بحثی حقوقی از درس CISSP
📘 مسئولیت مستقیم شرکتها (Direct Liability)
مسئولیت مستقیم یعنی حالتی که شرکت یا سازمان به خاطر اجازه دادن، چشمپوشی، یا نادیده گرفتن رفتار نادرست یکی از کارکنانش، خودش بهطور مستقیم در برابر قانون پاسخگو میشود.
به بیان سادهتر، اگر شرکت به شکل آگاهانه، یا از روی سهلانگاری، باعث شود کارمندی عمل خلافی انجام دهد، قانون آن را رفتار خود شرکت تلقی میکند.
این موضوع بهویژه درباره مدیران و افرادی صادق است که از طرف سازمان اختیار قانونی دارند و به نام آن عمل میکنند. چون مدیران میتوانند بخشی از مسئولیتهایشان را به کارمندان تفویض کنند، هرگاه فردی در چارچوب همان اختیار تفویضشده کاری انجام دهد، ممکن است مسئولیت مستقیماً متوجه شرکت شود.
بنابراین اگر بتوان ثابت کرد که رفتار، تصمیم یا کوتاهی شرکت موجب انجام عمل مجرمانه شده است، قانون سازمان را مسئول مستقیم جرم میداند، نه فقط کارمند متخلف را.
⚖️ رابطه با مفهوم Mens Rea (نیت یا آگاهی مجرمانه)
در جرائم کیفری، اصل بر این است که دادگاه باید ثابت کند فرد از پیامدهای مجرمانهی کار خود آگاه بوده و قصد ارتکاب جرم را داشته است ؛ یعنی وجود Mens Rea.
در مورد یک شرکت، این آگاهی معمولاً در تصمیمها یا خطمشیهای مدیریتی جستجو میشود.
با این حال، نوعی از جرائم وجود دارند که در آنها نیازی به اثبات نیت یا قصد مجرمانه نیست و همین وقوع عمل ممنوعه برای مسئولیتپذیری کافی است.
به این جرائم میگویند: جرائم با مسئولیت مطلق (Strict Liability Offenses).
در چنین حالتی، اگر کارمند در حین انجام وظایف خود مرتکب تخلفی شود -مثلاً نقض مقررات زیستمحیطی یا امنیت داده - شرکت بدون نیاز به اثبات قصد، پاسخگو خواهد بود.
🧩 اصل انتساب رفتار کارمند به شرکت
وقتی قانون، مسئولیت را به شرکتها تسری دهد، رفتار یا حتی قصد ذهنی یک کارمند میتواند به شرکت نسبت داده شود.
اما این انتساب فقط زمانی معتبر است که:
رفتار انجامشده در چارچوب وظایف شغلی و اختیارات قانونی فرد باشد.
به این معیار، در حقوق کیفری و مدیریتی، اصطلاحاً “Course and Capacity of Employment Benchmark” میگویند.
اگر کارمند دست به کاری بزند که خارج از محدودهی اختیاراتش است (مثلاً دسترسی غیرمجاز یا کلاهبرداری رایانهای برای منافع شخصی)، مسئولیت او بر عهدهی خودش است ؛ هرچند که سازمان کاملاً از تبعات حقوقی آن در امان نخواهد بود، چون ممکن است نبود کنترلهای نظارتی یا سهلانگاری مدیریتی خود شرکت زیر سؤال برود.
جمع بندی
مقوله Direct Liability یعنی سازمان بدون واسطه در وقوع جرم نقش داشته (با اقدام یا کوتاهی).
و Mens Rea در شرکت از طریق تصمیمها، سیاستها و بیاحتیاطی مدیران نمایان میشود.
وStrict Liability یعنی کافی است عمل ممنوعه رخ دهد تا شرکت مسئول باشد، حتی بدون اثبات نیت.
وCourse and Capacity Benchmark حدی است که تشخیص میدهد عمل کارمند، کاری سازمانی بوده یا شخصی.
وجود کنترلها، آموزشها و خطمشیهای روشن میتواند از انتساب Mens Rea به سازمان جلوگیری کند و این دقیقاً مصداق Due Diligence / Due Care است.
#آکادمی_روزبه
📘 مسئولیت مستقیم شرکتها (Direct Liability)
مسئولیت مستقیم یعنی حالتی که شرکت یا سازمان به خاطر اجازه دادن، چشمپوشی، یا نادیده گرفتن رفتار نادرست یکی از کارکنانش، خودش بهطور مستقیم در برابر قانون پاسخگو میشود.
به بیان سادهتر، اگر شرکت به شکل آگاهانه، یا از روی سهلانگاری، باعث شود کارمندی عمل خلافی انجام دهد، قانون آن را رفتار خود شرکت تلقی میکند.
این موضوع بهویژه درباره مدیران و افرادی صادق است که از طرف سازمان اختیار قانونی دارند و به نام آن عمل میکنند. چون مدیران میتوانند بخشی از مسئولیتهایشان را به کارمندان تفویض کنند، هرگاه فردی در چارچوب همان اختیار تفویضشده کاری انجام دهد، ممکن است مسئولیت مستقیماً متوجه شرکت شود.
بنابراین اگر بتوان ثابت کرد که رفتار، تصمیم یا کوتاهی شرکت موجب انجام عمل مجرمانه شده است، قانون سازمان را مسئول مستقیم جرم میداند، نه فقط کارمند متخلف را.
⚖️ رابطه با مفهوم Mens Rea (نیت یا آگاهی مجرمانه)
در جرائم کیفری، اصل بر این است که دادگاه باید ثابت کند فرد از پیامدهای مجرمانهی کار خود آگاه بوده و قصد ارتکاب جرم را داشته است ؛ یعنی وجود Mens Rea.
در مورد یک شرکت، این آگاهی معمولاً در تصمیمها یا خطمشیهای مدیریتی جستجو میشود.
با این حال، نوعی از جرائم وجود دارند که در آنها نیازی به اثبات نیت یا قصد مجرمانه نیست و همین وقوع عمل ممنوعه برای مسئولیتپذیری کافی است.
به این جرائم میگویند: جرائم با مسئولیت مطلق (Strict Liability Offenses).
در چنین حالتی، اگر کارمند در حین انجام وظایف خود مرتکب تخلفی شود -مثلاً نقض مقررات زیستمحیطی یا امنیت داده - شرکت بدون نیاز به اثبات قصد، پاسخگو خواهد بود.
🧩 اصل انتساب رفتار کارمند به شرکت
وقتی قانون، مسئولیت را به شرکتها تسری دهد، رفتار یا حتی قصد ذهنی یک کارمند میتواند به شرکت نسبت داده شود.
اما این انتساب فقط زمانی معتبر است که:
رفتار انجامشده در چارچوب وظایف شغلی و اختیارات قانونی فرد باشد.
به این معیار، در حقوق کیفری و مدیریتی، اصطلاحاً “Course and Capacity of Employment Benchmark” میگویند.
اگر کارمند دست به کاری بزند که خارج از محدودهی اختیاراتش است (مثلاً دسترسی غیرمجاز یا کلاهبرداری رایانهای برای منافع شخصی)، مسئولیت او بر عهدهی خودش است ؛ هرچند که سازمان کاملاً از تبعات حقوقی آن در امان نخواهد بود، چون ممکن است نبود کنترلهای نظارتی یا سهلانگاری مدیریتی خود شرکت زیر سؤال برود.
جمع بندی
مقوله Direct Liability یعنی سازمان بدون واسطه در وقوع جرم نقش داشته (با اقدام یا کوتاهی).
و Mens Rea در شرکت از طریق تصمیمها، سیاستها و بیاحتیاطی مدیران نمایان میشود.
وStrict Liability یعنی کافی است عمل ممنوعه رخ دهد تا شرکت مسئول باشد، حتی بدون اثبات نیت.
وCourse and Capacity Benchmark حدی است که تشخیص میدهد عمل کارمند، کاری سازمانی بوده یا شخصی.
وجود کنترلها، آموزشها و خطمشیهای روشن میتواند از انتساب Mens Rea به سازمان جلوگیری کند و این دقیقاً مصداق Due Diligence / Due Care است.
#آکادمی_روزبه
❤4💯4
ردپا ها در فارنزیک
این قسمت: شل بگ
شلبگ (Shellbag) ساختاری در سیستمعامل ویندوز است که برای ذخیره تنظیمات نمایش پوشهها در Windows Explorer به کار میرود. هر زمان کاربر یک پوشه را باز میکند یا نمای آن را تغییر میدهد (مثل حالت آیکون، اندازه پنجره یا موقعیت آن)، این تنظیمات در رجیستری ویندوز بهصورت کلیدهای Shellbag ذخیره میشود تا در بازدید بعدی همان پوشه، تنظیمات قبلی حفظ گردد.
اطلاعات شلبگ در فایلهای رجیستری کاربران نگهداری میشود، از جمله:
HKCU\Software\Microsoft\Windows\Shell\Bags
HKCU\Software\Microsoft\Windows\Shell\BagMRU
همچنین این دادهها بهصورت فیزیکی در فایلهای NTUSER.DAT و USRCLASS.DAT مربوط به هر حساب کاربری ذخیره میشوند.
از دید دیجیتال فارنزیک (Digital Forensics)، شلبگها ارزش شواهدی بالایی دارند زیرا میتوانند سوابق پوشههایی را که کاربر باز کرده- اگر پوشه بعداً حذف شده باشد-نمایش دهند. آنها شامل مسیر کامل فولدر، شناسه دستگاه (Device ID)، و زمان آخرین دسترسی هستند. این ویژگیها کمک میکند تا فعالیتهای کاربر، استفاده از درایوهای خارجی (مثل USB)، یا مرور پوشههای شبکهای بازسازی شود.
ابزارهایی مانند ShellBagsView، RegRipper Shellbags plugin و ShellBags Explorer برای مشاهده و تحلیل این دادهها استفاده میشوند. در تحلیلهای قضایی، شلبگها معمولاً بهمنظور تعیین مسیرهایی که کاربر مشاهده کرده یا حذفشان کرده به کار میروند. به همین دلیل، دستکاری یا حذف آنها (یک اقدام ضدفارنزیکی) میتواند نشانهای از تلاش برای پنهانسازی فعالیتها باشد.
www.haumoun.com
www.roozbeh.academy
مثال عملی در فارنزیک:
فرض کنید مظنونی ادعا کند USB را وصل نکرده؛ شلبگ میتواند Device ID و مسیر F:\MalwareFolder را نشان دهد، حتی اگر درایو جدا شده باشد.
در پروندههای قضایی (مثل child exploitation یا data theft)، شلبگها برای اثبات “knowledge” کاربر (یعنی کاربر پوشه را دیده) استفاده میشوند.
این قسمت: شل بگ
شلبگ (Shellbag) ساختاری در سیستمعامل ویندوز است که برای ذخیره تنظیمات نمایش پوشهها در Windows Explorer به کار میرود. هر زمان کاربر یک پوشه را باز میکند یا نمای آن را تغییر میدهد (مثل حالت آیکون، اندازه پنجره یا موقعیت آن)، این تنظیمات در رجیستری ویندوز بهصورت کلیدهای Shellbag ذخیره میشود تا در بازدید بعدی همان پوشه، تنظیمات قبلی حفظ گردد.
اطلاعات شلبگ در فایلهای رجیستری کاربران نگهداری میشود، از جمله:
HKCU\Software\Microsoft\Windows\Shell\Bags
HKCU\Software\Microsoft\Windows\Shell\BagMRU
همچنین این دادهها بهصورت فیزیکی در فایلهای NTUSER.DAT و USRCLASS.DAT مربوط به هر حساب کاربری ذخیره میشوند.
از دید دیجیتال فارنزیک (Digital Forensics)، شلبگها ارزش شواهدی بالایی دارند زیرا میتوانند سوابق پوشههایی را که کاربر باز کرده- اگر پوشه بعداً حذف شده باشد-نمایش دهند. آنها شامل مسیر کامل فولدر، شناسه دستگاه (Device ID)، و زمان آخرین دسترسی هستند. این ویژگیها کمک میکند تا فعالیتهای کاربر، استفاده از درایوهای خارجی (مثل USB)، یا مرور پوشههای شبکهای بازسازی شود.
ابزارهایی مانند ShellBagsView، RegRipper Shellbags plugin و ShellBags Explorer برای مشاهده و تحلیل این دادهها استفاده میشوند. در تحلیلهای قضایی، شلبگها معمولاً بهمنظور تعیین مسیرهایی که کاربر مشاهده کرده یا حذفشان کرده به کار میروند. به همین دلیل، دستکاری یا حذف آنها (یک اقدام ضدفارنزیکی) میتواند نشانهای از تلاش برای پنهانسازی فعالیتها باشد.
www.haumoun.com
www.roozbeh.academy
مثال عملی در فارنزیک:
فرض کنید مظنونی ادعا کند USB را وصل نکرده؛ شلبگ میتواند Device ID و مسیر F:\MalwareFolder را نشان دهد، حتی اگر درایو جدا شده باشد.
در پروندههای قضایی (مثل child exploitation یا data theft)، شلبگها برای اثبات “knowledge” کاربر (یعنی کاربر پوشه را دیده) استفاده میشوند.
👏7❤3👍3
در دنیای فارنزیک دیجیتال، گرفتن و تحلیل memory dump (یا همان تصویر حافظه RAM) از ویندوز کار نسبتاً جاافتادهای است.
اما وقتی نوبت به سیستمهای Linux میرسه، ابزارها، قالب دادهها، و ساختارهای کرنل آنقدر متنوع و غیراستاندارد هستند که پارس کردن (parse) درست حافظهی لینوکس تقریباً همیشه مشکلزاست.
مقاله توضیح میده که:
مشکلات، از ناهمگونی بین نسخههای کرنل و buildهای سفارشی شروع میشن؛
بعد به مسئلهی symbol درست نداشتن (kernel symbols) میرسه؛
و نهایتاً خطاهای ابزارهایی مثل Volatility یا Rekall در تفسیر ساختارهای task_struct، mm_struct، dentry و غیره رو بررسی میکنه.
آخرین برنامه های آکادمی روزبه را از واتس اپ زیر دریافت کنید 09902857290
Www.haumoun.com
https://memoryforensic.com/the-problem-with-parsing-linux-based-memory-dumps/
اما وقتی نوبت به سیستمهای Linux میرسه، ابزارها، قالب دادهها، و ساختارهای کرنل آنقدر متنوع و غیراستاندارد هستند که پارس کردن (parse) درست حافظهی لینوکس تقریباً همیشه مشکلزاست.
مقاله توضیح میده که:
مشکلات، از ناهمگونی بین نسخههای کرنل و buildهای سفارشی شروع میشن؛
بعد به مسئلهی symbol درست نداشتن (kernel symbols) میرسه؛
و نهایتاً خطاهای ابزارهایی مثل Volatility یا Rekall در تفسیر ساختارهای task_struct، mm_struct، dentry و غیره رو بررسی میکنه.
آخرین برنامه های آکادمی روزبه را از واتس اپ زیر دریافت کنید 09902857290
Www.haumoun.com
https://memoryforensic.com/the-problem-with-parsing-linux-based-memory-dumps/
❤3⚡2
تحلیل جامع نقش LLMها در قدرت اطلاعاتی جهانی
از منظر راهبردی، عصر جدید هوش مصنوعی بهویژه مدلهای زبانی بزرگ (LLMها) مانند ChatGPT، Gemini یا Claude را میتوان نقطهای از گذار تاریخی دانست که در آن «دانش» و «اطلاعات زبانی» همان نقشی را ایفا میکنند که نفت در قرن بیستم داشت. این فناوری، در ذات خود نهتنها یک ابزار فنی بلکه زیرساختی سیاسی و اقتصادی است که قدرت را در اختیار دارندگان داده و ظرفیت محاسباتی متمرکز میکند. از این زاویه، نگرانی دربارهی استفادهی LLMها برای حفظ سلطه و کنترل جهانی نهتنها بیپایه نیست بلکه از روندهای آشکار دو دهه گذشته تغذیه میکند.
در سطح فنی، LLMها از میلیونها سند، مکاتبه، گفتار و تعامل انسانی برای آموزش استفاده میکنند و از همین طریق قابلیت درک، پیشبینی و حتی بازسازی الگوهای فکری افراد و جوامع را مییابند. برخلاف موتورهای جستجو که فقط دادههای صریح جمعآوری میکنند، LLMها قادرند از میان زبان روزمره، «نقشهی شناختی» کاربران را استنباط کنند؛ یعنی بفهمند انسانها چه ارزشی را درک میکنند، چگونه تصمیم میگیرند، و چه چیزی برایشان اقناعکننده است. این قابلیت، بهویژه برای دولتها یا بلوکهای قدرتی که توان ذخیره، تحلیل و همپوشانی چنین دادههایی را دارند، ابزاری بالقوه برای پروفایلسازی شناختی جهانی فراهم میکند.
در سطح ژئوپلیتیک، توسعهی LLMها با تمرکز سرمایه و زیرساخت در چند کشور خاص همراه است. ایالات متحده، چین، و تا حدی اتحادیهی اروپا، مالک تقریباً تمام ابررایانهها و GPU فارمهای لازم برای آموزش مدلهای در مقیاس تریلیون پارامتر هستند. این تمرکز، عملاً به معنای حاکمیت دیجیتالی چندقطبی اما نامتوازن است؛ وضعیتی که در آن کشورهای فاقد زیرساخت نهتنها مصرفکنندهی داده و مدل میشوند بلکه روایتهای ذهنی و زبانی خود را نیز از فیلتر مدلهای بیگتک دریافت میکنند. نتیجه، شکلگیری «نظم نوین اطلاعاتی» است؛ نظمی که در آن، کنترل گفتمان عمومی و درک جمعی بیش از هر زمان تابع الگوریتمهایی میشود که ساختار آنها شفاف نیست.
از منظر اخلاق و حاکمیت فناوری، مسئله به «نیت» سازندگان برنمیگردد بلکه به عدم توازن شفافیت و پاسخگویی مرتبط است. حتی اگر هدف اولیهی تولید LLMها پیشبرد دانش و اقتصاد بوده، نتیجهی ناخواسته میتواند ایجاد ابزارهایی برای مهندسی شناخت و کنترل نرم باشد: از سانسور الگوریتمی گرفته تا همسویی محتوایی (alignment) که میتواند ذهن جمعی را شکل دهد یا پنهان کند. این همان مرحلهای است که مرز میان تحقیق علمی، منافع اقتصادی و امنیت ملی کاملاً درهممیآمیزد.
در مقابل، برخی استدلال میکنند که نگرانی از کنترل مطلق اغراقآمیز است، زیرا جوامع کاربری، قوانین حفظ حریم خصوصی، و جنبشهای منبع باز (مانند LLaMA، Mistral یا Falcon) میتوانند توازن ایجاد کنند. اما باید پذیرفت که این پروژههای باز نیز غالباً بر زیرساخت مالکیتی متکیاند و در سطح مدل، هنوز توان مقابله با هیولاهای اطلاعاتی چندملیتی را ندارند.
در جمعبندی، میتوان گفت LLMها ذاتاً برای جاسوسی یا سلطه ساخته نشدهاند، اما در ساختار فعلی قدرت، بهعنوان ابزار بالقوهی تسلط گفتمانی و شناختی جهان عمل میکنند. قدرت واقعی امروز نه در تملک اطلاعات، بلکه در مهندسی برداشت ذهنی از آن است و LLMها دقیقاً در همین نقطه ایستادهاند: مرز میان فهم و کنترل🛡
از منظر راهبردی، عصر جدید هوش مصنوعی بهویژه مدلهای زبانی بزرگ (LLMها) مانند ChatGPT، Gemini یا Claude را میتوان نقطهای از گذار تاریخی دانست که در آن «دانش» و «اطلاعات زبانی» همان نقشی را ایفا میکنند که نفت در قرن بیستم داشت. این فناوری، در ذات خود نهتنها یک ابزار فنی بلکه زیرساختی سیاسی و اقتصادی است که قدرت را در اختیار دارندگان داده و ظرفیت محاسباتی متمرکز میکند. از این زاویه، نگرانی دربارهی استفادهی LLMها برای حفظ سلطه و کنترل جهانی نهتنها بیپایه نیست بلکه از روندهای آشکار دو دهه گذشته تغذیه میکند.
در سطح فنی، LLMها از میلیونها سند، مکاتبه، گفتار و تعامل انسانی برای آموزش استفاده میکنند و از همین طریق قابلیت درک، پیشبینی و حتی بازسازی الگوهای فکری افراد و جوامع را مییابند. برخلاف موتورهای جستجو که فقط دادههای صریح جمعآوری میکنند، LLMها قادرند از میان زبان روزمره، «نقشهی شناختی» کاربران را استنباط کنند؛ یعنی بفهمند انسانها چه ارزشی را درک میکنند، چگونه تصمیم میگیرند، و چه چیزی برایشان اقناعکننده است. این قابلیت، بهویژه برای دولتها یا بلوکهای قدرتی که توان ذخیره، تحلیل و همپوشانی چنین دادههایی را دارند، ابزاری بالقوه برای پروفایلسازی شناختی جهانی فراهم میکند.
در سطح ژئوپلیتیک، توسعهی LLMها با تمرکز سرمایه و زیرساخت در چند کشور خاص همراه است. ایالات متحده، چین، و تا حدی اتحادیهی اروپا، مالک تقریباً تمام ابررایانهها و GPU فارمهای لازم برای آموزش مدلهای در مقیاس تریلیون پارامتر هستند. این تمرکز، عملاً به معنای حاکمیت دیجیتالی چندقطبی اما نامتوازن است؛ وضعیتی که در آن کشورهای فاقد زیرساخت نهتنها مصرفکنندهی داده و مدل میشوند بلکه روایتهای ذهنی و زبانی خود را نیز از فیلتر مدلهای بیگتک دریافت میکنند. نتیجه، شکلگیری «نظم نوین اطلاعاتی» است؛ نظمی که در آن، کنترل گفتمان عمومی و درک جمعی بیش از هر زمان تابع الگوریتمهایی میشود که ساختار آنها شفاف نیست.
از منظر اخلاق و حاکمیت فناوری، مسئله به «نیت» سازندگان برنمیگردد بلکه به عدم توازن شفافیت و پاسخگویی مرتبط است. حتی اگر هدف اولیهی تولید LLMها پیشبرد دانش و اقتصاد بوده، نتیجهی ناخواسته میتواند ایجاد ابزارهایی برای مهندسی شناخت و کنترل نرم باشد: از سانسور الگوریتمی گرفته تا همسویی محتوایی (alignment) که میتواند ذهن جمعی را شکل دهد یا پنهان کند. این همان مرحلهای است که مرز میان تحقیق علمی، منافع اقتصادی و امنیت ملی کاملاً درهممیآمیزد.
در مقابل، برخی استدلال میکنند که نگرانی از کنترل مطلق اغراقآمیز است، زیرا جوامع کاربری، قوانین حفظ حریم خصوصی، و جنبشهای منبع باز (مانند LLaMA، Mistral یا Falcon) میتوانند توازن ایجاد کنند. اما باید پذیرفت که این پروژههای باز نیز غالباً بر زیرساخت مالکیتی متکیاند و در سطح مدل، هنوز توان مقابله با هیولاهای اطلاعاتی چندملیتی را ندارند.
در جمعبندی، میتوان گفت LLMها ذاتاً برای جاسوسی یا سلطه ساخته نشدهاند، اما در ساختار فعلی قدرت، بهعنوان ابزار بالقوهی تسلط گفتمانی و شناختی جهان عمل میکنند. قدرت واقعی امروز نه در تملک اطلاعات، بلکه در مهندسی برداشت ذهنی از آن است و LLMها دقیقاً در همین نقطه ایستادهاند: مرز میان فهم و کنترل
Please open Telegram to view this post
VIEW IN TELEGRAM
💯5❤1👏1
چرا نمیتوان به تلمتری های EDR اعتماد کرد .
درباب نقد سایت زیر که بحث این روزها است از زاویه ای دیگر
https://www.edr-telemetry.com
سامانههای تشخیص و پاسخ در نقاط پایانی (EDR) با وعدهی "دید کامل" از طریق جمعآوری حجم وسیعی از دادههای تلهمتری، به سنگ بنای امنیت مدرن تبدیل شدند. با این حال، اتکای مطلق به این دادهها یک فرض خطرناک است، زیرا مهاجمان پیشرفته اکنون قادر به کور کردن، دستکاری و فریب عامل EDR هستند.
مشکل اصلی در این است که عامل EDR خود بر روی سیستمی اجرا میشود که ممکن است در معرض خطر قرار گیرد. مهاجمان با استفاده از تکنیکهای پیچیده، این منبع داده را غیرقابل اعتماد میکنند:
1. حملات سطح کرنل (Kernel-Level Attacks): با دسترسی به هسته سیستمعامل (Ring 0)، مهاجمان میتوانند قلابها (Hooks) و مکانیزمهای نظارتی EDR را مستقیماً حذف یا غیرفعال کنند. تکنیک BYOVD (Bring Your Own Vulnerable Driver) نمونه بارز این روش است که در آن از یک درایور امضاشده و آسیبپذیر برای خاموش کردن دفاع امنیتی استفاده میشود.
2. دور زدن در فضای کاربری (User-Space Evasion): روشهایی مانند فراخوانی مستقیم سیستمی (Direct System Calls) به بدافزار اجازه میدهند تا لایههای نظارتی EDR را کاملاً دور زده و فعالیتهای خود را بدون تولید هیچگونه تلهمتری انجام دهد.
پیامد این حملات، ایجاد یک حس امنیت کاذب و مرگبار است. تیمهای امنیتی ممکن است با تحقیقات ناقص مواجه شوند و حملات فعال را نادیده بگیرند، زیرا ابزار اصلی دیدهبانی آنها کور شده است.
راهبرد صحیح، پذیرش اصل "عدم اعتماد به یک منبع داده" است. تیمهای امنیتی باید تلهمتری EDR را به طور مداوم با منابع داده مستقل دیگر مانند لاگهای شبکه (NDR)، فایروالها و لاگهای بومی سیستمعامل همبستهسازی و راستیآزمایی کنند. همچنین، شکار تهدید فعال و تحلیل حافظه زنده (Memory Forensics) به ابزارهای ضروری برای کشف فعالیتهایی تبدیل شدهاند که از دید EDR پنهان ماندهاند.
درباب نقد سایت زیر که بحث این روزها است از زاویه ای دیگر
https://www.edr-telemetry.com
سامانههای تشخیص و پاسخ در نقاط پایانی (EDR) با وعدهی "دید کامل" از طریق جمعآوری حجم وسیعی از دادههای تلهمتری، به سنگ بنای امنیت مدرن تبدیل شدند. با این حال، اتکای مطلق به این دادهها یک فرض خطرناک است، زیرا مهاجمان پیشرفته اکنون قادر به کور کردن، دستکاری و فریب عامل EDR هستند.
مشکل اصلی در این است که عامل EDR خود بر روی سیستمی اجرا میشود که ممکن است در معرض خطر قرار گیرد. مهاجمان با استفاده از تکنیکهای پیچیده، این منبع داده را غیرقابل اعتماد میکنند:
1. حملات سطح کرنل (Kernel-Level Attacks): با دسترسی به هسته سیستمعامل (Ring 0)، مهاجمان میتوانند قلابها (Hooks) و مکانیزمهای نظارتی EDR را مستقیماً حذف یا غیرفعال کنند. تکنیک BYOVD (Bring Your Own Vulnerable Driver) نمونه بارز این روش است که در آن از یک درایور امضاشده و آسیبپذیر برای خاموش کردن دفاع امنیتی استفاده میشود.
2. دور زدن در فضای کاربری (User-Space Evasion): روشهایی مانند فراخوانی مستقیم سیستمی (Direct System Calls) به بدافزار اجازه میدهند تا لایههای نظارتی EDR را کاملاً دور زده و فعالیتهای خود را بدون تولید هیچگونه تلهمتری انجام دهد.
پیامد این حملات، ایجاد یک حس امنیت کاذب و مرگبار است. تیمهای امنیتی ممکن است با تحقیقات ناقص مواجه شوند و حملات فعال را نادیده بگیرند، زیرا ابزار اصلی دیدهبانی آنها کور شده است.
راهبرد صحیح، پذیرش اصل "عدم اعتماد به یک منبع داده" است. تیمهای امنیتی باید تلهمتری EDR را به طور مداوم با منابع داده مستقل دیگر مانند لاگهای شبکه (NDR)، فایروالها و لاگهای بومی سیستمعامل همبستهسازی و راستیآزمایی کنند. همچنین، شکار تهدید فعال و تحلیل حافظه زنده (Memory Forensics) به ابزارهای ضروری برای کشف فعالیتهایی تبدیل شدهاند که از دید EDR پنهان ماندهاند.
Edr-Telemetry
EDR Telemetry Project: Transparent Benchmarking & Telemetry Analysis for Businesses
Explore transparent, vendor-neutral EDR telemetry benchmarks. Make confident security decisions with real-world data and practical analysis for your business.
💯5👏1
۱-متخصص ادمین اسپلانک
۲-متخصص مجازی سازی، استوریج و بک آپ
ارسال رزومه به hr@haumoun.com
۲-متخصص مجازی سازی، استوریج و بک آپ
ارسال رزومه به hr@haumoun.com
❤6
آکادمی آموزش روزبه 📚
با توجه به نتایج نظر سنجی و درخواست ۵۰ درصد از شما تقدیم به ایران واتس اپ 09902857290
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6👍3🔥2
🟣و شروع عصر جدید امنیت
🔴 خطر در تصویر فوق : دقت کنید
✅️و اما ما در این وضع چه باید بکنیم ؟
ظهور ابزارهای هوش مصنوعی مخرب، صرفاً یک تهدید جدید نیست؛ بلکه یک تغییر پارادایم (Paradigm Shift) است که نیازمند تحول بنیادین در رویکردهای مهندسی کشف (Detection Engineering) و شکار تهدید (Threat Hunting) است.
تیمهای امنیتی دیگر نمیتوانند به روشهای سنتی تکیه کنند. در ادامه، تغییرات کلیدی که این دو حوزه باید اتخاذ کنند، به تفصیل شرح داده شده است:
۱. تحول در مهندسی کشف (Detection Engineering)
مهندسی کشف، که وظیفه ساخت و نگهداری سیستمهای هشداردهنده (Detection Rules) را بر عهده دارد، باید از رویکردهای ایستا به سمت رویکردهای پویا و رفتاری حرکت کند.
الف) گذار از شاخصهای نفوذ (IOCs) به سمت تاکتیکها، تکنیکها و رویهها (TTPs):
* مشکل رویکرد سنتی: بدافزارهای تولید شده توسط MalwareGPT یا WormGPT میتوانند چندریختی (Polymorphic)باشند. یعنی هر بار که تولید میشوند، هش (Hash) فایل، آدرس IP سرور کنترل و فرمان (C2)، و دیگر شاخصهای ایستا (IOCs) در آنها تغییر میکند. بنابراین، قوانین مبتنی بر IOC بلافاصله منسوخ میشوند.
* راه حل جدید: به جای تمرکز بر "چه چیزی" (What)، باید بر "چگونه" (How) تمرکز کرد. مهندسان کشف باید قوانینی بنویسند که رفتارها و الگوهای حمله را شناسایی کنند. این رفتارها در چارچوب MITRE ATT&CK دستهبندی میشوند.
* مثال:
* قانون قدیمی (مبتنی بر IOC): Alert if file hash =='abcde12345'
* قانون جدید (مبتنی بر TTP):Alert if a Microsoft Word process spawns a PowerShell process, which then makes an outbound network connection to a domain registered in the last 7 days.
این قانون، صرفنظر از اینکه بدافزار چیست، یک تکنیک رایج در زنجیره حمله را شناسایی میکند.
ب) استفاده از هوش مصنوعی و یادگیری ماشین برای دفاع (AI/ML for Defense):
مبارزه با هوش مصنوعی مهاجم، نیازمند هوش مصنوعی مدافع است.
* تحلیل رفتار کاربر و موجودیت (UEBA - User and Entity Behavior Analytics):سیستمهای UEBA یک خط مبنا (Baseline) از رفتار عادی کاربران و سیستمها ایجاد میکنند. ایمیل فیشینگ تولید شده توسط FraudGPT ممکن است بسیار متقاعدکننده باشد و کاربر را فریب دهد، اما UEBA میتواند رفتار غیرعادی کاربر پس از کلیک را شناسایی کند. مثلاً: "چرا حسابدار شرکت ناگهان در حال دسترسی به فایلهای سورس کد در ریپازیتوری توسعهدهندگان است؟"
* تشخیص ناهنجاری (Anomaly Detection):به جای جستجوی الگوهای "بد" شناختهشده، باید به دنبال هر چیزی بود که "عادی" نیست. این شامل ناهنجاری در ترافیک شبکه، استفاده از CPU، توالی فراخوانیهای API و... میشود.
ج) غنیسازی دادهها و تمرکز بر تلهمتری اندپوینت (Endpoint Telemetry):
برای تحلیل رفتاری، به دادههای غنی و با جزئیات نیاز است.
* فراتر از لاگها: صرفاً بررسی لاگ فایروال کافی نیست. مهندسان کشف به دادههای دقیق از Endpoint Detection and Response (EDR) نیاز دارند: ساختار درختی فرآیندها (Process Tree)، آرگومانهای خط فرمان (Command-line Arguments)، تغییرات رجیستری، و فراخوانیهای سیستمی. این دادهها زمینه (Context) لازم برای شناسایی TTPها را فراهم میکنند.
د) آزمایش مداوم قوانین با حملات شبیهسازیشده (Adversary Emulation):
* تیمهای امنیتی باید از ابزارهای هوش مصنوعی (حتی ابزارهای قانونی مانند ChatGPT) برای تولید کدهای حمله و ایمیلهای فیشینگ استفاده کنند و با آنها سیستمهای دفاعی و قوانین کشف خود را بیازمایند. این کار یک حلقه بازخورد مداوم برای بهبود دفاع ایجاد میکند.
۲. تحول در شکار تهدید (Threat Hunting)
شکار تهدید یک فرآیند کنشگرانه (Proactive) برای یافتن تهدیداتی است که از سیستمهای دفاعی خودکار عبور کردهاند. این حوزه نیز باید متحول شود.
الف) فرضیههای شکار مبتنی بر قابلیتهای هوش مصنوعی مهاجم:
شکارچیان تهدید باید فرضیههای خود را بر اساس آنچه ابزارهای مخرب AI قادر به انجام آن هستند، تنظیم کنند.
* فرضیه قدیمی: "یک مهاجم ممکن است از ابزار شناختهشده Mimikatz برای سرقت اعتبارنامهها استفاده کند."
* فرضیه جدید:"یک مهاجم ممکن است با استفاده از WormGPT یک اسکریپت سفارشی و مبهمسازیشده (Obfuscated) برای اجرای تکنیکهای Living-off-the-Land (استفاده از ابزارهای موجود در خود سیستمعامل) ایجاد کرده باشد. بیایید به دنبال اجرای غیرعادی PowerShell،WMI یا Bitsadmin` بگردیم که توسط فرآیندهای غیرمرتبط (مانند یک فایل PDF) آغاز شدهاند."
ب) شکار الگوهای "غیرانسانی" در محتوا و کد:
ادامه دارد👇👇
✅️و اما ما در این وضع چه باید بکنیم ؟
ظهور ابزارهای هوش مصنوعی مخرب، صرفاً یک تهدید جدید نیست؛ بلکه یک تغییر پارادایم (Paradigm Shift) است که نیازمند تحول بنیادین در رویکردهای مهندسی کشف (Detection Engineering) و شکار تهدید (Threat Hunting) است.
تیمهای امنیتی دیگر نمیتوانند به روشهای سنتی تکیه کنند. در ادامه، تغییرات کلیدی که این دو حوزه باید اتخاذ کنند، به تفصیل شرح داده شده است:
۱. تحول در مهندسی کشف (Detection Engineering)
مهندسی کشف، که وظیفه ساخت و نگهداری سیستمهای هشداردهنده (Detection Rules) را بر عهده دارد، باید از رویکردهای ایستا به سمت رویکردهای پویا و رفتاری حرکت کند.
الف) گذار از شاخصهای نفوذ (IOCs) به سمت تاکتیکها، تکنیکها و رویهها (TTPs):
* مشکل رویکرد سنتی: بدافزارهای تولید شده توسط MalwareGPT یا WormGPT میتوانند چندریختی (Polymorphic)باشند. یعنی هر بار که تولید میشوند، هش (Hash) فایل، آدرس IP سرور کنترل و فرمان (C2)، و دیگر شاخصهای ایستا (IOCs) در آنها تغییر میکند. بنابراین، قوانین مبتنی بر IOC بلافاصله منسوخ میشوند.
* راه حل جدید: به جای تمرکز بر "چه چیزی" (What)، باید بر "چگونه" (How) تمرکز کرد. مهندسان کشف باید قوانینی بنویسند که رفتارها و الگوهای حمله را شناسایی کنند. این رفتارها در چارچوب MITRE ATT&CK دستهبندی میشوند.
* مثال:
* قانون قدیمی (مبتنی بر IOC): Alert if file hash =='abcde12345'
* قانون جدید (مبتنی بر TTP):Alert if a Microsoft Word process spawns a PowerShell process, which then makes an outbound network connection to a domain registered in the last 7 days.
این قانون، صرفنظر از اینکه بدافزار چیست، یک تکنیک رایج در زنجیره حمله را شناسایی میکند.
ب) استفاده از هوش مصنوعی و یادگیری ماشین برای دفاع (AI/ML for Defense):
مبارزه با هوش مصنوعی مهاجم، نیازمند هوش مصنوعی مدافع است.
* تحلیل رفتار کاربر و موجودیت (UEBA - User and Entity Behavior Analytics):سیستمهای UEBA یک خط مبنا (Baseline) از رفتار عادی کاربران و سیستمها ایجاد میکنند. ایمیل فیشینگ تولید شده توسط FraudGPT ممکن است بسیار متقاعدکننده باشد و کاربر را فریب دهد، اما UEBA میتواند رفتار غیرعادی کاربر پس از کلیک را شناسایی کند. مثلاً: "چرا حسابدار شرکت ناگهان در حال دسترسی به فایلهای سورس کد در ریپازیتوری توسعهدهندگان است؟"
* تشخیص ناهنجاری (Anomaly Detection):به جای جستجوی الگوهای "بد" شناختهشده، باید به دنبال هر چیزی بود که "عادی" نیست. این شامل ناهنجاری در ترافیک شبکه، استفاده از CPU، توالی فراخوانیهای API و... میشود.
ج) غنیسازی دادهها و تمرکز بر تلهمتری اندپوینت (Endpoint Telemetry):
برای تحلیل رفتاری، به دادههای غنی و با جزئیات نیاز است.
* فراتر از لاگها: صرفاً بررسی لاگ فایروال کافی نیست. مهندسان کشف به دادههای دقیق از Endpoint Detection and Response (EDR) نیاز دارند: ساختار درختی فرآیندها (Process Tree)، آرگومانهای خط فرمان (Command-line Arguments)، تغییرات رجیستری، و فراخوانیهای سیستمی. این دادهها زمینه (Context) لازم برای شناسایی TTPها را فراهم میکنند.
د) آزمایش مداوم قوانین با حملات شبیهسازیشده (Adversary Emulation):
* تیمهای امنیتی باید از ابزارهای هوش مصنوعی (حتی ابزارهای قانونی مانند ChatGPT) برای تولید کدهای حمله و ایمیلهای فیشینگ استفاده کنند و با آنها سیستمهای دفاعی و قوانین کشف خود را بیازمایند. این کار یک حلقه بازخورد مداوم برای بهبود دفاع ایجاد میکند.
۲. تحول در شکار تهدید (Threat Hunting)
شکار تهدید یک فرآیند کنشگرانه (Proactive) برای یافتن تهدیداتی است که از سیستمهای دفاعی خودکار عبور کردهاند. این حوزه نیز باید متحول شود.
الف) فرضیههای شکار مبتنی بر قابلیتهای هوش مصنوعی مهاجم:
شکارچیان تهدید باید فرضیههای خود را بر اساس آنچه ابزارهای مخرب AI قادر به انجام آن هستند، تنظیم کنند.
* فرضیه قدیمی: "یک مهاجم ممکن است از ابزار شناختهشده Mimikatz برای سرقت اعتبارنامهها استفاده کند."
* فرضیه جدید:"یک مهاجم ممکن است با استفاده از WormGPT یک اسکریپت سفارشی و مبهمسازیشده (Obfuscated) برای اجرای تکنیکهای Living-off-the-Land (استفاده از ابزارهای موجود در خود سیستمعامل) ایجاد کرده باشد. بیایید به دنبال اجرای غیرعادی PowerShell،WMI یا Bitsadmin` بگردیم که توسط فرآیندهای غیرمرتبط (مانند یک فایل PDF) آغاز شدهاند."
ب) شکار الگوهای "غیرانسانی" در محتوا و کد:
ادامه دارد👇👇
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6🔥5
آکادمی آموزش روزبه 📚
🟣و شروع عصر جدید امنیت 🔴 خطر در تصویر فوق : دقت کنید ✅️و اما ما در این وضع چه باید بکنیم ؟ ظهور ابزارهای هوش مصنوعی مخرب، صرفاً یک تهدید جدید نیست؛ بلکه یک تغییر پارادایم (Paradigm Shift) است که نیازمند تحول بنیادین در رویکردهای مهندسی کشف (Detection Engineering)…
* کدنویسی: کدهای تولید شده توسط هوش مصنوعی ممکن است الگوهای خاصی داشته باشند: استفاده بیش از حد از یک ساختار خاص، نامگذاری متغیرهای عجیب، یا عدم وجود کامنت. شکارچیان میتوانند به دنبال این ناهنجاریهای آماری در اسکریپتها و فایلهای اجرایی باشند.
* زبان و ارتباطات: ایمیلهای فیشینگ تولید شده توسط AI ممکن است از نظر گرامری بینقص باشند، اما شاید در استفاده از اصطلاحات خاص یک سازمان یا لحن طبیعی یک مدیر، دچار خطا شوند. شکارچیان میتوانند به دنبال ایمیلهایی بگردند که "بیش از حد رسمی" یا "کمی عجیب" به نظر میرسند و آنها را با تاریخچه ارتباطات آن فرستنده مقایسه کنند.
ج) تمرکز بر مراحل اولیه زنجیره حمله (Kill Chain):
ابزارهایی مانند
* شکارچیان تهدید باید به دنبال نشانههای شناسایی خودکار باشند. مثلاً، آیا پروفایلهای لینکدین چندین کارمند به صورت همزمان و از یک محدوده IP غیرعادی بازدید شده است؟ آیا تلاشهای لاگین ناموفق با الگوهای خاصی (مثلاً استفاده از نام کاربری + نام شرکت + ۱۲۳) در حال وقوع است؟
د) ادغام هوش تهدید (Threat Intelligence) از منابع زیرزمینی:
* شکارچیان باید از نامها و قابلیتهای ذکر شده در اینفوگرافیک (مانند
نتیجهگیری: تغییر ذهنیت اساسی
گذار اصلی، حرکت از یک ذهنیت واکنشی و مبتنی بر امضا (Signature-based) به یک ذهنیت کنشگرانه، رفتاری و مبتنی بر زمینه (Context-aware) است.
* دفاع استاتیک مرده است:دیگر نمیتوان دیوارهایی ساخت و انتظار داشت مهاجمان از آن عبور نکنند.
* دفاع پویا و هوشمند: دفاع باید مانند یک سیستم ایمنی عمل کند؛ دائماً محیط را رصد کرده، رفتارها را تحلیل کند و به دنبال هرگونه ناهنجاری بگردد، حتی اگر قبلاً آن تهدید خاص را ندیده باشد.
در این نبرد جدید، خلاقیت و شهود انسانی یک شکارچی تهدید، در ترکیب با قدرت تحلیل داده هوش مصنوعی مدافع، به مهمترین سلاح برای مقابله با تهدیدات هوشمند و خودکار تبدیل خواهد شد.
#آکادمی_روزبه
🔴 زمان تغییر در SOC و ساختار امنیت سازمانهای ایرانی فرا رسیده است . این پایانی بر روش معمول حفاظت و پایش است .
دیر بجنبید تمام است
* زبان و ارتباطات: ایمیلهای فیشینگ تولید شده توسط AI ممکن است از نظر گرامری بینقص باشند، اما شاید در استفاده از اصطلاحات خاص یک سازمان یا لحن طبیعی یک مدیر، دچار خطا شوند. شکارچیان میتوانند به دنبال ایمیلهایی بگردند که "بیش از حد رسمی" یا "کمی عجیب" به نظر میرسند و آنها را با تاریخچه ارتباطات آن فرستنده مقایسه کنند.
ج) تمرکز بر مراحل اولیه زنجیره حمله (Kill Chain):
ابزارهایی مانند
WormGPT و Xanthorox در تحقیق و شناسایی (Reconnaissance) بسیار قدرتمند هستند.* شکارچیان تهدید باید به دنبال نشانههای شناسایی خودکار باشند. مثلاً، آیا پروفایلهای لینکدین چندین کارمند به صورت همزمان و از یک محدوده IP غیرعادی بازدید شده است؟ آیا تلاشهای لاگین ناموفق با الگوهای خاصی (مثلاً استفاده از نام کاربری + نام شرکت + ۱۲۳) در حال وقوع است؟
د) ادغام هوش تهدید (Threat Intelligence) از منابع زیرزمینی:
* شکارچیان باید از نامها و قابلیتهای ذکر شده در اینفوگرافیک (مانند
FraudGPT, LoopGPT) به عنوان کلیدواژه استفاده کنند. رصد انجمنهای زیرزمینی (در چارچوب قانونی و اخلاقی) برای درک اینکه این ابزارها چگونه به فروش میرسند، چه قابلیتهای جدیدی پیدا کردهاند و چه TTPهایی با آنها اجرا میشود، میتواند منبعی غنی برای ساخت فرضیههای شکار باشد.نتیجهگیری: تغییر ذهنیت اساسی
گذار اصلی، حرکت از یک ذهنیت واکنشی و مبتنی بر امضا (Signature-based) به یک ذهنیت کنشگرانه، رفتاری و مبتنی بر زمینه (Context-aware) است.
* دفاع استاتیک مرده است:دیگر نمیتوان دیوارهایی ساخت و انتظار داشت مهاجمان از آن عبور نکنند.
* دفاع پویا و هوشمند: دفاع باید مانند یک سیستم ایمنی عمل کند؛ دائماً محیط را رصد کرده، رفتارها را تحلیل کند و به دنبال هرگونه ناهنجاری بگردد، حتی اگر قبلاً آن تهدید خاص را ندیده باشد.
در این نبرد جدید، خلاقیت و شهود انسانی یک شکارچی تهدید، در ترکیب با قدرت تحلیل داده هوش مصنوعی مدافع، به مهمترین سلاح برای مقابله با تهدیدات هوشمند و خودکار تبدیل خواهد شد.
#آکادمی_روزبه
دیر بجنبید تمام است
Please open Telegram to view this post
VIEW IN TELEGRAM
👏7👌5
اخلاق در فناوری
گذری از Stuxnet تا اخلاق
روزبه نوروزی
در سال ۲۰۱۰، با کشف بدافزار Stuxnet ؛ پروژهای منتسب به همکاری فنی میان ایالات متحده و اسرائیل برای تخریب تجهیزات سانتریفیوژ هستهای ایران ؛ دنیای امنیت اطلاعات با یکی از نخستین موارد آشکار جنگ سایبری دولتی روبهرو شد. این رویداد نهتنها مرز میان امنیت سیستم و حمله هدفمند را برداشت، بلکه بحثهای اخلاقی عمیقی را پیرامون نقش مهندسان در عملیات سایبری تحت فرمان دولتها برانگیخت.
در مجامع بینالمللی مانند نشستهای تالین (Tallinn) و گفتوگوهای ژنو درباره رفتار مسئولانه در فضای سایبری (Geneva Dialogue)، پرسش کلیدی مطرح شد: آیا مهندس امنیتی که به طراحی یا پیادهسازی ابزاری برای تخریب زیرساخت حیاتی کشور دیگر کمک میکند، در برابر پیامدهای انسانی، اقتصادی یا زیستمحیطی آن مسئولیت حرفهای دارد؟
تحلیلهای حاصل از این نشستها نشان میدهد که طبق اصول اخلاقی CISSP (Protect Society, Common Good, and Trust)، مرز بین «وظیفه ملی» و «استقلال حرفهای» باید بهصورت روشن تعریف شود. بسیاری از متخصصان باور دارند که حتی در مأموریتهای دولتی، معیار اخلاق حرفهای نباید فدای هدف راهبردی شود؛ زیرا بیتوجهی به پیامدهای گستردهٔ حملهٔ سایبری، میتواند اساس اعتماد دیجیتال جهانی را تضعیف کند.
مطالعات بعدی از جمله پژوهش CCDCOE در ۲۰۱۷ تأیید کردند که Stuxnet موجب ایجاد دکترین جدید جنگ سایبری شد؛ که اخلاق مهندسی امنیت را از حوزهٔ فنی به سطح تصمیمگیری ژئوپلیتیکی ارتقا داد.
به بیان ساده تر بعد از Stuxnet، هیچ مهندس امنیتی نمیتواند بگوید «من فقط کد مینویسم»؛ زیرا تصمیمهای فنی او ممکن است پیامدهای سیاسی، زیستمحیطی، یا انسانی در سطح جهانی داشته باشند.
گذری از Stuxnet تا اخلاق
روزبه نوروزی
در سال ۲۰۱۰، با کشف بدافزار Stuxnet ؛ پروژهای منتسب به همکاری فنی میان ایالات متحده و اسرائیل برای تخریب تجهیزات سانتریفیوژ هستهای ایران ؛ دنیای امنیت اطلاعات با یکی از نخستین موارد آشکار جنگ سایبری دولتی روبهرو شد. این رویداد نهتنها مرز میان امنیت سیستم و حمله هدفمند را برداشت، بلکه بحثهای اخلاقی عمیقی را پیرامون نقش مهندسان در عملیات سایبری تحت فرمان دولتها برانگیخت.
در مجامع بینالمللی مانند نشستهای تالین (Tallinn) و گفتوگوهای ژنو درباره رفتار مسئولانه در فضای سایبری (Geneva Dialogue)، پرسش کلیدی مطرح شد: آیا مهندس امنیتی که به طراحی یا پیادهسازی ابزاری برای تخریب زیرساخت حیاتی کشور دیگر کمک میکند، در برابر پیامدهای انسانی، اقتصادی یا زیستمحیطی آن مسئولیت حرفهای دارد؟
تحلیلهای حاصل از این نشستها نشان میدهد که طبق اصول اخلاقی CISSP (Protect Society, Common Good, and Trust)، مرز بین «وظیفه ملی» و «استقلال حرفهای» باید بهصورت روشن تعریف شود. بسیاری از متخصصان باور دارند که حتی در مأموریتهای دولتی، معیار اخلاق حرفهای نباید فدای هدف راهبردی شود؛ زیرا بیتوجهی به پیامدهای گستردهٔ حملهٔ سایبری، میتواند اساس اعتماد دیجیتال جهانی را تضعیف کند.
مطالعات بعدی از جمله پژوهش CCDCOE در ۲۰۱۷ تأیید کردند که Stuxnet موجب ایجاد دکترین جدید جنگ سایبری شد؛ که اخلاق مهندسی امنیت را از حوزهٔ فنی به سطح تصمیمگیری ژئوپلیتیکی ارتقا داد.
به بیان ساده تر بعد از Stuxnet، هیچ مهندس امنیتی نمیتواند بگوید «من فقط کد مینویسم»؛ زیرا تصمیمهای فنی او ممکن است پیامدهای سیاسی، زیستمحیطی، یا انسانی در سطح جهانی داشته باشند.
👏10❤4
استخدام SOC شرکت رایتل
شرایط احراز :
مدرک تحصیلی: کارشناسی در رشته های فناوری اطلاعات، مهندسی کامپیوتر، امنیت سایبری و سایر رشته های مرتبط
سابقه کار: 3 سال تجربه در حوزه امنیت اطلاعات یا SOC
توانایی کار در شیفتهای 24/12 و 36/12
روحیه کار تیمی بالا و دقت در جزئیات
تعهد به محرمانگی اطلاعات
آمادگی برای کار در شبها و تعطیلات و حضور در شرایط بحرانی
محل کار : تهرانسر-شهرک استقلال
شرح وظایف :
پایش و مانیتورینگ رویدادهای امنیتی در SIEM و سایر ابزارهای مانیتورینگ
شناسایی و گزارش اولیه رخدادهای مشکوک امنیتی
تحلیل اولیه هشدارها و تفکیک false Positive از واقعی
ارجاع (Escalate) رخدادهای مهم به سطوح Tier 2 یا Incident Response Team
پایش سلامت و در دسترس بودن سنسورها و Agentهای امنیتی
همکاری در به روزرسانی Playbookها و Runbook ها
مستندسازی فعالیتهای روزانه و ثبت رخدادها در سیستم Ticketing
دارای مهارت تدوین نامه ها و گزارشات فنی به کارشناس مافوق
مهارتها و دانش مورد نیاز :
آشنایی با مفاهیم پایه امنیت اطلاعات (CIA, Threat, Vulnerability, Incident, etc)
تسلط نسبی بر مفاهیم شبکه (TCP/IP, DNS, Firewall, Proxy, IDS/IPS, AD, LDAP)
آشنایی با Splunk
آشنایی با Windows Event Log و Linux Syslog
توانایی خواندن و درک لاگ های امنیتی مختلف
مهارت در مستندسازی و گزارش دهی
مهارتهای ترجیحی (Preferred / Nice to Have) امتیاز محسوب میشود
دارا بودن گواهینامه های مانند CompTIA Security+، CEH، یا SOC Analyst (Blue Team)
تجربه کار با EDR، NDR، یا SOAR
آشنایی با مفاهیم MITRE ATT&CK و Kill Chain
توانایی تحلیل اولیه Indicator های تهدید IP، Hash، URL
ارسال رزومه به ادمین کانال
#استخدام SOC
شرکت رایتل
شرایط احراز :
مدرک تحصیلی: کارشناسی در رشته های فناوری اطلاعات، مهندسی کامپیوتر، امنیت سایبری و سایر رشته های مرتبط
سابقه کار: 3 سال تجربه در حوزه امنیت اطلاعات یا SOC
توانایی کار در شیفتهای 24/12 و 36/12
روحیه کار تیمی بالا و دقت در جزئیات
تعهد به محرمانگی اطلاعات
آمادگی برای کار در شبها و تعطیلات و حضور در شرایط بحرانی
محل کار : تهرانسر-شهرک استقلال
شرح وظایف :
پایش و مانیتورینگ رویدادهای امنیتی در SIEM و سایر ابزارهای مانیتورینگ
شناسایی و گزارش اولیه رخدادهای مشکوک امنیتی
تحلیل اولیه هشدارها و تفکیک false Positive از واقعی
ارجاع (Escalate) رخدادهای مهم به سطوح Tier 2 یا Incident Response Team
پایش سلامت و در دسترس بودن سنسورها و Agentهای امنیتی
همکاری در به روزرسانی Playbookها و Runbook ها
مستندسازی فعالیتهای روزانه و ثبت رخدادها در سیستم Ticketing
دارای مهارت تدوین نامه ها و گزارشات فنی به کارشناس مافوق
مهارتها و دانش مورد نیاز :
آشنایی با مفاهیم پایه امنیت اطلاعات (CIA, Threat, Vulnerability, Incident, etc)
تسلط نسبی بر مفاهیم شبکه (TCP/IP, DNS, Firewall, Proxy, IDS/IPS, AD, LDAP)
آشنایی با Splunk
آشنایی با Windows Event Log و Linux Syslog
توانایی خواندن و درک لاگ های امنیتی مختلف
مهارت در مستندسازی و گزارش دهی
مهارتهای ترجیحی (Preferred / Nice to Have) امتیاز محسوب میشود
دارا بودن گواهینامه های مانند CompTIA Security+، CEH، یا SOC Analyst (Blue Team)
تجربه کار با EDR، NDR، یا SOAR
آشنایی با مفاهیم MITRE ATT&CK و Kill Chain
توانایی تحلیل اولیه Indicator های تهدید IP، Hash، URL
ارسال رزومه به ادمین کانال
#استخدام SOC
شرکت رایتل
❤5👍3🙏1💯1
Post-Quantum cryptography .pdf
1.3 MB
زنگ خطر
اطلاعات رمزنگاری شده شما درحال جمع آوری است تا با ظهور روشهای جدید و کامپیوتر های کوانتومی، بسرعت رمزگشایی گردد
Harvest now, use later
آمادگی لازم است
اطلاعات رمزنگاری شده شما درحال جمع آوری است تا با ظهور روشهای جدید و کامپیوتر های کوانتومی، بسرعت رمزگشایی گردد
Harvest now, use later
آمادگی لازم است
👍6⚡4
#امنیت_به_زبان_ساده
مقوله C2 چیست ؟
بحث C2 یا Command and Control یکی از اجزای اساسی در حملات سایبری پیشرفته (مانند APT) است که به مهاجم امکان میدهد پس از نفوذ اولیه، کنترل از راه دور بر سامانه قربانی حفظ کند. این سازوکار به عنوان یک کانال ارتباطی مخفیانه (Covert Channel) میان سیستم آلوده (Agent/Bot) و سرور مهاجم یا مادر (C2 Server) عمل میکند.
در معماری C2، معمولا Agent روی دستگاه قربانی نصب میشود و از طریق پروتکلهایی مانند HTTP/HTTPS، DNS، با سرور فرمان در تماس است. این ارتباط ممکن است Pull-based (کلاینت درخواست فرمان میدهد) یا Push-based (سرور مستقیماً فرمان ارسال میکند) باشد. هدف، حفظ پایداری و ماندگاری (Persistence) بدون شناسایی توسط سیستمهای دفاعی و اعمال دستورات از سرور مادر در آینده است.
ارتباطات C2 اغلب رمزگذاری یا استتار میشوند؛ به عنوان مثال، استفاده از TLS tunneling برای عبور از سیستم های تشخیص نفوذ رایج است.انواع معماریهای C2 شامل Centralized، Decentralized (P2P) و Multi-tier است. مهاجمان معمولاً برای افزایش ماندگاری از چندین fallback server یا cloud-based C2 استفاده میکنند.
از منظر دفاعی، تشخیص C2 یکی از وظایف حیاتی SOC است و با پایش anomalous DNS، beaconing intervals، unusual port usage، و TLS certificate anomalies انجام میشود.
قطع ارتباط C2 معمولاً مرحلهی مهمی برای قطع کامل زنجیرهی حمله (Kill Chain) محسوب میشود. اما اینکه چه زمان انجام شود به مدیر تیم IR شما وابسته است.
ثبت نام دوره SOC واتس اپ 09902857290
Www.haumoun.com
مقوله C2 چیست ؟
بحث C2 یا Command and Control یکی از اجزای اساسی در حملات سایبری پیشرفته (مانند APT) است که به مهاجم امکان میدهد پس از نفوذ اولیه، کنترل از راه دور بر سامانه قربانی حفظ کند. این سازوکار به عنوان یک کانال ارتباطی مخفیانه (Covert Channel) میان سیستم آلوده (Agent/Bot) و سرور مهاجم یا مادر (C2 Server) عمل میکند.
در معماری C2، معمولا Agent روی دستگاه قربانی نصب میشود و از طریق پروتکلهایی مانند HTTP/HTTPS، DNS، با سرور فرمان در تماس است. این ارتباط ممکن است Pull-based (کلاینت درخواست فرمان میدهد) یا Push-based (سرور مستقیماً فرمان ارسال میکند) باشد. هدف، حفظ پایداری و ماندگاری (Persistence) بدون شناسایی توسط سیستمهای دفاعی و اعمال دستورات از سرور مادر در آینده است.
ارتباطات C2 اغلب رمزگذاری یا استتار میشوند؛ به عنوان مثال، استفاده از TLS tunneling برای عبور از سیستم های تشخیص نفوذ رایج است.انواع معماریهای C2 شامل Centralized، Decentralized (P2P) و Multi-tier است. مهاجمان معمولاً برای افزایش ماندگاری از چندین fallback server یا cloud-based C2 استفاده میکنند.
از منظر دفاعی، تشخیص C2 یکی از وظایف حیاتی SOC است و با پایش anomalous DNS، beaconing intervals، unusual port usage، و TLS certificate anomalies انجام میشود.
قطع ارتباط C2 معمولاً مرحلهی مهمی برای قطع کامل زنجیرهی حمله (Kill Chain) محسوب میشود. اما اینکه چه زمان انجام شود به مدیر تیم IR شما وابسته است.
ثبت نام دوره SOC واتس اپ 09902857290
Www.haumoun.com
🔥6👍2💯1
Intel 471 _ Emerging Threat - Qilin Ransomware Group.pdf
703.2 KB
بحث تحلیلی یکی از حملات روز جهان از Intel 471
⚡5
Active Directory Security Event Monitoring.pdf
3.3 MB
شناسایی و کشف حملات علیه اکتیو دایرکتوری
❤6🙏2💯1
#امنیت_به_زبان_ساده
Cisco ISE (Identity Services Engine)
یک پلتفرم جامع کنترل دسترسی شبکه است که با ترکیب احراز هویت، مجوزدهی و ارزیابی وضعیت امنیتی دستگاهها، سیاستهای سازمان را بهصورت متمرکز اجرا میکند( چه دستگاههایی با چه خصوصیتی و چطور به شبکه وصل شوند) . این سامانه ابتدا هویت کاربر یا دستگاه را از طریق روشهایی مانند 802.1X، MAB یا WebAuth تأیید میکند و اعتبار آن را در برابر منابعی مثل Active Directory یا LDAP میسنجد. سپس بر اساس Policy تعریفشده، سطح دسترسی مناسب را اعطا یا محدود میکند و در صورت نیاز کاربر را به VLAN یا ناحیه قرنطینه هدایت مینماید.
وISE با قابلیت Posture Assessment سلامت سیستم را بررسی میکند (آپدیت آنتیویروس، فعالبودن فایروال، نصب پچها) و بهطور خودکار دستگاههای Guest یا BYOD را از طریق پورتال امن پشتیبانی میکند. همچنین با Device Profiling نوع دستگاه را شناسایی کرده و سیاست متناسب اعمال مینماید.
این سامانه گزارشگیری و نظارت امنیتی را برای تیم SOC/Network Security ساده کرده و امکان ادغام با محصولات دیگر Cisco مثل Firepower یا Stealthwatch را دارد. در مدل TrustSec نیز میتواند سیاستها را بر اساس برچسبهای امنیتی (SGT) در سراسر شبکه enforce کند.
🎯 با این ابزار شما از لایه دو به بالا بر ابزارهایی که به شبکه شما متصل میشوند و کاربران کنترل دارید.
💬 امنیت فقط کشف و SOC نیست! اقدامات پیشگیرانه هم بخشی از پوستر امنیت است.
#آکادمی_روزبه
Cisco ISE (Identity Services Engine)
یک پلتفرم جامع کنترل دسترسی شبکه است که با ترکیب احراز هویت، مجوزدهی و ارزیابی وضعیت امنیتی دستگاهها، سیاستهای سازمان را بهصورت متمرکز اجرا میکند( چه دستگاههایی با چه خصوصیتی و چطور به شبکه وصل شوند) . این سامانه ابتدا هویت کاربر یا دستگاه را از طریق روشهایی مانند 802.1X، MAB یا WebAuth تأیید میکند و اعتبار آن را در برابر منابعی مثل Active Directory یا LDAP میسنجد. سپس بر اساس Policy تعریفشده، سطح دسترسی مناسب را اعطا یا محدود میکند و در صورت نیاز کاربر را به VLAN یا ناحیه قرنطینه هدایت مینماید.
وISE با قابلیت Posture Assessment سلامت سیستم را بررسی میکند (آپدیت آنتیویروس، فعالبودن فایروال، نصب پچها) و بهطور خودکار دستگاههای Guest یا BYOD را از طریق پورتال امن پشتیبانی میکند. همچنین با Device Profiling نوع دستگاه را شناسایی کرده و سیاست متناسب اعمال مینماید.
این سامانه گزارشگیری و نظارت امنیتی را برای تیم SOC/Network Security ساده کرده و امکان ادغام با محصولات دیگر Cisco مثل Firepower یا Stealthwatch را دارد. در مدل TrustSec نیز میتواند سیاستها را بر اساس برچسبهای امنیتی (SGT) در سراسر شبکه enforce کند.
#آکادمی_روزبه
Please open Telegram to view this post
VIEW IN TELEGRAM
❤9🙏1💯1
#نکته_ریزه_در_امنیت
تقویت امنیت احراز هویت MAB در شبکههای سازمانی مبتنی بر Cisco ISE
در معماریهای شبکه سازمانی که از Cisco ISE (Identity Services Engine) برای کنترل دسترسی استفاده میکنند، روش MAB – MAC Authentication Bypass اغلب برای تجهیزاتی به کار میرود که از احراز هویت 802.1X پشتیبانی نمیکنند؛ مانند چاپگرها، تلفنهای IP یا تجهیزات IoT. این مکانیزم به سوئیچ اجازه میدهد با استفاده از آدرس MAC دستگاه، احراز هویت اولیه را انجام دهد. هرچند MAB ساده و سازگار با تجهیزات قدیمی است، اما ذاتاً ضعف امنیتی مهمی دارد: آدرس MAC را میتوان بهآسانی جعل (Spoof) کرد و مهاجم میتواند با تقلید MAC دستگاه مجاز، دسترسی غیرمجاز به شبکه بهدست آورد. این مسئله بهویژه در لایه دسترسی (Access Layer) خطرناک است، زیرا مهاجم مستقیماً به شبکه داخلی متصل میشود و ممکن است به منابع حساس دسترسی پیدا کند.
📊 برای کنترل این ریسک، باید MAB در کنار چندین لایه حفاظتی استفاده شود. نخستین اقدام، فعالسازی Device Profiling در ISE است تا نوع واقعی دستگاه بر اساس ویژگیهای شبکهای (DHCP، SNMP، LLDP Fingerprint) شناسایی شود و از ورود دستگاههای جعلشده جلوگیری گردد. سپس، تخصیص VLAN محدود (Restricted VLAN) برای همه دستگاههای MAB باعث میشود حتی در صورت حمله، دسترسی مهاجم به حداقل برسد. در سطح سوئیچ نیز باید از Port Security با تنظیم پارامترهایی مانند Sticky MAC و Maximum 1 MAC per Port استفاده کرد تا ورود MAC جدید غیرمجاز موجب غیرفعال شدن پورت شود.
افزونبر این، اجرای زمانبندی Re-authentication، محدود کردن مدت اعتبار نشستها، و بهکارگیری Cisco TrustSec SGT Tagging برای تفکیک منطقی جریانهای ترافیکی موجب کاهش سطح حمله و افزایش قابلیت کنترل میشود. ترکیب این ابزارها موجب میشود MAB- با وجود سادگی و ضعف ذاتی در برابر Spoofing-به روشی امنتر و قابل اعتماد برای شبکههای بزرگ تبدیل گردد.
🔭 متخصص کسی است که چالش را حل میکند. متخصص امنیت کسی است که برای دنیای پرچالش امنیت راهکارهای مقرون به صرفه در راستای بیزنس و قانون دارد ( بخشی از درس CISSP)
#آکادمی_روزبه
تقویت امنیت احراز هویت MAB در شبکههای سازمانی مبتنی بر Cisco ISE
در معماریهای شبکه سازمانی که از Cisco ISE (Identity Services Engine) برای کنترل دسترسی استفاده میکنند، روش MAB – MAC Authentication Bypass اغلب برای تجهیزاتی به کار میرود که از احراز هویت 802.1X پشتیبانی نمیکنند؛ مانند چاپگرها، تلفنهای IP یا تجهیزات IoT. این مکانیزم به سوئیچ اجازه میدهد با استفاده از آدرس MAC دستگاه، احراز هویت اولیه را انجام دهد. هرچند MAB ساده و سازگار با تجهیزات قدیمی است، اما ذاتاً ضعف امنیتی مهمی دارد: آدرس MAC را میتوان بهآسانی جعل (Spoof) کرد و مهاجم میتواند با تقلید MAC دستگاه مجاز، دسترسی غیرمجاز به شبکه بهدست آورد. این مسئله بهویژه در لایه دسترسی (Access Layer) خطرناک است، زیرا مهاجم مستقیماً به شبکه داخلی متصل میشود و ممکن است به منابع حساس دسترسی پیدا کند.
افزونبر این، اجرای زمانبندی Re-authentication، محدود کردن مدت اعتبار نشستها، و بهکارگیری Cisco TrustSec SGT Tagging برای تفکیک منطقی جریانهای ترافیکی موجب کاهش سطح حمله و افزایش قابلیت کنترل میشود. ترکیب این ابزارها موجب میشود MAB- با وجود سادگی و ضعف ذاتی در برابر Spoofing-به روشی امنتر و قابل اعتماد برای شبکههای بزرگ تبدیل گردد.
#آکادمی_روزبه
Please open Telegram to view this post
VIEW IN TELEGRAM
👏5👌3❤2🙏1💯1
درس امشب برای شما
#آکادمی_روزبه
NtfsAlternateDataStreams.pdf
https://www.winitor.com/pdf/NtfsAlternateDataStreams.pdf
#آکادمی_روزبه
NtfsAlternateDataStreams.pdf
https://www.winitor.com/pdf/NtfsAlternateDataStreams.pdf
❤5👌2🙏1💯1
و اما مقاله ای که امشب میخوانم
https://certcentral.org/training
بازی هکر ها در زمین سرتیفیکیت و کد ها
#آکادمی_روزبه
https://certcentral.org/training
بازی هکر ها در زمین سرتیفیکیت و کد ها
#آکادمی_روزبه
👌6❤1🙏1