A very strange and emotional incident was captured on a shop camera in Pakistan, and it has gone viral everywhere.

⁨ یه اتفاق خیلی عجیب و احساسی توی دوربین یک مغازه در پاکستان ضبط شده وهمه‌جا وایرال شده😍

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.11.17

https://www.linkedin.com/posts/alirezaghahrood_a-very-strange-and-emotional-incident-was-activity-7396232210682408960-kArA

Microsoft Exchange Server Security Best Practices 2025

Due to repeated client requests and the need for a unified reference, the key best practices and security challenges of Microsoft Exchange Mail Services have now been fully documented in this guide.

This consolidated document provides practical recommendations, configuration guidance, and hardening steps to keep Exchange environments secure, stable, and compliant especially in enterprise grade deployments.

Exchange Server TLS configuration best practices:
https://learn.microsoft.com/en-us/exchange/plan-and-deploy/post-installation-tasks/security-best-practices/exchange-tls-configuration

Exchange Health Checker script:
https://microsoft.github.io/CSS-Exchange/Diagnostics/HealthChecker/TLSConfigurationCheck

به‌دلیل درخواست‌های مکرر مشتریان و توضیحات تکمیلی مطرح‌شده در جلسات، بهترین روش‌ها و چالش‌های امنیتی سرویس ایمیل مایکروسافت اکسچنج اکنون به‌صورت کامل تدوین شده است.
این سند مجموعه‌ای منسجم از توصیه‌های عملی، نکات پیکربندی و مراحل سخت‌سازی را ارائه می‌دهد تا محیط Exchange سازمان‌ها پایدار، ایمن و منطبق با استانداردها باقی بماند
به‌ویژه در سناریوهای حساس و سازمانی

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.11.18

https://www.linkedin.com/posts/alirezaghahrood_ms-exchaneg-microsoft-security-bp-activity-7396325031456288768-KO7B

The Rise of Copy-Paste Experts:
When AI Replaces Experience🤪

‌ چندین ماه اخیر، موج عجیبی از متخصصان یک‌شبه‌‌ در حوزه‌های مختلف دیدیم، کسانی که صرفا با کپی‌پیست خروجی ChatGPT یا هر AI دیگر، خودشان را کارشناس، معمار، تحلیل‌گر، محقق یا… معرفی می‌کردند.

این موج بیشتر از آن‌که نشانه پیشرفت باشد، یک هشدار جدی بود:
وقتی ابزار، جای تجربه، آزمایش، پروژه واقعی، شکست و یادگیری را بگیرد، خروجی فقط می‌شود ظاهر حرفه‌ای بدون عمق😵‍💫

اما حالا که بخشی از اینترنت و چند سرویس شناخته‌شده زیر فشار محدودیت‌ها قرار گرفته‌اند و دسترسی خیلی‌ها کم شده،
ترند کپی‌پیست‌های آماده هم به همان سرعت افت کرده🤓

چرا؟
چون وقتی ابزار قطع می‌شود، تنها چیزی که باقی می‌ماند، تجربه واقعی است و تجربه چیزی نیست که با یک ربات تولید شود.

اینکه از AI استفاده کنیم؟ قطعا‌ لازم و هوشمندانه است.
اما جایگزین درک، تحلیل، تست عملی و دانش واقعی نیست.

مشکل کجاست؟
- امنیت و فناوری جای کپی‌کاری نیست.
-تجربه عملی، آزمایش، خطا، سناریو، لابراتوار و کیس واقعی چیزی نیست که با دکمه Paste جایگزین شود.
- جامعه فنی زمانی رشد می‌کنه که افراد دانش واقعی تولید کنند، نه 🥸اینکه خروجی AI رو به نام خودشون منتشر کنند 😐

آینده متعلق به کسانی است که:
• با ابزار کار می‌کنند، نه اینکه ابزار جای آن‌ها کار کند
• می‌فهمند چه می‌خوانند و چرا می‌نویسند!
• به‌جای جایگزین‌کردن تفکر، از AI برای تقویت تفکر استفاده می‌کنند.

این پست یک گلایه نیست
یک یادآوری جدی‌ است
در امنیت سایبری، دانش+تجربه و دانایی و با خرد پیش‌نیاز دفاع است
و دانش تقلبی = ریسک واقعی.

بیاییم به جای مسابقه روی محتواهای آماده،
روی مهارت، تجربه، یادگیری و آزمایش تمرکز کنیم
AI
یک ابزار کمکی است؛
نه جایگزین تخصص.

پ ن: گاهی قطع شدن یک سرویس، بهترین فیلتر برای تشخیص کیفیت واقعی از ظاهر مصنوعی است.

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.11.19

What the people of the Third World must save is not their homeland, but themselves
for most of them dwell in the depths of ignorance, deluded by the illusion of wisdom..!

آنچه مردم جهان سوم باید نجات دهند، نه وطن‌شان، بلکه خودشان است؛ چراکه بیشتر آن‌ها در اعماق نادانی زندگی می‌کنند و به توهم دانایی دل‌خوش‌اند.

🔔Fortinet has confirmed a new FortiWeb flaw CVE-2025-58034 already exploited in the wild.
It lets authenticated attackers execute OS commands via crafted requests. Full story ↓
https://thehackernews.com/2025/11/fortinet-warns-of-new-fortiweb-cve-2025.html

🔔 Update: Fortinet has assigned CVE-2025-64446 (CVSS 9.1) a path traversal flaw letting attackers run admin commands via crafted HTTP/S requests. CISA added it to KEV Exploited in the wild.
Patch now
https://thehackernews.com/2025/11/fortinet-fortiweb-flaw-actively.html

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.11.20

Unauthorized Scanning Isn’t Security It’s a Crime.
The Alarming Rise of Unethical “Hackers” in Our Cyber Ecosystem👻

در یک ماه گذشته، متاسفانه با دو کسب‌وکار روبه‌رو شدم که قربانی افرادی شدند که خود را هکر 🥸معرفی می‌کردند اما هیچ رفتار حرفه‌ای، اخلاقی یا قانونی نداشتند. این افراد بدون قرارداد، بدون NDA و بدون اجازه‌ی رسمی صاحبان کسب‌وکار، اقدام به ارزیابی سامانه‌ها کرده و به داده‌های حساس دسترسی پیدا کرده بودند و سپس وارد مذاکره و حتی باج‌گیری شده‌اند.

فارغ از اینکه این اطلاعات را از طریق اسکن‌های غیراخلاقی به‌دست آورده‌اند، یا از دیتاهای لو‌رفته در دارک‌وب استفاده کرده‌اند، یا روش‌های دیگر اوم این شکل از رفتار دقیقا مصداق سوءاستفاده است. متاسفانه شاهد تکرار چنین رفتارهایی هستیم رفتارهایی که بیشتر شبیه دور زدن، فشار آوردن و ترساندن مردم است تا تخصص امنیت سایبری!

با اینکه همیشه تلاش کرده‌ام جوان‌ترها و تیم‌هایی که آگاهی کمتری دارند را در مسیر درست آموزش دهم و کمک کنم بدانند راه درست چیست، اما واقعیت این است که برخی از فعالیت‌های شخصی به سبک Bug Bounty‌ که در کشور انجام می‌شود، بدون چارچوب حقوقی و اخلاقی، آسیب‌زننده شده است. بدون اجازه، یک شرکت ثالث را اسکن کردن، بهره‌برداری کردن، سپس مطالبه کردن این امنیت و تخصص و مهارت نیست، این باج‌گیری است و تعداد این کیس‌ها متاسفانه رو به افزایش است.

خوشبختانه گزارش مربوط برای پلیس فتا ارسال شده و امیدوارم قوانین و تعاملات حقوقی به سطحی برسد که چنین رفتارهایی بازدارندگی واقعی داشته باشد.

در ایران گفته می‌شد دزد اگر کم بود، شتر هم کم دزدیده می‌شد 🤪حالا در عصر سایبر، اگر جلوی این نوع دزدهای سایبری و باج‌گیران دیجیتال گرفته نشود، خسارت‌ها بسیار بیشتر از شتر خواهد بود.

+امیدوارم سازمان پدافند غیر عامل، مرکز مدیریت راهبردی افتای ریاست جمهوری و سایر بازیگران از فرهنگ درست و‌ حمایتی که از باگ بانتی می شود را عقب گرد نکنند و نسبت به علل این موارد باج و… قوانین بهتر، نظارت و فرهنگ سازی بیشتر بویژه در آموزش، مقالات، آموزشگاه ها، مدرسین … داشته باشند.

+خدا قوت به باگدشت، راورو و سایر متخصصین اخلاقمدار داخلی ‌ خارجی♥️👍🏽🙏😇
BUGDASHT SecurityServices
Ravro | Bug Bounty Platform

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.11.20

🎧 قسمت سوم از گفت‌وگوهای ویژه با ایرانی‌های موفق حوزه IT منتشر شد!

در این قسمت از #پادکست_فارسی «Ehsan’s Tech Lounge»، میزبان علیرضا قهرود هستیم — بنیان‌گذار شرکت DiyakoSecureBow و ارائه‌دهنده‌ی سرویس CISO as a Service (vCISO).
علیرضا از مسیر کاری خود در دنیای امنیت سایبری، چالش‌های کارآفرینی و دیدگاهش درباره‌ی آینده‌ی امنیت اطلاعات می‌گوید.
یک گفت‌وگوی آموزنده و الهام‌بخش برای تمام علاقه‌مندان دنیای IT 🔐💡

🎥 تماشای کامل گفت‌وگو در یوتیوب:
👉 https://youtu.be/Uw4Nx5bWiAc

Instead of saying “I can’t”… ask a better question:
How can I?🤓

Sometimes the solution isn’t in the situation, it’s in the way you look at it. Just like the rabbit in the picture: it didn’t change the goal, it changed the approach.

- When you say I can’t, your mind shuts down.
- When you ask How can I?, your mind starts creating solutions.👍🏽

Everything begins with this small shift.
Change your approach, not your dreams.

به‌جای اینکه سریع بگی «نمی‌شه»… یک سؤال مهم‌تر بپرس:
چطور می‌شه؟🤓

گاهی فقط تغییر زاوی نگاهه که راه‌حل رو پیدا می‌کنه.
همون کاری که این خرگوش کرد: مسیر رو عوض کرد، نه هدف رو.👍🏽

- وقتی بگی نمی‌شه، ذهن تعطیل می‌شه.
- وقتی بپرسی چطور می‌شه؟، ذهن شروع می‌کنه به ساختن راه‌حل.

همه چیز از همین تغییر کوچک شروع می‌شه.مسیرت رو عوض کن، نه رویاهات رو.

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.11.21
#mindset #leadership #problemsolving #growthmindset #resilience

In life and work, we meet many people
but only a few truly stand out.

Upbringing is something you learn from the outside:
family, society, environment, and examples you follow.
It can be taught, practiced, or even imitated.

But authenticity comes from within.😊
It’s rooted in values, integrity, conscience, and honesty.
Authenticity doesn’t fade in difficult moments
and doesn’t bend under pressure.

I’ve spent years working with friends and colleagues
who may not be perfect none of us are
but one thing always remains constant:
their authenticity and purity of intention.

Working with people who choose “authenticity”
over “surface-level manners”♥️🫶🙏😇
is one of the greatest assets any team can have.

در مسیر کار و زندگی، ما با آدم‌های زیادی روبه‌رو می‌شیم؛
اما فقط بعضی‌ها فرق دارن…

تربیت چیزیه که از بیرون یاد می‌گیری؛
نتیجه‌ی آموزش، محیط، خانواده و جامعه‌ست.
چیزی که می‌تونه آموخته، تکرار یا حتی تقلید بشه.

اما اصالت از درون میاد؛☺️
ریشه در ارزش‌ها، شرافت، وجدان و صداقت فرد داره.
اصالتی که نه با فشار محیط تغییر می‌کنه و نه با سختی‌ها رنگ می‌بازه.

سال‌هاست کنار دوستان و همکارانی کار می‌کنم
که شاید همه‌چیز کامل نباشه،
اما یک چیز همیشه ثابته:
اصالت و پاکی در رفتار و نیت.

همکاری با آدم‌هایی که
«اصالت» رو به «تربیت ظاهری» ترجیح می‌دهند،♥️🫶🙏😇
بزرگ‌ترین دارایی هر تیم و هر رابطه است.

Mohammad Bahrami Azad
خوش‌قد بالا، چه خوب شد چند روزی که بودم ، دیدمت گرچه کم😍 Miss U Bro

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.11.22

Two Decades, Several Countries, One Lesson: Growth Is a Choice👍🏽

در آستانه چهل‌سالگی‌ام، بعد از نزدیک به دو دهه آموختن، تجربه‌کردن، تدریس، اجرا کردن پروژه‌ها و همکاری با تیم‌ها و سازمان‌های مختلف در ایران و چندین کشور دیگر، یک حقیقت را با تمام وجودم فهمیده‌ام، حقیقتی که شاید برای جوانانی که امروز در آستانه انتخاب رشته، مهارت یا مسیر شغلی هستند، ارزش شنیدن داشته باشد.

هیچ‌وقت قصد توصیه ندارم، این‌ها فقط برداشت‌های من از یک زندگی کاری پر از آزمون، خطا، مطالعه، رنج، رشد و تلاش تشدید دار است:

در هر کاری که انجام می‌دهید، فرقی نمی‌کند آرایشگری باشد، برنامه‌نویسی، تدریس، فروش، کارمندی ساده یا مدیریت کلان، بعد از یک سال باید بیشتر از مدیر یا رهبر‌ سازمان درباره کار خودتان بدانید.
و این نه شعار است، نه پیچیده: اسمش فقط تعهد به رشد است.

اما مهم‌تر از همه این است:
اگر از رشته تحصیلی یا شغل‌تان متنفر هستید، نه اینکه کم‌دوستش داشته باشید، دقیقا متنفر باشید، هرگز در آن بهترین نخواهید شد.
نمی‌شود علیه روح خودتان بجنگید و انتظار برتری هم داشته باشید.

وقتی کاری که می‌کنید برای‌تان جالب، معنادار یا الهام‌بخش باشد چه خود مسیر، چه نتیجه، آن‌وقت است که روزی خوب یا حتی بهترین می‌شوید. آن‌وقت است که به جایی می‌رسید که مقابل مهارت، دیگر شما در موضع نیاز نیستید، موضع قدرتید.

در کودکی جمله‌ای را بارها شنیده‌ام
اگر شغلت کشیدن آب حوض بود، کاری کن حوض‌هایی که آب می‌کشی، تمیزترین و بهترین حوض‌های محله باشند.😊

امروز، پس از اجرای پروژه‌های تخصصی در حوزه امنیت سایبری و مدیریت فنی در ایران و سایر کشورها، بیشتر از هر زمان دیگری باور دارم که این فلسفه دقیق‌ترین خلاصه از مسیر رشد حرفه‌ای است:

🤗کاری را انتخاب کن که بتوانی در آن بهترین شوی و اگر انتخابش کردی، بهترین باش.

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.11.22

The Real Backbone of the Digital Economy:
Data Centers, Sovereignty, and Cyber Resilience

According to Statista (Nov 2025), the world operates roughly 10,923 data centers, yet their distribution is highly uneven:
•United States alone hosts 4,165 almost equal to all of Europe combined (3,476).
•Asia & Oceania maintain 2,068, led by China, Australia, India, and Japan.
•Africa & the Middle East together have only 494, with South Africa, Saudi Arabia, and the UAE accounting for most of the footprint.

This global map reveals several strategic insights for cloud, AI, and cybersecurity leaders:
1. Concentration of Compute Power = Concentration of Influence
2. Data Sovereignty and Geopolitical Risk
3. Energy, Sustainability, and Digital Resilience
4. A Strategic Opportunity for the Middle East (Especially the UAE)
With fewer than 500 data centers across the entire region, every intelligent investment in regional digital hubs can:
•Reduce latency and dependency on distant geographies,
•Enable secure hosting for financial, industrial, and governmental workloads,
•Strengthen national digital leverage, far beyond the revenue of simple colocation services.

+The CISO Perspective:
Architecture Beyond Cloud Adoption

For modern organizations, the real challenge is designing a balanced hybrid architecture that:
•Meets data-sovereignty and regulatory requirements,
•Remains resilient against cyberattacks, geopolitical disruptions, and major cloud outages,
•Minimizes vendor lock-in and enables controlled migration of sensitive workloads.

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.11.23

#پرسش_پاسخ


راه ارتباطي براي پرسش و پرسخ باز است بصورت دوستانه بدون رويكرد تجاري و هزينه🤓


— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.11.23

ISA/IEC 62443
Moving OT security from “guesswork” to “engineering”.

In the world of ICS and OT, security isn’t about tools or vendor names alone; it’s about a structured engineering framework.

The ISA/IEC 62443 series of standards gives us exactly that:
a common language across engineers, operators, equipment suppliers, and security professionals.
From secure-by-design architectures to system integration,
from risk management programmes to zoning & conduits (zones/conduits) engineering,

62443 is the roadmap for building infrastructure that is secure, resilient and sustainable. Organizations who implement the standard truly not just “tick the box” are not only defending against threats
they are building operational cyber resilience.
Learn more about the standard here: ISA’s official page:
isa.org

ISA/IEC 62443
استانداردی که امنیت OT
را از حدس به مهندسی تبدیل می‌کند
در دنیای ICS/OT،
امنیت محصول ابزار یا برند نیست؛
یک چارچوب مهندسی‌شده است

62443
نقشه راهی است برای ساختن زیرساختی ایمن، قابل‌اعتماد و پایدار
سازمان‌هایی که این استاندارد را واقعی
not paper-based
پیاده می‌کنند،
در برابر حملات صنعتی امروز فقط دفاع نمی‌کنند؛
تاب‌آوری ایجاد می‌کنند

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.11.23

https://www.linkedin.com/posts/alirezaghahrood_isaiec-62443-moving-ot-security-from-guesswork-activity-7398228347081814016-tcQK

The Silent Crisis in Cybersecurity Readiness
Insights from ISACA’s 2024 Global Report

گزارش ۲۰۲۴ ایساکا یک حقیقت تلخ را روشن می‌کند:
تهدیدها هر روز پیچیده‌تر می‌شوند، اما تیم‌های امنیت سایبری کم‌انرژی‌تر، کم‌تجربه‌تر و کم‌بودجه‌تر شده‌اند
نیروی کار در حال پیر شدن است، ورودی‌های جوان رشد نکرده‌اند، استرس شغلی در اوج است، بودجه‌ها در حال سقوط‌اند و حتی بسیاری از سازمان‌ها نمی‌دانند بیمه سایبری‌شان چه پوششی دارد
در حالی‌که حملات با سرعت هوش مصنوعی پیش می‌روند، سازمان‌ها هنوز برای ایمن‌سازی همین فناوری آمادگی لازم را ندارند

پیام گزارش روشن است:
اگر مدل امنیت، مهارت‌ها، بودجه و ساختار حکمرانی امروز دوباره‌طراحی نشود، شکاف فردا قابل جبران نخواهد بود

Special Thanks❤️✔️👌
ISACA
ISACA UAE

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.11.23

https://www.linkedin.com/posts/alirezaghahrood_isaca-state-of-cybersecurity-2024-activity-7398234445226344448-XLi9