2025 OT Cybersecurity Breakdown:
What Dragos Reveals About the Most Dangerous Year for Industrial Systems

چرا سال 2025 نقطه انفجار تهدیدات صنعتی و زیرساخت های حساس است؟
تحلیل من از گزارش
Dragos 2025 OT Cybersecurity Action Guide
تصویر سال 2025 از منظر امنیت به‌طور صریح یک پیام روشن دارد:
تهدیدات صنعتی وارد مرحله‌ای شده‌اند که بدون
Visibility
عمیق، معماری دفاعی و
Incident Response
مبتنی بر سناریوهای واقعی، سازمان‌ها عملا شانس مقابله ندارند

۱. رشد بی‌سابقه حملات علیه زیرساخت صنعتی
بر اساس گزارش، حملات باج‌افزاری علیه OT نسبت به سال قبل ۸۷٪ افزایش یافته و بیش از ۶۰٪ گروه‌های فعال، اهداف صنعتی را هدف قرار داده‌اند. بخش تولید (Manufacturing) با ۱۱۷۱ حمله، همچنان بزرگ‌ترین قربانی است.
این یعنی فشار بر زنجیره تأمین، عملیات تولید و سیستم‌های کنترل صنعتی هر روز بیشتر می‌شود

۲. ورود موج جدیدی از گروه‌های OT-Specific Threat Actors
Dragos در سال 2024 دو گروه جدید شناسایی کرده:
این یعنی تهدیدات صنعتی دیگر انحصار چند دولت یا گروه حمله پیشرفته خاص نیست اکنون هربازیگر توانمند می‌تواند به عمق صنعتی نفوذ کند
۳. ظهور بدافزارهای مخصوص صنعتی نقطه عطف جدید
دو خانواده بدافزاری جدید شناسایی شده‌اند:
Fuxnet (تخریب سنسورها )
FrostyGoop (نخستین بد افزار با تعامل مستقیم Modbus TCP روی پورت ۵۰۲ اختلال در سیستم گرمایش ۶۰۰ ساختمان در اوکراین)
این یعنی بد افزار صنعتی دیگر فرضی یا آکادمیک نیست، کاملا عملیاتی و در حال استفاده است

۴. تهدیدات ترکیبی: APT + Hacktivist + Ransomware
برای نخستین بار شاهد همگرایی سه اکوسیستم تهدید هستیم:
دولتی
باج‌افزار
هکتیویست
این همگرایی به‌معنی افزایش پیش‌بینی‌ناپذیری است

۵. واقعیت تلخ: ۴۵٪ سازمان‌ها هنوز اشراف شبکه ای کافی روی صنعتی ندارند
طبق گزارش، تقریبا نیمی از سازمان‌ها دید کامل روی ترافیک‌های دسترسی های صنعتی و تغییرات پیکربندی یا رفتار پروتکل‌های صنعتی ندارند

۶. پنج کنترل حیاتی سنز که دراگو روی آن تاکید می‌کند
این پنج رکن با داده‌های این گزارش مستقیماً نقشه راه 2025 را تشکیل می‌دهند:
Incident Response مخصوص ICS
با سناریوهای مبتنی برتکنیک های واقعی
Defensible Architecture
Segmenting، محدودیت مسیرهای Engineering Workstation و حذف Exposure خارجی
Visibility & Monitoring
Deep Packet Inspection روی Modbus، DNP3، S7، CIP.
Secure Remote Access
MFA، Session Recording و حذف دسترسی دائمی
Risk-Based Vulnerability Management
به‌جای Patch All

۷. جمع‌بندی من
این گزارش یک نکته کلیدی را نشان می‌دهد:
حمله به صنعت در 2025 دیگر یک سناریوی اگر نیست، بلکه چه زمانی است

سازمان‌هایی که:
عملا در معرض تهدیداتی هستند که همین امروز در جهان واقع اجرا می‌شوند، نه تهدیدات فرضی.

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.11.25

https://www.linkedin.com/posts/alirezaghahrood_dragos-2025-ot-cybersecurity-activity-7398953484118749185-YUpq

Where do we really stand when it comes to global cybersecurity best practices?

هر بار که پیشنهادهای استخدامی بین‌المللی را می‌خوانم، مثل همین آگهی شش‌نقشی که در یک تیم متخصص فقط برای یک پروژه یک‌ساله … به یک نکته مهم فکر می‌کنم:

در اکوسیستم ما، عنوان‌های عجیب‌وغریب شغلی فراوان است…
اما نقش‌هایی که ریشه در Best Practice واقعی داشته باشند بسیار کم.

در دنیا برای هر نقش
– تعریف مشخص وجود دارد
– مهارت‌های لازم دقیقا معلوم است
– نقش‌ها با بلوغ سازمانی هم‌راستا هستند
– و مجموعه مهارت‌ها بین افراد تقسیم می‌شود، نه در یک نفر تلنبار.

حتی عنوان‌هایی می‌بینیم که در هیچ مرجع بین‌المللی تعریف نشده‌اند.
این پدیده فقط مشکل HR نیست، نشانه‌ای از یک چالش عمیق‌تر است:
عدم بلوغ در طراحی ساختار امنیت (Security Organization Design).

سؤال مهم این است:
کدام بخش از ساختارهای امنیتی ما، واقعا بر اساس استانداردهایی مثل NIST, ISO 27001, MITRE, SANS Roles, DoD Cyber Workforce Framework طراحی شده است؟
و کدام بخش صرفا محصول سلیقه، فشار، و … کمبود نیروی متخصص است؟

تا زمانی که:
– نقش‌ها علمی تعریف نشوند
– ساختارها شفاف نباشند
– و انتظارات از یک متخصص واقع‌بینانه نباشد
امنیت سایبری در سطح صنعت هیچ‌وقت از حالت مثلا واکنشی بیرون نمی‌آید.

این نقد از سر دلسوزی است
نه برای یک سازمان، نه برای یک فرد
برای کل اکوسیستم.

بهترین‌بودن تصادفی حاصل نمی‌شود.
باید سیستماتیک ساخت🤗

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.11.25

Hiring Now: Security Specialist

#استخدام #فرصت_همکاری #پیشنهاد_شغلی

استخدام کارشناس امنیت (Security Specialist)
محل خدمت: عسلویه | شیفت اقماری 14 روز کار / 7 روز استراحت

یک مجموعه صنعتی در عسلویه در راستای توسعه تیم امنیت سایبری خود، از متخصصین توانمند و باتجربه در حوزه امنیت و فناوری اطلاعات دعوت به همکاری می‌نماید.

شرایط و الزامات تخصصی
کاندیدای مناسب باید دارای توانمندی‌های زیر باشد:
• آشنایی کامل و تجربی با استانداردهای امنیت اطلاعات خصوصا ISO/IEC 27001
• آشنای مناسب به مدیریت ریسک امنیت اطلاعات و چارچوب‌های مرتبط
• توانایی کار با کنترل‌های امنیتی، تجهیزات و ابزارهای امنیت شبکه
• تسلط به مفاهیم و عملیات شبکه
• برخورداری از حداقل ۴ سال تجربه معتبر و مرتبط در حوزه امنیت و شبکه

مزایا و شرایط مالی
• حقوق ماهانه بین ۵۰ میلیون تا ۱۳۰ میلیون تومان (بسته به سطح مهارت و سابقه)
• کارانه
• پکیج‌های حمایتی و رفاهی
•صبحانه، ناهار، شام
•پرواز
• هدایای مناسبتی، عیدی و سنوات
• اقامتگاه، بن رفاهی و مزایای شیفت اقماری

نحوه درخواست
در صورت دارا بودن شرایط و تمایل به همکاری، لطفا رزومه به‌روز و مرتبط خود را به همراه متن همین آگهی از طریق واتس‌اپ یا تلگرام به شماره زیر ارسال نمایید:
09121964383

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.11.25

Tehran’s Invisible Emergency
The Air We Can See, The Danger We Can’t Ignore

کس نیست که تا بر وطن خود گرید
بر حال تباه مردم بد گرید
دی بر سر مرده‌ای دوصد شیون بود
امروز یکی نیست که بر صد گرید

#راهنما

اقدامات فوری (Immediate Actions)

۱) خارج شوید از فضای آلوده
اگر در فضای باز یا محیط آلوده هستید:
• سریع به فضای پاک‌تر و سربسته بروید.
• پنجره‌ها را ببندید.
• دستگاه تصفیه هوا اگر دارید روشن کنید.

۲) نفس‌های سطحی و آرام
تنفس عمیق در هوای آلوده بدتر می‌کند.
در چند دقیقه اول فقط:
• تنفس سطحی
• آب خنک بنوشید

درمان و مراقبت اولیه

۳) هیدراته بمانید
آلودگی هوا غشاهای تنفسی را خشک و ملتهب می‌کند.
نوشیدنی‌های مفید:
• آب زیاد
• آب ولرم با عسل
• دمنوش زنجبیل ملایم
• دمنوش آویشن
• دمنوش بابونه
• شیر گرم با کمی زردچوبه

ممنوع: قهوه زیاد، نوشابه، الکل

۴) شست‌وشوی بینی (Nasal Rinse)
با سرم شستشو یا آب نمک رقیق:
• آلودگی‌ها و ذرات معلق از بینی خارج می‌شوند
• التهاب کمتر می‌شود

روزانه ۲–۳ بار کافی است.

۵) داروهای مفید (بدون نسخه)
اگر علائم دارید:

برای سرفه و تنگی نفس ملایم
• شربت دکسترومتورفان
• یا شربت آویشن
• یا قرص pastille نعناع/اکالیپتوس

برای گلودرد
• قرص مکیدنی زینک
• آب‌نمک غرغره

برای سردرد یا بدن‌درد
• استامینوفن
• ایبوپروفن (اگر مشکل معده ندارید)

برای حساسیت

اگر عطسه، آبریزش، یا خارش دارید:
• یک عدد آنتی‌هیستامین مثل لوراتادین، سیتریزین، فکسوفنادین

۶) بخور گرم ۱۰ دقیقه
بخور گرم ساده (بدون اسانس) باعث:
• باز شدن راه‌های تنفسی
• کاهش التهاب
• کاهش سرفه

۷) تغذیه مناسب
غذاهایی که التهاب را کم می‌کنند:
• سوپ مرغ
• سیر، زنجبیل
• مرکبات (ویتامین C)
• عسل
• بادام، گردو
• سبزیجات سبز

خطرناک: غذای چرب، سرخ کردنی، سیگار، قلیان.

۸) چه زمانی فورا باید دکتر بروید؟ (Emergency Signs)
اگر هرکدام از این‌ها را دارید:
• تنگی نفس شدید
• درد قفسه سینه
• سرفه خونی
• سرگیجه زیاد
• تب بالا
• نفس‌نفس زدن
• خس‌خس شدید
• بیماری زمینه‌ای (آسم، قلبی، ریوی)

بلافاصله به پزشک یا اورژانس بروید.

۹) اگر بیماری زمینه‌ای دارید
اگر شما یا کسی آسم، آلرژی شدید، ضعف سیستم ایمنی، یا مشکلات قلبی دارد:
• اسپری‌های آسم را همراه داشته باشید
• ماسک N95 در فضای باز
• مصرف منظم داروهای روزانه

۱۰) پیشگیری روزانه در آلودگی هوا
• ماسک N95 یا FFP2
• خانه را تهویه نکنید در اوج آلودگی
• دستگاه تصفیه هوای واقعی (HEPA)
• مصرف آنتی‌اکسیدان‌ها (ویتامین C و D)
• شستشوی صورت و بینی بعد از بیرون رفتن

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.11.25

The Softest Reminder That I’m Alive
Between Noise and Stillness I Found Life
A Small Angel♥️, A Big Revelation😇

رازِ درونِ پَرْدِه زِ رِنْدانِ مَسْت پُرْس!
کاین حال نیست زاهِدِ عالی‌مَقْام را

وسط تمام این نشست‌ها و درخواست‌ها و حل‌مسئله‌های بی‌پایان کسب و‌کار، زندگی و و و و های نا تمام!
چشمم ‌افتد به بالکن …
و به عروسک فرشته‌ای که این روزها
معصومانه‌ترین بخش زندگی‌ام شده.

همان لحظه فهمیدم هیچ چیز واقعا جایگزین دیدن نمی‌شود
نه ضبط کردن، نه ثبت کردن، نه هیچ برنامه‌ریزی‌ای.
چیزی شبیه یک مکاشفه:
زندگی معنی خاصی ندارد
و شاید همین بی‌معنایی
عمیق‌ترین آزادی ممکن باشد.
وقتی چیزی برای از دست دادن نداری
انگار همه‌چیز را داری.

و بعد… آن حس عجیب در آغوش گرفتن
می‌دوی، می‌رسی،
و لحظه‌ای همه چیز متوقف می‌شود.
برای چند دقیقه نمی‌خواهی
دکمه ایجکت به کره ای دگر را با عجله در یابی!
برای چند دقیقه کور کور چالش ها می‌شوی و رقص های بالماسکه!
برای چند دقیقه فقط بودن مهم است.

آدم‌ها همه جا دنبال چیزی می‌گردند
که حال‌شان را بهتر کند
در حالی که گاهی شفا
نزدیک است نه‌ دور! از رگ گردن نزدیک تر

آن‌هایی را که دوست‌شان دارید
و دوست‌تان دارند بدون معادله/دلی، محکم بغل کنید
نه وقتی دیر شد
برای همین امروز
برای اینکه یادمان بیفتد زنده‌ایم.

+و‌ من روانی ‌موسیقی و پی مکاشفه دراگ این روز هایم.

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.11.27

AI Risk Management Is Not Optional Anymore
It’s the Next Layer of Cybersecurity

Artificial Intelligence is no longer a futuristic add on. It is now deeply embedded across business applications, user workstations, cloud platforms, and third party services. The real shift we’re facing in 2025 is not AI adoption, it is AI risk becoming a first class citizen inside the cybersecurity stack.

The white paper Definitive Guide to Managing AI Risk offers several critical insights that every CISO, CIO, and boardroom should understand:

مدیریت ریسک هوش مصنوعی دیگر انتخاب نیست، لایه جدید امنیت سایبری است
هوش مصنوعی دیگر یک قابلیت جانبی یا فانکشن جدید نرم‌افزار نیست. امروز هوش مصنوعی در تمام لایه‌های سازمان نفوذ کرده: از اپلیکیشن‌های تجاری تا ورک‌استیشن‌ها، سرویس‌های ابری و حتی فروشندگان ثالث

نکته مهم این است:
ریسک هوش مصنوعی یک برنامه جدا نیست؛ ادامه طبیعی مدل ریسک سایبری است

۱. ریسک هوش مصنوعی = امتداد منطقی ریسک سایبری
این گزارش تأکید می‌کند:
هوش مصنوعی ریسک‌های جدیدی مثل حملات داده‌سمی ، درفت مدل، بایاس، خطرات اخلاقی،حقوقی و… ایجاد می‌کند، اما همچنان داخل همان سیستم‌های اطلاعاتی موجود عمل می‌کند
بنابراین:
مدیریت ریسک هوش مصنوعی باید در دل مدل ریسک سایبری یکپارچه شود، نه اینکه یک برنامه موازی و مجزا باشد

۲. استاندارد NIST AI RMF
باید عملیاتی شود، نه فقط مطالعه
این وایت‌پیپر چهار فانکشن اصلی
NIST (Govern, Map, Measure, Manage)
را مستقیما با اجزای مدل مدیریت ریسک سایبری هم‌تراز می‌کند و نشان می‌دهد که چگونه Governance، KRIs، Controls و Reporting
می‌توانند بدون ایجاد دوباره‌کاری به‌روز شوند

۳. ریسک‌های کلیدی هوش مصنوعی که هر سازمان باید جدی بگیرد
• ریسک‌های داده در هوش مصنوعی: آلوده‌سازی داده، دزدی مدل، بایاس
• ریسک‌های عملیاتی: درفت مدل، نظارتی/حکمرانی ضعیف، خروجی‌های نادرست
• ریسک‌های اخلاقی/حقوقی: نقض حریم خصوصی، عدم شفافیت
• ریسک‌های آموزش مدل: دیتاست فرسوده، تغییر کانتکست، رفتارهای غیرمنتظره
این‌ها ریسک‌های نظری نیستند، در حال حاضر در حملات واقعی سوءاستفاده می‌شوند

۴. نیاز به کنترل‌های جدید و پیشرفته
کنترل‌های امنیتی باید گسترش یابند:
• کنترل‌های داده برای هوش مصنوعی
• کنترل‌های عملیاتی هوش مصنوعی
• کنترل‌های آموزش مدل
• کنترل‌های ریسک فروشندگان هوش مصنوعی
• فرآیند (تست، ارزیابی، اعتبارسنجی) مداوم

۵. اجتناب از هوش مصنوعی خود یک ریسک است
سازمان‌هایی که به‌طور کامل هوش مصنوعی را بلاک می‌کنند، در واقع دچار یک ریسک استراتژیک می‌شوند:
عقب‌ماندن از رقبا و کاهش بهره‌وری.

جمع‌بندی من
مدیریت ریسک هوش مصنوعی همان امنیت سایبری نسخه جدید است
نه یک انتخاب، بلکه یک الزام حیاتی برای سازمان‌هایی که می‌خواهند در برابر موج آینده تاب‌آور بمانند

Special Thanks ✔️❤️✌️👍
Rivial Data Security

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.11.27

https://www.linkedin.com/posts/alirezaghahrood_definitive-guide-to-managing-ai-risk-2025-ugcPost-7399560672566587392-jbgh

Thank you 4 the kind introduction.
Proud to join this year’s SkilledSphere Global Leadership & Innovation Conference 2026 a powerful platform for collaboration, innovation, and shaping the future.
Eager to engage with changemakers from around the world and create real impact together😇🙏🤓

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.11.27

https://www.linkedin.com/posts/alirezaghahrood_skilledsphere-leadershipsummit-globalleadership-activity-7399742691380625408-IJTQ

چشم‌انداز امنیت داده در سال ۲۰۲۵
واقعیت تلخ: بزرگ‌ترین تهدید، خود کاربر است نه مهاجم بیرونی!

نتایج گزارش جدید نشان می‌دهد که امنیت داده وارد مرحله‌ای بسیار حساس شده در مرحله‌ای که در آن رفتار انسان، رشد افسارگسیخته داده‌ها و استفاده از سامانه‌های هوش مصنوعی خودکار، ریسک از دست رفتن اطلاعات را چند برابر کرده‌اند.

۱. از دست رفتن داده همه‌گیر شده و مقصر اصلی انسان است
• ۸۵ درصد سازمان‌ها در یک سال گذشته با حادثه از دست رفتن داده مواجه شده‌اند
• تنها یک درصد کاربران، مسئول ۷۶ درصد تمام حوادث بوده‌اند😒
این یعنی مدل‌های قدیمی حفاظت از داده دیگر جواب نمی‌دهند؛ امنیت باید بر رفتار واقعی کاربران تمرکز کند.

۲. حجم داده‌ها در حال انفجار است
• ۲۹ درصد سازمان‌ها رشد بیش از ۳۰ درصدی در حجم اطلاعات داشته‌اند.
• ۵۹ درصد شرکت‌های بزرگ بیش از ۵۰۰ ترابایت داده نگهداری می‌کنند و ۲۷ درصد از آن‌ها بالای یک پتابایت.
• بررسی‌ها نشان می‌دهد ۲۷ درصد فضای ذخیره‌سازی ابری بدون استفاده رها شده که هزینه‌زا و پرخطر است.
رشد سریع داده، شناسایی و حفاظت از اطلاعات حساس را بسیار دشوار کرده است.

۳. هوش مصنوعی، ریسک داخلی را چند برابر کرده
سامانه‌های هوشمند خودکار، معمولا دسترسی بسیار گسترده به اطلاعات دارند و می‌توانند مثل کاربر فوق‌امتیاز رفتار کنند.👍
• ۴۴ درصد سازمان‌ها می‌گویند نبود دید نسبت به ابزارهای هوش مصنوعی، تهدید جدی است.
• ۳۲ درصد نگران دسترسی بی‌نظارت سامانه‌های هوشمند به داده‌ها هستند.
• در امارات، ۴۶ درصد بزرگ‌ترین ریسک را ورود اطلاعات حساس به مجموعه‌های آموزشی هوش مصنوعی می‌دانند.

۴. ایمیل همچنان اصلی‌ترین مسیر خروج اطلاعات است
• ۴۷ درصد سازمان‌ها خروج داده از طریق ایمیل را یکی از ریسک‌های اصلی می‌دانند.
• سازمانی با ۱۰ هزار صندوق ایمیل، سالانه ۶۵۶۷ پیام اشتباه ارسال‌شده دارد.🙂
بخش قابل‌توجهی از این پیام‌ها شامل پرونده‌ها و اطلاعات حساس است.

۵. تیم‌های امنیتی کم‌نیرو و خسته‌اند
• ۳۵ درصد سازمان‌ها با کمبود نیروی متخصص روبه‌رو هستند.
• ۴۱ درصد از تعدد ابزارهای امنیت داده و مدیریت دشوار آن‌ها گلایه دارند.
• ۲۱ درصد برای رسیدگی به یک حادثه از دست رفتن داده، تا چند هفته زمان نیاز دارند.
این یعنی اگر حادثه‌ای رخ دهد، اطلاعات برای مدت طولانی در معرض خطر می‌ماند.

۶. مسیر آینده: امنیت داده یکپارچه و تقویت‌شده با هوش مصنوعی
• ۵۵ درصد سازمان‌ها معتقدند راهکار یکپارچه، ریسک از دست رفتن داده را کاهش می‌دهد.
• ۵۰ درصد بزرگ‌ترین مزیت آن را امکان پذیرش امن هوش مصنوعی می‌دانند.
• ۶۵ درصد هم‌اکنون از ابزارهای هوشمند برای طبقه‌بندی خودکار داده‌ها استفاده می‌کنند.

جمع‌بندی
ورود سامانه‌های هوش مصنوعی و افزایش شدید حجم داده‌ها، ریسک‌ها را از همیشه پیچیده‌تر کرده است. دیگر دوران ابزارهای پراکنده و واکنش‌های دیرهنگام گذشته است.
آینده متعلق به امنیت داده یکپارچه، رفتارمحور و تقویت‌شده با هوش مصنوعی است،
مدلی که بتواند در لحظه ریسک را تشخیص دهد، تحلیل کند و واکنش مناسب نشان دهد

Special Thanks❤️✌️👍✔️
Proofpoint

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.11.27

https://www.linkedin.com/posts/alirezaghahrood_the-2025-data-security-landscape-proofpoint-activity-7399764000709709824-AB3e

گزارش وضعیت امنیت سامانه‌های صنعتی و عملیاتی ۲۰۲۵ تصویری روشن و البته نگران‌کننده از وضعیت امنیت زیرساخت‌های حیاتی ارائه می‌دهد. نتیجه روشن است:
صنعت در تشخیص بهتر شده، اما در تاب‌آوری و بازگشت به حالت پایدار هنوز فاصله دارد.

۱. رخدادها بسیار زیاد و اثرگذارند، اما بسیاری دیده نمی‌شوند.
طبق داده‌های گزارش، ۲۰ درصد سازمان‌ها در سال گذشته دست‌کم یک حادثه امنیتی داشته‌اند و ۴۰ درصد این رخدادها باعث اختلال عملیاتی شده‌اند. نکته بسیار مهم‌تر ۱۹ درصد از رخدادها بیش از یک ماه طول کشیده تا به‌طور کامل برطرف شوند.

این نشان می‌دهد که سرعت دیدن مشکل بهتر شده، اما بازگرداندن سامانه به وضعیت سالم همچنان بسیار کند است.

۲. نقطه ورود اصلی مهاجمان: دسترسی‌های راه‌دور.
نیمی از حملات از مسیر دسترسی بیرونی غیرمجاز آغاز می‌شود.
با وجود این آمار، کمتر از ۱۵ درصد سازمان‌ها کنترل‌های پیشرفته مانند ثبت و بازبینی نشست‌ها یا تأیید لحظه‌ای دسترسی را اجرا کرده‌اند.

این یعنی ضعیف‌ترین نقطه دفاعی، همان ورودی راه‌دور است.

۳. شکاف بزرگ در دید سامانه‌ای: فقط ۱۳ درصد پوشش کامل مسیر حمله دارند.
فقط ۱۳ درصد سازمان‌ها به مسیر کامل مراحل حمله در محیط صنعتی دید کافی دارند. در لایه‌های حساس مدل پردو مخصوص محیط‌های صنعتی یعنی لایه‌های نزدیک به تجهیزات و فرایند واقعی میزان دید به‌شدت پایین است.

این همان بخش‌هایی‌ست که پیامدهای ایمنی، فیزیکی و تولیدی در آن رخ می‌دهد.

۴. بلوغ واقعی فقط یک راز دارد: مشارکت تکنسین‌ها و نیروهای عملیاتی
سازمان‌هایی که خود را کاملا آماده ارزیابی کرده‌اند، چند ویژگی مهم دارند:
• ۶۶ درصد بیشتر نیروهای فنی و میدانی را در تمرین‌ها دخالت می‌دهند.
• چهار برابر بیشتر دید کامل به مسیر حمله دارند.
• در فعالیت‌های اشتراک‌گذاری اطلاعات تهدید فعال‌تر هستند.

در محیط صنعتی، امنیت بدون مشارکت افراد نزدیک به فرایند و تجهیز، فقط روی کاغذ است.

۵. آینده امنیت صنعتی: حرکت از تشخیص به تاب‌آوری.
صنعت باید از تمرکز صرف بر تشخیص عبور کرده و به سمت تاب‌آوری واقعی حرکت کند.
اقدامات کلیدی آینده عبارت‌اند از:
• بازگشت سریع و ایمن سامانه‌ها
• استفاده از مهندسی آگاه از تهدید
• تمرین‌های دوره‌ای برای بازیابی عملیاتی
• هم‌راست‌سازی امنیت با تحلیل‌های ایمنی صنعتی مانند ارزیابی‌های مخاطره فرایندی

جمع‌بندی مدیریتی گزارش ۲۰۲۵ یک پیام واحد دارد:
تشخیص سریع، کافی نیست، آنچه کسب‌وکار صنعتی را نجات می‌دهد توان بازگشت، تداوم و تاب‌آوری است. سازمان‌هایی که واقعا آماده هستند، این سه اقدام را بهتر از بقیه انجام می‌دهند:
۱.ایجاد دید عمیق و مداوم بر کل لایه‌های صنعتی
۲.اولویت دادن به بازگشت و ادامه کار، نه فقط تشخیص
۳. جذب و مشارکت دادن نیروهای فنی، مهندسی و عملیاتی در قلب برنامه امنیتی

Special Thanks to🙏♥️😇
SANS Institute
SANS Technology Institute

این مسیر آینده امنیت زیرساخت‌های حیاتی است.

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.11.28

https://www.linkedin.com/posts/alirezaghahrood_state-of-icsot-security-2025-activity-7400075331698720768-y3KQ

فرهنگ، حاصل حرف‌های بزرگ نیست، حاصل رفتارهای کوچک تکرارشونده است.

در هر جامعه‌ای از محیط کار تا یک شهر و یک کشور فرهنگ از همین جا شکل می‌گیرد: وقتی یک رفتار درست، هزار بار تکرار شود، تبدیل به واقعیت اجتماعی می‌شود. وقتی یک رفتار غلط، هزار بار تکرار شود، تبدیل به هنجار می‌شود.

فرهنگ را نه می‌شود جعل کرد، نه با دستور ساخت.
فرهنگ نتیجه سه چیز است:

۱. رفتارهای روزمره
نوع درخواست، احترام، وقت‌شناسی، صداقت، اعتماد، نحوه برخورد با تخصص. هزار بار که تکرار شود، به الگو تبدیل می‌شود.

۲. ساختارهای درست
قوانین شفاف، استانداردهای حرفه‌ای، نظام آموزشی، رسانه‌های مسئول.
هر جا ساختار غلط باشد، بهترین آدم‌ها هم دوام نمی‌آورند.

۳. الگوهای قابل‌اعتماد
فرهنگ با نمونه ساخته می‌شود، نه با نصیحت.
آدم‌های درست باید دیده شوند تا رفتار درست تکثیر شود.

در مقابل، سه چیز فرهنگ را آرام‌آرام تخریب می‌کند:
• ارزان‌سازی ارزش‌ها (وقتی احترام، تخصص، مسئولیت یا اخلاق بی‌قیمت می‌شود)
• بی‌اعتمادی (وقتی ادعا بیشتر از واقعیت باشد)
• ریاکاری و تناقض بین حرف و عمل

در نهایت:
فرهنگ، بزرگ‌ترین سرمایه هر جامعه است.
و سرمایه، با رفتار درست هر روزه ساخته می‌شود.

و‌چقدر من و تو و او در این آشفته بازار دخیلیم!؟

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.11.28

آدمى بر مبناى آنچه مى كند
و نمى كند اعتبار دارد نه بر مبناى
آنچه دهان لقى از روى هوا و هوس درباره او مى گوید.

کلیپ جذابی بود، پیشنهاد. میکنم برنامه کامل این قسمت و ببینید.🇮🇷🫶♥️


— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.11.29

https://www.linkedin.com/posts/alirezaghahrood_%D8%A2%D8%AF%D9%85%D9%89-%D8%A8%D8%B1-%D9%85%D8%A8%D9%86%D8%A7%D9%89-%D8%A2%D9%86%DA%86%D9%87-%D9%85%D9%89-%D9%83%D9%86%D8%AF-%D9%88-%D9%86%D9%85%D9%89-%D9%83%D9%86%D8%AF-%D8%A7%D8%B9%D8%AA%D8%A8%D8%A7%D8%B1-activity-7400458430261411840-jigX

من هرچقدر جلوتر می‌آیم، بیشتر برایم روشن می‌شود که در امنیت سایبری، ارزش واقعی نه در ابزار و استاندارد و مدرک، که در سلامت حرفه‌ای و صداقت رفتاری است.

برای من با نگاه CISO as a Service و GRC مهم‌ترین اصل این است که کار درست، درست انجام شود، فارغ از سطح تخصص طرف مقابل، جایگاه سازمانی، حدسیات و استدلال های حسی، یا فشارهای لحظه‌ای پروژه.

برای من و تیم دیاکو در این سه سال، این چند خط، تبدیل به معیار و اولویت شده است:
• در نوشتن RFP و طراحی مناقصه، حق نداریم عمدا نیاز واقعی سازمان را کوچک، مبهم یا سطحی تعریف کنیم.
• در برگزاری مناقصه و ارزیابی فنی، رضایت ظاهری، لابی یا شلوغ‌کاری نباید جای شایستگی واقعی را بگیرد.
• در مصاحبه با پیمانکاران، رزومه، مدارک تخصصی و گپ‌های فنی باید جدی و موشکافانه بررسی شود، نه این‌که فقط برای تکمیل فرم‌ها، تیک بزنیم.
• در نظارت بر کار پیمانکار، از PMO تا پایش گام‌به‌گام، باید گزارش‌ها را بفهمیم، چالش های تجربی با بیس استاندارد بپرسیم و روی خروجی واقعی بایستیم، نه روی پاورپوینت و شعار و گردش حساب و رتبه!

• حجم کار و فشار پروژه هرچقدر هم زیاد باشد، توجیهی برای کم‌کاری، سهل‌انگاری یا امضای چیزی که به آن ایمان نداریم، نیست.

این رویکرد همیشه خوشایند همه نیست.
گاهی دوست، همکار، کارشناس یا حتی مدیر و‌ مدیرعامل و‌ حتی … بگذریم ناراحت می‌شوند! چون ما روی معیارهای اصلی سازمان، کوتاه نمی‌آییم. اما از نگاه من، انحراف از معیارهای درست، یعنی خیانت به اعتماد سازمان و تضییع سرمایه‌ای که قرار است از آن محافظت کنیم.

واقعیت تلخ این است که در بسیاری از پیمانکاران حوزه امنیت، عدم اشراف به نیاز واقعی سازمان و کم‌کاری آگاهانه به یک عادت تبدیل شده از مستندسازی تا اجرا.

ما در دیاکو تصمیم گرفته‌ایم حتی اگر سخت و پرهزینه باشد در برابر این جریان ها بایستیم و تا به امروز هم به جد ایستاده ایم و سلامت حرفه‌ای، صداقت و انجام کار درست را قربانی هیچ مصلحت کوتاه‌مدتی نکنیم.

بماند به یادگار، سطح تخصص امنیت و عمقش هرچه قدر به آینده میرویم، در ایرانمان کم و کمتر می شود وقتی با کلی شرکت رتبه دار در فرایند مناقصه یک گپ تخصصی زده می شود آن هم نه عمیق، ۲ متری!🤠اوضاع ار فاجعه گذشته! و این اول ناراحت کننده است بعد مزیت رقابتی😵‍💫

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.11.29

#امنیت_سایبری
#حاکمیت_و_رعایت_مقررات
#دیاکو_سکیور_بو

علت‌ریشه‌ای بیش از نیمی از رخدادهای امنیتی در فضای ابری

بررسی‌های انجام‌شده در سه‌ماهه نخست سال ۱۴۰۲ نشان می‌دهد که بیش از نیمی از رخدادهای نقض امنیت در سامانه‌های ابری از ناحیه اطلاعات ورود و هویت‌های ضعیف آغاز می‌شوند.
این یافته، مهم‌ترین مسئله امنیتی این حوزه را به‌روشنی مشخص می‌کند:
کاستی در مدیریت هویت و بی‌توجهی به اصول کنترل دسترسی🥸علت‌ریشه‌ای اغلب رخدادهای امنیتی است.

۱. گذرواژه‌های ضعیف، ریشه اصلی رخدادها
بزرگ‌ترین بخش رخدادها نتیجه استفاده از:
• گذرواژه‌های ساده
• نبود گذرواژه
• حساب‌های رهاشده و بدون کنترل
در این شرایط مهاجم بدون نیاز به هیچ فنون پیچیده، به‌سادگی وارد سامانه شده و کنترل آن را به دست می‌گیرد.

علت‌ریشه‌ای: نبود سیاست مشخص برای انتخاب گذرواژه، نبود بررسی دوره‌ای حساب‌ها، و بی‌نظمی در مدیریت هویت کاربران.

۲. افشای اطلاعات ورود، خطای پنهان اما خطرناک
در بسیاری از سامانه‌ها، اطلاعات ورود ناخواسته در:
• کدها
• پرونده‌های پیکربندی
• یادداشت‌های داخلی
• فضای نگهداری اطلاعات
جا می‌ماند و همین مقدار اندک، کفایت می‌کند تا مهاجم به تمام بخش‌های سامانه دسترسی پیدا کند.

علت‌ریشه‌ای: نبود روند مشخص برای نگهداری امن رمزها و نبود نظارت بر روش کار تیم‌های توسعه و پشتیبانی.

۳. تنظیمات نادرست، تهدید خاموش
حدود یک‌پنجم رخدادها ناشی از تنظیمات اشتباه بوده است، مانند:
• باز بودن دسترسی‌ها برای همه
• پیکربندی نادرست دیوارهای حفاظتی
• سطح دسترسی بیش از اندازه برای کاربر یا سامانه
این خطاها معمولا توسط خود سازمان ایجاد می‌شود و مهاجم بدون نیاز به نفوذ فعال، از همین اشتباهات استفاده می‌کند.

علت‌ریشه‌ای: نبود الگوی استاندارد برای تنظیمات، نبود بازبینی دوره‌ای و وابستگی به کارهای دستی و سلیقه‌ای.

جمع‌بندی نهایی
در نگاه سطحی، رخدادهای امنیتی در فضای ابری پیچیده به‌نظر می‌رسند، اما بررسی دقیق نشان می‌دهد که:
ریشه‌ اصلی بیش از ۶۰ درصد رخدادها، سستی در مدیریت هویت، نبود مقررات روشن و تنظیمات نادرست است نه حملات پیچیده یا رخنه‌های فنی.

در واقع، امنیت فضای ابری زمانی پایدار خواهد شد که:
• هویت‌ها و گذرواژه‌ها مدیریت‌شده و استاندارد باشند
• نگهداری پسورد ها و اطلاعات ورود دارای روش مشخص باشد
• تنظیمات سامانه‌ها به‌صورت دوره‌ای بررسی و استانداردسازی شوند

این‌ها نه به ابزارهای گران‌قیمت، بلکه به نظم سازمانی، رعایت اصول پایه و مراقبت مستمر وابسته است.

Special Thanks 🙏♥️☺️
Mandiant (part of Google Cloud)
Google Cloud Security

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.11.30