Vulnerability Assesment ,Management- tools:

OpenVAS, maintained by Greenbone Networks

Nexpose or InsightVM (cloud-based), from Rapid7👌🏽👌🏽

Retina CS Community, from BeyondTrust

Burp Suite Community Edition, from PortSwigger

Nikto, sponsored by Netsparker

OWASP Zed Attack Proxy (ZAP)
Beyond open source

Acunetix

beSecure (AVDS)👌🏽👌🏽

Comodo HackerProof

Intruder

Netsparker👌🏽👌🏽

Tenable Nessus Professional👌🏽👌🏽

Tripwire 360👌🏽👌🏽

And
5 Step
For VA!

1.Planning
You need to start by determining which systems and networks will be assessed (including mobile and cloud), identifying where any sensitive data resides

2.Scanning
Next, actively scan the system or network, either manually or via automated tools, and use threat intelligence and vulnerability databases to identify security flaws and weaknesses and filter out false positives. Particularly with a first assessment

3.Analysis
A more detailed analysis then follows, providing a clear sense of the causes of the vulnerabilities, their potential impact, and the suggested methods of remediation. Each vulnerability is then ranked or rated based on the data at risk, the severity of the flaw, and the damage that could be caused by a breach of the affected system.

4.Remediation
Finally, the vulnerability assessment results in an effort to patch key flaws, whether simply via a product update or through something more involved, from the installation of new security tools to an enhancement of security procedures.

5.Repeat
Vulnerability assessments need to be conducted on a regularly scheduled basis, quarterly at least (ideally monthly or weekly), as any single assessment is only a snapshot of that moment in time. Having those snapshots or reports to refer to over a period of time will also give you a strong sense of how your security posture has developed, for better or for worse.

سلام،
این گروه با هدف متمرکز کردن کلیه فرصتهای شغلی، اكثر زمینه ها در
شرکتها ی ایرانی راه اندازی شده است

https://www.linkedin.com/groups/13755945


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.06.12

https://www.aparat.com/v/DkGz4


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.06.13

موسسه فورچون با همکاری موسسه تحقیقاتی کورن فری ، هر ساله شرکت‌های تحسین شده را از طریق طرح پرسش از مدیران اجرایی، اعضای هیات مدیره و کارشناسان کسب و کارهای مختلف، در ۵۲ صنعت، مشخص می‌کند.

برای دومین سال متوالی، اَپل تحسین برانگیزترین شرکت شناخته شد. اما به دلیل مسائل مالی شرکت و میزان فروش شرکت، احتمالاً رتبه شرکت در سال ۲۰۱۹ تغییر می کند.

۱۰ شرکت بالای لیست تحسین‌برانگیزان شامل شرکت‌های بزرگ فناوری اطلاعات مانند: اَپل، آمازون و گوگل می‌باشند. اما غایب بزرگ در بین این شرکت‌ها، فیس بوک است که از رتبه ۱۲ در سال قبل به رده ۴۴ این فهرست سقوط کرده است.

۱۰ شرکت ‌بالای فهرست به شرح‌ زیر هستند:
1. Apple
2.Amazon
3.Berkshire Hathaway
4.Walt Disney
5.Starbucks
6. Microsoft
7. Alphabet (Google)
8.Netflix
9. JPMorgan Chase
10. FedEx

- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.06.13

با سلام

سپاس از پيگيري مطالب و به اشتراك گذاري موضوعاتي كه به نظرتون براي ديگران چه متخصصين فناورانه / امنيت/ مديريت كسب و كار و چه براي سايرين/ عمومي
كاربرد دارد.

تشكر فراوان براي مشاركت در دادن نظرات و انرژي هاي + و سالم.


-صرفا گفت و شنود-


آگاهي رساني امنيت سايبري

@CisoasaService

98.06.13

استفاده از
Safe search - on


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.06.14

🔺ورکشاپ‌های تخصصی آفسک عمومی شد.
ظرفیت‌ها بسیار محدود است. ثبت‌نام از امشب تا یک هفته دیگر (۲۰م شهریور ۹۸) ادامه خواهد داشت. بورسیه‌های متنوعی وجود دارد که در توضیحات قابل مشاهده است.

https://offsecresearch.com/workshops

با سلام

داشتن مدرك بين المللي قطعا بهتره
چون بين المللي هست😅👍🏽

اگر به هر دليل مقدور نبود، مدرك داخلي هم ارزشمنده،

در داخل كشور كه ارزش دارند،

حتي در خارج از كشور، اما از موسسات قديمي و شناخته شده داخلي و تقريبا موسسات آموزشي قديمي و حرفه اي داخلي ، از منظر متخصصين و حاكميت امنيت- افتاي رياست جمهوري، ارزش يكساني دارند.

+ ذكر اين موضوع هم كه شما بايد دانش، مفاهيم و توان كار عملياتي اون دوره رو داشته باشيد بعد سعي به گرفتن مدرك بين المللي را در دستور كار قراردهيد.

پس بنابراين
صرفا داشتن مدرك براي شخص، آتيه كاري و حقوقي نداره، مخصوصا در خارج ازكشور كه به شايستگي و توان فني و عملياتي شما در حوزه فناورانه و امنيت كار رو ميدن- 👌🏽


پ ن:
ببخشيد دير جواب ميدم، حجم سوالات و طيف باز آن ها زياد و زمان من كم: اميدوارم دير پاسخ دادن باعث ناراحتي نشود.


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.06.14

مثال شما قصد رفتن به خواستگاي رو داريد
با ماشين اجاره اي و داشتن كت شلوار برند و شيك

آيا صرفا با در نظر گرفتن ظاهر به شما بله ميگن!؟

خير( اگه هم بگن ١ ماه بعد صداش درمياد و .... 😃)

مدرك حكم ظاهر قضيه است.

حالا با لباس ساده و ... به راحتي به شما بله ميگن!؟
قطعا خير اما با اثبات خود و در زمان صرف شده ميتونيد بلي رو بگيريد.


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.06.14

تيم قرمز- تهاجمي و عمده فعاليت هاي آن
كه بصورت پروژه اي اين لاين ميشود.

تيم آبي - دفاعي، عمده فعاليت هاي آن
بصورت مستمر ٢٤/٧ اين تيم فعال است.


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.06.15

از جمله بهترين چهارچوب هاي
تست نفوذ و هينگ
براي
ارزيابي امنيت - تست نفوذ قانوني ( او ورت)
و تيم هاي قرمز

- infectador infecta apks
https://lnkd.in/fp_FTir

- dref
- DNS Rebinding Exploitation Framework
https://lnkd.in/fgu3DEm

- /routersploit
- The Router Exploitation Framework
https://lnkd.in/fZmKhky

- Eazy
- best framework for information gathering ,pentesting and web aplication scanner
https://lnkd.in/ftH2m_5

- BoomER
- Framework for exploiting local vulnerabilities
https://lnkd.in/fNWGHd7

- TIDoS Framework
- The Offensive Manual Web Application Penetration Testing Framework
https://lnkd.in/f4gSXMQ

- Sn1per
- Automated pentest framework for offensive security experts
https://lnkd.in/fnMVWam

- BeeF-Over-Wan
- Browser Exploitation Framework
https://lnkd.in/fY9YU8U

- DevAudit
- Open-source, cross-platform, multi-purpose security auditing tool
https://lnkd.in/fA7H84k


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.06.15

جذب متخصص در بانك تجارت


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.06.15

برگه هاي تقلب :دي يا همان راهنماي خلاصه شده و كاربردي براي

OSPF
https://packetlife.net/media/library/10/OSPF.pdf

TCP Dump
BGP
IP Sec
,...

لينك مرجع
https://packetlife.net/library/cheat-sheets/


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.06.15

آسيب پذيري: هرگونه ضعف در طراحي نرم افزار و عدم انطباق با استاندارد

تهديد: عامل بيروني كه از آسيب پذيري ها بهره برداري ميكند

و
ريسك :آسيب پذيري * تهديد
در واقع نتيجه بهره برداري از آسيب پذيري منجر به ريسك مي شود.

مثلا براي تجهيز يك كلاينت سازمان
نبود ابزار آنتي ويروس يا ضد بد افزار چيه !؟
آسيب پذيري سيستم ه

خوب تهديد اش چيه!؟
هكر، ورود ويروس و كرم اينترنتي و...

ريسك اش چيه!؟
از دست دادن اطلاعات سيستم
عدم دسترسي به اطلاعات
ضرر و زيان مالي و
...

حالا مثال هاي بر گرفته از استاندارد پيرامون
تهديدات و آسيب پذيري ها

Threats
• Access to the network by unauthorized persons
• Bomb attack
• Bomb threat
• Breach of contractual relations
• Breach of legislation
• Compromising confidential information
• Concealing user identity
• Damage caused by a third party
• Damages resulting from penetration testing
• Destruction of records
• Disaster (human caused)
• Disaster (natural)
• Disclosure of information
• Disclosure of passwords
• Eavesdropping
• Embezzlement
• Errors in maintenance
• Failure of communication links
• Falsification of records
• Fire
• Flood
• Fraud
• Industrial espionage
• Information leakage
• Interruption of business processes
• Loss of electricity
• Loss of support services
• Malfunction of equipment
• Malicious code
• Misuse of information systems
• Misuse of audit tools
• Pollution
• Social engineering
• Software errors
• Strike
• Terrorist attacks
• Theft
• Thunderstroke
• Unintentional change of data in an information system
• Unauthorized access to the information system
• Unauthorized changes of records
• Unauthorized installation of software
• Unauthorized physical access
• Unauthorized use of copyright material
• Unauthorized use of software
• User error
• Vandalism

Vulnerabilities
• Complicated user interface
• Default passwords not changed
• Disposal of storage media without deleting data
• Equipment sensitivity to changes in voltage
• Equipment sensitivity to moisture and contaminants
• Equipment sensitivity to temperature
• Inadequate cabling security
• Inadequate capacity management
• Inadequate change management
• Inadequate classification of information
• Inadequate control of physical access
• Inadequate maintenance
• Inadequate network management
• Inadequate or irregular backup
• Inadequate password management
• Inadequate physical protection
• Inadequate protection of cryptographic keys
• Inadequate replacement of older equipment
• Inadequate security awareness
• Inadequate segregation of duties
• Inadequate segregation of operational and testing facilities
• Inadequate supervision of employees
• Inadequate supervision of vendors
• Inadequate training of employees
• Incomplete specification for software development
• Insufficient software testing
• Lack of access control policy
• Lack of clean desk and clear screen policy
• Lack of control over the input and output data
• Lack of internal documentation
• Lack of or poor implementation of internal audit
• Lack of policy for the use of cryptography
• Lack of procedure for removing access rights upon termination of employment
• Lack of protection for mobile equipment
• Lack of redundancy
• Lack of systems for identification and authentication
• Lack of validation of the processed data
• Location vulnerable to flooding
• Poor selection of test data
• Single copy
• Too much power in one person
• Uncontrolled copying of data
• Uncontrolled download from the Internet
• Uncontrolled use of information systems
• Undocumented software
• Unmotivated employees
• Unprotected public network connections
• User rights are not reviewed regularly


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.06.16

جذب متخصص امنيت


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.06.16

R:V*T
Risk= Vulnerability * Theat

4 Example:

Threats
• Access to the network by unauthorized persons
• Bomb attack
• Bomb threat
• Breach of contractual relations
• Breach of legislation
• Compromising confidential information
• Concealing user identity
• Damage caused by a third party
• Damages resulting from penetration testing
• Destruction of records
• Disaster (human caused)
• Disaster (natural)
• Disclosure of information
• Disclosure of passwords
• Eavesdropping
• Embezzlement
• Errors in maintenance
• Failure of communication links
• Falsification of records
• Fire
• Flood
• Fraud
• Industrial espionage
• Information leakage
• Interruption of business processes
• Loss of electricity
• Loss of support services
• Malfunction of equipment
• Malicious code
• Misuse of information systems
• Misuse of audit tools
• Pollution
• Social engineering
• Software errors
• Strike
• Terrorist attacks
• Theft
• Thunderstroke
• Unintentional change of data in an information system
• Unauthorized access to the information system
• Unauthorized changes of records
• Unauthorized installation of software
• Unauthorized physical access
• Unauthorized use of copyright material
• Unauthorized use of software
• User error
• Vandalism

Vulnerabilities
• Complicated user interface
• Default passwords not changed
• Disposal of storage media without deleting data
• Equipment sensitivity to changes in voltage
• Equipment sensitivity to moisture and contaminants
• Equipment sensitivity to temperature
• Inadequate cabling security
• Inadequate capacity management
• Inadequate change management
• Inadequate classification of information
• Inadequate control of physical access
• Inadequate maintenance
• Inadequate network management
• Inadequate or irregular backup
• Inadequate password management
• Inadequate physical protection
• Inadequate protection of cryptographic keys
• Inadequate replacement of older equipment
• Inadequate security awareness
• Inadequate segregation of duties
• Inadequate segregation of operational and testing facilities
• Inadequate supervision of employees
• Inadequate supervision of vendors
• Inadequate training of employees
• Incomplete specification for software development
• Insufficient software testing
• Lack of access control policy
• Lack of clean desk and clear screen policy
• Lack of control over the input and output data
• Lack of internal documentation
• Lack of or poor implementation of internal audit
• Lack of policy for the use of cryptography
• Lack of procedure for removing access rights upon termination of employment
• Lack of protection for mobile equipment
• Lack of redundancy
• Lack of systems for identification and authentication
• Lack of validation of the processed data
• Location vulnerable to flooding
• Poor selection of test data
• Single copy
• Too much power in one person
• Uncontrolled copying of data
• Uncontrolled download from the Internet
• Uncontrolled use of information systems
• Undocumented software
• Unmotivated employees
• Unprotected public network connections
• User rights are not reviewed regularly

https://www.aparat.com/v/S9fCz


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.06.17

با سلام و تشكر فراوان

براي ابراز محبت و انرژي + نسبت به كانال
@CisoasaService

و نقد و انتقاد هاي سازنده در جهت اثربخشي بهتر محتواي آن.


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.06.18

دوستان و علاقمندان به دادن امتحانات
از موسسه و شركت
ISACA

براي امتحانات اين موسسه، مخصوصا
دو مدرك
CISM
CISA

طي مكاتبات و پيگيري هاي انجام شده
مسير هموار و در سنتر هاي مشخص هماهنگ شده در ٣ كشور امارات متحده عربي، تركيه و عراق امكان اخذ مدرك بصورت قانوني و بدون نياز به سخت گيري هاي تجربه شده ، براي هموطنان مقدور است.

بصورت حضوري و بدون نياز به دادن هزينه بيشتر
بصورت حرفه اي.

صرفا جهت اطلاع


-بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.06.18

به يك متخصص در جهت ارزيابي و تست امنيت نرم افزار هاي سازماني

در يك شركت حرفه اي و با قدمت زير مجموعه بانكداري

با تخصص ومهارت هاي لازمه در اين حوزه

تهران/ ونك

حقوق - كارانه- پاداش - سنوات و ساير موارد قانوني

در يك تيم دوستانه و صاحب سبك

رنج حقوق:

٥-٦ ميليون تومان

لطفا ارسال رزومه بروز و مرتبط به آي دي

@Alirezaghahrood


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.06.18

يا ابا عبدالله

یارا دلبر و دلدارا
ماه جهان آرا
میکشد عشق تو
آخر سر مارا

جانا سید و مولانا
حضرت سلطانا
تشنه ی تو هستم
سید العطشانا

به مسیر اربعین به نجف تا کربلا

یار بطلب
سید و سالار بطلب
خسته ام آقا
به علمدار بطلب

آه بطلب
آمدم ای شاه بطلب
یار بطلب
سید و سالار بطلب
خسته ام آقا
به علمدار بطلب

عرض تسلیت و تعزیت به مناسبت ايام محرم
به هر آنكس كه با تامل و تفكر
همراه با پندار و كردار و گفتار نيك پيرو حسين (ع ) هست و در عمل مستمر، صفات حسيني را سعي بر يدك كشيدن دارد.


- التماس دعا-


@CisoasaService

98.06.18