عکس پروفایل کتابخانه عملیات امنیت سایبریک

کتابخانه عملیات امنیت سایبری

۱.۸ هزار عضو
لوگوی پیام رسان بلهدانلود «بله»
thumbnail
undefined تهدید_سایبری_شماره_۱۰ | Model Poisoning
وقتی هوش مصنوعی از همان روز اول، چیزهای اشتباه یاد می‌گیرد
فرض کنید به یک کودک در حال یادگیری، هزاران جمله درست آموزش دهید؛ اما داخل آن‌ها چند جمله اشتباه و هدفمند هم قرار دهید. احتمالاً آن کودک بعضی از همان اطلاعات اشتباه را به‌عنوان حقیقت یاد می‌گیرد.
Model Poisoning تقریباً همین اتفاق در دنیای هوش مصنوعی است.
در این نوع حمله، مهاجم به‌جای نفوذ مستقیم به سیستم، داده‌های آموزشی مدل را دستکاری می‌کند. شاید فقط تعداد بسیار کمی از داده‌ها تغییر کنند، اما همان مقدار کم می‌تواند رفتار مدل را در آینده تغییر دهد.
مدل در ظاهر کاملاً عادی کار می‌کند:undefined پاسخ می‌دهدundefined تست‌ها را رد می‌کندundefined مشکل خاصی دیده نمی‌شود
اما در شرایط خاص ممکن است:
undefined اطلاعات نادرست تولید کندundefined تصمیم اشتباه بگیردundefined نتایج گمراه‌کننده ارائه دهدundefined یا حتی رفتار مخفی از خود نشان دهد
خطرناک‌ترین بخش ماجرا اینجاست که این حمله معمولاً از داخل زنجیره تأمین AI اتفاق می‌افتد؛ یعنی از طریق:undefined Datasetهای عمومیundefined مدل‌های Open-sourceundefined منابع شخص ثالثundefined یا فرآیندهای Fine-tuning
وقتی مدل یادگیری اشتباه را شروع کند، پیدا کردن مشکل همیشه ساده نیست.
undefined برای کاهش ریسک:undefined منبع داده‌ها را اعتبارسنجی کنیدundefined Datasetهای ناشناس را مستقیم استفاده نکنیدundefined رفتار مدل را مداوم مانیتور کنیدundefined روی تغییرات غیرعادی مدل حساس باشید
undefined در یک جمله:
*Model Poisoning یعنی خراب کردن تصمیم‌های آینده هوش مصنوعی، از طریق آلوده کردن گذشته آن.*

--------------undefined برای محتوای تخصصی SOC، Threat Hunting، SIEM و تهدیدات AI:undefined ID: @SOCLIB-------------
undefined۱۳
undefined۲

۹۴۶

۱۰:۳۶

کتابخانه عملیات امنیت سایبری
undefined undefined تهدید_سایبری_شماره_۱۰ | Model Poisoning وقتی هوش مصنوعی از همان روز اول، چیزهای اشتباه یاد می‌گیرد فرض کنید به یک کودک در حال یادگیری، هزاران جمله درست آموزش دهید؛ اما داخل آن‌ها چند جمله اشتباه و هدفمند هم قرار دهید. احتمالاً آن کودک بعضی از همان اطلاعات اشتباه را به‌عنوان حقیقت یاد می‌گیرد. Model Poisoning تقریباً همین اتفاق در دنیای هوش مصنوعی است. در این نوع حمله، مهاجم به‌جای نفوذ مستقیم به سیستم، داده‌های آموزشی مدل را دستکاری می‌کند. شاید فقط تعداد بسیار کمی از داده‌ها تغییر کنند، اما همان مقدار کم می‌تواند رفتار مدل را در آینده تغییر دهد. مدل در ظاهر کاملاً عادی کار می‌کند: undefined پاسخ می‌دهد undefined تست‌ها را رد می‌کند undefined مشکل خاصی دیده نمی‌شود اما در شرایط خاص ممکن است: undefined اطلاعات نادرست تولید کند undefined تصمیم اشتباه بگیرد undefined نتایج گمراه‌کننده ارائه دهد undefined یا حتی رفتار مخفی از خود نشان دهد خطرناک‌ترین بخش ماجرا اینجاست که این حمله معمولاً از داخل زنجیره تأمین AI اتفاق می‌افتد؛ یعنی از طریق: undefined Datasetهای عمومی undefined مدل‌های Open-source undefined منابع شخص ثالث undefined یا فرآیندهای Fine-tuning وقتی مدل یادگیری اشتباه را شروع کند، پیدا کردن مشکل همیشه ساده نیست. undefined برای کاهش ریسک: undefined منبع داده‌ها را اعتبارسنجی کنید undefined Datasetهای ناشناس را مستقیم استفاده نکنید undefined رفتار مدل را مداوم مانیتور کنید undefined روی تغییرات غیرعادی مدل حساس باشید undefined در یک جمله: *Model Poisoning یعنی خراب کردن تصمیم‌های آینده هوش مصنوعی، از طریق آلوده کردن گذشته آن.* -------------- undefined برای محتوای تخصصی SOC، Threat Hunting، SIEM و تهدیدات AI: undefined ID: @SOCLIB -------------
undefined فلش کنار پست رو بزنید حمایت کنیدundefined
undefined۴
undefined۱

۱.۲K

۱۰:۳۹

thumbnail
undefined زمان شروع دوره *Splunk Enterprise Clustering نزدیکه...

خیلی از تیم‌ها Splunk را نصب می‌کنند، Dashboard می‌سازند و لاگ جمع‌آوری می‌کنند؛ اما وقتی حجم داده‌ها افزایش پیدا می‌کند، کاربران بیشتر می‌شوند یا Availability اهمیت پیدا می‌کند، تازه چالش‌های واقعی شروع می‌شوند:

undefined Searchهای کند
undefined Replication Failure
undefined Bottleneck شدن Search Headها
undefined مشکلات High Availability
undefined و طراحی Disaster Recovery

در محیط‌های واقعی SOC، معماری درست فقط یک انتخاب نیست؛ یک نیاز است undefined

در دوره جامع Splunk Enterprise Clustering* به‌صورت کاملاً عملی و پروژه‌محور روی:
undefined Indexer Clustering (Single & Multisite)undefined Search Head Clustering (SHC)undefined مدیریت Forwarderها در مقیاس بالاundefined KV Store و Lookupهاundefined معماری High Availability و Disaster Recovery
کار خواهیم کرد.
undefined فقط چند روز تا شروع دوره باقی مانده است
undefined مناسب برای:undefined Splunk Adminهاundefined تحلیلگران SOCundefined مهندسین زیرساختundefined تیم‌های امنیت
undefined کد تخفیف ثبت‌نام:undefined soclib-group
undefined ثبت‌نام و مشاهده سرفصل‌ها:https://evnd.co/HC7e6
undefined @SOCLIB
#Splunk #SIEM #SOC #CyberSecurity #SplunkEnterprise #Clustering #ThreatHunting
undefined۳

۱.۲K

۲۱:۲۵

thumbnail
undefined یک هشدار ساده که تبدیل به Incident شد...
ساعت 02:17 بامداد، SIEM چندین رویداد *4625 (Failed Logon) را از یک سرور مالی ثبت کرد.

در نگاه اول چیز خاصی نبود؛ چند تلاش ناموفق برای ورود.

اما چند دقیقه بعد یک 4624 (Successful Logon) از همان Source IP مشاهده شد.

تحلیلگر SOC تصمیم گرفت بررسی را ادامه دهد...

undefined در ادامه لاگ‌ها مشخص شد که بلافاصله پس از ورود موفق، یک رویداد 4672 (Special Privileges Assigned)* برای همان حساب ثبت شده است.
یعنی کاربر با دسترسی‌های سطح بالا وارد سیستم شده بود.
چند دقیقه بعد:
undefined Event ID 4698یک Scheduled Task جدید ایجاد شد.
سپس:
undefined Event ID 4688فرآیند PowerShell اجرا شد.
و در نهایت:
undefined Event ID 4104Script Block Logging نشان داد که PowerShell با دستورات مشکوک برای دانلود و اجرای فایل از یک منبع خارجی اجرا شده است.
در کمتر از ۱۰ دقیقه، مهاجم:
undefined دسترسی گرفتundefined دسترسی سطح بالا دریافت کردundefined Persistence ایجاد کردundefined اقدام به اجرای Payload نمود
---
undefined اگر بخواهیم این سناریو را به یک Correlation Rule تبدیل کنیم:
4625 (Multiple Failed Logons)undefined4624 (Successful Logon)undefined4672 (Privileged Logon)undefined4698 (Scheduled Task Creation)undefined4688 / 4104 (PowerShell Execution)
undefined Alert: Potential Initial Access + Persistence + Execution Chain
نکته جالب اینجاست که هیچ Malware Detection یا EDR Alert خاصی وجود نداشت؛ تنها با کنار هم قرار دادن چند Event ID ویندوز می‌شد کل زنجیره حمله را مشاهده کرد.
undefined @SOCLIB

#SOC #ThreatHunting #DetectionEngineering #WindowsSecurity #Sysmon #BlueTeam #IncidentResponse #CyberSecurity #SIEM #Splunk
undefined۳

۷۵۹

۱۰:۳۷

کتابخانه عملیات امنیت سایبری
undefined undefined یک هشدار ساده که تبدیل به Incident شد... ساعت 02:17 بامداد، SIEM چندین رویداد *4625 (Failed Logon) را از یک سرور مالی ثبت کرد. در نگاه اول چیز خاصی نبود؛ چند تلاش ناموفق برای ورود. اما چند دقیقه بعد یک 4624 (Successful Logon) از همان Source IP مشاهده شد. تحلیلگر SOC تصمیم گرفت بررسی را ادامه دهد... undefined در ادامه لاگ‌ها مشخص شد که بلافاصله پس از ورود موفق، یک رویداد 4672 (Special Privileges Assigned)* برای همان حساب ثبت شده است. یعنی کاربر با دسترسی‌های سطح بالا وارد سیستم شده بود. چند دقیقه بعد: undefined Event ID 4698 یک Scheduled Task جدید ایجاد شد. سپس: undefined Event ID 4688 فرآیند PowerShell اجرا شد. و در نهایت: undefined Event ID 4104 Script Block Logging نشان داد که PowerShell با دستورات مشکوک برای دانلود و اجرای فایل از یک منبع خارجی اجرا شده است. در کمتر از ۱۰ دقیقه، مهاجم: undefined دسترسی گرفت undefined دسترسی سطح بالا دریافت کرد undefined Persistence ایجاد کرد undefined اقدام به اجرای Payload نمود --- undefined اگر بخواهیم این سناریو را به یک Correlation Rule تبدیل کنیم: 4625 (Multiple Failed Logons) undefined 4624 (Successful Logon) undefined 4672 (Privileged Logon) undefined 4698 (Scheduled Task Creation) undefined 4688 / 4104 (PowerShell Execution) undefined Alert: Potential Initial Access + Persistence + Execution Chain نکته جالب اینجاست که هیچ Malware Detection یا EDR Alert خاصی وجود نداشت؛ تنها با کنار هم قرار دادن چند Event ID ویندوز می‌شد کل زنجیره حمله را مشاهده کرد. undefined @SOCLIB #SOC #ThreatHunting #DetectionEngineering #WindowsSecurity #Sysmon #BlueTeam #IncidentResponse #CyberSecurity #SIEM #Splunk
undefined همه چیز با یک ایمیل ساده شروع شد...
صبح دوشنبه بود.
یکی از کارمندهای بخش مالی یک ایمیل دریافت کرد که ظاهراً از طرف واحد منابع انسانی شرکت ارسال شده بود.
موضوع ایمیل:
undefined «نسخه جدید فیش حقوقی آماده مشاهده است»
همه چیز عادی به نظر می‌رسید:undefined لوگوی شرکت وجود داشتundefined امضای ایمیل معتبر بودundefined حتی نام کارمند هم داخل متن نوشته شده بود
کارمند روی لینک کلیک کرد.
صفحه‌ای باز شد که دقیقاً شبیه صفحه ورود Microsoft 365 بود.
او هم بدون شک کردن، نام کاربری و رمز عبورش را وارد کرد...
و همین.
هیچ ویروسی نصب نشد.هیچ فایل مشکوکی دانلود نشد.هیچ هشدار امنیتی هم نمایش داده نشد.
اما مهاجم حالا به حساب ایمیل او دسترسی داشت.
---
چند ساعت بعد...
مهاجم وارد صندوق ایمیل شد و شروع به بررسی مکاتبات مالی شرکت کرد.
او متوجه شد که شرکت قرار است چند روز بعد مبلغ قابل توجهی به یکی از تأمین‌کنندگان پرداخت کند.
مهاجم صبر کرد.
روز پرداخت، از همان حساب ایمیل واقعی برای واحد مالی پیام فرستاد:
"شماره حساب تأمین‌کننده تغییر کرده است. لطفاً پرداخت به حساب جدید انجام شود."
از آنجایی که ایمیل از حساب واقعی ارسال شده بود، هیچ‌کس شک نکرد.
پول انتقال داده شد.
اما نه به تأمین‌کننده...
بلکه به حساب مهاجم.
---
چند روز بعد، وقتی تأمین‌کننده اعلام کرد که هنوز پولی دریافت نکرده، تازه همه متوجه شدند چه اتفاقی افتاده است.
undefined نکته ترسناک ماجرا؟
این حادثه نه با بدافزار شروع شد،نه با هک پیچیده،نه با آسیب‌پذیری روز صفر.
فقط با یک کلیک روی یک لینک جعلی.
undefined به همین دلیل هنوز هم فیشینگ یکی از موفق‌ترین روش‌های حمله در دنیا محسوب می‌شود.
اگر یک ایمیل از شما بخواهد وارد حساب کاربری خود شوید، قبل از کلیک روی لینک، آدرس فرستنده و دامنه مقصد را دوباره بررسی کنید.
شما یا اطرافیانتان تا به حال با چنین ایمیل‌هایی مواجه شده‌اید؟
undefined @SOCLIB

#CyberSecurity #Phishing #SecurityAwareness #SOC #BlueTeam #ThreatHunting #Infosec
undefined۷
🥳۲

۹۳۲

۱۰:۴۱

thumbnail
undefined تنظیم معیارهای موفقیت (Setting Success Metrics)سلام دوستان undefinedدر مراحل قبلی درباره Operating Framework و ساختار عملیاتی صحبت کردیم.اما یک سؤال مهم باقی می‌ماند:از کجا بفهمیم پیاده‌سازی Splunk ما واقعاً موفق بوده است؟اینجاست که Success Metrics وارد می‌شوند.
https://soclib.ir/?p=15919
undefined۴

۶۰۵

۱۹:۳۹

thumbnail
undefined خیلی از پروژه‌های Splunk به خاطر کمبود Data یا ضعف تکنولوژی شکست نمی‌خورند...بلکه چون هیچ‌کس از ابتدا مشخص نکرده:«موفقیت این پروژه دقیقاً چه شکلی است؟»
در بسیاری از سازمان‌ها ماه‌ها زمان صرف می‌شود برای:undefined نصب Splunkundefined جمع‌آوری لاگ‌هاundefined ساخت Dashboardهاundefined طراحی Use Caseها
اما وقتی زمان ارزیابی پروژه می‌رسد، یک سؤال مهم مطرح می‌شود:
undefined آیا واقعاً ارزش ایجاد کرده‌ایم؟
اینجاست که مفهوم Success Metrics اهمیت پیدا می‌کند.اگر نتوانید موفقیت را اندازه‌گیری کنید، بهینه‌سازی آن هم تقریباً غیرممکن خواهد بود.
برخی از مهم‌ترین معیارهایی که باید در پیاده‌سازی Splunk زیر نظر داشته باشید:undefined User Adoptionundefined Search Volumeundefined Data Ingestion Trendsundefined Hardware Utilizationundefined Detection Coverageundefined MTTD / MTTRundefined Alert Quality & False Positive Rate
یک SIEM موفق فقط لاگ جمع‌آوری نمی‌کند؛باید بتواند ارزش عملیاتی، امنیتی و حتی تجاری ایجاد کند.به همین دلیل تیم‌های حرفه‌ای علاوه بر معماری و Deployment، روی KPIها، Monitoring Dashboardها و تحلیل رفتار کاربران نیز تمرکز می‌کنند.
undefined اگر می‌خواهید با مفهوم Success Metrics در Splunk بیشتر آشنا شوید و بدانید چگونه موفقیت یک پروژه SIEM را به‌صورت عملی اندازه‌گیری کنید، مقاله کامل را در سایت SOCLIB مطالعه کنید:
undefined https://soclib.ir/چارچوب-موفقیت-اسپلانک-تنظیم-معیارهای/

undefined @SOCLIB
undefined۵
undefined۲

۱K

۲۱:۴۹

thumbnail
undefined بسیاری از تیم‌های SOC روزانه ده‌ها IOC از منابع مختلف دریافت می‌کنند...
IPهای مخرب،دامنه‌های آلوده،URLهای فیشینگ،Hashهای بدافزار و ده‌ها شاخص دیگر.
اما یک سؤال مهم وجود دارد:
undefined آیا این IOCها واقعاً وارد فرآیند Detection و Investigation شما می‌شوند؟
در بسیاری از سازمان‌ها Threat Intelligence فقط در قالب فایل Excel یا گزارش‌های PDF باقی می‌ماند و هرگز به Detection عملیاتی تبدیل نمی‌شود.
اینجاست که Splunk Enterprise Security وارد عمل می‌شود.
با اتصال منابع Threat Intelligence به Splunk ES می‌توان:
undefined IOCها را به‌صورت خودکار دریافت و به‌روزرسانی کردundefined لاگ‌های سازمان را با شاخص‌های آلودگی تطبیق دادundefined Correlation Searchهای مبتنی بر Threat Intelligence ایجاد کردundefined Context بیشتری در اختیار تحلیلگران SOC قرار دادundefined زمان شناسایی تهدیدات را کاهش داد
Threat Intelligence زمانی ارزشمند است که از یک گزارش خواندنی به یک قابلیت عملیاتی در SOC تبدیل شود.
در مقاله جدید SOCLIB، فرآیند اتصال Threat Intelligence در Splunk ES به پورتال شاخص‌های آلودگی و نحوه استفاده از IOCها در عملیات امنیتی را بررسی کرده‌ایم.
undefined مطالعه مقاله:
https://soclib.ir/اتصال-threat-intelligence-در-splunk-es-به-پورتال-شاخصهای-آلود/
undefined @SOCLIBundefined https://t.me/soclibrary
#Splunk #SplunkES #ThreatIntelligence #SOC #SIEM #ThreatHunting #DetectionEngineering #CyberSecurity #BlueTeam #SOCLIB
undefined۳

۷۸۴

۱۱:۵۸

thumbnail
undefined یکی از بزرگ‌ترین مشکلات حوزه امنیت سایبری در ایران، کمبود نیرو نیست...
بلکه «نبود زبان مشترک» برای تعریف نقش‌ها و مسیرهای شغلی است.


چند بار آگهی استخدامی دیده‌ایم که برای یک SOC Analyst انتظار مهارت‌های Threat Hunter، Incident Responder، Detection Engineer و حتی Red Team را هم داشته باشد؟
یا چند بار از دانشجویان و افراد تازه‌وارد شنیده‌ایم:
undefined برای ورود به SOC چه چیزهایی باید یاد بگیریم؟
undefined مسیر Threat Hunting چیست؟
undefined تفاوت Red Team و Penetration Testing چیست؟
undefined برای تبدیل شدن به CISO چه مهارت‌هایی نیاز دارم؟
به همین دلیل انتشار «چارچوب ملی سرمایه انسانی امنیت سایبری ایران» را می‌توان یک گام مهم برای استانداردسازی نقش‌های امنیت سایبری دانست.


undefined برخی از نقش‌های تعریف شده در این چارچوب:
undefined CISO (مدیر ارشد امنیت اطلاعات)
undefined Cybersecurity Architect
undefined General Security Specialist
undefined Penetration Tester & Vulnerability Analyst
undefined Threat Hunter
undefined Red Team Specialist
undefined Incident Responder & Digital Forensics
undefined SOC Analyst (Level 1, 2, 3)
undefined Security Auditor
undefined OT Security Specialist
undefined Cybersecurity Trainer


نکته جالب اینجاست که برای هر نقش، موارد زیر مشخص شده است:
undefined مأموریت شغلی
undefined وظایف اصلی
undefined دانش تخصصی موردنیاز
undefined مهارت‌های فنی موردنیاز
این دقیقاً همان چیزی است که سال‌ها در اکوسیستم امنیت سایبری کشور به آن نیاز داشتیم.


undefined اگر این چارچوب به درستی توسط شرکت‌ها، مراکز آموزشی و متخصصان استفاده شود، می‌تواند فاصله بین آموزش، استخدام و نیاز واقعی بازار را تا حد زیادی کاهش دهد.


undefined به نظر شما در بازار کار امنیت سایبری ایران، کدام نقش بیشتر از همه دچار ابهام و سوءبرداشت شده است؟




آدرس کانال تخصصی SOC Library در پیامرسان بله:
https://ble.ir/soclib


کانال تخصصی SOC Library:
https://t.me/soclibrary


#CyberSecurity #SOC #ThreatHunting #RedTeam #BlueTeam #DFIR #SecurityArchitecture #CISO #SOCAnalyst #DetectionEngineering #IranCyberSecurity
undefined۴

۵۹۰

۶:۱۶

thumbnail
undefined کارت بانکی شما هک نمی‌شود...
بلکه کپی می‌شود!
خیلی از افراد تصور می‌کنند برای سرقت پول از حساب بانکی حتماً باید موبایل یا اینترنت بانکشان هک شود.
اما یکی از قدیمی‌ترین و همچنان مؤثرترین روش‌های کلاهبرداری، چیزی به نام *Skimming* است.
ماجرا از این قرار است:
مهاجم یک دستگاه کوچک روی کارت‌خوان یا خودپرداز نصب می‌کند.
وقتی کارت را وارد دستگاه می‌کنید، اطلاعات موجود روی نوار مغناطیسی کارت شما کپی می‌شود.
اگر رمز کارت هم به هر شکلی ثبت شود (مثلاً با دوربین مخفی یا صفحه‌کلید تقلبی)، مهاجم می‌تواند یک نسخه جعلی از کارت شما بسازد.
undefined نکته جالب اینجاست:
در بسیاری از موارد، قربانی تا زمانی که پیامک برداشت وجه را دریافت نکند، متوجه هیچ چیز نمی‌شود.
برای کاهش این خطر:
undefined هنگام وارد کردن رمز، با دست صفحه کلید را بپوشانید.
undefined قبل از استفاده از خودپرداز یا کارت‌خوان، ظاهر آن را بررسی کنید.
undefined اگر قسمتی از دستگاه لق، غیرعادی یا چسبانده شده به نظر می‌رسد از آن استفاده نکنید.
undefined پیامک تراکنش‌های بانکی را فعال نگه دارید.
undefined برای حساب‌های اصلی، سقف برداشت روزانه را محدود کنید.
امروزه بسیاری از سرقت‌های بانکی با هک پیچیده انجام نمی‌شوند؛
بلکه با سوءاستفاده از چند ثانیه بی‌دقتی اتفاق می‌افتند.
undefined امنیت فقط در فضای آنلاین نیست؛ گاهی روی همان دستگاه کارت‌خوانی است که هر روز از آن استفاده می‌کنیم.
undefined @SOCLIB
#امنیت_سایبری #کارت_بانکی #اسکیمینگ #کلاهبرداری_بانکی #آگاهی_امنیتی
undefined۱

۲۹۱

۱۱:۲۰