ليستي از ابزار هاي متن باز و تجاري حرفه اي در حوزه تست نفوذ با تمركز در چرخه اسكن و ارزيابي آسيب پذيري ها:
OpenVAS, maintained by Greenbone Networks
Nexpose or InsightVM (cloud-based), from Rapid7👌🏽👌🏽
Retina CS Community, from BeyondTrust
Burp Suite Community Edition, from PortSwigger
Nikto, sponsored by Netsparker
OWASP Zed Attack Proxy (ZAP)
Beyond open source
Acunetix
beSecure (AVDS)👌🏽👌🏽
Comodo HackerProof
Intruder
Netsparker👌🏽👌🏽
Tenable Nessus Professional👌🏽👌🏽
Tripwire 360👌🏽👌🏽
و
٥ گام اصلي در ارزيابي آسيب پذيري ها
1.Planning
You need to start by determining which systems and networks will be assessed (including mobile and cloud), identifying where any sensitive data resides
2.Scanning
Next, actively scan the system or network, either manually or via automated tools, and use threat intelligence and vulnerability databases to identify security flaws and weaknesses and filter out false positives. Particularly with a first assessment
3.Analysis
A more detailed analysis then follows, providing a clear sense of the causes of the vulnerabilities, their potential impact, and the suggested methods of remediation. Each vulnerability is then ranked or rated based on the data at risk, the severity of the flaw, and the damage that could be caused by a breach of the affected system.
4.Remediation
Finally, the vulnerability assessment results in an effort to patch key flaws, whether simply via a product update or through something more involved, from the installation of new security tools to an enhancement of security procedures.
5.Repeat
Vulnerability assessments need to be conducted on a regularly scheduled basis, quarterly at least (ideally monthly or weekly), as any single assessment is only a snapshot of that moment in time. Having those snapshots or reports to refer to over a period of time will also give you a strong sense of how your security posture has developed, for better or for worse.
- بروز باشيد -
آگاهي رساني امنيت سايبري
@CisoasaService
98.06.10
OpenVAS, maintained by Greenbone Networks
Nexpose or InsightVM (cloud-based), from Rapid7👌🏽👌🏽
Retina CS Community, from BeyondTrust
Burp Suite Community Edition, from PortSwigger
Nikto, sponsored by Netsparker
OWASP Zed Attack Proxy (ZAP)
Beyond open source
Acunetix
beSecure (AVDS)👌🏽👌🏽
Comodo HackerProof
Intruder
Netsparker👌🏽👌🏽
Tenable Nessus Professional👌🏽👌🏽
Tripwire 360👌🏽👌🏽
و
٥ گام اصلي در ارزيابي آسيب پذيري ها
1.Planning
You need to start by determining which systems and networks will be assessed (including mobile and cloud), identifying where any sensitive data resides
2.Scanning
Next, actively scan the system or network, either manually or via automated tools, and use threat intelligence and vulnerability databases to identify security flaws and weaknesses and filter out false positives. Particularly with a first assessment
3.Analysis
A more detailed analysis then follows, providing a clear sense of the causes of the vulnerabilities, their potential impact, and the suggested methods of remediation. Each vulnerability is then ranked or rated based on the data at risk, the severity of the flaw, and the damage that could be caused by a breach of the affected system.
4.Remediation
Finally, the vulnerability assessment results in an effort to patch key flaws, whether simply via a product update or through something more involved, from the installation of new security tools to an enhancement of security procedures.
5.Repeat
Vulnerability assessments need to be conducted on a regularly scheduled basis, quarterly at least (ideally monthly or weekly), as any single assessment is only a snapshot of that moment in time. Having those snapshots or reports to refer to over a period of time will also give you a strong sense of how your security posture has developed, for better or for worse.
- بروز باشيد -
آگاهي رساني امنيت سايبري
@CisoasaService
98.06.10
دنبال موسسه و اسم افرادنباشيد.
نه مميز، براي مدرسين نه موسسات آموزشي در كشور وجود ندارد!:
مدرسي امنيت داريم نتونسته به كنسول يك ابزار هوش امنيتي لاگين كنه: 😀، يعني واژه اي تو حوزه امنيت نيست تو رزومش نباشه: دي
بگذريم-
فارغ از متريك هاي موسسه هاي آموزشي در حوزه فناورانه و امنيت، كه جاي خوبي دارن، بزرگن، سرمايش و گرمايش مناسب دارن، امكانات درخور آموزشي دارن، حرفه اي هستن، خوش قيمت هستن و .... كه اين موارد رو با ديدن ميشه متوجه شد.
استاد كه كلمه درستي نيست تو اين حوزه، مدرسي رو انتخاب كنيد كه علاوه بر تجربه عملياتي توان انتقال دانش و تدريس رو داشته باشيد، يعني:
الويت مدرسي رو براي شركت در دوره انتخاب كنيد كه
سابقه و تجربه عملياتي اون حوزه رو بصورت قابل رصد داشته باشد و همچنين توان انتقال دانش بصورت مناسب
شخصي كه صرفا مترجم متون باشد و ترجمه رو به شما انتقال دهد، قطعا براي شما اثر بخش نيست.
- بروز باشيد -
آگاهي رساني امنيت سايبري
@CisoasaService
98.06.10
نه مميز، براي مدرسين نه موسسات آموزشي در كشور وجود ندارد!:
مدرسي امنيت داريم نتونسته به كنسول يك ابزار هوش امنيتي لاگين كنه: 😀، يعني واژه اي تو حوزه امنيت نيست تو رزومش نباشه: دي
بگذريم-
فارغ از متريك هاي موسسه هاي آموزشي در حوزه فناورانه و امنيت، كه جاي خوبي دارن، بزرگن، سرمايش و گرمايش مناسب دارن، امكانات درخور آموزشي دارن، حرفه اي هستن، خوش قيمت هستن و .... كه اين موارد رو با ديدن ميشه متوجه شد.
استاد كه كلمه درستي نيست تو اين حوزه، مدرسي رو انتخاب كنيد كه علاوه بر تجربه عملياتي توان انتقال دانش و تدريس رو داشته باشيد، يعني:
الويت مدرسي رو براي شركت در دوره انتخاب كنيد كه
سابقه و تجربه عملياتي اون حوزه رو بصورت قابل رصد داشته باشد و همچنين توان انتقال دانش بصورت مناسب
شخصي كه صرفا مترجم متون باشد و ترجمه رو به شما انتقال دهد، قطعا براي شما اثر بخش نيست.
- بروز باشيد -
آگاهي رساني امنيت سايبري
@CisoasaService
98.06.10
ثبت نام در وب سايت ديوار،
ارسال اين پيامك جعلي و حمله سايبري - مهندسي اجتماعي از نوع فيشينگ:
دقيقا نفوذگران چگونه به ديتابيس لايو پلتفرم ديوار دسترسي دارند!!!!
امنيت اهميت ندارد!!!
- بروز باشيد -
آگاهي رساني امنيت سايبري
@CisoasaService
98.06.11
ارسال اين پيامك جعلي و حمله سايبري - مهندسي اجتماعي از نوع فيشينگ:
دقيقا نفوذگران چگونه به ديتابيس لايو پلتفرم ديوار دسترسي دارند!!!!
امنيت اهميت ندارد!!!
- بروز باشيد -
آگاهي رساني امنيت سايبري
@CisoasaService
98.06.11
سري ديگري از ابزار هاي ارزيابي آسيب پذيري ها و تست نفوذ، انتخاب شده بوسيله فروم هاي باز با رفراندوم از سمت كاربران احراز شده.
Qualys Vulnerability Management
The Qualys scanner operates behind the firewall in complex internal networks, can scan cloud environments, and can also detect vulnerabilities on geographically distributed networks at the perimeter. In addition, it scans containers and end points. قيمتا كمي گران اما واقعا حرفه اي
AT&T Cybersecurity Vulnerability Scanning
The AT&T Cybersecurity Vulnerability Scanning Solution can be delivered either as a managed service or run from within IT. It helps detect security vulnerabilities in systems, web applications and network devices.
Nessus
Nessus is a widely used vulnerability assessment tool. It is probably best for experienced security teams, as its interface can be a little tricky to master at first. It can be used in conjunction with pen testing tools, providing them with areas to target and potential weaknesses to exploit.
Skybox
Skybox offers scanless assessment, threat prioritization and smart remediation based on risk. By tying threat intelligence into vulnerability control, and merging results from third-party scanners, it is effective at finding blind spots. User reviews are generally very good. كاربري براي سازمان هاي متوسط تا بزرگ، نه كوچك!
Alibaba Cloud Managed Security Service
Alibaba offers a managed service for port inspection, scans for web and system vulnerability, and a vulnerability review to eliminate false positives. It is focused on the cloud and is probably best for non-U.S. businesses in light of ongoing trade hostilities between the U.S.A. and China.😀
Metasploit
Metasploit covers the scanning and testing of vulnerabilities. Backed by a huge open-source database of known exploits, it also provides IT with an analysis of pen testing results so remediation steps can be done efficiently.
كار با آن تجربه لازم دارد:دي
Netsparker
Netsparker is very good at what it does – the scanning of websites. But it is not designed to do anything else and so lacks the range of many other products. مناسب سازماني هاي كوچك
Amazon inspector
If you are an AWS shop, then Amazon Inspector is the automated security assessment service for you. It scans all applications deployed on AWS and can be extended to Amazon EC2 instances, too. But it can't scan Azure, Google Cloud or on-premises data centers and server rooms.
Burp
Burp is a web vulnerability scanner used in a great many organizations. Although there is a free version available, it is limited in functionality, with no automation capabilities. Those wishing for the complete package for enterprise wide scalability and automation should be prepared to pay well.
Acunetix Vulnerability Scanner
Acunetix is another tool that only scans web-based applications. But its multi-threaded scanner can crawl across hundreds of thousands of pages rapidly and it also identifies common web server configuration issues. It is particularly good at scanning WordPress.😃
Intruder
Intruder is a cloud-based vulnerability scanner that concentrates on perimeter scanning. Any deeper in the enterprise and it needs to be supplemented by other tools. But it is strong at discovering new vulnerabilities. Therefore, it's a good choice for those looking to harden the perimeter.👍🏽
Nmap
Nmap is a port scanner that also aids pen testing by flagging the best areas to target in an attack. That is useful for ethical hackers in determining network weaknesses. As it's open source, it's free.
- بروز باشيد -
آگاهي رساني امنيت سايبري
@CisoasaService
98.06.11
Qualys Vulnerability Management
The Qualys scanner operates behind the firewall in complex internal networks, can scan cloud environments, and can also detect vulnerabilities on geographically distributed networks at the perimeter. In addition, it scans containers and end points. قيمتا كمي گران اما واقعا حرفه اي
AT&T Cybersecurity Vulnerability Scanning
The AT&T Cybersecurity Vulnerability Scanning Solution can be delivered either as a managed service or run from within IT. It helps detect security vulnerabilities in systems, web applications and network devices.
Nessus
Nessus is a widely used vulnerability assessment tool. It is probably best for experienced security teams, as its interface can be a little tricky to master at first. It can be used in conjunction with pen testing tools, providing them with areas to target and potential weaknesses to exploit.
Skybox
Skybox offers scanless assessment, threat prioritization and smart remediation based on risk. By tying threat intelligence into vulnerability control, and merging results from third-party scanners, it is effective at finding blind spots. User reviews are generally very good. كاربري براي سازمان هاي متوسط تا بزرگ، نه كوچك!
Alibaba Cloud Managed Security Service
Alibaba offers a managed service for port inspection, scans for web and system vulnerability, and a vulnerability review to eliminate false positives. It is focused on the cloud and is probably best for non-U.S. businesses in light of ongoing trade hostilities between the U.S.A. and China.😀
Metasploit
Metasploit covers the scanning and testing of vulnerabilities. Backed by a huge open-source database of known exploits, it also provides IT with an analysis of pen testing results so remediation steps can be done efficiently.
كار با آن تجربه لازم دارد:دي
Netsparker
Netsparker is very good at what it does – the scanning of websites. But it is not designed to do anything else and so lacks the range of many other products. مناسب سازماني هاي كوچك
Amazon inspector
If you are an AWS shop, then Amazon Inspector is the automated security assessment service for you. It scans all applications deployed on AWS and can be extended to Amazon EC2 instances, too. But it can't scan Azure, Google Cloud or on-premises data centers and server rooms.
Burp
Burp is a web vulnerability scanner used in a great many organizations. Although there is a free version available, it is limited in functionality, with no automation capabilities. Those wishing for the complete package for enterprise wide scalability and automation should be prepared to pay well.
Acunetix Vulnerability Scanner
Acunetix is another tool that only scans web-based applications. But its multi-threaded scanner can crawl across hundreds of thousands of pages rapidly and it also identifies common web server configuration issues. It is particularly good at scanning WordPress.😃
Intruder
Intruder is a cloud-based vulnerability scanner that concentrates on perimeter scanning. Any deeper in the enterprise and it needs to be supplemented by other tools. But it is strong at discovering new vulnerabilities. Therefore, it's a good choice for those looking to harden the perimeter.👍🏽
Nmap
Nmap is a port scanner that also aids pen testing by flagging the best areas to target in an attack. That is useful for ethical hackers in determining network weaknesses. As it's open source, it's free.
- بروز باشيد -
آگاهي رساني امنيت سايبري
@CisoasaService
98.06.11
چه ناراحت كننده، چه نقد تند
ولي گوشه اي از واقعيت جامعه آماري اين روزها:
اینجا، همه فقط نام حسین را میدانند
نه راهش را!
راه حسین
راه عشق است
و مهربانی و مهرورزی
و دستگیری از نیازمند و کمک به فرياد د د مظلوم .
واااای که حالا برادر و خواهر از برادر و خواهر،
همسایه از همسایه خبر ندارد
حسین را نمیشناسيم
ولی حسینی ها را خوب می شناسيم!
چون اينجا همم مدعي هستيم، صرفا در غير فعل!
آخرین نامهای که امام حسین (ع) از کربلا برای برادرش محمد حنفیّه و جمعی از بنی هاشم نوشته، بسیار کوتاه و عجیب است:
بِسْمِ اللّه الرَّحْمنِ الرَّحیم
امّا بَعد: فَکانَّ الدُّنیا لَمْ تَکُنْ وَ کانَّ الْآخِرَةَ لَمْ تَزَلْ وَ السَّلام
به نام خدای بخشنده مهربان،امّا بعد، پس گویی هرگز دنیایی نبوده و گویا همواره آخرت است والسلام.
پ ن:
نذری بدید 👍🏽👌🏽🙏
روشهای حمایت از کودکان محک:
شماره کارت بانک ملی: ٠٥٩٠-٩٩٥٠-٩٩١١-٦٠٣٧
پرداخت از طریق کد تلفن همراه: #٢٣٥٤٠*٧٣٣*
و گزینه نیکوکاری اپلیکیشن آپ
از اینکه به پیام ما توجه میکنید، سپاسگزاریم
#Mahak #نذری
- بروز باشيد -
آگاهي رساني امنيت سايبري
@CisoasaService
98.06.11
ولي گوشه اي از واقعيت جامعه آماري اين روزها:
اینجا، همه فقط نام حسین را میدانند
نه راهش را!
راه حسین
راه عشق است
و مهربانی و مهرورزی
و دستگیری از نیازمند و کمک به فرياد د د مظلوم .
واااای که حالا برادر و خواهر از برادر و خواهر،
همسایه از همسایه خبر ندارد
حسین را نمیشناسيم
ولی حسینی ها را خوب می شناسيم!
چون اينجا همم مدعي هستيم، صرفا در غير فعل!
آخرین نامهای که امام حسین (ع) از کربلا برای برادرش محمد حنفیّه و جمعی از بنی هاشم نوشته، بسیار کوتاه و عجیب است:
بِسْمِ اللّه الرَّحْمنِ الرَّحیم
امّا بَعد: فَکانَّ الدُّنیا لَمْ تَکُنْ وَ کانَّ الْآخِرَةَ لَمْ تَزَلْ وَ السَّلام
به نام خدای بخشنده مهربان،امّا بعد، پس گویی هرگز دنیایی نبوده و گویا همواره آخرت است والسلام.
پ ن:
نذری بدید 👍🏽👌🏽🙏
روشهای حمایت از کودکان محک:
شماره کارت بانک ملی: ٠٥٩٠-٩٩٥٠-٩٩١١-٦٠٣٧
پرداخت از طریق کد تلفن همراه: #٢٣٥٤٠*٧٣٣*
و گزینه نیکوکاری اپلیکیشن آپ
از اینکه به پیام ما توجه میکنید، سپاسگزاریم
#Mahak #نذری
- بروز باشيد -
آگاهي رساني امنيت سايبري
@CisoasaService
98.06.11
با سلام
براي رسيدن به تحقيق و توسعه مطرح شده، درخور بهتر است:
مفاهيم امنيت رو مطالعه كنيم مثلا محتواي دوره
Security plus Comptia
و همچنين از دوره CEH v10 Ec.Council
انواع حملات و تكنيك هاي مربوطه را مطالعه و در محيط عملياتي با آن آشنا بشيم.
در گام بعدي با محصولات ترند اين نوع حملات
DDos
مثل Next G- FW
يا
WAF
يا
محصولات مستقل IDP:IDS-IPS
و ...
از برند هاي همچون پال آلتو- فورتي نت- باراكودا و...
و
يا حتي برند هاي سرويس دهنده داخلي و خارجي
كه
AsA Service: DDOS Protection
ارايه ميدهند رو مورد بررسي قرار دهيم.
در نهايت به سمت پروفايل ريسك و يادگيري ماشين و موضوعات پايش ترافيك سالم از ناسالم و مخرب مبتني بر رفتار شناسي حركت و تحقيق كنيم.
پ ن:گارتنر و ساير موسسات و آزمايشگاه ها و مقالات صرفا به ما ديد ميدهند و حرفه اي نيست مرجع انتخاب محصولات امنيتي براي ما باشند.
مهم نياز سازمان ما از خريد محصول است.😃نياز مشخص و شفاف و جامع و مستند!
دقت كنيد نياز سازمان چه بوده به جزييات،
كه مجاب شديم بريم مثلا WAF به خريم!
سيمپل - حرفه اي باشيم.
- بروز باشيد -
آگاهي رساني امنيت سايبري
@CisoasaService
98.06.12
براي رسيدن به تحقيق و توسعه مطرح شده، درخور بهتر است:
مفاهيم امنيت رو مطالعه كنيم مثلا محتواي دوره
Security plus Comptia
و همچنين از دوره CEH v10 Ec.Council
انواع حملات و تكنيك هاي مربوطه را مطالعه و در محيط عملياتي با آن آشنا بشيم.
در گام بعدي با محصولات ترند اين نوع حملات
DDos
مثل Next G- FW
يا
WAF
يا
محصولات مستقل IDP:IDS-IPS
و ...
از برند هاي همچون پال آلتو- فورتي نت- باراكودا و...
و
يا حتي برند هاي سرويس دهنده داخلي و خارجي
كه
AsA Service: DDOS Protection
ارايه ميدهند رو مورد بررسي قرار دهيم.
در نهايت به سمت پروفايل ريسك و يادگيري ماشين و موضوعات پايش ترافيك سالم از ناسالم و مخرب مبتني بر رفتار شناسي حركت و تحقيق كنيم.
پ ن:گارتنر و ساير موسسات و آزمايشگاه ها و مقالات صرفا به ما ديد ميدهند و حرفه اي نيست مرجع انتخاب محصولات امنيتي براي ما باشند.
مهم نياز سازمان ما از خريد محصول است.😃نياز مشخص و شفاف و جامع و مستند!
دقت كنيد نياز سازمان چه بوده به جزييات،
كه مجاب شديم بريم مثلا WAF به خريم!
سيمپل - حرفه اي باشيم.
- بروز باشيد -
آگاهي رساني امنيت سايبري
@CisoasaService
98.06.12
Forwarded from cissp (Alireza Ghahrood)
Vulnerability Assesment ,Management- tools:
OpenVAS, maintained by Greenbone Networks
Nexpose or InsightVM (cloud-based), from Rapid7👌🏽👌🏽
Retina CS Community, from BeyondTrust
Burp Suite Community Edition, from PortSwigger
Nikto, sponsored by Netsparker
OWASP Zed Attack Proxy (ZAP)
Beyond open source
Acunetix
beSecure (AVDS)👌🏽👌🏽
Comodo HackerProof
Intruder
Netsparker👌🏽👌🏽
Tenable Nessus Professional👌🏽👌🏽
Tripwire 360👌🏽👌🏽
And
5 Step
For VA!
1.Planning
You need to start by determining which systems and networks will be assessed (including mobile and cloud), identifying where any sensitive data resides
2.Scanning
Next, actively scan the system or network, either manually or via automated tools, and use threat intelligence and vulnerability databases to identify security flaws and weaknesses and filter out false positives. Particularly with a first assessment
3.Analysis
A more detailed analysis then follows, providing a clear sense of the causes of the vulnerabilities, their potential impact, and the suggested methods of remediation. Each vulnerability is then ranked or rated based on the data at risk, the severity of the flaw, and the damage that could be caused by a breach of the affected system.
4.Remediation
Finally, the vulnerability assessment results in an effort to patch key flaws, whether simply via a product update or through something more involved, from the installation of new security tools to an enhancement of security procedures.
5.Repeat
Vulnerability assessments need to be conducted on a regularly scheduled basis, quarterly at least (ideally monthly or weekly), as any single assessment is only a snapshot of that moment in time. Having those snapshots or reports to refer to over a period of time will also give you a strong sense of how your security posture has developed, for better or for worse.
OpenVAS, maintained by Greenbone Networks
Nexpose or InsightVM (cloud-based), from Rapid7👌🏽👌🏽
Retina CS Community, from BeyondTrust
Burp Suite Community Edition, from PortSwigger
Nikto, sponsored by Netsparker
OWASP Zed Attack Proxy (ZAP)
Beyond open source
Acunetix
beSecure (AVDS)👌🏽👌🏽
Comodo HackerProof
Intruder
Netsparker👌🏽👌🏽
Tenable Nessus Professional👌🏽👌🏽
Tripwire 360👌🏽👌🏽
And
5 Step
For VA!
1.Planning
You need to start by determining which systems and networks will be assessed (including mobile and cloud), identifying where any sensitive data resides
2.Scanning
Next, actively scan the system or network, either manually or via automated tools, and use threat intelligence and vulnerability databases to identify security flaws and weaknesses and filter out false positives. Particularly with a first assessment
3.Analysis
A more detailed analysis then follows, providing a clear sense of the causes of the vulnerabilities, their potential impact, and the suggested methods of remediation. Each vulnerability is then ranked or rated based on the data at risk, the severity of the flaw, and the damage that could be caused by a breach of the affected system.
4.Remediation
Finally, the vulnerability assessment results in an effort to patch key flaws, whether simply via a product update or through something more involved, from the installation of new security tools to an enhancement of security procedures.
5.Repeat
Vulnerability assessments need to be conducted on a regularly scheduled basis, quarterly at least (ideally monthly or weekly), as any single assessment is only a snapshot of that moment in time. Having those snapshots or reports to refer to over a period of time will also give you a strong sense of how your security posture has developed, for better or for worse.
سلام،
این گروه با هدف متمرکز کردن کلیه فرصتهای شغلی، اكثر زمینه ها در
شرکتها ی ایرانی راه اندازی شده است
https://www.linkedin.com/groups/13755945
- بروز باشيد -
آگاهي رساني امنيت سايبري
@CisoasaService
98.06.12
این گروه با هدف متمرکز کردن کلیه فرصتهای شغلی، اكثر زمینه ها در
شرکتها ی ایرانی راه اندازی شده است
https://www.linkedin.com/groups/13755945
- بروز باشيد -
آگاهي رساني امنيت سايبري
@CisoasaService
98.06.12
موسسه فورچون با همکاری موسسه تحقیقاتی کورن فری ، هر ساله شرکتهای تحسین شده را از طریق طرح پرسش از مدیران اجرایی، اعضای هیات مدیره و کارشناسان کسب و کارهای مختلف، در ۵۲ صنعت، مشخص میکند.
برای دومین سال متوالی، اَپل تحسین برانگیزترین شرکت شناخته شد. اما به دلیل مسائل مالی شرکت و میزان فروش شرکت، احتمالاً رتبه شرکت در سال ۲۰۱۹ تغییر می کند.
۱۰ شرکت بالای لیست تحسینبرانگیزان شامل شرکتهای بزرگ فناوری اطلاعات مانند: اَپل، آمازون و گوگل میباشند. اما غایب بزرگ در بین این شرکتها، فیس بوک است که از رتبه ۱۲ در سال قبل به رده ۴۴ این فهرست سقوط کرده است.
۱۰ شرکت بالای فهرست به شرح زیر هستند:
1. Apple
2.Amazon
3.Berkshire Hathaway
4.Walt Disney
5.Starbucks
6. Microsoft
7. Alphabet (Google)
8.Netflix
9. JPMorgan Chase
10. FedEx
- بروز باشيد -
آگاهي رساني امنيت سايبري
@CisoasaService
98.06.13
برای دومین سال متوالی، اَپل تحسین برانگیزترین شرکت شناخته شد. اما به دلیل مسائل مالی شرکت و میزان فروش شرکت، احتمالاً رتبه شرکت در سال ۲۰۱۹ تغییر می کند.
۱۰ شرکت بالای لیست تحسینبرانگیزان شامل شرکتهای بزرگ فناوری اطلاعات مانند: اَپل، آمازون و گوگل میباشند. اما غایب بزرگ در بین این شرکتها، فیس بوک است که از رتبه ۱۲ در سال قبل به رده ۴۴ این فهرست سقوط کرده است.
۱۰ شرکت بالای فهرست به شرح زیر هستند:
1. Apple
2.Amazon
3.Berkshire Hathaway
4.Walt Disney
5.Starbucks
6. Microsoft
7. Alphabet (Google)
8.Netflix
9. JPMorgan Chase
10. FedEx
- بروز باشيد -
آگاهي رساني امنيت سايبري
@CisoasaService
98.06.13
با سلام
سپاس از پيگيري مطالب و به اشتراك گذاري موضوعاتي كه به نظرتون براي ديگران چه متخصصين فناورانه / امنيت/ مديريت كسب و كار و چه براي سايرين/ عمومي
كاربرد دارد.
تشكر فراوان براي مشاركت در دادن نظرات و انرژي هاي + و سالم.
-صرفا گفت و شنود-
آگاهي رساني امنيت سايبري
@CisoasaService
98.06.13
سپاس از پيگيري مطالب و به اشتراك گذاري موضوعاتي كه به نظرتون براي ديگران چه متخصصين فناورانه / امنيت/ مديريت كسب و كار و چه براي سايرين/ عمومي
كاربرد دارد.
تشكر فراوان براي مشاركت در دادن نظرات و انرژي هاي + و سالم.
-صرفا گفت و شنود-
آگاهي رساني امنيت سايبري
@CisoasaService
98.06.13
Forwarded from ناویا، ماشین کاوش اپلای
🔺ورکشاپهای تخصصی آفسک عمومی شد.
ظرفیتها بسیار محدود است. ثبتنام از امشب تا یک هفته دیگر (۲۰م شهریور ۹۸) ادامه خواهد داشت. بورسیههای متنوعی وجود دارد که در توضیحات قابل مشاهده است.
https://offsecresearch.com/workshops
ظرفیتها بسیار محدود است. ثبتنام از امشب تا یک هفته دیگر (۲۰م شهریور ۹۸) ادامه خواهد داشت. بورسیههای متنوعی وجود دارد که در توضیحات قابل مشاهده است.
https://offsecresearch.com/workshops
با سلام
داشتن مدرك بين المللي قطعا بهتره
چون بين المللي هست😅👍🏽
اگر به هر دليل مقدور نبود، مدرك داخلي هم ارزشمنده،
در داخل كشور كه ارزش دارند،
حتي در خارج از كشور، اما از موسسات قديمي و شناخته شده داخلي و تقريبا موسسات آموزشي قديمي و حرفه اي داخلي ، از منظر متخصصين و حاكميت امنيت- افتاي رياست جمهوري، ارزش يكساني دارند.
+ ذكر اين موضوع هم كه شما بايد دانش، مفاهيم و توان كار عملياتي اون دوره رو داشته باشيد بعد سعي به گرفتن مدرك بين المللي را در دستور كار قراردهيد.
پس بنابراين
صرفا داشتن مدرك براي شخص، آتيه كاري و حقوقي نداره، مخصوصا در خارج ازكشور كه به شايستگي و توان فني و عملياتي شما در حوزه فناورانه و امنيت كار رو ميدن- 👌🏽
پ ن:
ببخشيد دير جواب ميدم، حجم سوالات و طيف باز آن ها زياد و زمان من كم: اميدوارم دير پاسخ دادن باعث ناراحتي نشود.
- بروز باشيد -
آگاهي رساني امنيت سايبري
@CisoasaService
98.06.14
داشتن مدرك بين المللي قطعا بهتره
چون بين المللي هست😅👍🏽
اگر به هر دليل مقدور نبود، مدرك داخلي هم ارزشمنده،
در داخل كشور كه ارزش دارند،
حتي در خارج از كشور، اما از موسسات قديمي و شناخته شده داخلي و تقريبا موسسات آموزشي قديمي و حرفه اي داخلي ، از منظر متخصصين و حاكميت امنيت- افتاي رياست جمهوري، ارزش يكساني دارند.
+ ذكر اين موضوع هم كه شما بايد دانش، مفاهيم و توان كار عملياتي اون دوره رو داشته باشيد بعد سعي به گرفتن مدرك بين المللي را در دستور كار قراردهيد.
پس بنابراين
صرفا داشتن مدرك براي شخص، آتيه كاري و حقوقي نداره، مخصوصا در خارج ازكشور كه به شايستگي و توان فني و عملياتي شما در حوزه فناورانه و امنيت كار رو ميدن- 👌🏽
پ ن:
ببخشيد دير جواب ميدم، حجم سوالات و طيف باز آن ها زياد و زمان من كم: اميدوارم دير پاسخ دادن باعث ناراحتي نشود.
- بروز باشيد -
آگاهي رساني امنيت سايبري
@CisoasaService
98.06.14
مثال شما قصد رفتن به خواستگاي رو داريد
با ماشين اجاره اي و داشتن كت شلوار برند و شيك
آيا صرفا با در نظر گرفتن ظاهر به شما بله ميگن!؟
خير( اگه هم بگن ١ ماه بعد صداش درمياد و .... 😃)
مدرك حكم ظاهر قضيه است.
حالا با لباس ساده و ... به راحتي به شما بله ميگن!؟
قطعا خير اما با اثبات خود و در زمان صرف شده ميتونيد بلي رو بگيريد.
- بروز باشيد -
آگاهي رساني امنيت سايبري
@CisoasaService
98.06.14
با ماشين اجاره اي و داشتن كت شلوار برند و شيك
آيا صرفا با در نظر گرفتن ظاهر به شما بله ميگن!؟
خير( اگه هم بگن ١ ماه بعد صداش درمياد و .... 😃)
مدرك حكم ظاهر قضيه است.
حالا با لباس ساده و ... به راحتي به شما بله ميگن!؟
قطعا خير اما با اثبات خود و در زمان صرف شده ميتونيد بلي رو بگيريد.
- بروز باشيد -
آگاهي رساني امنيت سايبري
@CisoasaService
98.06.14
تيم قرمز- تهاجمي و عمده فعاليت هاي آن
كه بصورت پروژه اي اين لاين ميشود.
تيم آبي - دفاعي، عمده فعاليت هاي آن
بصورت مستمر ٢٤/٧ اين تيم فعال است.
- بروز باشيد -
آگاهي رساني امنيت سايبري
@CisoasaService
98.06.15
كه بصورت پروژه اي اين لاين ميشود.
تيم آبي - دفاعي، عمده فعاليت هاي آن
بصورت مستمر ٢٤/٧ اين تيم فعال است.
- بروز باشيد -
آگاهي رساني امنيت سايبري
@CisoasaService
98.06.15
از جمله بهترين چهارچوب هاي
تست نفوذ و هينگ
براي
ارزيابي امنيت - تست نفوذ قانوني ( او ورت)
و تيم هاي قرمز
- infectador infecta apks
https://lnkd.in/fp_FTir
- dref
- DNS Rebinding Exploitation Framework
https://lnkd.in/fgu3DEm
- /routersploit
- The Router Exploitation Framework
https://lnkd.in/fZmKhky
- Eazy
- best framework for information gathering ,pentesting and web aplication scanner
https://lnkd.in/ftH2m_5
- BoomER
- Framework for exploiting local vulnerabilities
https://lnkd.in/fNWGHd7
- TIDoS Framework
- The Offensive Manual Web Application Penetration Testing Framework
https://lnkd.in/f4gSXMQ
- Sn1per
- Automated pentest framework for offensive security experts
https://lnkd.in/fnMVWam
- BeeF-Over-Wan
- Browser Exploitation Framework
https://lnkd.in/fY9YU8U
- DevAudit
- Open-source, cross-platform, multi-purpose security auditing tool
https://lnkd.in/fA7H84k
- بروز باشيد -
آگاهي رساني امنيت سايبري
@CisoasaService
98.06.15
تست نفوذ و هينگ
براي
ارزيابي امنيت - تست نفوذ قانوني ( او ورت)
و تيم هاي قرمز
- infectador infecta apks
https://lnkd.in/fp_FTir
- dref
- DNS Rebinding Exploitation Framework
https://lnkd.in/fgu3DEm
- /routersploit
- The Router Exploitation Framework
https://lnkd.in/fZmKhky
- Eazy
- best framework for information gathering ,pentesting and web aplication scanner
https://lnkd.in/ftH2m_5
- BoomER
- Framework for exploiting local vulnerabilities
https://lnkd.in/fNWGHd7
- TIDoS Framework
- The Offensive Manual Web Application Penetration Testing Framework
https://lnkd.in/f4gSXMQ
- Sn1per
- Automated pentest framework for offensive security experts
https://lnkd.in/fnMVWam
- BeeF-Over-Wan
- Browser Exploitation Framework
https://lnkd.in/fY9YU8U
- DevAudit
- Open-source, cross-platform, multi-purpose security auditing tool
https://lnkd.in/fA7H84k
- بروز باشيد -
آگاهي رساني امنيت سايبري
@CisoasaService
98.06.15
lnkd.in
LinkedIn
This link will take you to a page that’s not on LinkedIn
برگه هاي تقلب :دي يا همان راهنماي خلاصه شده و كاربردي براي
OSPF
https://packetlife.net/media/library/10/OSPF.pdf
TCP Dump
BGP
IP Sec
,...
لينك مرجع
https://packetlife.net/library/cheat-sheets/
- بروز باشيد -
آگاهي رساني امنيت سايبري
@CisoasaService
98.06.15
OSPF
https://packetlife.net/media/library/10/OSPF.pdf
TCP Dump
BGP
IP Sec
,...
لينك مرجع
https://packetlife.net/library/cheat-sheets/
- بروز باشيد -
آگاهي رساني امنيت سايبري
@CisoasaService
98.06.15
آسيب پذيري: هرگونه ضعف در طراحي نرم افزار و عدم انطباق با استاندارد
تهديد: عامل بيروني كه از آسيب پذيري ها بهره برداري ميكند
و
ريسك :آسيب پذيري * تهديد
در واقع نتيجه بهره برداري از آسيب پذيري منجر به ريسك مي شود.
مثلا براي تجهيز يك كلاينت سازمان
نبود ابزار آنتي ويروس يا ضد بد افزار چيه !؟
آسيب پذيري سيستم ه
خوب تهديد اش چيه!؟
هكر، ورود ويروس و كرم اينترنتي و...
ريسك اش چيه!؟
از دست دادن اطلاعات سيستم
عدم دسترسي به اطلاعات
ضرر و زيان مالي و
...
حالا مثال هاي بر گرفته از استاندارد پيرامون
تهديدات و آسيب پذيري ها
Threats
• Access to the network by unauthorized persons
• Bomb attack
• Bomb threat
• Breach of contractual relations
• Breach of legislation
• Compromising confidential information
• Concealing user identity
• Damage caused by a third party
• Damages resulting from penetration testing
• Destruction of records
• Disaster (human caused)
• Disaster (natural)
• Disclosure of information
• Disclosure of passwords
• Eavesdropping
• Embezzlement
• Errors in maintenance
• Failure of communication links
• Falsification of records
• Fire
• Flood
• Fraud
• Industrial espionage
• Information leakage
• Interruption of business processes
• Loss of electricity
• Loss of support services
• Malfunction of equipment
• Malicious code
• Misuse of information systems
• Misuse of audit tools
• Pollution
• Social engineering
• Software errors
• Strike
• Terrorist attacks
• Theft
• Thunderstroke
• Unintentional change of data in an information system
• Unauthorized access to the information system
• Unauthorized changes of records
• Unauthorized installation of software
• Unauthorized physical access
• Unauthorized use of copyright material
• Unauthorized use of software
• User error
• Vandalism
Vulnerabilities
• Complicated user interface
• Default passwords not changed
• Disposal of storage media without deleting data
• Equipment sensitivity to changes in voltage
• Equipment sensitivity to moisture and contaminants
• Equipment sensitivity to temperature
• Inadequate cabling security
• Inadequate capacity management
• Inadequate change management
• Inadequate classification of information
• Inadequate control of physical access
• Inadequate maintenance
• Inadequate network management
• Inadequate or irregular backup
• Inadequate password management
• Inadequate physical protection
• Inadequate protection of cryptographic keys
• Inadequate replacement of older equipment
• Inadequate security awareness
• Inadequate segregation of duties
• Inadequate segregation of operational and testing facilities
• Inadequate supervision of employees
• Inadequate supervision of vendors
• Inadequate training of employees
• Incomplete specification for software development
• Insufficient software testing
• Lack of access control policy
• Lack of clean desk and clear screen policy
• Lack of control over the input and output data
• Lack of internal documentation
• Lack of or poor implementation of internal audit
• Lack of policy for the use of cryptography
• Lack of procedure for removing access rights upon termination of employment
• Lack of protection for mobile equipment
• Lack of redundancy
• Lack of systems for identification and authentication
• Lack of validation of the processed data
• Location vulnerable to flooding
• Poor selection of test data
• Single copy
• Too much power in one person
• Uncontrolled copying of data
• Uncontrolled download from the Internet
• Uncontrolled use of information systems
• Undocumented software
• Unmotivated employees
• Unprotected public network connections
• User rights are not reviewed regularly
- بروز باشيد -
آگاهي رساني امنيت سايبري
@CisoasaService
98.06.16
تهديد: عامل بيروني كه از آسيب پذيري ها بهره برداري ميكند
و
ريسك :آسيب پذيري * تهديد
در واقع نتيجه بهره برداري از آسيب پذيري منجر به ريسك مي شود.
مثلا براي تجهيز يك كلاينت سازمان
نبود ابزار آنتي ويروس يا ضد بد افزار چيه !؟
آسيب پذيري سيستم ه
خوب تهديد اش چيه!؟
هكر، ورود ويروس و كرم اينترنتي و...
ريسك اش چيه!؟
از دست دادن اطلاعات سيستم
عدم دسترسي به اطلاعات
ضرر و زيان مالي و
...
حالا مثال هاي بر گرفته از استاندارد پيرامون
تهديدات و آسيب پذيري ها
Threats
• Access to the network by unauthorized persons
• Bomb attack
• Bomb threat
• Breach of contractual relations
• Breach of legislation
• Compromising confidential information
• Concealing user identity
• Damage caused by a third party
• Damages resulting from penetration testing
• Destruction of records
• Disaster (human caused)
• Disaster (natural)
• Disclosure of information
• Disclosure of passwords
• Eavesdropping
• Embezzlement
• Errors in maintenance
• Failure of communication links
• Falsification of records
• Fire
• Flood
• Fraud
• Industrial espionage
• Information leakage
• Interruption of business processes
• Loss of electricity
• Loss of support services
• Malfunction of equipment
• Malicious code
• Misuse of information systems
• Misuse of audit tools
• Pollution
• Social engineering
• Software errors
• Strike
• Terrorist attacks
• Theft
• Thunderstroke
• Unintentional change of data in an information system
• Unauthorized access to the information system
• Unauthorized changes of records
• Unauthorized installation of software
• Unauthorized physical access
• Unauthorized use of copyright material
• Unauthorized use of software
• User error
• Vandalism
Vulnerabilities
• Complicated user interface
• Default passwords not changed
• Disposal of storage media without deleting data
• Equipment sensitivity to changes in voltage
• Equipment sensitivity to moisture and contaminants
• Equipment sensitivity to temperature
• Inadequate cabling security
• Inadequate capacity management
• Inadequate change management
• Inadequate classification of information
• Inadequate control of physical access
• Inadequate maintenance
• Inadequate network management
• Inadequate or irregular backup
• Inadequate password management
• Inadequate physical protection
• Inadequate protection of cryptographic keys
• Inadequate replacement of older equipment
• Inadequate security awareness
• Inadequate segregation of duties
• Inadequate segregation of operational and testing facilities
• Inadequate supervision of employees
• Inadequate supervision of vendors
• Inadequate training of employees
• Incomplete specification for software development
• Insufficient software testing
• Lack of access control policy
• Lack of clean desk and clear screen policy
• Lack of control over the input and output data
• Lack of internal documentation
• Lack of or poor implementation of internal audit
• Lack of policy for the use of cryptography
• Lack of procedure for removing access rights upon termination of employment
• Lack of protection for mobile equipment
• Lack of redundancy
• Lack of systems for identification and authentication
• Lack of validation of the processed data
• Location vulnerable to flooding
• Poor selection of test data
• Single copy
• Too much power in one person
• Uncontrolled copying of data
• Uncontrolled download from the Internet
• Uncontrolled use of information systems
• Undocumented software
• Unmotivated employees
• Unprotected public network connections
• User rights are not reviewed regularly
- بروز باشيد -
آگاهي رساني امنيت سايبري
@CisoasaService
98.06.16