#امنیت_به_زبان_ساده
تزریق در پراسس برای نفوذ
تزریق در فرآیند یا Process Injection یعنی مهاجم کد مخرب خود را داخل یک برنامهٔ سالم و در حال اجرا تزریق میکند تا بهجای اجرای یک برنامهٔ جدید، پشت هویت یک برنامهٔ معتبر پنهان شود.
مثلاً بهجای اجرای malware.exe، کد خود را داخل explorer.exe یا chrome.exe اجرا میکند.
ایدهٔ اصلی خیلی ساده است:
سیستمهای امنیتی معمولاً به نام و امضای برنامهها اعتماد میکنند. وقتی کد مخرب در دل یک پردازش قانونی اجرا شود، تشخیص آن بسیار سختتر میشود؛ چون ظاهراً هیچ چیز غیرعادی در حال اجرا نیست.
این تکنیک معمولاً برای ورود اولیه نیست؛ بلکه بعد از نفوذ استفاده میشود تا مهاجم:
- شناسایی نشود (Defense Evasion)
- دسترسی خود را حفظ کند
- یا سطح دسترسی را بالا ببرد
از نگاه مدیریتی، ریسک اصلی این است که دید امنیتی صرفاً مبتنی بر Asset و Process Name باشد، نه رفتار. این باعث میشود مهاجم مدت زیادی در سیستم باقی بماند بدون اینکه آلارم واضحی ایجاد شود.
کار درست مقابلهای، تمرکز بر رفتار پردازشها و مانیتور کردن رفتار غیرعادی حافظه است، نه صرفاً بلاک کردن فایلها.
شماره این تکنیک در جدول مایتره
T1055 – Process Injection
#آکادمی_روزبه
تزریق در پراسس برای نفوذ
تزریق در فرآیند یا Process Injection یعنی مهاجم کد مخرب خود را داخل یک برنامهٔ سالم و در حال اجرا تزریق میکند تا بهجای اجرای یک برنامهٔ جدید، پشت هویت یک برنامهٔ معتبر پنهان شود.
مثلاً بهجای اجرای malware.exe، کد خود را داخل explorer.exe یا chrome.exe اجرا میکند.
ایدهٔ اصلی خیلی ساده است:
سیستمهای امنیتی معمولاً به نام و امضای برنامهها اعتماد میکنند. وقتی کد مخرب در دل یک پردازش قانونی اجرا شود، تشخیص آن بسیار سختتر میشود؛ چون ظاهراً هیچ چیز غیرعادی در حال اجرا نیست.
این تکنیک معمولاً برای ورود اولیه نیست؛ بلکه بعد از نفوذ استفاده میشود تا مهاجم:
- شناسایی نشود (Defense Evasion)
- دسترسی خود را حفظ کند
- یا سطح دسترسی را بالا ببرد
از نگاه مدیریتی، ریسک اصلی این است که دید امنیتی صرفاً مبتنی بر Asset و Process Name باشد، نه رفتار. این باعث میشود مهاجم مدت زیادی در سیستم باقی بماند بدون اینکه آلارم واضحی ایجاد شود.
کار درست مقابلهای، تمرکز بر رفتار پردازشها و مانیتور کردن رفتار غیرعادی حافظه است، نه صرفاً بلاک کردن فایلها.
شماره این تکنیک در جدول مایتره
T1055 – Process Injection
#آکادمی_روزبه
❤3💯1
چگونه تحلیل رشتهها در حافظه (RAM) به کشف حملات پیشرفته کمک میکند
در بسیاری از حملات مدرن سایبری، بهویژه حملات Fileless و تکنیکهایی مانند Process Injection (MITRE ATT&CK – T1055)، هیچ فایل مخربی روی دیسک ذخیره نمیشود. در این شرایط، روشهای سنتی مبتنی بر آنتیویروس یا بررسی فایلها کارایی کافی ندارند. اما حتی این نوع حملات نیز یک محدودیت جدی دارند: برای اجرا، ناچارند از حافظه (RAM) استفاده کنند.
زمانی که کد مخرب در حافظه اجرا میشود، مقادیری به شکل رشته (String) در RAM ظاهر میشوند. این رشتهها میتوانند شامل آدرسهای IP یا URLهای فرماندهی و کنترل (C2)، دستورات PowerShell یا CMD، دادههای کدگذاریشده مانند Base64، و یا نام توابع حساس سیستمعامل مانند VirtualAlloc و WriteProcessMemory باشند.
ابزارهای امنیتی پیشرفته مثل EDR و XDR با اسکن حافظهی پردازشها، بهدنبال رشتههایی میگردند که با رفتار طبیعی آن پردازش همخوانی ندارند. برای مثال، وجود دستورات PowerShell در حافظهی یک پردازش مرورگر میتواند نشانهای قوی از تزریق کد باشد.
نکتهی کلیدی این است که یک رشته بهتنهایی حمله را ثابت نمیکند؛ بلکه ترکیب رشتههای مشکوک با رفتار غیرعادی پردازش، تخصیص حافظه و زمان اجرا، تصویر کامل حمله را آشکار میسازد. این رویکرد، دید امنیتی را از «فایل» به «رفتار واقعی در حافظه» منتقل میکند.
#آکادمی_روزبه
در بسیاری از حملات مدرن سایبری، بهویژه حملات Fileless و تکنیکهایی مانند Process Injection (MITRE ATT&CK – T1055)، هیچ فایل مخربی روی دیسک ذخیره نمیشود. در این شرایط، روشهای سنتی مبتنی بر آنتیویروس یا بررسی فایلها کارایی کافی ندارند. اما حتی این نوع حملات نیز یک محدودیت جدی دارند: برای اجرا، ناچارند از حافظه (RAM) استفاده کنند.
زمانی که کد مخرب در حافظه اجرا میشود، مقادیری به شکل رشته (String) در RAM ظاهر میشوند. این رشتهها میتوانند شامل آدرسهای IP یا URLهای فرماندهی و کنترل (C2)، دستورات PowerShell یا CMD، دادههای کدگذاریشده مانند Base64، و یا نام توابع حساس سیستمعامل مانند VirtualAlloc و WriteProcessMemory باشند.
ابزارهای امنیتی پیشرفته مثل EDR و XDR با اسکن حافظهی پردازشها، بهدنبال رشتههایی میگردند که با رفتار طبیعی آن پردازش همخوانی ندارند. برای مثال، وجود دستورات PowerShell در حافظهی یک پردازش مرورگر میتواند نشانهای قوی از تزریق کد باشد.
نکتهی کلیدی این است که یک رشته بهتنهایی حمله را ثابت نمیکند؛ بلکه ترکیب رشتههای مشکوک با رفتار غیرعادی پردازش، تخصیص حافظه و زمان اجرا، تصویر کامل حمله را آشکار میسازد. این رویکرد، دید امنیتی را از «فایل» به «رفتار واقعی در حافظه» منتقل میکند.
#آکادمی_روزبه
❤3💯2
از دوره CISO یاد بگیریم
تحلیل علت ریشه ایRoot Cause Analysis (RCA) در امنیت سایبری خیلی مهم است چون به سازمان کمک میکند مشکل را بهصورت اساسی و پایدار حل کند، نه موقتی.
در بسیاری از مواقع، سازمانها بعد از یک Incident (مثل قطعی سرویس، رخداد امنیتی یا خطای عملیاتی) فقط علائم را برطرف میکنند؛ مثلاً سیستم را ریست میکنند یا یک workaround اعمال میشود. این کار باعث میشود مشکل در ظاهر حل شود، اما علت اصلی همچنان باقی میماند و در آینده با شدت یا هزینهٔ بیشتر تکرار میشود.
مقوله RCA کمک میکند بفهمیم چرا حادثه رخ داده، نه فقط چه چیزی رخ داده است. این تحلیل معمولاً لایههای مختلف را بررسی میکند؛ از خطای انسانی گرفته تا ضعف در فرآیند، طراحی نادرست سیستم، نبود کنترلهای امنیتی یا نقص در تصمیمات مدیریتی.
به همین دلیل، خروجی RCA فقط یک گزارش نیست، بلکه مبنایی برای بهبود فرآیندها، افزایش بلوغ سازمان و کاهش ریسک است.
📣 کمی تخصصی تر :
از منظر مدیریتی و حاکمیتی، RCA نشاندهندهٔ Due Diligence و Due Care سازمان است و در برابر Audit، هیئتمدیره و رگولاتور بسیار حیاتی محسوب میشود. سازمانی که RCA انجام میدهد، از Incidentها یاد میگیرد و بالغتر میشود؛ اما سازمانی که RCA را نادیده میگیرد، محکوم به تکرار همان اشتباههاست.
📊 در دوره مدیریت امنیت سایبری CISO بسیار در این زمینه ها خواهیم آموخت
واتس اپ و بله 09902857290
www.haumoun.com
تحلیل علت ریشه ایRoot Cause Analysis (RCA) در امنیت سایبری خیلی مهم است چون به سازمان کمک میکند مشکل را بهصورت اساسی و پایدار حل کند، نه موقتی.
در بسیاری از مواقع، سازمانها بعد از یک Incident (مثل قطعی سرویس، رخداد امنیتی یا خطای عملیاتی) فقط علائم را برطرف میکنند؛ مثلاً سیستم را ریست میکنند یا یک workaround اعمال میشود. این کار باعث میشود مشکل در ظاهر حل شود، اما علت اصلی همچنان باقی میماند و در آینده با شدت یا هزینهٔ بیشتر تکرار میشود.
مقوله RCA کمک میکند بفهمیم چرا حادثه رخ داده، نه فقط چه چیزی رخ داده است. این تحلیل معمولاً لایههای مختلف را بررسی میکند؛ از خطای انسانی گرفته تا ضعف در فرآیند، طراحی نادرست سیستم، نبود کنترلهای امنیتی یا نقص در تصمیمات مدیریتی.
به همین دلیل، خروجی RCA فقط یک گزارش نیست، بلکه مبنایی برای بهبود فرآیندها، افزایش بلوغ سازمان و کاهش ریسک است.
از منظر مدیریتی و حاکمیتی، RCA نشاندهندهٔ Due Diligence و Due Care سازمان است و در برابر Audit، هیئتمدیره و رگولاتور بسیار حیاتی محسوب میشود. سازمانی که RCA انجام میدهد، از Incidentها یاد میگیرد و بالغتر میشود؛ اما سازمانی که RCA را نادیده میگیرد، محکوم به تکرار همان اشتباههاست.
واتس اپ و بله 09902857290
www.haumoun.com
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2💯1
❤3
این نظر منه
و بهتره یک CISO هم این دید رو داشته باشه:
مسدود کردن کامل پاورشل در سازمانها (که خیلی روتین شده) ؛ واکنشی است که در امنیت سایبری میتوان به آن نام امنیت با محدودیت و فلج سازی گذاشت . اگرچه این کار در نگاه اول سطح حمله را کاهش میدهد، اما در درازمدت یک استراتژی اشتباه و ناپایدار است.
Disabling PowerShell is a tactical response, not a risk-based security strategy.
یکساعت کامل در کلاس CISO در موردش بحث خواهیم کرد
و بهتره یک CISO هم این دید رو داشته باشه:
مسدود کردن کامل پاورشل در سازمانها (که خیلی روتین شده) ؛ واکنشی است که در امنیت سایبری میتوان به آن نام امنیت با محدودیت و فلج سازی گذاشت . اگرچه این کار در نگاه اول سطح حمله را کاهش میدهد، اما در درازمدت یک استراتژی اشتباه و ناپایدار است.
Disabling PowerShell is a tactical response, not a risk-based security strategy.
یکساعت کامل در کلاس CISO در موردش بحث خواهیم کرد
❤5💯1
آکادمی آموزش روزبه 📚
این نظر منه و بهتره یک CISO هم این دید رو داشته باشه: مسدود کردن کامل پاورشل در سازمانها (که خیلی روتین شده) ؛ واکنشی است که در امنیت سایبری میتوان به آن نام امنیت با محدودیت و فلج سازی گذاشت . اگرچه این کار در نگاه اول سطح حمله را کاهش میدهد، اما در درازمدت…
در مورد پاورشل پست قبل رو گذاشتم که با توجه به برخی نطرات لازم دیدم اصل وجود پاورشل و مزایا رو بررسی کنم
بستن پاورشل در سازمان بدون انجام آنالیز ریسک، یکی از رایجترین تصمیمهای احساسی در حوزه امنیت است؛ تصمیمی که در ظاهر ریسک را کم میکند اما در عمل، توان عملیاتی سازمان را کاهش میدهد. پاورشل فقط یک خط فرمان نیست، بلکه لایه اصلی مدیریت، مانیتورینگ و دفاع در سیستمعامل ویندوز محسوب میشود.
پاورشل ابزار اصلی ادمین برای استانداردسازی تنظیمات، خودکارسازی عملیات، اعمال Baselineهای امنیتی و کنترل تغییرات است. بدون آن، مدیریت به کارهای دستی و پراکنده تبدیل میشود؛ یعنی افزایش خطای انسانی، نبود قابلیت Audit و شکلگیری تدریجی Configuration Drift. این دقیقاً همان وضعیتی است که مهاجم از آن بهره میبرد. با بستن پاورشل شما Agility را از سازمان میگیرید و کار گل بزرگی به تیم IT تحمیل میکنید.
از منظر امنیتی، پاورشل برای تیم آبی یک ابزار حیاتی دید و تحلیل است. بررسی وضعیت Credential Guard، شناسایی Local Adminهای غیرمجاز، کشف Scheduled Taskهای مشکوک، استخراج هدفمند Event Logها و حتی Threat Hunting پیشرفته، همگی به پاورشل وابستهاند. بستن آن یعنی کور کردن تیم امنیت و وابستهکردن کامل سازمان به خروجی EDRها.
در Incident Response، پاورشل نقش کلیدی دارد. جمعآوری شواهد، ایزولهسازی سیستم، مقایسه وضعیت قبل و بعد از حادثه و اجرای Playbookهای پاسخ به رخداد بدون پاورشل یا غیرممکن است یا بسیار کند. در این شرایط، مهاجم همواره یک قدم جلوتر است.
پاورشل ذاتاً خطرناک نیست؛ بلکه مدیریتنشده خطرناک است. قابلیتهایی مثل AMSI، Script Block Logging، Constrained Language Mode و JEA دقیقاً برای کنترل ریسک طراحی شدهاند. رویکرد بالغ امنیتی، حذف ابزار نیست؛ مدیریت هوشمندانه آن بر اساس ریسک واقعی سازمان است.
🎉 بعنوان مدیر CISO با مدیریت درست ریسک ، توانمند ساز بیزنس باشید نه مانع کسب کار
بستن پاورشل در سازمان بدون انجام آنالیز ریسک، یکی از رایجترین تصمیمهای احساسی در حوزه امنیت است؛ تصمیمی که در ظاهر ریسک را کم میکند اما در عمل، توان عملیاتی سازمان را کاهش میدهد. پاورشل فقط یک خط فرمان نیست، بلکه لایه اصلی مدیریت، مانیتورینگ و دفاع در سیستمعامل ویندوز محسوب میشود.
پاورشل ابزار اصلی ادمین برای استانداردسازی تنظیمات، خودکارسازی عملیات، اعمال Baselineهای امنیتی و کنترل تغییرات است. بدون آن، مدیریت به کارهای دستی و پراکنده تبدیل میشود؛ یعنی افزایش خطای انسانی، نبود قابلیت Audit و شکلگیری تدریجی Configuration Drift. این دقیقاً همان وضعیتی است که مهاجم از آن بهره میبرد. با بستن پاورشل شما Agility را از سازمان میگیرید و کار گل بزرگی به تیم IT تحمیل میکنید.
از منظر امنیتی، پاورشل برای تیم آبی یک ابزار حیاتی دید و تحلیل است. بررسی وضعیت Credential Guard، شناسایی Local Adminهای غیرمجاز، کشف Scheduled Taskهای مشکوک، استخراج هدفمند Event Logها و حتی Threat Hunting پیشرفته، همگی به پاورشل وابستهاند. بستن آن یعنی کور کردن تیم امنیت و وابستهکردن کامل سازمان به خروجی EDRها.
در Incident Response، پاورشل نقش کلیدی دارد. جمعآوری شواهد، ایزولهسازی سیستم، مقایسه وضعیت قبل و بعد از حادثه و اجرای Playbookهای پاسخ به رخداد بدون پاورشل یا غیرممکن است یا بسیار کند. در این شرایط، مهاجم همواره یک قدم جلوتر است.
پاورشل ذاتاً خطرناک نیست؛ بلکه مدیریتنشده خطرناک است. قابلیتهایی مثل AMSI، Script Block Logging، Constrained Language Mode و JEA دقیقاً برای کنترل ریسک طراحی شدهاند. رویکرد بالغ امنیتی، حذف ابزار نیست؛ مدیریت هوشمندانه آن بر اساس ریسک واقعی سازمان است.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5👍2💯1
تعویض رمز عبور حساب krbtgt؛ یکی از حیاتیترین اقدامات مقاوم سازی Active Directory
در میان تمام اقدامات امنیتی Active Directory، چرخش رمز عبور حساب krbtgt جزو کارهایی است که معمولاً به تعویق میافتد؛ نه بهخاطر بیاهمیت بودن، بلکه بهدلیل حساسیت و ریسک عملیاتی آن. در حالی که همین اقدام مستقیماً یکی از خطرناکترین سناریوهای Kerberos، یعنی Golden Ticket، را خنثی میکند.
چرا krbtgt اینقدر مهم است؟
حساب krbtgt کلید امضای بلیتهای Kerberos در دامنه است. اگر مهاجمی به هش این حساب دسترسی پیدا کند، میتواند بلیتهای جعلی Kerberos بسازد که عملاً تاریخ انقضا ندارند و برای همیشه معتبر میمانند. این یعنی پایداری کامل در دامنه بدون نیاز به اجرای مجدد اکسپلویتها.
تنها راه بیاثرکردن این بلیتها، تعویض رمز عبور krbtgt است؛ زیرا با تغییر کلید امضا، تمام بلیتهای قبلی نامعتبر میشوند.
روش صحیح تعویض krbtgt
فرآیند چرخش krbtgt ساده به نظر میرسد، اما ترتیب و دقت در اجرا حیاتی است:
- یکبار رمز عبور krbtgt را ریست کنید (از طریق ADUC یا اسکریپت).
- صبر کنید تا Replication بین تمام Domain Controllerها کامل و بدون خطا انجام شود (معمولاً 24 ساعت).
- سلامت Replication و لاگها را بررسی کنید.
- اطمینان حاصل کنید تمام DCها نسخهٔ جدید krbtgt را دارند.
- بار دوم، مجدداً رمز عبور krbtgt را ریست کنید.
چرا ریست دوم مهم است؟
ریست اول یک کلید جدید ایجاد میکند، اما بلیتهایی که با کلید قبلی صادر شدهاند ممکن است همچنان معتبر بمانند.
ریست دوم تضمین میکند هیچ بلیتی با کلید قدیمی در دامنه قابل استفاده نیست. این مرحله عملاً Golden Ticket را از ریشه قطع میکند.
چکلیست عملیاتی پیشنهادی
- قبل از هر کاری، Replication را کاملاً بررسی کنید.
- ریست اول krbtgt.
- تأیید Replication بدون خطا و تأخیر.
- ریست دوم krbtgt.
- مانیتورینگ لاگهای Kerberos و احراز هویت پس از عملیات.
اگر Replication سالم باشد، این فرآیند نباید باعث اختلال غیرعادی در احراز هویت شود.
در میان تمام اقدامات امنیتی Active Directory، چرخش رمز عبور حساب krbtgt جزو کارهایی است که معمولاً به تعویق میافتد؛ نه بهخاطر بیاهمیت بودن، بلکه بهدلیل حساسیت و ریسک عملیاتی آن. در حالی که همین اقدام مستقیماً یکی از خطرناکترین سناریوهای Kerberos، یعنی Golden Ticket، را خنثی میکند.
چرا krbtgt اینقدر مهم است؟
حساب krbtgt کلید امضای بلیتهای Kerberos در دامنه است. اگر مهاجمی به هش این حساب دسترسی پیدا کند، میتواند بلیتهای جعلی Kerberos بسازد که عملاً تاریخ انقضا ندارند و برای همیشه معتبر میمانند. این یعنی پایداری کامل در دامنه بدون نیاز به اجرای مجدد اکسپلویتها.
تنها راه بیاثرکردن این بلیتها، تعویض رمز عبور krbtgt است؛ زیرا با تغییر کلید امضا، تمام بلیتهای قبلی نامعتبر میشوند.
روش صحیح تعویض krbtgt
فرآیند چرخش krbtgt ساده به نظر میرسد، اما ترتیب و دقت در اجرا حیاتی است:
- یکبار رمز عبور krbtgt را ریست کنید (از طریق ADUC یا اسکریپت).
- صبر کنید تا Replication بین تمام Domain Controllerها کامل و بدون خطا انجام شود (معمولاً 24 ساعت).
- سلامت Replication و لاگها را بررسی کنید.
- اطمینان حاصل کنید تمام DCها نسخهٔ جدید krbtgt را دارند.
- بار دوم، مجدداً رمز عبور krbtgt را ریست کنید.
چرا ریست دوم مهم است؟
ریست اول یک کلید جدید ایجاد میکند، اما بلیتهایی که با کلید قبلی صادر شدهاند ممکن است همچنان معتبر بمانند.
ریست دوم تضمین میکند هیچ بلیتی با کلید قدیمی در دامنه قابل استفاده نیست. این مرحله عملاً Golden Ticket را از ریشه قطع میکند.
چکلیست عملیاتی پیشنهادی
- قبل از هر کاری، Replication را کاملاً بررسی کنید.
- ریست اول krbtgt.
- تأیید Replication بدون خطا و تأخیر.
- ریست دوم krbtgt.
- مانیتورینگ لاگهای Kerberos و احراز هویت پس از عملیات.
اگر Replication سالم باشد، این فرآیند نباید باعث اختلال غیرعادی در احراز هویت شود.
❤3👏2
آکادمی آموزش روزبه 📚
در مورد پاورشل پست قبل رو گذاشتم که با توجه به برخی نطرات لازم دیدم اصل وجود پاورشل و مزایا رو بررسی کنم بستن پاورشل در سازمان بدون انجام آنالیز ریسک، یکی از رایجترین تصمیمهای احساسی در حوزه امنیت است؛ تصمیمی که در ظاهر ریسک را کم میکند اما در عمل، توان…
باز هم بحث پاورشل
این بار جواب به مغالطه فلسفی
مساله :
دوستی عنوان کرد که چون در ایران هانت و فارنزیک ضعیف است، پس PowerShell را نباید روی کلاینتها فعال کرد
من چه میگویم؟
در این بحث، اگر از منظر فلسفهٔ استدلال و فلسفهٔ علم نگاه کنیم، استدلال «چون در ایران هانت و فارنزیک ضعیف است، پس PowerShell را نباید روی کلاینتها فعال کرد» نمونهای روشن از مغالطهٔ فلسفی است، نه یک تحلیل عقلانی.
نخستین خطا، استنتاج از فقدان است. نبودِ یک توانمندی (هانت و فارنزیک) بهعنوان دلیل برای حذف یک قابلیت دیگر به کار میرود. در منطق، فقدانِ ابزار شناخت هرگز دلیلی برای نفیِ موضوع شناخت نیست. این استدلال شبیه این است که بگوییم چون میکروسکوپ نداریم، مطالعهٔ بیماریهای میکروسکوپی بیمعناست. مشکل در ابزار فهم است، نه در موضوع.
دومین مغالطه، علیت معکوس است. در فلسفهٔ علم، ابزار مشاهده و دادهسازی مقدم بر تحلیل و نظریهاند. اما این استدلال میگوید چون تحلیل نداریم، پس منبع داده را حذف کنیم. به بیان دیگر، فقدان تحلیل بهجای آنکه انگیزهای برای ایجاد ابزار شود، به توجیه حذف آن تبدیل شده است.
سوم، این دیدگاه گرفتار تعصب وضع موجود است. وضعیت فعلی سازمان یا کشور بهعنوان معیار حقیقت و عقلانیت فرض میشود؛ در حالیکه عقلانیت علمی دقیقاً برای عبور از محدودیت وضعیت موجود شکل میگیرد، نه تثبیت آن.
در نهایت، این استدلال نمونهای از تبدیل جهل به اصل تصمیمسازی است. ندانستن یا ناتوانی عملی بهجای آنکه مسئله تلقی شود، به مبنای سیاستگذاری ارتقا داده میشود. از منظر فلسفی، چنین منطقی نهتنها امنیت تولید نمیکند، بلکه آگاهانه انتخاب میکند که «کمتر ببیند» تا با واقعیت تهدید مواجه نشود.
این بار جواب به مغالطه فلسفی
مساله :
دوستی عنوان کرد که چون در ایران هانت و فارنزیک ضعیف است، پس PowerShell را نباید روی کلاینتها فعال کرد
من چه میگویم؟
در این بحث، اگر از منظر فلسفهٔ استدلال و فلسفهٔ علم نگاه کنیم، استدلال «چون در ایران هانت و فارنزیک ضعیف است، پس PowerShell را نباید روی کلاینتها فعال کرد» نمونهای روشن از مغالطهٔ فلسفی است، نه یک تحلیل عقلانی.
نخستین خطا، استنتاج از فقدان است. نبودِ یک توانمندی (هانت و فارنزیک) بهعنوان دلیل برای حذف یک قابلیت دیگر به کار میرود. در منطق، فقدانِ ابزار شناخت هرگز دلیلی برای نفیِ موضوع شناخت نیست. این استدلال شبیه این است که بگوییم چون میکروسکوپ نداریم، مطالعهٔ بیماریهای میکروسکوپی بیمعناست. مشکل در ابزار فهم است، نه در موضوع.
دومین مغالطه، علیت معکوس است. در فلسفهٔ علم، ابزار مشاهده و دادهسازی مقدم بر تحلیل و نظریهاند. اما این استدلال میگوید چون تحلیل نداریم، پس منبع داده را حذف کنیم. به بیان دیگر، فقدان تحلیل بهجای آنکه انگیزهای برای ایجاد ابزار شود، به توجیه حذف آن تبدیل شده است.
سوم، این دیدگاه گرفتار تعصب وضع موجود است. وضعیت فعلی سازمان یا کشور بهعنوان معیار حقیقت و عقلانیت فرض میشود؛ در حالیکه عقلانیت علمی دقیقاً برای عبور از محدودیت وضعیت موجود شکل میگیرد، نه تثبیت آن.
در نهایت، این استدلال نمونهای از تبدیل جهل به اصل تصمیمسازی است. ندانستن یا ناتوانی عملی بهجای آنکه مسئله تلقی شود، به مبنای سیاستگذاری ارتقا داده میشود. از منظر فلسفی، چنین منطقی نهتنها امنیت تولید نمیکند، بلکه آگاهانه انتخاب میکند که «کمتر ببیند» تا با واقعیت تهدید مواجه نشود.
❤4
بررسی عناوین پیشنهادی برای پایان نامه های کارشناسی ارشد امنیت
این بار : تعیین هویت و الگوریتم های هوش مصنوعی
با دوستی در مورد پایان نامه اش صحبت میکردیم مواردی را به چالش گذاشتیم . کنارش عناوین زیر را که جالب دیدم برای شما میگذارم
⬅️ طراحی سیستم احراز هویت مداوم و سبکوزن (Lightweight) در لبه شبکه با استفاده از معماریهای فضای حالت (Mamba)
تمرکز:
- کارایی انرژی در موبایل و IoT
- State Space Models (SSMs)
- Continuous Authentication
نوآوری: جایگزینی معماری Transformer با معماری Mamba برای دستیابی به پیچیدگی خطی و کاهش تأخیر در پردازش دادههای رفتاری طولانی
⬅️ سیستم تعیین هویت چندعامله مقاوم در برابر نقص داده (Missing Modality) با مکانیزم توجه متقاطع (Cross-Attention)
تمرکز:
- Robust Multimodal Fusion
- جبران نویز محیطی یا قطعی سنسور
نوآوری: استفاده از Cross-Attention برای بازسازی ویژگیهای مودالیته مفقود شده (مثلاً تشخیص هویت وقتی تصویر تار است اما صدا واضح است)
⬅️ طراحی چارچوب احراز هویت مبتنی بر یادگیری تجمیعی شخصیسازی شده (Personalized FL) مقاوم در برابر حملات مسمومسازی مدل
تمرکز:
- Non-IID Data Handling
- Model Poisoning Defense
نوآوری: ارائه الگوریتم تجمیعی جدید که همزمان با حفظ حریم خصوصی، تغییرات مخرب (Malicious Updates) را در دادههای غیرهمگون کاربران شناسایی و حذف میکند
⬅️ مقابله با جعل هویت ناشی از مدلهای انتشار (Diffusion Models) با استفاده از تحلیل ناسازگاریهای فرکانسی و بافتی
تمرکز:
- Diffusion-based Deepfake Detection
- GenAI Threats
نوآوری: تمرکز بر کشف آرتیفکتهای خاص مدلهای Stable Diffusion و Midjourney به جای مدلهای قدیمی GAN با استفاده از تبدیلهای فرکانسی پیشرفته
⬅️ تشخیص ناهنجاریهای هویتی پیشرفته و حملات روز صفر با استفاده از یادگیری تضادی (Contrastive Learning)
تمرکز:
- Self-Supervised Learning
- Behavioral Graphs
نوآوری: استفاده از رویکرد SimCLR یا MoCo برای یادگیری نمایشهای رفتاری غنی بدون نیاز به برچسب، جهت افزایش دقت نسبت به Autoencoderهای سنتی
🐣الگوریتمها و معماریهای اصلی
CNN
ResNet
EfficientNet
Vision Transformer (ViT)
Transformer Encoder
Self‑Attention
LSTM
GRU
Bi‑LSTM
Temporal CNN
Siamese Network
Triplet Loss
Contrastive Loss
Autoencoder
Variational Autoencoder (VAE)
One‑Class SVM
Isolation Forest
DBSCAN
k‑Means
Attention‑Based Fusion
Ensemble Learning
Generative Adversarial Network (GAN)
Adversarial Training
Capsule Network
Federated Learning
Federated Averaging (FedAvg)
FedProx
Differential Privacy (DP‑SGD)
Secure Aggregation
Knowledge Distillation
Quantization‑Aware Training
MobileNet
این بار : تعیین هویت و الگوریتم های هوش مصنوعی
با دوستی در مورد پایان نامه اش صحبت میکردیم مواردی را به چالش گذاشتیم . کنارش عناوین زیر را که جالب دیدم برای شما میگذارم
⬅️ طراحی سیستم احراز هویت مداوم و سبکوزن (Lightweight) در لبه شبکه با استفاده از معماریهای فضای حالت (Mamba)
تمرکز:
- کارایی انرژی در موبایل و IoT
- State Space Models (SSMs)
- Continuous Authentication
نوآوری: جایگزینی معماری Transformer با معماری Mamba برای دستیابی به پیچیدگی خطی و کاهش تأخیر در پردازش دادههای رفتاری طولانی
⬅️ سیستم تعیین هویت چندعامله مقاوم در برابر نقص داده (Missing Modality) با مکانیزم توجه متقاطع (Cross-Attention)
تمرکز:
- Robust Multimodal Fusion
- جبران نویز محیطی یا قطعی سنسور
نوآوری: استفاده از Cross-Attention برای بازسازی ویژگیهای مودالیته مفقود شده (مثلاً تشخیص هویت وقتی تصویر تار است اما صدا واضح است)
⬅️ طراحی چارچوب احراز هویت مبتنی بر یادگیری تجمیعی شخصیسازی شده (Personalized FL) مقاوم در برابر حملات مسمومسازی مدل
تمرکز:
- Non-IID Data Handling
- Model Poisoning Defense
نوآوری: ارائه الگوریتم تجمیعی جدید که همزمان با حفظ حریم خصوصی، تغییرات مخرب (Malicious Updates) را در دادههای غیرهمگون کاربران شناسایی و حذف میکند
⬅️ مقابله با جعل هویت ناشی از مدلهای انتشار (Diffusion Models) با استفاده از تحلیل ناسازگاریهای فرکانسی و بافتی
تمرکز:
- Diffusion-based Deepfake Detection
- GenAI Threats
نوآوری: تمرکز بر کشف آرتیفکتهای خاص مدلهای Stable Diffusion و Midjourney به جای مدلهای قدیمی GAN با استفاده از تبدیلهای فرکانسی پیشرفته
⬅️ تشخیص ناهنجاریهای هویتی پیشرفته و حملات روز صفر با استفاده از یادگیری تضادی (Contrastive Learning)
تمرکز:
- Self-Supervised Learning
- Behavioral Graphs
نوآوری: استفاده از رویکرد SimCLR یا MoCo برای یادگیری نمایشهای رفتاری غنی بدون نیاز به برچسب، جهت افزایش دقت نسبت به Autoencoderهای سنتی
🐣الگوریتمها و معماریهای اصلی
CNN
ResNet
EfficientNet
Vision Transformer (ViT)
Transformer Encoder
Self‑Attention
LSTM
GRU
Bi‑LSTM
Temporal CNN
Siamese Network
Triplet Loss
Contrastive Loss
Autoencoder
Variational Autoencoder (VAE)
One‑Class SVM
Isolation Forest
DBSCAN
k‑Means
Attention‑Based Fusion
Ensemble Learning
Generative Adversarial Network (GAN)
Adversarial Training
Capsule Network
Federated Learning
Federated Averaging (FedAvg)
FedProx
Differential Privacy (DP‑SGD)
Secure Aggregation
Knowledge Distillation
Quantization‑Aware Training
MobileNet
❤3
در ادامه کمک به اون دوستم چند مقاله ای که خونده بودم رو خلاصه کردم براتون میگذارم
ترکیب الگوریتم های یادگیری CNN و LSTM در تشخیص آلودگی ترافیک رمزشده
با گسترش استفاده از رمزنگاری سرتاسری (TLS/HTTPS)، تحلیل محتوای بستهها برای تشخیص آلودگی عملاً غیرممکن شده و تمرکز پژوهشها به سمت تحلیل الگوهای رفتاری ترافیک سوق یافته است. در این میان، مدلهای Deep Learning بهویژه ترکیب CNN و LSTM بهعنوان یکی از رویکردهای مؤثر برای تشخیص ترافیک مخرب در محیطهای رمزشده مطرح شدهاند.
در این معماری ترکیبی، CNN (Convolutional Neural Network) مسئول استخراج الگوهای محلی از توالی ویژگیهای ترافیکی است. بهجای تصویر، ورودی CNN معمولاً توالیهایی مانند اندازه پکتها (Packet Size Sequence) یا دنبالهی جهتدار ارسال و دریافت هستند. CNN با استفاده از کانولوشن یکبعدی، الگوهای کوتاهمدت مانند burstهای غیرعادی، handshakeهای غیرمتعارف یا رفتارهای خاص C2 را شناسایی میکند؛ الگوهایی که بهسختی با Feature Engineering سنتی قابل استخراجاند.
در گام بعد، خروجی CNN به LSTM (Long Short-Term Memory) داده میشود تا وابستگیهای زمانی بلندمدت مدلسازی شوند. LSTM بهطور خاص در تشخیص رفتارهای دورهای (Beaconing)، زمانبندی منظم ارتباطات و الگوهای تکرارشوندهی بدافزارها عملکرد بالایی دارد؛ ویژگیهایی که در ترافیک benign معمولاً ساختارمند و پایدار نیستند.
مزیت اصلی این ترکیب، تفکیک نقشهاست: CNN بهعنوان استخراجکنندهی الگوی محلی و LSTM بهعنوان مدلکنندهی پویایی زمانی. با این حال، چالش اصلی چنین رویکردی کاهش تفسیرپذیری و افزایش پیچیدگی محاسباتی است؛ موضوعی که استفاده از تکنیکهای XAI مانند saliency maps و temporal attribution را ضروری میکند.
در مجموع، مدلهای CNN+LSTM ابزار قدرتمندی برای تشخیص آلودگی در ترافیک رمزشده هستند، بهویژه زمانی که هدف کشف الگوهای رفتاری پیچیده فراتر از قواعد ایستا و مدلهای کلاسیک باشد.
#هوش_مصنوعی #یادگیری_ماشین
ترکیب الگوریتم های یادگیری CNN و LSTM در تشخیص آلودگی ترافیک رمزشده
با گسترش استفاده از رمزنگاری سرتاسری (TLS/HTTPS)، تحلیل محتوای بستهها برای تشخیص آلودگی عملاً غیرممکن شده و تمرکز پژوهشها به سمت تحلیل الگوهای رفتاری ترافیک سوق یافته است. در این میان، مدلهای Deep Learning بهویژه ترکیب CNN و LSTM بهعنوان یکی از رویکردهای مؤثر برای تشخیص ترافیک مخرب در محیطهای رمزشده مطرح شدهاند.
در این معماری ترکیبی، CNN (Convolutional Neural Network) مسئول استخراج الگوهای محلی از توالی ویژگیهای ترافیکی است. بهجای تصویر، ورودی CNN معمولاً توالیهایی مانند اندازه پکتها (Packet Size Sequence) یا دنبالهی جهتدار ارسال و دریافت هستند. CNN با استفاده از کانولوشن یکبعدی، الگوهای کوتاهمدت مانند burstهای غیرعادی، handshakeهای غیرمتعارف یا رفتارهای خاص C2 را شناسایی میکند؛ الگوهایی که بهسختی با Feature Engineering سنتی قابل استخراجاند.
در گام بعد، خروجی CNN به LSTM (Long Short-Term Memory) داده میشود تا وابستگیهای زمانی بلندمدت مدلسازی شوند. LSTM بهطور خاص در تشخیص رفتارهای دورهای (Beaconing)، زمانبندی منظم ارتباطات و الگوهای تکرارشوندهی بدافزارها عملکرد بالایی دارد؛ ویژگیهایی که در ترافیک benign معمولاً ساختارمند و پایدار نیستند.
مزیت اصلی این ترکیب، تفکیک نقشهاست: CNN بهعنوان استخراجکنندهی الگوی محلی و LSTM بهعنوان مدلکنندهی پویایی زمانی. با این حال، چالش اصلی چنین رویکردی کاهش تفسیرپذیری و افزایش پیچیدگی محاسباتی است؛ موضوعی که استفاده از تکنیکهای XAI مانند saliency maps و temporal attribution را ضروری میکند.
در مجموع، مدلهای CNN+LSTM ابزار قدرتمندی برای تشخیص آلودگی در ترافیک رمزشده هستند، بهویژه زمانی که هدف کشف الگوهای رفتاری پیچیده فراتر از قواعد ایستا و مدلهای کلاسیک باشد.
#هوش_مصنوعی #یادگیری_ماشین
❤3
خلاصه معماری امن n8n برای SOC
ابزار n8n در SOC نباید بهعنوان یک ابزار ساده Automation دیده شود، بلکه باید مانند یک لایه Orchestration با سطح دسترسی بسیار بالا طراحی و حاکمیتگذاری شود. جایگاه درست n8n بین ابزارهای تشخیص (SIEM/EDR) و ابزارهای اجرایی (Firewall، EDR، IAM) است و نقش آن اجرای تصمیمات SOC، نه تصمیمگیری مستقل، میباشد.
در معماری امن، n8n باید در یک Automation Zone مجزا مستقر شود و ارتباط آن با سایر سامانهها فقط از طریق API Gateway و شبکهای با Egress کنترلشده صورت گیرد. احراز هویت مبتنی بر SSO و MFA الزامی است و کنترل دسترسی باید تفکیکشده باشد؛ بهطوری که هیچ کاربری همزمان توانایی طراحی Workflow و مدیریت Secrets را نداشته باشد.
ذخیرهسازی Credential داخل n8n یک ریسک جدی است؛ بنابراین تمامی Secrets باید از طریق Vault یا Key Management System خارجی تأمین شوند. Workflowها باید بر اساس سطح ریسک (Low، Medium، High) طبقهبندی شوند و برای اقدامات مخرب، Human‑in‑the‑Loop و Kill‑Switch الزامی باشد.
در نهایت، لاگ کامل اجراها باید به SIEM ارسال شود و n8n روی زیرساخت Hardened اجرا گردد. چنین معماریای n8n را از یک ابزار پرریسک به یک توانمندساز امن SOC تبدیل میکند.
ابزار n8n در SOC نباید بهعنوان یک ابزار ساده Automation دیده شود، بلکه باید مانند یک لایه Orchestration با سطح دسترسی بسیار بالا طراحی و حاکمیتگذاری شود. جایگاه درست n8n بین ابزارهای تشخیص (SIEM/EDR) و ابزارهای اجرایی (Firewall، EDR، IAM) است و نقش آن اجرای تصمیمات SOC، نه تصمیمگیری مستقل، میباشد.
در معماری امن، n8n باید در یک Automation Zone مجزا مستقر شود و ارتباط آن با سایر سامانهها فقط از طریق API Gateway و شبکهای با Egress کنترلشده صورت گیرد. احراز هویت مبتنی بر SSO و MFA الزامی است و کنترل دسترسی باید تفکیکشده باشد؛ بهطوری که هیچ کاربری همزمان توانایی طراحی Workflow و مدیریت Secrets را نداشته باشد.
ذخیرهسازی Credential داخل n8n یک ریسک جدی است؛ بنابراین تمامی Secrets باید از طریق Vault یا Key Management System خارجی تأمین شوند. Workflowها باید بر اساس سطح ریسک (Low، Medium، High) طبقهبندی شوند و برای اقدامات مخرب، Human‑in‑the‑Loop و Kill‑Switch الزامی باشد.
در نهایت، لاگ کامل اجراها باید به SIEM ارسال شود و n8n روی زیرساخت Hardened اجرا گردد. چنین معماریای n8n را از یک ابزار پرریسک به یک توانمندساز امن SOC تبدیل میکند.
❤12🔥3
🍉هدیه یلدای من برای شما ایرانیان :
و اینهم گذراندم : دوره رسمی ISSMP مدیر عالی امنیت سایبری
ISSMP: Information Security System Management Professional from ISC2
اگر جویای دانش هستید این دوره عظیم را همراه با تجربیات عملی خودم با شما به اشتراک خواهم گذاشت.
و اینهم گذراندم : دوره رسمی ISSMP مدیر عالی امنیت سایبری
ISSMP: Information Security System Management Professional from ISC2
اگر جویای دانش هستید این دوره عظیم را همراه با تجربیات عملی خودم با شما به اشتراک خواهم گذاشت.
🔥7👏5👍3😍3
با جمع بندی نهایی با استاد روزبه و شرکت هامون قرار شد دوره جامع CISO به شکل زیر برگزار شود و شرکت هامون ۲۰ درصد از هزینه ها رو متقبل شود.
🎉 دوره آفلاین CISO
با توجه به مشغله های مخاطبان این دوره که مدیران امنیت و IT هستند و همچنین پروژه های استاد روزبه ؛ تصمیم گرفته شد دوره CISO بصورت آفلاین برگزار شود ۲۴ ساعت
در این دوره؛ اول هر هفته یک رکورد از استاد برای دانشجو در پلتفرم اختصاصی بارگزاری میشود که فایل فقط در آن پلتفرم قابل مشاهده است .
همچنین گروهی تلگرامی ایجاد میشود که چهارشنبه ها بین ۲۱تا ۲۲ شب استاد به سوالات پاسخ خواهند داد و رفع اشکال انجام میشود
هزینه این دوره با تخفیف بیش از ۲۰ درصدی شرکت هامون ۹ م و ۸۰۰ است که مدرک شرکت در دوره هم از سوی شرکت هامون صادر میشود
🔆دوره تکمیلی :
برای تقویت دانشجویان و ارزیابی آموخته ها و انجام کار عملی ؛ علاوه بر این دوره کارگاه حضوری و آزمون برگزار خواهد شد که اجباری نیست
هزینه کارگاه و آزمون ۳ م تومان است و جدای از دوره بعد از دوره برگزار میشود
💐 نکته:
استاد روزبه در دوره اصلی تمام مطالب را پوشش خواهند داد و دوره تکمیلی فقط برای تقویت سواد دوستان است و در دوره اصلی چیزی باقی نمیماند که آموزش داده نشده باشد
✔️مدیریت آموزش شرکت هامون و آکادمی روزبه
واتس اپ و بله 09902857290
Www.haumoun.com
با توجه به مشغله های مخاطبان این دوره که مدیران امنیت و IT هستند و همچنین پروژه های استاد روزبه ؛ تصمیم گرفته شد دوره CISO بصورت آفلاین برگزار شود ۲۴ ساعت
در این دوره؛ اول هر هفته یک رکورد از استاد برای دانشجو در پلتفرم اختصاصی بارگزاری میشود که فایل فقط در آن پلتفرم قابل مشاهده است .
همچنین گروهی تلگرامی ایجاد میشود که چهارشنبه ها بین ۲۱تا ۲۲ شب استاد به سوالات پاسخ خواهند داد و رفع اشکال انجام میشود
هزینه این دوره با تخفیف بیش از ۲۰ درصدی شرکت هامون ۹ م و ۸۰۰ است که مدرک شرکت در دوره هم از سوی شرکت هامون صادر میشود
🔆دوره تکمیلی :
برای تقویت دانشجویان و ارزیابی آموخته ها و انجام کار عملی ؛ علاوه بر این دوره کارگاه حضوری و آزمون برگزار خواهد شد که اجباری نیست
هزینه کارگاه و آزمون ۳ م تومان است و جدای از دوره بعد از دوره برگزار میشود
استاد روزبه در دوره اصلی تمام مطالب را پوشش خواهند داد و دوره تکمیلی فقط برای تقویت سواد دوستان است و در دوره اصلی چیزی باقی نمیماند که آموزش داده نشده باشد
✔️مدیریت آموزش شرکت هامون و آکادمی روزبه
واتس اپ و بله 09902857290
Www.haumoun.com
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3
خیلی خوشحالم از وجود بدنه باسواد و دغدغه مند در سازمانهای کشور که از دیروز که اعلامیه دوره CISO درج شد تماسها برای برگزاری دوره شروع شد.
فعلا برگزاری یک دوره خصوصی درون سازمانی برای یکی از بزرگترین هلدینگ های کشور برنامه ریزی شده است .
شما هم میتوانید با واتس اپ و بله 09902857290 برای سازمان خود برنامه ریزی نمایید .
با احترام روزبه نوروزی
www.haumoun.com
فعلا برگزاری یک دوره خصوصی درون سازمانی برای یکی از بزرگترین هلدینگ های کشور برنامه ریزی شده است .
شما هم میتوانید با واتس اپ و بله 09902857290 برای سازمان خود برنامه ریزی نمایید .
با احترام روزبه نوروزی
www.haumoun.com
❤3