Post-Quantum cryptography .pdf
1.3 MB
زنگ خطر
اطلاعات رمزنگاری شده شما درحال جمع آوری است تا با ظهور روشهای جدید و کامپیوتر های کوانتومی، بسرعت رمزگشایی گردد
Harvest now, use later
آمادگی لازم است
اطلاعات رمزنگاری شده شما درحال جمع آوری است تا با ظهور روشهای جدید و کامپیوتر های کوانتومی، بسرعت رمزگشایی گردد
Harvest now, use later
آمادگی لازم است
👍6⚡4
#امنیت_به_زبان_ساده
مقوله C2 چیست ؟
بحث C2 یا Command and Control یکی از اجزای اساسی در حملات سایبری پیشرفته (مانند APT) است که به مهاجم امکان میدهد پس از نفوذ اولیه، کنترل از راه دور بر سامانه قربانی حفظ کند. این سازوکار به عنوان یک کانال ارتباطی مخفیانه (Covert Channel) میان سیستم آلوده (Agent/Bot) و سرور مهاجم یا مادر (C2 Server) عمل میکند.
در معماری C2، معمولا Agent روی دستگاه قربانی نصب میشود و از طریق پروتکلهایی مانند HTTP/HTTPS، DNS، با سرور فرمان در تماس است. این ارتباط ممکن است Pull-based (کلاینت درخواست فرمان میدهد) یا Push-based (سرور مستقیماً فرمان ارسال میکند) باشد. هدف، حفظ پایداری و ماندگاری (Persistence) بدون شناسایی توسط سیستمهای دفاعی و اعمال دستورات از سرور مادر در آینده است.
ارتباطات C2 اغلب رمزگذاری یا استتار میشوند؛ به عنوان مثال، استفاده از TLS tunneling برای عبور از سیستم های تشخیص نفوذ رایج است.انواع معماریهای C2 شامل Centralized، Decentralized (P2P) و Multi-tier است. مهاجمان معمولاً برای افزایش ماندگاری از چندین fallback server یا cloud-based C2 استفاده میکنند.
از منظر دفاعی، تشخیص C2 یکی از وظایف حیاتی SOC است و با پایش anomalous DNS، beaconing intervals، unusual port usage، و TLS certificate anomalies انجام میشود.
قطع ارتباط C2 معمولاً مرحلهی مهمی برای قطع کامل زنجیرهی حمله (Kill Chain) محسوب میشود. اما اینکه چه زمان انجام شود به مدیر تیم IR شما وابسته است.
ثبت نام دوره SOC واتس اپ 09902857290
Www.haumoun.com
مقوله C2 چیست ؟
بحث C2 یا Command and Control یکی از اجزای اساسی در حملات سایبری پیشرفته (مانند APT) است که به مهاجم امکان میدهد پس از نفوذ اولیه، کنترل از راه دور بر سامانه قربانی حفظ کند. این سازوکار به عنوان یک کانال ارتباطی مخفیانه (Covert Channel) میان سیستم آلوده (Agent/Bot) و سرور مهاجم یا مادر (C2 Server) عمل میکند.
در معماری C2، معمولا Agent روی دستگاه قربانی نصب میشود و از طریق پروتکلهایی مانند HTTP/HTTPS، DNS، با سرور فرمان در تماس است. این ارتباط ممکن است Pull-based (کلاینت درخواست فرمان میدهد) یا Push-based (سرور مستقیماً فرمان ارسال میکند) باشد. هدف، حفظ پایداری و ماندگاری (Persistence) بدون شناسایی توسط سیستمهای دفاعی و اعمال دستورات از سرور مادر در آینده است.
ارتباطات C2 اغلب رمزگذاری یا استتار میشوند؛ به عنوان مثال، استفاده از TLS tunneling برای عبور از سیستم های تشخیص نفوذ رایج است.انواع معماریهای C2 شامل Centralized، Decentralized (P2P) و Multi-tier است. مهاجمان معمولاً برای افزایش ماندگاری از چندین fallback server یا cloud-based C2 استفاده میکنند.
از منظر دفاعی، تشخیص C2 یکی از وظایف حیاتی SOC است و با پایش anomalous DNS، beaconing intervals، unusual port usage، و TLS certificate anomalies انجام میشود.
قطع ارتباط C2 معمولاً مرحلهی مهمی برای قطع کامل زنجیرهی حمله (Kill Chain) محسوب میشود. اما اینکه چه زمان انجام شود به مدیر تیم IR شما وابسته است.
ثبت نام دوره SOC واتس اپ 09902857290
Www.haumoun.com
🔥6👍2💯1
Intel 471 _ Emerging Threat - Qilin Ransomware Group.pdf
703.2 KB
بحث تحلیلی یکی از حملات روز جهان از Intel 471
⚡5
Active Directory Security Event Monitoring.pdf
3.3 MB
شناسایی و کشف حملات علیه اکتیو دایرکتوری
❤6🙏2💯1
#امنیت_به_زبان_ساده
Cisco ISE (Identity Services Engine)
یک پلتفرم جامع کنترل دسترسی شبکه است که با ترکیب احراز هویت، مجوزدهی و ارزیابی وضعیت امنیتی دستگاهها، سیاستهای سازمان را بهصورت متمرکز اجرا میکند( چه دستگاههایی با چه خصوصیتی و چطور به شبکه وصل شوند) . این سامانه ابتدا هویت کاربر یا دستگاه را از طریق روشهایی مانند 802.1X، MAB یا WebAuth تأیید میکند و اعتبار آن را در برابر منابعی مثل Active Directory یا LDAP میسنجد. سپس بر اساس Policy تعریفشده، سطح دسترسی مناسب را اعطا یا محدود میکند و در صورت نیاز کاربر را به VLAN یا ناحیه قرنطینه هدایت مینماید.
وISE با قابلیت Posture Assessment سلامت سیستم را بررسی میکند (آپدیت آنتیویروس، فعالبودن فایروال، نصب پچها) و بهطور خودکار دستگاههای Guest یا BYOD را از طریق پورتال امن پشتیبانی میکند. همچنین با Device Profiling نوع دستگاه را شناسایی کرده و سیاست متناسب اعمال مینماید.
این سامانه گزارشگیری و نظارت امنیتی را برای تیم SOC/Network Security ساده کرده و امکان ادغام با محصولات دیگر Cisco مثل Firepower یا Stealthwatch را دارد. در مدل TrustSec نیز میتواند سیاستها را بر اساس برچسبهای امنیتی (SGT) در سراسر شبکه enforce کند.
🎯 با این ابزار شما از لایه دو به بالا بر ابزارهایی که به شبکه شما متصل میشوند و کاربران کنترل دارید.
💬 امنیت فقط کشف و SOC نیست! اقدامات پیشگیرانه هم بخشی از پوستر امنیت است.
#آکادمی_روزبه
Cisco ISE (Identity Services Engine)
یک پلتفرم جامع کنترل دسترسی شبکه است که با ترکیب احراز هویت، مجوزدهی و ارزیابی وضعیت امنیتی دستگاهها، سیاستهای سازمان را بهصورت متمرکز اجرا میکند( چه دستگاههایی با چه خصوصیتی و چطور به شبکه وصل شوند) . این سامانه ابتدا هویت کاربر یا دستگاه را از طریق روشهایی مانند 802.1X، MAB یا WebAuth تأیید میکند و اعتبار آن را در برابر منابعی مثل Active Directory یا LDAP میسنجد. سپس بر اساس Policy تعریفشده، سطح دسترسی مناسب را اعطا یا محدود میکند و در صورت نیاز کاربر را به VLAN یا ناحیه قرنطینه هدایت مینماید.
وISE با قابلیت Posture Assessment سلامت سیستم را بررسی میکند (آپدیت آنتیویروس، فعالبودن فایروال، نصب پچها) و بهطور خودکار دستگاههای Guest یا BYOD را از طریق پورتال امن پشتیبانی میکند. همچنین با Device Profiling نوع دستگاه را شناسایی کرده و سیاست متناسب اعمال مینماید.
این سامانه گزارشگیری و نظارت امنیتی را برای تیم SOC/Network Security ساده کرده و امکان ادغام با محصولات دیگر Cisco مثل Firepower یا Stealthwatch را دارد. در مدل TrustSec نیز میتواند سیاستها را بر اساس برچسبهای امنیتی (SGT) در سراسر شبکه enforce کند.
#آکادمی_روزبه
Please open Telegram to view this post
VIEW IN TELEGRAM
❤9🙏1💯1
#نکته_ریزه_در_امنیت
تقویت امنیت احراز هویت MAB در شبکههای سازمانی مبتنی بر Cisco ISE
در معماریهای شبکه سازمانی که از Cisco ISE (Identity Services Engine) برای کنترل دسترسی استفاده میکنند، روش MAB – MAC Authentication Bypass اغلب برای تجهیزاتی به کار میرود که از احراز هویت 802.1X پشتیبانی نمیکنند؛ مانند چاپگرها، تلفنهای IP یا تجهیزات IoT. این مکانیزم به سوئیچ اجازه میدهد با استفاده از آدرس MAC دستگاه، احراز هویت اولیه را انجام دهد. هرچند MAB ساده و سازگار با تجهیزات قدیمی است، اما ذاتاً ضعف امنیتی مهمی دارد: آدرس MAC را میتوان بهآسانی جعل (Spoof) کرد و مهاجم میتواند با تقلید MAC دستگاه مجاز، دسترسی غیرمجاز به شبکه بهدست آورد. این مسئله بهویژه در لایه دسترسی (Access Layer) خطرناک است، زیرا مهاجم مستقیماً به شبکه داخلی متصل میشود و ممکن است به منابع حساس دسترسی پیدا کند.
📊 برای کنترل این ریسک، باید MAB در کنار چندین لایه حفاظتی استفاده شود. نخستین اقدام، فعالسازی Device Profiling در ISE است تا نوع واقعی دستگاه بر اساس ویژگیهای شبکهای (DHCP، SNMP، LLDP Fingerprint) شناسایی شود و از ورود دستگاههای جعلشده جلوگیری گردد. سپس، تخصیص VLAN محدود (Restricted VLAN) برای همه دستگاههای MAB باعث میشود حتی در صورت حمله، دسترسی مهاجم به حداقل برسد. در سطح سوئیچ نیز باید از Port Security با تنظیم پارامترهایی مانند Sticky MAC و Maximum 1 MAC per Port استفاده کرد تا ورود MAC جدید غیرمجاز موجب غیرفعال شدن پورت شود.
افزونبر این، اجرای زمانبندی Re-authentication، محدود کردن مدت اعتبار نشستها، و بهکارگیری Cisco TrustSec SGT Tagging برای تفکیک منطقی جریانهای ترافیکی موجب کاهش سطح حمله و افزایش قابلیت کنترل میشود. ترکیب این ابزارها موجب میشود MAB- با وجود سادگی و ضعف ذاتی در برابر Spoofing-به روشی امنتر و قابل اعتماد برای شبکههای بزرگ تبدیل گردد.
🔭 متخصص کسی است که چالش را حل میکند. متخصص امنیت کسی است که برای دنیای پرچالش امنیت راهکارهای مقرون به صرفه در راستای بیزنس و قانون دارد ( بخشی از درس CISSP)
#آکادمی_روزبه
تقویت امنیت احراز هویت MAB در شبکههای سازمانی مبتنی بر Cisco ISE
در معماریهای شبکه سازمانی که از Cisco ISE (Identity Services Engine) برای کنترل دسترسی استفاده میکنند، روش MAB – MAC Authentication Bypass اغلب برای تجهیزاتی به کار میرود که از احراز هویت 802.1X پشتیبانی نمیکنند؛ مانند چاپگرها، تلفنهای IP یا تجهیزات IoT. این مکانیزم به سوئیچ اجازه میدهد با استفاده از آدرس MAC دستگاه، احراز هویت اولیه را انجام دهد. هرچند MAB ساده و سازگار با تجهیزات قدیمی است، اما ذاتاً ضعف امنیتی مهمی دارد: آدرس MAC را میتوان بهآسانی جعل (Spoof) کرد و مهاجم میتواند با تقلید MAC دستگاه مجاز، دسترسی غیرمجاز به شبکه بهدست آورد. این مسئله بهویژه در لایه دسترسی (Access Layer) خطرناک است، زیرا مهاجم مستقیماً به شبکه داخلی متصل میشود و ممکن است به منابع حساس دسترسی پیدا کند.
افزونبر این، اجرای زمانبندی Re-authentication، محدود کردن مدت اعتبار نشستها، و بهکارگیری Cisco TrustSec SGT Tagging برای تفکیک منطقی جریانهای ترافیکی موجب کاهش سطح حمله و افزایش قابلیت کنترل میشود. ترکیب این ابزارها موجب میشود MAB- با وجود سادگی و ضعف ذاتی در برابر Spoofing-به روشی امنتر و قابل اعتماد برای شبکههای بزرگ تبدیل گردد.
#آکادمی_روزبه
Please open Telegram to view this post
VIEW IN TELEGRAM
👏5👌3❤2🙏1💯1
درس امشب برای شما
#آکادمی_روزبه
NtfsAlternateDataStreams.pdf
https://www.winitor.com/pdf/NtfsAlternateDataStreams.pdf
#آکادمی_روزبه
NtfsAlternateDataStreams.pdf
https://www.winitor.com/pdf/NtfsAlternateDataStreams.pdf
❤5👌2🙏1💯1
و اما مقاله ای که امشب میخوانم
https://certcentral.org/training
بازی هکر ها در زمین سرتیفیکیت و کد ها
#آکادمی_روزبه
https://certcentral.org/training
بازی هکر ها در زمین سرتیفیکیت و کد ها
#آکادمی_روزبه
👌6❤1🙏1
کشف تزریق حافظه با Sysmon ؛ آیا امکان پذیر است؟
تحلیل کاربرد و محدودیت در محیطهای SOC
✍روزبه نوروزی
مقوله Sysmon یکی از مؤثرترین مؤلفههای قابل استفاده در سطح سیستمعامل برای کشف فعالیتهای تزریق حافظه است و در صورت تنظیم درست، قادر به شناسایی تهدیدهای کلاسیک نظیر DLL Injection و Remote Thread Creation میباشد.
این ابزار با ثبت رویدادهای حیاتی مانندProcessAccess (Event ID 10) و CreateRemoteThread (Event ID 8)، رفتارهایی را آشکار میکند که اغلب در حملات تزریقی مشاهده میشوند؛ از جمله نوشتن کد اجرایی در حافظه فرآیندهای معتبر یا ایجاد رشتههای اجرایی از راه دور. ترکیب این رویدادها پایهای محکم برای تشخیص اولیه تزریقهای سنتی در سطح User Mode فراهم میسازد.
با این حال، قابلیت Sysmon محدود به پوشش تزریقهای سطح بالا است. روشهایی مانند Asynchronous Procedure Call (APC) Injection، Thread Hijacking یا استفاده از Native Syscalls اغلب فراتر از دید Sysmon عمل میکنند زیرا در سطح کرنل یا از مسیرهای غیرمعمول فراخوانیهای سیستمی رخ میدهند. کشف این نوع رفتارها مستلزم بهکارگیری EDR پیشرفته یا ثبت رویدادهای ETW‑based telemetry است تا بتوان تجزیه و تحلیل عمیقتر بر اساس contextهای حافظه انجام داد.
در نهایت، اعتبار نتایج Sysmon زمانی بالاتر میرود که دادههای جمعآوریشده در SIEM همبسته شوند؛ یعنی لاگهای Sysmon همزمان با رفتارهای شبکه و نمودارهای Parent‑Child Process تحلیل شوند. این همبستگی چندلایه، از تشخیص سطح لاگ فراتر رفته و دیدی جامع از رفتار مهاجم در محیط سازمان ارائه میدهد ؛ همان چیزی که یک SOC مدرن برای پاسخ مؤثر و دقیق به حملات مبتنی بر تزریق حافظه به آن نیاز دارد.
پس در انتخاب EDR خود دقت کنید تا SOC شما کور نشود !!
و محدودیت های سیسمون رو بشناسید
#آکادمی_روزبه
تحلیل کاربرد و محدودیت در محیطهای SOC
✍روزبه نوروزی
مقوله Sysmon یکی از مؤثرترین مؤلفههای قابل استفاده در سطح سیستمعامل برای کشف فعالیتهای تزریق حافظه است و در صورت تنظیم درست، قادر به شناسایی تهدیدهای کلاسیک نظیر DLL Injection و Remote Thread Creation میباشد.
این ابزار با ثبت رویدادهای حیاتی مانندProcessAccess (Event ID 10) و CreateRemoteThread (Event ID 8)، رفتارهایی را آشکار میکند که اغلب در حملات تزریقی مشاهده میشوند؛ از جمله نوشتن کد اجرایی در حافظه فرآیندهای معتبر یا ایجاد رشتههای اجرایی از راه دور. ترکیب این رویدادها پایهای محکم برای تشخیص اولیه تزریقهای سنتی در سطح User Mode فراهم میسازد.
با این حال، قابلیت Sysmon محدود به پوشش تزریقهای سطح بالا است. روشهایی مانند Asynchronous Procedure Call (APC) Injection، Thread Hijacking یا استفاده از Native Syscalls اغلب فراتر از دید Sysmon عمل میکنند زیرا در سطح کرنل یا از مسیرهای غیرمعمول فراخوانیهای سیستمی رخ میدهند. کشف این نوع رفتارها مستلزم بهکارگیری EDR پیشرفته یا ثبت رویدادهای ETW‑based telemetry است تا بتوان تجزیه و تحلیل عمیقتر بر اساس contextهای حافظه انجام داد.
در نهایت، اعتبار نتایج Sysmon زمانی بالاتر میرود که دادههای جمعآوریشده در SIEM همبسته شوند؛ یعنی لاگهای Sysmon همزمان با رفتارهای شبکه و نمودارهای Parent‑Child Process تحلیل شوند. این همبستگی چندلایه، از تشخیص سطح لاگ فراتر رفته و دیدی جامع از رفتار مهاجم در محیط سازمان ارائه میدهد ؛ همان چیزی که یک SOC مدرن برای پاسخ مؤثر و دقیق به حملات مبتنی بر تزریق حافظه به آن نیاز دارد.
پس در انتخاب EDR خود دقت کنید تا SOC شما کور نشود !!
و محدودیت های سیسمون رو بشناسید
#آکادمی_روزبه
🔥10
آکادمی آموزش روزبه 📚
کشف تزریق حافظه با Sysmon ؛ آیا امکان پذیر است؟ تحلیل کاربرد و محدودیت در محیطهای SOC ✍روزبه نوروزی مقوله Sysmon یکی از مؤثرترین مؤلفههای قابل استفاده در سطح سیستمعامل برای کشف فعالیتهای تزریق حافظه است و در صورت تنظیم درست، قادر به شناسایی تهدیدهای…
واتس اپ 09902857290
بدلیل اینکه اغلب دوستان در آخرین لحظات ثبت نام میکنند و این ما را دچار مشکل میکند ؛ برای برآورد شرکت کنندگان مجبور به اعمال تخفیف پلکانی هستیم لذا اگر زودتر اقدام کنید بیشتر تخفیف شامل حالتان میشود
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡6❤2
یه دوستی تا بحث در SOC میشد میگفت اگر ETW کور بشه دیگه تعطیل شدیم
بله
در دنیای امنیت عملیاتی، EDRها برای بینایی دیجیتال خود بیش از هر چیز به Event Tracing for Windows (ETW) متکیاند. ETW مثل چشم سیستمعامل است: رویدادها را ثبت و آنها را به Sysmon، SIEM و موتور EDR میرساند.
اما بدافزارهای پیشرفتهای چونSilence، TrickBot و برخیRedTeam loaders با Patch کردن توابعی مثل EtwEventWrite و EtwNotificationRegister یا حذف کامل providerهای WMI و Defender از رجیستری، این چشم را کور میکنند.
در این نقطه، تمام حسگرهای سطح کاربر بیاطلاع میمانند و سازمان عملاً در تاریکی تهدید فعالیت میکند.
در چنین سناریویی، تنها EDRهای حرفهای دوام میآورند ؛ آنهایی که میتوانند fallback به Kernel‑Driver Tracing داشته باشند. آنها مستقیماً رفتار سیستم را از طریق syscall hooking در توابعی چون NtCreateUserProcess, ZwMapViewOfSection و NtWriteVirtualMemory تحلیل میکنند.
این توانایی که من در Trendmicro دیدم یعنی دید زنده در سطح حافظه، جایی که بدافزار هنوز نمیتواند وانمود کند که وجود ندارد.
بههمین دلیل، بین یک sensor سبک و EDR واقعی مرزی وجود دارد:
یکی فقط log میخواند، دیگری واقعیت را در کرنل میبیند.
نکته مدیریتی : ما بعنوان معمار و مدیر امنیت در سازمان باید با شناخت پروفایل ریسک سازمان کنترل متناسب را انتخاب کنیم. شناخت درست ما از ریسک ما را بدانجا میرساند که با هر EDR کنار نیاییم . پس شما بعنوان مدیر یا کارشناس ارشد امنیت ، وظیفه اصلی ات رو فراموش نکن.
بله
در دنیای امنیت عملیاتی، EDRها برای بینایی دیجیتال خود بیش از هر چیز به Event Tracing for Windows (ETW) متکیاند. ETW مثل چشم سیستمعامل است: رویدادها را ثبت و آنها را به Sysmon، SIEM و موتور EDR میرساند.
اما بدافزارهای پیشرفتهای چونSilence، TrickBot و برخیRedTeam loaders با Patch کردن توابعی مثل EtwEventWrite و EtwNotificationRegister یا حذف کامل providerهای WMI و Defender از رجیستری، این چشم را کور میکنند.
در این نقطه، تمام حسگرهای سطح کاربر بیاطلاع میمانند و سازمان عملاً در تاریکی تهدید فعالیت میکند.
در چنین سناریویی، تنها EDRهای حرفهای دوام میآورند ؛ آنهایی که میتوانند fallback به Kernel‑Driver Tracing داشته باشند. آنها مستقیماً رفتار سیستم را از طریق syscall hooking در توابعی چون NtCreateUserProcess, ZwMapViewOfSection و NtWriteVirtualMemory تحلیل میکنند.
این توانایی که من در Trendmicro دیدم یعنی دید زنده در سطح حافظه، جایی که بدافزار هنوز نمیتواند وانمود کند که وجود ندارد.
بههمین دلیل، بین یک sensor سبک و EDR واقعی مرزی وجود دارد:
یکی فقط log میخواند، دیگری واقعیت را در کرنل میبیند.
نکته مدیریتی : ما بعنوان معمار و مدیر امنیت در سازمان باید با شناخت پروفایل ریسک سازمان کنترل متناسب را انتخاب کنیم. شناخت درست ما از ریسک ما را بدانجا میرساند که با هر EDR کنار نیاییم . پس شما بعنوان مدیر یا کارشناس ارشد امنیت ، وظیفه اصلی ات رو فراموش نکن.
👍4💯2
تحلیل MORT در شناسایی علل ریشهای حوادث امنیتی
تحلیل MORT (Management Oversight and Risk Tree) یکی از روشهای ساختاری و نظاممند برای شناسایی علل ریشهای حوادث و رخدادهای امنیتی است. این روش با استفاده از یک «درخت ریسک» به تحلیل دو دسته عامل میپردازد: نقص در کنترلها و نارساییهای مدیریتی. MORT فراتر از بررسی خطای انسانی یا نقص فنی عمل میکند و نشان میدهد که بسیاری از حوادث امنیتی ناشی از ضعف در سیاستها، فرآیندها، آموزش، تخصیص منابع یا نظارت مدیریتی است. با تجزیهوتحلیل هر گره از درخت، سازمان میتواند علتهای واقعی یک حادثه را شناسایی کرده و از اقدامات سطحی اجتناب کند. استفاده از MORT در محیطهای امنیت سایبری کمک میکند تا کنترلها مؤثرتر طراحی شوند، شکافهای مدیریتی کاهش یابد و احتمال تکرار حوادث مشابه به حداقل برسد. این رویکرد، دیدی جامع و سازمانمحور نسبت به مدیریت ریسک و پاسخگویی به رخدادها ارائه میدهد.
مثال MORT در یک حمله APT
یک سازمان دولتی هدف یک APT قرار میگیرد. مهاجم با استفاده از spear-phishing وارد شبکه شده، یک backdoor نصب میکند و پس از چهار ماه حرکت جانبی (Lateral Movement)، دادههای حساس را استخراج میکند. حادثه زمانی کشف میشود که SOC یک الگوی غیرمعمول ترافیک خروجی را مشاهده میکند.
تحلیل MORT: ریشههای فنی و مدیریتی
✔ مسیر ۱: نقص در کنترلها (Control Factors)
وصلهها برای دو سرور حیاتی ۶ ماه نصب نشده بود
فرآیند Patch Management ناکارآمد
وEDR در بخش عملیات غیرفعال شده بود
عدم مانیتورینگ رفتار endpoint
هشدارهای SIEM بهدلیل misconfiguration به Incident Queue منتقل نمیشد
وMFA روی حسابهای ادمین فعال نبود
مهاجم بهراحتی Privilege Escalation انجام داد
✔ مسیر ۲: نارساییهای مدیریتی (Management Factors)
کمبود نیرو در تیم امنیت
پاسخگویی و نظارت کاهش یافته
نبود سیاست الزامآور برای مقاوم سازی سیستمها
عدم آموزش امنیتی برای کارکنان
موفقیت spear-phishing
رد شدن درخواست بودجه EDR در سال گذشته
تصمیم مدیریتی ضعیف
عدم انجام Red Team یا Threat Hunting دورهای
نتیجه MORT
علت اصلی حادثه تنها «فیشینگ» نبود؛
حادثه نتیجه ترکیبی از ضعفهای مدیریتی، کنترلهای ناقص، و نظارت ناکافی بود.
تحلیل MORT نشان داد که ریسک واقعی در سازمان نه در یک نقطه، بلکه در سیستم مدیریتی و ساختار امنیتی نهفته بوده است.
منبع : درس CISSP
اگر خوب دقت کنید با استفاده از تحلیل فوق ، بسیار بهتر میتوان حوادث سایبری ایران را تحلیل و ریشه یابی کرد. این روش برای یافتن دلایل واقعی خصوصا نوع مدیریتی ( که اغلب پنهان هستند ) بسیار کارا است
#آکادمی_روزبه
تحلیل MORT (Management Oversight and Risk Tree) یکی از روشهای ساختاری و نظاممند برای شناسایی علل ریشهای حوادث و رخدادهای امنیتی است. این روش با استفاده از یک «درخت ریسک» به تحلیل دو دسته عامل میپردازد: نقص در کنترلها و نارساییهای مدیریتی. MORT فراتر از بررسی خطای انسانی یا نقص فنی عمل میکند و نشان میدهد که بسیاری از حوادث امنیتی ناشی از ضعف در سیاستها، فرآیندها، آموزش، تخصیص منابع یا نظارت مدیریتی است. با تجزیهوتحلیل هر گره از درخت، سازمان میتواند علتهای واقعی یک حادثه را شناسایی کرده و از اقدامات سطحی اجتناب کند. استفاده از MORT در محیطهای امنیت سایبری کمک میکند تا کنترلها مؤثرتر طراحی شوند، شکافهای مدیریتی کاهش یابد و احتمال تکرار حوادث مشابه به حداقل برسد. این رویکرد، دیدی جامع و سازمانمحور نسبت به مدیریت ریسک و پاسخگویی به رخدادها ارائه میدهد.
مثال MORT در یک حمله APT
یک سازمان دولتی هدف یک APT قرار میگیرد. مهاجم با استفاده از spear-phishing وارد شبکه شده، یک backdoor نصب میکند و پس از چهار ماه حرکت جانبی (Lateral Movement)، دادههای حساس را استخراج میکند. حادثه زمانی کشف میشود که SOC یک الگوی غیرمعمول ترافیک خروجی را مشاهده میکند.
تحلیل MORT: ریشههای فنی و مدیریتی
✔ مسیر ۱: نقص در کنترلها (Control Factors)
وصلهها برای دو سرور حیاتی ۶ ماه نصب نشده بود
فرآیند Patch Management ناکارآمد
وEDR در بخش عملیات غیرفعال شده بود
عدم مانیتورینگ رفتار endpoint
هشدارهای SIEM بهدلیل misconfiguration به Incident Queue منتقل نمیشد
وMFA روی حسابهای ادمین فعال نبود
مهاجم بهراحتی Privilege Escalation انجام داد
✔ مسیر ۲: نارساییهای مدیریتی (Management Factors)
کمبود نیرو در تیم امنیت
پاسخگویی و نظارت کاهش یافته
نبود سیاست الزامآور برای مقاوم سازی سیستمها
عدم آموزش امنیتی برای کارکنان
موفقیت spear-phishing
رد شدن درخواست بودجه EDR در سال گذشته
تصمیم مدیریتی ضعیف
عدم انجام Red Team یا Threat Hunting دورهای
نتیجه MORT
علت اصلی حادثه تنها «فیشینگ» نبود؛
حادثه نتیجه ترکیبی از ضعفهای مدیریتی، کنترلهای ناقص، و نظارت ناکافی بود.
تحلیل MORT نشان داد که ریسک واقعی در سازمان نه در یک نقطه، بلکه در سیستم مدیریتی و ساختار امنیتی نهفته بوده است.
منبع : درس CISSP
اگر خوب دقت کنید با استفاده از تحلیل فوق ، بسیار بهتر میتوان حوادث سایبری ایران را تحلیل و ریشه یابی کرد. این روش برای یافتن دلایل واقعی خصوصا نوع مدیریتی ( که اغلب پنهان هستند ) بسیار کارا است
#آکادمی_روزبه
👌6💯2
595: Applied Data Science and AI/Machine Learning for Cybersecurity Professionals
تنها دوره هوش مصنوعی برای متخصصان امنیت در ایران
رزو بدلیل محدودیت 09902857290
www.haumoun.com
#آکادمی_روزبه
سرفصل اصل
https://www.sans.org/cyber-security-courses/applied-data-science-machine-learning
تنها دوره هوش مصنوعی برای متخصصان امنیت در ایران
رزو بدلیل محدودیت 09902857290
www.haumoun.com
#آکادمی_روزبه
سرفصل اصل
https://www.sans.org/cyber-security-courses/applied-data-science-machine-learning
💯4😍2
معماری اعتماد: چگونه TPM Attestation پایهی Zero‑Trust میشود
روزبه نوروزی
در معماری امنیت سازمانی، تکنولوژی TPM Attestation نقشی حیاتی در شکلدهی به زنجیره اعتماد (Chain of Trust) ایفا میکند. مقولهTPM یا Trusted Platform Module، تراشهای سختافزاریست که هدف آن تضمین صحت و تمامیت اجزای حیاتی سیستم مانند بوتلودر، درایورهای کرنل و هسته سیستمعامل است. فرآیند Attestation، مرحلهای از تصدیق وضعیت دستگاه محسوب میشود که طی آن سیستم با استفاده از کلیدهای داخلی TPM، اثبات میکند در حالت مجاز و بدون تغییرات مخرب قرار دارد.
در جریان بوت، TPM مجموعهای از اندازهگیریها را در رجیسترهای مخصوص به نام PCR – Platform Configuration Registers ثبت میکند. این مقادیر سپس توسط سرور مرکزی یا پلتفرم امنیتی تأییدکننده (Verifier) بررسی و با Baseline مورد انتظار مقایسه میشوند. هرگونه تناقض در این دادهها نشانگر انحراف از پیکربندی امن یا تلاش برای رخنه در زنجیره بوت است.
از منظر معمار امنیت، TPM Attestation ابزار پایه در اجرای Secure Boot و Measured Boot محسوب میشود. در معماریهای پیشرفته مانند Zero‑Trust Enterprise Architecture، این سازوکار پیششرط دسترسی دستگاهها به شبکه سازمانی یا سرویسهای حساس است. در EDRهای سطح بالا نیز از Attestation برای اطمینان از فعال بودن driverهای مجاز در سطح کرنل استفاده میشود.
در نهایت، باید TPM Attestation را نه صرفاً ویژگی سختافزاری، بلکه نقطه آغاز اعتماد دیجیتال سازمان دانست؛ جاییکه اعتبار امنیتی از سختافزار شروع و تا سطح نرمافزار و هویت دستگاه امتداد مییابد ؛ تحقق واقعی اصل "Never trust, always verify" در معماری مدرن سایبری.
سوال: آیا پلتفرم امنیتی تأییدکننده (Verifier) در سازمان دارید ؟
#آکادمی_روزبه
روزبه نوروزی
در معماری امنیت سازمانی، تکنولوژی TPM Attestation نقشی حیاتی در شکلدهی به زنجیره اعتماد (Chain of Trust) ایفا میکند. مقولهTPM یا Trusted Platform Module، تراشهای سختافزاریست که هدف آن تضمین صحت و تمامیت اجزای حیاتی سیستم مانند بوتلودر، درایورهای کرنل و هسته سیستمعامل است. فرآیند Attestation، مرحلهای از تصدیق وضعیت دستگاه محسوب میشود که طی آن سیستم با استفاده از کلیدهای داخلی TPM، اثبات میکند در حالت مجاز و بدون تغییرات مخرب قرار دارد.
در جریان بوت، TPM مجموعهای از اندازهگیریها را در رجیسترهای مخصوص به نام PCR – Platform Configuration Registers ثبت میکند. این مقادیر سپس توسط سرور مرکزی یا پلتفرم امنیتی تأییدکننده (Verifier) بررسی و با Baseline مورد انتظار مقایسه میشوند. هرگونه تناقض در این دادهها نشانگر انحراف از پیکربندی امن یا تلاش برای رخنه در زنجیره بوت است.
از منظر معمار امنیت، TPM Attestation ابزار پایه در اجرای Secure Boot و Measured Boot محسوب میشود. در معماریهای پیشرفته مانند Zero‑Trust Enterprise Architecture، این سازوکار پیششرط دسترسی دستگاهها به شبکه سازمانی یا سرویسهای حساس است. در EDRهای سطح بالا نیز از Attestation برای اطمینان از فعال بودن driverهای مجاز در سطح کرنل استفاده میشود.
در نهایت، باید TPM Attestation را نه صرفاً ویژگی سختافزاری، بلکه نقطه آغاز اعتماد دیجیتال سازمان دانست؛ جاییکه اعتبار امنیتی از سختافزار شروع و تا سطح نرمافزار و هویت دستگاه امتداد مییابد ؛ تحقق واقعی اصل "Never trust, always verify" در معماری مدرن سایبری.
سوال: آیا پلتفرم امنیتی تأییدکننده (Verifier) در سازمان دارید ؟
#آکادمی_روزبه
💯7❤3
اخلاق و امنیت سایبری : تناظر اصول ISC2 با مفاهیم دینی
روزبه نوروزی
اخلاق در امنیت سایبری حیاتی است، زیرا متخصصان به حساسترین دادهها و زیرساختها دسترسی دارند و به نوعی دارایی سازمانها و افراد در اختیار آنها است. نبودِ اخلاق میتواند به سوءاستفاده، افشای اطلاعات، اختلال سازمانی و از بین رفتن اعتماد عمومی و نقض حریم شخصی و تبعات قانونی منجر شود. رفتار مسئولانه و شفاف، تنها راه جلوگیری از خطرات بزرگ و حفظ امنیت پایدار است.
اصول اخلاقی ISC2 پایهای برای رفتار حرفهای در امنیت سایبری هستند و بر ضرورت اعتماد، مسئولیتپذیری و خدمت صادقانه تأکید میکنند. این اصول متخصص امنیت را موظف میکنند از جامعه، منافع عمومی و زیرساختها محافظت کند، با صداقت و شرافت رفتار کند، خدمات دقیق و توانمند ارائه دهد و حرفهٔ امنیت سایبری را ارتقا دهد. با توجه به دسترسی گستردهٔ متخصصان به دادههای حساس، پایبندی به اخلاق برای جلوگیری از سوءاستفاده، حفظ اعتماد و مدیریت خطرات ضروری است. این چارچوب بهعنوان یک قطبنما، تصمیمگیری در شرایط پیچیده و حساس را هدایت میکند.
🌼تناظر مفهومی میان اصول اخلاقی ISC2 و آموزههای اخلاقی قرآن:
1) Protect Society
حفاظت از جامعه و خیر عمومی
ISC2:
حفاظت از جامعه، اعتماد عمومی و زیرساختها
قرآن:
«وَلَا تُفْسِدُوا فِي الْأَرْضِ» (بقره 11)
آموزه: جلوگیری از هرگونه فساد، تخریب یا زیان به جامعه.
2) Act Honestly and Justly
صداقت و عدالت
ISC2:
رفتار شرافتمندانه، صادقانه و عادلانه
قرآن:
«إِنَّ اللَّهَ يَأْمُرُكُمْ أَنْ تُؤَدُّوا الْأَمَانَاتِ إِلَىٰ أَهْلِهَا» (نساء 58)
آموزه: امانتداری، عدالت و مسئولیت در برابر آنچه در اختیار فرد قرار گرفته است.
3) Provide Competent Service
خدمت دقیق و مسئولانه
ISC2:
ارائهٔ خدمت توانمند و مسئولانه به صاحبان سیستم
قرآن:
«وَقُلِ اعْمَلُوا فَسَيَرَى اللَّهُ عَمَلَكُمْ» (توبه 105)
آموزه: کار با کیفیت، مسئولیتپذیری و توجه به اثر اعمال.
4) Advance and Protect the Profession
ارتقای حرفه و حفاظت از اعتبار آن
ISC2:
حمایت از حرفه، جلوگیری از رفتارهایی که وجههٔ امنیت را تخریب میکند
قرآن:
«وَتَعَاوَنُوا عَلَى الْبِرِّ وَالتَّقْوَىٰ» (مائده 2)
آموزه: همکاری برای کارهای نیک و پرهیز از رفتارهای مخرب.
نتیجهگیری
میتوان گفت اصول اخلاقی ISC2 و قرآن در سطح ارزش اخلاقی تناظر واضح دارند:
آرامش جامعه، امانتداری، صداقت، مسئولیتپذیری، جلوگیری از زیان و تلاش برای خیر عمومی.
این نوع تطابق نهتنها ممکن، بلکه برای ایجاد فرهنگ اخلاقی در امنیت سایبری ایران بسیار ارزشمند است.
روزبه نوروزی
اخلاق در امنیت سایبری حیاتی است، زیرا متخصصان به حساسترین دادهها و زیرساختها دسترسی دارند و به نوعی دارایی سازمانها و افراد در اختیار آنها است. نبودِ اخلاق میتواند به سوءاستفاده، افشای اطلاعات، اختلال سازمانی و از بین رفتن اعتماد عمومی و نقض حریم شخصی و تبعات قانونی منجر شود. رفتار مسئولانه و شفاف، تنها راه جلوگیری از خطرات بزرگ و حفظ امنیت پایدار است.
اصول اخلاقی ISC2 پایهای برای رفتار حرفهای در امنیت سایبری هستند و بر ضرورت اعتماد، مسئولیتپذیری و خدمت صادقانه تأکید میکنند. این اصول متخصص امنیت را موظف میکنند از جامعه، منافع عمومی و زیرساختها محافظت کند، با صداقت و شرافت رفتار کند، خدمات دقیق و توانمند ارائه دهد و حرفهٔ امنیت سایبری را ارتقا دهد. با توجه به دسترسی گستردهٔ متخصصان به دادههای حساس، پایبندی به اخلاق برای جلوگیری از سوءاستفاده، حفظ اعتماد و مدیریت خطرات ضروری است. این چارچوب بهعنوان یک قطبنما، تصمیمگیری در شرایط پیچیده و حساس را هدایت میکند.
🌼تناظر مفهومی میان اصول اخلاقی ISC2 و آموزههای اخلاقی قرآن:
1) Protect Society
حفاظت از جامعه و خیر عمومی
ISC2:
حفاظت از جامعه، اعتماد عمومی و زیرساختها
قرآن:
«وَلَا تُفْسِدُوا فِي الْأَرْضِ» (بقره 11)
آموزه: جلوگیری از هرگونه فساد، تخریب یا زیان به جامعه.
2) Act Honestly and Justly
صداقت و عدالت
ISC2:
رفتار شرافتمندانه، صادقانه و عادلانه
قرآن:
«إِنَّ اللَّهَ يَأْمُرُكُمْ أَنْ تُؤَدُّوا الْأَمَانَاتِ إِلَىٰ أَهْلِهَا» (نساء 58)
آموزه: امانتداری، عدالت و مسئولیت در برابر آنچه در اختیار فرد قرار گرفته است.
3) Provide Competent Service
خدمت دقیق و مسئولانه
ISC2:
ارائهٔ خدمت توانمند و مسئولانه به صاحبان سیستم
قرآن:
«وَقُلِ اعْمَلُوا فَسَيَرَى اللَّهُ عَمَلَكُمْ» (توبه 105)
آموزه: کار با کیفیت، مسئولیتپذیری و توجه به اثر اعمال.
4) Advance and Protect the Profession
ارتقای حرفه و حفاظت از اعتبار آن
ISC2:
حمایت از حرفه، جلوگیری از رفتارهایی که وجههٔ امنیت را تخریب میکند
قرآن:
«وَتَعَاوَنُوا عَلَى الْبِرِّ وَالتَّقْوَىٰ» (مائده 2)
آموزه: همکاری برای کارهای نیک و پرهیز از رفتارهای مخرب.
نتیجهگیری
میتوان گفت اصول اخلاقی ISC2 و قرآن در سطح ارزش اخلاقی تناظر واضح دارند:
آرامش جامعه، امانتداری، صداقت، مسئولیتپذیری، جلوگیری از زیان و تلاش برای خیر عمومی.
این نوع تطابق نهتنها ممکن، بلکه برای ایجاد فرهنگ اخلاقی در امنیت سایبری ایران بسیار ارزشمند است.
❤10👍4
دو راهی مدیران امنیت سایبری : SSL Inspection
روزبه نوروزی
در مقاله زیر بررسی کرده ام که SSL Inspection چگونه با شکستن موقت رمزگذاری TLS ؛ ترافیک را برای تهدیدات تحلیل میکند، اما از دید اخلاقی ممکن است نقض اعتماد و حریم خصوصی کاربران باشد. در متن مقاله جزئیات فنی مثل ساختار پراکسی، Root CA سازمانی، و مدل Selective Inspection اورده شده و تعارض میان امنیت سازمانی و استقلال فردی را تحلیل کردم. چارچوب اخلاقی شامل اصول شفافیت، تناسب، رضایت و پاسخگویی است و نتیجه گرفته ام که تنها اجرای شفاف و متناسب میتواند SSL Inspection را به ابزاری اخلاقی در امنیت سایبری تبدیل کند.
باید بدانیم این عمل نه صرفاً یک کنترل فنی، بلکه یک پیمان اخلاقی است: میان حق دفاع سازمان و حق اعتماد انسان. اجرای آن بدون شفافیت، امنیت را از معنا تهی میکند.
این مقاله بخشی از دوره تربیت CISO است که دیماه برگزار میکنم
مدیران برتر و اخلاق مدار سایبری ایران
مقاله کامل را در ویرگول بخوانید
https://vrgl.ir/9PZGy
روزبه نوروزی
در مقاله زیر بررسی کرده ام که SSL Inspection چگونه با شکستن موقت رمزگذاری TLS ؛ ترافیک را برای تهدیدات تحلیل میکند، اما از دید اخلاقی ممکن است نقض اعتماد و حریم خصوصی کاربران باشد. در متن مقاله جزئیات فنی مثل ساختار پراکسی، Root CA سازمانی، و مدل Selective Inspection اورده شده و تعارض میان امنیت سازمانی و استقلال فردی را تحلیل کردم. چارچوب اخلاقی شامل اصول شفافیت، تناسب، رضایت و پاسخگویی است و نتیجه گرفته ام که تنها اجرای شفاف و متناسب میتواند SSL Inspection را به ابزاری اخلاقی در امنیت سایبری تبدیل کند.
باید بدانیم این عمل نه صرفاً یک کنترل فنی، بلکه یک پیمان اخلاقی است: میان حق دفاع سازمان و حق اعتماد انسان. اجرای آن بدون شفافیت، امنیت را از معنا تهی میکند.
این مقاله بخشی از دوره تربیت CISO است که دیماه برگزار میکنم
مدیران برتر و اخلاق مدار سایبری ایران
مقاله کامل را در ویرگول بخوانید
https://vrgl.ir/9PZGy
ویرگول
بازرسی اس اس ال ؛ امنیت قابل توجیه یا تجاوز نامرئی؟ - ویرگول
SSL Inspection SSL Inspection — «امنیت قابل توجیه یا تجاوز نامرئی؟ تحلیل اخلاقی و فنی در لبه توازن اعتماد» مقدمه در محیطهای سازمانی که تر…
❤8👏2
نقطه عطف در تصمیم سازی مدیر امنیت
اهمیت انتخاب یا ترکیب چارچوبهای کنترلی در مدیریت امنیت اطلاعات
انتخاب یک چارچوب کنترلی مناسب توسط مدیر امنیت اطلاعات (Security Management Professional) یکی از بنیادیترین تصمیمات راهبردی در طراحی، توسعه و اجرای برنامه امنیت سازمان است. دلیل این اهمیت آن است که چارچوب کنترلی، ساختار پایهای برای تعریف سیاستها، استانداردها، کنترلها و روشهای اجرایی را فراهم میکند. بدون چنین چارچوبی، سیاستهای امنیتی بهصورت جزیرهای، پراکنده و بدون همترازی با ریسکها و الزامات کسبوکار شکل میگیرند و در نهایت نه قابل ممیزیاند و نه از منظر مدیریت ریسک قابلدفاع.
از سوی دیگر، هیچ چارچوب امنیتی بهتنهایی کامل نیست. برای مثال، ISO 27001 ساختاری قوی برای مدیریت کلان امنیت و ایجاد ISMS ارائه میدهد اما در جزئیات کنترلهای فنی محدود است. در مقابل، NIST SP 800-53 مجموعهای جامع از کنترلهای امنیتی عملیاتی و فنی را شامل میشود، اما برای بسیاری از سازمانها پیچیده و سنگین است. NIST CSF چارچوبی عالی برای همراستایی امنیت با ریسک و اهداف کسبوکار ارائه میکند، اما جایگزین کنترلهای دقیق عملیاتی نیست. بنابراین، مدیر امنیت ممکن است بهترین نتیجه را از ترکیب هوشمندانه چند چارچوب بهدست آورد؛ رویکردی که به آن Tailored Control Framework یا Hybrid Baseline گفته میشود.📡 ( بخشی از کارگاه عملی دوره CISO)
این ترکیب باعث میشود سیاستهای امنیتی هم از نظر فنی کامل باشند، هم از منظر کسبوکار همراستا، و هم در حوزه Governance قابلممیزی و قابلاجرا. چنین رویکردی امنیت را از یک فعالیت واکنشی به یک قابلیت راهبردی تبدیل میکند که میتواند با اولویتهای سازمان و اشتهای ریسک آن سازگار باشد. در نتیجه، چارچوب ترکیبی بومیشده تضمین میکند که امنیت سازمانی هدفمند، منعطف، مبتنی بر ریسک و قابلدفاع باقی بماند
دوره مدیریت ارشد امنیت CISO
مرکز تماس 09902857290 www.haumoun.com
اهمیت انتخاب یا ترکیب چارچوبهای کنترلی در مدیریت امنیت اطلاعات
انتخاب یک چارچوب کنترلی مناسب توسط مدیر امنیت اطلاعات (Security Management Professional) یکی از بنیادیترین تصمیمات راهبردی در طراحی، توسعه و اجرای برنامه امنیت سازمان است. دلیل این اهمیت آن است که چارچوب کنترلی، ساختار پایهای برای تعریف سیاستها، استانداردها، کنترلها و روشهای اجرایی را فراهم میکند. بدون چنین چارچوبی، سیاستهای امنیتی بهصورت جزیرهای، پراکنده و بدون همترازی با ریسکها و الزامات کسبوکار شکل میگیرند و در نهایت نه قابل ممیزیاند و نه از منظر مدیریت ریسک قابلدفاع.
از سوی دیگر، هیچ چارچوب امنیتی بهتنهایی کامل نیست. برای مثال، ISO 27001 ساختاری قوی برای مدیریت کلان امنیت و ایجاد ISMS ارائه میدهد اما در جزئیات کنترلهای فنی محدود است. در مقابل، NIST SP 800-53 مجموعهای جامع از کنترلهای امنیتی عملیاتی و فنی را شامل میشود، اما برای بسیاری از سازمانها پیچیده و سنگین است. NIST CSF چارچوبی عالی برای همراستایی امنیت با ریسک و اهداف کسبوکار ارائه میکند، اما جایگزین کنترلهای دقیق عملیاتی نیست. بنابراین، مدیر امنیت ممکن است بهترین نتیجه را از ترکیب هوشمندانه چند چارچوب بهدست آورد؛ رویکردی که به آن Tailored Control Framework یا Hybrid Baseline گفته میشود.
این ترکیب باعث میشود سیاستهای امنیتی هم از نظر فنی کامل باشند، هم از منظر کسبوکار همراستا، و هم در حوزه Governance قابلممیزی و قابلاجرا. چنین رویکردی امنیت را از یک فعالیت واکنشی به یک قابلیت راهبردی تبدیل میکند که میتواند با اولویتهای سازمان و اشتهای ریسک آن سازگار باشد. در نتیجه، چارچوب ترکیبی بومیشده تضمین میکند که امنیت سازمانی هدفمند، منعطف، مبتنی بر ریسک و قابلدفاع باقی بماند
دوره مدیریت ارشد امنیت CISO
مرکز تماس 09902857290 www.haumoun.com
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8
این مقاله Matrix Push C2 که در GBHackers On Security منتشر شده، به بررسی یک چارچوب جدید فرمان-و-کنترل (C2) میپردازد که از طریق قابلیت «اعلان پوش» (Browser Push Notifications) در مرورگرها استفاده میکند تا فایلبدافزارها یا کمپینهای فیشینگ را بدون فایل سنتی اجرا نماید.
🔍 نکات کلیدی مقاله
مهاجمین ابتدا کاربر را وادار میکنند اعلانهای مرورگر را فعال کند؛ سپس از این کانال بهعنوان مسیر دائمی ارسال پیام به دستگاه قربانی استفاده میکنند.
این روش از بسیاری از راهکارهای دفاعی سنتی عبور میکند چون مبتنی بر ویژگی بومی مرورگر است (Push Notifications) و نیازی به فایل اجرایی ندارد.
داشبوردِ این چارچوب امکان دنبال کردن تعداد کل کلاینتها، نرخ تحویل اعلان، تحلیل کاربران، و تجزیهوتحلیل کلیکها را میدهد که شبیه ابزارهای اتوماسیون بازاریابی است ولی برای مقاصد مخرب.
روشهای کاهش خطر پیشنهاد شده شامل هوشیاری کاربران نسبت به درخواستهای اعلان از وبسایتها، خودداری از کلیک روی اعلانهای ناشناس، و ایجاد سیاست برای مجوز اعلان مرورگر هستند.
✅ اهمیت برای تیمهای SOC / تحلیلگر تهدید
این مقاله نشان میدهد که چگونه یک مسیر جدید و نسبتاً کمموردِ توجه (Browser Push Notifications) به ابزار مهاجم تبدیل شده — یعنی یک اثر پوششنداشتن (Blind Spot) در بسیاری از ابزارهای مرسوم مانیتورینگ و دفاع.
برای تیمهای SOC و تحلیلگران امنیتی بسیار مهم است که:
این نوع حملات را در ماتریس تهدید خود بگنجانند
مکانیزمهای نظارت بر اعلانهای مرورگر و فعالیتهای ناشناخته push را ایجاد نمایند
سیاستهای محدودسازی («deny by default») برای اعلان پوش مرورگر و آموزش کاربران در این زمینه داشته باشند
#آکادمی_روزبه
https://gbhackers.com/matrix-push-c2/
🔍 نکات کلیدی مقاله
مهاجمین ابتدا کاربر را وادار میکنند اعلانهای مرورگر را فعال کند؛ سپس از این کانال بهعنوان مسیر دائمی ارسال پیام به دستگاه قربانی استفاده میکنند.
این روش از بسیاری از راهکارهای دفاعی سنتی عبور میکند چون مبتنی بر ویژگی بومی مرورگر است (Push Notifications) و نیازی به فایل اجرایی ندارد.
داشبوردِ این چارچوب امکان دنبال کردن تعداد کل کلاینتها، نرخ تحویل اعلان، تحلیل کاربران، و تجزیهوتحلیل کلیکها را میدهد که شبیه ابزارهای اتوماسیون بازاریابی است ولی برای مقاصد مخرب.
روشهای کاهش خطر پیشنهاد شده شامل هوشیاری کاربران نسبت به درخواستهای اعلان از وبسایتها، خودداری از کلیک روی اعلانهای ناشناس، و ایجاد سیاست برای مجوز اعلان مرورگر هستند.
✅ اهمیت برای تیمهای SOC / تحلیلگر تهدید
این مقاله نشان میدهد که چگونه یک مسیر جدید و نسبتاً کمموردِ توجه (Browser Push Notifications) به ابزار مهاجم تبدیل شده — یعنی یک اثر پوششنداشتن (Blind Spot) در بسیاری از ابزارهای مرسوم مانیتورینگ و دفاع.
برای تیمهای SOC و تحلیلگران امنیتی بسیار مهم است که:
این نوع حملات را در ماتریس تهدید خود بگنجانند
مکانیزمهای نظارت بر اعلانهای مرورگر و فعالیتهای ناشناخته push را ایجاد نمایند
سیاستهای محدودسازی («deny by default») برای اعلان پوش مرورگر و آموزش کاربران در این زمینه داشته باشند
#آکادمی_روزبه
https://gbhackers.com/matrix-push-c2/
GBHackers Security | #1 Globally Trusted Cyber Security News Platform
Hackers Adopt Matrix Push C2 for Browser-Based Malware and Phishing Attacks
A new breed of browser-based cyberattack is sweeping the threat landscape, as BlackFog researchers have uncovered.
❤6
چرا دوره مدیر امنیت CISO را برگزار میکنم ؟
نبود مدیر امنیت با دانش سطح CISO؛ گسل اصلی حکمرانی امنیت سایبری در ایران
روزبه نوروزی
در فضای سازمانی ایران، نبود مدیر امنیت اطلاعات (CISO) با درک عمیق از حکمرانی و همراستایی با اهداف کسبوکار، بزرگترین مانع بلوغ امنیتی است. اکثر مدیران امنیتی فعلی از بدنه فنی آمدهاند و نگاهشان محدود به حفاظت و کنترل فنی است؛ در حالی که CISO واقعی معمار سیاست، ریسک و اعتماد دیجیتال سازمان است.
فقدان این نقش باعث میشود امنیت به وظیفه واحد IT تقلیل یابد و از تصمیمات هیئتمدیره و چرخه ارزش سازمان جدا شود. در نتیجه، هیچ چارچوبی مانند ISO 27014 یا NIST CSF در لایه حاکمیتی پیاده نمیشود، و بودجه امنیت بدون شاخص بازگشت سرمایه تخصیص مییابد. تصمیمها واکنشی و دفاعیاند، نه استراتژیک و پیشنگر.
نبود CISO حرفهای همچنین باعث از بین رفتن زبان مشترک بین کسبوکار و امنیت میگردد. گزارشهای امنیتی برای مدیرعامل قابل فهم نیستند، درک “ریسک سایبری” به “هزینه فنی” فروکاسته میشود، و در نهایت حمایت مدیریتی از امنیت کاهش مییابد. این خلأ رهبری به فرسایش نیروهای متخصص، افزایش مهاجرت و کاهش اعتماد دیجیتال منجر شده است.
در مدلهای حکمرانی بالغ، CISO عضو هسته تصمیمسازی است، نه مجری دستورها. ایران برای دستیابی به امنیت پایدار، باید امنیت را از فاز فنی به سطح سیاستی ارتقا دهد؛ یعنی تربیت مدیران امنیت با سواد حکمرانی، نه صرفاً ابزارشناسی.
تا زمانی که چنین نقشی در ساختار سازمانی و ملی تثبیت نشود، امنیت سایبری ایران همچنان واکنشی و جزیرهای باقی خواهد ماند ، نه حکمرانیشده.
واتس اپ برای ثبت نام 09902857290 www.haumoun.com دوره های Elite برند برتر آموزشهای سازمانی
نبود مدیر امنیت با دانش سطح CISO؛ گسل اصلی حکمرانی امنیت سایبری در ایران
روزبه نوروزی
در فضای سازمانی ایران، نبود مدیر امنیت اطلاعات (CISO) با درک عمیق از حکمرانی و همراستایی با اهداف کسبوکار، بزرگترین مانع بلوغ امنیتی است. اکثر مدیران امنیتی فعلی از بدنه فنی آمدهاند و نگاهشان محدود به حفاظت و کنترل فنی است؛ در حالی که CISO واقعی معمار سیاست، ریسک و اعتماد دیجیتال سازمان است.
فقدان این نقش باعث میشود امنیت به وظیفه واحد IT تقلیل یابد و از تصمیمات هیئتمدیره و چرخه ارزش سازمان جدا شود. در نتیجه، هیچ چارچوبی مانند ISO 27014 یا NIST CSF در لایه حاکمیتی پیاده نمیشود، و بودجه امنیت بدون شاخص بازگشت سرمایه تخصیص مییابد. تصمیمها واکنشی و دفاعیاند، نه استراتژیک و پیشنگر.
نبود CISO حرفهای همچنین باعث از بین رفتن زبان مشترک بین کسبوکار و امنیت میگردد. گزارشهای امنیتی برای مدیرعامل قابل فهم نیستند، درک “ریسک سایبری” به “هزینه فنی” فروکاسته میشود، و در نهایت حمایت مدیریتی از امنیت کاهش مییابد. این خلأ رهبری به فرسایش نیروهای متخصص، افزایش مهاجرت و کاهش اعتماد دیجیتال منجر شده است.
در مدلهای حکمرانی بالغ، CISO عضو هسته تصمیمسازی است، نه مجری دستورها. ایران برای دستیابی به امنیت پایدار، باید امنیت را از فاز فنی به سطح سیاستی ارتقا دهد؛ یعنی تربیت مدیران امنیت با سواد حکمرانی، نه صرفاً ابزارشناسی.
تا زمانی که چنین نقشی در ساختار سازمانی و ملی تثبیت نشود، امنیت سایبری ایران همچنان واکنشی و جزیرهای باقی خواهد ماند ، نه حکمرانیشده.
واتس اپ برای ثبت نام 09902857290 www.haumoun.com دوره های Elite برند برتر آموزشهای سازمانی
🔥6👏3❤2
ویژگی های دوره ELITE
✅️سرفصل کامل دوره های جهانی
✳️متن کامل کتاب ۲۰۲۵
🟣متن کامل دوره های جامع CBT سال ۲۰۲۵
💫به همراه ویس و ویدئو
🔸️مرور تمرین ها مطابق دوره اصل ۳۰۰۰ دلاری
🏅کارگاه عملی با سناریو های ایرانی و جهانی
🥏اطمینان از آموزش با حل تمرین های اضافی
〽️انتقال تجربه ۲۳ سال تجربه کار عملیاتی
🟢مرور Extensive آموخته ها
🟪اخذ چهار آزمون Optional در طول دوره و حل جوابها
🟥اخذ آزمون نهایی Optional پایان دوره
✅️صدور مدرک قبولی دوره بعنوان سرتیفیکیت قبولی آزمون ELITE
www.haumoun.com
09902857290
✅️سرفصل کامل دوره های جهانی
✳️متن کامل کتاب ۲۰۲۵
🟣متن کامل دوره های جامع CBT سال ۲۰۲۵
💫به همراه ویس و ویدئو
🔸️مرور تمرین ها مطابق دوره اصل ۳۰۰۰ دلاری
🏅کارگاه عملی با سناریو های ایرانی و جهانی
🥏اطمینان از آموزش با حل تمرین های اضافی
〽️انتقال تجربه ۲۳ سال تجربه کار عملیاتی
🟢مرور Extensive آموخته ها
🟪اخذ چهار آزمون Optional در طول دوره و حل جوابها
🟥اخذ آزمون نهایی Optional پایان دوره
✅️صدور مدرک قبولی دوره بعنوان سرتیفیکیت قبولی آزمون ELITE
www.haumoun.com
09902857290
❤5💯1
در حوزهی تحلیل بدافزار و امداد سایبری، فرمت فایل CaRT (.cart)بهعنوان یکی از قالبهای تخصصی انتقال امن دادههای مخرب شناخته میشود. این ساختار با امضای آغازین "CART" مشخص میگردد و مخفف Compressed and RC4 Transport است. هدف اصلی آن، رمزگذاری و فشردهسازی نمونههای بدافزار برای جابهجایی و ذخیرهسازی ایمن در محیطهای تحقیقاتی و دفاعی است.
خصوصیت CaRT توسطCSE کانادا (Communications Security Establishment)توسعه داده شده و در سامانههایی مانند Thoriumبرای جلوگیری از اجرای یا قرنطینه شدن فایل توسط ابزارهای امنیتی معمول بهکار میرود. زمانی که فایلی در Thorium بارگذاری میشود، بهصورت خودکار به قالب .car تبدیل و تنها با ابزارهای مجاز «uncart» قابل بازگشت به حالت اجرایی است.
این مکانیزم ترکیبی از RC4 Encryption و Metadata Encapsulation را بهکار میبرد تا هویت و خصوصیات نمونه حفظ شود اما امکان فعالسازی ناخواسته در شبکه وجود نداشته باشد. محققان امنیتی از بستهی Python موسوم به cartبرای استخراج و تحلیل این دادهها استفاده میکنند.
چنین معماری نشاندهندهی رویکرد پیشرفته دولتها و مراکز تحقیقاتی در کنترل ریسک انتقال بدافزار و حفظ تمامیت زنجیرهی تحلیل تهدید است؛ جایی که امنیت، پژوهش و اعتماد نهادی در یک چارچوب فنی واحد ادغام میشوند.
#آکادمی_روزبه
خصوصیت CaRT توسطCSE کانادا (Communications Security Establishment)توسعه داده شده و در سامانههایی مانند Thoriumبرای جلوگیری از اجرای یا قرنطینه شدن فایل توسط ابزارهای امنیتی معمول بهکار میرود. زمانی که فایلی در Thorium بارگذاری میشود، بهصورت خودکار به قالب .car تبدیل و تنها با ابزارهای مجاز «uncart» قابل بازگشت به حالت اجرایی است.
این مکانیزم ترکیبی از RC4 Encryption و Metadata Encapsulation را بهکار میبرد تا هویت و خصوصیات نمونه حفظ شود اما امکان فعالسازی ناخواسته در شبکه وجود نداشته باشد. محققان امنیتی از بستهی Python موسوم به cartبرای استخراج و تحلیل این دادهها استفاده میکنند.
چنین معماری نشاندهندهی رویکرد پیشرفته دولتها و مراکز تحقیقاتی در کنترل ریسک انتقال بدافزار و حفظ تمامیت زنجیرهی تحلیل تهدید است؛ جایی که امنیت، پژوهش و اعتماد نهادی در یک چارچوب فنی واحد ادغام میشوند.
#آکادمی_روزبه
🙏4❤3💯2