در دنیای فارنزیک دیجیتال، گرفتن و تحلیل memory dump (یا همان تصویر حافظه RAM) از ویندوز کار نسبتاً جاافتادهای است.
اما وقتی نوبت به سیستمهای Linux میرسه، ابزارها، قالب دادهها، و ساختارهای کرنل آنقدر متنوع و غیراستاندارد هستند که پارس کردن (parse) درست حافظهی لینوکس تقریباً همیشه مشکلزاست.
مقاله توضیح میده که:
مشکلات، از ناهمگونی بین نسخههای کرنل و buildهای سفارشی شروع میشن؛
بعد به مسئلهی symbol درست نداشتن (kernel symbols) میرسه؛
و نهایتاً خطاهای ابزارهایی مثل Volatility یا Rekall در تفسیر ساختارهای task_struct، mm_struct، dentry و غیره رو بررسی میکنه.
آخرین برنامه های آکادمی روزبه را از واتس اپ زیر دریافت کنید 09902857290
Www.haumoun.com
https://memoryforensic.com/the-problem-with-parsing-linux-based-memory-dumps/
اما وقتی نوبت به سیستمهای Linux میرسه، ابزارها، قالب دادهها، و ساختارهای کرنل آنقدر متنوع و غیراستاندارد هستند که پارس کردن (parse) درست حافظهی لینوکس تقریباً همیشه مشکلزاست.
مقاله توضیح میده که:
مشکلات، از ناهمگونی بین نسخههای کرنل و buildهای سفارشی شروع میشن؛
بعد به مسئلهی symbol درست نداشتن (kernel symbols) میرسه؛
و نهایتاً خطاهای ابزارهایی مثل Volatility یا Rekall در تفسیر ساختارهای task_struct، mm_struct، dentry و غیره رو بررسی میکنه.
آخرین برنامه های آکادمی روزبه را از واتس اپ زیر دریافت کنید 09902857290
Www.haumoun.com
https://memoryforensic.com/the-problem-with-parsing-linux-based-memory-dumps/
❤3⚡2
تحلیل جامع نقش LLMها در قدرت اطلاعاتی جهانی
از منظر راهبردی، عصر جدید هوش مصنوعی بهویژه مدلهای زبانی بزرگ (LLMها) مانند ChatGPT، Gemini یا Claude را میتوان نقطهای از گذار تاریخی دانست که در آن «دانش» و «اطلاعات زبانی» همان نقشی را ایفا میکنند که نفت در قرن بیستم داشت. این فناوری، در ذات خود نهتنها یک ابزار فنی بلکه زیرساختی سیاسی و اقتصادی است که قدرت را در اختیار دارندگان داده و ظرفیت محاسباتی متمرکز میکند. از این زاویه، نگرانی دربارهی استفادهی LLMها برای حفظ سلطه و کنترل جهانی نهتنها بیپایه نیست بلکه از روندهای آشکار دو دهه گذشته تغذیه میکند.
در سطح فنی، LLMها از میلیونها سند، مکاتبه، گفتار و تعامل انسانی برای آموزش استفاده میکنند و از همین طریق قابلیت درک، پیشبینی و حتی بازسازی الگوهای فکری افراد و جوامع را مییابند. برخلاف موتورهای جستجو که فقط دادههای صریح جمعآوری میکنند، LLMها قادرند از میان زبان روزمره، «نقشهی شناختی» کاربران را استنباط کنند؛ یعنی بفهمند انسانها چه ارزشی را درک میکنند، چگونه تصمیم میگیرند، و چه چیزی برایشان اقناعکننده است. این قابلیت، بهویژه برای دولتها یا بلوکهای قدرتی که توان ذخیره، تحلیل و همپوشانی چنین دادههایی را دارند، ابزاری بالقوه برای پروفایلسازی شناختی جهانی فراهم میکند.
در سطح ژئوپلیتیک، توسعهی LLMها با تمرکز سرمایه و زیرساخت در چند کشور خاص همراه است. ایالات متحده، چین، و تا حدی اتحادیهی اروپا، مالک تقریباً تمام ابررایانهها و GPU فارمهای لازم برای آموزش مدلهای در مقیاس تریلیون پارامتر هستند. این تمرکز، عملاً به معنای حاکمیت دیجیتالی چندقطبی اما نامتوازن است؛ وضعیتی که در آن کشورهای فاقد زیرساخت نهتنها مصرفکنندهی داده و مدل میشوند بلکه روایتهای ذهنی و زبانی خود را نیز از فیلتر مدلهای بیگتک دریافت میکنند. نتیجه، شکلگیری «نظم نوین اطلاعاتی» است؛ نظمی که در آن، کنترل گفتمان عمومی و درک جمعی بیش از هر زمان تابع الگوریتمهایی میشود که ساختار آنها شفاف نیست.
از منظر اخلاق و حاکمیت فناوری، مسئله به «نیت» سازندگان برنمیگردد بلکه به عدم توازن شفافیت و پاسخگویی مرتبط است. حتی اگر هدف اولیهی تولید LLMها پیشبرد دانش و اقتصاد بوده، نتیجهی ناخواسته میتواند ایجاد ابزارهایی برای مهندسی شناخت و کنترل نرم باشد: از سانسور الگوریتمی گرفته تا همسویی محتوایی (alignment) که میتواند ذهن جمعی را شکل دهد یا پنهان کند. این همان مرحلهای است که مرز میان تحقیق علمی، منافع اقتصادی و امنیت ملی کاملاً درهممیآمیزد.
در مقابل، برخی استدلال میکنند که نگرانی از کنترل مطلق اغراقآمیز است، زیرا جوامع کاربری، قوانین حفظ حریم خصوصی، و جنبشهای منبع باز (مانند LLaMA، Mistral یا Falcon) میتوانند توازن ایجاد کنند. اما باید پذیرفت که این پروژههای باز نیز غالباً بر زیرساخت مالکیتی متکیاند و در سطح مدل، هنوز توان مقابله با هیولاهای اطلاعاتی چندملیتی را ندارند.
در جمعبندی، میتوان گفت LLMها ذاتاً برای جاسوسی یا سلطه ساخته نشدهاند، اما در ساختار فعلی قدرت، بهعنوان ابزار بالقوهی تسلط گفتمانی و شناختی جهان عمل میکنند. قدرت واقعی امروز نه در تملک اطلاعات، بلکه در مهندسی برداشت ذهنی از آن است و LLMها دقیقاً در همین نقطه ایستادهاند: مرز میان فهم و کنترل🛡
از منظر راهبردی، عصر جدید هوش مصنوعی بهویژه مدلهای زبانی بزرگ (LLMها) مانند ChatGPT، Gemini یا Claude را میتوان نقطهای از گذار تاریخی دانست که در آن «دانش» و «اطلاعات زبانی» همان نقشی را ایفا میکنند که نفت در قرن بیستم داشت. این فناوری، در ذات خود نهتنها یک ابزار فنی بلکه زیرساختی سیاسی و اقتصادی است که قدرت را در اختیار دارندگان داده و ظرفیت محاسباتی متمرکز میکند. از این زاویه، نگرانی دربارهی استفادهی LLMها برای حفظ سلطه و کنترل جهانی نهتنها بیپایه نیست بلکه از روندهای آشکار دو دهه گذشته تغذیه میکند.
در سطح فنی، LLMها از میلیونها سند، مکاتبه، گفتار و تعامل انسانی برای آموزش استفاده میکنند و از همین طریق قابلیت درک، پیشبینی و حتی بازسازی الگوهای فکری افراد و جوامع را مییابند. برخلاف موتورهای جستجو که فقط دادههای صریح جمعآوری میکنند، LLMها قادرند از میان زبان روزمره، «نقشهی شناختی» کاربران را استنباط کنند؛ یعنی بفهمند انسانها چه ارزشی را درک میکنند، چگونه تصمیم میگیرند، و چه چیزی برایشان اقناعکننده است. این قابلیت، بهویژه برای دولتها یا بلوکهای قدرتی که توان ذخیره، تحلیل و همپوشانی چنین دادههایی را دارند، ابزاری بالقوه برای پروفایلسازی شناختی جهانی فراهم میکند.
در سطح ژئوپلیتیک، توسعهی LLMها با تمرکز سرمایه و زیرساخت در چند کشور خاص همراه است. ایالات متحده، چین، و تا حدی اتحادیهی اروپا، مالک تقریباً تمام ابررایانهها و GPU فارمهای لازم برای آموزش مدلهای در مقیاس تریلیون پارامتر هستند. این تمرکز، عملاً به معنای حاکمیت دیجیتالی چندقطبی اما نامتوازن است؛ وضعیتی که در آن کشورهای فاقد زیرساخت نهتنها مصرفکنندهی داده و مدل میشوند بلکه روایتهای ذهنی و زبانی خود را نیز از فیلتر مدلهای بیگتک دریافت میکنند. نتیجه، شکلگیری «نظم نوین اطلاعاتی» است؛ نظمی که در آن، کنترل گفتمان عمومی و درک جمعی بیش از هر زمان تابع الگوریتمهایی میشود که ساختار آنها شفاف نیست.
از منظر اخلاق و حاکمیت فناوری، مسئله به «نیت» سازندگان برنمیگردد بلکه به عدم توازن شفافیت و پاسخگویی مرتبط است. حتی اگر هدف اولیهی تولید LLMها پیشبرد دانش و اقتصاد بوده، نتیجهی ناخواسته میتواند ایجاد ابزارهایی برای مهندسی شناخت و کنترل نرم باشد: از سانسور الگوریتمی گرفته تا همسویی محتوایی (alignment) که میتواند ذهن جمعی را شکل دهد یا پنهان کند. این همان مرحلهای است که مرز میان تحقیق علمی، منافع اقتصادی و امنیت ملی کاملاً درهممیآمیزد.
در مقابل، برخی استدلال میکنند که نگرانی از کنترل مطلق اغراقآمیز است، زیرا جوامع کاربری، قوانین حفظ حریم خصوصی، و جنبشهای منبع باز (مانند LLaMA، Mistral یا Falcon) میتوانند توازن ایجاد کنند. اما باید پذیرفت که این پروژههای باز نیز غالباً بر زیرساخت مالکیتی متکیاند و در سطح مدل، هنوز توان مقابله با هیولاهای اطلاعاتی چندملیتی را ندارند.
در جمعبندی، میتوان گفت LLMها ذاتاً برای جاسوسی یا سلطه ساخته نشدهاند، اما در ساختار فعلی قدرت، بهعنوان ابزار بالقوهی تسلط گفتمانی و شناختی جهان عمل میکنند. قدرت واقعی امروز نه در تملک اطلاعات، بلکه در مهندسی برداشت ذهنی از آن است و LLMها دقیقاً در همین نقطه ایستادهاند: مرز میان فهم و کنترل
Please open Telegram to view this post
VIEW IN TELEGRAM
💯5❤1👏1
چرا نمیتوان به تلمتری های EDR اعتماد کرد .
درباب نقد سایت زیر که بحث این روزها است از زاویه ای دیگر
https://www.edr-telemetry.com
سامانههای تشخیص و پاسخ در نقاط پایانی (EDR) با وعدهی "دید کامل" از طریق جمعآوری حجم وسیعی از دادههای تلهمتری، به سنگ بنای امنیت مدرن تبدیل شدند. با این حال، اتکای مطلق به این دادهها یک فرض خطرناک است، زیرا مهاجمان پیشرفته اکنون قادر به کور کردن، دستکاری و فریب عامل EDR هستند.
مشکل اصلی در این است که عامل EDR خود بر روی سیستمی اجرا میشود که ممکن است در معرض خطر قرار گیرد. مهاجمان با استفاده از تکنیکهای پیچیده، این منبع داده را غیرقابل اعتماد میکنند:
1. حملات سطح کرنل (Kernel-Level Attacks): با دسترسی به هسته سیستمعامل (Ring 0)، مهاجمان میتوانند قلابها (Hooks) و مکانیزمهای نظارتی EDR را مستقیماً حذف یا غیرفعال کنند. تکنیک BYOVD (Bring Your Own Vulnerable Driver) نمونه بارز این روش است که در آن از یک درایور امضاشده و آسیبپذیر برای خاموش کردن دفاع امنیتی استفاده میشود.
2. دور زدن در فضای کاربری (User-Space Evasion): روشهایی مانند فراخوانی مستقیم سیستمی (Direct System Calls) به بدافزار اجازه میدهند تا لایههای نظارتی EDR را کاملاً دور زده و فعالیتهای خود را بدون تولید هیچگونه تلهمتری انجام دهد.
پیامد این حملات، ایجاد یک حس امنیت کاذب و مرگبار است. تیمهای امنیتی ممکن است با تحقیقات ناقص مواجه شوند و حملات فعال را نادیده بگیرند، زیرا ابزار اصلی دیدهبانی آنها کور شده است.
راهبرد صحیح، پذیرش اصل "عدم اعتماد به یک منبع داده" است. تیمهای امنیتی باید تلهمتری EDR را به طور مداوم با منابع داده مستقل دیگر مانند لاگهای شبکه (NDR)، فایروالها و لاگهای بومی سیستمعامل همبستهسازی و راستیآزمایی کنند. همچنین، شکار تهدید فعال و تحلیل حافظه زنده (Memory Forensics) به ابزارهای ضروری برای کشف فعالیتهایی تبدیل شدهاند که از دید EDR پنهان ماندهاند.
درباب نقد سایت زیر که بحث این روزها است از زاویه ای دیگر
https://www.edr-telemetry.com
سامانههای تشخیص و پاسخ در نقاط پایانی (EDR) با وعدهی "دید کامل" از طریق جمعآوری حجم وسیعی از دادههای تلهمتری، به سنگ بنای امنیت مدرن تبدیل شدند. با این حال، اتکای مطلق به این دادهها یک فرض خطرناک است، زیرا مهاجمان پیشرفته اکنون قادر به کور کردن، دستکاری و فریب عامل EDR هستند.
مشکل اصلی در این است که عامل EDR خود بر روی سیستمی اجرا میشود که ممکن است در معرض خطر قرار گیرد. مهاجمان با استفاده از تکنیکهای پیچیده، این منبع داده را غیرقابل اعتماد میکنند:
1. حملات سطح کرنل (Kernel-Level Attacks): با دسترسی به هسته سیستمعامل (Ring 0)، مهاجمان میتوانند قلابها (Hooks) و مکانیزمهای نظارتی EDR را مستقیماً حذف یا غیرفعال کنند. تکنیک BYOVD (Bring Your Own Vulnerable Driver) نمونه بارز این روش است که در آن از یک درایور امضاشده و آسیبپذیر برای خاموش کردن دفاع امنیتی استفاده میشود.
2. دور زدن در فضای کاربری (User-Space Evasion): روشهایی مانند فراخوانی مستقیم سیستمی (Direct System Calls) به بدافزار اجازه میدهند تا لایههای نظارتی EDR را کاملاً دور زده و فعالیتهای خود را بدون تولید هیچگونه تلهمتری انجام دهد.
پیامد این حملات، ایجاد یک حس امنیت کاذب و مرگبار است. تیمهای امنیتی ممکن است با تحقیقات ناقص مواجه شوند و حملات فعال را نادیده بگیرند، زیرا ابزار اصلی دیدهبانی آنها کور شده است.
راهبرد صحیح، پذیرش اصل "عدم اعتماد به یک منبع داده" است. تیمهای امنیتی باید تلهمتری EDR را به طور مداوم با منابع داده مستقل دیگر مانند لاگهای شبکه (NDR)، فایروالها و لاگهای بومی سیستمعامل همبستهسازی و راستیآزمایی کنند. همچنین، شکار تهدید فعال و تحلیل حافظه زنده (Memory Forensics) به ابزارهای ضروری برای کشف فعالیتهایی تبدیل شدهاند که از دید EDR پنهان ماندهاند.
Edr-Telemetry
EDR Telemetry Project: Transparent Benchmarking & Telemetry Analysis for Businesses
Explore transparent, vendor-neutral EDR telemetry benchmarks. Make confident security decisions with real-world data and practical analysis for your business.
💯5👏1
۱-متخصص ادمین اسپلانک
۲-متخصص مجازی سازی، استوریج و بک آپ
ارسال رزومه به hr@haumoun.com
۲-متخصص مجازی سازی، استوریج و بک آپ
ارسال رزومه به hr@haumoun.com
❤6
آکادمی آموزش روزبه 📚
با توجه به نتایج نظر سنجی و درخواست ۵۰ درصد از شما تقدیم به ایران واتس اپ 09902857290
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6👍3🔥2
🟣و شروع عصر جدید امنیت
🔴 خطر در تصویر فوق : دقت کنید
✅️و اما ما در این وضع چه باید بکنیم ؟
ظهور ابزارهای هوش مصنوعی مخرب، صرفاً یک تهدید جدید نیست؛ بلکه یک تغییر پارادایم (Paradigm Shift) است که نیازمند تحول بنیادین در رویکردهای مهندسی کشف (Detection Engineering) و شکار تهدید (Threat Hunting) است.
تیمهای امنیتی دیگر نمیتوانند به روشهای سنتی تکیه کنند. در ادامه، تغییرات کلیدی که این دو حوزه باید اتخاذ کنند، به تفصیل شرح داده شده است:
۱. تحول در مهندسی کشف (Detection Engineering)
مهندسی کشف، که وظیفه ساخت و نگهداری سیستمهای هشداردهنده (Detection Rules) را بر عهده دارد، باید از رویکردهای ایستا به سمت رویکردهای پویا و رفتاری حرکت کند.
الف) گذار از شاخصهای نفوذ (IOCs) به سمت تاکتیکها، تکنیکها و رویهها (TTPs):
* مشکل رویکرد سنتی: بدافزارهای تولید شده توسط MalwareGPT یا WormGPT میتوانند چندریختی (Polymorphic)باشند. یعنی هر بار که تولید میشوند، هش (Hash) فایل، آدرس IP سرور کنترل و فرمان (C2)، و دیگر شاخصهای ایستا (IOCs) در آنها تغییر میکند. بنابراین، قوانین مبتنی بر IOC بلافاصله منسوخ میشوند.
* راه حل جدید: به جای تمرکز بر "چه چیزی" (What)، باید بر "چگونه" (How) تمرکز کرد. مهندسان کشف باید قوانینی بنویسند که رفتارها و الگوهای حمله را شناسایی کنند. این رفتارها در چارچوب MITRE ATT&CK دستهبندی میشوند.
* مثال:
* قانون قدیمی (مبتنی بر IOC): Alert if file hash =='abcde12345'
* قانون جدید (مبتنی بر TTP):Alert if a Microsoft Word process spawns a PowerShell process, which then makes an outbound network connection to a domain registered in the last 7 days.
این قانون، صرفنظر از اینکه بدافزار چیست، یک تکنیک رایج در زنجیره حمله را شناسایی میکند.
ب) استفاده از هوش مصنوعی و یادگیری ماشین برای دفاع (AI/ML for Defense):
مبارزه با هوش مصنوعی مهاجم، نیازمند هوش مصنوعی مدافع است.
* تحلیل رفتار کاربر و موجودیت (UEBA - User and Entity Behavior Analytics):سیستمهای UEBA یک خط مبنا (Baseline) از رفتار عادی کاربران و سیستمها ایجاد میکنند. ایمیل فیشینگ تولید شده توسط FraudGPT ممکن است بسیار متقاعدکننده باشد و کاربر را فریب دهد، اما UEBA میتواند رفتار غیرعادی کاربر پس از کلیک را شناسایی کند. مثلاً: "چرا حسابدار شرکت ناگهان در حال دسترسی به فایلهای سورس کد در ریپازیتوری توسعهدهندگان است؟"
* تشخیص ناهنجاری (Anomaly Detection):به جای جستجوی الگوهای "بد" شناختهشده، باید به دنبال هر چیزی بود که "عادی" نیست. این شامل ناهنجاری در ترافیک شبکه، استفاده از CPU، توالی فراخوانیهای API و... میشود.
ج) غنیسازی دادهها و تمرکز بر تلهمتری اندپوینت (Endpoint Telemetry):
برای تحلیل رفتاری، به دادههای غنی و با جزئیات نیاز است.
* فراتر از لاگها: صرفاً بررسی لاگ فایروال کافی نیست. مهندسان کشف به دادههای دقیق از Endpoint Detection and Response (EDR) نیاز دارند: ساختار درختی فرآیندها (Process Tree)، آرگومانهای خط فرمان (Command-line Arguments)، تغییرات رجیستری، و فراخوانیهای سیستمی. این دادهها زمینه (Context) لازم برای شناسایی TTPها را فراهم میکنند.
د) آزمایش مداوم قوانین با حملات شبیهسازیشده (Adversary Emulation):
* تیمهای امنیتی باید از ابزارهای هوش مصنوعی (حتی ابزارهای قانونی مانند ChatGPT) برای تولید کدهای حمله و ایمیلهای فیشینگ استفاده کنند و با آنها سیستمهای دفاعی و قوانین کشف خود را بیازمایند. این کار یک حلقه بازخورد مداوم برای بهبود دفاع ایجاد میکند.
۲. تحول در شکار تهدید (Threat Hunting)
شکار تهدید یک فرآیند کنشگرانه (Proactive) برای یافتن تهدیداتی است که از سیستمهای دفاعی خودکار عبور کردهاند. این حوزه نیز باید متحول شود.
الف) فرضیههای شکار مبتنی بر قابلیتهای هوش مصنوعی مهاجم:
شکارچیان تهدید باید فرضیههای خود را بر اساس آنچه ابزارهای مخرب AI قادر به انجام آن هستند، تنظیم کنند.
* فرضیه قدیمی: "یک مهاجم ممکن است از ابزار شناختهشده Mimikatz برای سرقت اعتبارنامهها استفاده کند."
* فرضیه جدید:"یک مهاجم ممکن است با استفاده از WormGPT یک اسکریپت سفارشی و مبهمسازیشده (Obfuscated) برای اجرای تکنیکهای Living-off-the-Land (استفاده از ابزارهای موجود در خود سیستمعامل) ایجاد کرده باشد. بیایید به دنبال اجرای غیرعادی PowerShell،WMI یا Bitsadmin` بگردیم که توسط فرآیندهای غیرمرتبط (مانند یک فایل PDF) آغاز شدهاند."
ب) شکار الگوهای "غیرانسانی" در محتوا و کد:
ادامه دارد👇👇
✅️و اما ما در این وضع چه باید بکنیم ؟
ظهور ابزارهای هوش مصنوعی مخرب، صرفاً یک تهدید جدید نیست؛ بلکه یک تغییر پارادایم (Paradigm Shift) است که نیازمند تحول بنیادین در رویکردهای مهندسی کشف (Detection Engineering) و شکار تهدید (Threat Hunting) است.
تیمهای امنیتی دیگر نمیتوانند به روشهای سنتی تکیه کنند. در ادامه، تغییرات کلیدی که این دو حوزه باید اتخاذ کنند، به تفصیل شرح داده شده است:
۱. تحول در مهندسی کشف (Detection Engineering)
مهندسی کشف، که وظیفه ساخت و نگهداری سیستمهای هشداردهنده (Detection Rules) را بر عهده دارد، باید از رویکردهای ایستا به سمت رویکردهای پویا و رفتاری حرکت کند.
الف) گذار از شاخصهای نفوذ (IOCs) به سمت تاکتیکها، تکنیکها و رویهها (TTPs):
* مشکل رویکرد سنتی: بدافزارهای تولید شده توسط MalwareGPT یا WormGPT میتوانند چندریختی (Polymorphic)باشند. یعنی هر بار که تولید میشوند، هش (Hash) فایل، آدرس IP سرور کنترل و فرمان (C2)، و دیگر شاخصهای ایستا (IOCs) در آنها تغییر میکند. بنابراین، قوانین مبتنی بر IOC بلافاصله منسوخ میشوند.
* راه حل جدید: به جای تمرکز بر "چه چیزی" (What)، باید بر "چگونه" (How) تمرکز کرد. مهندسان کشف باید قوانینی بنویسند که رفتارها و الگوهای حمله را شناسایی کنند. این رفتارها در چارچوب MITRE ATT&CK دستهبندی میشوند.
* مثال:
* قانون قدیمی (مبتنی بر IOC): Alert if file hash =='abcde12345'
* قانون جدید (مبتنی بر TTP):Alert if a Microsoft Word process spawns a PowerShell process, which then makes an outbound network connection to a domain registered in the last 7 days.
این قانون، صرفنظر از اینکه بدافزار چیست، یک تکنیک رایج در زنجیره حمله را شناسایی میکند.
ب) استفاده از هوش مصنوعی و یادگیری ماشین برای دفاع (AI/ML for Defense):
مبارزه با هوش مصنوعی مهاجم، نیازمند هوش مصنوعی مدافع است.
* تحلیل رفتار کاربر و موجودیت (UEBA - User and Entity Behavior Analytics):سیستمهای UEBA یک خط مبنا (Baseline) از رفتار عادی کاربران و سیستمها ایجاد میکنند. ایمیل فیشینگ تولید شده توسط FraudGPT ممکن است بسیار متقاعدکننده باشد و کاربر را فریب دهد، اما UEBA میتواند رفتار غیرعادی کاربر پس از کلیک را شناسایی کند. مثلاً: "چرا حسابدار شرکت ناگهان در حال دسترسی به فایلهای سورس کد در ریپازیتوری توسعهدهندگان است؟"
* تشخیص ناهنجاری (Anomaly Detection):به جای جستجوی الگوهای "بد" شناختهشده، باید به دنبال هر چیزی بود که "عادی" نیست. این شامل ناهنجاری در ترافیک شبکه، استفاده از CPU، توالی فراخوانیهای API و... میشود.
ج) غنیسازی دادهها و تمرکز بر تلهمتری اندپوینت (Endpoint Telemetry):
برای تحلیل رفتاری، به دادههای غنی و با جزئیات نیاز است.
* فراتر از لاگها: صرفاً بررسی لاگ فایروال کافی نیست. مهندسان کشف به دادههای دقیق از Endpoint Detection and Response (EDR) نیاز دارند: ساختار درختی فرآیندها (Process Tree)، آرگومانهای خط فرمان (Command-line Arguments)، تغییرات رجیستری، و فراخوانیهای سیستمی. این دادهها زمینه (Context) لازم برای شناسایی TTPها را فراهم میکنند.
د) آزمایش مداوم قوانین با حملات شبیهسازیشده (Adversary Emulation):
* تیمهای امنیتی باید از ابزارهای هوش مصنوعی (حتی ابزارهای قانونی مانند ChatGPT) برای تولید کدهای حمله و ایمیلهای فیشینگ استفاده کنند و با آنها سیستمهای دفاعی و قوانین کشف خود را بیازمایند. این کار یک حلقه بازخورد مداوم برای بهبود دفاع ایجاد میکند.
۲. تحول در شکار تهدید (Threat Hunting)
شکار تهدید یک فرآیند کنشگرانه (Proactive) برای یافتن تهدیداتی است که از سیستمهای دفاعی خودکار عبور کردهاند. این حوزه نیز باید متحول شود.
الف) فرضیههای شکار مبتنی بر قابلیتهای هوش مصنوعی مهاجم:
شکارچیان تهدید باید فرضیههای خود را بر اساس آنچه ابزارهای مخرب AI قادر به انجام آن هستند، تنظیم کنند.
* فرضیه قدیمی: "یک مهاجم ممکن است از ابزار شناختهشده Mimikatz برای سرقت اعتبارنامهها استفاده کند."
* فرضیه جدید:"یک مهاجم ممکن است با استفاده از WormGPT یک اسکریپت سفارشی و مبهمسازیشده (Obfuscated) برای اجرای تکنیکهای Living-off-the-Land (استفاده از ابزارهای موجود در خود سیستمعامل) ایجاد کرده باشد. بیایید به دنبال اجرای غیرعادی PowerShell،WMI یا Bitsadmin` بگردیم که توسط فرآیندهای غیرمرتبط (مانند یک فایل PDF) آغاز شدهاند."
ب) شکار الگوهای "غیرانسانی" در محتوا و کد:
ادامه دارد👇👇
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6🔥5
آکادمی آموزش روزبه 📚
🟣و شروع عصر جدید امنیت 🔴 خطر در تصویر فوق : دقت کنید ✅️و اما ما در این وضع چه باید بکنیم ؟ ظهور ابزارهای هوش مصنوعی مخرب، صرفاً یک تهدید جدید نیست؛ بلکه یک تغییر پارادایم (Paradigm Shift) است که نیازمند تحول بنیادین در رویکردهای مهندسی کشف (Detection Engineering)…
* کدنویسی: کدهای تولید شده توسط هوش مصنوعی ممکن است الگوهای خاصی داشته باشند: استفاده بیش از حد از یک ساختار خاص، نامگذاری متغیرهای عجیب، یا عدم وجود کامنت. شکارچیان میتوانند به دنبال این ناهنجاریهای آماری در اسکریپتها و فایلهای اجرایی باشند.
* زبان و ارتباطات: ایمیلهای فیشینگ تولید شده توسط AI ممکن است از نظر گرامری بینقص باشند، اما شاید در استفاده از اصطلاحات خاص یک سازمان یا لحن طبیعی یک مدیر، دچار خطا شوند. شکارچیان میتوانند به دنبال ایمیلهایی بگردند که "بیش از حد رسمی" یا "کمی عجیب" به نظر میرسند و آنها را با تاریخچه ارتباطات آن فرستنده مقایسه کنند.
ج) تمرکز بر مراحل اولیه زنجیره حمله (Kill Chain):
ابزارهایی مانند
* شکارچیان تهدید باید به دنبال نشانههای شناسایی خودکار باشند. مثلاً، آیا پروفایلهای لینکدین چندین کارمند به صورت همزمان و از یک محدوده IP غیرعادی بازدید شده است؟ آیا تلاشهای لاگین ناموفق با الگوهای خاصی (مثلاً استفاده از نام کاربری + نام شرکت + ۱۲۳) در حال وقوع است؟
د) ادغام هوش تهدید (Threat Intelligence) از منابع زیرزمینی:
* شکارچیان باید از نامها و قابلیتهای ذکر شده در اینفوگرافیک (مانند
نتیجهگیری: تغییر ذهنیت اساسی
گذار اصلی، حرکت از یک ذهنیت واکنشی و مبتنی بر امضا (Signature-based) به یک ذهنیت کنشگرانه، رفتاری و مبتنی بر زمینه (Context-aware) است.
* دفاع استاتیک مرده است:دیگر نمیتوان دیوارهایی ساخت و انتظار داشت مهاجمان از آن عبور نکنند.
* دفاع پویا و هوشمند: دفاع باید مانند یک سیستم ایمنی عمل کند؛ دائماً محیط را رصد کرده، رفتارها را تحلیل کند و به دنبال هرگونه ناهنجاری بگردد، حتی اگر قبلاً آن تهدید خاص را ندیده باشد.
در این نبرد جدید، خلاقیت و شهود انسانی یک شکارچی تهدید، در ترکیب با قدرت تحلیل داده هوش مصنوعی مدافع، به مهمترین سلاح برای مقابله با تهدیدات هوشمند و خودکار تبدیل خواهد شد.
#آکادمی_روزبه
🔴 زمان تغییر در SOC و ساختار امنیت سازمانهای ایرانی فرا رسیده است . این پایانی بر روش معمول حفاظت و پایش است .
دیر بجنبید تمام است
* زبان و ارتباطات: ایمیلهای فیشینگ تولید شده توسط AI ممکن است از نظر گرامری بینقص باشند، اما شاید در استفاده از اصطلاحات خاص یک سازمان یا لحن طبیعی یک مدیر، دچار خطا شوند. شکارچیان میتوانند به دنبال ایمیلهایی بگردند که "بیش از حد رسمی" یا "کمی عجیب" به نظر میرسند و آنها را با تاریخچه ارتباطات آن فرستنده مقایسه کنند.
ج) تمرکز بر مراحل اولیه زنجیره حمله (Kill Chain):
ابزارهایی مانند
WormGPT و Xanthorox در تحقیق و شناسایی (Reconnaissance) بسیار قدرتمند هستند.* شکارچیان تهدید باید به دنبال نشانههای شناسایی خودکار باشند. مثلاً، آیا پروفایلهای لینکدین چندین کارمند به صورت همزمان و از یک محدوده IP غیرعادی بازدید شده است؟ آیا تلاشهای لاگین ناموفق با الگوهای خاصی (مثلاً استفاده از نام کاربری + نام شرکت + ۱۲۳) در حال وقوع است؟
د) ادغام هوش تهدید (Threat Intelligence) از منابع زیرزمینی:
* شکارچیان باید از نامها و قابلیتهای ذکر شده در اینفوگرافیک (مانند
FraudGPT, LoopGPT) به عنوان کلیدواژه استفاده کنند. رصد انجمنهای زیرزمینی (در چارچوب قانونی و اخلاقی) برای درک اینکه این ابزارها چگونه به فروش میرسند، چه قابلیتهای جدیدی پیدا کردهاند و چه TTPهایی با آنها اجرا میشود، میتواند منبعی غنی برای ساخت فرضیههای شکار باشد.نتیجهگیری: تغییر ذهنیت اساسی
گذار اصلی، حرکت از یک ذهنیت واکنشی و مبتنی بر امضا (Signature-based) به یک ذهنیت کنشگرانه، رفتاری و مبتنی بر زمینه (Context-aware) است.
* دفاع استاتیک مرده است:دیگر نمیتوان دیوارهایی ساخت و انتظار داشت مهاجمان از آن عبور نکنند.
* دفاع پویا و هوشمند: دفاع باید مانند یک سیستم ایمنی عمل کند؛ دائماً محیط را رصد کرده، رفتارها را تحلیل کند و به دنبال هرگونه ناهنجاری بگردد، حتی اگر قبلاً آن تهدید خاص را ندیده باشد.
در این نبرد جدید، خلاقیت و شهود انسانی یک شکارچی تهدید، در ترکیب با قدرت تحلیل داده هوش مصنوعی مدافع، به مهمترین سلاح برای مقابله با تهدیدات هوشمند و خودکار تبدیل خواهد شد.
#آکادمی_روزبه
دیر بجنبید تمام است
Please open Telegram to view this post
VIEW IN TELEGRAM
👏7👌5
اخلاق در فناوری
گذری از Stuxnet تا اخلاق
روزبه نوروزی
در سال ۲۰۱۰، با کشف بدافزار Stuxnet ؛ پروژهای منتسب به همکاری فنی میان ایالات متحده و اسرائیل برای تخریب تجهیزات سانتریفیوژ هستهای ایران ؛ دنیای امنیت اطلاعات با یکی از نخستین موارد آشکار جنگ سایبری دولتی روبهرو شد. این رویداد نهتنها مرز میان امنیت سیستم و حمله هدفمند را برداشت، بلکه بحثهای اخلاقی عمیقی را پیرامون نقش مهندسان در عملیات سایبری تحت فرمان دولتها برانگیخت.
در مجامع بینالمللی مانند نشستهای تالین (Tallinn) و گفتوگوهای ژنو درباره رفتار مسئولانه در فضای سایبری (Geneva Dialogue)، پرسش کلیدی مطرح شد: آیا مهندس امنیتی که به طراحی یا پیادهسازی ابزاری برای تخریب زیرساخت حیاتی کشور دیگر کمک میکند، در برابر پیامدهای انسانی، اقتصادی یا زیستمحیطی آن مسئولیت حرفهای دارد؟
تحلیلهای حاصل از این نشستها نشان میدهد که طبق اصول اخلاقی CISSP (Protect Society, Common Good, and Trust)، مرز بین «وظیفه ملی» و «استقلال حرفهای» باید بهصورت روشن تعریف شود. بسیاری از متخصصان باور دارند که حتی در مأموریتهای دولتی، معیار اخلاق حرفهای نباید فدای هدف راهبردی شود؛ زیرا بیتوجهی به پیامدهای گستردهٔ حملهٔ سایبری، میتواند اساس اعتماد دیجیتال جهانی را تضعیف کند.
مطالعات بعدی از جمله پژوهش CCDCOE در ۲۰۱۷ تأیید کردند که Stuxnet موجب ایجاد دکترین جدید جنگ سایبری شد؛ که اخلاق مهندسی امنیت را از حوزهٔ فنی به سطح تصمیمگیری ژئوپلیتیکی ارتقا داد.
به بیان ساده تر بعد از Stuxnet، هیچ مهندس امنیتی نمیتواند بگوید «من فقط کد مینویسم»؛ زیرا تصمیمهای فنی او ممکن است پیامدهای سیاسی، زیستمحیطی، یا انسانی در سطح جهانی داشته باشند.
گذری از Stuxnet تا اخلاق
روزبه نوروزی
در سال ۲۰۱۰، با کشف بدافزار Stuxnet ؛ پروژهای منتسب به همکاری فنی میان ایالات متحده و اسرائیل برای تخریب تجهیزات سانتریفیوژ هستهای ایران ؛ دنیای امنیت اطلاعات با یکی از نخستین موارد آشکار جنگ سایبری دولتی روبهرو شد. این رویداد نهتنها مرز میان امنیت سیستم و حمله هدفمند را برداشت، بلکه بحثهای اخلاقی عمیقی را پیرامون نقش مهندسان در عملیات سایبری تحت فرمان دولتها برانگیخت.
در مجامع بینالمللی مانند نشستهای تالین (Tallinn) و گفتوگوهای ژنو درباره رفتار مسئولانه در فضای سایبری (Geneva Dialogue)، پرسش کلیدی مطرح شد: آیا مهندس امنیتی که به طراحی یا پیادهسازی ابزاری برای تخریب زیرساخت حیاتی کشور دیگر کمک میکند، در برابر پیامدهای انسانی، اقتصادی یا زیستمحیطی آن مسئولیت حرفهای دارد؟
تحلیلهای حاصل از این نشستها نشان میدهد که طبق اصول اخلاقی CISSP (Protect Society, Common Good, and Trust)، مرز بین «وظیفه ملی» و «استقلال حرفهای» باید بهصورت روشن تعریف شود. بسیاری از متخصصان باور دارند که حتی در مأموریتهای دولتی، معیار اخلاق حرفهای نباید فدای هدف راهبردی شود؛ زیرا بیتوجهی به پیامدهای گستردهٔ حملهٔ سایبری، میتواند اساس اعتماد دیجیتال جهانی را تضعیف کند.
مطالعات بعدی از جمله پژوهش CCDCOE در ۲۰۱۷ تأیید کردند که Stuxnet موجب ایجاد دکترین جدید جنگ سایبری شد؛ که اخلاق مهندسی امنیت را از حوزهٔ فنی به سطح تصمیمگیری ژئوپلیتیکی ارتقا داد.
به بیان ساده تر بعد از Stuxnet، هیچ مهندس امنیتی نمیتواند بگوید «من فقط کد مینویسم»؛ زیرا تصمیمهای فنی او ممکن است پیامدهای سیاسی، زیستمحیطی، یا انسانی در سطح جهانی داشته باشند.
👏10❤4
استخدام SOC شرکت رایتل
شرایط احراز :
مدرک تحصیلی: کارشناسی در رشته های فناوری اطلاعات، مهندسی کامپیوتر، امنیت سایبری و سایر رشته های مرتبط
سابقه کار: 3 سال تجربه در حوزه امنیت اطلاعات یا SOC
توانایی کار در شیفتهای 24/12 و 36/12
روحیه کار تیمی بالا و دقت در جزئیات
تعهد به محرمانگی اطلاعات
آمادگی برای کار در شبها و تعطیلات و حضور در شرایط بحرانی
محل کار : تهرانسر-شهرک استقلال
شرح وظایف :
پایش و مانیتورینگ رویدادهای امنیتی در SIEM و سایر ابزارهای مانیتورینگ
شناسایی و گزارش اولیه رخدادهای مشکوک امنیتی
تحلیل اولیه هشدارها و تفکیک false Positive از واقعی
ارجاع (Escalate) رخدادهای مهم به سطوح Tier 2 یا Incident Response Team
پایش سلامت و در دسترس بودن سنسورها و Agentهای امنیتی
همکاری در به روزرسانی Playbookها و Runbook ها
مستندسازی فعالیتهای روزانه و ثبت رخدادها در سیستم Ticketing
دارای مهارت تدوین نامه ها و گزارشات فنی به کارشناس مافوق
مهارتها و دانش مورد نیاز :
آشنایی با مفاهیم پایه امنیت اطلاعات (CIA, Threat, Vulnerability, Incident, etc)
تسلط نسبی بر مفاهیم شبکه (TCP/IP, DNS, Firewall, Proxy, IDS/IPS, AD, LDAP)
آشنایی با Splunk
آشنایی با Windows Event Log و Linux Syslog
توانایی خواندن و درک لاگ های امنیتی مختلف
مهارت در مستندسازی و گزارش دهی
مهارتهای ترجیحی (Preferred / Nice to Have) امتیاز محسوب میشود
دارا بودن گواهینامه های مانند CompTIA Security+، CEH، یا SOC Analyst (Blue Team)
تجربه کار با EDR، NDR، یا SOAR
آشنایی با مفاهیم MITRE ATT&CK و Kill Chain
توانایی تحلیل اولیه Indicator های تهدید IP، Hash، URL
ارسال رزومه به ادمین کانال
#استخدام SOC
شرکت رایتل
شرایط احراز :
مدرک تحصیلی: کارشناسی در رشته های فناوری اطلاعات، مهندسی کامپیوتر، امنیت سایبری و سایر رشته های مرتبط
سابقه کار: 3 سال تجربه در حوزه امنیت اطلاعات یا SOC
توانایی کار در شیفتهای 24/12 و 36/12
روحیه کار تیمی بالا و دقت در جزئیات
تعهد به محرمانگی اطلاعات
آمادگی برای کار در شبها و تعطیلات و حضور در شرایط بحرانی
محل کار : تهرانسر-شهرک استقلال
شرح وظایف :
پایش و مانیتورینگ رویدادهای امنیتی در SIEM و سایر ابزارهای مانیتورینگ
شناسایی و گزارش اولیه رخدادهای مشکوک امنیتی
تحلیل اولیه هشدارها و تفکیک false Positive از واقعی
ارجاع (Escalate) رخدادهای مهم به سطوح Tier 2 یا Incident Response Team
پایش سلامت و در دسترس بودن سنسورها و Agentهای امنیتی
همکاری در به روزرسانی Playbookها و Runbook ها
مستندسازی فعالیتهای روزانه و ثبت رخدادها در سیستم Ticketing
دارای مهارت تدوین نامه ها و گزارشات فنی به کارشناس مافوق
مهارتها و دانش مورد نیاز :
آشنایی با مفاهیم پایه امنیت اطلاعات (CIA, Threat, Vulnerability, Incident, etc)
تسلط نسبی بر مفاهیم شبکه (TCP/IP, DNS, Firewall, Proxy, IDS/IPS, AD, LDAP)
آشنایی با Splunk
آشنایی با Windows Event Log و Linux Syslog
توانایی خواندن و درک لاگ های امنیتی مختلف
مهارت در مستندسازی و گزارش دهی
مهارتهای ترجیحی (Preferred / Nice to Have) امتیاز محسوب میشود
دارا بودن گواهینامه های مانند CompTIA Security+، CEH، یا SOC Analyst (Blue Team)
تجربه کار با EDR، NDR، یا SOAR
آشنایی با مفاهیم MITRE ATT&CK و Kill Chain
توانایی تحلیل اولیه Indicator های تهدید IP، Hash، URL
ارسال رزومه به ادمین کانال
#استخدام SOC
شرکت رایتل
❤5👍3🙏1💯1
Post-Quantum cryptography .pdf
1.3 MB
زنگ خطر
اطلاعات رمزنگاری شده شما درحال جمع آوری است تا با ظهور روشهای جدید و کامپیوتر های کوانتومی، بسرعت رمزگشایی گردد
Harvest now, use later
آمادگی لازم است
اطلاعات رمزنگاری شده شما درحال جمع آوری است تا با ظهور روشهای جدید و کامپیوتر های کوانتومی، بسرعت رمزگشایی گردد
Harvest now, use later
آمادگی لازم است
👍6⚡4
#امنیت_به_زبان_ساده
مقوله C2 چیست ؟
بحث C2 یا Command and Control یکی از اجزای اساسی در حملات سایبری پیشرفته (مانند APT) است که به مهاجم امکان میدهد پس از نفوذ اولیه، کنترل از راه دور بر سامانه قربانی حفظ کند. این سازوکار به عنوان یک کانال ارتباطی مخفیانه (Covert Channel) میان سیستم آلوده (Agent/Bot) و سرور مهاجم یا مادر (C2 Server) عمل میکند.
در معماری C2، معمولا Agent روی دستگاه قربانی نصب میشود و از طریق پروتکلهایی مانند HTTP/HTTPS، DNS، با سرور فرمان در تماس است. این ارتباط ممکن است Pull-based (کلاینت درخواست فرمان میدهد) یا Push-based (سرور مستقیماً فرمان ارسال میکند) باشد. هدف، حفظ پایداری و ماندگاری (Persistence) بدون شناسایی توسط سیستمهای دفاعی و اعمال دستورات از سرور مادر در آینده است.
ارتباطات C2 اغلب رمزگذاری یا استتار میشوند؛ به عنوان مثال، استفاده از TLS tunneling برای عبور از سیستم های تشخیص نفوذ رایج است.انواع معماریهای C2 شامل Centralized، Decentralized (P2P) و Multi-tier است. مهاجمان معمولاً برای افزایش ماندگاری از چندین fallback server یا cloud-based C2 استفاده میکنند.
از منظر دفاعی، تشخیص C2 یکی از وظایف حیاتی SOC است و با پایش anomalous DNS، beaconing intervals، unusual port usage، و TLS certificate anomalies انجام میشود.
قطع ارتباط C2 معمولاً مرحلهی مهمی برای قطع کامل زنجیرهی حمله (Kill Chain) محسوب میشود. اما اینکه چه زمان انجام شود به مدیر تیم IR شما وابسته است.
ثبت نام دوره SOC واتس اپ 09902857290
Www.haumoun.com
مقوله C2 چیست ؟
بحث C2 یا Command and Control یکی از اجزای اساسی در حملات سایبری پیشرفته (مانند APT) است که به مهاجم امکان میدهد پس از نفوذ اولیه، کنترل از راه دور بر سامانه قربانی حفظ کند. این سازوکار به عنوان یک کانال ارتباطی مخفیانه (Covert Channel) میان سیستم آلوده (Agent/Bot) و سرور مهاجم یا مادر (C2 Server) عمل میکند.
در معماری C2، معمولا Agent روی دستگاه قربانی نصب میشود و از طریق پروتکلهایی مانند HTTP/HTTPS، DNS، با سرور فرمان در تماس است. این ارتباط ممکن است Pull-based (کلاینت درخواست فرمان میدهد) یا Push-based (سرور مستقیماً فرمان ارسال میکند) باشد. هدف، حفظ پایداری و ماندگاری (Persistence) بدون شناسایی توسط سیستمهای دفاعی و اعمال دستورات از سرور مادر در آینده است.
ارتباطات C2 اغلب رمزگذاری یا استتار میشوند؛ به عنوان مثال، استفاده از TLS tunneling برای عبور از سیستم های تشخیص نفوذ رایج است.انواع معماریهای C2 شامل Centralized، Decentralized (P2P) و Multi-tier است. مهاجمان معمولاً برای افزایش ماندگاری از چندین fallback server یا cloud-based C2 استفاده میکنند.
از منظر دفاعی، تشخیص C2 یکی از وظایف حیاتی SOC است و با پایش anomalous DNS، beaconing intervals، unusual port usage، و TLS certificate anomalies انجام میشود.
قطع ارتباط C2 معمولاً مرحلهی مهمی برای قطع کامل زنجیرهی حمله (Kill Chain) محسوب میشود. اما اینکه چه زمان انجام شود به مدیر تیم IR شما وابسته است.
ثبت نام دوره SOC واتس اپ 09902857290
Www.haumoun.com
🔥6👍2💯1
Intel 471 _ Emerging Threat - Qilin Ransomware Group.pdf
703.2 KB
بحث تحلیلی یکی از حملات روز جهان از Intel 471
⚡5
Active Directory Security Event Monitoring.pdf
3.3 MB
شناسایی و کشف حملات علیه اکتیو دایرکتوری
❤6🙏2💯1
#امنیت_به_زبان_ساده
Cisco ISE (Identity Services Engine)
یک پلتفرم جامع کنترل دسترسی شبکه است که با ترکیب احراز هویت، مجوزدهی و ارزیابی وضعیت امنیتی دستگاهها، سیاستهای سازمان را بهصورت متمرکز اجرا میکند( چه دستگاههایی با چه خصوصیتی و چطور به شبکه وصل شوند) . این سامانه ابتدا هویت کاربر یا دستگاه را از طریق روشهایی مانند 802.1X، MAB یا WebAuth تأیید میکند و اعتبار آن را در برابر منابعی مثل Active Directory یا LDAP میسنجد. سپس بر اساس Policy تعریفشده، سطح دسترسی مناسب را اعطا یا محدود میکند و در صورت نیاز کاربر را به VLAN یا ناحیه قرنطینه هدایت مینماید.
وISE با قابلیت Posture Assessment سلامت سیستم را بررسی میکند (آپدیت آنتیویروس، فعالبودن فایروال، نصب پچها) و بهطور خودکار دستگاههای Guest یا BYOD را از طریق پورتال امن پشتیبانی میکند. همچنین با Device Profiling نوع دستگاه را شناسایی کرده و سیاست متناسب اعمال مینماید.
این سامانه گزارشگیری و نظارت امنیتی را برای تیم SOC/Network Security ساده کرده و امکان ادغام با محصولات دیگر Cisco مثل Firepower یا Stealthwatch را دارد. در مدل TrustSec نیز میتواند سیاستها را بر اساس برچسبهای امنیتی (SGT) در سراسر شبکه enforce کند.
🎯 با این ابزار شما از لایه دو به بالا بر ابزارهایی که به شبکه شما متصل میشوند و کاربران کنترل دارید.
💬 امنیت فقط کشف و SOC نیست! اقدامات پیشگیرانه هم بخشی از پوستر امنیت است.
#آکادمی_روزبه
Cisco ISE (Identity Services Engine)
یک پلتفرم جامع کنترل دسترسی شبکه است که با ترکیب احراز هویت، مجوزدهی و ارزیابی وضعیت امنیتی دستگاهها، سیاستهای سازمان را بهصورت متمرکز اجرا میکند( چه دستگاههایی با چه خصوصیتی و چطور به شبکه وصل شوند) . این سامانه ابتدا هویت کاربر یا دستگاه را از طریق روشهایی مانند 802.1X، MAB یا WebAuth تأیید میکند و اعتبار آن را در برابر منابعی مثل Active Directory یا LDAP میسنجد. سپس بر اساس Policy تعریفشده، سطح دسترسی مناسب را اعطا یا محدود میکند و در صورت نیاز کاربر را به VLAN یا ناحیه قرنطینه هدایت مینماید.
وISE با قابلیت Posture Assessment سلامت سیستم را بررسی میکند (آپدیت آنتیویروس، فعالبودن فایروال، نصب پچها) و بهطور خودکار دستگاههای Guest یا BYOD را از طریق پورتال امن پشتیبانی میکند. همچنین با Device Profiling نوع دستگاه را شناسایی کرده و سیاست متناسب اعمال مینماید.
این سامانه گزارشگیری و نظارت امنیتی را برای تیم SOC/Network Security ساده کرده و امکان ادغام با محصولات دیگر Cisco مثل Firepower یا Stealthwatch را دارد. در مدل TrustSec نیز میتواند سیاستها را بر اساس برچسبهای امنیتی (SGT) در سراسر شبکه enforce کند.
#آکادمی_روزبه
Please open Telegram to view this post
VIEW IN TELEGRAM
❤9🙏1💯1
#نکته_ریزه_در_امنیت
تقویت امنیت احراز هویت MAB در شبکههای سازمانی مبتنی بر Cisco ISE
در معماریهای شبکه سازمانی که از Cisco ISE (Identity Services Engine) برای کنترل دسترسی استفاده میکنند، روش MAB – MAC Authentication Bypass اغلب برای تجهیزاتی به کار میرود که از احراز هویت 802.1X پشتیبانی نمیکنند؛ مانند چاپگرها، تلفنهای IP یا تجهیزات IoT. این مکانیزم به سوئیچ اجازه میدهد با استفاده از آدرس MAC دستگاه، احراز هویت اولیه را انجام دهد. هرچند MAB ساده و سازگار با تجهیزات قدیمی است، اما ذاتاً ضعف امنیتی مهمی دارد: آدرس MAC را میتوان بهآسانی جعل (Spoof) کرد و مهاجم میتواند با تقلید MAC دستگاه مجاز، دسترسی غیرمجاز به شبکه بهدست آورد. این مسئله بهویژه در لایه دسترسی (Access Layer) خطرناک است، زیرا مهاجم مستقیماً به شبکه داخلی متصل میشود و ممکن است به منابع حساس دسترسی پیدا کند.
📊 برای کنترل این ریسک، باید MAB در کنار چندین لایه حفاظتی استفاده شود. نخستین اقدام، فعالسازی Device Profiling در ISE است تا نوع واقعی دستگاه بر اساس ویژگیهای شبکهای (DHCP، SNMP، LLDP Fingerprint) شناسایی شود و از ورود دستگاههای جعلشده جلوگیری گردد. سپس، تخصیص VLAN محدود (Restricted VLAN) برای همه دستگاههای MAB باعث میشود حتی در صورت حمله، دسترسی مهاجم به حداقل برسد. در سطح سوئیچ نیز باید از Port Security با تنظیم پارامترهایی مانند Sticky MAC و Maximum 1 MAC per Port استفاده کرد تا ورود MAC جدید غیرمجاز موجب غیرفعال شدن پورت شود.
افزونبر این، اجرای زمانبندی Re-authentication، محدود کردن مدت اعتبار نشستها، و بهکارگیری Cisco TrustSec SGT Tagging برای تفکیک منطقی جریانهای ترافیکی موجب کاهش سطح حمله و افزایش قابلیت کنترل میشود. ترکیب این ابزارها موجب میشود MAB- با وجود سادگی و ضعف ذاتی در برابر Spoofing-به روشی امنتر و قابل اعتماد برای شبکههای بزرگ تبدیل گردد.
🔭 متخصص کسی است که چالش را حل میکند. متخصص امنیت کسی است که برای دنیای پرچالش امنیت راهکارهای مقرون به صرفه در راستای بیزنس و قانون دارد ( بخشی از درس CISSP)
#آکادمی_روزبه
تقویت امنیت احراز هویت MAB در شبکههای سازمانی مبتنی بر Cisco ISE
در معماریهای شبکه سازمانی که از Cisco ISE (Identity Services Engine) برای کنترل دسترسی استفاده میکنند، روش MAB – MAC Authentication Bypass اغلب برای تجهیزاتی به کار میرود که از احراز هویت 802.1X پشتیبانی نمیکنند؛ مانند چاپگرها، تلفنهای IP یا تجهیزات IoT. این مکانیزم به سوئیچ اجازه میدهد با استفاده از آدرس MAC دستگاه، احراز هویت اولیه را انجام دهد. هرچند MAB ساده و سازگار با تجهیزات قدیمی است، اما ذاتاً ضعف امنیتی مهمی دارد: آدرس MAC را میتوان بهآسانی جعل (Spoof) کرد و مهاجم میتواند با تقلید MAC دستگاه مجاز، دسترسی غیرمجاز به شبکه بهدست آورد. این مسئله بهویژه در لایه دسترسی (Access Layer) خطرناک است، زیرا مهاجم مستقیماً به شبکه داخلی متصل میشود و ممکن است به منابع حساس دسترسی پیدا کند.
افزونبر این، اجرای زمانبندی Re-authentication، محدود کردن مدت اعتبار نشستها، و بهکارگیری Cisco TrustSec SGT Tagging برای تفکیک منطقی جریانهای ترافیکی موجب کاهش سطح حمله و افزایش قابلیت کنترل میشود. ترکیب این ابزارها موجب میشود MAB- با وجود سادگی و ضعف ذاتی در برابر Spoofing-به روشی امنتر و قابل اعتماد برای شبکههای بزرگ تبدیل گردد.
#آکادمی_روزبه
Please open Telegram to view this post
VIEW IN TELEGRAM
👏5👌3❤2🙏1💯1
درس امشب برای شما
#آکادمی_روزبه
NtfsAlternateDataStreams.pdf
https://www.winitor.com/pdf/NtfsAlternateDataStreams.pdf
#آکادمی_روزبه
NtfsAlternateDataStreams.pdf
https://www.winitor.com/pdf/NtfsAlternateDataStreams.pdf
❤5👌2🙏1💯1
و اما مقاله ای که امشب میخوانم
https://certcentral.org/training
بازی هکر ها در زمین سرتیفیکیت و کد ها
#آکادمی_روزبه
https://certcentral.org/training
بازی هکر ها در زمین سرتیفیکیت و کد ها
#آکادمی_روزبه
👌6❤1🙏1
کشف تزریق حافظه با Sysmon ؛ آیا امکان پذیر است؟
تحلیل کاربرد و محدودیت در محیطهای SOC
✍روزبه نوروزی
مقوله Sysmon یکی از مؤثرترین مؤلفههای قابل استفاده در سطح سیستمعامل برای کشف فعالیتهای تزریق حافظه است و در صورت تنظیم درست، قادر به شناسایی تهدیدهای کلاسیک نظیر DLL Injection و Remote Thread Creation میباشد.
این ابزار با ثبت رویدادهای حیاتی مانندProcessAccess (Event ID 10) و CreateRemoteThread (Event ID 8)، رفتارهایی را آشکار میکند که اغلب در حملات تزریقی مشاهده میشوند؛ از جمله نوشتن کد اجرایی در حافظه فرآیندهای معتبر یا ایجاد رشتههای اجرایی از راه دور. ترکیب این رویدادها پایهای محکم برای تشخیص اولیه تزریقهای سنتی در سطح User Mode فراهم میسازد.
با این حال، قابلیت Sysmon محدود به پوشش تزریقهای سطح بالا است. روشهایی مانند Asynchronous Procedure Call (APC) Injection، Thread Hijacking یا استفاده از Native Syscalls اغلب فراتر از دید Sysmon عمل میکنند زیرا در سطح کرنل یا از مسیرهای غیرمعمول فراخوانیهای سیستمی رخ میدهند. کشف این نوع رفتارها مستلزم بهکارگیری EDR پیشرفته یا ثبت رویدادهای ETW‑based telemetry است تا بتوان تجزیه و تحلیل عمیقتر بر اساس contextهای حافظه انجام داد.
در نهایت، اعتبار نتایج Sysmon زمانی بالاتر میرود که دادههای جمعآوریشده در SIEM همبسته شوند؛ یعنی لاگهای Sysmon همزمان با رفتارهای شبکه و نمودارهای Parent‑Child Process تحلیل شوند. این همبستگی چندلایه، از تشخیص سطح لاگ فراتر رفته و دیدی جامع از رفتار مهاجم در محیط سازمان ارائه میدهد ؛ همان چیزی که یک SOC مدرن برای پاسخ مؤثر و دقیق به حملات مبتنی بر تزریق حافظه به آن نیاز دارد.
پس در انتخاب EDR خود دقت کنید تا SOC شما کور نشود !!
و محدودیت های سیسمون رو بشناسید
#آکادمی_روزبه
تحلیل کاربرد و محدودیت در محیطهای SOC
✍روزبه نوروزی
مقوله Sysmon یکی از مؤثرترین مؤلفههای قابل استفاده در سطح سیستمعامل برای کشف فعالیتهای تزریق حافظه است و در صورت تنظیم درست، قادر به شناسایی تهدیدهای کلاسیک نظیر DLL Injection و Remote Thread Creation میباشد.
این ابزار با ثبت رویدادهای حیاتی مانندProcessAccess (Event ID 10) و CreateRemoteThread (Event ID 8)، رفتارهایی را آشکار میکند که اغلب در حملات تزریقی مشاهده میشوند؛ از جمله نوشتن کد اجرایی در حافظه فرآیندهای معتبر یا ایجاد رشتههای اجرایی از راه دور. ترکیب این رویدادها پایهای محکم برای تشخیص اولیه تزریقهای سنتی در سطح User Mode فراهم میسازد.
با این حال، قابلیت Sysmon محدود به پوشش تزریقهای سطح بالا است. روشهایی مانند Asynchronous Procedure Call (APC) Injection، Thread Hijacking یا استفاده از Native Syscalls اغلب فراتر از دید Sysmon عمل میکنند زیرا در سطح کرنل یا از مسیرهای غیرمعمول فراخوانیهای سیستمی رخ میدهند. کشف این نوع رفتارها مستلزم بهکارگیری EDR پیشرفته یا ثبت رویدادهای ETW‑based telemetry است تا بتوان تجزیه و تحلیل عمیقتر بر اساس contextهای حافظه انجام داد.
در نهایت، اعتبار نتایج Sysmon زمانی بالاتر میرود که دادههای جمعآوریشده در SIEM همبسته شوند؛ یعنی لاگهای Sysmon همزمان با رفتارهای شبکه و نمودارهای Parent‑Child Process تحلیل شوند. این همبستگی چندلایه، از تشخیص سطح لاگ فراتر رفته و دیدی جامع از رفتار مهاجم در محیط سازمان ارائه میدهد ؛ همان چیزی که یک SOC مدرن برای پاسخ مؤثر و دقیق به حملات مبتنی بر تزریق حافظه به آن نیاز دارد.
پس در انتخاب EDR خود دقت کنید تا SOC شما کور نشود !!
و محدودیت های سیسمون رو بشناسید
#آکادمی_روزبه
🔥10
آکادمی آموزش روزبه 📚
کشف تزریق حافظه با Sysmon ؛ آیا امکان پذیر است؟ تحلیل کاربرد و محدودیت در محیطهای SOC ✍روزبه نوروزی مقوله Sysmon یکی از مؤثرترین مؤلفههای قابل استفاده در سطح سیستمعامل برای کشف فعالیتهای تزریق حافظه است و در صورت تنظیم درست، قادر به شناسایی تهدیدهای…
واتس اپ 09902857290
بدلیل اینکه اغلب دوستان در آخرین لحظات ثبت نام میکنند و این ما را دچار مشکل میکند ؛ برای برآورد شرکت کنندگان مجبور به اعمال تخفیف پلکانی هستیم لذا اگر زودتر اقدام کنید بیشتر تخفیف شامل حالتان میشود
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡6❤2
یه دوستی تا بحث در SOC میشد میگفت اگر ETW کور بشه دیگه تعطیل شدیم
بله
در دنیای امنیت عملیاتی، EDRها برای بینایی دیجیتال خود بیش از هر چیز به Event Tracing for Windows (ETW) متکیاند. ETW مثل چشم سیستمعامل است: رویدادها را ثبت و آنها را به Sysmon، SIEM و موتور EDR میرساند.
اما بدافزارهای پیشرفتهای چونSilence، TrickBot و برخیRedTeam loaders با Patch کردن توابعی مثل EtwEventWrite و EtwNotificationRegister یا حذف کامل providerهای WMI و Defender از رجیستری، این چشم را کور میکنند.
در این نقطه، تمام حسگرهای سطح کاربر بیاطلاع میمانند و سازمان عملاً در تاریکی تهدید فعالیت میکند.
در چنین سناریویی، تنها EDRهای حرفهای دوام میآورند ؛ آنهایی که میتوانند fallback به Kernel‑Driver Tracing داشته باشند. آنها مستقیماً رفتار سیستم را از طریق syscall hooking در توابعی چون NtCreateUserProcess, ZwMapViewOfSection و NtWriteVirtualMemory تحلیل میکنند.
این توانایی که من در Trendmicro دیدم یعنی دید زنده در سطح حافظه، جایی که بدافزار هنوز نمیتواند وانمود کند که وجود ندارد.
بههمین دلیل، بین یک sensor سبک و EDR واقعی مرزی وجود دارد:
یکی فقط log میخواند، دیگری واقعیت را در کرنل میبیند.
نکته مدیریتی : ما بعنوان معمار و مدیر امنیت در سازمان باید با شناخت پروفایل ریسک سازمان کنترل متناسب را انتخاب کنیم. شناخت درست ما از ریسک ما را بدانجا میرساند که با هر EDR کنار نیاییم . پس شما بعنوان مدیر یا کارشناس ارشد امنیت ، وظیفه اصلی ات رو فراموش نکن.
بله
در دنیای امنیت عملیاتی، EDRها برای بینایی دیجیتال خود بیش از هر چیز به Event Tracing for Windows (ETW) متکیاند. ETW مثل چشم سیستمعامل است: رویدادها را ثبت و آنها را به Sysmon، SIEM و موتور EDR میرساند.
اما بدافزارهای پیشرفتهای چونSilence، TrickBot و برخیRedTeam loaders با Patch کردن توابعی مثل EtwEventWrite و EtwNotificationRegister یا حذف کامل providerهای WMI و Defender از رجیستری، این چشم را کور میکنند.
در این نقطه، تمام حسگرهای سطح کاربر بیاطلاع میمانند و سازمان عملاً در تاریکی تهدید فعالیت میکند.
در چنین سناریویی، تنها EDRهای حرفهای دوام میآورند ؛ آنهایی که میتوانند fallback به Kernel‑Driver Tracing داشته باشند. آنها مستقیماً رفتار سیستم را از طریق syscall hooking در توابعی چون NtCreateUserProcess, ZwMapViewOfSection و NtWriteVirtualMemory تحلیل میکنند.
این توانایی که من در Trendmicro دیدم یعنی دید زنده در سطح حافظه، جایی که بدافزار هنوز نمیتواند وانمود کند که وجود ندارد.
بههمین دلیل، بین یک sensor سبک و EDR واقعی مرزی وجود دارد:
یکی فقط log میخواند، دیگری واقعیت را در کرنل میبیند.
نکته مدیریتی : ما بعنوان معمار و مدیر امنیت در سازمان باید با شناخت پروفایل ریسک سازمان کنترل متناسب را انتخاب کنیم. شناخت درست ما از ریسک ما را بدانجا میرساند که با هر EDR کنار نیاییم . پس شما بعنوان مدیر یا کارشناس ارشد امنیت ، وظیفه اصلی ات رو فراموش نکن.
👍4💯2