کشف تزریق حافظه با Sysmon ؛ آیا امکان پذیر است؟
تحلیل کاربرد و محدودیت در محیطهای SOC
✍روزبه نوروزی
مقوله Sysmon یکی از مؤثرترین مؤلفههای قابل استفاده در سطح سیستمعامل برای کشف فعالیتهای تزریق حافظه است و در صورت تنظیم درست، قادر به شناسایی تهدیدهای کلاسیک نظیر DLL Injection و Remote Thread Creation میباشد.
این ابزار با ثبت رویدادهای حیاتی مانندProcessAccess (Event ID 10) و CreateRemoteThread (Event ID 8)، رفتارهایی را آشکار میکند که اغلب در حملات تزریقی مشاهده میشوند؛ از جمله نوشتن کد اجرایی در حافظه فرآیندهای معتبر یا ایجاد رشتههای اجرایی از راه دور. ترکیب این رویدادها پایهای محکم برای تشخیص اولیه تزریقهای سنتی در سطح User Mode فراهم میسازد.
با این حال، قابلیت Sysmon محدود به پوشش تزریقهای سطح بالا است. روشهایی مانند Asynchronous Procedure Call (APC) Injection، Thread Hijacking یا استفاده از Native Syscalls اغلب فراتر از دید Sysmon عمل میکنند زیرا در سطح کرنل یا از مسیرهای غیرمعمول فراخوانیهای سیستمی رخ میدهند. کشف این نوع رفتارها مستلزم بهکارگیری EDR پیشرفته یا ثبت رویدادهای ETW‑based telemetry است تا بتوان تجزیه و تحلیل عمیقتر بر اساس contextهای حافظه انجام داد.
در نهایت، اعتبار نتایج Sysmon زمانی بالاتر میرود که دادههای جمعآوریشده در SIEM همبسته شوند؛ یعنی لاگهای Sysmon همزمان با رفتارهای شبکه و نمودارهای Parent‑Child Process تحلیل شوند. این همبستگی چندلایه، از تشخیص سطح لاگ فراتر رفته و دیدی جامع از رفتار مهاجم در محیط سازمان ارائه میدهد ؛ همان چیزی که یک SOC مدرن برای پاسخ مؤثر و دقیق به حملات مبتنی بر تزریق حافظه به آن نیاز دارد.
پس در انتخاب EDR خود دقت کنید تا SOC شما کور نشود !!
و محدودیت های سیسمون رو بشناسید
#آکادمی_روزبه
تحلیل کاربرد و محدودیت در محیطهای SOC
✍روزبه نوروزی
مقوله Sysmon یکی از مؤثرترین مؤلفههای قابل استفاده در سطح سیستمعامل برای کشف فعالیتهای تزریق حافظه است و در صورت تنظیم درست، قادر به شناسایی تهدیدهای کلاسیک نظیر DLL Injection و Remote Thread Creation میباشد.
این ابزار با ثبت رویدادهای حیاتی مانندProcessAccess (Event ID 10) و CreateRemoteThread (Event ID 8)، رفتارهایی را آشکار میکند که اغلب در حملات تزریقی مشاهده میشوند؛ از جمله نوشتن کد اجرایی در حافظه فرآیندهای معتبر یا ایجاد رشتههای اجرایی از راه دور. ترکیب این رویدادها پایهای محکم برای تشخیص اولیه تزریقهای سنتی در سطح User Mode فراهم میسازد.
با این حال، قابلیت Sysmon محدود به پوشش تزریقهای سطح بالا است. روشهایی مانند Asynchronous Procedure Call (APC) Injection، Thread Hijacking یا استفاده از Native Syscalls اغلب فراتر از دید Sysmon عمل میکنند زیرا در سطح کرنل یا از مسیرهای غیرمعمول فراخوانیهای سیستمی رخ میدهند. کشف این نوع رفتارها مستلزم بهکارگیری EDR پیشرفته یا ثبت رویدادهای ETW‑based telemetry است تا بتوان تجزیه و تحلیل عمیقتر بر اساس contextهای حافظه انجام داد.
در نهایت، اعتبار نتایج Sysmon زمانی بالاتر میرود که دادههای جمعآوریشده در SIEM همبسته شوند؛ یعنی لاگهای Sysmon همزمان با رفتارهای شبکه و نمودارهای Parent‑Child Process تحلیل شوند. این همبستگی چندلایه، از تشخیص سطح لاگ فراتر رفته و دیدی جامع از رفتار مهاجم در محیط سازمان ارائه میدهد ؛ همان چیزی که یک SOC مدرن برای پاسخ مؤثر و دقیق به حملات مبتنی بر تزریق حافظه به آن نیاز دارد.
پس در انتخاب EDR خود دقت کنید تا SOC شما کور نشود !!
و محدودیت های سیسمون رو بشناسید
#آکادمی_روزبه
🔥10
آکادمی آموزش روزبه 📚
کشف تزریق حافظه با Sysmon ؛ آیا امکان پذیر است؟ تحلیل کاربرد و محدودیت در محیطهای SOC ✍روزبه نوروزی مقوله Sysmon یکی از مؤثرترین مؤلفههای قابل استفاده در سطح سیستمعامل برای کشف فعالیتهای تزریق حافظه است و در صورت تنظیم درست، قادر به شناسایی تهدیدهای…
واتس اپ 09902857290
بدلیل اینکه اغلب دوستان در آخرین لحظات ثبت نام میکنند و این ما را دچار مشکل میکند ؛ برای برآورد شرکت کنندگان مجبور به اعمال تخفیف پلکانی هستیم لذا اگر زودتر اقدام کنید بیشتر تخفیف شامل حالتان میشود
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡6❤2
یه دوستی تا بحث در SOC میشد میگفت اگر ETW کور بشه دیگه تعطیل شدیم
بله
در دنیای امنیت عملیاتی، EDRها برای بینایی دیجیتال خود بیش از هر چیز به Event Tracing for Windows (ETW) متکیاند. ETW مثل چشم سیستمعامل است: رویدادها را ثبت و آنها را به Sysmon، SIEM و موتور EDR میرساند.
اما بدافزارهای پیشرفتهای چونSilence، TrickBot و برخیRedTeam loaders با Patch کردن توابعی مثل EtwEventWrite و EtwNotificationRegister یا حذف کامل providerهای WMI و Defender از رجیستری، این چشم را کور میکنند.
در این نقطه، تمام حسگرهای سطح کاربر بیاطلاع میمانند و سازمان عملاً در تاریکی تهدید فعالیت میکند.
در چنین سناریویی، تنها EDRهای حرفهای دوام میآورند ؛ آنهایی که میتوانند fallback به Kernel‑Driver Tracing داشته باشند. آنها مستقیماً رفتار سیستم را از طریق syscall hooking در توابعی چون NtCreateUserProcess, ZwMapViewOfSection و NtWriteVirtualMemory تحلیل میکنند.
این توانایی که من در Trendmicro دیدم یعنی دید زنده در سطح حافظه، جایی که بدافزار هنوز نمیتواند وانمود کند که وجود ندارد.
بههمین دلیل، بین یک sensor سبک و EDR واقعی مرزی وجود دارد:
یکی فقط log میخواند، دیگری واقعیت را در کرنل میبیند.
نکته مدیریتی : ما بعنوان معمار و مدیر امنیت در سازمان باید با شناخت پروفایل ریسک سازمان کنترل متناسب را انتخاب کنیم. شناخت درست ما از ریسک ما را بدانجا میرساند که با هر EDR کنار نیاییم . پس شما بعنوان مدیر یا کارشناس ارشد امنیت ، وظیفه اصلی ات رو فراموش نکن.
بله
در دنیای امنیت عملیاتی، EDRها برای بینایی دیجیتال خود بیش از هر چیز به Event Tracing for Windows (ETW) متکیاند. ETW مثل چشم سیستمعامل است: رویدادها را ثبت و آنها را به Sysmon، SIEM و موتور EDR میرساند.
اما بدافزارهای پیشرفتهای چونSilence، TrickBot و برخیRedTeam loaders با Patch کردن توابعی مثل EtwEventWrite و EtwNotificationRegister یا حذف کامل providerهای WMI و Defender از رجیستری، این چشم را کور میکنند.
در این نقطه، تمام حسگرهای سطح کاربر بیاطلاع میمانند و سازمان عملاً در تاریکی تهدید فعالیت میکند.
در چنین سناریویی، تنها EDRهای حرفهای دوام میآورند ؛ آنهایی که میتوانند fallback به Kernel‑Driver Tracing داشته باشند. آنها مستقیماً رفتار سیستم را از طریق syscall hooking در توابعی چون NtCreateUserProcess, ZwMapViewOfSection و NtWriteVirtualMemory تحلیل میکنند.
این توانایی که من در Trendmicro دیدم یعنی دید زنده در سطح حافظه، جایی که بدافزار هنوز نمیتواند وانمود کند که وجود ندارد.
بههمین دلیل، بین یک sensor سبک و EDR واقعی مرزی وجود دارد:
یکی فقط log میخواند، دیگری واقعیت را در کرنل میبیند.
نکته مدیریتی : ما بعنوان معمار و مدیر امنیت در سازمان باید با شناخت پروفایل ریسک سازمان کنترل متناسب را انتخاب کنیم. شناخت درست ما از ریسک ما را بدانجا میرساند که با هر EDR کنار نیاییم . پس شما بعنوان مدیر یا کارشناس ارشد امنیت ، وظیفه اصلی ات رو فراموش نکن.
👍4💯2
تحلیل MORT در شناسایی علل ریشهای حوادث امنیتی
تحلیل MORT (Management Oversight and Risk Tree) یکی از روشهای ساختاری و نظاممند برای شناسایی علل ریشهای حوادث و رخدادهای امنیتی است. این روش با استفاده از یک «درخت ریسک» به تحلیل دو دسته عامل میپردازد: نقص در کنترلها و نارساییهای مدیریتی. MORT فراتر از بررسی خطای انسانی یا نقص فنی عمل میکند و نشان میدهد که بسیاری از حوادث امنیتی ناشی از ضعف در سیاستها، فرآیندها، آموزش، تخصیص منابع یا نظارت مدیریتی است. با تجزیهوتحلیل هر گره از درخت، سازمان میتواند علتهای واقعی یک حادثه را شناسایی کرده و از اقدامات سطحی اجتناب کند. استفاده از MORT در محیطهای امنیت سایبری کمک میکند تا کنترلها مؤثرتر طراحی شوند، شکافهای مدیریتی کاهش یابد و احتمال تکرار حوادث مشابه به حداقل برسد. این رویکرد، دیدی جامع و سازمانمحور نسبت به مدیریت ریسک و پاسخگویی به رخدادها ارائه میدهد.
مثال MORT در یک حمله APT
یک سازمان دولتی هدف یک APT قرار میگیرد. مهاجم با استفاده از spear-phishing وارد شبکه شده، یک backdoor نصب میکند و پس از چهار ماه حرکت جانبی (Lateral Movement)، دادههای حساس را استخراج میکند. حادثه زمانی کشف میشود که SOC یک الگوی غیرمعمول ترافیک خروجی را مشاهده میکند.
تحلیل MORT: ریشههای فنی و مدیریتی
✔ مسیر ۱: نقص در کنترلها (Control Factors)
وصلهها برای دو سرور حیاتی ۶ ماه نصب نشده بود
فرآیند Patch Management ناکارآمد
وEDR در بخش عملیات غیرفعال شده بود
عدم مانیتورینگ رفتار endpoint
هشدارهای SIEM بهدلیل misconfiguration به Incident Queue منتقل نمیشد
وMFA روی حسابهای ادمین فعال نبود
مهاجم بهراحتی Privilege Escalation انجام داد
✔ مسیر ۲: نارساییهای مدیریتی (Management Factors)
کمبود نیرو در تیم امنیت
پاسخگویی و نظارت کاهش یافته
نبود سیاست الزامآور برای مقاوم سازی سیستمها
عدم آموزش امنیتی برای کارکنان
موفقیت spear-phishing
رد شدن درخواست بودجه EDR در سال گذشته
تصمیم مدیریتی ضعیف
عدم انجام Red Team یا Threat Hunting دورهای
نتیجه MORT
علت اصلی حادثه تنها «فیشینگ» نبود؛
حادثه نتیجه ترکیبی از ضعفهای مدیریتی، کنترلهای ناقص، و نظارت ناکافی بود.
تحلیل MORT نشان داد که ریسک واقعی در سازمان نه در یک نقطه، بلکه در سیستم مدیریتی و ساختار امنیتی نهفته بوده است.
منبع : درس CISSP
اگر خوب دقت کنید با استفاده از تحلیل فوق ، بسیار بهتر میتوان حوادث سایبری ایران را تحلیل و ریشه یابی کرد. این روش برای یافتن دلایل واقعی خصوصا نوع مدیریتی ( که اغلب پنهان هستند ) بسیار کارا است
#آکادمی_روزبه
تحلیل MORT (Management Oversight and Risk Tree) یکی از روشهای ساختاری و نظاممند برای شناسایی علل ریشهای حوادث و رخدادهای امنیتی است. این روش با استفاده از یک «درخت ریسک» به تحلیل دو دسته عامل میپردازد: نقص در کنترلها و نارساییهای مدیریتی. MORT فراتر از بررسی خطای انسانی یا نقص فنی عمل میکند و نشان میدهد که بسیاری از حوادث امنیتی ناشی از ضعف در سیاستها، فرآیندها، آموزش، تخصیص منابع یا نظارت مدیریتی است. با تجزیهوتحلیل هر گره از درخت، سازمان میتواند علتهای واقعی یک حادثه را شناسایی کرده و از اقدامات سطحی اجتناب کند. استفاده از MORT در محیطهای امنیت سایبری کمک میکند تا کنترلها مؤثرتر طراحی شوند، شکافهای مدیریتی کاهش یابد و احتمال تکرار حوادث مشابه به حداقل برسد. این رویکرد، دیدی جامع و سازمانمحور نسبت به مدیریت ریسک و پاسخگویی به رخدادها ارائه میدهد.
مثال MORT در یک حمله APT
یک سازمان دولتی هدف یک APT قرار میگیرد. مهاجم با استفاده از spear-phishing وارد شبکه شده، یک backdoor نصب میکند و پس از چهار ماه حرکت جانبی (Lateral Movement)، دادههای حساس را استخراج میکند. حادثه زمانی کشف میشود که SOC یک الگوی غیرمعمول ترافیک خروجی را مشاهده میکند.
تحلیل MORT: ریشههای فنی و مدیریتی
✔ مسیر ۱: نقص در کنترلها (Control Factors)
وصلهها برای دو سرور حیاتی ۶ ماه نصب نشده بود
فرآیند Patch Management ناکارآمد
وEDR در بخش عملیات غیرفعال شده بود
عدم مانیتورینگ رفتار endpoint
هشدارهای SIEM بهدلیل misconfiguration به Incident Queue منتقل نمیشد
وMFA روی حسابهای ادمین فعال نبود
مهاجم بهراحتی Privilege Escalation انجام داد
✔ مسیر ۲: نارساییهای مدیریتی (Management Factors)
کمبود نیرو در تیم امنیت
پاسخگویی و نظارت کاهش یافته
نبود سیاست الزامآور برای مقاوم سازی سیستمها
عدم آموزش امنیتی برای کارکنان
موفقیت spear-phishing
رد شدن درخواست بودجه EDR در سال گذشته
تصمیم مدیریتی ضعیف
عدم انجام Red Team یا Threat Hunting دورهای
نتیجه MORT
علت اصلی حادثه تنها «فیشینگ» نبود؛
حادثه نتیجه ترکیبی از ضعفهای مدیریتی، کنترلهای ناقص، و نظارت ناکافی بود.
تحلیل MORT نشان داد که ریسک واقعی در سازمان نه در یک نقطه، بلکه در سیستم مدیریتی و ساختار امنیتی نهفته بوده است.
منبع : درس CISSP
اگر خوب دقت کنید با استفاده از تحلیل فوق ، بسیار بهتر میتوان حوادث سایبری ایران را تحلیل و ریشه یابی کرد. این روش برای یافتن دلایل واقعی خصوصا نوع مدیریتی ( که اغلب پنهان هستند ) بسیار کارا است
#آکادمی_روزبه
👌6💯2
595: Applied Data Science and AI/Machine Learning for Cybersecurity Professionals
تنها دوره هوش مصنوعی برای متخصصان امنیت در ایران
رزو بدلیل محدودیت 09902857290
www.haumoun.com
#آکادمی_روزبه
سرفصل اصل
https://www.sans.org/cyber-security-courses/applied-data-science-machine-learning
تنها دوره هوش مصنوعی برای متخصصان امنیت در ایران
رزو بدلیل محدودیت 09902857290
www.haumoun.com
#آکادمی_روزبه
سرفصل اصل
https://www.sans.org/cyber-security-courses/applied-data-science-machine-learning
💯4😍2
معماری اعتماد: چگونه TPM Attestation پایهی Zero‑Trust میشود
روزبه نوروزی
در معماری امنیت سازمانی، تکنولوژی TPM Attestation نقشی حیاتی در شکلدهی به زنجیره اعتماد (Chain of Trust) ایفا میکند. مقولهTPM یا Trusted Platform Module، تراشهای سختافزاریست که هدف آن تضمین صحت و تمامیت اجزای حیاتی سیستم مانند بوتلودر، درایورهای کرنل و هسته سیستمعامل است. فرآیند Attestation، مرحلهای از تصدیق وضعیت دستگاه محسوب میشود که طی آن سیستم با استفاده از کلیدهای داخلی TPM، اثبات میکند در حالت مجاز و بدون تغییرات مخرب قرار دارد.
در جریان بوت، TPM مجموعهای از اندازهگیریها را در رجیسترهای مخصوص به نام PCR – Platform Configuration Registers ثبت میکند. این مقادیر سپس توسط سرور مرکزی یا پلتفرم امنیتی تأییدکننده (Verifier) بررسی و با Baseline مورد انتظار مقایسه میشوند. هرگونه تناقض در این دادهها نشانگر انحراف از پیکربندی امن یا تلاش برای رخنه در زنجیره بوت است.
از منظر معمار امنیت، TPM Attestation ابزار پایه در اجرای Secure Boot و Measured Boot محسوب میشود. در معماریهای پیشرفته مانند Zero‑Trust Enterprise Architecture، این سازوکار پیششرط دسترسی دستگاهها به شبکه سازمانی یا سرویسهای حساس است. در EDRهای سطح بالا نیز از Attestation برای اطمینان از فعال بودن driverهای مجاز در سطح کرنل استفاده میشود.
در نهایت، باید TPM Attestation را نه صرفاً ویژگی سختافزاری، بلکه نقطه آغاز اعتماد دیجیتال سازمان دانست؛ جاییکه اعتبار امنیتی از سختافزار شروع و تا سطح نرمافزار و هویت دستگاه امتداد مییابد ؛ تحقق واقعی اصل "Never trust, always verify" در معماری مدرن سایبری.
سوال: آیا پلتفرم امنیتی تأییدکننده (Verifier) در سازمان دارید ؟
#آکادمی_روزبه
روزبه نوروزی
در معماری امنیت سازمانی، تکنولوژی TPM Attestation نقشی حیاتی در شکلدهی به زنجیره اعتماد (Chain of Trust) ایفا میکند. مقولهTPM یا Trusted Platform Module، تراشهای سختافزاریست که هدف آن تضمین صحت و تمامیت اجزای حیاتی سیستم مانند بوتلودر، درایورهای کرنل و هسته سیستمعامل است. فرآیند Attestation، مرحلهای از تصدیق وضعیت دستگاه محسوب میشود که طی آن سیستم با استفاده از کلیدهای داخلی TPM، اثبات میکند در حالت مجاز و بدون تغییرات مخرب قرار دارد.
در جریان بوت، TPM مجموعهای از اندازهگیریها را در رجیسترهای مخصوص به نام PCR – Platform Configuration Registers ثبت میکند. این مقادیر سپس توسط سرور مرکزی یا پلتفرم امنیتی تأییدکننده (Verifier) بررسی و با Baseline مورد انتظار مقایسه میشوند. هرگونه تناقض در این دادهها نشانگر انحراف از پیکربندی امن یا تلاش برای رخنه در زنجیره بوت است.
از منظر معمار امنیت، TPM Attestation ابزار پایه در اجرای Secure Boot و Measured Boot محسوب میشود. در معماریهای پیشرفته مانند Zero‑Trust Enterprise Architecture، این سازوکار پیششرط دسترسی دستگاهها به شبکه سازمانی یا سرویسهای حساس است. در EDRهای سطح بالا نیز از Attestation برای اطمینان از فعال بودن driverهای مجاز در سطح کرنل استفاده میشود.
در نهایت، باید TPM Attestation را نه صرفاً ویژگی سختافزاری، بلکه نقطه آغاز اعتماد دیجیتال سازمان دانست؛ جاییکه اعتبار امنیتی از سختافزار شروع و تا سطح نرمافزار و هویت دستگاه امتداد مییابد ؛ تحقق واقعی اصل "Never trust, always verify" در معماری مدرن سایبری.
سوال: آیا پلتفرم امنیتی تأییدکننده (Verifier) در سازمان دارید ؟
#آکادمی_روزبه
💯7❤3
اخلاق و امنیت سایبری : تناظر اصول ISC2 با مفاهیم دینی
روزبه نوروزی
اخلاق در امنیت سایبری حیاتی است، زیرا متخصصان به حساسترین دادهها و زیرساختها دسترسی دارند و به نوعی دارایی سازمانها و افراد در اختیار آنها است. نبودِ اخلاق میتواند به سوءاستفاده، افشای اطلاعات، اختلال سازمانی و از بین رفتن اعتماد عمومی و نقض حریم شخصی و تبعات قانونی منجر شود. رفتار مسئولانه و شفاف، تنها راه جلوگیری از خطرات بزرگ و حفظ امنیت پایدار است.
اصول اخلاقی ISC2 پایهای برای رفتار حرفهای در امنیت سایبری هستند و بر ضرورت اعتماد، مسئولیتپذیری و خدمت صادقانه تأکید میکنند. این اصول متخصص امنیت را موظف میکنند از جامعه، منافع عمومی و زیرساختها محافظت کند، با صداقت و شرافت رفتار کند، خدمات دقیق و توانمند ارائه دهد و حرفهٔ امنیت سایبری را ارتقا دهد. با توجه به دسترسی گستردهٔ متخصصان به دادههای حساس، پایبندی به اخلاق برای جلوگیری از سوءاستفاده، حفظ اعتماد و مدیریت خطرات ضروری است. این چارچوب بهعنوان یک قطبنما، تصمیمگیری در شرایط پیچیده و حساس را هدایت میکند.
🌼تناظر مفهومی میان اصول اخلاقی ISC2 و آموزههای اخلاقی قرآن:
1) Protect Society
حفاظت از جامعه و خیر عمومی
ISC2:
حفاظت از جامعه، اعتماد عمومی و زیرساختها
قرآن:
«وَلَا تُفْسِدُوا فِي الْأَرْضِ» (بقره 11)
آموزه: جلوگیری از هرگونه فساد، تخریب یا زیان به جامعه.
2) Act Honestly and Justly
صداقت و عدالت
ISC2:
رفتار شرافتمندانه، صادقانه و عادلانه
قرآن:
«إِنَّ اللَّهَ يَأْمُرُكُمْ أَنْ تُؤَدُّوا الْأَمَانَاتِ إِلَىٰ أَهْلِهَا» (نساء 58)
آموزه: امانتداری، عدالت و مسئولیت در برابر آنچه در اختیار فرد قرار گرفته است.
3) Provide Competent Service
خدمت دقیق و مسئولانه
ISC2:
ارائهٔ خدمت توانمند و مسئولانه به صاحبان سیستم
قرآن:
«وَقُلِ اعْمَلُوا فَسَيَرَى اللَّهُ عَمَلَكُمْ» (توبه 105)
آموزه: کار با کیفیت، مسئولیتپذیری و توجه به اثر اعمال.
4) Advance and Protect the Profession
ارتقای حرفه و حفاظت از اعتبار آن
ISC2:
حمایت از حرفه، جلوگیری از رفتارهایی که وجههٔ امنیت را تخریب میکند
قرآن:
«وَتَعَاوَنُوا عَلَى الْبِرِّ وَالتَّقْوَىٰ» (مائده 2)
آموزه: همکاری برای کارهای نیک و پرهیز از رفتارهای مخرب.
نتیجهگیری
میتوان گفت اصول اخلاقی ISC2 و قرآن در سطح ارزش اخلاقی تناظر واضح دارند:
آرامش جامعه، امانتداری، صداقت، مسئولیتپذیری، جلوگیری از زیان و تلاش برای خیر عمومی.
این نوع تطابق نهتنها ممکن، بلکه برای ایجاد فرهنگ اخلاقی در امنیت سایبری ایران بسیار ارزشمند است.
روزبه نوروزی
اخلاق در امنیت سایبری حیاتی است، زیرا متخصصان به حساسترین دادهها و زیرساختها دسترسی دارند و به نوعی دارایی سازمانها و افراد در اختیار آنها است. نبودِ اخلاق میتواند به سوءاستفاده، افشای اطلاعات، اختلال سازمانی و از بین رفتن اعتماد عمومی و نقض حریم شخصی و تبعات قانونی منجر شود. رفتار مسئولانه و شفاف، تنها راه جلوگیری از خطرات بزرگ و حفظ امنیت پایدار است.
اصول اخلاقی ISC2 پایهای برای رفتار حرفهای در امنیت سایبری هستند و بر ضرورت اعتماد، مسئولیتپذیری و خدمت صادقانه تأکید میکنند. این اصول متخصص امنیت را موظف میکنند از جامعه، منافع عمومی و زیرساختها محافظت کند، با صداقت و شرافت رفتار کند، خدمات دقیق و توانمند ارائه دهد و حرفهٔ امنیت سایبری را ارتقا دهد. با توجه به دسترسی گستردهٔ متخصصان به دادههای حساس، پایبندی به اخلاق برای جلوگیری از سوءاستفاده، حفظ اعتماد و مدیریت خطرات ضروری است. این چارچوب بهعنوان یک قطبنما، تصمیمگیری در شرایط پیچیده و حساس را هدایت میکند.
🌼تناظر مفهومی میان اصول اخلاقی ISC2 و آموزههای اخلاقی قرآن:
1) Protect Society
حفاظت از جامعه و خیر عمومی
ISC2:
حفاظت از جامعه، اعتماد عمومی و زیرساختها
قرآن:
«وَلَا تُفْسِدُوا فِي الْأَرْضِ» (بقره 11)
آموزه: جلوگیری از هرگونه فساد، تخریب یا زیان به جامعه.
2) Act Honestly and Justly
صداقت و عدالت
ISC2:
رفتار شرافتمندانه، صادقانه و عادلانه
قرآن:
«إِنَّ اللَّهَ يَأْمُرُكُمْ أَنْ تُؤَدُّوا الْأَمَانَاتِ إِلَىٰ أَهْلِهَا» (نساء 58)
آموزه: امانتداری، عدالت و مسئولیت در برابر آنچه در اختیار فرد قرار گرفته است.
3) Provide Competent Service
خدمت دقیق و مسئولانه
ISC2:
ارائهٔ خدمت توانمند و مسئولانه به صاحبان سیستم
قرآن:
«وَقُلِ اعْمَلُوا فَسَيَرَى اللَّهُ عَمَلَكُمْ» (توبه 105)
آموزه: کار با کیفیت، مسئولیتپذیری و توجه به اثر اعمال.
4) Advance and Protect the Profession
ارتقای حرفه و حفاظت از اعتبار آن
ISC2:
حمایت از حرفه، جلوگیری از رفتارهایی که وجههٔ امنیت را تخریب میکند
قرآن:
«وَتَعَاوَنُوا عَلَى الْبِرِّ وَالتَّقْوَىٰ» (مائده 2)
آموزه: همکاری برای کارهای نیک و پرهیز از رفتارهای مخرب.
نتیجهگیری
میتوان گفت اصول اخلاقی ISC2 و قرآن در سطح ارزش اخلاقی تناظر واضح دارند:
آرامش جامعه، امانتداری، صداقت، مسئولیتپذیری، جلوگیری از زیان و تلاش برای خیر عمومی.
این نوع تطابق نهتنها ممکن، بلکه برای ایجاد فرهنگ اخلاقی در امنیت سایبری ایران بسیار ارزشمند است.
❤10👍4
دو راهی مدیران امنیت سایبری : SSL Inspection
روزبه نوروزی
در مقاله زیر بررسی کرده ام که SSL Inspection چگونه با شکستن موقت رمزگذاری TLS ؛ ترافیک را برای تهدیدات تحلیل میکند، اما از دید اخلاقی ممکن است نقض اعتماد و حریم خصوصی کاربران باشد. در متن مقاله جزئیات فنی مثل ساختار پراکسی، Root CA سازمانی، و مدل Selective Inspection اورده شده و تعارض میان امنیت سازمانی و استقلال فردی را تحلیل کردم. چارچوب اخلاقی شامل اصول شفافیت، تناسب، رضایت و پاسخگویی است و نتیجه گرفته ام که تنها اجرای شفاف و متناسب میتواند SSL Inspection را به ابزاری اخلاقی در امنیت سایبری تبدیل کند.
باید بدانیم این عمل نه صرفاً یک کنترل فنی، بلکه یک پیمان اخلاقی است: میان حق دفاع سازمان و حق اعتماد انسان. اجرای آن بدون شفافیت، امنیت را از معنا تهی میکند.
این مقاله بخشی از دوره تربیت CISO است که دیماه برگزار میکنم
مدیران برتر و اخلاق مدار سایبری ایران
مقاله کامل را در ویرگول بخوانید
https://vrgl.ir/9PZGy
روزبه نوروزی
در مقاله زیر بررسی کرده ام که SSL Inspection چگونه با شکستن موقت رمزگذاری TLS ؛ ترافیک را برای تهدیدات تحلیل میکند، اما از دید اخلاقی ممکن است نقض اعتماد و حریم خصوصی کاربران باشد. در متن مقاله جزئیات فنی مثل ساختار پراکسی، Root CA سازمانی، و مدل Selective Inspection اورده شده و تعارض میان امنیت سازمانی و استقلال فردی را تحلیل کردم. چارچوب اخلاقی شامل اصول شفافیت، تناسب، رضایت و پاسخگویی است و نتیجه گرفته ام که تنها اجرای شفاف و متناسب میتواند SSL Inspection را به ابزاری اخلاقی در امنیت سایبری تبدیل کند.
باید بدانیم این عمل نه صرفاً یک کنترل فنی، بلکه یک پیمان اخلاقی است: میان حق دفاع سازمان و حق اعتماد انسان. اجرای آن بدون شفافیت، امنیت را از معنا تهی میکند.
این مقاله بخشی از دوره تربیت CISO است که دیماه برگزار میکنم
مدیران برتر و اخلاق مدار سایبری ایران
مقاله کامل را در ویرگول بخوانید
https://vrgl.ir/9PZGy
ویرگول
بازرسی اس اس ال ؛ امنیت قابل توجیه یا تجاوز نامرئی؟ - ویرگول
SSL Inspection SSL Inspection — «امنیت قابل توجیه یا تجاوز نامرئی؟ تحلیل اخلاقی و فنی در لبه توازن اعتماد» مقدمه در محیطهای سازمانی که تر…
❤8👏2
نقطه عطف در تصمیم سازی مدیر امنیت
اهمیت انتخاب یا ترکیب چارچوبهای کنترلی در مدیریت امنیت اطلاعات
انتخاب یک چارچوب کنترلی مناسب توسط مدیر امنیت اطلاعات (Security Management Professional) یکی از بنیادیترین تصمیمات راهبردی در طراحی، توسعه و اجرای برنامه امنیت سازمان است. دلیل این اهمیت آن است که چارچوب کنترلی، ساختار پایهای برای تعریف سیاستها، استانداردها، کنترلها و روشهای اجرایی را فراهم میکند. بدون چنین چارچوبی، سیاستهای امنیتی بهصورت جزیرهای، پراکنده و بدون همترازی با ریسکها و الزامات کسبوکار شکل میگیرند و در نهایت نه قابل ممیزیاند و نه از منظر مدیریت ریسک قابلدفاع.
از سوی دیگر، هیچ چارچوب امنیتی بهتنهایی کامل نیست. برای مثال، ISO 27001 ساختاری قوی برای مدیریت کلان امنیت و ایجاد ISMS ارائه میدهد اما در جزئیات کنترلهای فنی محدود است. در مقابل، NIST SP 800-53 مجموعهای جامع از کنترلهای امنیتی عملیاتی و فنی را شامل میشود، اما برای بسیاری از سازمانها پیچیده و سنگین است. NIST CSF چارچوبی عالی برای همراستایی امنیت با ریسک و اهداف کسبوکار ارائه میکند، اما جایگزین کنترلهای دقیق عملیاتی نیست. بنابراین، مدیر امنیت ممکن است بهترین نتیجه را از ترکیب هوشمندانه چند چارچوب بهدست آورد؛ رویکردی که به آن Tailored Control Framework یا Hybrid Baseline گفته میشود.📡 ( بخشی از کارگاه عملی دوره CISO)
این ترکیب باعث میشود سیاستهای امنیتی هم از نظر فنی کامل باشند، هم از منظر کسبوکار همراستا، و هم در حوزه Governance قابلممیزی و قابلاجرا. چنین رویکردی امنیت را از یک فعالیت واکنشی به یک قابلیت راهبردی تبدیل میکند که میتواند با اولویتهای سازمان و اشتهای ریسک آن سازگار باشد. در نتیجه، چارچوب ترکیبی بومیشده تضمین میکند که امنیت سازمانی هدفمند، منعطف، مبتنی بر ریسک و قابلدفاع باقی بماند
دوره مدیریت ارشد امنیت CISO
مرکز تماس 09902857290 www.haumoun.com
اهمیت انتخاب یا ترکیب چارچوبهای کنترلی در مدیریت امنیت اطلاعات
انتخاب یک چارچوب کنترلی مناسب توسط مدیر امنیت اطلاعات (Security Management Professional) یکی از بنیادیترین تصمیمات راهبردی در طراحی، توسعه و اجرای برنامه امنیت سازمان است. دلیل این اهمیت آن است که چارچوب کنترلی، ساختار پایهای برای تعریف سیاستها، استانداردها، کنترلها و روشهای اجرایی را فراهم میکند. بدون چنین چارچوبی، سیاستهای امنیتی بهصورت جزیرهای، پراکنده و بدون همترازی با ریسکها و الزامات کسبوکار شکل میگیرند و در نهایت نه قابل ممیزیاند و نه از منظر مدیریت ریسک قابلدفاع.
از سوی دیگر، هیچ چارچوب امنیتی بهتنهایی کامل نیست. برای مثال، ISO 27001 ساختاری قوی برای مدیریت کلان امنیت و ایجاد ISMS ارائه میدهد اما در جزئیات کنترلهای فنی محدود است. در مقابل، NIST SP 800-53 مجموعهای جامع از کنترلهای امنیتی عملیاتی و فنی را شامل میشود، اما برای بسیاری از سازمانها پیچیده و سنگین است. NIST CSF چارچوبی عالی برای همراستایی امنیت با ریسک و اهداف کسبوکار ارائه میکند، اما جایگزین کنترلهای دقیق عملیاتی نیست. بنابراین، مدیر امنیت ممکن است بهترین نتیجه را از ترکیب هوشمندانه چند چارچوب بهدست آورد؛ رویکردی که به آن Tailored Control Framework یا Hybrid Baseline گفته میشود.
این ترکیب باعث میشود سیاستهای امنیتی هم از نظر فنی کامل باشند، هم از منظر کسبوکار همراستا، و هم در حوزه Governance قابلممیزی و قابلاجرا. چنین رویکردی امنیت را از یک فعالیت واکنشی به یک قابلیت راهبردی تبدیل میکند که میتواند با اولویتهای سازمان و اشتهای ریسک آن سازگار باشد. در نتیجه، چارچوب ترکیبی بومیشده تضمین میکند که امنیت سازمانی هدفمند، منعطف، مبتنی بر ریسک و قابلدفاع باقی بماند
دوره مدیریت ارشد امنیت CISO
مرکز تماس 09902857290 www.haumoun.com
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8
این مقاله Matrix Push C2 که در GBHackers On Security منتشر شده، به بررسی یک چارچوب جدید فرمان-و-کنترل (C2) میپردازد که از طریق قابلیت «اعلان پوش» (Browser Push Notifications) در مرورگرها استفاده میکند تا فایلبدافزارها یا کمپینهای فیشینگ را بدون فایل سنتی اجرا نماید.
🔍 نکات کلیدی مقاله
مهاجمین ابتدا کاربر را وادار میکنند اعلانهای مرورگر را فعال کند؛ سپس از این کانال بهعنوان مسیر دائمی ارسال پیام به دستگاه قربانی استفاده میکنند.
این روش از بسیاری از راهکارهای دفاعی سنتی عبور میکند چون مبتنی بر ویژگی بومی مرورگر است (Push Notifications) و نیازی به فایل اجرایی ندارد.
داشبوردِ این چارچوب امکان دنبال کردن تعداد کل کلاینتها، نرخ تحویل اعلان، تحلیل کاربران، و تجزیهوتحلیل کلیکها را میدهد که شبیه ابزارهای اتوماسیون بازاریابی است ولی برای مقاصد مخرب.
روشهای کاهش خطر پیشنهاد شده شامل هوشیاری کاربران نسبت به درخواستهای اعلان از وبسایتها، خودداری از کلیک روی اعلانهای ناشناس، و ایجاد سیاست برای مجوز اعلان مرورگر هستند.
✅ اهمیت برای تیمهای SOC / تحلیلگر تهدید
این مقاله نشان میدهد که چگونه یک مسیر جدید و نسبتاً کمموردِ توجه (Browser Push Notifications) به ابزار مهاجم تبدیل شده — یعنی یک اثر پوششنداشتن (Blind Spot) در بسیاری از ابزارهای مرسوم مانیتورینگ و دفاع.
برای تیمهای SOC و تحلیلگران امنیتی بسیار مهم است که:
این نوع حملات را در ماتریس تهدید خود بگنجانند
مکانیزمهای نظارت بر اعلانهای مرورگر و فعالیتهای ناشناخته push را ایجاد نمایند
سیاستهای محدودسازی («deny by default») برای اعلان پوش مرورگر و آموزش کاربران در این زمینه داشته باشند
#آکادمی_روزبه
https://gbhackers.com/matrix-push-c2/
🔍 نکات کلیدی مقاله
مهاجمین ابتدا کاربر را وادار میکنند اعلانهای مرورگر را فعال کند؛ سپس از این کانال بهعنوان مسیر دائمی ارسال پیام به دستگاه قربانی استفاده میکنند.
این روش از بسیاری از راهکارهای دفاعی سنتی عبور میکند چون مبتنی بر ویژگی بومی مرورگر است (Push Notifications) و نیازی به فایل اجرایی ندارد.
داشبوردِ این چارچوب امکان دنبال کردن تعداد کل کلاینتها، نرخ تحویل اعلان، تحلیل کاربران، و تجزیهوتحلیل کلیکها را میدهد که شبیه ابزارهای اتوماسیون بازاریابی است ولی برای مقاصد مخرب.
روشهای کاهش خطر پیشنهاد شده شامل هوشیاری کاربران نسبت به درخواستهای اعلان از وبسایتها، خودداری از کلیک روی اعلانهای ناشناس، و ایجاد سیاست برای مجوز اعلان مرورگر هستند.
✅ اهمیت برای تیمهای SOC / تحلیلگر تهدید
این مقاله نشان میدهد که چگونه یک مسیر جدید و نسبتاً کمموردِ توجه (Browser Push Notifications) به ابزار مهاجم تبدیل شده — یعنی یک اثر پوششنداشتن (Blind Spot) در بسیاری از ابزارهای مرسوم مانیتورینگ و دفاع.
برای تیمهای SOC و تحلیلگران امنیتی بسیار مهم است که:
این نوع حملات را در ماتریس تهدید خود بگنجانند
مکانیزمهای نظارت بر اعلانهای مرورگر و فعالیتهای ناشناخته push را ایجاد نمایند
سیاستهای محدودسازی («deny by default») برای اعلان پوش مرورگر و آموزش کاربران در این زمینه داشته باشند
#آکادمی_روزبه
https://gbhackers.com/matrix-push-c2/
GBHackers Security | #1 Globally Trusted Cyber Security News Platform
Hackers Adopt Matrix Push C2 for Browser-Based Malware and Phishing Attacks
A new breed of browser-based cyberattack is sweeping the threat landscape, as BlackFog researchers have uncovered.
❤6
چرا دوره مدیر امنیت CISO را برگزار میکنم ؟
نبود مدیر امنیت با دانش سطح CISO؛ گسل اصلی حکمرانی امنیت سایبری در ایران
روزبه نوروزی
در فضای سازمانی ایران، نبود مدیر امنیت اطلاعات (CISO) با درک عمیق از حکمرانی و همراستایی با اهداف کسبوکار، بزرگترین مانع بلوغ امنیتی است. اکثر مدیران امنیتی فعلی از بدنه فنی آمدهاند و نگاهشان محدود به حفاظت و کنترل فنی است؛ در حالی که CISO واقعی معمار سیاست، ریسک و اعتماد دیجیتال سازمان است.
فقدان این نقش باعث میشود امنیت به وظیفه واحد IT تقلیل یابد و از تصمیمات هیئتمدیره و چرخه ارزش سازمان جدا شود. در نتیجه، هیچ چارچوبی مانند ISO 27014 یا NIST CSF در لایه حاکمیتی پیاده نمیشود، و بودجه امنیت بدون شاخص بازگشت سرمایه تخصیص مییابد. تصمیمها واکنشی و دفاعیاند، نه استراتژیک و پیشنگر.
نبود CISO حرفهای همچنین باعث از بین رفتن زبان مشترک بین کسبوکار و امنیت میگردد. گزارشهای امنیتی برای مدیرعامل قابل فهم نیستند، درک “ریسک سایبری” به “هزینه فنی” فروکاسته میشود، و در نهایت حمایت مدیریتی از امنیت کاهش مییابد. این خلأ رهبری به فرسایش نیروهای متخصص، افزایش مهاجرت و کاهش اعتماد دیجیتال منجر شده است.
در مدلهای حکمرانی بالغ، CISO عضو هسته تصمیمسازی است، نه مجری دستورها. ایران برای دستیابی به امنیت پایدار، باید امنیت را از فاز فنی به سطح سیاستی ارتقا دهد؛ یعنی تربیت مدیران امنیت با سواد حکمرانی، نه صرفاً ابزارشناسی.
تا زمانی که چنین نقشی در ساختار سازمانی و ملی تثبیت نشود، امنیت سایبری ایران همچنان واکنشی و جزیرهای باقی خواهد ماند ، نه حکمرانیشده.
واتس اپ برای ثبت نام 09902857290 www.haumoun.com دوره های Elite برند برتر آموزشهای سازمانی
نبود مدیر امنیت با دانش سطح CISO؛ گسل اصلی حکمرانی امنیت سایبری در ایران
روزبه نوروزی
در فضای سازمانی ایران، نبود مدیر امنیت اطلاعات (CISO) با درک عمیق از حکمرانی و همراستایی با اهداف کسبوکار، بزرگترین مانع بلوغ امنیتی است. اکثر مدیران امنیتی فعلی از بدنه فنی آمدهاند و نگاهشان محدود به حفاظت و کنترل فنی است؛ در حالی که CISO واقعی معمار سیاست، ریسک و اعتماد دیجیتال سازمان است.
فقدان این نقش باعث میشود امنیت به وظیفه واحد IT تقلیل یابد و از تصمیمات هیئتمدیره و چرخه ارزش سازمان جدا شود. در نتیجه، هیچ چارچوبی مانند ISO 27014 یا NIST CSF در لایه حاکمیتی پیاده نمیشود، و بودجه امنیت بدون شاخص بازگشت سرمایه تخصیص مییابد. تصمیمها واکنشی و دفاعیاند، نه استراتژیک و پیشنگر.
نبود CISO حرفهای همچنین باعث از بین رفتن زبان مشترک بین کسبوکار و امنیت میگردد. گزارشهای امنیتی برای مدیرعامل قابل فهم نیستند، درک “ریسک سایبری” به “هزینه فنی” فروکاسته میشود، و در نهایت حمایت مدیریتی از امنیت کاهش مییابد. این خلأ رهبری به فرسایش نیروهای متخصص، افزایش مهاجرت و کاهش اعتماد دیجیتال منجر شده است.
در مدلهای حکمرانی بالغ، CISO عضو هسته تصمیمسازی است، نه مجری دستورها. ایران برای دستیابی به امنیت پایدار، باید امنیت را از فاز فنی به سطح سیاستی ارتقا دهد؛ یعنی تربیت مدیران امنیت با سواد حکمرانی، نه صرفاً ابزارشناسی.
تا زمانی که چنین نقشی در ساختار سازمانی و ملی تثبیت نشود، امنیت سایبری ایران همچنان واکنشی و جزیرهای باقی خواهد ماند ، نه حکمرانیشده.
واتس اپ برای ثبت نام 09902857290 www.haumoun.com دوره های Elite برند برتر آموزشهای سازمانی
🔥6👏3❤2
ویژگی های دوره ELITE
✅️سرفصل کامل دوره های جهانی
✳️متن کامل کتاب ۲۰۲۵
🟣متن کامل دوره های جامع CBT سال ۲۰۲۵
💫به همراه ویس و ویدئو
🔸️مرور تمرین ها مطابق دوره اصل ۳۰۰۰ دلاری
🏅کارگاه عملی با سناریو های ایرانی و جهانی
🥏اطمینان از آموزش با حل تمرین های اضافی
〽️انتقال تجربه ۲۳ سال تجربه کار عملیاتی
🟢مرور Extensive آموخته ها
🟪اخذ چهار آزمون Optional در طول دوره و حل جوابها
🟥اخذ آزمون نهایی Optional پایان دوره
✅️صدور مدرک قبولی دوره بعنوان سرتیفیکیت قبولی آزمون ELITE
www.haumoun.com
09902857290
✅️سرفصل کامل دوره های جهانی
✳️متن کامل کتاب ۲۰۲۵
🟣متن کامل دوره های جامع CBT سال ۲۰۲۵
💫به همراه ویس و ویدئو
🔸️مرور تمرین ها مطابق دوره اصل ۳۰۰۰ دلاری
🏅کارگاه عملی با سناریو های ایرانی و جهانی
🥏اطمینان از آموزش با حل تمرین های اضافی
〽️انتقال تجربه ۲۳ سال تجربه کار عملیاتی
🟢مرور Extensive آموخته ها
🟪اخذ چهار آزمون Optional در طول دوره و حل جوابها
🟥اخذ آزمون نهایی Optional پایان دوره
✅️صدور مدرک قبولی دوره بعنوان سرتیفیکیت قبولی آزمون ELITE
www.haumoun.com
09902857290
❤5💯1
در حوزهی تحلیل بدافزار و امداد سایبری، فرمت فایل CaRT (.cart)بهعنوان یکی از قالبهای تخصصی انتقال امن دادههای مخرب شناخته میشود. این ساختار با امضای آغازین "CART" مشخص میگردد و مخفف Compressed and RC4 Transport است. هدف اصلی آن، رمزگذاری و فشردهسازی نمونههای بدافزار برای جابهجایی و ذخیرهسازی ایمن در محیطهای تحقیقاتی و دفاعی است.
خصوصیت CaRT توسطCSE کانادا (Communications Security Establishment)توسعه داده شده و در سامانههایی مانند Thoriumبرای جلوگیری از اجرای یا قرنطینه شدن فایل توسط ابزارهای امنیتی معمول بهکار میرود. زمانی که فایلی در Thorium بارگذاری میشود، بهصورت خودکار به قالب .car تبدیل و تنها با ابزارهای مجاز «uncart» قابل بازگشت به حالت اجرایی است.
این مکانیزم ترکیبی از RC4 Encryption و Metadata Encapsulation را بهکار میبرد تا هویت و خصوصیات نمونه حفظ شود اما امکان فعالسازی ناخواسته در شبکه وجود نداشته باشد. محققان امنیتی از بستهی Python موسوم به cartبرای استخراج و تحلیل این دادهها استفاده میکنند.
چنین معماری نشاندهندهی رویکرد پیشرفته دولتها و مراکز تحقیقاتی در کنترل ریسک انتقال بدافزار و حفظ تمامیت زنجیرهی تحلیل تهدید است؛ جایی که امنیت، پژوهش و اعتماد نهادی در یک چارچوب فنی واحد ادغام میشوند.
#آکادمی_روزبه
خصوصیت CaRT توسطCSE کانادا (Communications Security Establishment)توسعه داده شده و در سامانههایی مانند Thoriumبرای جلوگیری از اجرای یا قرنطینه شدن فایل توسط ابزارهای امنیتی معمول بهکار میرود. زمانی که فایلی در Thorium بارگذاری میشود، بهصورت خودکار به قالب .car تبدیل و تنها با ابزارهای مجاز «uncart» قابل بازگشت به حالت اجرایی است.
این مکانیزم ترکیبی از RC4 Encryption و Metadata Encapsulation را بهکار میبرد تا هویت و خصوصیات نمونه حفظ شود اما امکان فعالسازی ناخواسته در شبکه وجود نداشته باشد. محققان امنیتی از بستهی Python موسوم به cartبرای استخراج و تحلیل این دادهها استفاده میکنند.
چنین معماری نشاندهندهی رویکرد پیشرفته دولتها و مراکز تحقیقاتی در کنترل ریسک انتقال بدافزار و حفظ تمامیت زنجیرهی تحلیل تهدید است؛ جایی که امنیت، پژوهش و اعتماد نهادی در یک چارچوب فنی واحد ادغام میشوند.
#آکادمی_روزبه
🙏4❤3💯2
تجربه هفته
بازخوانی طراحی Drift detection در ۴ ماه پیش
روزبه نوروزی
در سازمانی مجبور به طراحی کشف دریفت شدیم . اولین نشانه نیاز به این پروژه زمانی ظاهر شد که تیم امنیت چند رفتار غیرعادی در سرویسهای حیاتی مثل Payment و Fraud مشاهده کرد؛ رفتارهایی که در Image اصلی وجود نداشتند و توسط ابزارهای کلاسیک مانند WAF یا IPS نیز قابل تشخیص نبودند. برای مثال، اجرای غیرمنتظره /bin/sh در یک کانتینر Nginx اولین هشدار جدی برای ما بود.
در قدم اول، با تیم DevSecOps فرآیند استانداردسازی Imageها را اصلاح کردیم و برای تمام سرویسها Golden Baseline تعریف شد. سپس Agentهای سبک مبتنی بر eBPF روی Nodeهای Kubernetes مستقر کردیم که توانایی تشخیص تغییرات در لایههای Filesystem، Process، Network و Syscall را داشته باشند. در مرحله بعد، برای هر سرویس سیاستهای رفتاری (Allowed Behavior) تعریف کردیم؛ بهعنوان مثال، سرویس Payment مجاز نبود هیچ ابزاری خارج از باینریهای اصلی خود اجرا کند و outbound غیرمجاز باید فوراً مسدود میشد.
حدود دو هفته بعد از استقرار، Drift Detection یک Incident واقعی را کشف کرد: ایجاد یک فایل ناشناس در /tmp، اجرای Bash، و تلاش برای برقراری ارتباط با یک IP مشکوک. Agentها بهصورت خودکار کانتینر را قرنطینه کردند و نسخه سالم آن Deploy شد. تحلیلهای بعدی نشان داد مهاجم تلاش داشته از طریق یک Webshell حرکت عرضی کند
در نهایت، این پروژه باعث کاهش محسوس ریسکهای Runtime، افزایش شفافیت برای SOC و ایجاد یک چارچوب قابل ممیزی بر اساس اصول CISSP شد.
#آکادمی_روزبه
بازخوانی طراحی Drift detection در ۴ ماه پیش
روزبه نوروزی
در سازمانی مجبور به طراحی کشف دریفت شدیم . اولین نشانه نیاز به این پروژه زمانی ظاهر شد که تیم امنیت چند رفتار غیرعادی در سرویسهای حیاتی مثل Payment و Fraud مشاهده کرد؛ رفتارهایی که در Image اصلی وجود نداشتند و توسط ابزارهای کلاسیک مانند WAF یا IPS نیز قابل تشخیص نبودند. برای مثال، اجرای غیرمنتظره /bin/sh در یک کانتینر Nginx اولین هشدار جدی برای ما بود.
در قدم اول، با تیم DevSecOps فرآیند استانداردسازی Imageها را اصلاح کردیم و برای تمام سرویسها Golden Baseline تعریف شد. سپس Agentهای سبک مبتنی بر eBPF روی Nodeهای Kubernetes مستقر کردیم که توانایی تشخیص تغییرات در لایههای Filesystem، Process، Network و Syscall را داشته باشند. در مرحله بعد، برای هر سرویس سیاستهای رفتاری (Allowed Behavior) تعریف کردیم؛ بهعنوان مثال، سرویس Payment مجاز نبود هیچ ابزاری خارج از باینریهای اصلی خود اجرا کند و outbound غیرمجاز باید فوراً مسدود میشد.
حدود دو هفته بعد از استقرار، Drift Detection یک Incident واقعی را کشف کرد: ایجاد یک فایل ناشناس در /tmp، اجرای Bash، و تلاش برای برقراری ارتباط با یک IP مشکوک. Agentها بهصورت خودکار کانتینر را قرنطینه کردند و نسخه سالم آن Deploy شد. تحلیلهای بعدی نشان داد مهاجم تلاش داشته از طریق یک Webshell حرکت عرضی کند
در نهایت، این پروژه باعث کاهش محسوس ریسکهای Runtime، افزایش شفافیت برای SOC و ایجاد یک چارچوب قابل ممیزی بر اساس اصول CISSP شد.
#آکادمی_روزبه
👏5❤3
بعنوان مقدمه این ویدئوی کوتاه رو ببینید
https://www.aparat.com/v/h71z6cb
Please open Telegram to view this post
VIEW IN TELEGRAM
آپارات - سرویس اشتراک ویدیو
کوبرنتیز چیست؟ Kubernetes به زبان ساده!
این روزها که صحبتهای زیادی در مورد داکر میشود، فناوری کوبرنتیز هم خیلی محبوب شده است چراکه این دو مفهوم وابستگی بسیاری به یکدیگر دارند.
در رویکرد نوین توسعه نرمافزار، هر بسته نرمافزاری در یک کانتینر نگهداری میشود که این کانتینرها با کمک داکر ایجاد و…
در رویکرد نوین توسعه نرمافزار، هر بسته نرمافزاری در یک کانتینر نگهداری میشود که این کانتینرها با کمک داکر ایجاد و…
💯4❤2👍1
در یک نگاه معماری، کوبرنتیس روی چهار ستون اصلی تکیه دارد: Pod، Node، Service و Namespace.
هرکدام یک نقش کاملاً متفاوت دارند و هیچکدام جای دیگری را نمیگیرد. این چهار عنصر در کنار هم ساختار اجرایی، شبکهای، امنیتی و سازمانی کلاستر را میسازند.
و اما Pod : کوچکترین واحد اجرایی است؛ جایی که کانتینرها واقعاً اجرا میشوند. از دید معماری، پاد «محل اجرای سرویس» است و مسئولیت آن محدود به اجرای فرآیندها، اشتراک شبکه و ذخیرهسازی موقت بین کانتینرهای داخل خود است. پاد یک واحد کاملاً زودگذر است و بهصورت پویا توسط کنترلرها ایجاد یا نابود میشود؛ بنابراین معماری کوبر ( K8s) هیچگاه روی پاد بهعنوان یک آدرس یا موجودیت پایدار حساب نمیکند.
و Node: بستر فیزیکی/مجازی اجرای پادهاست. در معماری، نود حکم «ماشین کارگر» را دارد و مسئول اجرای کانتینرها، مدیریت منابع، ارتباط با API Server و اجرای شبکه داخلی است. هر نود مجموعهای از مؤلفههای حیاتی مانند kubelet و kube‑proxy را دارد که نقش سیستمعامل کلاستر را ایفا میکنند. از دید Capacity Planning، نود همان لایه زیرساخت است.
و Service نقش «هویت پایدار شبکهای» را بازی میکند. چون پادها دائماً ایجاد و حذف میشوند، Service یک آدرس ثابت برای مجموعهای از پادهای متغیر ارائه میدهد. این مفهوم در معماری توزیعشده حیاتی است؛ بدون Service امکان Load Balancing، Service Discovery و ارتباط پایدار بین سرویسها وجود ندارد. سرویس در حقیقت Network Abstraction لایه Application است.
و Namespace: لایهٔ سازماندهی و مرزبندی منطقی است. از نگاه معماری، Namespace ساختار «تقسیم دامنه» را فراهم میکند: جداکردن تیمها، محیطها، سیاستها، RBAC، ResourceQuota و NetworkPolicy. این مفهوم امنیت، مدیریت، توسعه مستقل و جلوگیری از تداخل سرویسها را ممکن میسازد. اگر پاد واحد اجراست، Namespace واحد حاکمیت و کنترل است.
در کنار هم، این چهار عنصر چارچوب کامل اجرای برنامههای توزیعشده در کوبرنتیس را شکل میدهند.
#آکادمی_روزبه
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4❤2🙏2👏1
Plan، Code، Build، Test، Release، Deploy، Operate و Monitor.
کنترل XDR فقط محدود به CI/CD نیست. حضورش در DevOps سه سطح دارد:
سطح ۱: Pre‑runtime (Build, Test, Release)
سطح ۲: Admission & Deploy
سطح ۳: Runtime & Monitor (قلب XDR)
۱) عملکرد XDR در سطح Pre‑runtime
(Build, Scan, Release)
وXDR در این مرحله نقش Image Security Platform را دارد:
• اسکن کامل Image قبل از Push به Registry (CVE، بدافزار، Library Attack)
• شناسایی ضعفهای Dockerfile (مثل اجرای با user root)
• بررسی Base Image ها و وابستگیها
• ارتباط مستقیم با Pipeline (GitLab, GitHub, Jenkins, Azure DevOps)
• اعمال Policy: اگر Image خلاف Rule باشد بلاک
• امضای Image (Content Trust) و تولید Evidence برای مرحله Deploy
خروجی این مرحله:
این Image «تأیید شده» وارد Registry میشود و XDR یک SBOM و Risk Score به آن اختصاص میدهد.
این Score در مراحل بعدی استفاده میشود.
۲) عملکرد XDR در Admission & Deploy
(در ورودی Kubernetes)
اینجا XDR در این سطح در کنار Admission Controller قرار میگیرد:
• بررسی اینکه ایمیج امضا شده و در مرحله Build تأیید شده باشد
• تطبیق Manifest با Policyهای امنیتی:
– privileged: false
– hostPath ممنوع
– Limitها تعریف شده
– Image Pull از Registry معتبر
• جلوگیری از Deploy پادهای ناسازگار
• ارتباط با Kubernetes API Server برای Block/Allow
• وابسته بودن تصمیمگیری به همان SBOM و Risk Score
• هماهنگی با Kyverno/Opa Gatekeeper (اگر باشند)
نتیجه:
پادهایی که در مرحله Build «پاک» شدهاند، فقط در صورتی وارد کلاستر میشوند که Manifest آنها هم امن باشد.
این همان لایه دوم XDR است.
۳) عملکرد XDR در Runtime & Monitor
(قلب XDR در K8s)
اینجاست که XDRقدرت اصلیاش را نشان میدهد:
• سنسور eBPF روی Node برای نظارت Syscall
• رفتارشناسی Runtime برای تشخیص حملات واقعی:
– Lateral Movement
– Container Escape
– Reverse Shell
– Cryptomining
– مشکوک شدن Process Tree
• Drift Detection:
– نوشتن فایل غیرمجاز
– اجرای باینری ناشناخته
– تغییر Config در Container
– اتصال شبکه غیرعادی
• تحلیل Telemetry از کل کلاستر:
– ترافیک شبکه
– Process Behavior
– File Integrity
– API Server Events
• XDR Analytics:
– ارتباطدهی بین رویدادها (Correlation)
– جستوجوی حملات End-to-End (Kill Chain View)
• Response خودکار:
– توقف پاد
– quarantine container
– block outbound connection
– scale down سرویس آلوده
– Ticket به SIEM/SOAR
نتیجه:
اینXDRتبدیل میشود به چشم سازمان روی کلاستر ؛ جایی که حمله واقعی در Runtime اتفاق می افتد
#آکادمی_روزبه
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7👏3🙏2
اسکنر ایمیج (در CI/CD یا Registry)
کجا نصب میشود؟
روی هیچ سروری نصب نمیشود.
با CI/CD یا Registry «ادغام» میشود.
مدل کار به جای نصب، اینهاست:
• یک API Key از XDR میگیرید
• داخل GitLab/GitHub/Jenkins قرار میدهید
وXDR مرحله Build را اسکن میکند
اگر Registry مثل Harbor داشته باشید، XDR به آن وصل میشود و ایمیج را اسکن میکند.
پس بخش اسکن ایمیج هم Agent ندارد ؛ فقط یک Integration است.
۳) بخش سوم: Runtime Sensor (Agent روی Node)
این «تنها بخشی است که واقعاً روی سرور نصب میشود».
روی Nodeهای Kubernetes نصب میشود، نه روی پادها.
نصبش شبیه این است:
• از داخل XDR یک فایل YAML میگیرید
• آن را روی کلاستر apply میکنید
این YAML چه کار میکند؟
• یک Agent روی هر Node نصب میکند
• این Agent با eBPF رفتار پادها را پایش میکند
• دادهها را به XDR گزارش میدهد
این بخش قلب Runtime Protection است.
#آکادمی_روزبه
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7👏2🙏2
شرکت هامون برگزار میکند
یک دوره با چهار منبع جهانی
✔️ دوره مدیر ارشد امنیت CISO
www.haumoun.com
09902857290 مرکز تماس آموزش
یک دوره با چهار منبع جهانی
www.haumoun.com
09902857290 مرکز تماس آموزش
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5👏2