اهمیت ارتقای سیستمعامل در معماری امنیت سازمان
نمونهٔ تحلیلی: شکست تکنیکهای DCOM در Windows 10/11
برای یک CISO، چرخهٔ عمر سیستمعامل و سیاست ارتقای آن دیگر یک «مسئلهٔ IT» نیست؛ بلکه بخشی از معماری امنیت سازمان و یکی از ستونهای مدیریت ریسک مدرن است. تهدیدهای امروزی نه از یک نقص واحد، بلکه از شکافهای انباشتهشده در سیستمعاملهای قدیمی شکل میگیرند؛ نقاط ضعفی که معمولاً توسط مهاجمان برای Lateral Movement، Privilege Escalation و Persistence مورد سوءاستفاده قرار میگیرد.
یکی از نمونههای مهم این مسئله، رفتار متفاوت ویندوزهای قبل و بعد از Windows 10 در برابر تکنیکهای سوءاستفاده از DCOM است.
سالها، مهاجمان از COM Objectهایی مثل ShellWindows برای اجرای فرمان از راه دور (Remote Command Execution) در سناریوهای lateral movement استفاده میکردند. این تکنیک روی Windows 7، 8 و 8.1 بهخاطر آزاد بودن مجوزهای Explorer و نبود سازوکارهای مدرن امنیتی کاملاً قابل اجرا بود. اما در Windows 10 و 11، چند تغییر بنیادی باعث شد این مسیر تقریباً از بین برود:
- محدودسازی شدید Activation Permissions برای DCOM
- جلوگیری از نوشتن خروجی توسط Explorer روی مسیرهای سیستمی مثل ADMIN$
- سختگیری ویندوز روی اجرای فرایندها از بستر Explorer (حذف مسیرهای abuse)
- بلوغ معماری امنیتی ویندوز در لایههای User/Kernel، Credential Protection و Application Control
نتیجه:
تکنیکی که سالها در حملات واقعی کار میکرد، در ویندوزهای جدید عملاً بیاثر شده و شکست میخورد. همین یک مثال نشان میدهد که ارتقای سیستمعامل نه فقط Patch شدن یک باگ، بلکه حذف کامل یک کلاس از بردارهای حمله است.
بنابراین یک CISO باید ارتقای سیستمعامل را در سه محور ببیند:
1. حذف مسیرهای شناختهشدهٔ سوءاستفاده (Exploit Surface Reduction)
2. بهرهبردن از قابلیتهای امنیتی Built‑in جدید مانند HVCI، LSA Protection، Memory Integrity
3. کاهش ریسک سیستمعاملهای ناسازگار با ابزارهای دفاعی مدرن (EDR/XDR)
نمونهٔ DCOM و ShellWindows تنها یکی از دهها موردی است که ثابت میکند امنیت واقعی از دل معماری بهروزشدهٔ سیستمعامل نیز میتواند آغاز شود،
تبصره: دنیای هک نشان داده چیزی وجود ندارد که امکان باز انجام نداشته باشد پس شاید همین تکنیک روی ویندوز ۱۱ در آینده به نحو دیگری ممکن شود . پس یک CISO برای آنهم باید آماده باشد.
در نهایت اینکه یک CISO میداند همیشه اینکه بتواند ویندوز را ارتقاء دهد ندارد . راهکار چیست ؟
بخشی از مباحث درس مدیر امنیت CISO
منطبق بر چهار استاندارد آموزشی روز جهان
نمونهٔ تحلیلی: شکست تکنیکهای DCOM در Windows 10/11
برای یک CISO، چرخهٔ عمر سیستمعامل و سیاست ارتقای آن دیگر یک «مسئلهٔ IT» نیست؛ بلکه بخشی از معماری امنیت سازمان و یکی از ستونهای مدیریت ریسک مدرن است. تهدیدهای امروزی نه از یک نقص واحد، بلکه از شکافهای انباشتهشده در سیستمعاملهای قدیمی شکل میگیرند؛ نقاط ضعفی که معمولاً توسط مهاجمان برای Lateral Movement، Privilege Escalation و Persistence مورد سوءاستفاده قرار میگیرد.
یکی از نمونههای مهم این مسئله، رفتار متفاوت ویندوزهای قبل و بعد از Windows 10 در برابر تکنیکهای سوءاستفاده از DCOM است.
سالها، مهاجمان از COM Objectهایی مثل ShellWindows برای اجرای فرمان از راه دور (Remote Command Execution) در سناریوهای lateral movement استفاده میکردند. این تکنیک روی Windows 7، 8 و 8.1 بهخاطر آزاد بودن مجوزهای Explorer و نبود سازوکارهای مدرن امنیتی کاملاً قابل اجرا بود. اما در Windows 10 و 11، چند تغییر بنیادی باعث شد این مسیر تقریباً از بین برود:
- محدودسازی شدید Activation Permissions برای DCOM
- جلوگیری از نوشتن خروجی توسط Explorer روی مسیرهای سیستمی مثل ADMIN$
- سختگیری ویندوز روی اجرای فرایندها از بستر Explorer (حذف مسیرهای abuse)
- بلوغ معماری امنیتی ویندوز در لایههای User/Kernel، Credential Protection و Application Control
نتیجه:
تکنیکی که سالها در حملات واقعی کار میکرد، در ویندوزهای جدید عملاً بیاثر شده و شکست میخورد. همین یک مثال نشان میدهد که ارتقای سیستمعامل نه فقط Patch شدن یک باگ، بلکه حذف کامل یک کلاس از بردارهای حمله است.
بنابراین یک CISO باید ارتقای سیستمعامل را در سه محور ببیند:
1. حذف مسیرهای شناختهشدهٔ سوءاستفاده (Exploit Surface Reduction)
2. بهرهبردن از قابلیتهای امنیتی Built‑in جدید مانند HVCI، LSA Protection، Memory Integrity
3. کاهش ریسک سیستمعاملهای ناسازگار با ابزارهای دفاعی مدرن (EDR/XDR)
نمونهٔ DCOM و ShellWindows تنها یکی از دهها موردی است که ثابت میکند امنیت واقعی از دل معماری بهروزشدهٔ سیستمعامل نیز میتواند آغاز شود،
تبصره: دنیای هک نشان داده چیزی وجود ندارد که امکان باز انجام نداشته باشد پس شاید همین تکنیک روی ویندوز ۱۱ در آینده به نحو دیگری ممکن شود . پس یک CISO برای آنهم باید آماده باشد.
در نهایت اینکه یک CISO میداند همیشه اینکه بتواند ویندوز را ارتقاء دهد ندارد . راهکار چیست ؟
بخشی از مباحث درس مدیر امنیت CISO
منطبق بر چهار استاندارد آموزشی روز جهان
❤3💯3
امروز یه دسترسی دیدم روشون
حتما EDR توی کوبر نصب کنید
Please open Telegram to view this post
VIEW IN TELEGRAM
👌7❤1
مهارت نرم CISO
در بسیاری از سازمانها، موفقیت یک CISO بیش از آنکه به ابزارها، استانداردها یا چارچوبها وابسته باشد، بر پایهی نفوذ انسانی و سرمایهی اجتماعی او بنا میشود. امنیت یک «تغییر پیشدستانه» است و هر تغییری تنها زمانی معنا پیدا میکند که اعتماد، توان اقناع و شبکهای از حامیان پشت آن باشد.
نخست، اعتماد بینفردی بسیار اثرگذارتر از کنترلهای رسمی عمل میکند. مدیران پروژه، تیمهای DevOps و واحد عملیات زمانی همکاری مؤثر نشان میدهند که به بلوغ حرفهای، شفافیت و قضاوت CISO باور داشته باشند. تجربه ثابت کرده امنیت با دستور پیش نمیرود، بلکه با اعتبار شخصی و سازمانی حرکت میکند.
دوم، یک CISO کارآمد باید همان اندازه که زبان فنی را میفهمد، زبان کسبوکار را نیز بداند. او باید بتواند با CFO درباره ROI و Cost Avoidance صحبت کند و با CTO درباره شاخصهایی مثل MTTD، Patch Lag و ظرفیت تیمها. این ترجمهی مداوم بین زبانها، زمینهی پذیرش و همکاری را فراهم میسازد.
سوم، شبکهسازی داخلی، مزیت پنهان اما حیاتی یک CISO است. بدون متحدانی در IT، حقوقی، مالی، منابع انسانی و عملیات، هیچ Policy یا Standard به مرحلهی اجرا نمیرسد. در کنار آن، توان مدیریت تعارض ضروری است؛ امنیت اغلب با اهداف کوتاهمدت واحدها اصطکاک پیدا میکند و تنها مذاکرهی هوشمندانه است که این فاصله را کم میکند.
در نهایت، CISO باید روایتساز باشد؛ کسی که اهمیت امنیت را با داستانهای ساده، تاثیرگذار و قابلفهم درباره ریسک، هزینه و تابآوری توضیح میدهد، نه با گزارشهای پیچیده و سنگین. همین نفوذ نرم است که به امنیت در سازمان جان میبخشد
بخشی از دوره مدیریت امنیت CISO
راه ارتباطی برای حضور از طریق واتس اپ 09902857290 www.haumoun.com
در بسیاری از سازمانها، موفقیت یک CISO بیش از آنکه به ابزارها، استانداردها یا چارچوبها وابسته باشد، بر پایهی نفوذ انسانی و سرمایهی اجتماعی او بنا میشود. امنیت یک «تغییر پیشدستانه» است و هر تغییری تنها زمانی معنا پیدا میکند که اعتماد، توان اقناع و شبکهای از حامیان پشت آن باشد.
نخست، اعتماد بینفردی بسیار اثرگذارتر از کنترلهای رسمی عمل میکند. مدیران پروژه، تیمهای DevOps و واحد عملیات زمانی همکاری مؤثر نشان میدهند که به بلوغ حرفهای، شفافیت و قضاوت CISO باور داشته باشند. تجربه ثابت کرده امنیت با دستور پیش نمیرود، بلکه با اعتبار شخصی و سازمانی حرکت میکند.
دوم، یک CISO کارآمد باید همان اندازه که زبان فنی را میفهمد، زبان کسبوکار را نیز بداند. او باید بتواند با CFO درباره ROI و Cost Avoidance صحبت کند و با CTO درباره شاخصهایی مثل MTTD، Patch Lag و ظرفیت تیمها. این ترجمهی مداوم بین زبانها، زمینهی پذیرش و همکاری را فراهم میسازد.
سوم، شبکهسازی داخلی، مزیت پنهان اما حیاتی یک CISO است. بدون متحدانی در IT، حقوقی، مالی، منابع انسانی و عملیات، هیچ Policy یا Standard به مرحلهی اجرا نمیرسد. در کنار آن، توان مدیریت تعارض ضروری است؛ امنیت اغلب با اهداف کوتاهمدت واحدها اصطکاک پیدا میکند و تنها مذاکرهی هوشمندانه است که این فاصله را کم میکند.
در نهایت، CISO باید روایتساز باشد؛ کسی که اهمیت امنیت را با داستانهای ساده، تاثیرگذار و قابلفهم درباره ریسک، هزینه و تابآوری توضیح میدهد، نه با گزارشهای پیچیده و سنگین. همین نفوذ نرم است که به امنیت در سازمان جان میبخشد
بخشی از دوره مدیریت امنیت CISO
راه ارتباطی برای حضور از طریق واتس اپ 09902857290 www.haumoun.com
❤5👍4
aaism.pdf
8.3 MB
از جمله مطالعات اضافه در درس مدیریت امنیت CISO
**فصل مدیریت پیشرفته امنیت هوش مصنوعی
ثبت نام از طریق واتس آپ 09902857290
**فصل مدیریت پیشرفته امنیت هوش مصنوعی
ثبت نام از طریق واتس آپ 09902857290
❤3😍2
وزارت دفاع ایالات متحده (DoD) با راهاندازی genai.mil به این جمعبندی رسیده است که هوش مصنوعی مولد را نمیتوان از محیطهای دولتی حذف کرد، بلکه باید آن را مدیریت و حاکمیتپذیر کرد. تجربه DoD نشان داد که ممنوعکردن ابزارهای GenAI تنها باعث گسترش استفاده پنهان (Shadow AI) و افزایش ریسک نشت داده میشود. بنابراین آمریکا بهجای انکار واقعیت، یک پلتفرم رسمی، امن و تحت کنترل حاکمیتی ایجاد کرد تا هم بهرهوری افزایش یابد و هم مسئولیت ریسک بهصورت شفاف پذیرفته شود.
این genai.mil با اجرای GenAI روی زیرساختهای دولتی، کنترل لاگها، محدودسازی نوع دادههای مجاز و خروج داده از چرخه آموزش عمومی مدلها، امکان استفاده امن از این فناوری را فراهم کرده است. نتیجه این رویکرد، افزایش سرعت تحلیل، بهبود تصمیمسازی و کاهش وابستگی ناخواسته به سرویسهای خارجی بوده است.
دولت ایران نیز دقیقاً با همین چالش روبهروست، اما با شدت بیشتر. از یک سو تحریم، حساسیت اطلاعات و وابستگی به سرویسهای خارجی یک ریسک حاکمیتی جدی است؛ از سوی دیگر، کارمندان و مدیران دولتی عملاً از GenAI استفاده میکنند، اما بدون چارچوب، لاگ و مسئول رسمی پذیرش ریسک. ایجاد یک پلتفرم GenAI دولتی و کنترلشده در ایران نه بهمعنای لوکسسازی فناوری، بلکه اقدامی برای جلوگیری از نشت داده، کاهش Shadow AI و وادارکردن مدیریت ارشد به پذیرش رسمی ریسک است. مسیر genai.mil نشان میدهد که حاکمیت هوشمند، فقط با پذیرش واقعیت و مدیریت آن ممکن میشود، نه با ممنوعیت.
نکته ۱: پلتفرم فوق برای داده های طبقه بندی شده نیست و برای استفاده های جاسوسی،و نظامی احتمالا مدلهای خاصی از قبل وجود داشته است. پیشنهاد فوق فقط برای استفاده در حوزه داده های غیر دسته بندی شده یا غیر محرمانه است
نکته ۲: راه اندازی چنین پلتفرمی جدای از نیاز به زیرساخت پردازشی بالا ، نیازمند طراحی و پیاده سازی امنیت در لایه های مختلف با ظرافت و دقت بالا به همراه مدیریت پروژه قوی است . این امر با صدور بخشنامه ولی عدم پیگیری دقیق ممکن نیست و لذا درصورت عدم تحقق مواردی که دربالا گفتم شاید همان بهتر که چنین سیستمی راه نیفتد!!
این genai.mil با اجرای GenAI روی زیرساختهای دولتی، کنترل لاگها، محدودسازی نوع دادههای مجاز و خروج داده از چرخه آموزش عمومی مدلها، امکان استفاده امن از این فناوری را فراهم کرده است. نتیجه این رویکرد، افزایش سرعت تحلیل، بهبود تصمیمسازی و کاهش وابستگی ناخواسته به سرویسهای خارجی بوده است.
دولت ایران نیز دقیقاً با همین چالش روبهروست، اما با شدت بیشتر. از یک سو تحریم، حساسیت اطلاعات و وابستگی به سرویسهای خارجی یک ریسک حاکمیتی جدی است؛ از سوی دیگر، کارمندان و مدیران دولتی عملاً از GenAI استفاده میکنند، اما بدون چارچوب، لاگ و مسئول رسمی پذیرش ریسک. ایجاد یک پلتفرم GenAI دولتی و کنترلشده در ایران نه بهمعنای لوکسسازی فناوری، بلکه اقدامی برای جلوگیری از نشت داده، کاهش Shadow AI و وادارکردن مدیریت ارشد به پذیرش رسمی ریسک است. مسیر genai.mil نشان میدهد که حاکمیت هوشمند، فقط با پذیرش واقعیت و مدیریت آن ممکن میشود، نه با ممنوعیت.
نکته ۱: پلتفرم فوق برای داده های طبقه بندی شده نیست و برای استفاده های جاسوسی،و نظامی احتمالا مدلهای خاصی از قبل وجود داشته است. پیشنهاد فوق فقط برای استفاده در حوزه داده های غیر دسته بندی شده یا غیر محرمانه است
نکته ۲: راه اندازی چنین پلتفرمی جدای از نیاز به زیرساخت پردازشی بالا ، نیازمند طراحی و پیاده سازی امنیت در لایه های مختلف با ظرافت و دقت بالا به همراه مدیریت پروژه قوی است . این امر با صدور بخشنامه ولی عدم پیگیری دقیق ممکن نیست و لذا درصورت عدم تحقق مواردی که دربالا گفتم شاید همان بهتر که چنین سیستمی راه نیفتد!!
❤9
یکی از دانشجو هام در مورد این پرسید:
چرا هکر ها JA3 رو کامل مانند اثر انگشت مرورگر درست نمیکنند تا شناخته نشوند؟
این سوال مقدمه ای بر این شد که بحث کشف ترافیک مشکوک رمز شده با JA3 رو باز کنم و در مورد JA4 هم بنویسم
البته در مقالات بعدی تجربه کارکردی از استفاده این دو رو خواهم گذاشت
در ویرگول بخوانید
https://vrgl.ir/MN090
چرا هکر ها JA3 رو کامل مانند اثر انگشت مرورگر درست نمیکنند تا شناخته نشوند؟
این سوال مقدمه ای بر این شد که بحث کشف ترافیک مشکوک رمز شده با JA3 رو باز کنم و در مورد JA4 هم بنویسم
البته در مقالات بعدی تجربه کارکردی از استفاده این دو رو خواهم گذاشت
در ویرگول بخوانید
https://vrgl.ir/MN090
👏6
نمونههایی از Security Decision Points در SDLC:
مرحله Requirements Gate: تأیید الزامات امنیتی قبل از طراحی
مرحله Architecture Gate: تأیید امنیت طراحی قبل از توسعه
مرحله Code Review Gate: تأیید امنیت کد قبل از پیادهسازی
مرحله Pre-Deployment Gate: تأیید امنیت قبل از رفتن به محیط عملیاتی
این گیتها مانند چکپوینتهای کنترل کیفیت هستند اما با محوریت امنیت.
#آکادمی_روزبه
مرحله Requirements Gate: تأیید الزامات امنیتی قبل از طراحی
مرحله Architecture Gate: تأیید امنیت طراحی قبل از توسعه
مرحله Code Review Gate: تأیید امنیت کد قبل از پیادهسازی
مرحله Pre-Deployment Gate: تأیید امنیت قبل از رفتن به محیط عملیاتی
این گیتها مانند چکپوینتهای کنترل کیفیت هستند اما با محوریت امنیت.
#آکادمی_روزبه
❤4
مقوله KPI چیست؟
بحث KPI یا Key Performance Indicator شاخصی است که عملکرد یک فعالیت امنیتی را اندازهگیری میکند.
آنچه KPI میگوید:
«آیا کاری که باید انجام دهیم، واقعاً انجام شده و چقدر مؤثر است؟»
به بیان دیگر، KPI روی Performance متمرکز است و موفقیت فرآیند، ابزار یا تیم را نشان میدهد.
مثالهای KPI امنیتی
مقوله MTTD (Mean Time to Detect): متوسط زمان شناسایی رخداد توسط SOC.
مقولهMTTR (Mean Time to Respond): سرعت پاسخدهی تیم امنیت.
بحث Patch Compliance Rate: درصد سیستمهایی که در زمان مقرر پَچ شدهاند.
بحث Phishing Reporting Rate: درصد کارمندانی که ایمیل مشکوک را گزارش میکنند (همان موضوعی که قبلاً دربارهاش مقاله ای در همین جا درج کردیم).
و Backup Restore Success Rate: موفقیت بازیابی پشتیبانها در تستهای دورهای.
اینها عملکرد فرآیندها را نشان میدهند.
و اما KRI چیست؟
مقولهKRI یا Key Risk Indicator شاخصی است که ریسک را اندازهگیری یا پیشبینی میکند.
و KRI میگوید:
«احتمال وقوع یک ریسک مهم چقدر است و آیا دارد بدتر میشود؟»
این KRI روی Risk Exposure تمرکز دارد، نه عملکرد تیم یا ابزار.
مثالهای KRI امنیتی
تعداد آسیبپذیریهای بحرانی باز مانده بیش از X روز (نشانه افزایش ریسک Exploitation).
افزایش موفقیت تستهای Social Engineering (نشانه ریسک بالاتر از رفتار انسانی).
افزایش فعالیتهای مشکوک در احراز هویت مانند Failed Loginهای تکراری.
افزایش نرخ دادههای حساس شناساییشده خارج از محدودهٔ سیاست DLP.
تعداد سیستمهای EOL یا Unsupported در محیط عملیاتی.
اینها سطح ریسک کلی سازمان را نشان میدهند.
تفاوت KPI و KRI در یک نگاه ساده
در KPI: آیا کار درست انجام شد؟ (عملکرد / کیفیت / سرعت عملیات)
در KRI: آیا احتمال بروز حادثه یا ریسک مهم در حال افزایش است؟ (نمای ریسک)
یک مثال ساده:
در KPI: درصد موفقیت Patch Management = ۹۵٪
درKRI: تعداد Vulnerabilityهای Critical پَچ نشده = ۲۵ مورد : ریسک بالا
ممکن است KPI عالی باشد ولی KRI هشدار دهد که سازمان هنوز در معرض خطر است.
در دوره مدیر امنیت CISO با استاد روزبه نوروزی دارای مدرک عالی CISSP بیشتر بیاموزیم.
بحث KPI یا Key Performance Indicator شاخصی است که عملکرد یک فعالیت امنیتی را اندازهگیری میکند.
آنچه KPI میگوید:
«آیا کاری که باید انجام دهیم، واقعاً انجام شده و چقدر مؤثر است؟»
به بیان دیگر، KPI روی Performance متمرکز است و موفقیت فرآیند، ابزار یا تیم را نشان میدهد.
مثالهای KPI امنیتی
مقوله MTTD (Mean Time to Detect): متوسط زمان شناسایی رخداد توسط SOC.
مقولهMTTR (Mean Time to Respond): سرعت پاسخدهی تیم امنیت.
بحث Patch Compliance Rate: درصد سیستمهایی که در زمان مقرر پَچ شدهاند.
بحث Phishing Reporting Rate: درصد کارمندانی که ایمیل مشکوک را گزارش میکنند (همان موضوعی که قبلاً دربارهاش مقاله ای در همین جا درج کردیم).
و Backup Restore Success Rate: موفقیت بازیابی پشتیبانها در تستهای دورهای.
اینها عملکرد فرآیندها را نشان میدهند.
و اما KRI چیست؟
مقولهKRI یا Key Risk Indicator شاخصی است که ریسک را اندازهگیری یا پیشبینی میکند.
و KRI میگوید:
«احتمال وقوع یک ریسک مهم چقدر است و آیا دارد بدتر میشود؟»
این KRI روی Risk Exposure تمرکز دارد، نه عملکرد تیم یا ابزار.
مثالهای KRI امنیتی
تعداد آسیبپذیریهای بحرانی باز مانده بیش از X روز (نشانه افزایش ریسک Exploitation).
افزایش موفقیت تستهای Social Engineering (نشانه ریسک بالاتر از رفتار انسانی).
افزایش فعالیتهای مشکوک در احراز هویت مانند Failed Loginهای تکراری.
افزایش نرخ دادههای حساس شناساییشده خارج از محدودهٔ سیاست DLP.
تعداد سیستمهای EOL یا Unsupported در محیط عملیاتی.
اینها سطح ریسک کلی سازمان را نشان میدهند.
تفاوت KPI و KRI در یک نگاه ساده
در KPI: آیا کار درست انجام شد؟ (عملکرد / کیفیت / سرعت عملیات)
در KRI: آیا احتمال بروز حادثه یا ریسک مهم در حال افزایش است؟ (نمای ریسک)
یک مثال ساده:
در KPI: درصد موفقیت Patch Management = ۹۵٪
درKRI: تعداد Vulnerabilityهای Critical پَچ نشده = ۲۵ مورد : ریسک بالا
ممکن است KPI عالی باشد ولی KRI هشدار دهد که سازمان هنوز در معرض خطر است.
در دوره مدیر امنیت CISO با استاد روزبه نوروزی دارای مدرک عالی CISSP بیشتر بیاموزیم.
❤3💯3
چرا انتخاب واژگان در سیاستنامهها -policy- یک ریسک حقوقی و مدیریتی است؟
سیاستنامههای سازمانی تنها مجموعهای از جملات رسمی نیستند؛ آنها اسناد الزامآور حقوقی و چارچوبهای رفتاریاند که میتوانند در زمان اختلاف، ممیزی یا حتی رسیدگی قضایی علیه خود سازمان مورد استناد قرار بگیرند.
به همین دلیل، هر واژهای که در سیاست بهکار میرود باید شفاف، قابلاجرا، و قابل دفاع باشد. یک اشتباه کوچک در انتخاب فعل یا ساختار جمله، میتواند سازمان را ناخواسته متعهد به اقدامی کند که در همه شرایط منطقی، عملی یا حتی قانونی نیست.
مثال کلاسیک در تمام دورههای Governance و Legal Risk همین تفاوت ساده است:
“the enterprise will terminate employees who do this”
“the enterprise may terminate employees who do this”
در نگاه اول تفاوت ناچیزی دارند، اما اثر مدیریتی و حقوقی آنها عمیق است.
با Will یک الزام قطعی ایجاد میکند. یعنی اگر تخلف حتی در شرایط استثنایی رخ دهد، سازمان متعهد است کارکنان را اخراج کند؛ در غیر این صورت، در برابر چالشهای قانونی یا شکایت کارکنان، نمیتواند از خود دفاع کند. در واقع سازمان اختیار مدیریتی خود را از بین میبرد.
با May اختیار و دامنه تصمیمگیری را حفظ میکند. سازمان میتواند بر اساس شدت تخلف، سابقه فرد، شرایط محیطی یا سیاستهای تکمیلی تصمیم بگیرد. این یعنی ریسک حقوقی کمتر و مدیریت منطقیتر رویدادها.
البته نوشتن پالیسی جزییات دیگری هم دارد
در دوره مدیریت امنیت CISO با تبعات قضایی تصمیمات خود آشنا شوید.
واتس اپ 09902857290
www.haumoun.com
سیاستنامههای سازمانی تنها مجموعهای از جملات رسمی نیستند؛ آنها اسناد الزامآور حقوقی و چارچوبهای رفتاریاند که میتوانند در زمان اختلاف، ممیزی یا حتی رسیدگی قضایی علیه خود سازمان مورد استناد قرار بگیرند.
به همین دلیل، هر واژهای که در سیاست بهکار میرود باید شفاف، قابلاجرا، و قابل دفاع باشد. یک اشتباه کوچک در انتخاب فعل یا ساختار جمله، میتواند سازمان را ناخواسته متعهد به اقدامی کند که در همه شرایط منطقی، عملی یا حتی قانونی نیست.
مثال کلاسیک در تمام دورههای Governance و Legal Risk همین تفاوت ساده است:
“the enterprise will terminate employees who do this”
“the enterprise may terminate employees who do this”
در نگاه اول تفاوت ناچیزی دارند، اما اثر مدیریتی و حقوقی آنها عمیق است.
با Will یک الزام قطعی ایجاد میکند. یعنی اگر تخلف حتی در شرایط استثنایی رخ دهد، سازمان متعهد است کارکنان را اخراج کند؛ در غیر این صورت، در برابر چالشهای قانونی یا شکایت کارکنان، نمیتواند از خود دفاع کند. در واقع سازمان اختیار مدیریتی خود را از بین میبرد.
با May اختیار و دامنه تصمیمگیری را حفظ میکند. سازمان میتواند بر اساس شدت تخلف، سابقه فرد، شرایط محیطی یا سیاستهای تکمیلی تصمیم بگیرد. این یعنی ریسک حقوقی کمتر و مدیریت منطقیتر رویدادها.
البته نوشتن پالیسی جزییات دیگری هم دارد
در دوره مدیریت امنیت CISO با تبعات قضایی تصمیمات خود آشنا شوید.
واتس اپ 09902857290
www.haumoun.com
❤5
برون سپاری های پر ریسک
در اطلاعیه های مناقصات شاهدم که برون سپاری های IT و امنیت درحال رشد است.
نفس این عمل مورد بحث نیست چه اینکه بسیاری از کشور ها هم بدین سمت رفته اند اما با رعایت قوانین چون SOC2
امروز بحثم قوانین برون سپاری نیست چرا که در پستهای قبلی بدین موضوع پرداخته ام.
بحث الان در خصوص کیفیت برون سپاری است.
دربسیاری از سازمانها وقتی نیروی انسانی کم است یا مهارت ندارد به برون سپاری روی میآورند اما از آنجا که بودجه کم است؛ تعداد و زمان حضور نیروی درخواستی را پایین میآورند اما شرح وظایف همان که اول بود باقی میماند.
این میشود که بسیاری از برون سپاری های امروز کشور؛ خودش یک ریسک برای سازمان و پیمانکار است.
در اطلاعیه های مناقصات شاهدم که برون سپاری های IT و امنیت درحال رشد است.
نفس این عمل مورد بحث نیست چه اینکه بسیاری از کشور ها هم بدین سمت رفته اند اما با رعایت قوانین چون SOC2
امروز بحثم قوانین برون سپاری نیست چرا که در پستهای قبلی بدین موضوع پرداخته ام.
بحث الان در خصوص کیفیت برون سپاری است.
دربسیاری از سازمانها وقتی نیروی انسانی کم است یا مهارت ندارد به برون سپاری روی میآورند اما از آنجا که بودجه کم است؛ تعداد و زمان حضور نیروی درخواستی را پایین میآورند اما شرح وظایف همان که اول بود باقی میماند.
این میشود که بسیاری از برون سپاری های امروز کشور؛ خودش یک ریسک برای سازمان و پیمانکار است.
👍7🔥4⚡2
درسی از شرایط امروز بانکها برای CISO
تحلیل اختلال سامانه ثبت احوال از منظر CISO
اختلال مداوم سامانه ثبت احوال در این روزها ( انتهای آذرماه ۱۴۰۴) که منجر به محدود شدن فرآیند افتتاح حساب بانکی به چند ساعت در روز شده، نمونهای روشن از شکست در مدیریت امنیت و ریسک در سطح بینسازمانی است. از منظر CISSP، مسئله اصلی نه یک نقص صرفاً فنی، بلکه ضعف در حاکمیت خدمات دیجیتال حیاتی و مدیریت وابستگیهای بحرانی است.
سامانه ثبت احوال بهعنوان مرجع ملی هویت، نقش یک دارایی حیاتی مشترک را ایفا میکند که در زنجیره اعتماد بانکها و فرآیندهای KYC جایگاه محوری دارد. با این حال، این نقش حیاتی در طراحی، ظرفیتسنجی و برنامههای تداوم کسبوکار بهدرستی لحاظ نشده است.
این اختلال اثرات مستقیم و غیرمستقیم متعددی دارد؛ از جمعشدن صفهای عملیاتی و نارضایتی مشتریان گرفته تا کاهش درآمد و افزایش فشار بر کارکنان شعب. در سطح عمیقتر، محدودیت دسترسی به سامانه، بانکها را در معرض ریسکهای پنهان انطباق، تقلب و دور زدن کنترلهای هویتی قرار میدهد. تمرکز ریسک بر یک سامانه بدون مکانیسمهای جایگزین، باعث ایجاد «Single Point of Trust and Failure» شده که با اصول تابآوری سازمانی در تضاد است.
آنچه در این میان مغفول مانده، نبود تحلیل اثر بر کسبوکار مشترک، حمایت از یکدیگر ، فقدان SLA و RTO الزامآور، و عدم تعریف سازوکارهای اعتماد جایگزین مانند افتتاح حساب مشروط یا سطوح متفاوت اطمینان هویتی است. استانداردهایی نظیر ISO/IEC 27001، ISO 22301، COBIT 2019 و چارچوبهای حاکمیت IT تأکید میکنند که مدیریت ریسک باید در سطح اکوسیستم و با مالکیت شفاف اثرات کسبوکار انجام شود. تا زمانی که این نگاه حاکمیتی اصلاح نشود، اختلالها صرفاً درمان علامتی خواهند شد، نه حل ریشهای مسئله.
برای شرکت در دوره مدیریت امنیت CISO به واتس اپ 09902857290 یا واحد آموزش شرکت هامون پیام دهید www.haumoun.com
تحلیل اختلال سامانه ثبت احوال از منظر CISO
اختلال مداوم سامانه ثبت احوال در این روزها ( انتهای آذرماه ۱۴۰۴) که منجر به محدود شدن فرآیند افتتاح حساب بانکی به چند ساعت در روز شده، نمونهای روشن از شکست در مدیریت امنیت و ریسک در سطح بینسازمانی است. از منظر CISSP، مسئله اصلی نه یک نقص صرفاً فنی، بلکه ضعف در حاکمیت خدمات دیجیتال حیاتی و مدیریت وابستگیهای بحرانی است.
سامانه ثبت احوال بهعنوان مرجع ملی هویت، نقش یک دارایی حیاتی مشترک را ایفا میکند که در زنجیره اعتماد بانکها و فرآیندهای KYC جایگاه محوری دارد. با این حال، این نقش حیاتی در طراحی، ظرفیتسنجی و برنامههای تداوم کسبوکار بهدرستی لحاظ نشده است.
این اختلال اثرات مستقیم و غیرمستقیم متعددی دارد؛ از جمعشدن صفهای عملیاتی و نارضایتی مشتریان گرفته تا کاهش درآمد و افزایش فشار بر کارکنان شعب. در سطح عمیقتر، محدودیت دسترسی به سامانه، بانکها را در معرض ریسکهای پنهان انطباق، تقلب و دور زدن کنترلهای هویتی قرار میدهد. تمرکز ریسک بر یک سامانه بدون مکانیسمهای جایگزین، باعث ایجاد «Single Point of Trust and Failure» شده که با اصول تابآوری سازمانی در تضاد است.
آنچه در این میان مغفول مانده، نبود تحلیل اثر بر کسبوکار مشترک، حمایت از یکدیگر ، فقدان SLA و RTO الزامآور، و عدم تعریف سازوکارهای اعتماد جایگزین مانند افتتاح حساب مشروط یا سطوح متفاوت اطمینان هویتی است. استانداردهایی نظیر ISO/IEC 27001، ISO 22301، COBIT 2019 و چارچوبهای حاکمیت IT تأکید میکنند که مدیریت ریسک باید در سطح اکوسیستم و با مالکیت شفاف اثرات کسبوکار انجام شود. تا زمانی که این نگاه حاکمیتی اصلاح نشود، اختلالها صرفاً درمان علامتی خواهند شد، نه حل ریشهای مسئله.
برای شرکت در دوره مدیریت امنیت CISO به واتس اپ 09902857290 یا واحد آموزش شرکت هامون پیام دهید www.haumoun.com
💯3👏1
#امنیت_به_زبان_ساده
آشنایی با اتربیوشن
مقوله Attribution در Incident Responseیعنی پاسخ به این سؤال مدیریتی و راهبردی که «این حمله را چه کسی، با چه سطح اطمینان، و برای چه هدفی انجام داده است؟»
بحثAttribution صرفاً یک تحلیل فنی نیست؛ بلکه ترکیبی از شواهد فنی، زمینه عملیاتی، انگیزه، و قضاوت ریسک است. این عمل بهندرت ۱۰۰٪ قطعی است و تقریباً همیشه احتمالی است .
در لایه فنی، نشانههایی مثل:
- بحث TTPها (روشها و الگوهای حمله)
- ابزارها و malware family
- زیرساخت C2
- زمانبندی حمله و زبان/کامنتهای کد
به ما میگویند حمله «شبیه چه گروهی» است، نه الزاماً دقیقاً همان گروه.
اما attribution واقعی بدون Context ممکن نیست:
- آیا انگیزه مالی است یا جاسوسی؟
- آیا سازمان ارزش استراتژیک دارد؟
- آیا الگوی حمله با کشور/صنعت خاصی همخوانی دارد؟
هدف attribution تصمیمسازی است، نه اثبات قضایی
آشنایی با اتربیوشن
مقوله Attribution در Incident Responseیعنی پاسخ به این سؤال مدیریتی و راهبردی که «این حمله را چه کسی، با چه سطح اطمینان، و برای چه هدفی انجام داده است؟»
بحثAttribution صرفاً یک تحلیل فنی نیست؛ بلکه ترکیبی از شواهد فنی، زمینه عملیاتی، انگیزه، و قضاوت ریسک است. این عمل بهندرت ۱۰۰٪ قطعی است و تقریباً همیشه احتمالی است .
در لایه فنی، نشانههایی مثل:
- بحث TTPها (روشها و الگوهای حمله)
- ابزارها و malware family
- زیرساخت C2
- زمانبندی حمله و زبان/کامنتهای کد
به ما میگویند حمله «شبیه چه گروهی» است، نه الزاماً دقیقاً همان گروه.
اما attribution واقعی بدون Context ممکن نیست:
- آیا انگیزه مالی است یا جاسوسی؟
- آیا سازمان ارزش استراتژیک دارد؟
- آیا الگوی حمله با کشور/صنعت خاصی همخوانی دارد؟
هدف attribution تصمیمسازی است، نه اثبات قضایی
❤3💯1
#امنیت_به_زبان_ساده
تزریق در پراسس برای نفوذ
تزریق در فرآیند یا Process Injection یعنی مهاجم کد مخرب خود را داخل یک برنامهٔ سالم و در حال اجرا تزریق میکند تا بهجای اجرای یک برنامهٔ جدید، پشت هویت یک برنامهٔ معتبر پنهان شود.
مثلاً بهجای اجرای malware.exe، کد خود را داخل explorer.exe یا chrome.exe اجرا میکند.
ایدهٔ اصلی خیلی ساده است:
سیستمهای امنیتی معمولاً به نام و امضای برنامهها اعتماد میکنند. وقتی کد مخرب در دل یک پردازش قانونی اجرا شود، تشخیص آن بسیار سختتر میشود؛ چون ظاهراً هیچ چیز غیرعادی در حال اجرا نیست.
این تکنیک معمولاً برای ورود اولیه نیست؛ بلکه بعد از نفوذ استفاده میشود تا مهاجم:
- شناسایی نشود (Defense Evasion)
- دسترسی خود را حفظ کند
- یا سطح دسترسی را بالا ببرد
از نگاه مدیریتی، ریسک اصلی این است که دید امنیتی صرفاً مبتنی بر Asset و Process Name باشد، نه رفتار. این باعث میشود مهاجم مدت زیادی در سیستم باقی بماند بدون اینکه آلارم واضحی ایجاد شود.
کار درست مقابلهای، تمرکز بر رفتار پردازشها و مانیتور کردن رفتار غیرعادی حافظه است، نه صرفاً بلاک کردن فایلها.
شماره این تکنیک در جدول مایتره
T1055 – Process Injection
#آکادمی_روزبه
تزریق در پراسس برای نفوذ
تزریق در فرآیند یا Process Injection یعنی مهاجم کد مخرب خود را داخل یک برنامهٔ سالم و در حال اجرا تزریق میکند تا بهجای اجرای یک برنامهٔ جدید، پشت هویت یک برنامهٔ معتبر پنهان شود.
مثلاً بهجای اجرای malware.exe، کد خود را داخل explorer.exe یا chrome.exe اجرا میکند.
ایدهٔ اصلی خیلی ساده است:
سیستمهای امنیتی معمولاً به نام و امضای برنامهها اعتماد میکنند. وقتی کد مخرب در دل یک پردازش قانونی اجرا شود، تشخیص آن بسیار سختتر میشود؛ چون ظاهراً هیچ چیز غیرعادی در حال اجرا نیست.
این تکنیک معمولاً برای ورود اولیه نیست؛ بلکه بعد از نفوذ استفاده میشود تا مهاجم:
- شناسایی نشود (Defense Evasion)
- دسترسی خود را حفظ کند
- یا سطح دسترسی را بالا ببرد
از نگاه مدیریتی، ریسک اصلی این است که دید امنیتی صرفاً مبتنی بر Asset و Process Name باشد، نه رفتار. این باعث میشود مهاجم مدت زیادی در سیستم باقی بماند بدون اینکه آلارم واضحی ایجاد شود.
کار درست مقابلهای، تمرکز بر رفتار پردازشها و مانیتور کردن رفتار غیرعادی حافظه است، نه صرفاً بلاک کردن فایلها.
شماره این تکنیک در جدول مایتره
T1055 – Process Injection
#آکادمی_روزبه
❤3💯1
چگونه تحلیل رشتهها در حافظه (RAM) به کشف حملات پیشرفته کمک میکند
در بسیاری از حملات مدرن سایبری، بهویژه حملات Fileless و تکنیکهایی مانند Process Injection (MITRE ATT&CK – T1055)، هیچ فایل مخربی روی دیسک ذخیره نمیشود. در این شرایط، روشهای سنتی مبتنی بر آنتیویروس یا بررسی فایلها کارایی کافی ندارند. اما حتی این نوع حملات نیز یک محدودیت جدی دارند: برای اجرا، ناچارند از حافظه (RAM) استفاده کنند.
زمانی که کد مخرب در حافظه اجرا میشود، مقادیری به شکل رشته (String) در RAM ظاهر میشوند. این رشتهها میتوانند شامل آدرسهای IP یا URLهای فرماندهی و کنترل (C2)، دستورات PowerShell یا CMD، دادههای کدگذاریشده مانند Base64، و یا نام توابع حساس سیستمعامل مانند VirtualAlloc و WriteProcessMemory باشند.
ابزارهای امنیتی پیشرفته مثل EDR و XDR با اسکن حافظهی پردازشها، بهدنبال رشتههایی میگردند که با رفتار طبیعی آن پردازش همخوانی ندارند. برای مثال، وجود دستورات PowerShell در حافظهی یک پردازش مرورگر میتواند نشانهای قوی از تزریق کد باشد.
نکتهی کلیدی این است که یک رشته بهتنهایی حمله را ثابت نمیکند؛ بلکه ترکیب رشتههای مشکوک با رفتار غیرعادی پردازش، تخصیص حافظه و زمان اجرا، تصویر کامل حمله را آشکار میسازد. این رویکرد، دید امنیتی را از «فایل» به «رفتار واقعی در حافظه» منتقل میکند.
#آکادمی_روزبه
در بسیاری از حملات مدرن سایبری، بهویژه حملات Fileless و تکنیکهایی مانند Process Injection (MITRE ATT&CK – T1055)، هیچ فایل مخربی روی دیسک ذخیره نمیشود. در این شرایط، روشهای سنتی مبتنی بر آنتیویروس یا بررسی فایلها کارایی کافی ندارند. اما حتی این نوع حملات نیز یک محدودیت جدی دارند: برای اجرا، ناچارند از حافظه (RAM) استفاده کنند.
زمانی که کد مخرب در حافظه اجرا میشود، مقادیری به شکل رشته (String) در RAM ظاهر میشوند. این رشتهها میتوانند شامل آدرسهای IP یا URLهای فرماندهی و کنترل (C2)، دستورات PowerShell یا CMD، دادههای کدگذاریشده مانند Base64، و یا نام توابع حساس سیستمعامل مانند VirtualAlloc و WriteProcessMemory باشند.
ابزارهای امنیتی پیشرفته مثل EDR و XDR با اسکن حافظهی پردازشها، بهدنبال رشتههایی میگردند که با رفتار طبیعی آن پردازش همخوانی ندارند. برای مثال، وجود دستورات PowerShell در حافظهی یک پردازش مرورگر میتواند نشانهای قوی از تزریق کد باشد.
نکتهی کلیدی این است که یک رشته بهتنهایی حمله را ثابت نمیکند؛ بلکه ترکیب رشتههای مشکوک با رفتار غیرعادی پردازش، تخصیص حافظه و زمان اجرا، تصویر کامل حمله را آشکار میسازد. این رویکرد، دید امنیتی را از «فایل» به «رفتار واقعی در حافظه» منتقل میکند.
#آکادمی_روزبه
❤3💯2
از دوره CISO یاد بگیریم
تحلیل علت ریشه ایRoot Cause Analysis (RCA) در امنیت سایبری خیلی مهم است چون به سازمان کمک میکند مشکل را بهصورت اساسی و پایدار حل کند، نه موقتی.
در بسیاری از مواقع، سازمانها بعد از یک Incident (مثل قطعی سرویس، رخداد امنیتی یا خطای عملیاتی) فقط علائم را برطرف میکنند؛ مثلاً سیستم را ریست میکنند یا یک workaround اعمال میشود. این کار باعث میشود مشکل در ظاهر حل شود، اما علت اصلی همچنان باقی میماند و در آینده با شدت یا هزینهٔ بیشتر تکرار میشود.
مقوله RCA کمک میکند بفهمیم چرا حادثه رخ داده، نه فقط چه چیزی رخ داده است. این تحلیل معمولاً لایههای مختلف را بررسی میکند؛ از خطای انسانی گرفته تا ضعف در فرآیند، طراحی نادرست سیستم، نبود کنترلهای امنیتی یا نقص در تصمیمات مدیریتی.
به همین دلیل، خروجی RCA فقط یک گزارش نیست، بلکه مبنایی برای بهبود فرآیندها، افزایش بلوغ سازمان و کاهش ریسک است.
📣 کمی تخصصی تر :
از منظر مدیریتی و حاکمیتی، RCA نشاندهندهٔ Due Diligence و Due Care سازمان است و در برابر Audit، هیئتمدیره و رگولاتور بسیار حیاتی محسوب میشود. سازمانی که RCA انجام میدهد، از Incidentها یاد میگیرد و بالغتر میشود؛ اما سازمانی که RCA را نادیده میگیرد، محکوم به تکرار همان اشتباههاست.
📊 در دوره مدیریت امنیت سایبری CISO بسیار در این زمینه ها خواهیم آموخت
واتس اپ و بله 09902857290
www.haumoun.com
تحلیل علت ریشه ایRoot Cause Analysis (RCA) در امنیت سایبری خیلی مهم است چون به سازمان کمک میکند مشکل را بهصورت اساسی و پایدار حل کند، نه موقتی.
در بسیاری از مواقع، سازمانها بعد از یک Incident (مثل قطعی سرویس، رخداد امنیتی یا خطای عملیاتی) فقط علائم را برطرف میکنند؛ مثلاً سیستم را ریست میکنند یا یک workaround اعمال میشود. این کار باعث میشود مشکل در ظاهر حل شود، اما علت اصلی همچنان باقی میماند و در آینده با شدت یا هزینهٔ بیشتر تکرار میشود.
مقوله RCA کمک میکند بفهمیم چرا حادثه رخ داده، نه فقط چه چیزی رخ داده است. این تحلیل معمولاً لایههای مختلف را بررسی میکند؛ از خطای انسانی گرفته تا ضعف در فرآیند، طراحی نادرست سیستم، نبود کنترلهای امنیتی یا نقص در تصمیمات مدیریتی.
به همین دلیل، خروجی RCA فقط یک گزارش نیست، بلکه مبنایی برای بهبود فرآیندها، افزایش بلوغ سازمان و کاهش ریسک است.
از منظر مدیریتی و حاکمیتی، RCA نشاندهندهٔ Due Diligence و Due Care سازمان است و در برابر Audit، هیئتمدیره و رگولاتور بسیار حیاتی محسوب میشود. سازمانی که RCA انجام میدهد، از Incidentها یاد میگیرد و بالغتر میشود؛ اما سازمانی که RCA را نادیده میگیرد، محکوم به تکرار همان اشتباههاست.
واتس اپ و بله 09902857290
www.haumoun.com
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2💯1
❤3
این نظر منه
و بهتره یک CISO هم این دید رو داشته باشه:
مسدود کردن کامل پاورشل در سازمانها (که خیلی روتین شده) ؛ واکنشی است که در امنیت سایبری میتوان به آن نام امنیت با محدودیت و فلج سازی گذاشت . اگرچه این کار در نگاه اول سطح حمله را کاهش میدهد، اما در درازمدت یک استراتژی اشتباه و ناپایدار است.
Disabling PowerShell is a tactical response, not a risk-based security strategy.
یکساعت کامل در کلاس CISO در موردش بحث خواهیم کرد
و بهتره یک CISO هم این دید رو داشته باشه:
مسدود کردن کامل پاورشل در سازمانها (که خیلی روتین شده) ؛ واکنشی است که در امنیت سایبری میتوان به آن نام امنیت با محدودیت و فلج سازی گذاشت . اگرچه این کار در نگاه اول سطح حمله را کاهش میدهد، اما در درازمدت یک استراتژی اشتباه و ناپایدار است.
Disabling PowerShell is a tactical response, not a risk-based security strategy.
یکساعت کامل در کلاس CISO در موردش بحث خواهیم کرد
❤5💯1
آکادمی آموزش روزبه 📚
این نظر منه و بهتره یک CISO هم این دید رو داشته باشه: مسدود کردن کامل پاورشل در سازمانها (که خیلی روتین شده) ؛ واکنشی است که در امنیت سایبری میتوان به آن نام امنیت با محدودیت و فلج سازی گذاشت . اگرچه این کار در نگاه اول سطح حمله را کاهش میدهد، اما در درازمدت…
در مورد پاورشل پست قبل رو گذاشتم که با توجه به برخی نطرات لازم دیدم اصل وجود پاورشل و مزایا رو بررسی کنم
بستن پاورشل در سازمان بدون انجام آنالیز ریسک، یکی از رایجترین تصمیمهای احساسی در حوزه امنیت است؛ تصمیمی که در ظاهر ریسک را کم میکند اما در عمل، توان عملیاتی سازمان را کاهش میدهد. پاورشل فقط یک خط فرمان نیست، بلکه لایه اصلی مدیریت، مانیتورینگ و دفاع در سیستمعامل ویندوز محسوب میشود.
پاورشل ابزار اصلی ادمین برای استانداردسازی تنظیمات، خودکارسازی عملیات، اعمال Baselineهای امنیتی و کنترل تغییرات است. بدون آن، مدیریت به کارهای دستی و پراکنده تبدیل میشود؛ یعنی افزایش خطای انسانی، نبود قابلیت Audit و شکلگیری تدریجی Configuration Drift. این دقیقاً همان وضعیتی است که مهاجم از آن بهره میبرد. با بستن پاورشل شما Agility را از سازمان میگیرید و کار گل بزرگی به تیم IT تحمیل میکنید.
از منظر امنیتی، پاورشل برای تیم آبی یک ابزار حیاتی دید و تحلیل است. بررسی وضعیت Credential Guard، شناسایی Local Adminهای غیرمجاز، کشف Scheduled Taskهای مشکوک، استخراج هدفمند Event Logها و حتی Threat Hunting پیشرفته، همگی به پاورشل وابستهاند. بستن آن یعنی کور کردن تیم امنیت و وابستهکردن کامل سازمان به خروجی EDRها.
در Incident Response، پاورشل نقش کلیدی دارد. جمعآوری شواهد، ایزولهسازی سیستم، مقایسه وضعیت قبل و بعد از حادثه و اجرای Playbookهای پاسخ به رخداد بدون پاورشل یا غیرممکن است یا بسیار کند. در این شرایط، مهاجم همواره یک قدم جلوتر است.
پاورشل ذاتاً خطرناک نیست؛ بلکه مدیریتنشده خطرناک است. قابلیتهایی مثل AMSI، Script Block Logging، Constrained Language Mode و JEA دقیقاً برای کنترل ریسک طراحی شدهاند. رویکرد بالغ امنیتی، حذف ابزار نیست؛ مدیریت هوشمندانه آن بر اساس ریسک واقعی سازمان است.
🎉 بعنوان مدیر CISO با مدیریت درست ریسک ، توانمند ساز بیزنس باشید نه مانع کسب کار
بستن پاورشل در سازمان بدون انجام آنالیز ریسک، یکی از رایجترین تصمیمهای احساسی در حوزه امنیت است؛ تصمیمی که در ظاهر ریسک را کم میکند اما در عمل، توان عملیاتی سازمان را کاهش میدهد. پاورشل فقط یک خط فرمان نیست، بلکه لایه اصلی مدیریت، مانیتورینگ و دفاع در سیستمعامل ویندوز محسوب میشود.
پاورشل ابزار اصلی ادمین برای استانداردسازی تنظیمات، خودکارسازی عملیات، اعمال Baselineهای امنیتی و کنترل تغییرات است. بدون آن، مدیریت به کارهای دستی و پراکنده تبدیل میشود؛ یعنی افزایش خطای انسانی، نبود قابلیت Audit و شکلگیری تدریجی Configuration Drift. این دقیقاً همان وضعیتی است که مهاجم از آن بهره میبرد. با بستن پاورشل شما Agility را از سازمان میگیرید و کار گل بزرگی به تیم IT تحمیل میکنید.
از منظر امنیتی، پاورشل برای تیم آبی یک ابزار حیاتی دید و تحلیل است. بررسی وضعیت Credential Guard، شناسایی Local Adminهای غیرمجاز، کشف Scheduled Taskهای مشکوک، استخراج هدفمند Event Logها و حتی Threat Hunting پیشرفته، همگی به پاورشل وابستهاند. بستن آن یعنی کور کردن تیم امنیت و وابستهکردن کامل سازمان به خروجی EDRها.
در Incident Response، پاورشل نقش کلیدی دارد. جمعآوری شواهد، ایزولهسازی سیستم، مقایسه وضعیت قبل و بعد از حادثه و اجرای Playbookهای پاسخ به رخداد بدون پاورشل یا غیرممکن است یا بسیار کند. در این شرایط، مهاجم همواره یک قدم جلوتر است.
پاورشل ذاتاً خطرناک نیست؛ بلکه مدیریتنشده خطرناک است. قابلیتهایی مثل AMSI، Script Block Logging، Constrained Language Mode و JEA دقیقاً برای کنترل ریسک طراحی شدهاند. رویکرد بالغ امنیتی، حذف ابزار نیست؛ مدیریت هوشمندانه آن بر اساس ریسک واقعی سازمان است.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5👍2💯1
تعویض رمز عبور حساب krbtgt؛ یکی از حیاتیترین اقدامات مقاوم سازی Active Directory
در میان تمام اقدامات امنیتی Active Directory، چرخش رمز عبور حساب krbtgt جزو کارهایی است که معمولاً به تعویق میافتد؛ نه بهخاطر بیاهمیت بودن، بلکه بهدلیل حساسیت و ریسک عملیاتی آن. در حالی که همین اقدام مستقیماً یکی از خطرناکترین سناریوهای Kerberos، یعنی Golden Ticket، را خنثی میکند.
چرا krbtgt اینقدر مهم است؟
حساب krbtgt کلید امضای بلیتهای Kerberos در دامنه است. اگر مهاجمی به هش این حساب دسترسی پیدا کند، میتواند بلیتهای جعلی Kerberos بسازد که عملاً تاریخ انقضا ندارند و برای همیشه معتبر میمانند. این یعنی پایداری کامل در دامنه بدون نیاز به اجرای مجدد اکسپلویتها.
تنها راه بیاثرکردن این بلیتها، تعویض رمز عبور krbtgt است؛ زیرا با تغییر کلید امضا، تمام بلیتهای قبلی نامعتبر میشوند.
روش صحیح تعویض krbtgt
فرآیند چرخش krbtgt ساده به نظر میرسد، اما ترتیب و دقت در اجرا حیاتی است:
- یکبار رمز عبور krbtgt را ریست کنید (از طریق ADUC یا اسکریپت).
- صبر کنید تا Replication بین تمام Domain Controllerها کامل و بدون خطا انجام شود (معمولاً 24 ساعت).
- سلامت Replication و لاگها را بررسی کنید.
- اطمینان حاصل کنید تمام DCها نسخهٔ جدید krbtgt را دارند.
- بار دوم، مجدداً رمز عبور krbtgt را ریست کنید.
چرا ریست دوم مهم است؟
ریست اول یک کلید جدید ایجاد میکند، اما بلیتهایی که با کلید قبلی صادر شدهاند ممکن است همچنان معتبر بمانند.
ریست دوم تضمین میکند هیچ بلیتی با کلید قدیمی در دامنه قابل استفاده نیست. این مرحله عملاً Golden Ticket را از ریشه قطع میکند.
چکلیست عملیاتی پیشنهادی
- قبل از هر کاری، Replication را کاملاً بررسی کنید.
- ریست اول krbtgt.
- تأیید Replication بدون خطا و تأخیر.
- ریست دوم krbtgt.
- مانیتورینگ لاگهای Kerberos و احراز هویت پس از عملیات.
اگر Replication سالم باشد، این فرآیند نباید باعث اختلال غیرعادی در احراز هویت شود.
در میان تمام اقدامات امنیتی Active Directory، چرخش رمز عبور حساب krbtgt جزو کارهایی است که معمولاً به تعویق میافتد؛ نه بهخاطر بیاهمیت بودن، بلکه بهدلیل حساسیت و ریسک عملیاتی آن. در حالی که همین اقدام مستقیماً یکی از خطرناکترین سناریوهای Kerberos، یعنی Golden Ticket، را خنثی میکند.
چرا krbtgt اینقدر مهم است؟
حساب krbtgt کلید امضای بلیتهای Kerberos در دامنه است. اگر مهاجمی به هش این حساب دسترسی پیدا کند، میتواند بلیتهای جعلی Kerberos بسازد که عملاً تاریخ انقضا ندارند و برای همیشه معتبر میمانند. این یعنی پایداری کامل در دامنه بدون نیاز به اجرای مجدد اکسپلویتها.
تنها راه بیاثرکردن این بلیتها، تعویض رمز عبور krbtgt است؛ زیرا با تغییر کلید امضا، تمام بلیتهای قبلی نامعتبر میشوند.
روش صحیح تعویض krbtgt
فرآیند چرخش krbtgt ساده به نظر میرسد، اما ترتیب و دقت در اجرا حیاتی است:
- یکبار رمز عبور krbtgt را ریست کنید (از طریق ADUC یا اسکریپت).
- صبر کنید تا Replication بین تمام Domain Controllerها کامل و بدون خطا انجام شود (معمولاً 24 ساعت).
- سلامت Replication و لاگها را بررسی کنید.
- اطمینان حاصل کنید تمام DCها نسخهٔ جدید krbtgt را دارند.
- بار دوم، مجدداً رمز عبور krbtgt را ریست کنید.
چرا ریست دوم مهم است؟
ریست اول یک کلید جدید ایجاد میکند، اما بلیتهایی که با کلید قبلی صادر شدهاند ممکن است همچنان معتبر بمانند.
ریست دوم تضمین میکند هیچ بلیتی با کلید قدیمی در دامنه قابل استفاده نیست. این مرحله عملاً Golden Ticket را از ریشه قطع میکند.
چکلیست عملیاتی پیشنهادی
- قبل از هر کاری، Replication را کاملاً بررسی کنید.
- ریست اول krbtgt.
- تأیید Replication بدون خطا و تأخیر.
- ریست دوم krbtgt.
- مانیتورینگ لاگهای Kerberos و احراز هویت پس از عملیات.
اگر Replication سالم باشد، این فرآیند نباید باعث اختلال غیرعادی در احراز هویت شود.
❤3👏2
آکادمی آموزش روزبه 📚
در مورد پاورشل پست قبل رو گذاشتم که با توجه به برخی نطرات لازم دیدم اصل وجود پاورشل و مزایا رو بررسی کنم بستن پاورشل در سازمان بدون انجام آنالیز ریسک، یکی از رایجترین تصمیمهای احساسی در حوزه امنیت است؛ تصمیمی که در ظاهر ریسک را کم میکند اما در عمل، توان…
باز هم بحث پاورشل
این بار جواب به مغالطه فلسفی
مساله :
دوستی عنوان کرد که چون در ایران هانت و فارنزیک ضعیف است، پس PowerShell را نباید روی کلاینتها فعال کرد
من چه میگویم؟
در این بحث، اگر از منظر فلسفهٔ استدلال و فلسفهٔ علم نگاه کنیم، استدلال «چون در ایران هانت و فارنزیک ضعیف است، پس PowerShell را نباید روی کلاینتها فعال کرد» نمونهای روشن از مغالطهٔ فلسفی است، نه یک تحلیل عقلانی.
نخستین خطا، استنتاج از فقدان است. نبودِ یک توانمندی (هانت و فارنزیک) بهعنوان دلیل برای حذف یک قابلیت دیگر به کار میرود. در منطق، فقدانِ ابزار شناخت هرگز دلیلی برای نفیِ موضوع شناخت نیست. این استدلال شبیه این است که بگوییم چون میکروسکوپ نداریم، مطالعهٔ بیماریهای میکروسکوپی بیمعناست. مشکل در ابزار فهم است، نه در موضوع.
دومین مغالطه، علیت معکوس است. در فلسفهٔ علم، ابزار مشاهده و دادهسازی مقدم بر تحلیل و نظریهاند. اما این استدلال میگوید چون تحلیل نداریم، پس منبع داده را حذف کنیم. به بیان دیگر، فقدان تحلیل بهجای آنکه انگیزهای برای ایجاد ابزار شود، به توجیه حذف آن تبدیل شده است.
سوم، این دیدگاه گرفتار تعصب وضع موجود است. وضعیت فعلی سازمان یا کشور بهعنوان معیار حقیقت و عقلانیت فرض میشود؛ در حالیکه عقلانیت علمی دقیقاً برای عبور از محدودیت وضعیت موجود شکل میگیرد، نه تثبیت آن.
در نهایت، این استدلال نمونهای از تبدیل جهل به اصل تصمیمسازی است. ندانستن یا ناتوانی عملی بهجای آنکه مسئله تلقی شود، به مبنای سیاستگذاری ارتقا داده میشود. از منظر فلسفی، چنین منطقی نهتنها امنیت تولید نمیکند، بلکه آگاهانه انتخاب میکند که «کمتر ببیند» تا با واقعیت تهدید مواجه نشود.
این بار جواب به مغالطه فلسفی
مساله :
دوستی عنوان کرد که چون در ایران هانت و فارنزیک ضعیف است، پس PowerShell را نباید روی کلاینتها فعال کرد
من چه میگویم؟
در این بحث، اگر از منظر فلسفهٔ استدلال و فلسفهٔ علم نگاه کنیم، استدلال «چون در ایران هانت و فارنزیک ضعیف است، پس PowerShell را نباید روی کلاینتها فعال کرد» نمونهای روشن از مغالطهٔ فلسفی است، نه یک تحلیل عقلانی.
نخستین خطا، استنتاج از فقدان است. نبودِ یک توانمندی (هانت و فارنزیک) بهعنوان دلیل برای حذف یک قابلیت دیگر به کار میرود. در منطق، فقدانِ ابزار شناخت هرگز دلیلی برای نفیِ موضوع شناخت نیست. این استدلال شبیه این است که بگوییم چون میکروسکوپ نداریم، مطالعهٔ بیماریهای میکروسکوپی بیمعناست. مشکل در ابزار فهم است، نه در موضوع.
دومین مغالطه، علیت معکوس است. در فلسفهٔ علم، ابزار مشاهده و دادهسازی مقدم بر تحلیل و نظریهاند. اما این استدلال میگوید چون تحلیل نداریم، پس منبع داده را حذف کنیم. به بیان دیگر، فقدان تحلیل بهجای آنکه انگیزهای برای ایجاد ابزار شود، به توجیه حذف آن تبدیل شده است.
سوم، این دیدگاه گرفتار تعصب وضع موجود است. وضعیت فعلی سازمان یا کشور بهعنوان معیار حقیقت و عقلانیت فرض میشود؛ در حالیکه عقلانیت علمی دقیقاً برای عبور از محدودیت وضعیت موجود شکل میگیرد، نه تثبیت آن.
در نهایت، این استدلال نمونهای از تبدیل جهل به اصل تصمیمسازی است. ندانستن یا ناتوانی عملی بهجای آنکه مسئله تلقی شود، به مبنای سیاستگذاری ارتقا داده میشود. از منظر فلسفی، چنین منطقی نهتنها امنیت تولید نمیکند، بلکه آگاهانه انتخاب میکند که «کمتر ببیند» تا با واقعیت تهدید مواجه نشود.
❤4
بررسی عناوین پیشنهادی برای پایان نامه های کارشناسی ارشد امنیت
این بار : تعیین هویت و الگوریتم های هوش مصنوعی
با دوستی در مورد پایان نامه اش صحبت میکردیم مواردی را به چالش گذاشتیم . کنارش عناوین زیر را که جالب دیدم برای شما میگذارم
⬅️ طراحی سیستم احراز هویت مداوم و سبکوزن (Lightweight) در لبه شبکه با استفاده از معماریهای فضای حالت (Mamba)
تمرکز:
- کارایی انرژی در موبایل و IoT
- State Space Models (SSMs)
- Continuous Authentication
نوآوری: جایگزینی معماری Transformer با معماری Mamba برای دستیابی به پیچیدگی خطی و کاهش تأخیر در پردازش دادههای رفتاری طولانی
⬅️ سیستم تعیین هویت چندعامله مقاوم در برابر نقص داده (Missing Modality) با مکانیزم توجه متقاطع (Cross-Attention)
تمرکز:
- Robust Multimodal Fusion
- جبران نویز محیطی یا قطعی سنسور
نوآوری: استفاده از Cross-Attention برای بازسازی ویژگیهای مودالیته مفقود شده (مثلاً تشخیص هویت وقتی تصویر تار است اما صدا واضح است)
⬅️ طراحی چارچوب احراز هویت مبتنی بر یادگیری تجمیعی شخصیسازی شده (Personalized FL) مقاوم در برابر حملات مسمومسازی مدل
تمرکز:
- Non-IID Data Handling
- Model Poisoning Defense
نوآوری: ارائه الگوریتم تجمیعی جدید که همزمان با حفظ حریم خصوصی، تغییرات مخرب (Malicious Updates) را در دادههای غیرهمگون کاربران شناسایی و حذف میکند
⬅️ مقابله با جعل هویت ناشی از مدلهای انتشار (Diffusion Models) با استفاده از تحلیل ناسازگاریهای فرکانسی و بافتی
تمرکز:
- Diffusion-based Deepfake Detection
- GenAI Threats
نوآوری: تمرکز بر کشف آرتیفکتهای خاص مدلهای Stable Diffusion و Midjourney به جای مدلهای قدیمی GAN با استفاده از تبدیلهای فرکانسی پیشرفته
⬅️ تشخیص ناهنجاریهای هویتی پیشرفته و حملات روز صفر با استفاده از یادگیری تضادی (Contrastive Learning)
تمرکز:
- Self-Supervised Learning
- Behavioral Graphs
نوآوری: استفاده از رویکرد SimCLR یا MoCo برای یادگیری نمایشهای رفتاری غنی بدون نیاز به برچسب، جهت افزایش دقت نسبت به Autoencoderهای سنتی
🐣الگوریتمها و معماریهای اصلی
CNN
ResNet
EfficientNet
Vision Transformer (ViT)
Transformer Encoder
Self‑Attention
LSTM
GRU
Bi‑LSTM
Temporal CNN
Siamese Network
Triplet Loss
Contrastive Loss
Autoencoder
Variational Autoencoder (VAE)
One‑Class SVM
Isolation Forest
DBSCAN
k‑Means
Attention‑Based Fusion
Ensemble Learning
Generative Adversarial Network (GAN)
Adversarial Training
Capsule Network
Federated Learning
Federated Averaging (FedAvg)
FedProx
Differential Privacy (DP‑SGD)
Secure Aggregation
Knowledge Distillation
Quantization‑Aware Training
MobileNet
این بار : تعیین هویت و الگوریتم های هوش مصنوعی
با دوستی در مورد پایان نامه اش صحبت میکردیم مواردی را به چالش گذاشتیم . کنارش عناوین زیر را که جالب دیدم برای شما میگذارم
⬅️ طراحی سیستم احراز هویت مداوم و سبکوزن (Lightweight) در لبه شبکه با استفاده از معماریهای فضای حالت (Mamba)
تمرکز:
- کارایی انرژی در موبایل و IoT
- State Space Models (SSMs)
- Continuous Authentication
نوآوری: جایگزینی معماری Transformer با معماری Mamba برای دستیابی به پیچیدگی خطی و کاهش تأخیر در پردازش دادههای رفتاری طولانی
⬅️ سیستم تعیین هویت چندعامله مقاوم در برابر نقص داده (Missing Modality) با مکانیزم توجه متقاطع (Cross-Attention)
تمرکز:
- Robust Multimodal Fusion
- جبران نویز محیطی یا قطعی سنسور
نوآوری: استفاده از Cross-Attention برای بازسازی ویژگیهای مودالیته مفقود شده (مثلاً تشخیص هویت وقتی تصویر تار است اما صدا واضح است)
⬅️ طراحی چارچوب احراز هویت مبتنی بر یادگیری تجمیعی شخصیسازی شده (Personalized FL) مقاوم در برابر حملات مسمومسازی مدل
تمرکز:
- Non-IID Data Handling
- Model Poisoning Defense
نوآوری: ارائه الگوریتم تجمیعی جدید که همزمان با حفظ حریم خصوصی، تغییرات مخرب (Malicious Updates) را در دادههای غیرهمگون کاربران شناسایی و حذف میکند
⬅️ مقابله با جعل هویت ناشی از مدلهای انتشار (Diffusion Models) با استفاده از تحلیل ناسازگاریهای فرکانسی و بافتی
تمرکز:
- Diffusion-based Deepfake Detection
- GenAI Threats
نوآوری: تمرکز بر کشف آرتیفکتهای خاص مدلهای Stable Diffusion و Midjourney به جای مدلهای قدیمی GAN با استفاده از تبدیلهای فرکانسی پیشرفته
⬅️ تشخیص ناهنجاریهای هویتی پیشرفته و حملات روز صفر با استفاده از یادگیری تضادی (Contrastive Learning)
تمرکز:
- Self-Supervised Learning
- Behavioral Graphs
نوآوری: استفاده از رویکرد SimCLR یا MoCo برای یادگیری نمایشهای رفتاری غنی بدون نیاز به برچسب، جهت افزایش دقت نسبت به Autoencoderهای سنتی
🐣الگوریتمها و معماریهای اصلی
CNN
ResNet
EfficientNet
Vision Transformer (ViT)
Transformer Encoder
Self‑Attention
LSTM
GRU
Bi‑LSTM
Temporal CNN
Siamese Network
Triplet Loss
Contrastive Loss
Autoencoder
Variational Autoencoder (VAE)
One‑Class SVM
Isolation Forest
DBSCAN
k‑Means
Attention‑Based Fusion
Ensemble Learning
Generative Adversarial Network (GAN)
Adversarial Training
Capsule Network
Federated Learning
Federated Averaging (FedAvg)
FedProx
Differential Privacy (DP‑SGD)
Secure Aggregation
Knowledge Distillation
Quantization‑Aware Training
MobileNet
❤3