خیلیا فکر میکنن امنیت سایبری فقط یعنی ابزار، کدنویسی یا exploit. اما در عمل، بخش بزرگی از برتری در امنیت به جنبههای انسانی، فرایندها و سیگنالهای رفتاری مربوط میشه.
یک مهندس امنیت واقعی باید بتونه هم رفتار کاربر رو بخونه، هم نیت مهاجم رو پیشبینی کنه، و هم ریسکسنجی انجام بده — نه فقط باگ پیدا کنه.
مهندسی اجتماعی و فازهای آن: شناسایی reconnaissance، ایجاد اعتماد (pretexting)، اجرای حمله (phishing / vishing) و استقرار (persistence). برای دفاع، باید هر مرحله را با telemetry مناسب پوشش داد.
سیگنالهای رفتاری (Behavioral Indicators): ناهنجاریهایی مثل تغییر الگوی لاگین (زمان/محل/پروفایل دستگاه)، افزایش خطاهای احراز هویت، یا درخواستهای دسترسیِ غیرمعمول که با UEBA/EDR قابل شناساییاند.
فناوریهای موثر برای مقابله انسانیمحور:
MFA مقاوم در برابر فیشینگ (FIDO2 / WebAuthn)
DLP با تحلیل محتوا و context-aware policies
UEBA برای تشخیص تغییرات رفتاری و حرکت جانبی (lateral movement)
مثال تکنیکی مختصر: مهاجم از طریق فیلد support ticket در سرویس ثالث، تصویر ID آپلود شده کاربر را بیرون میکشد → راهکار: رمزگذاری سمت سرویس، سیاست حداقلی دسترسی، و tokenization برای دادههای حساس.
فریمورکها و مَپها: نقشهبرداری تهدید به MITRE ATT&CK (Tactics/Techniques) و همخوانسازی کنترلها با NIST CSF برای پوشش انسانی و فنی.
پالیسی least-privilege + دورهای مرور دسترسیها.
پیادهسازی FIDO2 برای سرویسهای حساس و کنار گذاشتن MFA مبتنی بر SMS.
پایش رفتار (UEBA) + EDR + SIEM و تعریف alertهای مبتنی بر ریسک (ex: surge in data exfiltration indicators).
سناریوهای tabletop برای آمادهسازی پاسخ به تهدیدات داخلی و مهندسی اجتماعی.
گزارشدهی و فرهنگ سازمانی: پاداشدهی به گزارشهای امنیتی داخلی و کانال امن افشا.
Mean Time to Detect (MTTD) برای رفتارهای غیرعادی
Mean Time to Respond (MTTR) به حادثه داخلی
تعداد حسابهایی که MFA مقاوم دارند (٪)
تعداد رخدادهای مسدودشده توسط UEBA/DLP در هر ماه
جمعبندی:
امنیت مؤثر یعنی تلفیق «فناوریِ قوی» با «درک انسانیِ عمیق» و فرایندهای واضح. هر تیمی که هر سه را داشته باشد، واقعاً مقاوم خواهد بود.
پایان
برنامه نویس باشید و ازش لذت ببرید.
میم جیم صاد
