جذب متخصص امنيت


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.06.16

R:V*T
Risk= Vulnerability * Theat

4 Example:

Threats
• Access to the network by unauthorized persons
• Bomb attack
• Bomb threat
• Breach of contractual relations
• Breach of legislation
• Compromising confidential information
• Concealing user identity
• Damage caused by a third party
• Damages resulting from penetration testing
• Destruction of records
• Disaster (human caused)
• Disaster (natural)
• Disclosure of information
• Disclosure of passwords
• Eavesdropping
• Embezzlement
• Errors in maintenance
• Failure of communication links
• Falsification of records
• Fire
• Flood
• Fraud
• Industrial espionage
• Information leakage
• Interruption of business processes
• Loss of electricity
• Loss of support services
• Malfunction of equipment
• Malicious code
• Misuse of information systems
• Misuse of audit tools
• Pollution
• Social engineering
• Software errors
• Strike
• Terrorist attacks
• Theft
• Thunderstroke
• Unintentional change of data in an information system
• Unauthorized access to the information system
• Unauthorized changes of records
• Unauthorized installation of software
• Unauthorized physical access
• Unauthorized use of copyright material
• Unauthorized use of software
• User error
• Vandalism

Vulnerabilities
• Complicated user interface
• Default passwords not changed
• Disposal of storage media without deleting data
• Equipment sensitivity to changes in voltage
• Equipment sensitivity to moisture and contaminants
• Equipment sensitivity to temperature
• Inadequate cabling security
• Inadequate capacity management
• Inadequate change management
• Inadequate classification of information
• Inadequate control of physical access
• Inadequate maintenance
• Inadequate network management
• Inadequate or irregular backup
• Inadequate password management
• Inadequate physical protection
• Inadequate protection of cryptographic keys
• Inadequate replacement of older equipment
• Inadequate security awareness
• Inadequate segregation of duties
• Inadequate segregation of operational and testing facilities
• Inadequate supervision of employees
• Inadequate supervision of vendors
• Inadequate training of employees
• Incomplete specification for software development
• Insufficient software testing
• Lack of access control policy
• Lack of clean desk and clear screen policy
• Lack of control over the input and output data
• Lack of internal documentation
• Lack of or poor implementation of internal audit
• Lack of policy for the use of cryptography
• Lack of procedure for removing access rights upon termination of employment
• Lack of protection for mobile equipment
• Lack of redundancy
• Lack of systems for identification and authentication
• Lack of validation of the processed data
• Location vulnerable to flooding
• Poor selection of test data
• Single copy
• Too much power in one person
• Uncontrolled copying of data
• Uncontrolled download from the Internet
• Uncontrolled use of information systems
• Undocumented software
• Unmotivated employees
• Unprotected public network connections
• User rights are not reviewed regularly

https://www.aparat.com/v/S9fCz


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.06.17

با سلام و تشكر فراوان

براي ابراز محبت و انرژي + نسبت به كانال
@CisoasaService

و نقد و انتقاد هاي سازنده در جهت اثربخشي بهتر محتواي آن.


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.06.18

دوستان و علاقمندان به دادن امتحانات
از موسسه و شركت
ISACA

براي امتحانات اين موسسه، مخصوصا
دو مدرك
CISM
CISA

طي مكاتبات و پيگيري هاي انجام شده
مسير هموار و در سنتر هاي مشخص هماهنگ شده در ٣ كشور امارات متحده عربي، تركيه و عراق امكان اخذ مدرك بصورت قانوني و بدون نياز به سخت گيري هاي تجربه شده ، براي هموطنان مقدور است.

بصورت حضوري و بدون نياز به دادن هزينه بيشتر
بصورت حرفه اي.

صرفا جهت اطلاع


-بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.06.18

به يك متخصص در جهت ارزيابي و تست امنيت نرم افزار هاي سازماني

در يك شركت حرفه اي و با قدمت زير مجموعه بانكداري

با تخصص ومهارت هاي لازمه در اين حوزه

تهران/ ونك

حقوق - كارانه- پاداش - سنوات و ساير موارد قانوني

در يك تيم دوستانه و صاحب سبك

رنج حقوق:

٥-٦ ميليون تومان

لطفا ارسال رزومه بروز و مرتبط به آي دي

@Alirezaghahrood


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.06.18

يا ابا عبدالله

یارا دلبر و دلدارا
ماه جهان آرا
میکشد عشق تو
آخر سر مارا

جانا سید و مولانا
حضرت سلطانا
تشنه ی تو هستم
سید العطشانا

به مسیر اربعین به نجف تا کربلا

یار بطلب
سید و سالار بطلب
خسته ام آقا
به علمدار بطلب

آه بطلب
آمدم ای شاه بطلب
یار بطلب
سید و سالار بطلب
خسته ام آقا
به علمدار بطلب

عرض تسلیت و تعزیت به مناسبت ايام محرم
به هر آنكس كه با تامل و تفكر
همراه با پندار و كردار و گفتار نيك پيرو حسين (ع ) هست و در عمل مستمر، صفات حسيني را سعي بر يدك كشيدن دارد.


- التماس دعا-


@CisoasaService

98.06.18

بيش از ٥-٦ هفته از آسيب پذيري هاي سوژه محور
يك بانك معظم ميگذرد و يك بار بصورت عمومي و با حفظ محرمانگي اين موضوع توسط دوستان اعلام شد

در فاز بعدي به اطلاع تيم و يكسري از اعضاي زيرساختي آن رسيد

در فاز بعدي به مدير مركز و يكي از پرسنل اداره كل تماس تلفني گرفته شد مبني بر دادن
Poc
و .... اش

اما جوابگو نبودن: دي


- چرا سطوح امنيت اطلاعات / سايبري
اينقد تو ديوار بايد باشه كه ...

نمونه خروجي ابزار
عمق فاجعه رو ترسيم ميكنه!


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.06.19

https://www.instagram.com/p/BUAHeIvluwG/?utm_source=ig_web_copy_link



تزویر با لباس دیانت و تقوا به میدان می آید
تزویر سکه ای دو روست که بر یک رویش نام خدا و روی دیگرش نقش ابلیس است
عوام خدایش را میبینند !! !
و اهل معرفت ابلیسش
و چه خون دلها خورد علی از دست این جماعت سر به سجود آیه خوان و به ظاهر متدین

#يا_أَيُّهَا_الَّذينَ_آمَنُوا_آمِنُوا

- خدايا به ما شرافت زندگي اي را عطا كن
كه يدك كشيده شجاعت، شهامت و سلامت باشد
و برخورد صريح با هر گونه ظلم و جور و عوام فريبي!


- گفت و شنود-


آگاهي رساني امنيت سايبري

@CisoasaService

98.06.19

سلام در ابتدا تشكر از همراهي👌🏽👍🏽🙏

تمام لاگهای تولید شده توسط دارايي هاي شبكه اي مد نظر را ذخيره و دسته بندی میکند و به ما این امکان را میدهد که بتوانیم ارتباط بین تغییرات و رخدادهای گوناگون در بخشهای مختلف را پیدا و برای اصلاح یا رفع آن اقدام نماییم.


Splunk Enterprise Security (ES)
١.
محصول مد نظر از كمپاني اسپلانك
هوش امنيتي، همراه با
App
هاي متفاوت رايگان و تجاري براي بهينه سازي تحليل رويدادهاي امنيت محور دارايي هاي سازمان.

٢.شركت هاي داخلي در حال حاضر قادر به تامين اين موضوع هستند- لايسنس قانوني

٣.اين شركت در حوزه هاي
مديريت فناورانه، اينترنت اشيا، امنيت و تحليل كسب و كار به سمت بزرگ داده فعال و موفق هست

٤.آموزشگاه هاي زيادي تو ايران هستند
فارغ از موسسه،
مدرسين خوبي همچون:

آرش ابوالفضل
ايمان منصوري
مسعود اربابي
علي آهنگري
امير زرگران
و...

شخصي رو انتخاب كنيد كه سابقه مستقيم و اثر بخش با موضوع تدريس داشته باشد.


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.06.21

https://content.sans.org/sites/default/files/2019-01/Brochure_SANS-2019_WEB3.pdf


مستند دوره هاي تفكيك شده، آموزشي موسسه موفق SANS
همراه با كد دوره، نام مدرس، مشخصات دوره و توضيحات مناسب آن.

دوره هاي جديد موسسه جالبه، فن گزارش نويسي در امنيت و با ساير دوره هاي جديد و خلاقانه آن👌🏽


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.06.21

سپاس از انرژي مثبت 👍🏽👌🏽🙏

براي متخصص شدن در حوزه امنيت بايد مسير راه رو ترسيم و گام به گام اقدام نماييد.

يكي كلاس بايد بره
يكي سلف استادي ميره جلو
...

مهم طريقه كسب دانش مورد نظر نيست!!!

مهم مسير آموزش درسته+ همت و پشتكار شما.

در ابتدا واقع بيني ما نسبت به دانش و جايگاه امروز خودمون و سپس اضافه كردن علاقه مندي هامون و در نهايت، شفافيت مقصد و تخصص مشخص و جايگاهي شغلي كه پي كسب آن هستيم.


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.06.23

https://tacticalflex.zendesk.com/hc/en-us/articles/360010678893-Snort-vs-Suricata

يك نيمچه محتوا خوب براي دانستن مزيت و قابليت ها و همچنين تفاوت هاي دو ابزار مهم

در شناسايي مخاطرات- حملات سايبري در شبكه سازمان

Snort vs Suricata

شما كدام رو ترجيح ميديد!؟ و چرا!؟


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.06.23

كدام يك از دو ابزار رايگان و مهم در شناسايي نفوذگران و رصد انواع حملات سايبري را براي اجرا، پياده سازي و استقرار در شبكه سازمان خود انتخاب ميكنيد!؟
anonymous poll

1-Snort – 73
👍👍👍👍👍👍👍 80%

2-Suricata – 18
👍👍 20%

👥 91 people voted so far. Poll closed.

با سلام

اينقدر هموطن هاي شاهكار😃، در قالب اسپم فعاليت ميكنند كه تو گروه هاي تخصصي صرفا ميشه مطالب رو مشاهده كرد و نميتوان فعاليت ديگري داشت: دي


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.06.24

متد هاي حملات فيشينگ:


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.06.24

يكسري كنترل هاي حداقل اي براي مصون بودن از مجرمين و بد افزار هاي سايبري:

- پسورد/ گذرواژه پيچيده( تعريف درستش پسورد اي كه قابل حدس نباشد و در بازه زماني كوتاه عوض شود.)

- گرفتن نسخه پشتيبان از داده هاي حياتي

- بروز رساني انواع نرم افزار ها

-استفاده از ارتباطات امن همچون HTTPS

-استفاده از ديواره آتش

- تامل و تفكر قبل از كليك روي هر موضوع، پوشه ، لينك و .... در فضاي سايبر


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.06.24

De best framework 4 hacking:

- infectador infecta apks
https://lnkd.in/fp_FTir

- dref
- DNS Rebinding Exploitation Framework
https://lnkd.in/fgu3DEm

- /routersploit
- The Router Exploitation Framework
https://lnkd.in/fZmKhky

- Eazy
- best framework for information gathering ,pentesting and web aplication scanner
https://lnkd.in/ftH2m_5

- BoomER
- Framework for exploiting local vulnerabilities
https://lnkd.in/fNWGHd7

- TIDoS Framework
- The Offensive Manual Web Application Penetration Testing Framework
https://lnkd.in/f4gSXMQ

- Sn1per
- Automated pentest framework for offensive security experts
https://lnkd.in/fnMVWam

- BeeF-Over-Wan
- Browser Exploitation Framework
https://lnkd.in/fY9YU8U

- DevAudit
- Open-source, cross-platform, multi-purpose security auditing tool
https://lnkd.in/fA7H84k

R:V*T
Risk= Vulnerability * Theat

4 Example:

Threats
• Access to the network by unauthorized persons
• Bomb attack
• Bomb threat
• Breach of contractual relations
• Breach of legislation
• Compromising confidential information
• Concealing user identity
• Damage caused by a third party
• Damages resulting from penetration testing
• Destruction of records
• Disaster (human caused)
• Disaster (natural)
• Disclosure of information
• Disclosure of passwords
• Eavesdropping
• Embezzlement
• Errors in maintenance
• Failure of communication links
• Falsification of records
• Fire
• Flood
• Fraud
• Industrial espionage
• Information leakage
• Interruption of business processes
• Loss of electricity
• Loss of support services
• Malfunction of equipment
• Malicious code
• Misuse of information systems
• Misuse of audit tools
• Pollution
• Social engineering
• Software errors
• Strike
• Terrorist attacks
• Theft
• Thunderstroke
• Unintentional change of data in an information system
• Unauthorized access to the information system
• Unauthorized changes of records
• Unauthorized installation of software
• Unauthorized physical access
• Unauthorized use of copyright material
• Unauthorized use of software
• User error
• Vandalism

Vulnerabilities
• Complicated user interface
• Default passwords not changed
• Disposal of storage media without deleting data
• Equipment sensitivity to changes in voltage
• Equipment sensitivity to moisture and contaminants
• Equipment sensitivity to temperature
• Inadequate cabling security
• Inadequate capacity management
• Inadequate change management
• Inadequate classification of information
• Inadequate control of physical access
• Inadequate maintenance
• Inadequate network management
• Inadequate or irregular backup
• Inadequate password management
• Inadequate physical protection
• Inadequate protection of cryptographic keys
• Inadequate replacement of older equipment
• Inadequate security awareness
• Inadequate segregation of duties
• Inadequate segregation of operational and testing facilities
• Inadequate supervision of employees
• Inadequate supervision of vendors
• Inadequate training of employees
• Incomplete specification for software development
• Insufficient software testing
• Lack of access control policy
• Lack of clean desk and clear screen policy
• Lack of control over the input and output data
• Lack of internal documentation
• Lack of or poor implementation of internal audit
• Lack of policy for the use of cryptography
• Lack of procedure for removing access rights upon termination of employment
• Lack of protection for mobile equipment
• Lack of redundancy
• Lack of systems for identification and authentication
• Lack of validation of the processed data
• Location vulnerable to flooding
• Poor selection of test data
• Single copy
• Too much power in one person
• Uncontrolled copying of data
• Uncontrolled download from the Internet
• Uncontrolled use of information systems
• Undocumented software
• Unmotivated employees
• Unprotected public network connections
• User rights are not reviewed regularly

584 Pages | 2019