-world data and practical analysis for your business.
💯5👏1
۱-متخصص ادمین اسپلانک
۲-متخصص مجازی سازی، استوریج و بک آپ
ارسال رزومه به hr@haumoun.com
۲-متخصص مجازی سازی، استوریج و بک آپ
ارسال رزومه به hr@haumoun.com
❤6
آکادمی آموزش روزبه 📚
با توجه به نتایج نظر سنجی و درخواست ۵۰ درصد از شما تقدیم به ایران واتس اپ 09902857290
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6👍3🔥2
🟣و شروع عصر جدید امنیت
🔴 خطر در تصویر فوق : دقت کنید
✅️و اما ما در این وضع چه باید بکنیم ؟
ظهور ابزارهای هوش مصنوعی مخرب، صرفاً یک تهدید جدید نیست؛ بلکه یک تغییر پارادایم (Paradigm Shift) است که نیازمند تحول بنیادین در رویکردهای مهندسی کشف (Detection Engineering) و شکار تهدید (Threat Hunting) است.
تیمهای امنیتی دیگر نمیتوانند به روشهای سنتی تکیه کنند. در ادامه، تغییرات کلیدی که این دو حوزه باید اتخاذ کنند، به تفصیل شرح داده شده است:
۱. تحول در مهندسی کشف (Detection Engineering)
مهندسی کشف، که وظیفه ساخت و نگهداری سیستمهای هشداردهنده (Detection Rules) را بر عهده دارد، باید از رویکردهای ایستا به سمت رویکردهای پویا و رفتاری حرکت کند.
الف) گذار از شاخصهای نفوذ (IOCs) به سمت تاکتیکها، تکنیکها و رویهها (TTPs):
* مشکل رویکرد سنتی: بدافزارهای تولید شده توسط MalwareGPT یا WormGPT میتوانند چندریختی (Polymorphic)باشند. یعنی هر بار که تولید میشوند، هش (Hash) فایل، آدرس IP سرور کنترل و فرمان (C2)، و دیگر شاخصهای ایستا (IOCs) در آنها تغییر میکند. بنابراین، قوانین مبتنی بر IOC بلافاصله منسوخ میشوند.
* راه حل جدید: به جای تمرکز بر "چه چیزی" (What)، باید بر "چگونه" (How) تمرکز کرد. مهندسان کشف باید قوانینی بنویسند که رفتارها و الگوهای حمله را شناسایی کنند. این رفتارها در چارچوب MITRE ATT&CK دستهبندی میشوند.
* مثال:
* قانون قدیمی (مبتنی بر IOC): Alert if file hash =='abcde12345'
* قانون جدید (مبتنی بر TTP):Alert if a Microsoft Word process spawns a PowerShell process, which then makes an outbound network connection to a domain registered in the last 7 days.
این قانون، صرفنظر از اینکه بدافزار چیست، یک تکنیک رایج در زنجیره حمله را شناسایی میکند.
ب) استفاده از هوش مصنوعی و یادگیری ماشین برای دفاع (AI/ML for Defense):
مبارزه با هوش مصنوعی مهاجم، نیازمند هوش مصنوعی مدافع است.
* تحلیل رفتار کاربر و موجودیت (UEBA - User and Entity Behavior Analytics):سیستمهای UEBA یک خط مبنا (Baseline) از رفتار عادی کاربران و سیستمها ایجاد میکنند. ایمیل فیشینگ تولید شده توسط FraudGPT ممکن است بسیار متقاعدکننده باشد و کاربر را فریب دهد، اما UEBA میتواند رفتار غیرعادی کاربر پس از کلیک را شناسایی کند. مثلاً: "چرا حسابدار شرکت ناگهان در حال دسترسی به فایلهای سورس کد در ریپازیتوری توسعهدهندگان است؟"
* تشخیص ناهنجاری (Anomaly Detection):به جای جستجوی الگوهای "بد" شناختهشده، باید به دنبال هر چیزی بود که "عادی" نیست. این شامل ناهنجاری در ترافیک شبکه، استفاده از CPU، توالی فراخوانیهای API و... میشود.
ج) غنیسازی دادهها و تمرکز بر تلهمتری اندپوینت (Endpoint Telemetry):
برای تحلیل رفتاری، به دادههای غنی و با جزئیات نیاز است.
* فراتر از لاگها: صرفاً بررسی لاگ فایروال کافی نیست. مهندسان کشف به دادههای دقیق از Endpoint Detection and Response (EDR) نیاز دارند: ساختار درختی فرآیندها (Process Tree)، آرگومانهای خط فرمان (Command-line Arguments)، تغییرات رجیستری، و فراخوانیهای سیستمی. این دادهها زمینه (Context) لازم برای شناسایی TTPها را فراهم میکنند.
د) آزمایش مداوم قوانین با حملات شبیهسازیشده (Adversary Emulation):
* تیمهای امنیتی باید از ابزارهای هوش مصنوعی (حتی ابزارهای قانونی مانند ChatGPT) برای تولید کدهای حمله و ایمیلهای فیشینگ استفاده کنند و با آنها سیستمهای دفاعی و قوانین کشف خود را بیازمایند. این کار یک حلقه بازخورد مداوم برای بهبود دفاع ایجاد میکند.
۲. تحول در شکار تهدید (Threat Hunting)
شکار تهدید یک فرآیند کنشگرانه (Proactive) برای یافتن تهدیداتی است که از سیستمهای دفاعی خودکار عبور کردهاند. این حوزه نیز باید متحول شود.
الف) فرضیههای شکار مبتنی بر قابلیتهای هوش مصنوعی مهاجم:
شکارچیان تهدید باید فرضیههای خود را بر اساس آنچه ابزارهای مخرب AI قادر به انجام آن هستند، تنظیم کنند.
* فرضیه قدیمی: "یک مهاجم ممکن است از ابزار شناختهشده Mimikatz برای سرقت اعتبارنامهها استفاده کند."
* فرضیه جدید:"یک مهاجم ممکن است با استفاده از WormGPT یک اسکریپت سفارشی و مبهمسازیشده (Obfuscated) برای اجرای تکنیکهای Living-off-the-Land (استفاده از ابزارهای موجود در خود سیستمعامل) ایجاد کرده باشد. بیایید به دنبال اجرای غیرعادی PowerShell،WMI یا Bitsadmin` بگردیم که توسط فرآیندهای غیرمرتبط (مانند یک فایل PDF) آغاز شدهاند."
ب) شکار الگوهای "غیرانسانی" در محتوا و کد:
ادامه دارد👇👇
✅️و اما ما در این وضع چه باید بکنیم ؟
ظهور ابزارهای هوش مصنوعی مخرب، صرفاً یک تهدید جدید نیست؛ بلکه یک تغییر پارادایم (Paradigm Shift) است که نیازمند تحول بنیادین در رویکردهای مهندسی کشف (Detection Engineering) و شکار تهدید (Threat Hunting) است.
تیمهای امنیتی دیگر نمیتوانند به روشهای سنتی تکیه کنند. در ادامه، تغییرات کلیدی که این دو حوزه باید اتخاذ کنند، به تفصیل شرح داده شده است:
۱. تحول در مهندسی کشف (Detection Engineering)
مهندسی کشف، که وظیفه ساخت و نگهداری سیستمهای هشداردهنده (Detection Rules) را بر عهده دارد، باید از رویکردهای ایستا به سمت رویکردهای پویا و رفتاری حرکت کند.
الف) گذار از شاخصهای نفوذ (IOCs) به سمت تاکتیکها، تکنیکها و رویهها (TTPs):
* مشکل رویکرد سنتی: بدافزارهای تولید شده توسط MalwareGPT یا WormGPT میتوانند چندریختی (Polymorphic)باشند. یعنی هر بار که تولید میشوند، هش (Hash) فایل، آدرس IP سرور کنترل و فرمان (C2)، و دیگر شاخصهای ایستا (IOCs) در آنها تغییر میکند. بنابراین، قوانین مبتنی بر IOC بلافاصله منسوخ میشوند.
* راه حل جدید: به جای تمرکز بر "چه چیزی" (What)، باید بر "چگونه" (How) تمرکز کرد. مهندسان کشف باید قوانینی بنویسند که رفتارها و الگوهای حمله را شناسایی کنند. این رفتارها در چارچوب MITRE ATT&CK دستهبندی میشوند.
* مثال:
* قانون قدیمی (مبتنی بر IOC): Alert if file hash =='abcde12345'
* قانون جدید (مبتنی بر TTP):Alert if a Microsoft Word process spawns a PowerShell process, which then makes an outbound network connection to a domain registered in the last 7 days.
این قانون، صرفنظر از اینکه بدافزار چیست، یک تکنیک رایج در زنجیره حمله را شناسایی میکند.
ب) استفاده از هوش مصنوعی و یادگیری ماشین برای دفاع (AI/ML for Defense):
مبارزه با هوش مصنوعی مهاجم، نیازمند هوش مصنوعی مدافع است.
* تحلیل رفتار کاربر و موجودیت (UEBA - User and Entity Behavior Analytics):سیستمهای UEBA یک خط مبنا (Baseline) از رفتار عادی کاربران و سیستمها ایجاد میکنند. ایمیل فیشینگ تولید شده توسط FraudGPT ممکن است بسیار متقاعدکننده باشد و کاربر را فریب دهد، اما UEBA میتواند رفتار غیرعادی کاربر پس از کلیک را شناسایی کند. مثلاً: "چرا حسابدار شرکت ناگهان در حال دسترسی به فایلهای سورس کد در ریپازیتوری توسعهدهندگان است؟"
* تشخیص ناهنجاری (Anomaly Detection):به جای جستجوی الگوهای "بد" شناختهشده، باید به دنبال هر چیزی بود که "عادی" نیست. این شامل ناهنجاری در ترافیک شبکه، استفاده از CPU، توالی فراخوانیهای API و... میشود.
ج) غنیسازی دادهها و تمرکز بر تلهمتری اندپوینت (Endpoint Telemetry):
برای تحلیل رفتاری، به دادههای غنی و با جزئیات نیاز است.
* فراتر از لاگها: صرفاً بررسی لاگ فایروال کافی نیست. مهندسان کشف به دادههای دقیق از Endpoint Detection and Response (EDR) نیاز دارند: ساختار درختی فرآیندها (Process Tree)، آرگومانهای خط فرمان (Command-line Arguments)، تغییرات رجیستری، و فراخوانیهای سیستمی. این دادهها زمینه (Context) لازم برای شناسایی TTPها را فراهم میکنند.
د) آزمایش مداوم قوانین با حملات شبیهسازیشده (Adversary Emulation):
* تیمهای امنیتی باید از ابزارهای هوش مصنوعی (حتی ابزارهای قانونی مانند ChatGPT) برای تولید کدهای حمله و ایمیلهای فیشینگ استفاده کنند و با آنها سیستمهای دفاعی و قوانین کشف خود را بیازمایند. این کار یک حلقه بازخورد مداوم برای بهبود دفاع ایجاد میکند.
۲. تحول در شکار تهدید (Threat Hunting)
شکار تهدید یک فرآیند کنشگرانه (Proactive) برای یافتن تهدیداتی است که از سیستمهای دفاعی خودکار عبور کردهاند. این حوزه نیز باید متحول شود.
الف) فرضیههای شکار مبتنی بر قابلیتهای هوش مصنوعی مهاجم:
شکارچیان تهدید باید فرضیههای خود را بر اساس آنچه ابزارهای مخرب AI قادر به انجام آن هستند، تنظیم کنند.
* فرضیه قدیمی: "یک مهاجم ممکن است از ابزار شناختهشده Mimikatz برای سرقت اعتبارنامهها استفاده کند."
* فرضیه جدید:"یک مهاجم ممکن است با استفاده از WormGPT یک اسکریپت سفارشی و مبهمسازیشده (Obfuscated) برای اجرای تکنیکهای Living-off-the-Land (استفاده از ابزارهای موجود در خود سیستمعامل) ایجاد کرده باشد. بیایید به دنبال اجرای غیرعادی PowerShell،WMI یا Bitsadmin` بگردیم که توسط فرآیندهای غیرمرتبط (مانند یک فایل PDF) آغاز شدهاند."
ب) شکار الگوهای "غیرانسانی" در محتوا و کد:
ادامه دارد👇👇
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6🔥5
آکادمی آموزش روزبه 📚
🟣و شروع عصر جدید امنیت 🔴 خطر در تصویر فوق : دقت کنید ✅️و اما ما در این وضع چه باید بکنیم ؟ ظهور ابزارهای هوش مصنوعی مخرب، صرفاً یک تهدید جدید نیست؛ بلکه یک تغییر پارادایم (Paradigm Shift) است که نیازمند تحول بنیادین در رویکردهای مهندسی کشف (Detection Engineering)…
* کدنویسی: کدهای تولید شده توسط هوش مصنوعی ممکن است الگوهای خاصی داشته باشند: استفاده بیش از حد از یک ساختار خاص، نامگذاری متغیرهای عجیب، یا عدم وجود کامنت. شکارچیان میتوانند به دنبال این ناهنجاریهای آماری در اسکریپتها و فایلهای اجرایی باشند.
* زبان و ارتباطات: ایمیلهای فیشینگ تولید شده توسط AI ممکن است از نظر گرامری بینقص باشند، اما شاید در استفاده از اصطلاحات خاص یک سازمان یا لحن طبیعی یک مدیر، دچار خطا شوند. شکارچیان میتوانند به دنبال ایمیلهایی بگردند که "بیش از حد رسمی" یا "کمی عجیب" به نظر میرسند و آنها را با تاریخچه ارتباطات آن فرستنده مقایسه کنند.
ج) تمرکز بر مراحل اولیه زنجیره حمله (Kill Chain):
ابزارهایی مانند
* شکارچیان تهدید باید به دنبال نشانههای شناسایی خودکار باشند. مثلاً، آیا پروفایلهای لینکدین چندین کارمند به صورت همزمان و از یک محدوده IP غیرعادی بازدید شده است؟ آیا تلاشهای لاگین ناموفق با الگوهای خاصی (مثلاً استفاده از نام کاربری + نام شرکت + ۱۲۳) در حال وقوع است؟
د) ادغام هوش تهدید (Threat Intelligence) از منابع زیرزمینی:
* شکارچیان باید از نامها و قابلیتهای ذکر شده در اینفوگرافیک (مانند
نتیجهگیری: تغییر ذهنیت اساسی
گذار اصلی، حرکت از یک ذهنیت واکنشی و مبتنی بر امضا (Signature-based) به یک ذهنیت کنشگرانه، رفتاری و مبتنی بر زمینه (Context-aware) است.
* دفاع استاتیک مرده است:دیگر نمیتوان دیوارهایی ساخت و انتظار داشت مهاجمان از آن عبور نکنند.
* دفاع پویا و هوشمند: دفاع باید مانند یک سیستم ایمنی عمل کند؛ دائماً محیط را رصد کرده، رفتارها را تحلیل کند و به دنبال هرگونه ناهنجاری بگردد، حتی اگر قبلاً آن تهدید خاص را ندیده باشد.
در این نبرد جدید، خلاقیت و شهود انسانی یک شکارچی تهدید، در ترکیب با قدرت تحلیل داده هوش مصنوعی مدافع، به مهمترین سلاح برای مقابله با تهدیدات هوشمند و خودکار تبدیل خواهد شد.
#آکادمی_روزبه
🔴 زمان تغییر در SOC و ساختار امنیت سازمانهای ایرانی فرا رسیده است . این پایانی بر روش معمول حفاظت و پایش است .
دیر بجنبید تمام است
* زبان و ارتباطات: ایمیلهای فیشینگ تولید شده توسط AI ممکن است از نظر گرامری بینقص باشند، اما شاید در استفاده از اصطلاحات خاص یک سازمان یا لحن طبیعی یک مدیر، دچار خطا شوند. شکارچیان میتوانند به دنبال ایمیلهایی بگردند که "بیش از حد رسمی" یا "کمی عجیب" به نظر میرسند و آنها را با تاریخچه ارتباطات آن فرستنده مقایسه کنند.
ج) تمرکز بر مراحل اولیه زنجیره حمله (Kill Chain):
ابزارهایی مانند
WormGPT و Xanthorox در تحقیق و شناسایی (Reconnaissance) بسیار قدرتمند هستند.* شکارچیان تهدید باید به دنبال نشانههای شناسایی خودکار باشند. مثلاً، آیا پروفایلهای لینکدین چندین کارمند به صورت همزمان و از یک محدوده IP غیرعادی بازدید شده است؟ آیا تلاشهای لاگین ناموفق با الگوهای خاصی (مثلاً استفاده از نام کاربری + نام شرکت + ۱۲۳) در حال وقوع است؟
د) ادغام هوش تهدید (Threat Intelligence) از منابع زیرزمینی:
* شکارچیان باید از نامها و قابلیتهای ذکر شده در اینفوگرافیک (مانند
FraudGPT, LoopGPT) به عنوان کلیدواژه استفاده کنند. رصد انجمنهای زیرزمینی (در چارچوب قانونی و اخلاقی) برای درک اینکه این ابزارها چگونه به فروش میرسند، چه قابلیتهای جدیدی پیدا کردهاند و چه TTPهایی با آنها اجرا میشود، میتواند منبعی غنی برای ساخت فرضیههای شکار باشد.نتیجهگیری: تغییر ذهنیت اساسی
گذار اصلی، حرکت از یک ذهنیت واکنشی و مبتنی بر امضا (Signature-based) به یک ذهنیت کنشگرانه، رفتاری و مبتنی بر زمینه (Context-aware) است.
* دفاع استاتیک مرده است:دیگر نمیتوان دیوارهایی ساخت و انتظار داشت مهاجمان از آن عبور نکنند.
* دفاع پویا و هوشمند: دفاع باید مانند یک سیستم ایمنی عمل کند؛ دائماً محیط را رصد کرده، رفتارها را تحلیل کند و به دنبال هرگونه ناهنجاری بگردد، حتی اگر قبلاً آن تهدید خاص را ندیده باشد.
در این نبرد جدید، خلاقیت و شهود انسانی یک شکارچی تهدید، در ترکیب با قدرت تحلیل داده هوش مصنوعی مدافع، به مهمترین سلاح برای مقابله با تهدیدات هوشمند و خودکار تبدیل خواهد شد.
#آکادمی_روزبه
دیر بجنبید تمام است
Please open Telegram to view this post
VIEW IN TELEGRAM
👏7👌5
اخلاق در فناوری
گذری از Stuxnet تا اخلاق
روزبه نوروزی
در سال ۲۰۱۰، با کشف بدافزار Stuxnet ؛ پروژهای منتسب به همکاری فنی میان ایالات متحده و اسرائیل برای تخریب تجهیزات سانتریفیوژ هستهای ایران ؛ دنیای امنیت اطلاعات با یکی از نخستین موارد آشکار جنگ سایبری دولتی روبهرو شد. این رویداد نهتنها مرز میان امنیت سیستم و حمله هدفمند را برداشت، بلکه بحثهای اخلاقی عمیقی را پیرامون نقش مهندسان در عملیات سایبری تحت فرمان دولتها برانگیخت.
در مجامع بینالمللی مانند نشستهای تالین (Tallinn) و گفتوگوهای ژنو درباره رفتار مسئولانه در فضای سایبری (Geneva Dialogue)، پرسش کلیدی مطرح شد: آیا مهندس امنیتی که به طراحی یا پیادهسازی ابزاری برای تخریب زیرساخت حیاتی کشور دیگر کمک میکند، در برابر پیامدهای انسانی، اقتصادی یا زیستمحیطی آن مسئولیت حرفهای دارد؟
تحلیلهای حاصل از این نشستها نشان میدهد که طبق اصول اخلاقی CISSP (Protect Society, Common Good, and Trust)، مرز بین «وظیفه ملی» و «استقلال حرفهای» باید بهصورت روشن تعریف شود. بسیاری از متخصصان باور دارند که حتی در مأموریتهای دولتی، معیار اخلاق حرفهای نباید فدای هدف راهبردی شود؛ زیرا بیتوجهی به پیامدهای گستردهٔ حملهٔ سایبری، میتواند اساس اعتماد دیجیتال جهانی را تضعیف کند.
مطالعات بعدی از جمله پژوهش CCDCOE در ۲۰۱۷ تأیید کردند که Stuxnet موجب ایجاد دکترین جدید جنگ سایبری شد؛ که اخلاق مهندسی امنیت را از حوزهٔ فنی به سطح تصمیمگیری ژئوپلیتیکی ارتقا داد.
به بیان ساده تر بعد از Stuxnet، هیچ مهندس امنیتی نمیتواند بگوید «من فقط کد مینویسم»؛ زیرا تصمیمهای فنی او ممکن است پیامدهای سیاسی، زیستمحیطی، یا انسانی در سطح جهانی داشته باشند.
گذری از Stuxnet تا اخلاق
روزبه نوروزی
در سال ۲۰۱۰، با کشف بدافزار Stuxnet ؛ پروژهای منتسب به همکاری فنی میان ایالات متحده و اسرائیل برای تخریب تجهیزات سانتریفیوژ هستهای ایران ؛ دنیای امنیت اطلاعات با یکی از نخستین موارد آشکار جنگ سایبری دولتی روبهرو شد. این رویداد نهتنها مرز میان امنیت سیستم و حمله هدفمند را برداشت، بلکه بحثهای اخلاقی عمیقی را پیرامون نقش مهندسان در عملیات سایبری تحت فرمان دولتها برانگیخت.
در مجامع بینالمللی مانند نشستهای تالین (Tallinn) و گفتوگوهای ژنو درباره رفتار مسئولانه در فضای سایبری (Geneva Dialogue)، پرسش کلیدی مطرح شد: آیا مهندس امنیتی که به طراحی یا پیادهسازی ابزاری برای تخریب زیرساخت حیاتی کشور دیگر کمک میکند، در برابر پیامدهای انسانی، اقتصادی یا زیستمحیطی آن مسئولیت حرفهای دارد؟
تحلیلهای حاصل از این نشستها نشان میدهد که طبق اصول اخلاقی CISSP (Protect Society, Common Good, and Trust)، مرز بین «وظیفه ملی» و «استقلال حرفهای» باید بهصورت روشن تعریف شود. بسیاری از متخصصان باور دارند که حتی در مأموریتهای دولتی، معیار اخلاق حرفهای نباید فدای هدف راهبردی شود؛ زیرا بیتوجهی به پیامدهای گستردهٔ حملهٔ سایبری، میتواند اساس اعتماد دیجیتال جهانی را تضعیف کند.
مطالعات بعدی از جمله پژوهش CCDCOE در ۲۰۱۷ تأیید کردند که Stuxnet موجب ایجاد دکترین جدید جنگ سایبری شد؛ که اخلاق مهندسی امنیت را از حوزهٔ فنی به سطح تصمیمگیری ژئوپلیتیکی ارتقا داد.
به بیان ساده تر بعد از Stuxnet، هیچ مهندس امنیتی نمیتواند بگوید «من فقط کد مینویسم»؛ زیرا تصمیمهای فنی او ممکن است پیامدهای سیاسی، زیستمحیطی، یا انسانی در سطح جهانی داشته باشند.
👏10❤4
استخدام SOC شرکت رایتل
شرایط احراز :
مدرک تحصیلی: کارشناسی در رشته های فناوری اطلاعات، مهندسی کامپیوتر، امنیت سایبری و سایر رشته های مرتبط
سابقه کار: 3 سال تجربه در حوزه امنیت اطلاعات یا SOC
توانایی کار در شیفتهای 24/12 و 36/12
روحیه کار تیمی بالا و دقت در جزئیات
تعهد به محرمانگی اطلاعات
آمادگی برای کار در شبها و تعطیلات و حضور در شرایط بحرانی
محل کار : تهرانسر-شهرک استقلال
شرح وظایف :
پایش و مانیتورینگ رویدادهای امنیتی در SIEM و سایر ابزارهای مانیتورینگ
شناسایی و گزارش اولیه رخدادهای مشکوک امنیتی
تحلیل اولیه هشدارها و تفکیک false Positive از واقعی
ارجاع (Escalate) رخدادهای مهم به سطوح Tier 2 یا Incident Response Team
پایش سلامت و در دسترس بودن سنسورها و Agentهای امنیتی
همکاری در به روزرسانی Playbookها و Runbook ها
مستندسازی فعالیتهای روزانه و ثبت رخدادها در سیستم Ticketing
دارای مهارت تدوین نامه ها و گزارشات فنی به کارشناس مافوق
مهارتها و دانش مورد نیاز :
آشنایی با مفاهیم پایه امنیت اطلاعات (CIA, Threat, Vulnerability, Incident, etc)
تسلط نسبی بر مفاهیم شبکه (TCP/IP, DNS, Firewall, Proxy, IDS/IPS, AD, LDAP)
آشنایی با Splunk
آشنایی با Windows Event Log و Linux Syslog
توانایی خواندن و درک لاگ های امنیتی مختلف
مهارت در مستندسازی و گزارش دهی
مهارتهای ترجیحی (Preferred / Nice to Have) امتیاز محسوب میشود
دارا بودن گواهینامه های مانند CompTIA Security+، CEH، یا SOC Analyst (Blue Team)
تجربه کار با EDR، NDR، یا SOAR
آشنایی با مفاهیم MITRE ATT&CK و Kill Chain
توانایی تحلیل اولیه Indicator های تهدید IP، Hash، URL
ارسال رزومه به ادمین کانال
#استخدام SOC
شرکت رایتل
شرایط احراز :
مدرک تحصیلی: کارشناسی در رشته های فناوری اطلاعات، مهندسی کامپیوتر، امنیت سایبری و سایر رشته های مرتبط
سابقه کار: 3 سال تجربه در حوزه امنیت اطلاعات یا SOC
توانایی کار در شیفتهای 24/12 و 36/12
روحیه کار تیمی بالا و دقت در جزئیات
تعهد به محرمانگی اطلاعات
آمادگی برای کار در شبها و تعطیلات و حضور در شرایط بحرانی
محل کار : تهرانسر-شهرک استقلال
شرح وظایف :
پایش و مانیتورینگ رویدادهای امنیتی در SIEM و سایر ابزارهای مانیتورینگ
شناسایی و گزارش اولیه رخدادهای مشکوک امنیتی
تحلیل اولیه هشدارها و تفکیک false Positive از واقعی
ارجاع (Escalate) رخدادهای مهم به سطوح Tier 2 یا Incident Response Team
پایش سلامت و در دسترس بودن سنسورها و Agentهای امنیتی
همکاری در به روزرسانی Playbookها و Runbook ها
مستندسازی فعالیتهای روزانه و ثبت رخدادها در سیستم Ticketing
دارای مهارت تدوین نامه ها و گزارشات فنی به کارشناس مافوق
مهارتها و دانش مورد نیاز :
آشنایی با مفاهیم پایه امنیت اطلاعات (CIA, Threat, Vulnerability, Incident, etc)
تسلط نسبی بر مفاهیم شبکه (TCP/IP, DNS, Firewall, Proxy, IDS/IPS, AD, LDAP)
آشنایی با Splunk
آشنایی با Windows Event Log و Linux Syslog
توانایی خواندن و درک لاگ های امنیتی مختلف
مهارت در مستندسازی و گزارش دهی
مهارتهای ترجیحی (Preferred / Nice to Have) امتیاز محسوب میشود
دارا بودن گواهینامه های مانند CompTIA Security+، CEH، یا SOC Analyst (Blue Team)
تجربه کار با EDR، NDR، یا SOAR
آشنایی با مفاهیم MITRE ATT&CK و Kill Chain
توانایی تحلیل اولیه Indicator های تهدید IP، Hash، URL
ارسال رزومه به ادمین کانال
#استخدام SOC
شرکت رایتل
❤5👍3🙏1💯1
Post-Quantum cryptography .pdf
1.3 MB
زنگ خطر
اطلاعات رمزنگاری شده شما درحال جمع آوری است تا با ظهور روشهای جدید و کامپیوتر های کوانتومی، بسرعت رمزگشایی گردد
Harvest now, use later
آمادگی لازم است
اطلاعات رمزنگاری شده شما درحال جمع آوری است تا با ظهور روشهای جدید و کامپیوتر های کوانتومی، بسرعت رمزگشایی گردد
Harvest now, use later
آمادگی لازم است
👍6⚡4
#امنیت_به_زبان_ساده
مقوله C2 چیست ؟
بحث C2 یا Command and Control یکی از اجزای اساسی در حملات سایبری پیشرفته (مانند APT) است که به مهاجم امکان میدهد پس از نفوذ اولیه، کنترل از راه دور بر سامانه قربانی حفظ کند. این سازوکار به عنوان یک کانال ارتباطی مخفیانه (Covert Channel) میان سیستم آلوده (Agent/Bot) و سرور مهاجم یا مادر (C2 Server) عمل میکند.
در معماری C2، معمولا Agent روی دستگاه قربانی نصب میشود و از طریق پروتکلهایی مانند HTTP/HTTPS، DNS، با سرور فرمان در تماس است. این ارتباط ممکن است Pull-based (کلاینت درخواست فرمان میدهد) یا Push-based (سرور مستقیماً فرمان ارسال میکند) باشد. هدف، حفظ پایداری و ماندگاری (Persistence) بدون شناسایی توسط سیستمهای دفاعی و اعمال دستورات از سرور مادر در آینده است.
ارتباطات C2 اغلب رمزگذاری یا استتار میشوند؛ به عنوان مثال، استفاده از TLS tunneling برای عبور از سیستم های تشخیص نفوذ رایج است.انواع معماریهای C2 شامل Centralized، Decentralized (P2P) و Multi-tier است. مهاجمان معمولاً برای افزایش ماندگاری از چندین fallback server یا cloud-based C2 استفاده میکنند.
از منظر دفاعی، تشخیص C2 یکی از وظایف حیاتی SOC است و با پایش anomalous DNS، beaconing intervals، unusual port usage، و TLS certificate anomalies انجام میشود.
قطع ارتباط C2 معمولاً مرحلهی مهمی برای قطع کامل زنجیرهی حمله (Kill Chain) محسوب میشود. اما اینکه چه زمان انجام شود به مدیر تیم IR شما وابسته است.
ثبت نام دوره SOC واتس اپ 09902857290
Www.haumoun.com
مقوله C2 چیست ؟
بحث C2 یا Command and Control یکی از اجزای اساسی در حملات سایبری پیشرفته (مانند APT) است که به مهاجم امکان میدهد پس از نفوذ اولیه، کنترل از راه دور بر سامانه قربانی حفظ کند. این سازوکار به عنوان یک کانال ارتباطی مخفیانه (Covert Channel) میان سیستم آلوده (Agent/Bot) و سرور مهاجم یا مادر (C2 Server) عمل میکند.
در معماری C2، معمولا Agent روی دستگاه قربانی نصب میشود و از طریق پروتکلهایی مانند HTTP/HTTPS، DNS، با سرور فرمان در تماس است. این ارتباط ممکن است Pull-based (کلاینت درخواست فرمان میدهد) یا Push-based (سرور مستقیماً فرمان ارسال میکند) باشد. هدف، حفظ پایداری و ماندگاری (Persistence) بدون شناسایی توسط سیستمهای دفاعی و اعمال دستورات از سرور مادر در آینده است.
ارتباطات C2 اغلب رمزگذاری یا استتار میشوند؛ به عنوان مثال، استفاده از TLS tunneling برای عبور از سیستم های تشخیص نفوذ رایج است.انواع معماریهای C2 شامل Centralized، Decentralized (P2P) و Multi-tier است. مهاجمان معمولاً برای افزایش ماندگاری از چندین fallback server یا cloud-based C2 استفاده میکنند.
از منظر دفاعی، تشخیص C2 یکی از وظایف حیاتی SOC است و با پایش anomalous DNS، beaconing intervals، unusual port usage، و TLS certificate anomalies انجام میشود.
قطع ارتباط C2 معمولاً مرحلهی مهمی برای قطع کامل زنجیرهی حمله (Kill Chain) محسوب میشود. اما اینکه چه زمان انجام شود به مدیر تیم IR شما وابسته است.
ثبت نام دوره SOC واتس اپ 09902857290
Www.haumoun.com
🔥6👍2💯1
Intel 471 _ Emerging Threat - Qilin Ransomware Group.pdf
703.2 KB
بحث تحلیلی یکی از حملات روز جهان از Intel 471
⚡5
Active Directory Security Event Monitoring.pdf
3.3 MB
شناسایی و کشف حملات علیه اکتیو دایرکتوری
❤6🙏2💯1
#امنیت_به_زبان_ساده
Cisco ISE (Identity Services Engine)
یک پلتفرم جامع کنترل دسترسی شبکه است که با ترکیب احراز هویت، مجوزدهی و ارزیابی وضعیت امنیتی دستگاهها، سیاستهای سازمان را بهصورت متمرکز اجرا میکند( چه دستگاههایی با چه خصوصیتی و چطور به شبکه وصل شوند) . این سامانه ابتدا هویت کاربر یا دستگاه را از طریق روشهایی مانند 802.1X، MAB یا WebAuth تأیید میکند و اعتبار آن را در برابر منابعی مثل Active Directory یا LDAP میسنجد. سپس بر اساس Policy تعریفشده، سطح دسترسی مناسب را اعطا یا محدود میکند و در صورت نیاز کاربر را به VLAN یا ناحیه قرنطینه هدایت مینماید.
وISE با قابلیت Posture Assessment سلامت سیستم را بررسی میکند (آپدیت آنتیویروس، فعالبودن فایروال، نصب پچها) و بهطور خودکار دستگاههای Guest یا BYOD را از طریق پورتال امن پشتیبانی میکند. همچنین با Device Profiling نوع دستگاه را شناسایی کرده و سیاست متناسب اعمال مینماید.
این سامانه گزارشگیری و نظارت امنیتی را برای تیم SOC/Network Security ساده کرده و امکان ادغام با محصولات دیگر Cisco مثل Firepower یا Stealthwatch را دارد. در مدل TrustSec نیز میتواند سیاستها را بر اساس برچسبهای امنیتی (SGT) در سراسر شبکه enforce کند.
🎯 با این ابزار شما از لایه دو به بالا بر ابزارهایی که به شبکه شما متصل میشوند و کاربران کنترل دارید.
💬 امنیت فقط کشف و SOC نیست! اقدامات پیشگیرانه هم بخشی از پوستر امنیت است.
#آکادمی_روزبه
Cisco ISE (Identity Services Engine)
یک پلتفرم جامع کنترل دسترسی شبکه است که با ترکیب احراز هویت، مجوزدهی و ارزیابی وضعیت امنیتی دستگاهها، سیاستهای سازمان را بهصورت متمرکز اجرا میکند( چه دستگاههایی با چه خصوصیتی و چطور به شبکه وصل شوند) . این سامانه ابتدا هویت کاربر یا دستگاه را از طریق روشهایی مانند 802.1X، MAB یا WebAuth تأیید میکند و اعتبار آن را در برابر منابعی مثل Active Directory یا LDAP میسنجد. سپس بر اساس Policy تعریفشده، سطح دسترسی مناسب را اعطا یا محدود میکند و در صورت نیاز کاربر را به VLAN یا ناحیه قرنطینه هدایت مینماید.
وISE با قابلیت Posture Assessment سلامت سیستم را بررسی میکند (آپدیت آنتیویروس، فعالبودن فایروال، نصب پچها) و بهطور خودکار دستگاههای Guest یا BYOD را از طریق پورتال امن پشتیبانی میکند. همچنین با Device Profiling نوع دستگاه را شناسایی کرده و سیاست متناسب اعمال مینماید.
این سامانه گزارشگیری و نظارت امنیتی را برای تیم SOC/Network Security ساده کرده و امکان ادغام با محصولات دیگر Cisco مثل Firepower یا Stealthwatch را دارد. در مدل TrustSec نیز میتواند سیاستها را بر اساس برچسبهای امنیتی (SGT) در سراسر شبکه enforce کند.
#آکادمی_روزبه
Please open Telegram to view this post
VIEW IN TELEGRAM
❤9🙏1💯1