تعویض رمز عبور حساب krbtgt؛ یکی از حیاتی‌ترین اقدامات مقاوم سازی Active Directory


در میان تمام اقدامات امنیتی Active Directory، چرخش رمز عبور حساب krbtgt جزو کارهایی است که معمولاً به تعویق می‌افتد؛ نه به‌خاطر بی‌اهمیت بودن، بلکه به‌دلیل حساسیت و ریسک عملیاتی آن. در حالی که همین اقدام مستقیماً یکی از خطرناک‌ترین سناریوهای Kerberos، یعنی Golden Ticket، را خنثی می‌کند.

چرا krbtgt این‌قدر مهم است؟

حساب krbtgt کلید امضای بلیت‌های Kerberos در دامنه است. اگر مهاجمی به هش این حساب دسترسی پیدا کند، می‌تواند بلیت‌های جعلی Kerberos بسازد که عملاً تاریخ انقضا ندارند و برای همیشه معتبر می‌مانند. این یعنی پایداری کامل در دامنه بدون نیاز به اجرای مجدد اکسپلویت‌ها.

تنها راه بی‌اثرکردن این بلیت‌ها، تعویض رمز عبور krbtgt است؛ زیرا با تغییر کلید امضا، تمام بلیت‌های قبلی نامعتبر می‌شوند.

روش صحیح تعویض krbtgt

فرآیند چرخش krbtgt ساده به نظر می‌رسد، اما ترتیب و دقت در اجرا حیاتی است:

- یک‌بار رمز عبور krbtgt را ریست کنید (از طریق ADUC یا اسکریپت).
- صبر کنید تا Replication بین تمام Domain Controllerها کامل و بدون خطا انجام شود (معمولاً 24 ساعت).
- سلامت Replication و لاگ‌ها را بررسی کنید.
- اطمینان حاصل کنید تمام DCها نسخهٔ جدید krbtgt را دارند.
- بار دوم، مجدداً رمز عبور krbtgt را ریست کنید.

چرا ریست دوم مهم است؟

ریست اول یک کلید جدید ایجاد می‌کند، اما بلیت‌هایی که با کلید قبلی صادر شده‌اند ممکن است همچنان معتبر بمانند.
ریست دوم تضمین می‌کند هیچ بلیتی با کلید قدیمی در دامنه قابل استفاده نیست. این مرحله عملاً Golden Ticket را از ریشه قطع می‌کند.

چک‌لیست عملیاتی پیشنهادی

- قبل از هر کاری، Replication را کاملاً بررسی کنید.
- ریست اول krbtgt.
- تأیید Replication بدون خطا و تأخیر.
- ریست دوم krbtgt.
- مانیتورینگ لاگ‌های Kerberos و احراز هویت پس از عملیات.

اگر Replication سالم باشد، این فرآیند نباید باعث اختلال غیرعادی در احراز هویت شود.

باز هم بحث پاورشل
این بار جواب به مغالطه فلسفی

مساله :
دوستی عنوان کرد که چون در ایران هانت و فارنزیک ضعیف است، پس PowerShell را نباید روی کلاینت‌ها فعال کرد


من چه می‌گویم؟

در این بحث، اگر از منظر فلسفهٔ استدلال و فلسفهٔ علم نگاه کنیم، استدلال «چون در ایران هانت و فارنزیک ضعیف است، پس PowerShell را نباید روی کلاینت‌ها فعال کرد» نمونه‌ای روشن از مغالطهٔ فلسفی است، نه یک تحلیل عقلانی.

نخستین خطا، استنتاج از فقدان است. نبودِ یک توانمندی (هانت و فارنزیک) به‌عنوان دلیل برای حذف یک قابلیت دیگر به کار می‌رود. در منطق، فقدانِ ابزار شناخت هرگز دلیلی برای نفیِ موضوع شناخت نیست. این استدلال شبیه این است که بگوییم چون میکروسکوپ نداریم، مطالعهٔ بیماری‌های میکروسکوپی بی‌معناست. مشکل در ابزار فهم است، نه در موضوع.

دومین مغالطه، علیت معکوس است. در فلسفهٔ علم، ابزار مشاهده و داده‌سازی مقدم بر تحلیل و نظریه‌اند. اما این استدلال می‌گوید چون تحلیل نداریم، پس منبع داده را حذف کنیم. به بیان دیگر، فقدان تحلیل به‌جای آنکه انگیزه‌ای برای ایجاد ابزار شود، به توجیه حذف آن تبدیل شده است.

سوم، این دیدگاه گرفتار تعصب وضع موجود است. وضعیت فعلی سازمان یا کشور به‌عنوان معیار حقیقت و عقلانیت فرض می‌شود؛ در حالی‌که عقلانیت علمی دقیقاً برای عبور از محدودیت وضعیت موجود شکل می‌گیرد، نه تثبیت آن.

در نهایت، این استدلال نمونه‌ای از تبدیل جهل به اصل تصمیم‌سازی است. ندانستن یا ناتوانی عملی به‌جای آنکه مسئله تلقی شود، به مبنای سیاست‌گذاری ارتقا داده می‌شود. از منظر فلسفی، چنین منطقی نه‌تنها امنیت تولید نمی‌کند، بلکه آگاهانه انتخاب می‌کند که «کمتر ببیند» تا با واقعیت تهدید مواجه نشود.

بررسی عناوین پیشنهادی برای پایان نامه های کارشناسی ارشد امنیت

این بار : تعیین هویت و الگوریتم های هوش مصنوعی



با دوستی در مورد پایان نامه اش صحبت میکردیم مواردی را به چالش گذاشتیم . کنارش عناوین زیر را که جالب دیدم برای شما میگذارم



⬅️ طراحی سیستم احراز هویت مداوم و سبک‌وزن (Lightweight) در لبه شبکه با استفاده از معماری‌های فضای حالت (Mamba)

تمرکز:
- کارایی انرژی در موبایل و IoT
- State Space Models (SSMs)
- Continuous Authentication
نوآوری: جایگزینی معماری Transformer با معماری Mamba برای دستیابی به پیچیدگی خطی و کاهش تأخیر در پردازش داده‌های رفتاری طولانی


⬅️ سیستم تعیین هویت چندعامله مقاوم در برابر نقص داده (Missing Modality) با مکانیزم توجه متقاطع (Cross-Attention)

تمرکز:
- Robust Multimodal Fusion
- جبران نویز محیطی یا قطعی سنسور
نوآوری: استفاده از Cross-Attention برای بازسازی ویژگی‌های مودالیته مفقود شده (مثلاً تشخیص هویت وقتی تصویر تار است اما صدا واضح است)


⬅️ طراحی چارچوب احراز هویت مبتنی بر یادگیری تجمیعی شخصی‌سازی شده (Personalized FL) مقاوم در برابر حملات مسموم‌سازی مدل

تمرکز:
- Non-IID Data Handling
- Model Poisoning Defense
نوآوری: ارائه الگوریتم تجمیعی جدید که هم‌زمان با حفظ حریم خصوصی، تغییرات مخرب (Malicious Updates) را در داده‌های غیرهمگون کاربران شناسایی و حذف می‌کند


⬅️ مقابله با جعل هویت ناشی از مدل‌های انتشار (Diffusion Models) با استفاده از تحلیل ناسازگاری‌های فرکانسی و بافتی

تمرکز:
- Diffusion-based Deepfake Detection
- GenAI Threats
نوآوری: تمرکز بر کشف آرتیفکت‌های خاص مدل‌های Stable Diffusion و Midjourney به جای مدل‌های قدیمی GAN با استفاده از تبدیل‌های فرکانسی پیشرفته


⬅️ تشخیص ناهنجاری‌های هویتی پیشرفته و حملات روز صفر با استفاده از یادگیری تضادی (Contrastive Learning)

تمرکز:
- Self-Supervised Learning
- Behavioral Graphs
نوآوری: استفاده از رویکرد SimCLR یا MoCo برای یادگیری نمایش‌های رفتاری غنی بدون نیاز به برچسب، جهت افزایش دقت نسبت به Autoencoderهای سنتی



🐣الگوریتم‌ها و معماری‌های اصلی

CNN
ResNet
EfficientNet
Vision Transformer (ViT)
Transformer Encoder
Self‑Attention
LSTM
GRU
Bi‑LSTM
Temporal CNN

Siamese Network
Triplet Loss
Contrastive Loss


Autoencoder
Variational Autoencoder (VAE)
One‑Class SVM
Isolation Forest
DBSCAN
k‑Means


Attention‑Based Fusion
Ensemble Learning

Generative Adversarial Network (GAN)
Adversarial Training
Capsule Network

Federated Learning
Federated Averaging (FedAvg)
FedProx
Differential Privacy (DP‑SGD)
Secure Aggregation

Knowledge Distillation
Quantization‑Aware Training
MobileNet

در ادامه کمک به اون دوستم چند مقاله ای که خونده بودم رو خلاصه کردم براتون میگذارم



ترکیب الگوریتم های یادگیری CNN و LSTM در تشخیص آلودگی ترافیک رمز‌شده

با گسترش استفاده از رمزنگاری سرتاسری (TLS/HTTPS)، تحلیل محتوای بسته‌ها برای تشخیص آلودگی عملاً غیرممکن شده و تمرکز پژوهش‌ها به سمت تحلیل الگوهای رفتاری ترافیک سوق یافته است. در این میان، مدل‌های Deep Learning به‌ویژه ترکیب CNN و LSTM به‌عنوان یکی از رویکردهای مؤثر برای تشخیص ترافیک مخرب در محیط‌های رمز‌شده مطرح شده‌اند.

در این معماری ترکیبی، CNN (Convolutional Neural Network) مسئول استخراج الگوهای محلی از توالی ویژگی‌های ترافیکی است. به‌جای تصویر، ورودی CNN معمولاً توالی‌هایی مانند اندازه پکت‌ها (Packet Size Sequence) یا دنباله‌ی جهت‌دار ارسال و دریافت هستند. CNN با استفاده از کانولوشن یک‌بعدی، الگوهای کوتاه‌مدت مانند burstهای غیرعادی، handshakeهای غیرمتعارف یا رفتارهای خاص C2 را شناسایی می‌کند؛ الگوهایی که به‌سختی با Feature Engineering سنتی قابل استخراج‌اند.

در گام بعد، خروجی CNN به LSTM (Long Short-Term Memory) داده می‌شود تا وابستگی‌های زمانی بلندمدت مدل‌سازی شوند. LSTM به‌طور خاص در تشخیص رفتارهای دوره‌ای (Beaconing)، زمان‌بندی منظم ارتباطات و الگوهای تکرارشونده‌ی بدافزارها عملکرد بالایی دارد؛ ویژگی‌هایی که در ترافیک benign معمولاً ساختارمند و پایدار نیستند.

مزیت اصلی این ترکیب، تفکیک نقش‌هاست: CNN به‌عنوان استخراج‌کننده‌ی الگوی محلی و LSTM به‌عنوان مدل‌کننده‌ی پویایی زمانی. با این حال، چالش اصلی چنین رویکردی کاهش تفسیرپذیری و افزایش پیچیدگی محاسباتی است؛ موضوعی که استفاده از تکنیک‌های XAI مانند saliency maps و temporal attribution را ضروری می‌کند.

در مجموع، مدل‌های CNN+LSTM ابزار قدرتمندی برای تشخیص آلودگی در ترافیک رمز‌شده هستند، به‌ویژه زمانی که هدف کشف الگوهای رفتاری پیچیده فراتر از قواعد ایستا و مدل‌های کلاسیک باشد.


#هوش_مصنوعی #یادگیری_ماشین

خلاصه معماری امن n8n برای SOC

ابزار n8n در SOC نباید به‌عنوان یک ابزار ساده Automation دیده شود، بلکه باید مانند یک لایه Orchestration با سطح دسترسی بسیار بالا طراحی و حاکمیت‌گذاری شود. جایگاه درست n8n بین ابزارهای تشخیص (SIEM/EDR) و ابزارهای اجرایی (Firewall، EDR، IAM) است و نقش آن اجرای تصمیمات SOC، نه تصمیم‌گیری مستقل، می‌باشد.

در معماری امن، n8n باید در یک Automation Zone مجزا مستقر شود و ارتباط آن با سایر سامانه‌ها فقط از طریق API Gateway و شبکه‌ای با Egress کنترل‌شده صورت گیرد. احراز هویت مبتنی بر SSO و MFA الزامی است و کنترل دسترسی باید تفکیک‌شده باشد؛ به‌طوری که هیچ کاربری همزمان توانایی طراحی Workflow و مدیریت Secrets را نداشته باشد.

ذخیره‌سازی Credential داخل n8n یک ریسک جدی است؛ بنابراین تمامی Secrets باید از طریق Vault یا Key Management System خارجی تأمین شوند. Workflowها باید بر اساس سطح ریسک (Low، Medium، High) طبقه‌بندی شوند و برای اقدامات مخرب، Human‑in‑the‑Loop و Kill‑Switch الزامی باشد.

در نهایت، لاگ کامل اجراها باید به SIEM ارسال شود و n8n روی زیرساخت Hardened اجرا گردد. چنین معماری‌ای n8n را از یک ابزار پرریسک به یک توانمندساز امن SOC تبدیل می‌کند.

خیلی خوشحالم از وجود بدنه باسواد و دغدغه مند در سازمانهای کشور که از دیروز که اعلامیه دوره CISO درج شد تماس‌ها برای برگزاری دوره شروع شد.


فعلا برگزاری یک دوره خصوصی درون سازمانی برای یکی از بزرگترین هلدینگ های کشور برنامه ریزی شده است .

شما هم میتوانید با واتس اپ و بله 09902857290 برای سازمان خود برنامه ریزی نمایید .

با احترام روزبه نوروزی
www.haumoun.com

حمله تزریق پراسس

#آکادمی_روزبه

مقاله‌ی فوربس پنج مهارت کلیدی را برای موفقیت مدیر ارشد امنیت اطلاعات (CISO) برمی‌شمارد. نخست، مهارت‌های ارتباطی و ترجمه است که CISO باید بتواند ریسک‌های امنیتی را به زبان کسب‌وکار و برای هیئت مدیره توضیح دهد.

دوم، توانایی رهبری و مدیریت تیم، شامل جذب استعدادها و ایجاد فرهنگ امنیتی در سازمان.

سوم، دانش فنی عمیق و به‌روز درباره تهدیدات نوظهور، معماری امنیتی و چارچوب‌هایی مانند NIST و MITRE ATT&CK.

چهارم، تفکر استراتژیک و تجاری برای همسوسازی برنامه امنیت با اهداف سازمان و مدیریت بودجه.

پنجم، تاب‌آوری و مدیریت بحران، که توانایی هدایت پاسخ به حوادث و حفظ تداوم کسب‌وکار را شامل می‌شود.

این مهارت‌ها CISO را از یک متخصص فنی به یک رهبر مؤثر تبدیل می‌کند که می‌تواند امنیت را به عنوان یک ارزش تجاری معرفی کند.


در دوره CISO مدیر ارشد امنیت بیشتر بیاموزیم .


https://www.forbes.com/councils/forbestechcouncil/2025/01/16/five-essential-skills-for-cisos-a-roadmap-to-success-in-cybersecurity-leadership/

مهارتی برای CISO
خطر: دامِ کمیت‌گرایی در استفاده از MITRE

از دیدگاه مدیریت ریسک، استفاده از ماتریس MITRE ATT&CK بدون تحلیلِ بافت کسب‌وکار، CISO را به خطای استراتژیک «معادل‌سازی پوشش فنی با کفایت امنیتی» می‌کشاند. تصور اینکه «پوشش ۸۰٪ تکنیک‌ها برابر با ۸۰٪ کاهش ریسک است»، اشتباهی مهلک است؛ زیرا تکنیک‌های حمله وزن یکسانی ندارند و نفوذ اغلب از طریق یک نقطه ضعف حیاتی رخ می‌دهد، نه میانگین پوشش کلی.

جدول MITRE صرفاً نقشه‌ای از رفتار مهاجم است، نه ابزاری برای سنجش بلوغ یا ROI. اتکای صرف به پر کردن خانه‌های این ماتریس، منجر به انحراف بودجه می‌شود؛ مانند تمرکز افراطی بر ابزارهای تشخیص (Detection) و غفلت از تاب‌آوری (Resilience).

فرمول صحیح دفاعی باید به جای «تعداد تکنیک‌های مسدود شده»، بر اساس «اثر هر تکنیک بر دارایی‌های حیاتی» بنا شود. بدون این رویکرد، سازمان تنها با یک امنیت ساختگی و کاغذی روبرو خواهد بود، نه کاهش واقعی ریسک.

در دوره CISO بیشتر بیاموزیم
شرکت پیشگامان فناوری اطلاعات هامون
www.haumoun.com

علاقمندان میتونن متون و مفاهیم تحلیلی و عمیق امنیت که بصورت سلسله مقالات و مرحله ای در Substack منتشر میشود رو در لینک زیر دنبال کنند


نکته: در نسخه Substack App اگر متن شامل کلمات انگلیسی و فارسی باشد بهم ریخته نشان داده می‌شود پس بهتر است در نسخه وب مقالات را مشاهده نمایید


https://substack.com/@roozbehnoroozi?utm_source=notes-invite-friends-item&r=739xgp

چرا SOC های ما ناکارآمدند؟



در سلسله مقالاتی در سطح استراتژیک تا تاکتیکی و فنی دلایل تاکارمدی SOC ها را بررسی خواهم کرد. در این نوشته از دیدگاه استراتژی بدان پرداخته ام .



خلاصه:



پیاده‌سازی نابالغ SO‌C برخلاف تصور رایج، نه‌تنها امنیت سازمان را تقویت نمی‌کند، بلکه مستقیماً با اهداف استراتژی امنیت اطلاعات در تضاد است. SOCهایی که بدون همسویی با اهداف کسب‌وکار، سطح پذیرش ریسک و فرآیند مدیریت ریسک راه‌اندازی می‌شوند، به مراکز تولید هشدار بی‌ارزش تبدیل می‌شوند. تمرکز افراطی بر ابزار به‌جای فرآیند، نبود شاخص‌های عملکرد معنادار و مصرف غیربهینه منابع انسانی و مالی، باعث می‌شود SOC به یک مرکز هزینه تبدیل شود، نه یک دارایی استراتژیک. بلوغ SOC یک مسئله فنی نیست، بلکه یک تصمیم حاکمیتی و استراتژیک است.





مقالات را در لینک زیر دنبال کنید (نسخه تحت وب )

https://open.substack.com/pub/roozbehnoroozi/p/soc?utm_campaign=post-expanded-share&utm_medium=web