اخلاق در فناوری
گذری از Stuxnet تا اخلاق

روزبه نوروزی

در سال ۲۰۱۰، با کشف بدافزار Stuxnet ؛ پروژه‌ای منتسب به همکاری فنی میان ایالات متحده و اسرائیل برای تخریب تجهیزات سانتریفیوژ هسته‌ای ایران ؛ دنیای امنیت اطلاعات با یکی از نخستین موارد آشکار جنگ سایبری دولتی روبه‌رو شد. این رویداد نه‌تنها مرز میان امنیت سیستم و حمله هدفمند را برداشت، بلکه بحث‌های اخلاقی عمیقی را پیرامون نقش مهندسان در عملیات سایبری تحت فرمان دولت‌ها برانگیخت.

در مجامع بین‌المللی مانند نشست‌های تالین (Tallinn) و گفت‌وگوهای ژنو درباره رفتار مسئولانه در فضای سایبری (Geneva Dialogue)، پرسش کلیدی مطرح شد: آیا مهندس امنیتی که به طراحی یا پیاده‌سازی ابزاری برای تخریب زیرساخت حیاتی کشور دیگر کمک می‌کند، در برابر پیامدهای انسانی، اقتصادی یا زیست‌محیطی آن مسئولیت حرفه‌ای دارد؟

تحلیل‌های حاصل از این نشست‌ها نشان می‌دهد که طبق اصول اخلاقی CISSP (Protect Society, Common Good, and Trust)، مرز بین «وظیفه ملی» و «استقلال حرفه‌ای» باید به‌صورت روشن تعریف شود. بسیاری از متخصصان باور دارند که حتی در مأموریت‌های دولتی، معیار اخلاق حرفه‌ای نباید فدای هدف راهبردی شود؛ زیرا بی‌توجهی به پیامدهای گستردهٔ حملهٔ سایبری، می‌تواند اساس اعتماد دیجیتال جهانی را تضعیف کند.

مطالعات بعدی از جمله پژوهش CCDCOE در ۲۰۱۷ تأیید کردند که Stuxnet موجب ایجاد دکترین جدید جنگ سایبری شد؛ که اخلاق مهندسی امنیت را از حوزهٔ فنی به سطح تصمیم‌گیری ژئوپلیتیکی ارتقا داد.

به بیان ساده تر بعد از Stuxnet، هیچ مهندس امنیتی نمی‌تواند بگوید «من فقط کد می‌نویسم»؛ زیرا تصمیم‌های فنی او ممکن است پیامدهای سیاسی، زیست‌محیطی، یا انسانی در سطح جهانی داشته باشند.

استخدام SOC شرکت رایتل


شرایط احراز :

مدرک تحصیلی: کارشناسی در رشته های فناوری اطلاعات، مهندسی کامپیوتر، امنیت سایبری و سایر رشته های مرتبط
سابقه کار: 3 سال تجربه در حوزه امنیت اطلاعات یا SOC
توانایی کار در شیفت‌های 24/12 و 36/12
روحیه کار تیمی بالا و دقت در جزئیات
تعهد به محرمانگی اطلاعات
آمادگی برای کار در شب‌ها و تعطیلات و حضور در شرایط بحرانی
محل کار : تهرانسر-شهرک استقلال
شرح وظایف :

پایش و مانیتورینگ رویدادهای امنیتی در SIEM و سایر ابزارهای مانیتورینگ
شناسایی و گزارش اولیه رخدادهای مشکوک امنیتی
تحلیل اولیه هشدارها و تفکیک false Positive از واقعی
ارجاع (Escalate) رخدادهای مهم به سطوح Tier 2 یا Incident Response Team
پایش سلامت و در دسترس بودن سنسورها و Agentهای امنیتی
همکاری در به روزرسانی Playbookها و Runbook ها
مستندسازی فعالیتهای روزانه و ثبت رخدادها در سیستم Ticketing
دارای مهارت تدوین نامه ها و گزارشات فنی به کارشناس مافوق
مهارتها و دانش مورد نیاز :

آشنایی با مفاهیم پایه امنیت اطلاعات (CIA, Threat, Vulnerability, Incident, etc)
تسلط نسبی بر مفاهیم شبکه (TCP/IP, DNS, Firewall, Proxy, IDS/IPS, AD, LDAP)
آشنایی با Splunk
آشنایی با Windows Event Log و Linux Syslog
توانایی خواندن و درک لاگ های امنیتی مختلف
مهارت در مستندسازی و گزارش دهی
مهارتهای ترجیحی (Preferred / Nice to Have) امتیاز محسوب میشود

دارا بودن گواهینامه های مانند CompTIA Security+، CEH، یا SOC Analyst (Blue Team)
تجربه کار با EDR، NDR، یا SOAR
آشنایی با مفاهیم MITRE ATT&CK و Kill Chain
توانایی تحلیل اولیه Indicator های تهدید IP، Hash، URL

ارسال رزومه به ادمین کانال

#استخدام SOC

شرکت رایتل

زنگ خطر

اطلاعات رمزنگاری شده شما درحال جمع آوری است تا با ظهور روشهای جدید و کامپیوتر های کوانتومی، بسرعت رمزگشایی گردد

Harvest now, use later
آمادگی لازم است

#امنیت_به_زبان_ساده
مقوله C2 چیست ؟

بحث C2 یا Command and Control یکی از اجزای اساسی در حملات سایبری پیشرفته (مانند APT) است که به مهاجم امکان می‌دهد پس از نفوذ اولیه، کنترل از راه دور بر سامانه قربانی حفظ کند. این سازوکار به عنوان یک کانال ارتباطی مخفیانه (Covert Channel) میان سیستم آلوده (Agent/Bot) و سرور مهاجم یا مادر (C2 Server) عمل می‌کند.

در معماری C2، معمولا Agent روی دستگاه قربانی نصب می‌شود و از طریق پروتکل‌هایی مانند HTTP/HTTPS، DNS، با سرور فرمان در تماس است. این ارتباط ممکن است Pull-based (کلاینت درخواست فرمان می‌دهد) یا Push-based (سرور مستقیماً فرمان ارسال می‌کند) باشد. هدف، حفظ پایداری و ماندگاری (Persistence) بدون شناسایی توسط سیستم‌های دفاعی و اعمال دستورات از سرور مادر در آینده است.

ارتباطات C2 اغلب رمزگذاری یا استتار می‌شوند؛ به عنوان مثال، استفاده از TLS tunneling برای عبور از سیستم های تشخیص نفوذ رایج است.انواع معماری‌های C2 شامل Centralized، Decentralized (P2P) و Multi-tier است. مهاجمان معمولاً برای افزایش ماندگاری از چندین fallback server یا cloud-based C2 استفاده می‌کنند.

از منظر دفاعی، تشخیص C2 یکی از وظایف حیاتی SOC است و با پایش anomalous DNS، beaconing intervals، unusual port usage، و TLS certificate anomalies انجام می‌شود.

قطع ارتباط C2 معمولاً مرحله‌ی مهمی برای قطع کامل زنجیره‌ی حمله (Kill Chain) محسوب می‌شود. اما اینکه چه زمان انجام شود به مدیر تیم IR شما وابسته است.



ثبت نام دوره SOC واتس اپ 09902857290
Www.haumoun.com

بحث تحلیلی یکی از حملات روز جهان از Intel 471

شناسایی و کشف حملات علیه اکتیو دایرکتوری

درس امشب برای شما

#آکادمی_روزبه

NtfsAlternateDataStreams.pdf
https://www.winitor.com/pdf/NtfsAlternateDataStreams.pdf

و اما مقاله ای که امشب می‌خوانم

https://certcentral.org/training


بازی هکر ها در زمین سرتیفیکیت و کد ها


#آکادمی_روزبه

کشف تزریق حافظه با Sysmon ؛ آیا امکان پذیر است؟

تحلیل کاربرد و محدودیت در محیط‌های SOC


✍روزبه نوروزی

مقوله Sysmon یکی از مؤثرترین مؤلفه‌های قابل استفاده در سطح سیستم‌عامل برای کشف فعالیت‌های تزریق حافظه است و در صورت تنظیم درست، قادر به شناسایی تهدیدهای کلاسیک نظیر DLL Injection و Remote Thread Creation می‌باشد.
این ابزار با ثبت رویدادهای حیاتی مانندProcessAccess (Event ID 10) و CreateRemoteThread (Event ID 8)، رفتارهایی را آشکار می‌کند که اغلب در حملات تزریقی مشاهده می‌شوند؛ از جمله نوشتن کد اجرایی در حافظه فرآیندهای معتبر یا ایجاد رشته‌های اجرایی از راه دور. ترکیب این رویدادها پایه‌ای محکم برای تشخیص اولیه تزریق‌های سنتی در سطح User Mode فراهم می‌سازد.

با این حال، قابلیت Sysmon محدود به پوشش تزریق‌های سطح بالا است. روش‌هایی مانند Asynchronous Procedure Call (APC) Injection، Thread Hijacking یا استفاده از Native Syscalls اغلب فراتر از دید Sysmon عمل می‌کنند زیرا در سطح کرنل یا از مسیرهای غیرمعمول فراخوانی‌های سیستمی رخ می‌دهند. کشف این نوع رفتارها مستلزم به‌کارگیری EDR پیشرفته یا ثبت رویدادهای ETW‑based telemetry است تا بتوان تجزیه و تحلیل عمیق‌تر بر اساس contextهای حافظه انجام داد.

در نهایت، اعتبار نتایج Sysmon زمانی بالاتر می‌رود که داده‌های جمع‌آوری‌شده در SIEM هم‌بسته شوند؛ یعنی لاگ‌های Sysmon هم‌زمان با رفتارهای شبکه و نمودارهای Parent‑Child Process تحلیل شوند. این هم‌بستگی چندلایه، از تشخیص سطح لاگ فراتر رفته و دیدی جامع از رفتار مهاجم در محیط سازمان ارائه می‌دهد ؛ همان چیزی که یک SOC مدرن برای پاسخ مؤثر و دقیق به حملات مبتنی بر تزریق حافظه به آن نیاز دارد.

پس در انتخاب EDR خود دقت کنید تا SOC شما کور نشود !!
و محدودیت های سیسمون رو بشناسید


#آکادمی_روزبه

یه دوستی تا بحث در SOC میشد میگفت اگر ETW کور بشه دیگه تعطیل شدیم
بله

در دنیای امنیت عملیاتی، EDRها برای بینایی دیجیتال خود بیش از هر چیز به Event Tracing for Windows (ETW) متکی‌اند. ETW مثل چشم سیستم‌عامل است: رویدادها را ثبت و آن‌ها را به Sysmon، SIEM و موتور EDR می‌رساند.
اما بدافزارهای پیشرفته‌ای چونSilence، TrickBot و برخیRedTeam loaders با Patch کردن توابعی مثل EtwEventWrite و EtwNotificationRegister یا حذف کامل ‌providerهای WMI و Defender از رجیستری، این چشم را کور می‌کنند.
در این نقطه، تمام حسگرهای سطح کاربر بی‌اطلاع می‌مانند و سازمان عملاً در تاریکی تهدید فعالیت می‌کند.

در چنین سناریویی، تنها EDRهای حرفه‌ای دوام می‌آورند ؛ آن‌هایی که می‌توانند fallback به Kernel‑Driver Tracing داشته باشند. آن‌ها مستقیماً رفتار سیستم را از طریق syscall hooking در توابعی چون NtCreateUserProcess, ZwMapViewOfSection و NtWriteVirtualMemory تحلیل می‌کنند.

این توانایی که من در Trendmicro دیدم یعنی دید زنده در سطح حافظه، جایی که بدافزار هنوز نمی‌تواند وانمود کند که وجود ندارد.
به‌همین دلیل، بین یک sensor سبک و EDR واقعی مرزی وجود دارد:
یکی فقط log می‌خواند، دیگری واقعیت را در کرنل می‌بیند.

نکته مدیریتی : ما بعنوان معمار و مدیر امنیت در سازمان باید با شناخت پروفایل ریسک سازمان کنترل متناسب را انتخاب کنیم. شناخت درست ما از ریسک ما را بدانجا می‌رساند که با هر EDR کنار نیاییم . پس شما بعنوان مدیر یا کارشناس ارشد امنیت ، وظیفه اصلی ات رو فراموش نکن.

تحلیل MORT در شناسایی علل ریشه‌ای حوادث امنیتی

تحلیل MORT (Management Oversight and Risk Tree) یکی از روش‌های ساختاری و نظام‌مند برای شناسایی علل ریشه‌ای حوادث و رخدادهای امنیتی است. این روش با استفاده از یک «درخت ریسک» به تحلیل دو دسته عامل می‌پردازد: نقص در کنترل‌ها و نارسایی‌های مدیریتی. MORT فراتر از بررسی خطای انسانی یا نقص فنی عمل می‌کند و نشان می‌دهد که بسیاری از حوادث امنیتی ناشی از ضعف در سیاست‌ها، فرآیندها، آموزش، تخصیص منابع یا نظارت مدیریتی است. با تجزیه‌وتحلیل هر گره از درخت، سازمان می‌تواند علت‌های واقعی یک حادثه را شناسایی کرده و از اقدامات سطحی اجتناب کند. استفاده از MORT در محیط‌های امنیت سایبری کمک می‌کند تا کنترل‌ها مؤثرتر طراحی شوند، شکاف‌های مدیریتی کاهش یابد و احتمال تکرار حوادث مشابه به حداقل برسد. این رویکرد، دیدی جامع و سازمان‌محور نسبت به مدیریت ریسک و پاسخ‌گویی به رخدادها ارائه می‌دهد.



مثال MORT در یک حمله APT

یک سازمان دولتی هدف یک APT قرار می‌گیرد. مهاجم با استفاده از spear-phishing وارد شبکه شده، یک backdoor نصب می‌کند و پس از چهار ماه حرکت جانبی (Lateral Movement)، داده‌های حساس را استخراج می‌کند. حادثه زمانی کشف می‌شود که SOC یک الگوی غیرمعمول ترافیک خروجی را مشاهده می‌کند.

تحلیل MORT: ریشه‌های فنی و مدیریتی

✔ مسیر ۱: نقص در کنترل‌ها (Control Factors)
وصله‌ها برای دو سرور حیاتی ۶ ماه نصب نشده بود
فرآیند Patch Management ناکارآمد

وEDR در بخش عملیات غیرفعال شده بود
عدم مانیتورینگ رفتار endpoint

هشدارهای SIEM به‌دلیل misconfiguration به Incident Queue منتقل نمی‌شد

وMFA روی حساب‌های ادمین فعال نبود
مهاجم به‌راحتی Privilege Escalation انجام داد

✔ مسیر ۲: نارسایی‌های مدیریتی (Management Factors)
کمبود نیرو در تیم امنیت
پاسخ‌گویی و نظارت کاهش یافته

نبود سیاست الزام‌آور برای مقاوم سازی سیستم‌ها

عدم آموزش امنیتی برای کارکنان
موفقیت spear-phishing

رد شدن درخواست بودجه EDR در سال گذشته
تصمیم مدیریتی ضعیف

عدم انجام Red Team یا Threat Hunting دوره‌ای


نتیجه MORT
علت اصلی حادثه تنها «فیشینگ» نبود؛
حادثه نتیجه ترکیبی از ضعف‌های مدیریتی، کنترل‌های ناقص، و نظارت ناکافی بود.


تحلیل MORT نشان داد که ریسک واقعی در سازمان نه در یک نقطه، بلکه در سیستم مدیریتی و ساختار امنیتی نهفته بوده است.


منبع : درس CISSP


اگر خوب دقت کنید با استفاده از تحلیل فوق ، بسیار بهتر میتوان حوادث سایبری ایران را تحلیل و ریشه یابی کرد. این روش برای یافتن دلایل واقعی خصوصا نوع مدیریتی ( که اغلب پنهان هستند ) بسیار کارا است


#آکادمی_روزبه

595: Applied Data Science and AI/Machine Learning for Cybersecurity Professionals


تنها دوره هوش مصنوعی برای متخصصان امنیت در ایران

رزو بدلیل محدودیت 09902857290

www.haumoun.com
#آکادمی_روزبه
سرفصل اصل

https://www.sans.org/cyber-security-courses/applied-data-science-machine-learning

معماری اعتماد: چگونه TPM Attestation پایه‌ی Zero‑Trust می‌شود

روزبه نوروزی

در معماری امنیت سازمانی، تکنولوژی TPM Attestation نقشی حیاتی در شکل‌دهی به زنجیره اعتماد (Chain of Trust) ایفا می‌کند. مقولهTPM یا Trusted Platform Module، تراشه‌ای سخت‌افزاری‌ست که هدف آن تضمین صحت و تمامیت اجزای حیاتی سیستم مانند بوت‌لودر، درایورهای کرنل و هسته سیستم‌عامل است. فرآیند Attestation، مرحله‌ای از تصدیق وضعیت دستگاه محسوب می‌شود که طی آن سیستم با استفاده از کلیدهای داخلی TPM، اثبات می‌کند در حالت مجاز و بدون تغییرات مخرب قرار دارد.

در جریان بوت، TPM مجموعه‌ای از اندازه‌گیری‌ها را در رجیسترهای مخصوص به نام PCR – Platform Configuration Registers ثبت می‌کند. این مقادیر سپس توسط سرور مرکزی یا پلتفرم امنیتی تأیید‌کننده (Verifier) بررسی و با Baseline مورد انتظار مقایسه می‌شوند. هرگونه تناقض در این داده‌ها نشانگر انحراف از پیکربندی امن یا تلاش برای رخنه در زنجیره بوت است.

از منظر معمار امنیت، TPM Attestation ابزار پایه در اجرای Secure Boot و Measured Boot محسوب می‌شود. در معماری‌های پیشرفته مانند Zero‑Trust Enterprise Architecture، این سازوکار پیش‌شرط دسترسی دستگاه‌ها به شبکه سازمانی یا سرویس‌های حساس است. در EDRهای سطح بالا نیز از Attestation برای اطمینان از فعال بودن driverهای مجاز در سطح کرنل استفاده می‌شود.

در نهایت، باید TPM Attestation را نه صرفاً ویژگی سخت‌افزاری، بلکه نقطه آغاز اعتماد دیجیتال سازمان دانست؛ جایی‌که اعتبار امنیتی از سخت‌افزار شروع و تا سطح نرم‌افزار و هویت دستگاه امتداد می‌یابد ؛ تحقق واقعی اصل "Never trust, always verify" در معماری مدرن سایبری.


سوال: آیا پلتفرم امنیتی تأیید‌کننده (Verifier) در سازمان دارید ؟

#آکادمی_روزبه

اخلاق و امنیت سایبری : تناظر اصول ISC2 با مفاهیم دینی

روزبه نوروزی

اخلاق در امنیت سایبری حیاتی است، زیرا متخصصان به حساس‌ترین داده‌ها و زیرساخت‌ها دسترسی دارند و به نوعی دارایی سازمانها و افراد در اختیار آنها است. نبودِ اخلاق می‌تواند به سوءاستفاده، افشای اطلاعات، اختلال سازمانی و از بین رفتن اعتماد عمومی و نقض حریم شخصی و تبعات قانونی منجر شود. رفتار مسئولانه و شفاف، تنها راه جلوگیری از خطرات بزرگ و حفظ امنیت پایدار است.

اصول اخلاقی ISC2 پایه‌ای برای رفتار حرفه‌ای در امنیت سایبری هستند و بر ضرورت اعتماد، مسئولیت‌پذیری و خدمت صادقانه تأکید می‌کنند. این اصول متخصص امنیت را موظف می‌کنند از جامعه، منافع عمومی و زیرساخت‌ها محافظت کند، با صداقت و شرافت رفتار کند، خدمات دقیق و توانمند ارائه دهد و حرفهٔ امنیت سایبری را ارتقا دهد. با توجه به دسترسی گستردهٔ متخصصان به داده‌های حساس، پایبندی به اخلاق برای جلوگیری از سوءاستفاده، حفظ اعتماد و مدیریت خطرات ضروری است. این چارچوب به‌عنوان یک قطب‌نما، تصمیم‌گیری در شرایط پیچیده و حساس را هدایت می‌کند.


🌼تناظر مفهومی میان اصول اخلاقی ISC2 و آموزه‌های اخلاقی قرآن:


1) Protect Society
حفاظت از جامعه و خیر عمومی

ISC2:
حفاظت از جامعه، اعتماد عمومی و زیرساخت‌ها

قرآن:
«وَلَا تُفْسِدُوا فِي الْأَرْضِ» (بقره 11)
آموزه: جلوگیری از هرگونه فساد، تخریب یا زیان به جامعه.

2) Act Honestly and Justly
صداقت و عدالت

ISC2:
رفتار شرافتمندانه، صادقانه و عادلانه
قرآن:
«إِنَّ اللَّهَ يَأْمُرُكُمْ أَنْ تُؤَدُّوا الْأَمَانَاتِ إِلَىٰ أَهْلِهَا» (نساء 58)
آموزه: امانت‌داری، عدالت و مسئولیت در برابر آنچه در اختیار فرد قرار گرفته است.

3) Provide Competent Service
خدمت دقیق و مسئولانه

ISC2:
ارائهٔ خدمت توانمند و مسئولانه به صاحبان سیستم
قرآن:
«وَقُلِ اعْمَلُوا فَسَيَرَى اللَّهُ عَمَلَكُمْ» (توبه 105)
آموزه: کار با کیفیت، مسئولیت‌پذیری و توجه به اثر اعمال.

4) Advance and Protect the Profession
ارتقای حرفه و حفاظت از اعتبار آن

ISC2:
حمایت از حرفه، جلوگیری از رفتارهایی که وجههٔ امنیت را تخریب می‌کند
قرآن:
«وَتَعَاوَنُوا عَلَى الْبِرِّ وَالتَّقْوَىٰ» (مائده 2)
آموزه: همکاری برای کارهای نیک و پرهیز از رفتارهای مخرب.

نتیجه‌گیری

می‌توان گفت اصول اخلاقی ISC2 و قرآن در سطح ارزش اخلاقی تناظر واضح دارند:
آرامش جامعه، امانت‌داری، صداقت، مسئولیت‌پذیری، جلوگیری از زیان و تلاش برای خیر عمومی.
این نوع تطابق نه‌تنها ممکن، بلکه برای ایجاد فرهنگ اخلاقی در امنیت سایبری ایران بسیار ارزشمند است.

دو راهی مدیران امنیت سایبری : SSL Inspection


روزبه نوروزی

در مقاله زیر بررسی کرده ام که SSL Inspection چگونه با شکستن موقت رمزگذاری TLS ؛ ترافیک را برای تهدیدات تحلیل می‌کند، اما از دید اخلاقی ممکن است نقض اعتماد و حریم خصوصی کاربران باشد. در متن مقاله جزئیات فنی مثل ساختار پراکسی، Root CA سازمانی، و مدل Selective Inspection اورده شده و تعارض میان امنیت سازمانی و استقلال فردی را تحلیل کردم. چارچوب اخلاقی شامل اصول شفافیت، تناسب، رضایت و پاسخ‌گویی است و نتیجه گرفته ام که تنها اجرای شفاف و متناسب می‌تواند SSL Inspection را به ابزاری اخلاقی در امنیت سایبری تبدیل کند.

باید بدانیم این عمل نه صرفاً یک کنترل فنی، بلکه یک پیمان اخلاقی است: میان حق دفاع سازمان و حق اعتماد انسان. اجرای آن بدون شفافیت، امنیت را از معنا تهی می‌کند.


این مقاله بخشی از دوره تربیت CISO است که دیماه برگزار میکنم
مدیران برتر و اخلاق مدار سایبری ایران



مقاله کامل را در ویرگول بخوانید

https://vrgl.ir/9PZGy

این مقاله Matrix Push C2 که در GBHackers On Security منتشر شده، به بررسی یک چارچوب جدید فرمان-و-کنترل (C2) می‌پردازد که از طریق قابلیت «اعلان پوش» (Browser Push Notifications) در مرورگرها استفاده می‌کند تا فایل‌بدافزارها یا کمپین‌های فیشینگ را بدون فایل سنتی اجرا نماید.


🔍 نکات کلیدی مقاله

مهاجمین ابتدا کاربر را وادار می‌کنند اعلان‌های مرورگر را فعال کند؛ سپس از این کانال به‌عنوان مسیر دائمی ارسال پیام به دستگاه قربانی استفاده می‌کنند.


این روش از بسیاری از راهکارهای دفاعی سنتی عبور می‌کند چون مبتنی بر ویژگی بومی مرورگر است (Push Notifications) و نیازی به فایل اجرایی ندارد.


داشبوردِ این چارچوب امکان دنبال کردن تعداد کل کلاینت‌ها، نرخ تحویل اعلان، تحلیل کاربران، و تجزیه‌وتحلیل کلیک‌ها را می‌دهد که شبیه ابزارهای اتوماسیون بازاریابی است ولی برای مقاصد مخرب.


روش‌های کاهش خطر پیشنهاد شده شامل هوشیاری کاربران نسبت به درخواست‌های اعلان از وب‌سایت‌ها، خودداری از کلیک روی اعلان‌های ناشناس، و ایجاد سیاست برای مجوز اعلان مرورگر هستند.


✅ اهمیت برای تیم‌های SOC / تحلیلگر تهدید

این مقاله نشان می‌دهد که چگونه یک مسیر جدید و نسبتاً کم‌موردِ توجه (Browser Push Notifications) به ابزار مهاجم تبدیل شده — یعنی یک اثر پوشش‌نداشتن (Blind Spot) در بسیاری از ابزارهای مرسوم مانیتورینگ و دفاع.

برای تیم‌های SOC و تحلیلگران امنیتی بسیار مهم است که:

این نوع حملات را در ماتریس تهدید خود بگنجانند

مکانیزم‌های نظارت بر اعلان‌های مرورگر و فعالیت‌های ناشناخته push را ایجاد نمایند

سیاست‌های محدودسازی («deny by default») برای اعلان پوش مرورگر و آموزش کاربران در این زمینه داشته باشند

#آکادمی_روزبه

https://gbhackers.com/matrix-push-c2/