595: Applied Data Science and AI/Machine Learning for Cybersecurity Professionals
تنها دوره هوش مصنوعی برای متخصصان امنیت در ایران
رزو بدلیل محدودیت 09902857290
www.haumoun.com
#آکادمی_روزبه
سرفصل اصل
https://www.sans.org/cyber-security-courses/applied-data-science-machine-learning
تنها دوره هوش مصنوعی برای متخصصان امنیت در ایران
رزو بدلیل محدودیت 09902857290
www.haumoun.com
#آکادمی_روزبه
سرفصل اصل
https://www.sans.org/cyber-security-courses/applied-data-science-machine-learning
💯4😍2
معماری اعتماد: چگونه TPM Attestation پایهی Zero‑Trust میشود
روزبه نوروزی
در معماری امنیت سازمانی، تکنولوژی TPM Attestation نقشی حیاتی در شکلدهی به زنجیره اعتماد (Chain of Trust) ایفا میکند. مقولهTPM یا Trusted Platform Module، تراشهای سختافزاریست که هدف آن تضمین صحت و تمامیت اجزای حیاتی سیستم مانند بوتلودر، درایورهای کرنل و هسته سیستمعامل است. فرآیند Attestation، مرحلهای از تصدیق وضعیت دستگاه محسوب میشود که طی آن سیستم با استفاده از کلیدهای داخلی TPM، اثبات میکند در حالت مجاز و بدون تغییرات مخرب قرار دارد.
در جریان بوت، TPM مجموعهای از اندازهگیریها را در رجیسترهای مخصوص به نام PCR – Platform Configuration Registers ثبت میکند. این مقادیر سپس توسط سرور مرکزی یا پلتفرم امنیتی تأییدکننده (Verifier) بررسی و با Baseline مورد انتظار مقایسه میشوند. هرگونه تناقض در این دادهها نشانگر انحراف از پیکربندی امن یا تلاش برای رخنه در زنجیره بوت است.
از منظر معمار امنیت، TPM Attestation ابزار پایه در اجرای Secure Boot و Measured Boot محسوب میشود. در معماریهای پیشرفته مانند Zero‑Trust Enterprise Architecture، این سازوکار پیششرط دسترسی دستگاهها به شبکه سازمانی یا سرویسهای حساس است. در EDRهای سطح بالا نیز از Attestation برای اطمینان از فعال بودن driverهای مجاز در سطح کرنل استفاده میشود.
در نهایت، باید TPM Attestation را نه صرفاً ویژگی سختافزاری، بلکه نقطه آغاز اعتماد دیجیتال سازمان دانست؛ جاییکه اعتبار امنیتی از سختافزار شروع و تا سطح نرمافزار و هویت دستگاه امتداد مییابد ؛ تحقق واقعی اصل "Never trust, always verify" در معماری مدرن سایبری.
سوال: آیا پلتفرم امنیتی تأییدکننده (Verifier) در سازمان دارید ؟
#آکادمی_روزبه
روزبه نوروزی
در معماری امنیت سازمانی، تکنولوژی TPM Attestation نقشی حیاتی در شکلدهی به زنجیره اعتماد (Chain of Trust) ایفا میکند. مقولهTPM یا Trusted Platform Module، تراشهای سختافزاریست که هدف آن تضمین صحت و تمامیت اجزای حیاتی سیستم مانند بوتلودر، درایورهای کرنل و هسته سیستمعامل است. فرآیند Attestation، مرحلهای از تصدیق وضعیت دستگاه محسوب میشود که طی آن سیستم با استفاده از کلیدهای داخلی TPM، اثبات میکند در حالت مجاز و بدون تغییرات مخرب قرار دارد.
در جریان بوت، TPM مجموعهای از اندازهگیریها را در رجیسترهای مخصوص به نام PCR – Platform Configuration Registers ثبت میکند. این مقادیر سپس توسط سرور مرکزی یا پلتفرم امنیتی تأییدکننده (Verifier) بررسی و با Baseline مورد انتظار مقایسه میشوند. هرگونه تناقض در این دادهها نشانگر انحراف از پیکربندی امن یا تلاش برای رخنه در زنجیره بوت است.
از منظر معمار امنیت، TPM Attestation ابزار پایه در اجرای Secure Boot و Measured Boot محسوب میشود. در معماریهای پیشرفته مانند Zero‑Trust Enterprise Architecture، این سازوکار پیششرط دسترسی دستگاهها به شبکه سازمانی یا سرویسهای حساس است. در EDRهای سطح بالا نیز از Attestation برای اطمینان از فعال بودن driverهای مجاز در سطح کرنل استفاده میشود.
در نهایت، باید TPM Attestation را نه صرفاً ویژگی سختافزاری، بلکه نقطه آغاز اعتماد دیجیتال سازمان دانست؛ جاییکه اعتبار امنیتی از سختافزار شروع و تا سطح نرمافزار و هویت دستگاه امتداد مییابد ؛ تحقق واقعی اصل "Never trust, always verify" در معماری مدرن سایبری.
سوال: آیا پلتفرم امنیتی تأییدکننده (Verifier) در سازمان دارید ؟
#آکادمی_روزبه
💯7❤3
اخلاق و امنیت سایبری : تناظر اصول ISC2 با مفاهیم دینی
روزبه نوروزی
اخلاق در امنیت سایبری حیاتی است، زیرا متخصصان به حساسترین دادهها و زیرساختها دسترسی دارند و به نوعی دارایی سازمانها و افراد در اختیار آنها است. نبودِ اخلاق میتواند به سوءاستفاده، افشای اطلاعات، اختلال سازمانی و از بین رفتن اعتماد عمومی و نقض حریم شخصی و تبعات قانونی منجر شود. رفتار مسئولانه و شفاف، تنها راه جلوگیری از خطرات بزرگ و حفظ امنیت پایدار است.
اصول اخلاقی ISC2 پایهای برای رفتار حرفهای در امنیت سایبری هستند و بر ضرورت اعتماد، مسئولیتپذیری و خدمت صادقانه تأکید میکنند. این اصول متخصص امنیت را موظف میکنند از جامعه، منافع عمومی و زیرساختها محافظت کند، با صداقت و شرافت رفتار کند، خدمات دقیق و توانمند ارائه دهد و حرفهٔ امنیت سایبری را ارتقا دهد. با توجه به دسترسی گستردهٔ متخصصان به دادههای حساس، پایبندی به اخلاق برای جلوگیری از سوءاستفاده، حفظ اعتماد و مدیریت خطرات ضروری است. این چارچوب بهعنوان یک قطبنما، تصمیمگیری در شرایط پیچیده و حساس را هدایت میکند.
🌼تناظر مفهومی میان اصول اخلاقی ISC2 و آموزههای اخلاقی قرآن:
1) Protect Society
حفاظت از جامعه و خیر عمومی
ISC2:
حفاظت از جامعه، اعتماد عمومی و زیرساختها
قرآن:
«وَلَا تُفْسِدُوا فِي الْأَرْضِ» (بقره 11)
آموزه: جلوگیری از هرگونه فساد، تخریب یا زیان به جامعه.
2) Act Honestly and Justly
صداقت و عدالت
ISC2:
رفتار شرافتمندانه، صادقانه و عادلانه
قرآن:
«إِنَّ اللَّهَ يَأْمُرُكُمْ أَنْ تُؤَدُّوا الْأَمَانَاتِ إِلَىٰ أَهْلِهَا» (نساء 58)
آموزه: امانتداری، عدالت و مسئولیت در برابر آنچه در اختیار فرد قرار گرفته است.
3) Provide Competent Service
خدمت دقیق و مسئولانه
ISC2:
ارائهٔ خدمت توانمند و مسئولانه به صاحبان سیستم
قرآن:
«وَقُلِ اعْمَلُوا فَسَيَرَى اللَّهُ عَمَلَكُمْ» (توبه 105)
آموزه: کار با کیفیت، مسئولیتپذیری و توجه به اثر اعمال.
4) Advance and Protect the Profession
ارتقای حرفه و حفاظت از اعتبار آن
ISC2:
حمایت از حرفه، جلوگیری از رفتارهایی که وجههٔ امنیت را تخریب میکند
قرآن:
«وَتَعَاوَنُوا عَلَى الْبِرِّ وَالتَّقْوَىٰ» (مائده 2)
آموزه: همکاری برای کارهای نیک و پرهیز از رفتارهای مخرب.
نتیجهگیری
میتوان گفت اصول اخلاقی ISC2 و قرآن در سطح ارزش اخلاقی تناظر واضح دارند:
آرامش جامعه، امانتداری، صداقت، مسئولیتپذیری، جلوگیری از زیان و تلاش برای خیر عمومی.
این نوع تطابق نهتنها ممکن، بلکه برای ایجاد فرهنگ اخلاقی در امنیت سایبری ایران بسیار ارزشمند است.
روزبه نوروزی
اخلاق در امنیت سایبری حیاتی است، زیرا متخصصان به حساسترین دادهها و زیرساختها دسترسی دارند و به نوعی دارایی سازمانها و افراد در اختیار آنها است. نبودِ اخلاق میتواند به سوءاستفاده، افشای اطلاعات، اختلال سازمانی و از بین رفتن اعتماد عمومی و نقض حریم شخصی و تبعات قانونی منجر شود. رفتار مسئولانه و شفاف، تنها راه جلوگیری از خطرات بزرگ و حفظ امنیت پایدار است.
اصول اخلاقی ISC2 پایهای برای رفتار حرفهای در امنیت سایبری هستند و بر ضرورت اعتماد، مسئولیتپذیری و خدمت صادقانه تأکید میکنند. این اصول متخصص امنیت را موظف میکنند از جامعه، منافع عمومی و زیرساختها محافظت کند، با صداقت و شرافت رفتار کند، خدمات دقیق و توانمند ارائه دهد و حرفهٔ امنیت سایبری را ارتقا دهد. با توجه به دسترسی گستردهٔ متخصصان به دادههای حساس، پایبندی به اخلاق برای جلوگیری از سوءاستفاده، حفظ اعتماد و مدیریت خطرات ضروری است. این چارچوب بهعنوان یک قطبنما، تصمیمگیری در شرایط پیچیده و حساس را هدایت میکند.
🌼تناظر مفهومی میان اصول اخلاقی ISC2 و آموزههای اخلاقی قرآن:
1) Protect Society
حفاظت از جامعه و خیر عمومی
ISC2:
حفاظت از جامعه، اعتماد عمومی و زیرساختها
قرآن:
«وَلَا تُفْسِدُوا فِي الْأَرْضِ» (بقره 11)
آموزه: جلوگیری از هرگونه فساد، تخریب یا زیان به جامعه.
2) Act Honestly and Justly
صداقت و عدالت
ISC2:
رفتار شرافتمندانه، صادقانه و عادلانه
قرآن:
«إِنَّ اللَّهَ يَأْمُرُكُمْ أَنْ تُؤَدُّوا الْأَمَانَاتِ إِلَىٰ أَهْلِهَا» (نساء 58)
آموزه: امانتداری، عدالت و مسئولیت در برابر آنچه در اختیار فرد قرار گرفته است.
3) Provide Competent Service
خدمت دقیق و مسئولانه
ISC2:
ارائهٔ خدمت توانمند و مسئولانه به صاحبان سیستم
قرآن:
«وَقُلِ اعْمَلُوا فَسَيَرَى اللَّهُ عَمَلَكُمْ» (توبه 105)
آموزه: کار با کیفیت، مسئولیتپذیری و توجه به اثر اعمال.
4) Advance and Protect the Profession
ارتقای حرفه و حفاظت از اعتبار آن
ISC2:
حمایت از حرفه، جلوگیری از رفتارهایی که وجههٔ امنیت را تخریب میکند
قرآن:
«وَتَعَاوَنُوا عَلَى الْبِرِّ وَالتَّقْوَىٰ» (مائده 2)
آموزه: همکاری برای کارهای نیک و پرهیز از رفتارهای مخرب.
نتیجهگیری
میتوان گفت اصول اخلاقی ISC2 و قرآن در سطح ارزش اخلاقی تناظر واضح دارند:
آرامش جامعه، امانتداری، صداقت، مسئولیتپذیری، جلوگیری از زیان و تلاش برای خیر عمومی.
این نوع تطابق نهتنها ممکن، بلکه برای ایجاد فرهنگ اخلاقی در امنیت سایبری ایران بسیار ارزشمند است.
❤10👍4
دو راهی مدیران امنیت سایبری : SSL Inspection
روزبه نوروزی
در مقاله زیر بررسی کرده ام که SSL Inspection چگونه با شکستن موقت رمزگذاری TLS ؛ ترافیک را برای تهدیدات تحلیل میکند، اما از دید اخلاقی ممکن است نقض اعتماد و حریم خصوصی کاربران باشد. در متن مقاله جزئیات فنی مثل ساختار پراکسی، Root CA سازمانی، و مدل Selective Inspection اورده شده و تعارض میان امنیت سازمانی و استقلال فردی را تحلیل کردم. چارچوب اخلاقی شامل اصول شفافیت، تناسب، رضایت و پاسخگویی است و نتیجه گرفته ام که تنها اجرای شفاف و متناسب میتواند SSL Inspection را به ابزاری اخلاقی در امنیت سایبری تبدیل کند.
باید بدانیم این عمل نه صرفاً یک کنترل فنی، بلکه یک پیمان اخلاقی است: میان حق دفاع سازمان و حق اعتماد انسان. اجرای آن بدون شفافیت، امنیت را از معنا تهی میکند.
این مقاله بخشی از دوره تربیت CISO است که دیماه برگزار میکنم
مدیران برتر و اخلاق مدار سایبری ایران
مقاله کامل را در ویرگول بخوانید
https://vrgl.ir/9PZGy
روزبه نوروزی
در مقاله زیر بررسی کرده ام که SSL Inspection چگونه با شکستن موقت رمزگذاری TLS ؛ ترافیک را برای تهدیدات تحلیل میکند، اما از دید اخلاقی ممکن است نقض اعتماد و حریم خصوصی کاربران باشد. در متن مقاله جزئیات فنی مثل ساختار پراکسی، Root CA سازمانی، و مدل Selective Inspection اورده شده و تعارض میان امنیت سازمانی و استقلال فردی را تحلیل کردم. چارچوب اخلاقی شامل اصول شفافیت، تناسب، رضایت و پاسخگویی است و نتیجه گرفته ام که تنها اجرای شفاف و متناسب میتواند SSL Inspection را به ابزاری اخلاقی در امنیت سایبری تبدیل کند.
باید بدانیم این عمل نه صرفاً یک کنترل فنی، بلکه یک پیمان اخلاقی است: میان حق دفاع سازمان و حق اعتماد انسان. اجرای آن بدون شفافیت، امنیت را از معنا تهی میکند.
این مقاله بخشی از دوره تربیت CISO است که دیماه برگزار میکنم
مدیران برتر و اخلاق مدار سایبری ایران
مقاله کامل را در ویرگول بخوانید
https://vrgl.ir/9PZGy
ویرگول
بازرسی اس اس ال ؛ امنیت قابل توجیه یا تجاوز نامرئی؟ - ویرگول
SSL Inspection SSL Inspection — «امنیت قابل توجیه یا تجاوز نامرئی؟ تحلیل اخلاقی و فنی در لبه توازن اعتماد» مقدمه در محیطهای سازمانی که تر…
❤8👏2
نقطه عطف در تصمیم سازی مدیر امنیت
اهمیت انتخاب یا ترکیب چارچوبهای کنترلی در مدیریت امنیت اطلاعات
انتخاب یک چارچوب کنترلی مناسب توسط مدیر امنیت اطلاعات (Security Management Professional) یکی از بنیادیترین تصمیمات راهبردی در طراحی، توسعه و اجرای برنامه امنیت سازمان است. دلیل این اهمیت آن است که چارچوب کنترلی، ساختار پایهای برای تعریف سیاستها، استانداردها، کنترلها و روشهای اجرایی را فراهم میکند. بدون چنین چارچوبی، سیاستهای امنیتی بهصورت جزیرهای، پراکنده و بدون همترازی با ریسکها و الزامات کسبوکار شکل میگیرند و در نهایت نه قابل ممیزیاند و نه از منظر مدیریت ریسک قابلدفاع.
از سوی دیگر، هیچ چارچوب امنیتی بهتنهایی کامل نیست. برای مثال، ISO 27001 ساختاری قوی برای مدیریت کلان امنیت و ایجاد ISMS ارائه میدهد اما در جزئیات کنترلهای فنی محدود است. در مقابل، NIST SP 800-53 مجموعهای جامع از کنترلهای امنیتی عملیاتی و فنی را شامل میشود، اما برای بسیاری از سازمانها پیچیده و سنگین است. NIST CSF چارچوبی عالی برای همراستایی امنیت با ریسک و اهداف کسبوکار ارائه میکند، اما جایگزین کنترلهای دقیق عملیاتی نیست. بنابراین، مدیر امنیت ممکن است بهترین نتیجه را از ترکیب هوشمندانه چند چارچوب بهدست آورد؛ رویکردی که به آن Tailored Control Framework یا Hybrid Baseline گفته میشود.📡 ( بخشی از کارگاه عملی دوره CISO)
این ترکیب باعث میشود سیاستهای امنیتی هم از نظر فنی کامل باشند، هم از منظر کسبوکار همراستا، و هم در حوزه Governance قابلممیزی و قابلاجرا. چنین رویکردی امنیت را از یک فعالیت واکنشی به یک قابلیت راهبردی تبدیل میکند که میتواند با اولویتهای سازمان و اشتهای ریسک آن سازگار باشد. در نتیجه، چارچوب ترکیبی بومیشده تضمین میکند که امنیت سازمانی هدفمند، منعطف، مبتنی بر ریسک و قابلدفاع باقی بماند
دوره مدیریت ارشد امنیت CISO
مرکز تماس 09902857290 www.haumoun.com
اهمیت انتخاب یا ترکیب چارچوبهای کنترلی در مدیریت امنیت اطلاعات
انتخاب یک چارچوب کنترلی مناسب توسط مدیر امنیت اطلاعات (Security Management Professional) یکی از بنیادیترین تصمیمات راهبردی در طراحی، توسعه و اجرای برنامه امنیت سازمان است. دلیل این اهمیت آن است که چارچوب کنترلی، ساختار پایهای برای تعریف سیاستها، استانداردها، کنترلها و روشهای اجرایی را فراهم میکند. بدون چنین چارچوبی، سیاستهای امنیتی بهصورت جزیرهای، پراکنده و بدون همترازی با ریسکها و الزامات کسبوکار شکل میگیرند و در نهایت نه قابل ممیزیاند و نه از منظر مدیریت ریسک قابلدفاع.
از سوی دیگر، هیچ چارچوب امنیتی بهتنهایی کامل نیست. برای مثال، ISO 27001 ساختاری قوی برای مدیریت کلان امنیت و ایجاد ISMS ارائه میدهد اما در جزئیات کنترلهای فنی محدود است. در مقابل، NIST SP 800-53 مجموعهای جامع از کنترلهای امنیتی عملیاتی و فنی را شامل میشود، اما برای بسیاری از سازمانها پیچیده و سنگین است. NIST CSF چارچوبی عالی برای همراستایی امنیت با ریسک و اهداف کسبوکار ارائه میکند، اما جایگزین کنترلهای دقیق عملیاتی نیست. بنابراین، مدیر امنیت ممکن است بهترین نتیجه را از ترکیب هوشمندانه چند چارچوب بهدست آورد؛ رویکردی که به آن Tailored Control Framework یا Hybrid Baseline گفته میشود.
این ترکیب باعث میشود سیاستهای امنیتی هم از نظر فنی کامل باشند، هم از منظر کسبوکار همراستا، و هم در حوزه Governance قابلممیزی و قابلاجرا. چنین رویکردی امنیت را از یک فعالیت واکنشی به یک قابلیت راهبردی تبدیل میکند که میتواند با اولویتهای سازمان و اشتهای ریسک آن سازگار باشد. در نتیجه، چارچوب ترکیبی بومیشده تضمین میکند که امنیت سازمانی هدفمند، منعطف، مبتنی بر ریسک و قابلدفاع باقی بماند
دوره مدیریت ارشد امنیت CISO
مرکز تماس 09902857290 www.haumoun.com
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8
این مقاله Matrix Push C2 که در GBHackers On Security منتشر شده، به بررسی یک چارچوب جدید فرمان-و-کنترل (C2) میپردازد که از طریق قابلیت «اعلان پوش» (Browser Push Notifications) در مرورگرها استفاده میکند تا فایلبدافزارها یا کمپینهای فیشینگ را بدون فایل سنتی اجرا نماید.
🔍 نکات کلیدی مقاله
مهاجمین ابتدا کاربر را وادار میکنند اعلانهای مرورگر را فعال کند؛ سپس از این کانال بهعنوان مسیر دائمی ارسال پیام به دستگاه قربانی استفاده میکنند.
این روش از بسیاری از راهکارهای دفاعی سنتی عبور میکند چون مبتنی بر ویژگی بومی مرورگر است (Push Notifications) و نیازی به فایل اجرایی ندارد.
داشبوردِ این چارچوب امکان دنبال کردن تعداد کل کلاینتها، نرخ تحویل اعلان، تحلیل کاربران، و تجزیهوتحلیل کلیکها را میدهد که شبیه ابزارهای اتوماسیون بازاریابی است ولی برای مقاصد مخرب.
روشهای کاهش خطر پیشنهاد شده شامل هوشیاری کاربران نسبت به درخواستهای اعلان از وبسایتها، خودداری از کلیک روی اعلانهای ناشناس، و ایجاد سیاست برای مجوز اعلان مرورگر هستند.
✅ اهمیت برای تیمهای SOC / تحلیلگر تهدید
این مقاله نشان میدهد که چگونه یک مسیر جدید و نسبتاً کمموردِ توجه (Browser Push Notifications) به ابزار مهاجم تبدیل شده — یعنی یک اثر پوششنداشتن (Blind Spot) در بسیاری از ابزارهای مرسوم مانیتورینگ و دفاع.
برای تیمهای SOC و تحلیلگران امنیتی بسیار مهم است که:
این نوع حملات را در ماتریس تهدید خود بگنجانند
مکانیزمهای نظارت بر اعلانهای مرورگر و فعالیتهای ناشناخته push را ایجاد نمایند
سیاستهای محدودسازی («deny by default») برای اعلان پوش مرورگر و آموزش کاربران در این زمینه داشته باشند
#آکادمی_روزبه
https://gbhackers.com/matrix-push-c2/
🔍 نکات کلیدی مقاله
مهاجمین ابتدا کاربر را وادار میکنند اعلانهای مرورگر را فعال کند؛ سپس از این کانال بهعنوان مسیر دائمی ارسال پیام به دستگاه قربانی استفاده میکنند.
این روش از بسیاری از راهکارهای دفاعی سنتی عبور میکند چون مبتنی بر ویژگی بومی مرورگر است (Push Notifications) و نیازی به فایل اجرایی ندارد.
داشبوردِ این چارچوب امکان دنبال کردن تعداد کل کلاینتها، نرخ تحویل اعلان، تحلیل کاربران، و تجزیهوتحلیل کلیکها را میدهد که شبیه ابزارهای اتوماسیون بازاریابی است ولی برای مقاصد مخرب.
روشهای کاهش خطر پیشنهاد شده شامل هوشیاری کاربران نسبت به درخواستهای اعلان از وبسایتها، خودداری از کلیک روی اعلانهای ناشناس، و ایجاد سیاست برای مجوز اعلان مرورگر هستند.
✅ اهمیت برای تیمهای SOC / تحلیلگر تهدید
این مقاله نشان میدهد که چگونه یک مسیر جدید و نسبتاً کمموردِ توجه (Browser Push Notifications) به ابزار مهاجم تبدیل شده — یعنی یک اثر پوششنداشتن (Blind Spot) در بسیاری از ابزارهای مرسوم مانیتورینگ و دفاع.
برای تیمهای SOC و تحلیلگران امنیتی بسیار مهم است که:
این نوع حملات را در ماتریس تهدید خود بگنجانند
مکانیزمهای نظارت بر اعلانهای مرورگر و فعالیتهای ناشناخته push را ایجاد نمایند
سیاستهای محدودسازی («deny by default») برای اعلان پوش مرورگر و آموزش کاربران در این زمینه داشته باشند
#آکادمی_روزبه
https://gbhackers.com/matrix-push-c2/
GBHackers Security | #1 Globally Trusted Cyber Security News Platform
Hackers Adopt Matrix Push C2 for Browser-Based Malware and Phishing Attacks
A new breed of browser-based cyberattack is sweeping the threat landscape, as BlackFog researchers have uncovered.
❤6
چرا دوره مدیر امنیت CISO را برگزار میکنم ؟
نبود مدیر امنیت با دانش سطح CISO؛ گسل اصلی حکمرانی امنیت سایبری در ایران
روزبه نوروزی
در فضای سازمانی ایران، نبود مدیر امنیت اطلاعات (CISO) با درک عمیق از حکمرانی و همراستایی با اهداف کسبوکار، بزرگترین مانع بلوغ امنیتی است. اکثر مدیران امنیتی فعلی از بدنه فنی آمدهاند و نگاهشان محدود به حفاظت و کنترل فنی است؛ در حالی که CISO واقعی معمار سیاست، ریسک و اعتماد دیجیتال سازمان است.
فقدان این نقش باعث میشود امنیت به وظیفه واحد IT تقلیل یابد و از تصمیمات هیئتمدیره و چرخه ارزش سازمان جدا شود. در نتیجه، هیچ چارچوبی مانند ISO 27014 یا NIST CSF در لایه حاکمیتی پیاده نمیشود، و بودجه امنیت بدون شاخص بازگشت سرمایه تخصیص مییابد. تصمیمها واکنشی و دفاعیاند، نه استراتژیک و پیشنگر.
نبود CISO حرفهای همچنین باعث از بین رفتن زبان مشترک بین کسبوکار و امنیت میگردد. گزارشهای امنیتی برای مدیرعامل قابل فهم نیستند، درک “ریسک سایبری” به “هزینه فنی” فروکاسته میشود، و در نهایت حمایت مدیریتی از امنیت کاهش مییابد. این خلأ رهبری به فرسایش نیروهای متخصص، افزایش مهاجرت و کاهش اعتماد دیجیتال منجر شده است.
در مدلهای حکمرانی بالغ، CISO عضو هسته تصمیمسازی است، نه مجری دستورها. ایران برای دستیابی به امنیت پایدار، باید امنیت را از فاز فنی به سطح سیاستی ارتقا دهد؛ یعنی تربیت مدیران امنیت با سواد حکمرانی، نه صرفاً ابزارشناسی.
تا زمانی که چنین نقشی در ساختار سازمانی و ملی تثبیت نشود، امنیت سایبری ایران همچنان واکنشی و جزیرهای باقی خواهد ماند ، نه حکمرانیشده.
واتس اپ برای ثبت نام 09902857290 www.haumoun.com دوره های Elite برند برتر آموزشهای سازمانی
نبود مدیر امنیت با دانش سطح CISO؛ گسل اصلی حکمرانی امنیت سایبری در ایران
روزبه نوروزی
در فضای سازمانی ایران، نبود مدیر امنیت اطلاعات (CISO) با درک عمیق از حکمرانی و همراستایی با اهداف کسبوکار، بزرگترین مانع بلوغ امنیتی است. اکثر مدیران امنیتی فعلی از بدنه فنی آمدهاند و نگاهشان محدود به حفاظت و کنترل فنی است؛ در حالی که CISO واقعی معمار سیاست، ریسک و اعتماد دیجیتال سازمان است.
فقدان این نقش باعث میشود امنیت به وظیفه واحد IT تقلیل یابد و از تصمیمات هیئتمدیره و چرخه ارزش سازمان جدا شود. در نتیجه، هیچ چارچوبی مانند ISO 27014 یا NIST CSF در لایه حاکمیتی پیاده نمیشود، و بودجه امنیت بدون شاخص بازگشت سرمایه تخصیص مییابد. تصمیمها واکنشی و دفاعیاند، نه استراتژیک و پیشنگر.
نبود CISO حرفهای همچنین باعث از بین رفتن زبان مشترک بین کسبوکار و امنیت میگردد. گزارشهای امنیتی برای مدیرعامل قابل فهم نیستند، درک “ریسک سایبری” به “هزینه فنی” فروکاسته میشود، و در نهایت حمایت مدیریتی از امنیت کاهش مییابد. این خلأ رهبری به فرسایش نیروهای متخصص، افزایش مهاجرت و کاهش اعتماد دیجیتال منجر شده است.
در مدلهای حکمرانی بالغ، CISO عضو هسته تصمیمسازی است، نه مجری دستورها. ایران برای دستیابی به امنیت پایدار، باید امنیت را از فاز فنی به سطح سیاستی ارتقا دهد؛ یعنی تربیت مدیران امنیت با سواد حکمرانی، نه صرفاً ابزارشناسی.
تا زمانی که چنین نقشی در ساختار سازمانی و ملی تثبیت نشود، امنیت سایبری ایران همچنان واکنشی و جزیرهای باقی خواهد ماند ، نه حکمرانیشده.
واتس اپ برای ثبت نام 09902857290 www.haumoun.com دوره های Elite برند برتر آموزشهای سازمانی
🔥6👏3❤2
ویژگی های دوره ELITE
✅️سرفصل کامل دوره های جهانی
✳️متن کامل کتاب ۲۰۲۵
🟣متن کامل دوره های جامع CBT سال ۲۰۲۵
💫به همراه ویس و ویدئو
🔸️مرور تمرین ها مطابق دوره اصل ۳۰۰۰ دلاری
🏅کارگاه عملی با سناریو های ایرانی و جهانی
🥏اطمینان از آموزش با حل تمرین های اضافی
〽️انتقال تجربه ۲۳ سال تجربه کار عملیاتی
🟢مرور Extensive آموخته ها
🟪اخذ چهار آزمون Optional در طول دوره و حل جوابها
🟥اخذ آزمون نهایی Optional پایان دوره
✅️صدور مدرک قبولی دوره بعنوان سرتیفیکیت قبولی آزمون ELITE
www.haumoun.com
09902857290
✅️سرفصل کامل دوره های جهانی
✳️متن کامل کتاب ۲۰۲۵
🟣متن کامل دوره های جامع CBT سال ۲۰۲۵
💫به همراه ویس و ویدئو
🔸️مرور تمرین ها مطابق دوره اصل ۳۰۰۰ دلاری
🏅کارگاه عملی با سناریو های ایرانی و جهانی
🥏اطمینان از آموزش با حل تمرین های اضافی
〽️انتقال تجربه ۲۳ سال تجربه کار عملیاتی
🟢مرور Extensive آموخته ها
🟪اخذ چهار آزمون Optional در طول دوره و حل جوابها
🟥اخذ آزمون نهایی Optional پایان دوره
✅️صدور مدرک قبولی دوره بعنوان سرتیفیکیت قبولی آزمون ELITE
www.haumoun.com
09902857290
❤5💯1
در حوزهی تحلیل بدافزار و امداد سایبری، فرمت فایل CaRT (.cart)بهعنوان یکی از قالبهای تخصصی انتقال امن دادههای مخرب شناخته میشود. این ساختار با امضای آغازین "CART" مشخص میگردد و مخفف Compressed and RC4 Transport است. هدف اصلی آن، رمزگذاری و فشردهسازی نمونههای بدافزار برای جابهجایی و ذخیرهسازی ایمن در محیطهای تحقیقاتی و دفاعی است.
خصوصیت CaRT توسطCSE کانادا (Communications Security Establishment)توسعه داده شده و در سامانههایی مانند Thoriumبرای جلوگیری از اجرای یا قرنطینه شدن فایل توسط ابزارهای امنیتی معمول بهکار میرود. زمانی که فایلی در Thorium بارگذاری میشود، بهصورت خودکار به قالب .car تبدیل و تنها با ابزارهای مجاز «uncart» قابل بازگشت به حالت اجرایی است.
این مکانیزم ترکیبی از RC4 Encryption و Metadata Encapsulation را بهکار میبرد تا هویت و خصوصیات نمونه حفظ شود اما امکان فعالسازی ناخواسته در شبکه وجود نداشته باشد. محققان امنیتی از بستهی Python موسوم به cartبرای استخراج و تحلیل این دادهها استفاده میکنند.
چنین معماری نشاندهندهی رویکرد پیشرفته دولتها و مراکز تحقیقاتی در کنترل ریسک انتقال بدافزار و حفظ تمامیت زنجیرهی تحلیل تهدید است؛ جایی که امنیت، پژوهش و اعتماد نهادی در یک چارچوب فنی واحد ادغام میشوند.
#آکادمی_روزبه
خصوصیت CaRT توسطCSE کانادا (Communications Security Establishment)توسعه داده شده و در سامانههایی مانند Thoriumبرای جلوگیری از اجرای یا قرنطینه شدن فایل توسط ابزارهای امنیتی معمول بهکار میرود. زمانی که فایلی در Thorium بارگذاری میشود، بهصورت خودکار به قالب .car تبدیل و تنها با ابزارهای مجاز «uncart» قابل بازگشت به حالت اجرایی است.
این مکانیزم ترکیبی از RC4 Encryption و Metadata Encapsulation را بهکار میبرد تا هویت و خصوصیات نمونه حفظ شود اما امکان فعالسازی ناخواسته در شبکه وجود نداشته باشد. محققان امنیتی از بستهی Python موسوم به cartبرای استخراج و تحلیل این دادهها استفاده میکنند.
چنین معماری نشاندهندهی رویکرد پیشرفته دولتها و مراکز تحقیقاتی در کنترل ریسک انتقال بدافزار و حفظ تمامیت زنجیرهی تحلیل تهدید است؛ جایی که امنیت، پژوهش و اعتماد نهادی در یک چارچوب فنی واحد ادغام میشوند.
#آکادمی_روزبه
🙏4❤3💯2
تجربه هفته
بازخوانی طراحی Drift detection در ۴ ماه پیش
روزبه نوروزی
در سازمانی مجبور به طراحی کشف دریفت شدیم . اولین نشانه نیاز به این پروژه زمانی ظاهر شد که تیم امنیت چند رفتار غیرعادی در سرویسهای حیاتی مثل Payment و Fraud مشاهده کرد؛ رفتارهایی که در Image اصلی وجود نداشتند و توسط ابزارهای کلاسیک مانند WAF یا IPS نیز قابل تشخیص نبودند. برای مثال، اجرای غیرمنتظره /bin/sh در یک کانتینر Nginx اولین هشدار جدی برای ما بود.
در قدم اول، با تیم DevSecOps فرآیند استانداردسازی Imageها را اصلاح کردیم و برای تمام سرویسها Golden Baseline تعریف شد. سپس Agentهای سبک مبتنی بر eBPF روی Nodeهای Kubernetes مستقر کردیم که توانایی تشخیص تغییرات در لایههای Filesystem، Process، Network و Syscall را داشته باشند. در مرحله بعد، برای هر سرویس سیاستهای رفتاری (Allowed Behavior) تعریف کردیم؛ بهعنوان مثال، سرویس Payment مجاز نبود هیچ ابزاری خارج از باینریهای اصلی خود اجرا کند و outbound غیرمجاز باید فوراً مسدود میشد.
حدود دو هفته بعد از استقرار، Drift Detection یک Incident واقعی را کشف کرد: ایجاد یک فایل ناشناس در /tmp، اجرای Bash، و تلاش برای برقراری ارتباط با یک IP مشکوک. Agentها بهصورت خودکار کانتینر را قرنطینه کردند و نسخه سالم آن Deploy شد. تحلیلهای بعدی نشان داد مهاجم تلاش داشته از طریق یک Webshell حرکت عرضی کند
در نهایت، این پروژه باعث کاهش محسوس ریسکهای Runtime، افزایش شفافیت برای SOC و ایجاد یک چارچوب قابل ممیزی بر اساس اصول CISSP شد.
#آکادمی_روزبه
بازخوانی طراحی Drift detection در ۴ ماه پیش
روزبه نوروزی
در سازمانی مجبور به طراحی کشف دریفت شدیم . اولین نشانه نیاز به این پروژه زمانی ظاهر شد که تیم امنیت چند رفتار غیرعادی در سرویسهای حیاتی مثل Payment و Fraud مشاهده کرد؛ رفتارهایی که در Image اصلی وجود نداشتند و توسط ابزارهای کلاسیک مانند WAF یا IPS نیز قابل تشخیص نبودند. برای مثال، اجرای غیرمنتظره /bin/sh در یک کانتینر Nginx اولین هشدار جدی برای ما بود.
در قدم اول، با تیم DevSecOps فرآیند استانداردسازی Imageها را اصلاح کردیم و برای تمام سرویسها Golden Baseline تعریف شد. سپس Agentهای سبک مبتنی بر eBPF روی Nodeهای Kubernetes مستقر کردیم که توانایی تشخیص تغییرات در لایههای Filesystem، Process، Network و Syscall را داشته باشند. در مرحله بعد، برای هر سرویس سیاستهای رفتاری (Allowed Behavior) تعریف کردیم؛ بهعنوان مثال، سرویس Payment مجاز نبود هیچ ابزاری خارج از باینریهای اصلی خود اجرا کند و outbound غیرمجاز باید فوراً مسدود میشد.
حدود دو هفته بعد از استقرار، Drift Detection یک Incident واقعی را کشف کرد: ایجاد یک فایل ناشناس در /tmp، اجرای Bash، و تلاش برای برقراری ارتباط با یک IP مشکوک. Agentها بهصورت خودکار کانتینر را قرنطینه کردند و نسخه سالم آن Deploy شد. تحلیلهای بعدی نشان داد مهاجم تلاش داشته از طریق یک Webshell حرکت عرضی کند
در نهایت، این پروژه باعث کاهش محسوس ریسکهای Runtime، افزایش شفافیت برای SOC و ایجاد یک چارچوب قابل ممیزی بر اساس اصول CISSP شد.
#آکادمی_روزبه
👏5❤3
بعنوان مقدمه این ویدئوی کوتاه رو ببینید
https://www.aparat.com/v/h71z6cb
Please open Telegram to view this post
VIEW IN TELEGRAM
آپارات - سرویس اشتراک ویدیو
کوبرنتیز چیست؟ Kubernetes به زبان ساده!
این روزها که صحبتهای زیادی در مورد داکر میشود، فناوری کوبرنتیز هم خیلی محبوب شده است چراکه این دو مفهوم وابستگی بسیاری به یکدیگر دارند.
در رویکرد نوین توسعه نرمافزار، هر بسته نرمافزاری در یک کانتینر نگهداری میشود که این کانتینرها با کمک داکر ایجاد و…
در رویکرد نوین توسعه نرمافزار، هر بسته نرمافزاری در یک کانتینر نگهداری میشود که این کانتینرها با کمک داکر ایجاد و…
💯4❤2👍1
در یک نگاه معماری، کوبرنتیس روی چهار ستون اصلی تکیه دارد: Pod، Node، Service و Namespace.
هرکدام یک نقش کاملاً متفاوت دارند و هیچکدام جای دیگری را نمیگیرد. این چهار عنصر در کنار هم ساختار اجرایی، شبکهای، امنیتی و سازمانی کلاستر را میسازند.
و اما Pod : کوچکترین واحد اجرایی است؛ جایی که کانتینرها واقعاً اجرا میشوند. از دید معماری، پاد «محل اجرای سرویس» است و مسئولیت آن محدود به اجرای فرآیندها، اشتراک شبکه و ذخیرهسازی موقت بین کانتینرهای داخل خود است. پاد یک واحد کاملاً زودگذر است و بهصورت پویا توسط کنترلرها ایجاد یا نابود میشود؛ بنابراین معماری کوبر ( K8s) هیچگاه روی پاد بهعنوان یک آدرس یا موجودیت پایدار حساب نمیکند.
و Node: بستر فیزیکی/مجازی اجرای پادهاست. در معماری، نود حکم «ماشین کارگر» را دارد و مسئول اجرای کانتینرها، مدیریت منابع، ارتباط با API Server و اجرای شبکه داخلی است. هر نود مجموعهای از مؤلفههای حیاتی مانند kubelet و kube‑proxy را دارد که نقش سیستمعامل کلاستر را ایفا میکنند. از دید Capacity Planning، نود همان لایه زیرساخت است.
و Service نقش «هویت پایدار شبکهای» را بازی میکند. چون پادها دائماً ایجاد و حذف میشوند، Service یک آدرس ثابت برای مجموعهای از پادهای متغیر ارائه میدهد. این مفهوم در معماری توزیعشده حیاتی است؛ بدون Service امکان Load Balancing، Service Discovery و ارتباط پایدار بین سرویسها وجود ندارد. سرویس در حقیقت Network Abstraction لایه Application است.
و Namespace: لایهٔ سازماندهی و مرزبندی منطقی است. از نگاه معماری، Namespace ساختار «تقسیم دامنه» را فراهم میکند: جداکردن تیمها، محیطها، سیاستها، RBAC، ResourceQuota و NetworkPolicy. این مفهوم امنیت، مدیریت، توسعه مستقل و جلوگیری از تداخل سرویسها را ممکن میسازد. اگر پاد واحد اجراست، Namespace واحد حاکمیت و کنترل است.
در کنار هم، این چهار عنصر چارچوب کامل اجرای برنامههای توزیعشده در کوبرنتیس را شکل میدهند.
#آکادمی_روزبه
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4❤2🙏2👏1
Plan، Code، Build، Test، Release، Deploy، Operate و Monitor.
کنترل XDR فقط محدود به CI/CD نیست. حضورش در DevOps سه سطح دارد:
سطح ۱: Pre‑runtime (Build, Test, Release)
سطح ۲: Admission & Deploy
سطح ۳: Runtime & Monitor (قلب XDR)
۱) عملکرد XDR در سطح Pre‑runtime
(Build, Scan, Release)
وXDR در این مرحله نقش Image Security Platform را دارد:
• اسکن کامل Image قبل از Push به Registry (CVE، بدافزار، Library Attack)
• شناسایی ضعفهای Dockerfile (مثل اجرای با user root)
• بررسی Base Image ها و وابستگیها
• ارتباط مستقیم با Pipeline (GitLab, GitHub, Jenkins, Azure DevOps)
• اعمال Policy: اگر Image خلاف Rule باشد بلاک
• امضای Image (Content Trust) و تولید Evidence برای مرحله Deploy
خروجی این مرحله:
این Image «تأیید شده» وارد Registry میشود و XDR یک SBOM و Risk Score به آن اختصاص میدهد.
این Score در مراحل بعدی استفاده میشود.
۲) عملکرد XDR در Admission & Deploy
(در ورودی Kubernetes)
اینجا XDR در این سطح در کنار Admission Controller قرار میگیرد:
• بررسی اینکه ایمیج امضا شده و در مرحله Build تأیید شده باشد
• تطبیق Manifest با Policyهای امنیتی:
– privileged: false
– hostPath ممنوع
– Limitها تعریف شده
– Image Pull از Registry معتبر
• جلوگیری از Deploy پادهای ناسازگار
• ارتباط با Kubernetes API Server برای Block/Allow
• وابسته بودن تصمیمگیری به همان SBOM و Risk Score
• هماهنگی با Kyverno/Opa Gatekeeper (اگر باشند)
نتیجه:
پادهایی که در مرحله Build «پاک» شدهاند، فقط در صورتی وارد کلاستر میشوند که Manifest آنها هم امن باشد.
این همان لایه دوم XDR است.
۳) عملکرد XDR در Runtime & Monitor
(قلب XDR در K8s)
اینجاست که XDRقدرت اصلیاش را نشان میدهد:
• سنسور eBPF روی Node برای نظارت Syscall
• رفتارشناسی Runtime برای تشخیص حملات واقعی:
– Lateral Movement
– Container Escape
– Reverse Shell
– Cryptomining
– مشکوک شدن Process Tree
• Drift Detection:
– نوشتن فایل غیرمجاز
– اجرای باینری ناشناخته
– تغییر Config در Container
– اتصال شبکه غیرعادی
• تحلیل Telemetry از کل کلاستر:
– ترافیک شبکه
– Process Behavior
– File Integrity
– API Server Events
• XDR Analytics:
– ارتباطدهی بین رویدادها (Correlation)
– جستوجوی حملات End-to-End (Kill Chain View)
• Response خودکار:
– توقف پاد
– quarantine container
– block outbound connection
– scale down سرویس آلوده
– Ticket به SIEM/SOAR
نتیجه:
اینXDRتبدیل میشود به چشم سازمان روی کلاستر ؛ جایی که حمله واقعی در Runtime اتفاق می افتد
#آکادمی_روزبه
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7👏3🙏2
اسکنر ایمیج (در CI/CD یا Registry)
کجا نصب میشود؟
روی هیچ سروری نصب نمیشود.
با CI/CD یا Registry «ادغام» میشود.
مدل کار به جای نصب، اینهاست:
• یک API Key از XDR میگیرید
• داخل GitLab/GitHub/Jenkins قرار میدهید
وXDR مرحله Build را اسکن میکند
اگر Registry مثل Harbor داشته باشید، XDR به آن وصل میشود و ایمیج را اسکن میکند.
پس بخش اسکن ایمیج هم Agent ندارد ؛ فقط یک Integration است.
۳) بخش سوم: Runtime Sensor (Agent روی Node)
این «تنها بخشی است که واقعاً روی سرور نصب میشود».
روی Nodeهای Kubernetes نصب میشود، نه روی پادها.
نصبش شبیه این است:
• از داخل XDR یک فایل YAML میگیرید
• آن را روی کلاستر apply میکنید
این YAML چه کار میکند؟
• یک Agent روی هر Node نصب میکند
• این Agent با eBPF رفتار پادها را پایش میکند
• دادهها را به XDR گزارش میدهد
این بخش قلب Runtime Protection است.
#آکادمی_روزبه
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7👏2🙏2
شرکت هامون برگزار میکند
یک دوره با چهار منبع جهانی
✔️ دوره مدیر ارشد امنیت CISO
www.haumoun.com
09902857290 مرکز تماس آموزش
یک دوره با چهار منبع جهانی
www.haumoun.com
09902857290 مرکز تماس آموزش
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5👏2
سالهاست که در مصاحبه های فارنزیک حضور داشته ام . هر مصاحبه برایم اندوخته ای داشته است و هرسال با مطالعات بیشتر ، خودم رو به واقعیتی که باید باشم نزدیک کرده ام. در هر سازمان و شرکت بالاخره انجام مصاحبه فارنزیک و جرم شناسی لازم خواهد شد پس بهتر است برای آن لحظه آمده باشید.
مصاحبهٔ فارنزیک یکی از مهمترین مراحل تحقیقات جرمشناسی دیجیتال است و نقش کلیدی در کشف حقیقت، بازسازی رویداد و استخراج شواهد معتبر دارد. پیش از آغاز هر تحقیق، سازمان باید سیاستها، رویههای استاندارد و چارچوب حفظ حریم خصوصی را تدوین کند تا فرآیند مصاحبه مشروع، سازگار با قوانین و قابل استناد باشد. مصاحبه معمولاً در پنج مرحله انجام میشود: معرفی، ایجاد رابطهٔ اعتماد، پرسشگری، جمعبندی و خاتمه. پرسشها باید ترکیبی از سؤالات باز و بسته باشند و فضایی برای گفتوگوی آزاد فراهم کنند. CISO و تیم فارنزیک باید با دقت کامل پاسخها را ثبت، راستیآزمایی، و بدون قضاوت تحلیل کنند. علاوه بر فرد اصلی، مصاحبه با شاهدان و افراد مرتبط ضروری است. هنگامی که مصاحبه توسط افراد متخصص درون سازمانی انجام میشود، رعایت حقوق مصاحبهشونده، محرمانگی دادهها و مستندسازی بیطرفانه الزامی است. خروجی معتبر این فرآیند، بنیان تحلیل فنی، تصمیمگیری مدیریتی و مستندسازی حقوقی تحقیقات سایبری خواهد بود.
📡 بخشی از درس مدیر ارشد امنیت CISO
متن کامل را در ویرگول نوشته ام .
https://vrgl.ir/HxtmL
مصاحبهٔ فارنزیک یکی از مهمترین مراحل تحقیقات جرمشناسی دیجیتال است و نقش کلیدی در کشف حقیقت، بازسازی رویداد و استخراج شواهد معتبر دارد. پیش از آغاز هر تحقیق، سازمان باید سیاستها، رویههای استاندارد و چارچوب حفظ حریم خصوصی را تدوین کند تا فرآیند مصاحبه مشروع، سازگار با قوانین و قابل استناد باشد. مصاحبه معمولاً در پنج مرحله انجام میشود: معرفی، ایجاد رابطهٔ اعتماد، پرسشگری، جمعبندی و خاتمه. پرسشها باید ترکیبی از سؤالات باز و بسته باشند و فضایی برای گفتوگوی آزاد فراهم کنند. CISO و تیم فارنزیک باید با دقت کامل پاسخها را ثبت، راستیآزمایی، و بدون قضاوت تحلیل کنند. علاوه بر فرد اصلی، مصاحبه با شاهدان و افراد مرتبط ضروری است. هنگامی که مصاحبه توسط افراد متخصص درون سازمانی انجام میشود، رعایت حقوق مصاحبهشونده، محرمانگی دادهها و مستندسازی بیطرفانه الزامی است. خروجی معتبر این فرآیند، بنیان تحلیل فنی، تصمیمگیری مدیریتی و مستندسازی حقوقی تحقیقات سایبری خواهد بود.
متن کامل را در ویرگول نوشته ام .
https://vrgl.ir/HxtmL
Please open Telegram to view this post
VIEW IN TELEGRAM
❤8
چرا تشخیص ترافیک TLS جعلی برای امنیت سازمان حیاتی است
در سالهای اخیر، ترافیک رمزشده به ستون فقرات ارتباطات سازمانی تبدیل شده است. اما همین نقطهقوت، بهسرعت به یک سطح حمله مؤثر برای مهاجمان پیشرفته بدل شده است؛ زیرا بسیاری از فعالیتهای مخرب اکنون در قالب «TLS جعلی» مخفی میشوند. TLS جعلی یعنی ارتباطی که از بیرون شبیه یک ارتباط امن و استاندارد TLS دیده میشود، اما در واقع توسط ابزارهای خودکار، Reverse Tunnelها، C2 Frameworkها یا اسکریپتهای ساده Go/Python ایجاد شده و هیچگونه انطباقی با الگوهای کلاینتهای معتبر ندارد.
تشخیص چنین ترافیکی برای تیمهای SOC و CISOها حیاتی است؛ زیرا مهاجمان از این روش برای دور زدن فایروال، پنهانسازی Beaconing، استخراج داده و حرکت عرضی استفاده میکنند. اولین شاخص مهم، TLS Fingerprintهای غیرطبیعی مانند JA3/JA3S است که اغلب با مرورگرها همخوانی ندارند. نبود SNI، تعداد کم Cipher Suiteها، ALPN ناسازگار و Session Ticketهای غیرمعمول نیز همگی نشانههای واضحی از جعلی بودن ارتباط هستند.
در کنار تحلیل ساختاری، رفتار ترافیک نیز اهمیت دارد: ارتباطات کوتاه و مکرر، تبادل داده بسیار کم، و الگوهای زمانی ثابت، همگی نشاندهنده یک کانال C2 پنهانشده داخل TLS است.
سازمانهایی که این نشانهها را پایش نمیکنند، عملاً Blind Spot بزرگی ایجاد میکنند؛ جایی که مهاجم میتواند آزادانه تعامل کند، بدون اینکه توسط فایروال یا IDS دیده شود.
👍 در دوره CISO به اندازه نیاز CISO به این مقولات خواهیم پرداخت
در سالهای اخیر، ترافیک رمزشده به ستون فقرات ارتباطات سازمانی تبدیل شده است. اما همین نقطهقوت، بهسرعت به یک سطح حمله مؤثر برای مهاجمان پیشرفته بدل شده است؛ زیرا بسیاری از فعالیتهای مخرب اکنون در قالب «TLS جعلی» مخفی میشوند. TLS جعلی یعنی ارتباطی که از بیرون شبیه یک ارتباط امن و استاندارد TLS دیده میشود، اما در واقع توسط ابزارهای خودکار، Reverse Tunnelها، C2 Frameworkها یا اسکریپتهای ساده Go/Python ایجاد شده و هیچگونه انطباقی با الگوهای کلاینتهای معتبر ندارد.
تشخیص چنین ترافیکی برای تیمهای SOC و CISOها حیاتی است؛ زیرا مهاجمان از این روش برای دور زدن فایروال، پنهانسازی Beaconing، استخراج داده و حرکت عرضی استفاده میکنند. اولین شاخص مهم، TLS Fingerprintهای غیرطبیعی مانند JA3/JA3S است که اغلب با مرورگرها همخوانی ندارند. نبود SNI، تعداد کم Cipher Suiteها، ALPN ناسازگار و Session Ticketهای غیرمعمول نیز همگی نشانههای واضحی از جعلی بودن ارتباط هستند.
در کنار تحلیل ساختاری، رفتار ترافیک نیز اهمیت دارد: ارتباطات کوتاه و مکرر، تبادل داده بسیار کم، و الگوهای زمانی ثابت، همگی نشاندهنده یک کانال C2 پنهانشده داخل TLS است.
سازمانهایی که این نشانهها را پایش نمیکنند، عملاً Blind Spot بزرگی ایجاد میکنند؛ جایی که مهاجم میتواند آزادانه تعامل کند، بدون اینکه توسط فایروال یا IDS دیده شود.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6
چالشهای هاردنینگ ویندوز: بحث LSA و Credential Guard در جلوگیری از سرقت اعتبار بدون ایجاد ناسازگاری
هاردنینگ LSA و فعالسازی Credential Guard از مهمترین لایههای دفاعی در ویندوز برای جلوگیری از Credential Theft هستند؛ اما اجرای درست آنها بدون ایجاد اختلال در سرویسهای عملیاتی، یکی از چالشهای اصلی تیمهای امنیتی و حتی مدیران دارای تجربههایی مانند CISSP است.
مقوله LSA Protection با اجرای فرآیند LSASS در حالت محافظتشده (RunAsPPL)، مانع دسترسی ابزارهایی مانند Mimikatz به حافظه میشود؛ اما اگر سیستم دارای درایورها یا Agentهای قدیمی باشد، این فعالسازی میتواند موجب خطا در احراز هویت، VPN، SmartCard و حتی خدمات Domain Join شود. به همین دلیل، تست سازگاری پیش از اعمال سیاست روی محیط Production ضروری است.
این Credential Guard نیز با جداسازی اطلاعات حساس احراز هویت در محیط Virtualization-Based Security، حملات Pass-the-Hash و Pass-the-Ticket را بهشدت محدود میکند. با این حال، برخی سرویسهای Legacy یا ابزارهای قدیمی مایکروسافت با آن کاملاً سازگار نیستند و ممکن است رفتار غیرمنتظره داشته باشند.
چالش اصلی اینجاست: حداکثر امنیت بدون قربانی کردن Availability. راهحل عملی شامل ارزیابی وابستگیها، تست مرحلهای، استفاده از Telemetry برای پایش رفتار پس از فعالسازی و مستندسازی کامل تغییرات است. فقط در این حالت میتوان به بالاترین سطح امنیت دست یافت بدون آنکه سرویسهای حیاتی سازمان دچار اختلال شوند.
⭐ دوره مدیر امنیت CISO
ترکیبی از چهار دوره مهم جهانی
هاردنینگ LSA و فعالسازی Credential Guard از مهمترین لایههای دفاعی در ویندوز برای جلوگیری از Credential Theft هستند؛ اما اجرای درست آنها بدون ایجاد اختلال در سرویسهای عملیاتی، یکی از چالشهای اصلی تیمهای امنیتی و حتی مدیران دارای تجربههایی مانند CISSP است.
مقوله LSA Protection با اجرای فرآیند LSASS در حالت محافظتشده (RunAsPPL)، مانع دسترسی ابزارهایی مانند Mimikatz به حافظه میشود؛ اما اگر سیستم دارای درایورها یا Agentهای قدیمی باشد، این فعالسازی میتواند موجب خطا در احراز هویت، VPN، SmartCard و حتی خدمات Domain Join شود. به همین دلیل، تست سازگاری پیش از اعمال سیاست روی محیط Production ضروری است.
این Credential Guard نیز با جداسازی اطلاعات حساس احراز هویت در محیط Virtualization-Based Security، حملات Pass-the-Hash و Pass-the-Ticket را بهشدت محدود میکند. با این حال، برخی سرویسهای Legacy یا ابزارهای قدیمی مایکروسافت با آن کاملاً سازگار نیستند و ممکن است رفتار غیرمنتظره داشته باشند.
چالش اصلی اینجاست: حداکثر امنیت بدون قربانی کردن Availability. راهحل عملی شامل ارزیابی وابستگیها، تست مرحلهای، استفاده از Telemetry برای پایش رفتار پس از فعالسازی و مستندسازی کامل تغییرات است. فقط در این حالت میتوان به بالاترین سطح امنیت دست یافت بدون آنکه سرویسهای حیاتی سازمان دچار اختلال شوند.
ترکیبی از چهار دوره مهم جهانی
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6
مهندسی امنیت و بانکداری دیجیتال:مدلسازی تهدید
نفوذ در تراکنش
در مثالی در مقاله زیر ضعف در درک صحیح «عملکرد مورد انتظار سیستم» و «جریان کاری کاربران» در سیستم بانکداری اینترنتی را بررسی کرده ام که باعث میشود مهاجم با سوءاستفاده از نقاط کور در منطق اعتبارسنجی و مدیریت نشست، فرآیندهای تراکنش بانکی را دور بزند.
مهاجم با ترکیب ضعفهای workflow، تزریق رفتارهای خارج از مسیر طراحیشده، و دستکاری توالی درخواستها، یک تراکنش جعلی ایجاد کرد که در کنترلهای امنیتی تشخیص داده نشد. از دید CISSP، ریشه حمله در نقص Threat Modeling و Security-by-Design ،اعتبارسنجی ناکامل state، سوءمدیریت session، و فقدان کنترلهای توالی رویدادها امکان بهرهبرداری را فراهم کردند.
امنیت سایبری در بانکداری فراتر از خرید WAF و پیادهسازی SSL است. این سناریو نشان میدهد که خطرناکترین حملات، آنهایی هستند که «طبق قوانین سیستم» رفتار میکنند اما آخر سر سیستم را دور میزنند.
https://vrgl.ir/y9plN
🎉 متن کامل را در ویرگول بخوانید
تبصره: بنا به ضروریات محرمانگی و قانونی ، بخشهایی ساده سازی شده اند.
نفوذ در تراکنش
در مثالی در مقاله زیر ضعف در درک صحیح «عملکرد مورد انتظار سیستم» و «جریان کاری کاربران» در سیستم بانکداری اینترنتی را بررسی کرده ام که باعث میشود مهاجم با سوءاستفاده از نقاط کور در منطق اعتبارسنجی و مدیریت نشست، فرآیندهای تراکنش بانکی را دور بزند.
مهاجم با ترکیب ضعفهای workflow، تزریق رفتارهای خارج از مسیر طراحیشده، و دستکاری توالی درخواستها، یک تراکنش جعلی ایجاد کرد که در کنترلهای امنیتی تشخیص داده نشد. از دید CISSP، ریشه حمله در نقص Threat Modeling و Security-by-Design ،اعتبارسنجی ناکامل state، سوءمدیریت session، و فقدان کنترلهای توالی رویدادها امکان بهرهبرداری را فراهم کردند.
امنیت سایبری در بانکداری فراتر از خرید WAF و پیادهسازی SSL است. این سناریو نشان میدهد که خطرناکترین حملات، آنهایی هستند که «طبق قوانین سیستم» رفتار میکنند اما آخر سر سیستم را دور میزنند.
https://vrgl.ir/y9plN
تبصره: بنا به ضروریات محرمانگی و قانونی ، بخشهایی ساده سازی شده اند.
Please open Telegram to view this post
VIEW IN TELEGRAM
ویرگول
مهندسی امنیت و بانکداری دیجیتال:مدلسازی تهدید - ویرگول
تحلیل آسیبپذیری: نقش حیاتی درک Workflow در امنیت سامانههای بانکیچگونه نقص در مدلسازی منطق کسبوکار (Business Logic) منجر به دستکاری تراک…
❤5