با سلام

سپاس از پيگيري مطالب و به اشتراك گذاري موضوعاتي كه به نظرتون براي ديگران چه متخصصين فناورانه / امنيت/ مديريت كسب و كار و چه براي سايرين/ عمومي
كاربرد دارد.

تشكر فراوان براي مشاركت در دادن نظرات و انرژي هاي + و سالم.


-صرفا گفت و شنود-


آگاهي رساني امنيت سايبري

@CisoasaService

98.06.13

استفاده از
Safe search - on


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.06.14

🔺ورکشاپ‌های تخصصی آفسک عمومی شد.
ظرفیت‌ها بسیار محدود است. ثبت‌نام از امشب تا یک هفته دیگر (۲۰م شهریور ۹۸) ادامه خواهد داشت. بورسیه‌های متنوعی وجود دارد که در توضیحات قابل مشاهده است.

https://offsecresearch.com/workshops

با سلام

داشتن مدرك بين المللي قطعا بهتره
چون بين المللي هست😅👍🏽

اگر به هر دليل مقدور نبود، مدرك داخلي هم ارزشمنده،

در داخل كشور كه ارزش دارند،

حتي در خارج از كشور، اما از موسسات قديمي و شناخته شده داخلي و تقريبا موسسات آموزشي قديمي و حرفه اي داخلي ، از منظر متخصصين و حاكميت امنيت- افتاي رياست جمهوري، ارزش يكساني دارند.

+ ذكر اين موضوع هم كه شما بايد دانش، مفاهيم و توان كار عملياتي اون دوره رو داشته باشيد بعد سعي به گرفتن مدرك بين المللي را در دستور كار قراردهيد.

پس بنابراين
صرفا داشتن مدرك براي شخص، آتيه كاري و حقوقي نداره، مخصوصا در خارج ازكشور كه به شايستگي و توان فني و عملياتي شما در حوزه فناورانه و امنيت كار رو ميدن- 👌🏽


پ ن:
ببخشيد دير جواب ميدم، حجم سوالات و طيف باز آن ها زياد و زمان من كم: اميدوارم دير پاسخ دادن باعث ناراحتي نشود.


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.06.14

مثال شما قصد رفتن به خواستگاي رو داريد
با ماشين اجاره اي و داشتن كت شلوار برند و شيك

آيا صرفا با در نظر گرفتن ظاهر به شما بله ميگن!؟

خير( اگه هم بگن ١ ماه بعد صداش درمياد و .... 😃)

مدرك حكم ظاهر قضيه است.

حالا با لباس ساده و ... به راحتي به شما بله ميگن!؟
قطعا خير اما با اثبات خود و در زمان صرف شده ميتونيد بلي رو بگيريد.


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.06.14

تيم قرمز- تهاجمي و عمده فعاليت هاي آن
كه بصورت پروژه اي اين لاين ميشود.

تيم آبي - دفاعي، عمده فعاليت هاي آن
بصورت مستمر ٢٤/٧ اين تيم فعال است.


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.06.15

از جمله بهترين چهارچوب هاي
تست نفوذ و هينگ
براي
ارزيابي امنيت - تست نفوذ قانوني ( او ورت)
و تيم هاي قرمز

- infectador infecta apks
https://lnkd.in/fp_FTir

- dref
- DNS Rebinding Exploitation Framework
https://lnkd.in/fgu3DEm

- /routersploit
- The Router Exploitation Framework
https://lnkd.in/fZmKhky

- Eazy
- best framework for information gathering ,pentesting and web aplication scanner
https://lnkd.in/ftH2m_5

- BoomER
- Framework for exploiting local vulnerabilities
https://lnkd.in/fNWGHd7

- TIDoS Framework
- The Offensive Manual Web Application Penetration Testing Framework
https://lnkd.in/f4gSXMQ

- Sn1per
- Automated pentest framework for offensive security experts
https://lnkd.in/fnMVWam

- BeeF-Over-Wan
- Browser Exploitation Framework
https://lnkd.in/fY9YU8U

- DevAudit
- Open-source, cross-platform, multi-purpose security auditing tool
https://lnkd.in/fA7H84k


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.06.15

جذب متخصص در بانك تجارت


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.06.15

برگه هاي تقلب :دي يا همان راهنماي خلاصه شده و كاربردي براي

OSPF
https://packetlife.net/media/library/10/OSPF.pdf

TCP Dump
BGP
IP Sec
,...

لينك مرجع
https://packetlife.net/library/cheat-sheets/


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.06.15

آسيب پذيري: هرگونه ضعف در طراحي نرم افزار و عدم انطباق با استاندارد

تهديد: عامل بيروني كه از آسيب پذيري ها بهره برداري ميكند

و
ريسك :آسيب پذيري * تهديد
در واقع نتيجه بهره برداري از آسيب پذيري منجر به ريسك مي شود.

مثلا براي تجهيز يك كلاينت سازمان
نبود ابزار آنتي ويروس يا ضد بد افزار چيه !؟
آسيب پذيري سيستم ه

خوب تهديد اش چيه!؟
هكر، ورود ويروس و كرم اينترنتي و...

ريسك اش چيه!؟
از دست دادن اطلاعات سيستم
عدم دسترسي به اطلاعات
ضرر و زيان مالي و
...

حالا مثال هاي بر گرفته از استاندارد پيرامون
تهديدات و آسيب پذيري ها

Threats
• Access to the network by unauthorized persons
• Bomb attack
• Bomb threat
• Breach of contractual relations
• Breach of legislation
• Compromising confidential information
• Concealing user identity
• Damage caused by a third party
• Damages resulting from penetration testing
• Destruction of records
• Disaster (human caused)
• Disaster (natural)
• Disclosure of information
• Disclosure of passwords
• Eavesdropping
• Embezzlement
• Errors in maintenance
• Failure of communication links
• Falsification of records
• Fire
• Flood
• Fraud
• Industrial espionage
• Information leakage
• Interruption of business processes
• Loss of electricity
• Loss of support services
• Malfunction of equipment
• Malicious code
• Misuse of information systems
• Misuse of audit tools
• Pollution
• Social engineering
• Software errors
• Strike
• Terrorist attacks
• Theft
• Thunderstroke
• Unintentional change of data in an information system
• Unauthorized access to the information system
• Unauthorized changes of records
• Unauthorized installation of software
• Unauthorized physical access
• Unauthorized use of copyright material
• Unauthorized use of software
• User error
• Vandalism

Vulnerabilities
• Complicated user interface
• Default passwords not changed
• Disposal of storage media without deleting data
• Equipment sensitivity to changes in voltage
• Equipment sensitivity to moisture and contaminants
• Equipment sensitivity to temperature
• Inadequate cabling security
• Inadequate capacity management
• Inadequate change management
• Inadequate classification of information
• Inadequate control of physical access
• Inadequate maintenance
• Inadequate network management
• Inadequate or irregular backup
• Inadequate password management
• Inadequate physical protection
• Inadequate protection of cryptographic keys
• Inadequate replacement of older equipment
• Inadequate security awareness
• Inadequate segregation of duties
• Inadequate segregation of operational and testing facilities
• Inadequate supervision of employees
• Inadequate supervision of vendors
• Inadequate training of employees
• Incomplete specification for software development
• Insufficient software testing
• Lack of access control policy
• Lack of clean desk and clear screen policy
• Lack of control over the input and output data
• Lack of internal documentation
• Lack of or poor implementation of internal audit
• Lack of policy for the use of cryptography
• Lack of procedure for removing access rights upon termination of employment
• Lack of protection for mobile equipment
• Lack of redundancy
• Lack of systems for identification and authentication
• Lack of validation of the processed data
• Location vulnerable to flooding
• Poor selection of test data
• Single copy
• Too much power in one person
• Uncontrolled copying of data
• Uncontrolled download from the Internet
• Uncontrolled use of information systems
• Undocumented software
• Unmotivated employees
• Unprotected public network connections
• User rights are not reviewed regularly


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.06.16

جذب متخصص امنيت


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.06.16

R:V*T
Risk= Vulnerability * Theat

4 Example:

Threats
• Access to the network by unauthorized persons
• Bomb attack
• Bomb threat
• Breach of contractual relations
• Breach of legislation
• Compromising confidential information
• Concealing user identity
• Damage caused by a third party
• Damages resulting from penetration testing
• Destruction of records
• Disaster (human caused)
• Disaster (natural)
• Disclosure of information
• Disclosure of passwords
• Eavesdropping
• Embezzlement
• Errors in maintenance
• Failure of communication links
• Falsification of records
• Fire
• Flood
• Fraud
• Industrial espionage
• Information leakage
• Interruption of business processes
• Loss of electricity
• Loss of support services
• Malfunction of equipment
• Malicious code
• Misuse of information systems
• Misuse of audit tools
• Pollution
• Social engineering
• Software errors
• Strike
• Terrorist attacks
• Theft
• Thunderstroke
• Unintentional change of data in an information system
• Unauthorized access to the information system
• Unauthorized changes of records
• Unauthorized installation of software
• Unauthorized physical access
• Unauthorized use of copyright material
• Unauthorized use of software
• User error
• Vandalism

Vulnerabilities
• Complicated user interface
• Default passwords not changed
• Disposal of storage media without deleting data
• Equipment sensitivity to changes in voltage
• Equipment sensitivity to moisture and contaminants
• Equipment sensitivity to temperature
• Inadequate cabling security
• Inadequate capacity management
• Inadequate change management
• Inadequate classification of information
• Inadequate control of physical access
• Inadequate maintenance
• Inadequate network management
• Inadequate or irregular backup
• Inadequate password management
• Inadequate physical protection
• Inadequate protection of cryptographic keys
• Inadequate replacement of older equipment
• Inadequate security awareness
• Inadequate segregation of duties
• Inadequate segregation of operational and testing facilities
• Inadequate supervision of employees
• Inadequate supervision of vendors
• Inadequate training of employees
• Incomplete specification for software development
• Insufficient software testing
• Lack of access control policy
• Lack of clean desk and clear screen policy
• Lack of control over the input and output data
• Lack of internal documentation
• Lack of or poor implementation of internal audit
• Lack of policy for the use of cryptography
• Lack of procedure for removing access rights upon termination of employment
• Lack of protection for mobile equipment
• Lack of redundancy
• Lack of systems for identification and authentication
• Lack of validation of the processed data
• Location vulnerable to flooding
• Poor selection of test data
• Single copy
• Too much power in one person
• Uncontrolled copying of data
• Uncontrolled download from the Internet
• Uncontrolled use of information systems
• Undocumented software
• Unmotivated employees
• Unprotected public network connections
• User rights are not reviewed regularly

https://www.aparat.com/v/S9fCz


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.06.17

با سلام و تشكر فراوان

براي ابراز محبت و انرژي + نسبت به كانال
@CisoasaService

و نقد و انتقاد هاي سازنده در جهت اثربخشي بهتر محتواي آن.


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.06.18

دوستان و علاقمندان به دادن امتحانات
از موسسه و شركت
ISACA

براي امتحانات اين موسسه، مخصوصا
دو مدرك
CISM
CISA

طي مكاتبات و پيگيري هاي انجام شده
مسير هموار و در سنتر هاي مشخص هماهنگ شده در ٣ كشور امارات متحده عربي، تركيه و عراق امكان اخذ مدرك بصورت قانوني و بدون نياز به سخت گيري هاي تجربه شده ، براي هموطنان مقدور است.

بصورت حضوري و بدون نياز به دادن هزينه بيشتر
بصورت حرفه اي.

صرفا جهت اطلاع


-بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.06.18

به يك متخصص در جهت ارزيابي و تست امنيت نرم افزار هاي سازماني

در يك شركت حرفه اي و با قدمت زير مجموعه بانكداري

با تخصص ومهارت هاي لازمه در اين حوزه

تهران/ ونك

حقوق - كارانه- پاداش - سنوات و ساير موارد قانوني

در يك تيم دوستانه و صاحب سبك

رنج حقوق:

٥-٦ ميليون تومان

لطفا ارسال رزومه بروز و مرتبط به آي دي

@Alirezaghahrood


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.06.18

يا ابا عبدالله

یارا دلبر و دلدارا
ماه جهان آرا
میکشد عشق تو
آخر سر مارا

جانا سید و مولانا
حضرت سلطانا
تشنه ی تو هستم
سید العطشانا

به مسیر اربعین به نجف تا کربلا

یار بطلب
سید و سالار بطلب
خسته ام آقا
به علمدار بطلب

آه بطلب
آمدم ای شاه بطلب
یار بطلب
سید و سالار بطلب
خسته ام آقا
به علمدار بطلب

عرض تسلیت و تعزیت به مناسبت ايام محرم
به هر آنكس كه با تامل و تفكر
همراه با پندار و كردار و گفتار نيك پيرو حسين (ع ) هست و در عمل مستمر، صفات حسيني را سعي بر يدك كشيدن دارد.


- التماس دعا-


@CisoasaService

98.06.18

بيش از ٥-٦ هفته از آسيب پذيري هاي سوژه محور
يك بانك معظم ميگذرد و يك بار بصورت عمومي و با حفظ محرمانگي اين موضوع توسط دوستان اعلام شد

در فاز بعدي به اطلاع تيم و يكسري از اعضاي زيرساختي آن رسيد

در فاز بعدي به مدير مركز و يكي از پرسنل اداره كل تماس تلفني گرفته شد مبني بر دادن
Poc
و .... اش

اما جوابگو نبودن: دي


- چرا سطوح امنيت اطلاعات / سايبري
اينقد تو ديوار بايد باشه كه ...

نمونه خروجي ابزار
عمق فاجعه رو ترسيم ميكنه!


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.06.19

https://www.instagram.com/p/BUAHeIvluwG/?utm_source=ig_web_copy_link



تزویر با لباس دیانت و تقوا به میدان می آید
تزویر سکه ای دو روست که بر یک رویش نام خدا و روی دیگرش نقش ابلیس است
عوام خدایش را میبینند !! !
و اهل معرفت ابلیسش
و چه خون دلها خورد علی از دست این جماعت سر به سجود آیه خوان و به ظاهر متدین

#يا_أَيُّهَا_الَّذينَ_آمَنُوا_آمِنُوا

- خدايا به ما شرافت زندگي اي را عطا كن
كه يدك كشيده شجاعت، شهامت و سلامت باشد
و برخورد صريح با هر گونه ظلم و جور و عوام فريبي!


- گفت و شنود-


آگاهي رساني امنيت سايبري

@CisoasaService

98.06.19

سلام در ابتدا تشكر از همراهي👌🏽👍🏽🙏

تمام لاگهای تولید شده توسط دارايي هاي شبكه اي مد نظر را ذخيره و دسته بندی میکند و به ما این امکان را میدهد که بتوانیم ارتباط بین تغییرات و رخدادهای گوناگون در بخشهای مختلف را پیدا و برای اصلاح یا رفع آن اقدام نماییم.


Splunk Enterprise Security (ES)
١.
محصول مد نظر از كمپاني اسپلانك
هوش امنيتي، همراه با
App
هاي متفاوت رايگان و تجاري براي بهينه سازي تحليل رويدادهاي امنيت محور دارايي هاي سازمان.

٢.شركت هاي داخلي در حال حاضر قادر به تامين اين موضوع هستند- لايسنس قانوني

٣.اين شركت در حوزه هاي
مديريت فناورانه، اينترنت اشيا، امنيت و تحليل كسب و كار به سمت بزرگ داده فعال و موفق هست

٤.آموزشگاه هاي زيادي تو ايران هستند
فارغ از موسسه،
مدرسين خوبي همچون:

آرش ابوالفضل
ايمان منصوري
مسعود اربابي
علي آهنگري
امير زرگران
و...

شخصي رو انتخاب كنيد كه سابقه مستقيم و اثر بخش با موضوع تدريس داشته باشد.


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.06.21

https://content.sans.org/sites/default/files/2019-01/Brochure_SANS-2019_WEB3.pdf


مستند دوره هاي تفكيك شده، آموزشي موسسه موفق SANS
همراه با كد دوره، نام مدرس، مشخصات دوره و توضيحات مناسب آن.

دوره هاي جديد موسسه جالبه، فن گزارش نويسي در امنيت و با ساير دوره هاي جديد و خلاقانه آن👌🏽


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.06.21