آکادمی آموزش روزبه 📚

09 июня 2025 08:07

معماری، اجزا و منطق Risk Scoring در Splunk UBA

ابزار Splunk UBA (User Behavior Analytics) به‌عنوان یک زیرسیستم مستقل از Splunk Enterprise Security، برای کشف تهدیدات پیشرفته مبتنی بر رفتار و تشخیص ناهنجاری (Anomaly Detection) طراحی شده است. این ماژول بر مبنای مکانیزم‌های تحلیل داده‌های بزرگ (Big Data) و یادگیری ماشین (ML) توسعه یافته و از یک معماری چندلایه بهره می‌برد.
۱. لایه جمع‌آوری و پردازش داده (Data Ingestion & Processing)
بخش UBA Connectorهای Splunk: دریافت داده از SPL، Syslog، فایل‌های خام، API، و اتصال بومی به Splunk Enterprise (طبق CIM).
بخش Normalize & Enrich: داده‌های خام در مرحله “Normalizing” و “Enrichment” به فرمت استاندارد UBA تبدیل، و با اطلاعات کاربری، دیوایس‌ها، آدرس‌های IP و شبکه غنی‌سازی می‌شوند.
بخش Data Lake: ذخیره داده‌ها در دیتابیس NoSQL (معمولاً HBase روی Hadoop)، با امکان پردازش موازی حجیم.
۲. لایه مدل‌سازی و تحلیل (Analytics & Modeling Layer)
بخش Model Runner Engine: موتور اختصاصی اجرای مدل‌های یادگیری ماشین روی داده‌های جمع‌آوری‌شده.
مدل‌های تحلیلی (Analytics Models): ده‌ها مدل، شامل:
Account Anomaly Models:
شناسایی Login مشکوک، دسترسی‌های غیرمعمول، Brute Force.
Endpoint/Host Models:
کشف Process مشکوک، Lateral Movement.
Data Exfiltration Models:
تشخیص جابه‌جایی/خروج داده حساس.
Network Models:
مثل DGA Detection، ارتباط غیرعادی Peerها.
هر مدل، خروجی‌ای به نام Anomaly Event تولید می‌کند با توصیف، شدت، timestamp و لینک به داده خام.
۳. لایه امتیازدهی و تجمیع (Risk Scoring & Aggregation)
Anomaly Correlator:
مدام رفتارها را رصد می‌کند؛ هر ناهنجاری یک امتیاز ریسک پایه دارد (Base Risk Score) که بسته به حساسیت مدل و نوع داده (مثلاً لاگین از کشور ناآشنا شدیدتر است).
Aggregation Rule Sets:
اگر در یک بازه زمانی مشخص، چند ناهنجاری باهم رخ دهند (مثلاً Escalation، Data Access، Lateral Movement)، امتیازها تجمیع می‌شوند و وزن بیشتری می‌گیرند.
Entity Risk Score:
برای هر User/Asset یک متغیر به‌روزشونده وجود دارد که مجموع نمرات ریسک را نگه می‌دارد (Entity-based, Contextual).
۴. لایه شناسایی تهدید (Threat Detection & Threat Packaging)
Threat Package Builder:
پس از عبور یک Entity از آستانه ریسک (Risk Threshold)، چندین ناهنجاری مرتبط را “بسته‌بندی” و به شکل یک Threat Object بامحتوای کامل (تاریخچه، مسیر، جزئیات فنی) به ماژول SIEM ارسال می‌کند.
نمایش در UI: داشبورد جامع، تایم‌لاین رفتار کاربر/سیستم، گراف روابط (Entity Graph)، و امکان Pivoting روی داده خام.
۵. یکپارچگی با اکوسیستم و واکنش
ارسال هشدارها به Splunk ES
یک API Integration برای اتصال به SOAR و واکنش خودکار
وFeedback Loop برای تریاژ و ارتقای صحت مدل‌های ML

مزیت فنی رویکرد UBA
ریاضیات امتیازدهی ریسک بر پایه تجمیع وزن‌دار است:
Risk Score = Σ(Anomaly Score × Model Weight) × Contextual Modifier
توجیه‌پذیری هشدارها توسط “توالی‌نگاری تهدید” (Threat Timeline) برای تیم SOC
کاهش هشدارهای کاذب بواسطه Thresholdهای چندلایه، مدل Correlation، و وزن‌دهی پویا

در نتیجه، Splunk UBA با تحلیل لایه به لایه ناهنجاری‌ها، مدل‌سازی پویا و Scoring هدفمند، تهدیدهای منتج از رفتار ترکیبی را کشف و عمیقاً Contextual می‌کند؛ در حالی که نقاط قوت و ضعف هر لایه به‌صورت ماژولار قابل پایش و بهینه‌سازی است.


#آکادمی_روزبه
مرکز تخصصی CISSP

آکادمی آموزش روزبه 📚

08 июня 2025 13:47

🟣عوامل فنی و فرهنگی در به‌کارگیری Splunk SOAR در SOC
🔆۱۰ سال تلاش برای جا انداختن Incident response خودکار در ایران


✍روزبه نوروزی


در سال‌های گذشته، یکی از چالش‌های اصلی تیم‌های SOC که برای خودکارسازی فرایندهای پاسخ به حادثه (Incident Response) با آنها درگیر بودم این بود که دسترسی اکانت‌ها و اعتبارات (Credentials) تجهیزات شبکه و امنیتی در اختیارشان قرار نمی‌گرفت. این مانع فنی-سازمانی عملاً اجازه نمی‌داد اسکریپت‌ها یا ربات‌های پاسخ خودکار، دقیقا اقدمات اصلاحی (Containment, Remediation) را به‌صورت امن و اتوماتیک اجرا کنند. اما امروز بسیاری از شرکت‌ها به لطف راه‌حل‌های SOAR (Security Orchestration, Automation and Response) به ویژه Splunk SOAR توانسته‌اند فرایندهای عملیات پس از کشف تهدید را به‌طور مؤثر اتومات کنند. در اینجا، مهم‌ترین عوامل فنی و فرهنگی این گذار را بررسی می‌کنم.

✅️ عوامل فنی

۱. درگاه متمرکز مدیریت اعتبار (Credential Vault)
🔸️ابزار SOARها مثل Splunk SOAR یک «گنجینه» امن برای ذخیره‌ و بازیابی خودکار نام‌کاربری/رمز عبور و توکن‌های API ارائه می‌کنند.
🔸️با استفاده از Vault، نیازی به اشتراک مستقیم اکانت شبکه با تیم SOC یا قرار دادن پسورد در اسکریپت نیست.
۲. کتابخانه گسترده Connector و API
🔸️اتصالات (Connectors) و Appهای آماده برای فایروال‌ها، سوئیچ‌ها، Endpoint Security و غیره
🔸️تبدیل هر فرمان CLI یا REST API به یک اکشن قابل فراخوانی در Playbook
۳. وجود Playbookهای قابل ویرایش و گراف‌محور
🔸️طراح گرافیکی (Visual Playbook Designer) که بدون کدنویسی سنگین اجازه مدل‌سازی چک‌لیست، تریگرها، شرایط و واکنش‌ها را می‌دهد.
🔸️امکان اشتراک Playbook در داخل سازمان و استفاده مجدد
۴. سیستم کنترل نسخه و تست خودکار
🔸️پیش از انتشار تغییرات، امکان تست Playbook روی دیتای شبیه‌سازی‌شده (Sandbox)
🔸️بازگشت به نسخه قبلی در صورت بروز خطا
۵. گزارش‌دهی و Audit Trail دقیق
🔸️ثبت تمامی اکشن‌های اتوماتیک و دستی با جزئیات زمان، کاربر و نتیجه
🔸️تسهیل اثبات رعایت مقررات (Compliance) و استانداردهای امنیتی
۶. معماری توزیع‌شده و مقیاس‌پذیر
🔸️ابزار SOAR می‌تواند در مدل‌های Active-Active یا Cluster پیاده شود تا با رشد حجم هشدارها (Alerts) پاسخگو بماند.

✅️ عوامل فرهنگی و سازمانی

۱. جلب اعتماد تیم‌های شبکه و زیرساخت
🔹️قبل‌تر بخش شبکه، با توهم «از دست رفتن کنترل» یا «خطر تغییرات خودکار»، اکانت‌ها را در اختیار SOC نمی‌گذاشت.
🔹️با معرفی «Vault» و «Role-Based Access Control»، دسترسی حداقلی و فقط برای اکشن‌های تعریف‌شده تضمین شد.
۲.اصول Least Privilege و Separation of Duty
🔹️تعریف نقش (Role) و مجوز دقیق (Permission) برای هر تیم
🔹️جلوگیری از دسترسی مستقیم به اکانت‌های کلیدی و تفکیک وظایف بین امنیت و شبکه
۳.فرهنگ همکاری و هم‌افزایی (Silo Breaking)
🔹️نشست‌های مشترک Security و Infrastructure برای شفاف‌سازی نیازها
🔹️تعریف استانداردهای API و Playbook مشترک
🔹️تأکید بر هدف مشترک «کاهش زمان پاسخ» (MTTR)
۴.حمایت مدیریت ارشد و پروژه‌های پایلوت (Proof-of-Concept)
🔹️اجرای پروژه‌های کوچک با زیرساخت آزمایشی
ارائه گزارش ROI از کاهش کار دستی و خطا تا جلب بودجه برای گسترش
۵.آموزش و افزایش مهارت تیم SOC
🔹️دوره‌های داخلی یا رسمی Splunk برای طراحی Playbook و نگهداری SOAR
🔹️مستندسازی فرایندها و استقرار فرهنگ DevSecOps
۶.پذیرش خطا و بهبود مستمر (Blameless Learning)
🔹️فرهنگ گزارش خطا بدون سرزنش
🔹️جلسات پس از حادثه (Post-Mortem) برای اصلاح Playbook و به‌روزرسانی مستمر


#تجربه
#درس_آموخته


#آکادمی_روزبه
مرکز تخصصی CISSP
Www.Roozbeh.academy

آکادمی آموزش روزبه 📚

07 июня 2025 19:44

سطح دیگری از توانمندی EDRو XDR:اندازه‌گیری صحت نرم‌افزار با Attestation مبتنی برTPM


در عصر تهدیدات پیچیده‌ سایبری، سازمان‌ها نیازمند راهکاری فراتر از آنتی‌ویروس‌های سنتی هستند؛ جایی که فناوری‌هایی مانند EDR (Endpoint Detection and Response) و XDR (Extended Detection and Response) همراه با TPM وارد میدان می‌شوند. یکی از ابزارهای کلیدی این راهکارها، مکانیسم Remote Attestation است.
بحث Attestation یا تأیید صحت، فرآیندی است که طی آن وضعیت نرم‌افزاری و سیستمی یک دستگاه به یک سامانه مرکزی گزارش می‌شود. ابزار TPM، که یک ماژول امنیتی سخت‌افزاری است، نقش حیاتی در این فرآیند ایفا می‌کند. هر زمانی که سیستم راه‌اندازی می‌شود، TPM مقادیر هش مربوط به بخش‌های حساس سیستم مانند Boot Loader، Kernel، درایورها و حتی برنامه‌های حیاتی را در رجیسترهای اختصاصی خودش (PCR: Platform Configuration Register) ثبت می‌کند.
راه‌حل‌های مدرن EDR/XDR می‌توانند با درخواست همین مقادیر ثبت‌شده از TPM، وضعیت سلامت واقعی سیستم را به صورت امن و غیرقابل جعل، برای سرور مرکزی ارسال کنند. این سرور مرکزی با مقادیر مورد انتظار مقایسه انجام می‌دهد و اگر هر تغییری نسبت به وضعیت سالم مشاهده شود (مثلاً تزریق Rootkit، تغییر فایل سیستمی توسط تروجان یا دستکاری Bootloader)، بلافاصله هشدار به تیم امنیتی یا حتی اقدامات قرنطینه انجام می‌دهد.
بنابراین، TPM از جعل، دور زدن نرم‌افزار امنیتی، و پنهان شدن بدافزار در عمق سیستم جلوگیری می‌کند. Attestation مبتنی بر TPM گام بزرگی است به سمت مقابله با تهدیدات سطح پایین و مخفی و به مدیران امنیت سازمان اطمینان خاطر بیشتری از صحت واقعی و لحظه‌ای وضعیت endpointها و سرورها می‌بخشد.

#آکادمی_روزبه
مرکز تخصصی CISSP
Www.Roozbeh.academy

آکادمی آموزش روزبه 📚

04 июня 2025 21:04

مهندسی اجتماعی نوین

اغلب سازمان‌ها هنوز تمرکز خود را صرفا بر ایمیل و شیوه‌های کلاسیک حمله می‌گذارند، در حالی که مهاجمان با ترکیب تکنیک‌ها—از ایمیل تا صدا و پیام‌رسان‌ها—زنجیره حمله را چندلایه و گمراه‌کننده می‌سازند. آن‌ها گاهی پس از موفقیت در فیشینگ ایمیلی، از اطلاعات جمع‌شده برای تماس تلفنی مستند و قانع‌کننده استفاده می‌کنند و ضعف‌های انسانی (نظیر اضطراب یا اعتماد افراطی) را هدف می‌گیرند.

مهاجم پس از جمع‌آوری اطلاعات اولیه (اغلب از طریق حملات قبلی فیشینگ یا رخنه داده‌های سازمانی) به‌صورت هدفمند با کارمند یا مدیر سازمان تماس می‌گیرد. تماس‌ها با روش‌هایی نظیر spoofing شماره تماس انجام می‌شود تا اعتبار کافی نزد هدف ایجاد گردد. گاهی صدای مصنوعی (deepfake) یا اسکریپت‌های از پیش آماده برای شبیه‌سازی لحن مدیر سازمان هم استفاده می‌شود. هدف عمدتاً اخذ داده‌های حساس (مانند رمز عبور، کد MFA، اطلاعات ورود به سامانه مالی/اداری) یا ترغیب کاربر به انجام یک اقدام آسیب‌زا (مثل انتقال پول یا باز کردن فایل مخرب) است.

در بسیاری موارد جدید، پس از اینکه مهاجم دسترسی اولیه یا داده‌های حیاتی را بدست آورد، به جای فروش اطلاعات یا استفاده مستقیم، تهدید به افشای عمومی یا نابودی اطلاعات می‌کند و از سازمان درخواست پرداخت باج دارد. این رویکرد که با اصطلاح data extortion شناخته می‌شود، نه تنها مؤلفه فنی، بلکه فشار روانی، شهرتی و حقوقی را نیز بر قربانی وارد می‌کند.


#آکادمی_روزبه
مرکز تخصصی CISSP


https://cloud.google.com/blog/topics/threat-intelligence/voice-phishing-data-extortion

آکادمی آموزش روزبه 📚

04 июня 2025 18:50

سیستم نام‌گذاری گروه‌های تهدید (Threat Actor Naming) ابداعی توسط مایکروسافت

سالها گروههای هکری را بر اساس دسته بندی شرکت FireEye میشناسیم اما یک سیستم نام گذاری توسط مایکروسافت به منظور استانداردسازی و شفاف‌سازی ارتباط میان گزارش‌ها و پژوهش‌های تهدیدات سایبری تدوین شده است. این رویکرد، گروه‌های مهاجم را بر اساس اهداف، رفتارها، وابستگی ملی و تکنیک‌ها به دسته‌های مشخص تقسیم و نام‌گذاری می‌کند.

در این چارچوب، مایکروسافت از نام‌های اختصاصی (مانند STRONTIUM برای APT28 یا NOBELIUM برای APT29) استفاده می‌کند و گروه‌های نوظهور یا ناشناخته را با نام‌های دسته‌ای مثل Storm-* (برای فعالیت‌های نقشه‌دار بی‌مقدمه) یا Flood-* (برای فعالیت‌های خودکار و اسپمی) مشخص می‌کند. این شیوه به تیم‌های SOC و تحلیلگران کمک می‌کند مسیر زیست گروه‌ها، حجم فعالیت و تغییر وابستگی‌ها را در طول زمان به‌صورت دقیق رصد و مستندسازی کنند.

نکته کلیدی روش مایکروسافت، عدم اتکای صرف به نسبت دادن کشوری یا سازمانی است؛ بلکه براساس رفتار، ابزار و زیرساخت‌ها، Actorها دسته‌بندی می‌شوند. این کار به تحلیل‌گران کشور هم امکان می‌دهد تا در تهدیدشناسی عملیاتی، با استانداردهای جهانی همگام باشند و دچار چندگانگی نام (Naming Confusion) نشوند. سرانجام، این مدل تطبیق‌پذیر بوده و در مقابل افشای عمومی و تغییر تاکتیک‌ها توسط مهاجمان، قابلیت به‌روزرسانی مستمر دارد.

#آکادمی_روزبه
مرکز تخصصی CISSP

https://learn.microsoft.com/en-us/unified-secops-platform/microsoft-threat-actor-naming

آکادمی آموزش روزبه 📚

04 июня 2025 17:42

مفهوم clandestine operations و covert operations در امنیت سایبری



۱.عملیات Covert در فضای سایبری معمولاً به فعالیت‌هایی اطلاق می‌شود که هدف آن، مخفی نگاه داشتن هویت و نقش عامل مهاجم است؛ حتی اگر اصل عملیات بعداً کشف شود. انکارپذیری (Plausible Deniability) فلسفه اصلی این دسته عملیات است.

مثال‌ها:

حملات سایبری مبتنی بر APT:
گروهی همچون APT43 یا Lazarus در حملاتشان سعی می‌کنند با جعل آدرس IP، استفاده از ابزارهای چندملیتی و تکنیک‌های OPSEC مثل TTPهای متنوع، به انکارپذیری کامل برسند.
در Malware with False Flags:بدافزارهای دارای کدهای دوپهلو (مثلاً با قرار دادن زبان روسی یا عبری در سورس) به‌منظور گمراه‌سازی تیم‌های تحلیل تهدید.
استفاده از ابزارهای عمومی (Living off the land):مهاجمان با استفاده از ابزارهای بومی سیستم (Powershell، WMIC، Bash) ردپای اختصاصی باقی نمی‌گذارند و اثبات مجری عملیات بطور قطع را سخت می‌کنند.

نکته عملیاتی برای SOC:

در رویکرد Covert، شناسایی Attribution بسیار چالش‌برانگیز است، پس تیم‌های SOC باید تمرکز را روی تحلیل فنی، شناسایی anomalieها و همکاری اطلاعاتی با سایر نهادها بگذارند تا شواهد را ترکیب و Attribution محتاطانه‌ای بسازند.
۲. مفهوم Clandestine Operations در امنیت سایبری

عملیات Clandestine تمرکز ویژه‌ای بر پنهان‌ماندن خود فرآیند دارد؛ یعنی نه‌تنها هویت مهاجم، بلکه اصل وقوع عملیات تا حد امکان کشف نشود. نمونه‌ها:

Stealthy Malware/Rootkit Deployment:
بدافزارهایی مانند Rootkitها یا Firmware Implants که سال‌ها بدون جلب توجه، حضور دارند و شناسایی بسیار دشوار است (مثلاً GrayFish یا UEFI implants).
انجام Data Exfiltration با روش‌های پنهان:
خارج‌کردن داده از شبکه قربانی با پروتکل‌هایی که ترافیک‌شان تقلید رفتار عادی دارد (مثلاً DNS tunneling یا استفاده از HTTPS legit).
انجام Bypassing Detection:مهاجمان تمام مراحل kill chain را طوری اجرا می‌کنند که حتی SIEM و EDRها نیز آلارمی دریافت نکنند (بهره‌گیری از LOLBins، اجرای کد در Memory، حذف فرضیاتی چون ایجاد فایل).

نکته عملیاتی برای SOC:

در مقابله با این رویکرد، باید معیارهای رفتاری (Behavioral Analytics)، تحلیل مستمر لاگ‌ها، و آنومالی‌کشفی با کمک یادگیری ماشین را جدی گرفت. فرض SOC باید این باشد که «مهاجم همیشه سعی می‌کند دیده نشود»؛ به‌همین‌دلیل نیاز به همبسته سازی داده‌های مختلف و استفاده حداکثری از Telemetry مجموعه‌ای (EDR, NDR, SIEM) حیاتی است.


نتیجه کاربردی برای محیط کشور:

در عمل، تهدیدهای سایبری با ماهیت Covert و Clandestine، فارغ از وابستگی جغرافیایی، برای زیرساخت‌های ایرانی با حساسیت بالا (OT/ICS، انرژی، دولت) تهدید جدی هستند. توسعه دانش Attribution و Analytic Tradecraft، همراه با تحلیل رفتار شبکه و لاگ‌های عمیق، باید جزو برنامه عملیاتی تمامی SOCهای پیشرو قرار گیرد. از دیگر مسائل مهم اشتراک اطلاعات تهدید فیمابین سازمان‌های ایرانی است.



#آکادمی_روزبه
مرکز تخصصی CISSP

آکادمی آموزش روزبه 📚

02 июня 2025 17:40

نقطه کور در زمین بازی لینوکس
نکاتی در هانت

اگر دنبال privilege escalation هستید یا می‌خواهید threat hunting روی لینوکس رو واقعا حرفه‌ای انجام بدید ، حتماً audit و پایش کردن Capabilitiesها (نه فقط suidها) رو از قلم نندازید؛ این یکی از جالب ترین، پنهان‌ترین و کمتر شناخته‌شده‌ترین نقاط زمین بازی لینوکسه.


🔰بحث Linx capabilites؛ قدرت بیشتر از SUDO و SetUID بدون نیاز به Root کامل

در کرنل‌های جدید لینوکس (۲.۲ به بعد)، مفهوم Linux Capabilities معرفی شده که به‌جای دادن دسترسی “کامل” root (با sudo یا ست‌کردن bit‌ setuid به باینری)، میشه فقط یه بخش خیلی خاص از دسترسی‌های سیستمی رو به پروسس یا فایل بدیم.

کاربرد هکری و دفاعی:

مهاجم اگه بتونه یه فایل اجرا رو با setcap بجای‌ setuid رو تنظیم کنه، شاید بتونه مثلاً فقط قابلیت شنود شبکه (CAP_NET_RAW) به یک باینری معمولی اضافه کند، بدون خطرات همیشگی root شدن کامل باینری!
همین موضوع نقطه‌ی کور خیلی از ماژول‌ها و حتی SIEMهاست چون مدیریت و هشدار روی Capabilities کلاً با setuid فرق داره و کمتر دیده میشه.

دستورات کلیدی:


setcap cap_net_raw+ep /path/to/bin
getcap -r / # لیست‌کردن همه فایل‌هایی که capabilities خاص گرفتن

نکته امنیتی:

خیلی وقتها سرورهای لینوکسی با فایل‌هایی که با setcap تنظیم شدند و دسترسی‌های حیاتی گرفتند ولی مالک شون root نیستند یا حتی ناشناخته هست، مورد حمله قرار می‌گیرند یا مهاجم داره با حداقل ردپا privilege escalation انجام میده—در حالی‌که audit معمول دنبال suid می‌گرده، نه Capabilitiesها.


مساله Capabilities سطح granularتری از privilege رو به پروسس/باینری میدهد؛ یعنی با کمترین سطح دسترسی، امکان حمله یا پایداری (Persistence) بدون جلب توجه فراهم می‌شود.
مهاجم حرفه‌ای سعی می‌‌کند همین کورسویی که در audit کلاسیک پنهان است برای privilege escalation و حمله استفاده کند.
بررسی و هشدار به getcap -r / در کنار SUID hunting باید جزو default playbook هر سفر شکار تهدید لینوکس باشد.


#آکادمی_روزبه
مرکز تخصصی CISSP
Www.Roozbeh.academy

آکادمی آموزش روزبه 📚

02 июня 2025 13:09

و اما یادگاری امروز
یه سایت خوب

Hack The Logs, a dedicated documentation platform and central hub for learning about logs across different systems and platforms. This resource mostly explains the different types of logs, their formats, and how they can help improve cybersecurity.

#آکادمی_روزبه
مرکز تخصصی CISSP

https://www.hackthelogs.com/

آکادمی آموزش روزبه 📚

02 июня 2025 07:21

راهکارهای کشف آسیب‌پذیری File Inclusion

آسیب‌پذیری File Inclusion (شامل LFI و RFI) یعنی وقتی مهاجم می‌تواند با کنترل مسیر یک فایل، فایل‌های ناخواسته (محلی یا راه دور) را در برنامه وارد کند. این مشکل اغلب به علت دریافت نام فایل یا مسیر از ورودی کاربر و الحاق مستقیم آن در توابعی مثل include یا require بدون اعتبارسنجی رخ می‌دهد. عواقب آن می‌تواند افشای اطلاعات حساس، اجرای کد مخرب روی سرور یا حتی تصرف کل سامانه باشد. جلوگیری از این آسیب‌پذیری با اعتبارسنجی ورودی و محدود کردن انتخاب فایل به لیست مجاز انجام می‌شود.

۱. تست دستی (Manual Testing)

ورودی‌های مشکوک مثل پارامترهای URL (?file=...) را با مقادیر مخرب (مثلاً ../../etc/passwd یا URL از راه دور) تست کنید.
بررسی رفتار برنامه در مواجهه با ورودی غیرمنتظره (فایل نامعتبر یا فایل راه دور).

۲. استفاده از ابزارهای خودکار (Automated Tools)

ابزارهای DAST مثل: Burp Suite، OWASP ZAP، Acunetix، Nikto (برای یافتن پارامترهای حساس به فایل)
اسکنرهای SAST برای شناسایی کدهای مشکوک مثل include, require, fopen, file_get_contents
ابزار مخصوص مثل LFISuite و fimap

۳. بررسی لاگ و رفتار غیرعادی سرور

جستجوی خطاهای مربوط به فایل یا مسیر در لاگ وب‌سرور (مثلاً خطاهای 500 یا خطاهای مرتبط با include در PHP)
تحلیل رفتار فایل‌های آپلودشده یا فایل‌های موقت غیرمنتظره

۴. تحلیل کد (Code Review)

جستجوی کدهایی که فایل‌ها را به صورت داینامیک و بر اساس داده کاربر لود می‌کنند، بدون اعتبارسنجی مناسب
استفاده از ابزارهای استاتیک مانند SonarQube یا PHPStan

راهکارهای مقابله و کاهش ریسک File Inclusion

۱. اعتبارسنجی (Validation) و پاک‌سازی ورودی‌ها

هرگز به داده ورودی کاربر به عنوان نام فایل اعتماد نکنید.
فقط اجازه انتخاب از لیست ثابت بدهید (whitelist).
حذف کاراکترهای خطرناک مانند ../, ..%2F, null byte‌ها (%00) و …

۲. محدود کردن دسترسی‌ها و تنظیمات سرور

غیرفعال کردن allow_url_include و allow_url_fopen در PHP.
محدودکردن دسترسی‌های فایل به حداقل نیاز؛ به ویژه فایل‌های حساس مثل /etc/passwd.

۳. استفاده از realpath و توابع ایمن

قبل از دسترسی به فایل، مسیر را با realpath چک کنید تا از شل‌کد یا دسترسی غیرمجاز جلوگیری شود.
توابع امن سفارشی برای مدیریت فایل استفاده کنید.

۴. پیاده‌سازی مکانیزم‌های امنیتی وب سرور/برنامه

استفاده از WAF و سخت‌سازی (Hardening).
محدودکردن متدهای HTTP و اسکریپت‌های قابل اجرا

۵. به‌روزرسانی منظم نرم‌افزار

تمامی کامپوننت‌ها (CMS، کتابخانه‌ها و فریم‌ورک‌ها) را به‌روز نگه دارید تا از پچ‌شدن آسیب‌پذیری‌های شناخته‌شده مطمئن شوید.

۶. پایش (Monitoring) و تحلیل رویدادها

فعال‌سازی مانیتورینگ و هشدار برای رخدادهای مشکوک یا تلاش برای دسترسی به فایل‌های غیرمجاز.


#آکادمی_روزبه
مرکز تخصصی CISSP

آکادمی آموزش روزبه 📚

01 июня 2025 20:41

روش استفاده از جدول ATT&CK برای سنجش بلوغ SOC

✍️روزبه نوروزی

۱. تعریف پایه

جدول MITRE ATT&CK نمایشی ساخت‌یافته از تاکتیک‌ها ، تکنیک‌ها ، و فرایندهای مهاجمان است.

این جدول، یک نقشه حمله (Threat Map) است که قدرتمندترین ابزار برای تحلیل‌شناسی، ارزیابی قابلیت تشخیص و پاسخ SOC و Gap Analysis به‌شمار می‌رود.

۲. گام‌های ارزیابی بلوغ با استفاده از ATT&CK

الف. ارزیابی پوشش تشخیصی (Detection Coverage Mapping)

لیستی از تکنیک‌های ATT&CK را استخراج میکنیم .
بررسی میکنیم در سازمان شما چه تکنیک‌هایی توسط SOC یا ابزارها (SIEM, EDR, NDR و…) قابل تشخیص و هشداردهی‌اند.
این کار معمولاً با ابزارهایی مثل MITRE ATT&CK Navigator یا فایل اکسل انجام می‌شود.

ب. سطح پاسخ (Response Capability Mapping)

فقط تشخیص کافی نیست؛ باید ببینید برای هر تکنیک:
آیا Playbook پاسخ‌ دارد؟
آیا حذف تهدید یا واکنش اتوماتیک یا نیمه‌اتوماتیک دارید؟
آیا تحلیلگرها می‌توانند مراحل حمله را بازسازی کنند و وضعیت lateral movement یا privilege escalation را تریاژ کنند؟

ج. تحلیل شکاف (Coverage Gap Analysis)

تکنیک‌هایی که پوشش ندارید یا فقط به صورت دستی پوشش می‌دهید، ضعف بلوغ است.
هر چه تعداد تکنیک‌هایی که تا انتها (Detection → Investigation → Response) پوشش قوی‌تری دارند، بالاتر است، سطح بلوغ SOC بالاتر خواهد بود.

۳. نگاشت سطوح بلوغ به ATT&CK
سطح ۱ و ۲ (Initial/Defined)

فقط پوشش محدود بر تکنیک‌های رایج (مثل Credential Dumping, Command & Control رایج، Malware Initial Access)
تحلیل داده‌ها دستی، پاسخ عمدتاً واکنشی و غیراستاندارد (بدون پیروی از ATT&CK)

سطح ۳ (Managed)

برای تکنیک‌های شایع، Alert استاندارد و Playbook پایه ‌(Contain, Investigate) وجود دارد
بخش قابل‌توجهی از ماتریس ATT&CK پوشش داده می‌شود، hunting برای برخی تاکتیک‌ها انجام می‌شود

سطح ۴ (Quantitative Managed)

بخش بزرگی از تکنیک‌های جدول ATT&CK، پوشش قاعده‌مند (Rule, Alert, Use Case) دارد
SOC مجهز به Threat Hunting ساختارمند منطبق با ATT&CK
داشتن Incident Response Playbook برای اکثر تاکتیک‌ها
میزان Gap Coverage در حال کاهش است، KPI پوشش مرتباً سنجیده می‌شود

سطح ۵ (Optimizing)

تقریباً کل ماتریس ATT&CK سازمان، پوشش فعال (تشخیص، تحلیل، پاسخ، APT Detection)
اتوماسیون پیشرفته، استفاده از AI/ML برای تشخیص تکنیک‌های پیچیده و ناشناخته
به‌روزرسانی سریع Playbookها با تغییر تکنیک‌های واقعی مهاجمین (APTها)
Threat Intelligence داخلی، خارجی و همکاری با دیگر سازمان‌ها (ISAC)

۴. بومی‌سازی و مثال عملی

فرض کنید سازمانی از SIEM و یک EDR استفاده می‌کند. با کمک تیم SOC، برای هر ردیف جدول ATT&CK بررسی می‌کنیم:

کدام تکنیک به صورت خودکار تشخیص داده می‌شود؟
آیا روی آن event Playbook، Alert، یا Threat Hunting rule (مثلاً KQL/QL یا SPL) داریم؟
Process Injection، LSASS Dump، Golden Ticket، C2 over HTTP — هر کدام به صورت “پوشش دارد/ندارد/محدود” علامت بزنید

نتیجه:

اگر بیشتر تکنیک‌ها “بدون پوشش” یا “دستی” بودند → سطح بلوغ پایین
اگر پراکندگی پوشش کامل و Playbook پاسخ خودکار وجود دارد → سطح بلوغ بالا

۵. ابزار برای مستندسازی و نمایش حرفه‌ای (برای گزارش مدیریت)

استفاده از MITRE ATT&CK Navigator (نسخه آفلاین یا آنلاین) برای رنگ‌آمیزی سلول‌ها بر اساس پوشش (سبز: کامل، زرد: جزیی، قرمز: ناقص)
خروجی گرفتن اکسل یا PDF و درج عنوان “نقشه بلوغ SOC بر اساس ATT&CK”
قیاس با دیگر شرکت ها در صنعت خودمان یا استانداردهای صنعتی (Gartner, ENISA)

جمع‌بندی

با نگاه حرفه‌ای به جدول ATT&CK، اگر SOC شما:

هرچه تکنیک بیشتری را با سطح عمیق‌تر و خودکارتر شناسایی و پاسخ دهد،
هرچه Gapها را پیوسته شناسایی و کاهش دهد،
سطح بلوغ عملیاتی و مدیریتی بالاتری را نشان خواهد داد.

این روش، یکی از بهترین Benchmark حرفه‌ای‌های SOC جهانی است برای نشان دادن واقعی سطح maturity است (نه صرفاً ادعاهای کاتالوگی!).


#آکادمی_روزبه
مرکز تخصصی CISSP

آکادمی آموزش روزبه 📚

31 мая 2025 07:25

ابزارهای پیشنهادی برای اوسینت

#آکادمی_روزبه
مرکز تخصصی CISSP

https://cyble.com/knowledge-hub/top-15-osint-tools-for-powerful-intelligence-gathering/

آکادمی آموزش روزبه 📚

30 мая 2025 20:09

👆👆 ادامه از پست قبل


قسمت دوم

۳. تکنیک Ghost PE و GhostPepper

تکنیک Ghost PE که در برخی منابع با نام GhostPepper نیز شناخته می‌شود، ترکیبی از لودرهای اختصاصی و shellcode پیشرفته است. هدف اصلی، لود کردن یک فایل اجرایی به صورت کامل در حافظه، بدون وابستگی به سیستم بارگذاری استاندارد ویندوز است.

طرز کار تکنیک Ghost PE:

لودینگ دستی (Manual Mapping): لودر، ساختارهای لازم (مثل sectionها، importها و relocationها) را، مشابه NT Loader، به صورت دستی، فقط در فضای حافظه، بازسازی و بارگذاری می‌کند.
عدم نیاز به PE Header: پس از map شدن، header اصلی حذف می‌شود، اما بسته به نیاز، اطلاعات موردنیاز (مثلاً آدرس توابع، entry point و …) ذخیره می‌شود.
اجرا به صورت in-memory shellcode: هیچ فایلی روی دیسک پدید نمی‌آید و بخش اجرایی حتی می‌تواند فقط بخش code section باشد.
دورزدن AV/EDR: ترکیبی از Reflective DLL Injection و manual mapping است، ولی هیچ نقطه‌ی ثابت و signature واضحی برای ابزارهای دفاعی نمی‌گذارد.

مقایسه با Variable های مشابه

در تکنیک‌هایی مثل Process Hollowing یا Reflective DLL Injection، عمدتاً یک پروسس legitimate ساخته می‌شود و سپس با shellcode یا DLL، “hollow” یا “reflective” می‌شود. اما در Ghost PE کل بارگذاری انجام می‌شود بدون اینکه استاندارد فایل PE (در حافظه یا دیسک) حفظ گردد.
ابزارهای معروف در این مقاله :

ابزار GhostPepper (SpecterOps): اجرای PE کامل در حافظه
ابزار Donut: تزریق shellcode مدرن
ابزار PE-Sieve: کشف اجرای غیرمتعارف PE

۴. مطالعه موردی بر اساس Fortinet: «malware dump بدون PE Header»

مقاله Fortinet، نمونه‌ای از بدافزاری را بررسی می‌کند که پس از dump شدن از حافظه، فاقد PE Header است. در این سناریو حمله، بدافزار به وسیله‌ی یک تکنیک manual map در فضای حافظه اجرا شده و سربرگ PE بلافاصله پاک شده یا هیچگاه به صورت کامل map نگشته است.
چالش‌های تحلیل:

باز نشدن نمونه توسط ابزارهای PE Analysis: نرم‌افزارهایی چون PEStudio/IDA نمی‌توانند بخش کد را دقیقاً پیدا یا disassemble کنند.
مشخص نبودن بخش‌های کد/داده/import: ساختار sections از دست رفته است.
اشتباه گرفتن با shellcode محض: زمانی که ساختار PE قابل تشخیص نیست، گمان می‌رود فقط shellcode است.
ابهام در شناسایی نقاط ورودی: entry point می‌تواند با جابجایی offset در dump غیرقابل تعیین شود.

مراحل تحلیل:

۱. جستجوی Manual برای یافتن امضاهای مشترک (Signature carving): نمونه را از نظر الگوهای رایج اسمبلی و API های ویندوز بررسی کردند.

۲. یافتن توالی‌های مشکوک: به کمک نشانه‌هایی مثل توابع imported یا توالی‌های رایج compilation (مانند epilog یا prolog های کامپایلرهای کلاسیک مایکروسافت).

۳. تحلیل رفتاری (dynamic): اجرای نمونه در محیط ایزوله و بررسی تعاملات حافظه (با ابزارهایی مانند x64dbg یا Ollydbg).

۴. بازسازی Header (Image Reconstruction): در برخی موارد، تحلیل‌گران سعی کردند با پیدا کردن موقعیت نسبی سورس، یک PE header اولیه (fake) ایجاد کنند تا فایل در تحلیلگر باز شود.

۵. مقوله Memory Forensics: استفاده از ابزاری چون Volatility و پلاگین‌هایی مثل malfind برای شناسایی و استخراج ایندی‌کتورهای حمله.
۵. چالش‌ها در تحلیل این دسته نمونه‌ها

مهمترین چالش تحلیل dump های فاقد PE Header عدم تطابق آنها با فرمت‌های استاندارد ابزارهای تحلیل استاتیک است:

یافتن Offsetهای مهم (مانند entry point، importها یا exportها) باید به صورت manual انجام شود.
امکان پنهان‌سازی سورس اصلی: مهاجم می‌تواند بخش زیادی از کد را پراکنده/کدر یا رمز کند.
شناسایی Signature Memory-based: تشخیص رفتار در حافظه سخت می‌شود، مگر اینکه EDR یا کارشناس تهدید با ابزار memory scanner پیشرفته کار کند.
اتکای زیاد به Dynamic & Memory Analysis: استخراج رفتار در زمان اجرا در sandbox و memory dump analysis حیاتی است.

۶. راهکارها و تدابیر مقابله‌ای برای تحلیل‌گران

ابزارهای تخصصی Memory Hunting

ابزار PE-Sieve: بازیابی نمونه‌های mapped شده PE از حافظه، حتی در موارد فقدان سربرگ؛ بازسازی section و importها.
ابزار Volatility (و پلاگین malfind): شناسایی فرآیندهای مشکوک، تزریق سشن و memory carving.
ابزار Rekall: رقیب Volatility با امکانات بیشتر در memory scanning.
ابزار YARA با ruleهای memory: شناسایی ساختار و توالی‌های رایج کامپایلر یا code cave خاص.

تاکتیک‌های عملیاتی:


ادامه در پست بعدی.. 👇👇

#آکادمی_روزبه
مرکز تخصصی CISSP
Www.Roozbeh.academy

آکادمی آموزش روزبه 📚

30 мая 2025 12:52

ویدئو هایی برای Velociraptor

#آکادمی_روزبه
مرکز تخصصی CISSP

https://www.youtube.com/playlist?list=PLz4xB83Y3Vbjtqr_ttOkBWZZ_ewEVVPXQ

آکادمی آموزش روزبه 📚

29 мая 2025 07:36

استفاده از Velociraptor در تحلیل تخصصی Dead Disk Forensics

تحلیل جرم‌شناسی دیجیتال یا Forensics همیشه با چالش بازیابی داده از سیستم‌هایی که دیگر فعال نیستند (dead disks) روبروست. ابزار Velociraptor که معمولا به‌عنوان یک EDR و سیستم جمع‌آوری شواهد زنده (live response) شناخته می‌شود، قابلیت‌های ویژه‌ای برای تحلیل دیسک‌های خاموش نیز دارد. این ویژگی Velociraptor را علاوه‌بر جمع‌آوری داده‌های RAM و پروسس‌های فعال، به انتخابی مناسب جهت بررسی سیستم‌های خاموش تبدیل می‌کند.
این dead disk forensics چیست؟

در این سناریوها، کارشناس امنیت سایبری با یک Snapshot یا Image از دیسک سر و کار دارد و امکان اجرای هیچ کد یا عامل روی سیستم هدف وجود ندارد. معمولاً رویکردهای سنتی استفاده از نرم‌افزارهایی مثل FTK Imager و Autopsy است، اما انعطاف آن‌ها محدود به اسکریپت‌نویسی و جمع‌آوری داده به صورت خودکار نیست. اینجاست که Velociraptor وارد عمل می‌شود.
نحوه عملکرد Velociraptor در dead disk

در Velociraptor با قابلیت اجرای Queries سفارشی یا VQL (Velociraptor Query Language)، اجازه می‌دهد تحلیلگر با نوشتن کوئری‌های پیچیده، دقیقاً همان شواهد مورد نیاز را از ایمیج‌های دیسک استخراج کند. مثلاً بررسی event logها، رجیستری، artifactهای Application و اینترنت، بدون حمله به داده‌های زنده یا خطر Overwrite شدن محتوا.

مهم‌ترین مزایای Velociraptor در این زمینه:

قابلیت اجرای Query Scriptable: ابزارهای سنتی بیشتر گرافیکی هستند، اما Velociraptor با VQL اجازه پرتکل دقیق و اتوماتیک ارائه می‌دهد.
پشتیبانی Artifact محور: هر Artifact (registry, file, browser history و …) یک ساختار قابل جستجو دارد که با یک یا چند VQL کوئری قابل تعریف است.
پشتیبانی از Image Mount: فقط کافیست ایمیج دیسک را به‌عنوان volume مکانیکی روی سیستم متصل کنیم، سپس با انتخاب مسیر C:\mounted_image به جای مسیر واقعی، همه VQLها قابل اجراست.

سناریوی عملی بر اساس مقاله

در مقاله، یک سناریوی واقعی شرح داده شده: یک ایمیج از یک سیستم ویندوز که به صورت Suspect مطرح شده و باید بدون اجرای هیچ‌گونه کد مخرب، شواهد حیاتی بررسی شود. با Velociraptor به‌جای اجرای AGENT روی سیستم هدف، ایمیج دیسک را روی سیستم تحلیل‌گر Mount، و سپس Artifactها مثل EventLogs، ShimCache، Amcache و Prefetch را استخراج می‌کنیم.

برای مثال، کوئری VQL زیر می‌تواند تمام Windows Event Logs را بخواند:



SELECT * FROM artifacts.windows.eventlogs("C:\mounted_disk\Windows\System32\winevt\Logs")

یا برای رجیستریها:


SELECT * FROM artifacts.windows.registry("C:\mounted_disk\Windows\system32\config\SYSTEM")

مزایا و محدودیت‌ها

مزیت: مقیاس‌پذیری و اسکریپت‌پذیری بالا، همراه با سرعت عملیات و خروجی‌های قابل فیلتر.
محدودیت: وابستگی بالا به دسترس‌پذیری artifactها. اگر داده‌ای حذف یا آسیب دیده باشد، بازیابی دشوار است. همچنین نیاز به آشنایی کامل با VQL و ساختار artifactها برای گرفتن بیشترین بهره وجود دارد.


#آکادمی_روزبه
مرکز تخصصی CISSP

www.Roozbeh.academy

https://kyjonin.blogspot.com/2025/05/velociraptor-dead-disk-forensics.html?m=1

آکادمی آموزش روزبه 📚

28 мая 2025 09:04

تحلیل و مقابله با حمله BadSuccessor: آسیب‌پذیری جدید در Microsoft Active Directory Certificate Services

✍️روزبه نوروزی

مقدمه
در سال‌های اخیر، حملات به زیرساخت‌های هویتی مانند Active Directory (AD) و Active Directory Certificate Services (ADCS) به شدت افزایش یافته است. این حملات معمولاً با سوءاستفاده از پیکربندی‌های نادرست، آسیب‌پذیری‌های نرم‌افزاری یا اِشکال در فرآیندهای صدور گواهی اتفاق می‌افتد. در ماه می ۲۰۲۵، تیم تحقیقاتی SpecterOps حمله جدیدی با نام BadSuccessor معرفی کرد که نقطه ضعف جدیدی را در سازوکار CA (Certificate Authority) مایکروسافت افشا می‌کند. این آسیب‌پذیری به مهاجمان امکان می‌دهد که حتی پس از جابه‌جایی یا بازنشست کردن یک CA قدیمی، همچنان گواهی‌های مخرب صادر کنند و زنجیره اعتماد را تضعیف نمایند.

ساختار Active Directory و اهمیت ADCS

سرویس Active Directory Certificate Services (ADCS) یکی از سرویس‌های کلیدی در مایکروسافت اکوسیستم است که امکان صدور، مدیریت و اعتبارسنجی گواهی‌های دیجیتال را برای شبکه‌های داخلی فراهم می‌کند. با صدور گواهی‌های SSL/TLS، گواهی‌های ورود دستگاه و کاربر و حتی انجام فرآیندهای رمزگذاری ایمیل، ADCS هسته امنیتی بسیاری از شبکه‌های سازمانی به حساب می‌آید. هرگونه آسیب‌پذیری در این سرویس می‌تواند موجب دسترسی غیرمجاز، جعل هویت یا حملات پیشرفته (مانند Golden Ticket) گردد.

حمله BadSuccessor دقیقا چیست؟

حمله BadSuccessor یک آسیب‌پذیری منطقی است که فرآیند مدیریت چرخه عمر کلیدهای CA را هدف قرار می‌دهد؛ به‌خصوص درحالتی که یک CA بازنشسته (Retired CA) با CA دیگری جایگزین می‌شود (در اصطلاح، Successor CA). شبکه‌ها معمولاً پس از بازنشسته کردن CA قدیمی (مثلا به خاطر انقضای کلید یا آپگرید به الگوریتم‌های مدرن‌تر)، CA جدیدی به عنوان Successor معرفی می‌کنند و انتظار دارند زنجیره اعتبار همچنان برقرار اما امن‌تر باشد.
اینجاست که مشکل پیش می‌آید:
این CA Successor (جدید) می‌تواند همچنان به عنوان صادرکننده تایید شده توسط زنجیره اصلی معرفی شود، اما مکانیزم بررسی revocation یا لغو اعتبار CA قدیمی معمولا ناکافی است.
مهاجم می‌تواند گواهی‌ای تقلبی صادرشده توسط CA بازنشسته وارد کند و شبکه یا کلاینت تصور می‌کند چون Successor معرفی شده و زنجیره معتبر است، این گواهی باید قابل اعتماد باشد.
این آسیب‌پذیری ناشی از نحوه ذخیره‌سازی و بررسی فیلد CA Successor در ADCS است.

عملکرد فنی BadSuccessor

برای درک تاثیر این حمله، باید بدانیم پس از بازنشست شدن CA، زنجیره گواهی‌ها از طریق اکستنشن CA Version و رکورد successor در AD به‌هم متصل می‌شوند. در سناریوی واقعی:
سازمان CA قدیمی را بازنشسته می‌کند و CA جدید را به عنوان successor ثبت می‌کند.
این CA قدیمی می‌تواند یا باید غیر فعال و کلیدش حذف شود؛ اما اغلب بنا به اشتباه نگهداری یا پیکربندی ناقص، این کلید و دسترسی‌ها باقی می‌ماند.
مهاجم، اگر کنترل یا دسترسی به کلید خصوصی CA قدیمی یا سیستم مرتبط را داشته باشد، می‌تواند همچنان گواهی مطابق با زنجیره موردقبول صادر کند و آن را توسط Successor به شبکه تحمیل کند.
نکته مهم: بیشتر نرم‌افزارها و کلاینت‌ها، بررسی جدی روی زنجیره Successor انجام نمی‌دهند و صرفاً به زنجیره اعتماد (Chain of Trust) نگاه می‌کنند. همین باعث می‌شود گواهی جعلی با امضای CA بازنشسته اما متصل به Successor معتبر تلقی شود.

سناریوی حمله BadSuccessor

در سناریوی کلاسیک:
مهاجم دسترسی ادمینی به سیستم یا کلید خصوصی CA بازنشسته را کسب می‌کند (مثلاً از طریق هک قدیمی، باگ یا غفلت امنیتی).
یک گواهی مخرب ایجاد می‌کند (مثلاً برای برداشتن محدودیت‌های احراز هویت Kerberos یا جعل نام کاربر).
این گواهی، به خاطر زنجیره successor به راحتی به عنوان معتبر توسط کلاینت‌ها/سرویس‌ها شناخته می‌شود.
اثر: مسیر نفوذ تا سطح Domain Admin و حتی بالاتر (Persistence و Evasion پیشرفته).

چرا شناسایی این حمله دشوار است؟

بسیاری از ابزارهای امنیتی تمرکز خود را صرفاً بر گواهی‌های جاری‌ دارند و کمتر به زنجیره successor و وضعیت CA بازنشسته توجه می‌کنند.
لاگینگ ناکافی بر روی فرآیند بازنشسته‌سازی CA و فعالیت‌های مرتبط.
فرض رایج (ولی غلط) مبنی بر اینکه بازنشسته کردن CA و غیر فعال‌سازی آن، به طور پیش‌فرض امنیت کافی ایجاد می‌کند.

روش‌های مقابله و Mitigation

روش‌هایی برای کاهش ریسک حمله BadSuccessor پیشنهاد شده که در اینجا جمع‌بندی شده‌اند:


ادامه در پست بعدی...👇👇


#آکادمی_روزبه
مرکز تخصصی CISSP
Www.Roozbeh.academy

آکادمی آموزش روزبه 📚

08 июня 2025 20:13

معرفی و تحلیل ابزار امنیتی malwoverview

با رشد چشمگیر حملات سایبری و گسترش بدافزارها، تیم‌های پاسخگویی به رخداد (Incident Response) و شکار تهدیدات (Threat Hunting) بیش ‌از هر زمان دیگری نیازمند ابزارهایی هستند که بتوانند در کوتاه‌ترین زمان ممکن، اطلاعات جامعی را درباره فایل‌های مشکوک و نمونه‌های بدافزاری گردآوری و تحلیل کنند. یکی از ابزارهای مطرح در این حوزه malwoverview است که به خوبی توانسته خلأ موجود در جمع‌آوری سریع اطلاعات تهدید را برای تحلیل‌گران امنیتی پر کند.
سایتmalwoverview چیست؟
سایت malwoverview یک ابزار متن‌باز و مبتنی بر پایتون است که به عنوان یک پلتفرم پاسخ اولیه (first response) در حوزه شکار تهدید و تحلیل بدافزار عمل می‌کند. ویژگی منحصر به فرد این ابزار، تجمیع داده‌های تهدید از منابع معتبر و متنوع است که از جمله آن‌ها می‌توان به VirusTotal، Hybrid Analysis، URLHaus، Polyswarm، Malshare، AlienVault، Malpedia، Malware Bazaar، ThreatFox، Triage، InQuest، VxExchange و IPInfo اشاره کرد.
ابزار با دریافت نمونه فایل (یا هش) مورد نظر، به صورت خودکار درخواست‌هایی به این سرویس‌های اطلاعاتی ارسال کرده و گزارش‌های مربوط را جمع‌آوری و تجمیع می‌کند. چنین رویکردی کمک می‌کند تحلیل‌گران امنیتی خیلی سریع‌تر به دید جامعی درباره ماهیت تهدیدات دست پیدا کنند.
نقاط قوت و مزایا
تجمیع داده‌ها از منابع مختلف: شاید بزرگ‌ترین مزیت malwoverview گردآوری سریع و خودکار اطلاعات تهدید از طیف گسترده‌ای از سرویس‌های عمومی و خصوصی باشد. این امر، دقت و جامعیت گزارش‌ها را افزایش می‌دهد و کار تحلیل‌گران را ساده‌تر می‌کند.
پشتیبانی از تهدیدات اندرویدی: با افزایش سهم بدافزارهای موبایلی در حملات، قابلیت اسکن و تحلیل نمونه‌های اندرویدی نسبت به ویروس‌تو‌تال در malwoverview برجسته است.
کاربری ساده و قابل سفارشی‌سازی: ابزار کاملاً مبتنی بر خط فرمان (CLI) است و خروجی قابل اسکریپت‌نویسی دارد. این قابلیت باعث می‌شود malwoverview به آسانی در سناریوهای اتوماسیون (مثلاً در Playbookهای SOAR) و حتی SIEMهای اختصاصی قابل استفاده باشد.
کاربردها در محیط عملیاتی SOC
ابزارهایی مانند malwoverview در عملیات‌های واکنش سریع (first response) و همچنین مانیتورینگ پیوسته (continuous monitoring) در SOC بسیار حیاتی هستند. جمع‌آوری داده‌ی چندمنبعی (multi-source) باعث می‌شود که تیم دفاع، دیدی متقاطع نسبت به هر هش یا فایل مشکوک داشته باشد و حتی بتواند Indicatorهای مرتبط را در سایر لاگ‌ها و رویدادها جست‌وجو کند. بخش قابل توجهی از ارزش malwoverview در همین ساده‌سازی و تسریع فرآیند شناسایی است.


#آکادمی_روزبه
مرکز تخصصی CISSP
Www.Roozbeh.academy


https://github.com/alexandreborges/malwoverview

آکادمی آموزش روزبه 📚

07 июня 2025 21:01

نابود سازی( امحا) 200 ترابایت داده در یک ثانیه !!Wipe عملی
برای محو امن داده طبقه بندی شده در دیتاسنتر های بزرگ

در دیسک‌های خودرمزنگار (Self-Encrypting Drive / SED) داده‌ها همیشه به صورت رمزنگاری‌شده ذخیره می‌شوند. با چیپی که روی دیسک وجود دارد داده ها رمز شده و کلید هم در آن چیپ است.
اما اصل قضیه به این صورت است:
۱. همه‌چیز به کلید رمزنگاری بستگی دارد
دیتای روی دیسک SED، نه به صورت ساده، بلکه با رمزنگاری الگوریتم symmetric (مثلاً AES-256) نگهداری می‌شود.
کلید رمزنگاری اصلی (Encryption Key) درون سخت‌افزار دیسک (در Crypto Processor داخلی) ذخیره شده و هرگز به بیرون فاش نمی‌شود.
۲. فرآیند پاک‌سازی سنتی در هارد معمولی
در هارد معمولی، باید کل سکتورها را با داده جدید overwrite کنید تا داده قبلی غیرقابل بازیابی شود. این عملیات ساعتها یا روزها زمان می‌برد، مخصوصاً برای ظرفیت‌های بالا.
۳. پاک‌سازی آنی در SED
در SED کافیست فقط کلید رمزنگاری قبلی بازنویسی یا نابود شود (مثلاً با یک کلید جدید جایگزین شود).
تمام داده‌های روی دیسک که با کلید قبلی رمزنگاری شده بودند، ناگهان و برای همیشه غیرقابل دسترسی می‌شوند؛ زیرا بدون داشتن کلید قبلی، تمام اطلاعات به صورت رمزی و غیرقابل بازیابی باقی می‌ماند.
این فرایند تنها چند میلی‌ثانیه تا چند ثانیه طول می‌کشد، چون نیاز به لمس فیزیکی همه سکتورها نیست—صرفاً یک عملیات سریع hard reset یا overwrite روی کلید رمزنگاری است.
۴. امنیت در سطح خیلی بالا
از نظر امنیت اطلاعات، چنین wipe‌ای مساوی با نابودی کامل فیزیکی دیسک است، زیرا رمزگشایی اطلاعات عملاً غیرممکن می‌شود.
حتی اگر یک مهاجم کل دیسک را کپی کند، بدون کلید اصلی هیچ راهی برای بازیابی داده‌ها ندارد.
جمع‌بندی
دلیل آنی بودن wipe در SED:
پاک‌سازی فوری به این دلیل شدنی است که نابودی فقط یک کلید رمزنگاری (که همه داده‌ها را پنهان کرده) بلافاصله باعث غیرقابل دسترس شدن کل فضای داده‌ای می‌شود.


**منظور از عملا غیر ممکن است ؛ یعنی با فناوریهای موجود تقریبا ناممکن است

#آکادمی_روزبه
مرکز تخصصی CISSP
www.roozbeh.academy

آکادمی آموزش روزبه 📚

07 июня 2025 10:48

معماری امنیت : هنرمندی بین ضرورت و واقعیت

✍️روزبه نوروزی


آنچه که من بر اساس بهروش های روز جهان منجمله مستندات ISC2 و درس CISSP تاکید میکنم، رعایت امنیت با در نظرگرفتن عوامل مختلف است نه صرف خود امنیت.
نمونه اش رو در هفته گذشته در خصوص مساله ذخیره سازی کارتهای بانکی ملاحظه نمودید.
امروز پیرو تدریس CISSP در پنجشنبه ها لازم دیدم موضوع ضرورت و واقعیت در امنیت را از زاویه ای دیگر بررسی کنم .

بحث امروز :ترکیب Zero Trust و Trust But Verify بعنوان دو مفهوم اساسی در امنیت؛ رویکردی واقع‌گرایانه در امنیت سازمانی


در سال‌های اخیر، مدل‌های امنیتی سنتی که مبتنی بر مرز شبکه و اعتماد اولیه به کاربران داخلی سازمان بودند، دیگر پاسخگوی تهدیدات پیچیده و پیشرفته امروزی نیستند. در این میان، دو مدل پرکاربرد یعنی Zero Trust (بی‌اعتمادی مطلق) و Trust But Verify (اعتماد کن اما راستی‌آزمایی کن) وارد صحنه شده‌اند تا امنیت را بر پایه شک، بررسی و کنترل مداوم قرار دهند.
عموما مدل اول در نوشته ها و گروه های تلگرامی باب شده و متداول است اما آیا واقعا شدنی است؟مورد دوم هم اصلی در امنیت است که برای " انجام کار " در نظر گرفته میشود تا چرخ بیزنس چرخش بچرخد!!

اما کدام‌یک برای سازمان شما مناسب‌تر است؟
یا آیا ترکیبی از هر دو بهترین گزینه نیست؟

مقوله Zero Trust بر این اصل استوار است که هیچ کاربری، حتی اگر داخل سازمان باشد، نباید مورد اعتماد قرار گیرد، مگر آنکه هر بار درخواست دسترسی، هویت و مجوزهایش را به دقت اثبات کند. این مدل، عملاً فرض می‌کند هر سیستم یا شخصی بالقوه مهاجم است و باید تحت شدیدترین کنترل‌ها قرار گیرد. در این رویکرد، دارایی‌های کلیدی سازمان - مانند سرورهای مالی، پایگاه‌های داده حساس و منابع استراتژیک - موسوم به “protected surface” انتخاب می‌شوند و امنیت آن‌ها با سیاست‌هایی چون احراز هویت چندمرحله‌ای، تفکیک حداقل دسترسی و نظارت مستمر تضمین می‌شود.
در مقابل، Trust But Verify مدلی معتدل‌تر است. این روش فرض می‌کند که برخی فعالیت‌ها و کاربران می‌توانند تا حدی مورد اعتماد قرار گیرند، با این حال، تمامی فعالیت‌ها باید لاگ شوند و به‌صورت دوره‌ای توسط ابزارها یا کارشناسان امنیتی بررسی شوند. این اصل، به‌ویژه در بخش‌هایی از سازمان که سطح حساسیت کمتری دارند یا اعمال کنترل شدید باعث افت بهر‌ه‌وری می‌شود، کاربرد زیادی دارد. چرا که کنترل بیش از حد ممکن است فرآیندها را مختل کند و موجب نارضایتی کارکنان شود.
در عمل، ترکیب این دو رویکرد بهترین پاسخ به نیازهای امنیتی سازمان‌هاست. ابتدا باید “سطوح محافظت‌شده” تعیین شود تا بخش‌های بحرانی تحت سیاست Zero Trust قرار گیرند. بقیه سامانه‌ها و کاربران با مدل Trust But Verify مدیریت می‌شوند، بدین شکل که رفتارهای آن‌ها به شکل هوشمندانه پایش و تحلیل شده و در صورت مشاهده رفتار مشکوک یا تهدید، به سرعت اقدامات اصلاحی انجام می‌گیرد.
این شیوه ترکیبی علاوه بر بهبود امنیت، باعث حفظ کارایی سازمان و به حداقل رساندن اصطکاک امنیت با فعالیت‌های روزمره می‌شود. در نهایت، امنیت کامل یک هدف نیست، بلکه طیفی از اقدامات هوشمندانه و رو به رشد است که باید براساس ریسک‌های واقعی هر سازمان طراحی و اجرا شود.


#آکادمی_روزبه
مرکز تخصصی CISSP
www.roozbeh.academy

آکادمی آموزش روزبه 📚

04 июня 2025 20:54

نگرش امنیتی داشتنsecurity mindset ضرورتی در دنیای امنیت


داشتن «نگرش امنیتی» (security mindset) در تدوین رول‌های auditd و همچنین کانفیگ فایروال FortiGate، تفاوت زیادی در کیفیت محافظت، کارایی رخدادنگاری (auditing) و پیشگیری از رخدادهای امنیتی ایجاد می‌کند. چند محور کلیدی:
در تدوین رول‌های auditd:

تشخیص سناریوهای حمله واقعی: فردی با نگرش امنیتی فقط لاگ مسیرهای obvious یا فعالیت‌های سیستماتیک ساده را log نمی‌کند؛ بلکه دنبال رفتارهای غیرعادی، سوءاستفاده‌های privilege escalation، تغییر مجوز فایل‌های سیستمی، exec شدن باینری‌های مشکوک و… است.
توازن بین حجم لاگ و اثربخشی: security mindset کمک می‌کند تنظیمات auditd به‌گونه‌ای باشد که نه فقط همه چیز log شود (که باعث noisy و تحمیل overhead می‌شود)، نه اطلاعات حیاتی از قلم بیفتد. مثلا ورود موفق و ناموفق به sudo، تغییرات در /etc/passwd، اجرای اسکریپت‌ها در /tmp ــ دقیق و هدفمند ثبت می‌شوند.
پوشش Blind Spotها: کسی با دید security، رول‌هایی مثل log گرفتن از setcap، mount، kernel module insertion و تغییر مالکیت فایل‌های کلیدی را، که در بسیاری از سیستم‌ها نادیده می‌مانند، جدی می‌گیرد.

در پیاده‌سازی فایروال FortiGate:

تحلیل رفتار ترافیک و Attack Surface: با ذهن امنیتی، رول‌ها صرفاً بر اساس چک‌باکس‌ها یا مستندات vendor نوشته نمی‌شوند؛ بلکه انواع حمله، lateral movement، و misconfiguration محتمل در نظر گرفته می‌شود. مثلاً allow نکردن ترافیک internal غیرضروری، توجه به rule order و جلوگیری از rule overlap.
فعال کردن Logging کافی: فایروال بدون log کامل، فقط یک “سد” خاموش است. security mindset یعنی توجه به log های reject/accept، حتی test rule ها و logging تراکنش‌هایی که معمولاً بی‌اهمیت تلقی می‌شوند اما می‌توانند pivot point در یک حمله باشند.
آزمایش و بازنگری مداوم رول‌ها: افراد با نگرش امنیتی مرتب رول‌ها را با تست penetration یا threat simulation (مانند ابزارهای شبیه‌ساز حمله) بازبینی می‌کنند تا blind spotها یا rule misconfiguration شناسایی و رفع شود.

نتیجه‌گیری

نگرش امنیتی security mindset به این معنی است که لاگ‌گیری و سیاست‌گذاری صرفاً براساس سلیقه یا الگوهای آماده نباشد؛ بلکه با نگاه تهدیدمحور، احتمال abuse و رفتار تطبیقی مهاجم، هر rule یا لاگ را تدوین و نگهداری کنیم. این دیدگاه، gapها را ‌حداقل و قابلیت دفاع عملیاتی سازمان یا شبکه را چند برابر می‌کند.


#آکادمی_روزبه
مرکز تخصصی CISSP

آکادمی آموزش روزبه 📚

04 июня 2025 18:24

ضعف‌های پنهان امنیت ایمیل: عبور حملات فیشینگ از SPF، DKIM و DMARC

در دنیای امروز که ایمیل‌ها بخش جدایی‌ناپذیری از چرخه تجاری و عملیاتی سازمان‌ها هستند، بسیاری بر این باورند که با اعمال سیاست‌های SPF، DKIM و DMARC می‌توانند جلوی نفوذ پیام‌های فیشینگ و جعل هویت را به‌طور کامل بگیرند. اما صرفاً تکیه بر این مکانیزم‌ها، به‌ویژه در پیاده‌سازی‌های خاص نظیر استفاده از سرویس‌هایی چون Cloudflare Email Routing، می‌تواند سازمان‌ها را در معرض حمله‌ قرار دهد.
سناریوی حمله: عبور فیشینگ با هدرهای معتبر

در یک نمونه خاص، مهاجم با استفاده از یک دامنه جعلی و سرویس مسیریابی ایمیل Cloudflare موفق شده است ایمیلی با ظاهر کاملاً مشروع به هدف ارسال کند. نکته کلیدی اینکه تمام سیاست‌های امنیتی موجود یعنی SPF (تعیین مجاز بودن سرور ارسال‌کننده)، DKIM (امضای رمزنگاری‌شده صحت پیام) و DMARC (سیاست تطبیق دامنه) را با موفقیت پشت سر گذاشته است.

روند حمله به این شکل است:

مهاجم ایمیلی را به دامنه هدف از طریق کلادفلر ارسال کرده؛ در حالی که آدرس فرستنده را دقیقاً مشابه با ایمیل واقعی قربانی قرار داده است.
چون رکورد SPF دامنه قربانی اجازه ارسال ایمیل از سمت کلادفلر را می‌دهد، SPF ایمیل را معتبر می‌داند.
مهاجم دامنه‌ای مشابه با Cloudflare (مثل cloudflare-email[.]net) ثبت و روی آن DKIM فعال می‌کند تا امضای رمزنگاری‌شده DKIM نیز معتبر باشد.
چون سیاست DMARC روی p=quarantine و با Alignment سختگیرانه تنظیم نشده، پیام در نهایت بدون هیچ هشداری به inbox قربانی می‌رسد.

ابعاد فنی پشت پرده

به شکل جزئی‌تر، این حمله بر این نکات فنی مبتنی است:

پیام ابتدا از سرور دیگری (مثلاً plesk.page hosting) ارسال می‌شود اما از طریق سرورهای ایمیل کلادفلر به مقصد می‌رسد.
دامنه استفاده شده برای امضای DKIM متعلق به مهاجم و ساختگی است اما با نامی مشابه سرویس معتبر (Cloudflare) که مورد اعتماد سیستم ایمیل قربانی است.
تنظیمات DMARC دامنه قربانی تطبیق سختگیرانه بین دامنه فرستنده و دامنه امضای DKIM را الزامی نکرده است.

در نتیجه، مهاجم با ثبت یک دامنه شبیه‌سازی‌شده و ساختن زیرساخت انتقال پیام (Cloudflare Routing)، سدهای امنیتی رایج را دور می‌زند و یک پیام فیشینگ کاملاً شبیه به پیام‌های سازمانی و قانونی می‌فرستد.

توصیه‌های امنیتی و نقاط قابل‌بهبود

در فضای عملیاتی کشور و شرکت‌هایی که از Cloudflare Email Routing یا سرویس‌های خارجی مشابه استفاده می‌کنند، ضروری است:

بازبینی دقیق تنظیمات DMARC: فعال‌سازی سیاست p=reject و الزام به تطبیق سخت‌گیرانه (Strict Alignment) میان دامنه‌های From, DKIM و SPF.
عدم اطمینان صرف به SPF و DKIM: این دو مکانیزم به‌تنهایی حتی در صورت پاس شدن، جلوی حمله دامنه‌های lookalike یا فیشینگ را نمی‌گیرند.
مونیتورینگ و تحلیل دقیق Logها: هرگاه زیرساخت یا سرویس جانبی (مانند کلادفلر) به‌عنوان واسطه ارسال ایمیل قرار می‌گیرد، باید ارسال‌های غیرمنتظره و دامنه‌های مشابه (lookalike) به‌دقت رصد شوند.
آموزش ساختاریافته کاربران و تیم امنیت: تاکید بر اهمیت تحلیل هدرهای ایمیل و تشخیص تفاوت‌های ظریف دامنه‌ها در کنار ابزارهای فنی.

هیچ مکانیزم تکی ایمیل، حتی استانداردهای جهانی مثل SPF و DKIM، جایگزین پیاده‌سازی درست، تطبیق سختگیرانه دامنه و آموزش امنیتی مداوم برای کاهش ریسک حملات فیشینگ پیشرفته نیست

#آکادمی_روزبه
مرکز تخصصی CISSP

آکادمی آموزش روزبه 📚

03 июня 2025 19:04

هایپروایزر و نقش آن در حافظه‌ درون نگری!! و مهندسی معکوس

در سال‌های اخیر، رشد چشمگیر فناوری مجازی‌سازی باعث شده ابزارهای امنیت سایبری و تحلیل آسیب‌پذیری، به ویژه در حوزه مهندسی معکوس بدافزار و بررسی رفتارهای تهدیدگرانه، به استفاده از هایپروایزرها (Hypervisor) برای حافظه‌ درون نگری (Memory Introspection) روی بیاورند. مقاله منتشر شده در سایت Secret Club به بررسی دقیق این روند و پیشران‌های فنی آن پرداخته است.

ذات Memory Introspection

حافظه‌ نگری به روشی اطلاق می‌شود که در آن، یک فرآیند خارجی (خارج از سیستم عامل هدف) فعالیت‌ها، داده‌ها و تغییرات حافظه یک ماشین هدف را مشاهده و تحلیل می‌کند؛ بدون آنکه از درون خودِ سیستم عامل قربانی عمل کند. این رویکرد، نقاط قوت عمده‌ای دارد:

عبور از محدودیت‌ها و دید امنیتی سیستم عامل هدف (مثل rootkit/bootkit و…)
مقاومت بالاتر در برابر تکنیک‌های ضدتحلیل بدافزارها
امکان ایجاد ابزارهای دقیق‌تر برای ردیابی فعالیت بدافزارها و اکسپلویت‌ها

نقش هایپروایزر

هایپروایزر میان‌افزاری است که سخت‌افزار را بین چند ماشین مجازی مدیریت می‌کند. هسته مقاله Secret Club این است که سطح دسترسی بالای هایپروایزر (VMM) و موقعیت خارج از سیستم عامل اجازه می‌دهد:

حافظه مهمان به صورت real-time و بدون تداخل بررسی شود؛
تغییرات حافظه، اجرای کد، و حتی دستکاری‌ها بدون هشدار به سیستم عامل قربانی، پایش گردد؛
تهدیدها یا rootkitها قبل از تلاش برای اختفا کشف شوند.

ابزارهایی چون DRAKVUF، Virtuoso و XenAccess مثال‌های بارز این فلسفه هستند که به کمک APIهای هایپروایزر (اغلب Xen و KVM)، ابزارهای تحلیل حافظه پیشرفته‌ای ایجاد کرده‌اند و تحلیل‌گران می‌توانند فعالیت‌های یک سیستم قربانی را زیرنظر بگیرند.

چالش‌ها و فرصت‌ها

فرصت‌ها:

فراهم کردن تحلیل غیرمخرب (non-intrusive) از سیستم‌های هدف، حتی هنگام بررسی بدافزارهای لایه‌پایین و پیچیده؛
سرعت و دقت بالا در snapshot‌گیری و جستجوی الگوی رفتاری تهدیدها؛
سادگی در پیاده‌سازی اتوماسیون تحلیل و حتی sandboxing پیشرفته بدافزار؛

چالش‌ها:

پیچیدگی پیاده‌سازی، نیاز به مهارت‌های سطح‌پایین (درک ساختار kernel، حافظه، و اصول مجازی‌سازی)؛
سوءاستفاده مهاجمان پیشرفته از آسیب‌پذیری‌های هایپروایزر;
حفظ عملکرد و کارایی (performance overhead) هنگام پایش زنده حجم بالای داده؛
دشواری در تحلیل real-time سیستم‌های بزرگ یا توزیع‌شده.

جمع‌بندی و افق آینده

مقاله تأکید می‌کند که استفاده از هایپروایزرها برای حافظه‌ درون نگری و مهندسی معکوس، نه تنها نقطه‌عطفی در امنیت سایبری است، بلکه ابزارهایی برای آینده تحلیل تهدید و شناسایی بدافزار به صورت stealthy و مؤثر پدید آورده است. هرچند هنوز موانع فنی باقی است، اما موج جدید VMI (Virtual Machine Introspection) پنجره‌ای به دنیای تحلیل پیشرفته Incident Response، Malware Analysis و حتی Threat Hunting گشوده است.

از منظر عملیاتی، اتخاذ این فناوری‌ها خصوصاً در تیم‌های IR و SOC می‌تواند دقت و سرعت کشف تهدیدات پیشرفته را چند برابر کند، به شرط آنکه تیم فنی زیرساخت و مهارت لازم را داشته باشد.



#آکادمی_روزبه
مرکز تخصصی CISSP


https://secret.club/2025/06/02/hypervisors-for-memory-introspection-and-reverse-engineering.html

آکادمی آموزش روزبه 📚

02 июня 2025 16:07

هوشمندی تهدیدات داخلی (Insider Threat Intelligence)؛ فهم، تحلیل و راهبردهای مقابله بر اساس چارچوب CISSP

مقدمه
در دنیای امروز امنیت سایبری، تهدیدات داخلی (Insider Threats) به‌عنوان یکی از چالش‌برانگیزترین و پرهزینه‌ترین ریسک‌ها برای سازمان‌ها شناخته می‌شوند. برخلاف حملات بیرونی که منشأ آن‌ها اغلب مهاجمان ناشناس است، تهدیدات داخلی از سوی افرادی رخ می‌دهد که به منابع و داده‌های حساس سازمان دسترسی قانونی دارند. این افراد شامل کارکنان، پیمانکاران، شرکای تجاری و حتی کارکنان سابق می‌شوند. Insider Threat Intelligence (هوشمندی تهدیدات داخلی)، یعنی مجموعه فرایندها و فناوری‌هایی که به شناسایی، تحلیل، پیشگیری و پاسخ مؤثر به این دسته از تهدیدات می‌پردازد و از اهمیت فزاینده‌ای در چارچوب‌هایی مثل CISSP برخوردار است.

دسته‌بندی تهدیدات داخلی

تهدید داخلی به دو دسته اصلی تقسیم می‌شود:
عمدی (Malicious/Intentional):شامل افرادی که با اهداف خصمانه، به قصد سرقت، خرابکاری یا فروش اطلاعات دست به اقدام می‌زنند. مثال‌های رایج: انتقال غیرمجاز داده به رقبا، خرابکاری عمدی زیرساخت یا فروش اطلاعات.
غيرعمدی (Negligent/Unintentional):حاصل سهل‌انگاری یا عدم رعایت سیاست‌های امنیتی توسط افراد مجاز است. نمونه: ارسال اشتباهی فایل محرمانه به ایمیل خارجی، کلیک روی لینک‌های مخرب.

چرایی اهمیت هوشمندی تهدیدات داخلی

دسترسی عمیق: افراد داخلی غالباً به منابعی مثل پایگاه‌های داده بحرانی، کد منبع و سامانه‌های استراتژیک دسترسی مستقیم دارند.
دور زدن کنترل‌ها: دانش کافی برای عبور از کنترل‌های امنیتی متعارف مثل فایروال یا سامانه‌های تشخیص نفوذ دارند.
تشخیص دشوارتر: بسیاری از فعالیت‌های آن‌ها در ظاهر، “عادی” به نظر می‌رسد. همین موضوع، کشف و پاسخ سریع را دشوار می‌کند.
اجزا و مراحل تحلیل هوشمندی تهدید داخلی
بر اساس چارچوب CISSP و رویکردهای نوین Threat Intelligence، مراحل زیر توصیه می‌شود:
۱. جمع‌آوری داده (Data Collection):
ثبت لاگ‌های دسترسی کاربران (Authentication, File Access, Network Connection).
رهگیری رفتار کاربری در سامانه‌های بحرانی.
مانیتورینگ ایمیل‌ها، انتقال فایل و ترافیک داخلی.
۲. تحلیل رفتاری (Behavioral Analytics):
User & Entity Behavior Analytics (UEBA):تحلیل الگوهای عادی و غیرعادی کاربران. برای مثال، انتقال ناگهانی حجم زیاد داده یا دسترسی به سیستم در ساعات غیرکاری به‌عنوان شاخص رفتار مشکوک.
۳. تهیه شاخص‌های هشدار (Indicators of Insider Threat):
تعریف قواعد یا سناریوهایی که نشانه‌های تهدید داخلی را آشکار می‌کند (مثل تلاش برای کپی فایل‌های محرمانه به USB).
گردآوری اطلاعات تهدیدات واقعی و اشتراک‌گذاری با سایر سازمان‌ها (Threat Sharing).
۴. پاسخ و مقابله (Incident Response):
طرح اختصاصی واکنش به تهدیدات داخلی (جدای از IR معمول).
آموزش پرسنل امنیت و مدیران منابع انسانی برای برخورد سریع، قانونی و حرفه‌ای با وقایع.
۵. بازنگری و بهبود مستمر:
ممیزی ادواری سیاست‌های دسترسی، تفکیک وظایف (Separation of Duties)، اصل کمترین دسترسی (Least Privilege).
پیاده‌سازی سامانه‌های DLP و رمزنگاری داده‌های حساس.

نمونه راهکارها و فناوری‌ها

Data Loss Prevention (DLP): جلوگیری از نشت داده‌های حساس.
SIEM (Security Information & Event Management): جمع‌آوری، همبسته‌سازی و هشدار به رخدادها.
Privileged Access Management (PAM): نظارت بر رفتار حساب‌های دارای دسترسی ویژه.
Threat Intelligence Platforms (TIP): گردآوری و اشتراک‌گذاری داده‌های تهدیدات بروز.
UEBA: پایش رفتار کاربران و کشف الگوهای غیرعادی به صورت Real-Time.

ملاحظات انسانی و فرهنگی

هوشمندی تهدید داخلی صرفاً مسأله‌ای فنی نیست؛ بلکه نیازمند سیاست‌گذاری و فرهنگ‌سازی عمیق است:

فرهنگ گزارش‌دهی (Whistleblowing): ایجاد امکان گزارش رفتار مشکوک به صورت محرمانه و بدون ترس.
آموزش کارکنان: ارتقا آگاهی از سیاست‌ها و آثار رفتار ناهنجار در محیط کاری.
ارزش‌یابی مداوم ریسک پرسنلی: بررسی زمینه‌های نارضایتی، فشارهای روانی و تغییرات غیرمنتظره در رفتار ظرفیت تهدید را کاهش می‌دهد.
ایفای نقش تهدیدات داخلی در چارچوب CISSP
در آزمون و چارچوب CISSP، تهدیدات داخلی در مباحث Domain 1 (Security & Risk Management)، Domain 7 (Security Operations) و Domain 8 (Software Development Security) نقش کلیدی دارند. درک دقیق فرایند هوشمندی، این امکان را به دانشجویان می‌دهد تا کنترل‌ها، سیاست‌ها، فناوری‌ها و رویه‌های تشخیص و پاسخ را در سطحی کاربردی و مدیریتی پیاده‌سازی کنند.

#آکادمی_روزبه
مرکز تخصصی CISSP
Www.Roozbeh.academy

آکادمی آموزش روزبه 📚

02 июня 2025 11:00

تهدید داخلی در سازمان و ملاحظات فناوری

شرکت Coinbase، یکی از بزرگ‌ترین صرافی‌های رمزارزی جهان، در آغاز ۲۰۲۴ هدف حمله‌ای قرار گرفت که توسط یک نیروی داخلی تسهیل شد؛ کارمندی با دسترسی گسترده که موفق شد برخی داده‌های حساس را در اختیار مهاجمان قرار دهد. ماهیت این رخداد، بار دیگر نشان داد که حتی قوی‌ترین دیوارهای امنیتی فنی (نظیر Zero Trust، رمزنگاری چندلایه و کنترل دسترسی سخت‌گیرانه)، در مواجهه با عنصر انسانی می‌توانند آسیب‌پذیر باشند.

درسی که از این حادثه برداشت می‌شود، فراتر از تمرکز صرف بر ابزارها و فناوری‌های پیشرفته امنیتی است. تهدید داخلی، به گونه‌ای ذاتاً پیچیده است، زیرا مهاجم در این سناریو آشنا با فرایندهای سازمانی، دارایی‌های کلیدی و مسیرهای دسترسی به اطلاعات حساس است و عمدتاً می‌تواند کنترل‌های استاندارد را دور بزند.

نقاط ضعف و چالش‌های آشکارشده

فقدان مانیتورینگ مؤثر و تحلیل رفتار غیرعادی کارکنان از مهم‌ترین نقاط ضعف Coinbase بود؛ موضوعی که نه تنها در این شرکت، بلکه در بسیاری از سازمان‌های مشابه وجود دارد. ریشه اصلی مشکل، اتکا بیش از حد به کنترل‌های فنی به جای موازنه با فرهنگ سازمانی امن و هوشمندی تهدید (Threat Intelligence) انسانی است.

در این رخداد مشخص شد که بخشی از کنترل‌های Segregation of Duties و Principle of Least Privilege به طور کامل پیاده‌سازی نشده بودند. همچنین فرآیند بررسی و پس‌بررسی (audit) دسترسی‌ها و رفتار کاری افراد دارای مجوز ویژه، به شکل پیوسته و تحلیلی اجرا نمی‌شد.
راهکارها و درس‌های کاربردی برای امنیت سازمانی

۱. مانیتورینگ رفتاری مداوم (UEBA)

فناوری‌هایی مانند User & Entity Behavior Analytics باید به‌صورت فعال، رفتار کارکنان و تغییر الگوهای دسترسی یا استخراج داده را رصد و آلارم کنند تا بتوان احتمال تهدید داخلی را در لحظه کاهش داد.

۲. مدیریت چرخه عمر دسترسی‌ها (Access Lifecycle Management)

بازنگری منظم دسترسی‌ها، به‌ویژه برای افراد دارای مجوز بالا، و کاهش دسترسی‌ها در کمترین سطح ممکن (Principle of Least Privilege) بسیار حیاتی است.

۳. فرهنگ‌سازی و آموزش سازمانی

افزایش آگاهی کارکنان نسبت به ریسک‌های داخلی و مکانیزم‌های گزارش‌دهی ناشناس وقوع رفتار مشکوک، اهمیت دوچندانی می‌یابد.

۴. گسترش تست‌های امنیتی اجتماعی و Red Teaming

ارزیابی‌های دوره‌ای با سناریوهای شبیه‌سازی‌شده حملات داخلی و تحلیل میزان پاسخ‌گویی زیرساخت، ابزاری مؤثر در سنجش آمادگی سازمان است.

۵. ارتقاء لاگینگ و قابلیت کشف سریع رخداد

بهبود سامانه لاگینگ، هم از نظر وسعت داده‌ها و هم از لحاظ کیفیت تحلیل، باعث کاهش چشمگیر بازه زمانی کشف و پاسخ به حوادث داخلی خواهد شد.


در یک کلام، جدی‌گرفتن تهدید داخلی یعنی پذیرش این واقعیت: هر راهکار فنی یا مدیریتی بدون توجه به عنصر انسانی، بخشی از امنیت را نادیده می‌گیرد و امکان بروز رخدادهایی شبیه آنچه برای Coinbase اتفاق افتاد همواره وجود دارد. راهکارهای چندلایه، تحلیل فعال و مشارکت همه اعضای سازمان، رمز مقابله با این تهدید است.



#آکادمی_روزبه
مرکز تخصصی CISSP

https://www.thestack.technology/coinbase-insider-threat-lessons/

آکادمی آموزش روزبه 📚

01 июня 2025 21:14

وضعیت ما در SOC هایی که میبینم در خصوص پایش حوزه لینوکس نگران کننده است.
دقتی که همکاران برای حوزه ویندوز دارند در لینوکس انجام نمی‌شود و از آن مهم‌تر در خصوص اقدامات Prevention ضعیف عمل می‌کنیم

برویم یک مثال ببینیم


#آکادمی_روزبه
مرکز تخصصی CISSP


https://thehackernews.com/2025/05/new-linux-flaws-allow-password-hash.html?m=1

آکادمی آموزش روزبه 📚

01 июня 2025 19:46

ستاره ی قطبی

رصد فناوری و اینکه ما کجا هستیم مهم است.
آینده ی ما شاید حال دیگران باشد

#آکادمی_روزبه
مرکز تخصصی CISSP

آکادمی آموزش روزبه 📚

30 мая 2025 20:09

👆👆ادامه از پست قبل


قسمت سوم

ساخت PE Header تقلبی برای شروع تحلیل: در صورتی که offset و entry point کشف شود، PE Header تقلبی ساخته و فایل dump در ابزارهای تحلیل بارگذاری شود.
تحلیل هیستوری حافظه: جستجو در page table برای یافتن الگوی بارگذاری غیرمعمول.
رهگیری پردازش‌های کوتاه‌عمر: بسیاری مهاجمان، shellcode را در پروسس‌های کوتاه‌عمر اجرا و بلافاصله نابود می‌کنند.

۷. توصیه‌های کاربردی برای تیم‌های IR و Threat Hunting

۱. مراکز عملیات SOC باید به Memory Forensics مجهز باشند: فقط AV/EDR مبتنی بر disk کافی نیست؛ تحلیل memory لازم است.

۲. به دنبال بخش‌های مشکوک با no PE header باشید: مثلاً process hollowing یا رفتار mapped manual.

۳. به روز رسانی رویه‌های incident response: ابزارهایی چون FTK Imager، Magnet RAM Capture و … باید در کنار Volatility و PE Sieve به کار گرفته شوند.

۴. استفاده از sandboxهای اختصاصی memory: برای شناسایی رفتار runtime.

۵. با تیم‌های امنیتی تهدید پیشرفته (Threat Intel) همکاری نزدیک داشته باشید: تجربه و ابزارهای آنها در این حوزه راهگشاست.
۸. جمع‌بندی

دنیای تهدیدات پیشرفته روزبه‌روز حرفه‌ای‌تر می‌شود و مهاجمان با حذف بخش‌های پایه‌ای فایل اجرایی (PE Header)، باعث سردرگمی ابزارها و تحلیل‌گران شده‌اند؛ Ghost PE و پیاده‌سازی آن (GhostPepper) شکل مدرن حمله «Fileless» و «in-memory execution» را ایجاد کرده است. راهکار مقابله، تجهیز تیم به ابزارهای پیشرفته forensic memory (مانند Volatility و PE-Sieve)، توسعه دانش تحلیل dynamic و memory-based، و ترکیب آن با تهدیدشناسی پیشرفته است. به مدد این رویکردها، حتی پیچیده‌ترین بدافزارهای Fileless قابل شناسایی و مهار خواهند شد.


#آکادمی_روزبه
مرکز تخصصی CISSP
Www.Roozbeh.academy


https://www.fortinet.com/blog/threat-research/deep-dive-into-a-dumped-malware-without-a-pe-header

آکادمی آموزش روزبه 📚

30 мая 2025 19:44

مقاله ی روز


نفوذ عمیق
کشفی از آزمایشگاه فورتی نت در دامپ ۳۳ گیگی حافظه

مقدمه

در دنیای تهدیدات پیچیده‌ روز، مهاجمان سایبری برای عبور از دیواره‌های دفاعی و سخت‌تر کردن فرآیند تحلیل و شکار تهدیدها، به تکنیک‌های جدید و نوآورانه‌ای روی آورده‌اند. یکی از این تکنیک‌های پیشرفته، حذف یا دستکاری PE Header در بدافزارهای فایل اجرایی ویندوز و یا پیاده‌سازی اجرا به صورت کامل در حافظه (in-memory execution) است که نمونه بارز آن را می‌توان در مقوله «Ghost PE» مشاهده کرد. این مقاله به بررسی عمیق dump کردن malwareهای بدون PE Header، چالش‌های تحلیل آن‌ها، مکانیزم Ghost PE، و تدابیر مقابله‌ای می‌پردازد، و بر اساس مطالعه‌ی موردی Fortinet و منابع معتبر دیگر نوشته شده است.

۱. ساختار فایل PE و نقش آن

ساختار PE (Portable Executable) فرمت اصلی فایل‌های اجرایی ویندوز است که شامل بخش‌های حیاتی همچون DOS Header، NT Headers، جدول sectionها (code, data, resource و…)، جدول importها و… می‌شود. وجود PE Header برای بارگذاری صحیح توسط سیستم عامل و ابزارهای تحلیل، لازم است. بسیاری از ابزارهای تحلیل استاتیک و فارنزیک نیز برای تشخیص صحیح، نیاز به وجود این header دارند.

چرا هدف قرار دادن PE Header؟

مهاجمان با حذف یا دستکاری Header، فایل را برای ابزارهای امنیتی غیرقابل شناسایی (undetectable) می‌کنند؛ بدین ترتیب، signatureها و heuristic بسیاری از آنتی‌ویروس‌ها و ابزارهای EDR بی‌اثر می‌شوند.
۲. سناریوی فورتی نت و Dumped Malware بدون PE Header؛ هدف و انگیزه مهاجم

مساله Dump کردن یک بدافزار معمولاً زمانی انجام می‌شود که یک تحلیل‌گر یا ابزار حافظه، بخش‌های مشکوک را مستقیماً از RAM استخراج می‌کند. اگر مهاجم بتواند PE Header را حذف کند یا بدافزار را به گونه‌ای اجرا کند که header در حافظه موجود نباشد، فرایند تحلیل پیچیده و زمان‌بر خواهد شد.

انگیزه‌های مهاجم

مقابله با signature-based detection: حذف بخش قابل شناسایی
دشوارسازی تحلیل post-mortem: متخصصان فارنزیک یا Incident Response با نمونه‌ی غیرقابل تحلیل مواجه می‌شوند
تسریع حمله Fileless: فایل اجرایی هرگز روی دیسک نمی‌نشیند و فقط در حافظه فعالیت دارد

فورتی نت در دامپ ۳۳ گیگی حافظه توانسته است تحلیلی از بدافزاری با PE هدر تخریب شده ارائه دهد.


پایان قسمت اول
ادامه در پستهای بعد ..👇👇


#آکادمی_روزبه
مرکز تخصصی CISSP
Www.Roozbeh.academy

آکادمی آموزش روزبه 📚

29 мая 2025 10:13

🔰#تبلیغات #موقت


پیاده‌سازی امنیت در لبه شبکه با استفاده از Cisco FTD و Splunk

مقدمه

در سال‌های اخیر با افزایش پیچیدگی تهدیدات سایبری، حفاظت از لبه شبکه (Network Edge) بیش از هر زمان دیگری اهمیت یافته است. لبه شبکه به دلیل قرار گرفتن در نقطه ورود و خروج داده‌ها اولین خط دفاعی در برابر تهدیدات خارجی محسوب می‌شود. ابزارهایی مثل Cisco Firepower Threat Defense (FTD) با ترکیب قابلیت‌های نسل جدید فایروال، سیستم تشخیص و پیشگیری از تهدیدات (IPS)، و مدیریت یکپارچه، نقش مهمی در این حوزه ایفا می‌کنند. در کنار این ابزارهای امنیتی، Splunk به عنوان یک پلتفرم تجزیه و تحلیل و مدیریت لاگ، می‌تواند لایه دوم دید و پاسخ‌گویی سریع را فراهم کند.

نقش Cisco FTD در امنیت لبه شبکه

ابزار Cisco FTD یک راهکار تلفیقی است که امکانات متنوعی شامل فایروال Stateful، سیستم تشخیص و پیشگیری نفوذ (IDS/IPS)، قابلیت‌های فیلتر وب، و امنیت بر بستر نرم‌افزار را در سطح لبه شبکه ارائه می‌دهد. ویژگی کلیدی FTD توانایی شناسایی و لاگ‌گذاری انواع ترافیک و تهدیدات است، از رجیستر کردن کانکشن‌های ورودی و خروجی تا تشخیص حملات شناخته‌شده از طریق Snort و اعمال پالیسی‌های مبتنی بر آی‌پی، پورت، و حتی کاربرد.

از مهم‌ترین خروجی‌های FTD، می‌توان به تولید لاگ‌های دقیق، رویدادهای تهدید، تغییرات پالیسی، و هشدارهای بلادرنگ اشاره کرد. این داده‌ها برای تیم امنیت سازمان اهمیت حیاتی دارند اما به خودی خود برای شکار تهدیدات کافی نیستند؛ زیرا حجم و پیچیدگی بالایی دارند.

ضرورت مانیتورینگ و تحلیل با Splunk

در این مرحله، وظیفه Splunk شروع می‌شود: جمع‌آوری، ذخیره‌سازی و تحلیل لاگ‌های ارسالی از FTD و نمایش داده‌ها در قالب گزارشات، داشبورد و هشدارهای قابل اقدام. Splunk قابلیت مدیریت Big Data امنیتی را در محیط‌هایی با حجم عظیم ترافیک دارد.

ابزار Splunk علاوه بر نمایش لاگ‌ها، امکان ساخت کوئری‌های سفارشی (SPL)، ساخت داشبوردهای متریک، و طراحی Alert برای رویدادهای خاص را فراهم می‌کند.

نمونه‌هایی از کاربردهای عملی:

تشخیص ترافیک به منابع مشکوک (مثلاً سرورها یا آی‌پی‌های Blacklist): فایروال هر اتصال مشکوک را log می‌کند و Splunk می‌تواند با تهدیدات شناسایی شده هم‌پوشانی دهد.
بررسی تغییرات پالیسی فایروال: هرگونه تغییرات مشکوک در Rulebase می‌تواند به Splunk منتقل و بصورت هشدار نمایش داده شود.
ردیابی رفتارهای غیرمعمول: مثل تلاش برای ایجاد ارتباط SSH غیرمجاز از نقاط ناشناس یا ترافیک غیرنرمال بین سگمنت‌های شبکه.

ادغام FTD و Splunk در سناریوهای عملیاتی

ادغام Cisco FTD و Splunk نیازمند کانفیگ صحیح ارسال لاگ از FTD (مثلاً via syslog یا eStreamer) به ماشین Splunk است. پس از شناسایی فرمت‌های لاگ و تنظیم دریافت، Splunk از Add-on اختصاصی Cisco FTD برای پارس داده‌ها استفاده می‌کند.

با این امکانات، تیم SOC می‌تواند سناریوهایی مثل زیر را عملی کند:

انجام Threat Hunting: با استفاده از کوئری‌های پیچیده، حرکات lateral movement یا beaconing را تشخیص دهد.
و Incident Response: در صورت وقوع تهدید تایید شده، پاسخ سریع و خودکار، مثل بلاک IP یا ارسال هشدار.
اعلام هشدار بلادرنگ: مثلاً وقوع Signature Match یا تغییرات غیرمجاز در پالیسی فوراً به صورت ایمیل یا در داشبورد SOC نشان داده شود.

خودکارسازی (Automation) و تسریع پاسخگویی

یکی از مزایای کلیدی Splunk، امکان ادغام با ابزارهای SOAR (مثل Splunk Phantom) است. به کمک این یکپارچگی، اقداماتی مثل ایجاد Incident در سامانه تیکتینگ یا بلاک کردن خودکار آی‌پی مشکوک بر اساس رویداد دریافت‌شده از FTD به طور آنی انجام می‌شود.

به عنوان مثال، اگر FTD حمله Brute Force را شناسایی کند و این واقعه وارد Splunk شود، می‌توان از طریق Playbook، دستور بلاک موقت آدرس مبدأ را در فایروال صادر کرد. این امکان باعث کاهش زمان dwell time و هوشمندسازی عملیات دفاعی سازمان می‌شود.
افزایش Context و کاهش F/P

جمع‌آوری صرف داده کافی نیست. Splunk با enrich داده‌ها با منابع Threat Intelligence، GeoIP، اطلاعات Active Directory یا asset tagging، زمینه‌کاوی وقایع را تقویت می‌کند. به این ترتیب، نرخ False Positive بهبود و شناسایی تهدیدات واقعی دقیق‌تر انجام می‌شود.
این مدل معماری، گامی فراتر از مانیتورینگ سنتی است و می‌تواند سنگ بنای SOCهای پیشرفته و هوشمند (Next Gen SOC) باشد.

✳️برای تامین FTD و پیاده سازی حرفه ای و تلفیق با Splunk ؛ با شرکت پیشگامان فناوری اطلاعات هامون تماس بگیرید.

☎️0218810500
Www.haumoun.com



#تبلیغات
#موقت

آکادمی آموزش روزبه 📚

28 мая 2025 09:04

👆👆ادامه از پست قبل

۱. حذف یا خارج کردن کلیدهای خصوصی CA بازنشسته
بعد از بازنشسته‌سازی CA، باید کلید خصوصی و فایل‌های حساس آن کاملاً حذف یا آفلاین شوند. نگهداری کلید، حتی برای بکاپ، تنها نباید روی سیستم‌های قابل دسترس انجام شود.
۲. بروزرسانی فرآیندهای Successor Registration
بعد از تعریف successor برای CA جدید، اطمینان حاصل کنید که هیچ راهی برای بازگرداندن یا استفاده مجدد از successor قبلی وجود نداشته باشد.
رکوردهای Active Directory مرتبط با CA بازنشسته را بررسی و پاک‌سازی کنید.
۳. رصد و لاگ کامل فعالیت‌ها
روی فعالیت‌های مرتبط با CA بازنشسته به طور ویژه لاگ فعال و هشدار تنظیم کنید.
هرگونه صدور گواهی غیرمنتظره از CA قدیمی باید سریعاً بررسی شود.
۴. ارزیابی زنجیره اعتماد در کلاینت‌ها
خط‌مشی‌های اعتبارسنجی را طوری پیکربندی کنید که برای CAهای بازنشسته و Successor تعامل بیشتری داشته باشد و صرفاً به Trust Chain اکتفا نکند.
۵. تست دوره‌ای فرآیند بازنشسته‌سازی
سناریوهای فرضی را تست کنید تا مطمئن شوید هیچ راهی برای بازیابی یا سوءاستفاده باقی نمانده است.
اهمیت Automation (خودکارسازی) در بررسی و پاک‌سازی رکوردهای قدیمی.

جمع‌بندی
حمله BadSuccessor یک یادآوری جدی برای متخصصان امنیت است که فرآیندهای مدیریتی و چرخه عمر CA به اندازه بروزرسانی و دیپلوی نرم‌افزارها اهمیت دارند. صرفاً جایگزینی یا بازنشسته کردن یک CA کافی نیست. باید فرآیند حذف کلید، پاک‌سازی رکوردها و نظارت دقیق بر فعالیت‌ها تکمیل‌گر این عملیات باشد. توصیه می‌شود سازمان‌ها راهکارهای ذکرشده را به‌سرعت اجرا نمایند و زیرساخت ADCS خود را در برابر این تهدید جدید مقاوم سازند.


#آکادمی_روزبه
مرکز تخصصی CISSP
Www.Roozbeh.academy

https://specterops.io/blog/2025/05/27/understanding-mitigating-badsuccessor/

آکادمی آموزش روزبه 📚

27 мая 2025 17:37

آژانس‌های اطلاعاتی آمریکا (مثل NSA، CIA، FBI و غیره) دارن یک پورتال مرکزی به اسم Intelligence Community Data Consortium (ICDC) می‌سازن که بهشون اجازه می‌ده خیلی راحت‌تر و متمرکز به اطلاعات شخصی حساس که از شرکت‌ها و فروشنده‌های داده می‌خرن دسترسی داشته باشن. این اطلاعات شامل مواردی مثل موقعیت مکانی موبایل‌ها، رکوردهای املاک، داده‌های زیستی (biometric)، محتوای رسانه‌های اجتماعی و … می‌شه—یعنی چیزهایی که سابقاً گرفتنش نیازمند اجازه قاضی و مراحل قضایی بود.

حالا همه این اطلاعات، راحت و سریع، توی یه پورتال و بازار داده‌ای (data marketplace) جمع می‌شه و آژانس‌ها می‌تونن با استفاده از ابزارهای هوش مصنوعی اونها رو تحلیل کنن، در حالی‌که قبلاً هرکدوم جدا جدا باید خریداری می‌کردن.

منتقدها می‌گن این پلتفرم راهی برای دور زدن قوانین مربوط به حریم خصوصی و متمم چهارم قانون اساسی آمریکاست. یعنی دولت با خرید داده از شرکت‌ها داره اطلاعات مردم رو جمع می‌کنه، بدون اینکه نیاز به دستور قضایی داشته باشه.

دولت می‌گه می‌خواد با این پلتفرم کارها رو بهینه، هزینه‌ها رو کم و خرید تکراری داده رو حذف کنه، اما جواب نداده که دقیقاً چطور با حفظ حقوق شهروندی قرار داده‌ها رو مدیریت کنه یا از چه داده‌هایی استفاده می‌شه.

https://theintercept.com/2025/05/22/intel-agencies-buying-data-portal-privacy/