https://virgool.io/feed/@alireza-taghikhani fa 2026-06-16 16:58:40 https://files.virgool.io/upload/users/1102574/avatar/6ieRWO.jpeg?height=120&width=120 https://virgool.io/@alireza-taghikhani https://virgool.io/azure-security/%D9%85%D9%82%D8%A7%DB%8C%D8%B3%D9%87-azure-aws-gcp-%D9%88-openstack-%DA%A9%D8%AF%D8%A7%D9%85-%D8%B3%D8%B1%D9%88%DB%8C%D8%B3-%D8%A7%D8%A8%D8%B1%DB%8C-%D8%A8%D8%B1%D8%A7%DB%8C-%D9%85%D8%A7-%D9%85%D9%86%D8%A7%D8%B3%D8%A8-%D8%AA%D8%B1-%D8%A7%D8%B3%D8%AA-koeftyb3nv3z در دنیای امروز، انتخاب یک پلتفرم ابری مناسب تبدیل به یکی از تصمیم‌های مهم برای تیم‌های فنی، استارتاپ‌ها و حتی سازمان‌های بزرگ شده. گزینه‌های زیادی روی میز هست، اما چهار مورد از رایج‌ترین‌هاش این‌ها هستن: Amazon Web Services (AWS)، Microsoft Azure، Google Cloud Platform (GCP) و OpenStack.توی این مطلب، یه بررسی کوتاه روی هرکدوم داریم و بعدش مقایسه‌شون می‌کنیم از نظر کارایی، قیمت، پشتیبانی، انعطاف‌پذیری و... تا بتونیم انتخاب راحت‌تری داشته باشیم.تجربه، مقیاس و تنوع بالا - AWSسرویس AWS که توسط آمازون ارائه می‌شه، یکی از قدیمی‌ترین و البته بزرگ‌ترین ارائه‌دهنده‌های خدمات ابریه. تقریباً هر سرویس ابری که تصورش رو بکنید، تو AWS وجود داره: Compute، Storage، Networking، ML/AI، پایگاه داده، امنیت و کلی ابزار Dev-ops.نقاط قوت: مقیاس‌پذیری بالا، اکوسیستم گسترده، پایداری زیادنقاط ضعف: قیمت بالا، پیچیدگی در پیکربندی برای تازه‌کارهاهمگام با اکوسیستم مایکروسافت - Microsoft Azureاگه توی شرکت یا سازمانت از محصولات مایکروسافت استفاده می‌کنی (مثلاً Windows Server، Active Directory، یا SQL Server)، Azure می‌تونه انتخاب خیلی خوبی باشه. چون یکپارچگی خیلی خوبی با این ابزارها داره.نقاط قوت: ادغام با سرویس‌های مایکروسافت، پشتیبانی قوی، مناسب برای کسب‌وکارهانقاط ضعف: بعضی خدماتش هنوز به بلوغ AWS نرسیدن، مستندسازی گاهی ناقصهقدرت در داده و یادگیری ماشین - Google Cloud Platform (GCP)گوگل هم وارد این رقابت شده و تمرکزش بیشتر روی دیتا، آنالیتیکس و ماشین لرنینگه. اگه با BigQuery، Kubernetes یا مدل‌های ML سر و کار داری، GCP حسابی می‌تونه کمک‌کننده باشه.نقاط قوت: قدرت بالا در آنالیز داده و هوش مصنوعی، پرفورمنس بالانقاط ضعف: پوشش کمتر دیتاسنتر نسبت به AWS/Azure، سرویس‌های تجاری محدودترکنترل کامل، هزینه پایین (در ظاهر) - OpenStackبرخلاف سه مورد قبلی که سرویس‌های مدیریت‌شده ارائه می‌دن، OpenStack یه پلتفرم متن‌باز برای ساختن سرویس ابریه که باید خودت نصب و نگهداریش کنی. برای شرکت‌هایی که می‌خوان دیتاشون تو زیرساخت خصوصی بمونه یا به دلایل قانونی نمی‌خوان از سرویس‌های عمومی استفاده کنن، گزینه خوبیه.نقاط قوت: کنترل کامل روی زیرساخت، رایگان بودن نرم‌افزارنقاط ضعف: نیاز به تیم فنی قوی برای نگهداری، پیچیدگی در مقیاس‌پذیری و پشتیبانیمقایسه کلیمقایسه کلیجمع‌بندیانتخاب بین این سرویس‌ها بستگی به نیاز شما، اندازه تیم، مهارت فنی، و بودجه‌تون داره.اگه می‌خواید همه‌چیز آماده باشه و سرویس کامل بخواید، AWS رو انتخاب کنید.اگه با ابزارهای مایکروسافت زیاد کار می‌کنید، Azure براتون بهینه‌تره.برای کارهای داده‌محور یا ML، GCP انتخاب خوبی می‌تونه باشه.ولی اگه ترجیح می‌دید همه‌چیز دست خودتون باشه و روی سرورتون پیاده‌سازی کنید، OpenStack می‌تونه گزینه مناسبی باشه.قدم بعدی: تمرکز روی Azureحالا که یه دید کلی نسبت به چهار پلتفرم اصلی رایانش ابری پیدا کردیم و تفاوت‌هاشونو شناختیم، تو پست‌های بعدی تمرکزم رو می‌ذارم روی Microsoft Azure. دلیلش هم اینه که Azure داره توی بازار ایران و حتی بین توسعه‌دهنده‌هایی که با اکوسیستم مایکروسافت کار می‌کنن، محبوب‌تر می‌شه. قراره در ادامه به‌صورت جزئی‌تر وارد امکانات، سرویس‌ها، مزایا، چالش‌ها و حتی سناریوهای واقعی استفاده از Azure بشیم تا اگه خواستید ازش استفاده کنید، با آمادگی بیشتری سراغش برید. علیرضا تقی خانی علیرضا تقی خانی Thu, 15 May 2025 19:50:08 +0330 https://virgool.io/azure-security/%D8%B4%D8%B1%D9%88%D8%B9-%D8%B3%D9%81%D8%B1-%D9%85%D9%86-%D8%A8%D8%A7-azure-%D8%A8%D9%87-%D8%A7%D8%B4%D8%AA%D8%B1%D8%A7%DA%A9-%DA%AF%D8%B0%D8%A7%D8%B1%DB%8C-%D8%A2%D9%85%D9%88%D8%B2%D8%B4-%D9%87%D8%A7-%D9%88-%D9%86%DA%A9%D8%A7%D8%AA-%D8%A7%D9%85%D9%86%DB%8C%D8%AA%DB%8C-%D8%B1%D8%A7%DB%8C%DA%AF%D8%A7%D9%86-vlw2rav768pq من به تازگی وارد دنیای Azure شدم و تصمیم گرفتم که سفر یادگیری‌ام رو با شما به اشتراک بذارم. در این مسیر، تمرکز اصلی من روی یکی از حساس‌ترین موضوعات ابری، یعنی امنیت است.آژور برای من یک چالش بزرگ و در عین حال فرصت بی‌نظیر است، چون در دنیای ابری که به سرعت در حال رشد است، امنیت حرف اول رو می‌زنه. به همین دلیل، تصمیم گرفتم که تجربه‌های شخصی خودم رو از این مسیر در قالب نوت‌ها و آموزش‌های رایگان با شما به اشتراک بذارم.چرا Azure؟اگر به دنیای Cloud Computing علاقه‌مندید، احتمالاً نام Azure رو شنیدید. Microsoft Azure به عنوان یکی از قدرتمندترین پلتفرم‌های ابری در دنیا شناخته می‌شه. با این حال، یادگیری آژور به خصوص در زمینه امنیت می‌تونه یک چالش جدی باشه. من هم به عنوان یک تازه‌کار در این حوزه، به دنبال یادگیری هرچه بیشتر و عمیق‌تر این پلتفرم هستم.چرا امنیت؟از همان ابتدا که وارد Azure شدم، متوجه شدم که یکی از چالش‌های اصلی در دنیای Cloud، حفظ امنیت داده‌ها و منابع است. بسیاری از سازمان‌ها به دلیل ضعف‌های امنیتی دچار مشکلات بزرگی می‌شوند و من تصمیم گرفتم که در این زمینه بیشتر مطالعه کنم و به دنبال بهترین شیوه‌ها و راه‌حل‌ها باشم.هدف من از انتخاب امنیت Azure این است که هم خودم به صورت عمیق‌تر این موضوع رو یاد بگیرم و هم به دیگران کمک کنم تا بهترین و امن‌ترین روش‌ها رو برای پیاده‌سازی سیستم‌های ابری پیدا کنند.هدف من از این پست‌ها:در طول این مسیر یادگیری، به چند هدف اصلی رسیده‌ام:به اشتراک‌گذاری یادداشت‌ها و آموزش‌های خود: تمام نکات و تجربیاتم از کار با Azure رو با شما به اشتراک می‌گذارم. از چالش‌هایی که با اون‌ها مواجه شدم گرفته تا راه‌حل‌هایی که پیدا کردم.آموزش رایگان برای همه: هدف من اینه که آموزش‌های کاربردی و رایگان در زمینه امنیت ابری و Azure به جامعه ارائه بدم. امیدوارم که با این آموزش‌ها، به رشد و پیشرفت جامعه در زمینه Cloud کمک کنم.آشنایی بیشتر با مفاهیم امنیتی Azure: امنیت، یکی از اصلی‌ترین موضوعات در فضای ابری است و من قصد دارم که در این زمینه مطالب تخصصی و مفید ارائه بدم.چگونه با من همراه شوید؟من قصد دارم به‌طور منظم پست‌های آموزشی و نکات امنیتی خودم رو در اینجا به اشتراک بذارم. برای شروع، از شما دعوت می‌کنم که اگر سوالی دارید یا تجربه‌ای دارید که می‌خواهید به اشتراک بگذارید، کامنت بگذارید و با من در این سفر یادگیری همراه شوید.همچنین، اگر علاقه‌مند به دریافت آموزش‌های بیشتر هستید، می‌توانید من رو در سایر پلتفرم‌ها مانند GitHub و LinkedIn دنبال کنید. در اینجا، به مرور زمان منابع آموزشی و پروژه‌های عملی خودم رو هم به اشتراک می‌گذارم.LinkedIn: Alireza TaghikhaniGitHub: Azure Certification Cheatsheetنتیجه‌گیری:این تنها آغاز سفر من با Azure است و مطمئناً در آینده نکات بیشتری رو برای شما به اشتراک خواهم گذاشت. امیدوارم که این پست‌ها بتونه به شما در یادگیری Azure و به‌خصوص در زمینه امنیت کمک کنه. بیایید با هم به دنیای cloud computing و امنیت آن سفر کنیم.پیشنهادات و نظرات شما؟اگر شما هم تجربه‌ای در زمینه امنیت Azure دارید، خوشحال می‌شم که نظرات و پیشنهادات خودتون رو به اشتراک بذارید. منتظر دیدگاه‌ها و سوالات شما هستم! علیرضا تقی خانی علیرضا تقی خانی Tue, 13 May 2025 09:41:02 +0330 https://virgool.io/@alireza-taghikhani/%DA%86%D8%B1%D8%A7-%D9%85%D9%85%D9%88%D8%B1%DB%8C-%D8%A8%D9%87%D8%B4%D8%AA-%D8%A8%D8%AF%D8%A7%D9%81%D8%B2%D8%A7%D8%B1%D9%87%D8%A7-%D8%B4%D8%AF%D9%87-%D8%A7%D8%B3%D8%AA-hda97zwhrd79 در این نوشته به صورت اجمالی به اهمیت دیتاهای درون حافظه مموری، رویکرد جدید بدافزارها و اجرای کدهای مخرب به صورت File-Less، حملات Code Injection، Process Hollowing و بسیاری از موارد پیچیده تر پرداخته می شود. مروری بر حافظه مموری(RAM)حافظه ‌RAM یا Random Access Memory گونه‌ای از حافظه برای ذخیره‌سازی داده‌هاست که اجازه می‌دهد فایل‌ها در مدت زمانی کوتاه نوشته و خوانده شوند؛ بدون اینکه در این خواندن و نوشتن تقدم و تأخر زمانی اهمیتی داشته باشد.‌ حافظه رم سرعت بالاتری در خواندن و نوشتن از سایر حافظه‌ها‌، از جمله دیسک سخت دارد.RAMبدافزارهای File-Lessبدافزارهای File-Less، نوعی از بدافزارهای مخرب بوده که از ابزارهای Native و پیش فرض درون یک سیستم برای اجرای حملات سایبری استفاده می کند. بر خلاف بدافزارهای سنتی، بدافزارهای File-Less نیازی به نصب کد روی سیستم قربانی نداشته و به همین دلیل شناسایی آنها سخت تر می باشد.یکی از تکنیک های مورد استفاده آنها استفاده از دستورات Built-in سیستم عامل ها بوده که برخی از آنها را میتوان در دو سایت زیر بررسی کرد. وب سایت LOLBAS(دستورات ویندوزی) https://lolbas-project.github.io/ وب سایت GTFOBins(دستورات لینوکسی) https://gtfobins.github.io/ بدافزارهای پیچیدهبدافزارهای File-Less رویکرد جدیدی از بدافزارها را ارائه داده است اما در این میان بسیاری از بدافزارهای دیگر وجود دارند که با روش های مختلف و پیچیده بسیاری از مکانیزم های امنیتی را دور میزنند؛ در این بخش به برخی از جدیدترین و پیچیده ترین روش ها پرداخته می شود.بدافزار های Rootkitروت کیت خطرناک‌ترین گونه بدافزاری است. روت کیت‌ها همانند سایر گونه‌های بدافزاری، برنامه‌های کامپیوتری هستند که قدرت بالایی در اختفا دارند و قادر هستند در فایل‌ها، تنظیمات رجیستری یا پردازه‌ها پنهان شوند و به سرقت اطلاعات کاربران بپردازند. به‌طور کلی، روت کیت‌ها با هدف دسترسی از راه دور، کنترل سامانه‌های کامپیوتری یا شبکه‌های کامپیوتری و استخراج اطلاعات استفاده می‌شوند. بارزترین نشانه وجود روت کیت در یک سامانه کند شدن سرعت سامانه است که نشان می‌دهد عامل مخربی در پس‌زمینه مشغول فعالیت است.حملات Code Injectionهکرها ممکن است برای فرار از مکانیزم های دفاعی مانند آنتی ویروس و EDR و همچنین جهت ارتقا سطح دسترسی ، کدهای مخرب خود را به پروسس ها و برنامه های در حال اجرا تزریق کنند. اجرای کدهای مخرب در حافظه برنامه ها باعث می شود دستورات دلخواه برروی سیستم های قربانی اجرا شده و روند شناسایی آنها را سخت تر و دشوارتر کند. از نمونه روش های Code Injection میتوان به موارد زیر اشاره کرد:Process HollowingProcess DoppelgängingDynamic-link Library InjectionPortable Executable InjectionThread Execution HijackingAsynchronous Procedure Callراهکاری با نام مموری فارنزیکیکی از روش های شناسایی بدافزارهای پیشرفته و فعالیت آنها، فارنزیک مموری می باشد. در فارنزیک مموری با جمع آوری شواهد و مدارک از RAM می توان به اطلاعاتی دسترسی پیدا کرد که در بقیه قسمت های سیستم وجود ندارند. این اطلاعات شامل شناسایی رفتار بدافزارها، پروسس های مخفی، تزریق کدهای مخرب، اطلاعات نام کاربری استفاده شده و گذرواژه، کلیدهای خصوصی، رفتار کاربر در مرورگر و غیره می باشد. علیرضا تقی خانی علیرضا تقی خانی Fri, 25 Aug 2023 13:22:41 +0330 https://virgool.io/@alireza-taghikhani/%D8%A8%D8%A7-%D8%AA%D8%AD%D9%84%DB%8C%D9%84%DB%8C-%D8%AA%D8%B1%DB%8C%D9%86-%D9%85%D9%85%D9%88%D8%B1%DB%8C-%D9%81%D8%A7%D8%B1%D9%86%D8%B2%DB%8C%DA%A9-%D8%A8%D8%AF%D8%A7%D9%81%D8%B2%D8%A7%D8%B1-zeusbot-%D8%A8%D8%A7-%D9%85%D8%A7-%D9%87%D9%85%D8%B1%D8%A7%D9%87-%D8%A8%D8%A7%D8%B4%DB%8C%D8%AF-llnaw3xpu5tr *هشدار: قبل از شروع به مطالعه، قهوه خود را آماده کنید!مقدمهدر این نوشته رفتار مموری بدافزار ZeusBot با استفاده از ابزار Volatility بررسی شده است. ابتدا بهتر است خلاصه ای بر این بدافزار ذکر شود. بدافزارZeus، بدافزاری از خانواده تروجان‌ها است که در نسخه‌های مختلف سیستم عامل ویندوز اجرا می‌گردد. با وجود اینکه این بدافزار دارای قابلیت‌های بسیار زیادی می‌باشد، ولی معمولاً برای سرقت اطلاعات مربوط به بانک‌ها مورد استفاده قرار می‌گیرد. از این بدافزار برای نصب باج‌افزار CryptoLocker نیز استفاده شده است.این بدافزار معمولاً با استفاده از تکنیک‌های فیشینگ و یا دانلود از منابع نامطئن سیستم‌های هدف را آلوده می‌کند. بعدها بدافزار Gameover Zeus نیز که از همین خانواده است، مطرح گردید که از ساختار ارتباطی P2P استفاده می‌کند. از آنجا که این بدافزار به سختی قابل شناسایی است، به همین دلیل بزرگ‌ترین شبکه bot در اینترنت را تشکیل داده است.همانطور که در توضیحات به آن اشاره شد، این بدافزار از ساختار P2Pبرای ارتباطات خود استفاده کرده و رفتار Botnet دارد. ابتدا از لینک زیر میتوان فایل zeus.vmem را دانلود کرد. http://malwarecookbook.googlecode.com/svn-history/r26/trunk/17/1/zeus.vmem.zipتحلیل اولیهزمانی که از Volatility v2 استفاده می شود، در گام نخست باید پروفایل مموری بدست آید. بدین منظور ابتدا با استفاده از دستور imageinfo اطلاعات بیشتر از آن بدست آماده است.vol.py -f zeus.vmem imageinfoimageinfoبعد از بدست آوردن پروفایل، پروسس های اجرایی برروی سرور با استفاده از دستور pslist بررسی می شوند. همانطور که مشاهده می شود، در نگاه اول مورد خاصی از Parent-Childe، تعداد و نام مشکوک مشاهده نمی شود. vol.py -f zeus.vmem --profile=WinXPSP2x86 pslistpslistباتوجه به اینکه میدانیم این بدافزار ارتباطات مشکوک دارد، در نتیجه از پلاگین connscan استفاده کرده تا ارتباطات شبکه ای آن مشخص شود. همانطور که مشخص است، پروسس 856 به آدرس 193.104.41.75:80 متصل شده است. vol.py -f zeus.vmem --profile=WinXPSP2x86 connscanconnscanبه منظور بررسی بیشتر، آدرس فوق در Virus Total بررسی می شود.همانطور که مشهود است تعداد 62/70 آنتی ویروس مختلف، این آدرس را متعلق به بدافزار Zeus و مخرب میدانند. 193.104.41.75حال به بررسی بیشتر پروسس 856 پرداخته می شود. همانطور که از دستور pslist مشخص شد، 856 مربوط به svchost.exe بوده که از طریق services.exe اجرا شده است. تا اینجا همچنان مورد مشکوکی نیست. به منظور بررسی Parent-Child پروسس ها از دستور psscan استفاده شده و با خروجی گرفتن Dot به صورت گرافیکی به بررسی مابقی پروسس ها پرداخته می شود. vol.py -f zeus.vmem --profile=WinXPSP2x86 psscan --output=dot --output-file=zeus.dotdot -Tps zeus.dot -o zeus.pspsscanدر خروجی گرافیکی پروسس ها، موردی جهت شناسایی رفتار مشکوک مشاهده نمی شود. Parent-Child-Dotباتوجه به اینکه پروسس 856 سر نخ ما در این بررسی است، CommandLineهای مرتبط با این پروسس بررسی شده که مورد مشکوکی مشاهده نمی شود. vol.py -f zeus.vmem --profile=WinXPSP2x86 cmdline -p 856cmdlineهمچنین با استفاده از dlllist، تمامی آرگومان های فراخوانی شده توسط این پروسس مشاهده می شود. همانطور که مشخص است مسیر مشکوکی در بین آنها یافت نشده است. vol.py -f zeus.vmem --profile=WinXPSP2x86 dlllist -p 856dlllistشناسایی بدافزارتا به اینجا، تنها سرنخ موجود پروسس svchost.exe بوده که رفتار مشکوکی از نظر ساختار پروسس ها، دستورات و روند اجرایی ندارد. زمانی که در بررسی های اولیه موردی مشاهده نمی شود، به بررسی خود پروسس می پردازیم که ممکن است این پروسس آلوده شده باشد. از جمله رایج ترین حملات در این زمینه Process Hollowing می باشد.با این حال، با استفاده از پلاگین malfind، جهت شناسایی رفتار مخرب این پروسس، روند فانرنزیک ادامه داده شده است. جهت تحلیل malfind باید این نکته خاطر نشان شود، مواردی مشکوک بوده که در هدر آنها MZ مشاهده و در بخش Vad Tag، مقدار PAGE_EXECUTE_READWRITE مشاهده شود. به صورت معمول، پروسس های ویندوز به صورت PAGE_EXECUTE_WRITE اجرا می شوند و در صورت مشاهده آن، مشخص است که این پروسس آلوده شده است. خروجی malfind نشان میدهد پروسس 856 آلوده شده است. vol.py -f zeus.vmem --profile=WinXPSP2x86 malfind -p 856malfindجهت بررسی بیشتر باید ابتدا پروسس از مموری Dump گرفته شده و سپس با استفاده از Sandbox بیشتر بررسی شود. vol.py -f zeus.vmem --profile=WinXPSP2x86 procdump -p 856 -D zeusprocdumpجهت تحلیل بیشتر، فایل در Virus Total قرار داده شده است. همانطور که مشخص است رفتار این پروسس به صورت Process Injection, Create New Process و Spawn Process می باشد که فرضیه Process Hollowing را قوی تر میکند.VirusTotal-svchost.exeهمچنین در تحلیل آن مشخص شد برخی از رجیستری ها نیز تغییر پیدا کرده اند. Registry Modifiedبه منظور مشاهده Hiveهای مموری، پلاگین hivelist استفاده می شود.vol.py -f zeus.vmem --profile=WinXPSP2x86 hivelisthivelistسپس با پلاگین dumpregistry، این موارد استخراج می شود. vol.py -f zeus.vmem --profile=WinXPSP2x86 dumpregistry -D zeusdumpregistryیکی از کارهای بدافزارها، همیشگی کردن دسترسی خود می باشد. حال باتوجه به اینکه Hiveهای رجیستری استخراج شده اند، برخی از مسیرهای مهم مانند Winlogon بررسی می شود. اگر بعد افزار در این مسیر تغییری ایجاد کرده باشد، سبب می شود تا دسترسی خود را دائمی کرده و با هر دفعه بالا آمدن سیستم، اجرا شود. با استفاده از دستور Strings میتوان Hiveهایی که مقدار winlogon دارند را مشاهده کرد. strings -f -a -el * | grep -i winlogonstringsسپس با استفاده از ابزار Registry Explorer، مقدار رجیستری بررسی می شود. همانطور که مشاهده می شود در قسمت Userinit، پروسس sdra64.exe مشاهده شده که نشان دهنده رفتار مخرب و Persistence توسط این بدافزار می باشد.registry explorerبه منظور بررسی بیشتر برخی از مسیرهای رایج رجیستری نیز بررسی شود تا رفتار مشکوک مشاهده شود. مسیر زیر در صورتی که تغییر کند، سبب می شود بدافزار بتواند، دانلودهای خود را مخفی کند. همانطور که مشاهده می شود این مسیرتغییر پیدا کرده است. vol.py -f zeus.vmem printkey -K &quotMicrosoft\Windows\CurrentVersion\Internet Settings\Cache\Paths&quotInternet Explorerهمچنین مسیر نتورک نیز تغییر پیدا کرده است. vol.py -f zeus.vmem printkey -K &quotMicrosoft\Windows NT\CurrentVersion\Network&quotnetworkشناسایی پروسس های آلودهبا توجه به موارد پیدا شده در رجیستری، نیاز است وابستگی های پروسس مانند Handles بررسی شود. این بررسی باعث می شود تا در صورتیکه اگر پروسس دیگری آلوده شده باشد، شناسایی شود. جهت بررسی ابتدا Mutantهای پروسس 856 بررسی شود. Mutex Object باعث می شود تا از دسترسی چندین Threads به یک Object به اشتراک گذاری شده، ممانعت شود. همانطور که مشخص است پس از بررسی موارد مجاز، در سایت fortiguard مشاهده شد _AVIRA_2018 غیر مجاز بوده و برروی مموری لود شده است. vol.py -f zeus.vmem --profile=WinXPSP2x86 handles -p 856 -t mutantMutantحال بررسی می شود آیا پروسس دیگری نیز آلوده شده است یا خیر. همانطور که مشاهده می شود، از طریق پروسس 856، پروسس های 608، 632 و 936 آلوده شده اند.vol.py -f zeus.vmem --profile=WinXPSP2x86 handles -p 856 -t Processprocessبرای اطمینان از پلاگین malfind مجدد استفاده شده تا موارد مشکوک شناسایی شود. مشاهده می شود پروسس های 936و 632آلوده شده اند(Code Injection). vol.py -f zeus.vmem --profile=WinXPSP2x86 malfind -p 936,608,632936632بدین منظور، با استفاده از Base Address، بخش های VAD با استفاده از vaddump بررسی می شود. vol.py -f zeus.vmem --profile=WinXPSP2x86 vaddump -b 0x8d0000 -D zeusvaddumpبا استفاده از دستور file، مشاهده می شود، svchost فایل اجرایی بوده و باید در Sandbox بیشتر بررسی شود. file zeus/winlogon.exe.66f0978.0x008d0000-0x0090ffff.dmp file zeus/svchost.exe.63c5560.0x008d0000-0x008f5fff.dmp filesبررسی API Hookingبا توجه به اینکه خروجی handles نشان میداد،سه پروسس آلوده شده اند، سناریو API Hooking برررسی می شود. در سناریو API Hooking، مهاجم API Callهای ویندوز را تغییر میدهد. همانطور که مشاهده می شود، تابع ntdll.dll!NTCreateThread در آدرس 0x7c90d7d2 بوده که به آدرس 0xb73b47، تغییر(JMP) و Hook داشته است. vol.py -f zeus.vmem --profile=WinXPSP2x86 apihooks -p 936,856,632apihook-856apihook-936بررسی IDTیکی از جداول مهم کرنل IDT بوده که مسئول Interrupt و Exceptionها در CPU و هدف بسیاری از Rootkitها می باشد. در این جدول تمامی خروجی ها باید به سمت ntoskrnl.exe اشاره کرده و مواردی که UNKNOWN باشند، نشان دهنده آلوده شدن جدول IDTمی باشد. vol.py -f zeus.vmem --profile=WinXPSP2x86 idt | grep -iv ntoskrnl.exeidtبررسی Userassistدر گام آخر، به بررسی userassist پرداخته می شود. userassist جدول برنامه های اجرایی ویندوز را نشان می دهد. همانطور که مشاهده می شود، در Desktop فایلی با نام Zeus_binary_*.exe قرار داده شده است. vol.py -f zeus.vmem --profile=WinXPSP2x86 userassistuserassistجمع بندیدر این نوشته به بررسی رفتار بدافزار ZeusBot در مموری پرداخته شد. همانطور که مشاهده شد این بدافزار رفتارهای مخربی را در سطح مموری داشته است. از این نوشته میتوان سرنخ روند بررسی بدافزارهای بیشتری را بدست آورد. همچنین جهت بررسی بیشتر پیشنهاد می شود Process Hollowing نیز بررسی شود. علیرضا تقی خانی علیرضا تقی خانی Mon, 05 Jun 2023 15:10:22 +0330 https://virgool.io/@alireza-taghikhani/%D8%A8%D8%A7-dfir-%D8%A7%D8%B3%D8%AA%D8%AD%DA%A9%D8%A7%D9%85%D8%A7%D8%AA-%D8%AE%D9%88%D8%AF-%D8%B1%D8%A7-%D8%AA%D9%82%D9%88%DB%8C%D8%AA-%DA%A9%D9%86%DB%8C%D8%AF-s84ro3zde4op تعریف ما از DFIR چیست؟ دیجیتال فارنزیک و پاسخ به حوادث(DFIR) یکی از فیلدهای حوزه امنیت سایبری بوده که برروی شناسایی، تحقیق و بررسی و کاهش ریسک حملات سایبری تمرکز دارد. تیم DFIR از دو بخش تشکیل شده است:Digital Forensics علم فارنزیک به بررسی و تحلیل داده های سیستم، فعالیت های کاربر و شواهد موجود دیجیتالی جهت بررسی حملات در حال اجرا و شناسایی اینکه چه کسی پشت حمله است، کمک میکند.Incident Response فرایندی که به سازمان ها جهت مهیاسازی، شناسایی، جلوگیری و بازگردانی داده های در معرض افشا و ریسک کمک میکند.DFIRبا توجه به گسترش Endpointها و تشدید حملات امنیت سایبری به طور کلی، DFIR به یک قابلیت مرکزی در استراتژی امنیتی سازمان و قابلیت‌های شکار تهدید تبدیل شده است. تغییر به سمت فضای ابری و همچنین تسریع در کار مبتنی بر راه دور، نیاز سازمان‌ها را برای اطمینان از محافظت در برابر انواع مختلف تهدیدات در همه دستگاه‌هایی که به شبکه متصل هستند، افزایش داده است.اگرچه DFIR به طور سنتی یک عملکرد امنیتی واکنشی(Reactive) است، ابزارهای پیچیده و فناوری پیشرفته، مانند هوش مصنوعی (AI) و یادگیری ماشین(ML)، برخی سازمان‌ها را قادر می‌سازد تا از فعالیت DFIR برای تأثیرگذاری و اطلاع‌رسانی اقدامات پیشگیرانه(Proactive) استفاده کنند. در چنین مواردی، DFIR همچنین می تواند جزء استراتژی امنیتی پیشگیرانه در نظر گرفته شود.چگونگی استفاده از فارنزیک در پلن Incident Responseفارنزیک اطلاعات و شواهد لازم را ارائه می کند که تیم واکنش اضطراری رایانه (CERT) یا تیم پاسخگویی به حوادث امنیتی رایانه (CSIRT) برای پاسخ به یک حادثه امنیتی به آن نیاز دارند. فارنزیک ممکن است شامل موارد زیر باشد: فارنزیک سیستم فایل: تجزیه و تحلیل سیستم های فایل در Endpointها برای نشانه های مشکوک.فارنزیک مموری: تجزیه و تحلیل حافظه برای نشانگرهای حمله که ممکن است در سیستم فایل ظاهر نشوند. فارنزیک شبکه: بررسی فعالیت های شبکه، از جمله ایمیل، پیام رسانی و مرورگر وب، برای شناسایی یک حمله، درک تکنیک های حمله سایبری و سنجش دامنه حادثه. تجزیه و تحلیل گزارش: بررسی و تفسیر سوابق یا گزارش‌های فعالیت برای شناسایی فعالیت‌های مشکوک یا رویدادهای غیرعادی.دیجیتال فارنزیک علاوه بر کمک به تیم در پاسخ به حملات، نقش مهمی در فرآیند اصلاح کامل دارد. دیجیتال فارنزیک همچنین ممکن است شامل ارائه شواهدی برای حمایت از شواهد یا اسنادی برای نشان دادن به Auditor باشد.علاوه بر این، تجزیه و تحلیل تیم دیجیتال فارنزیک می تواند به شکل گیری و تقویت اقدامات امنیتی پیشگیرانه کمک کند. این می تواند سازمان را قادر سازد تا ریسک کلی را کاهش دهد و همچنین زمان پاسخگویی در آینده را سرعت بخشد.Digital Forensicsارزش دیجیتال فارنزیک و یکپارچگی آن با پاسخ به حوادث(DFIR)در حالی که دیجیتال فارنزیک و پاسخ به حادثه دو کارکرد مجزا هستند، اما ارتباط نزدیکی با هم دارند و از جهاتی به یکدیگر وابسته هستند. اتخاذ یک رویکرد یکپارچه به DFIR چندین مزیت مهم را برای سازمان ها فراهم می کند، از جمله توانایی: افزایش سرعت و دقت در پاسخگویی به حوادثبه حداقل رساندن از دست دادن داده یا سرقت و همچنین آسیب به شهرت در اثر یک حمله امنیت سایبریتقویت پروتکل ها و رویه های امنیتی موجود از طریق درک کامل تر از چشم انداز تهدید و خطرات موجودکمک به تعقیب عامل تهدید از طریق شواهد و مستنداتDigital Forensics & Incident Response علیرضا تقی خانی علیرضا تقی خانی Wed, 08 Jun 2022 12:55:20 +0430 https://virgool.io/@alireza-taghikhani/%D8%A8%D8%A7-%D8%B9%DB%8C%D9%86%DA%A9-%D9%81%D8%A7%D8%B1%D9%86%D8%B2%DB%8C%DA%A9-%D8%A8%D9%87-%D9%88%DB%8C%D9%86%D8%AF%D9%88%D8%B2-%D9%86%DA%AF%D8%A7%D9%87-%DA%A9%D9%86%DB%8C%D9%85-pgssgdl7tpqe بعد از نوشته هایی در خصوص مرکز عملیات امنیت و طرح بلوغ که در اینجا قابل مشاهده هست(https://vrgl.ir/zK5XZ)، در این سری از نوشته ها، به سراغ Windows Forensic یا جرم یابی ویندوز خواهیم رفت. در سلسله نوشته ها به مباحث مختلفی پرداخته خواهد شد که در اینجا به چند مورد آن اشاره خواهیم کرد:آشنایی با بخش های مهم سرورهای ویندوزی جهت فارنزیکتهیه نسخه از شواهد و مدارکبررسی ساختار ریجستری ویندوزفارنزیک فعالیت کاربران و تجهیزات ذخیره سازی مثل USBفارنزیک فعالیت اینترنتی کاربران که بواسطه مرورگر صورت میگیردو ...Windows Forensicتعریف فارنزیکاز علم فارنزیک برای جمع‌آوری ادله و بررسی شواهد استفاده می‌شود. همان‌طور که در دنیای واقعی شاهد وقوع جرایم هستیم؛ در دنیای دیجیتال نیز وقوع جرم امر رایجی است. با این حال پیگیری و جمع‌آوری ادله و جرم‌شناسی در بستر آنلاین و در فضای مجازی بسیار سخت‌تر است؛ زیرا در دنیای دیجیتال، افراد مجرم در میان کدها و اطلاعات مجازی پنهان شده‌اند.  برای مثال بسیاری از مجرمان از ابزارهای آنتی فارنزیک (Anti-Forensic) استفاده می‌کنند و فرآیند تحلیل داده‌ها و شناسایی نشانه‌های وقوع جرم را با مشکل مواجه می‌سازند.علم فارنزیکبخش های مهم ویندوزقبل از شروع هرچیز، ابتدا باید در خصوص معماری سیستم عامل ویندوز و بخش های مهم آن اطلاعات کافی داشت. این بخش ها کمک میکند تا داده های حساس و مهم را از قسمت های مختلف ویندوز جمع آوری، سپس با تحلیل آنها، پازل های یک جرم دیجیتال را شناسایی کرد. در سرورهای ویندوزی، اطلاعات در مکان های مختلفی ذخیره می شوند. لذا باید اشراف کامل به مسیرهای ذخیره سازی اطلاعات داشته و سپس با ابزارهای رایج در این حوزه، اقدام به استخراج داده کرد. در ادامه بخشی از قسمت های مهم یک سرور ویندوزی ذکر می شود.Registryرجیستری ویندوز پایگاه داده یا Database عظیمی از اطلاعات است. این اطلاعات شامل تنظیمات، گزینه‌ها و مقادیر سخت‌افزارها و نرم‌افزارهای نصب شده روی سیستم عامل ویندوز است.ریجستری شامل دو بخش مهم برای فارنزیک می باشد:HKLM: این کلید اطلاعات کامپیوتر محلی شامل سخت‌افزارهای شناسایی شده، پیکربندی‌های سیستم‌عامل و... را در خود نگه می‌دارداطلاعات HKLM در مسیر زیر ذخیره می شوند:C:\Windows\System32\Config\HKCU: این کلید مرکزی وظیفه حفظ اطلاعات و تنظیمات کاربر فعلی (کاربری که هم‌اکنون از ویندوز استفاده می‌کند) را دارداطلاعات HKCU در مسیرهای زیر ذخیره می شوند:%userptofiles%\ntuser.dat%userptofiles%\AppData\Local\Microsoft\Windows\userclass.datWindows Registry LNKلینک فایل ها با پسوند lnk که در واقع Shortcutها می باشند. تمامی فایل هایی که یکبار اجرا شوند، به طور خودکار توسط سیستم عامل برای آنها لینک فایل ایجاد شده و این اطلاعات حساس و مهم در متادیتا آن ذخیره می شود. درصورتیکه فایلی پاک شود، همچنان فایل لینک آن وجود خواهد داشت. مسیر این فایل ها از طریق زیر قابل مشاهده می باشد. %userptofiles%\AppData\Roaming\Microsoft\Windows\Recent\LNK File Jumplistاطلاعات Jumplist شامل تاریخچه فایل های اجرایی برروی سیستم عامل می باشد. دو نوع Jumplist وجود دارد: 1- Custom:توسط توسعه دهندگان ایجاد می شود2-Automatic:توسط سیستم عامل ایجاد می شوداطلاعات Jumplist مانند LNK فایل، نیز در مسیر زیر ذخیره می شود. %userptofiles%\AppData\Roaming\Microsoft\Windows\Recent\Prefetchسیستم عامل ویندوز جهت افزایش کارآیی، برنامه های پر استفاده را در حافظه موقت سیستم بارگذاری میکند تا سرعت اجرای آنها افزایش پیدا کند. از این بخش میتوان در خصوص تعداد دفعات و زمان اجرای یک برنامه، مطلع شد. اطلاعات Prefetch در مسیر زیر ذخیره می شود. C:\Windows\Prefetch\AmCacheبا استفاده از AmCache میتوان فایل های GI که کاربر آنها را اجرا کرده است به همراه هش آنها را مشخص کرد. اطلاعات آنها در مسیر زیر ذخیره می شود:C:\Windows\appcompat\Programs\Windows Forensicدر این سری از نوشته ها، درخصوص فارنزیک و بخش های مهم سرورهای ویندوزی صحبت شد. در ادامه این موارد، در قسمت بعد، در خصوص Custom Image از فضای دیسک صحبت خواهیم کرد. علیرضا تقی خانی علیرضا تقی خانی Wed, 01 Jun 2022 10:40:36 +0430 https://virgool.io/@alireza-taghikhani/%D8%A8%D9%84%D9%88%D8%BA-%D9%85%D8%B1%DA%A9%D8%B2-%D8%B9%D9%85%D9%84%DB%8C%D8%A7%D8%AA-%D8%A7%D9%85%D9%86%DB%8C%D8%AA-%D8%B1%D8%A7-%D8%A8%D8%A7-%D8%A7%DB%8C%D9%86-%D9%81%D8%B1%D8%A2%DB%8C%D9%86%D8%AF-%D8%AA%D8%B6%D9%85%DB%8C%D9%86-%DA%A9%D9%86%DB%8C%D8%AF-zij9buewk0zz مسئله مهمی که ممکن است خیلی از مراکز عملیات امنیت با آن آشنا نباشند، ارزیابی سطح بلوغ و پختگی مرکز عملیات امنیت می باشد. ارزیابی سطح بلوغ کمک میکند تا ابعاد مختلف مرکز عملیات امنیت را سنجیده و بعد از آن، برنامه ای برای افزایش پختگی و بهره وری آن ایجاد کرد. در این بخش در مورد فریم ورک SOC-CMM، یکی از مدلهای ارزیابی سطح بلوغ مرکز عملیات امنیت صحبت خواهیم کرد. همچنین در انتهای صحبت ها، راهکاری جهت ایجاد برنامه مدون و عملیاتی نمودن آن داده می شود.Mature SOCمعرفیمدل SOC-CMM یک ابزار مدیریت و سنجش بلوغ SOC است که می­تواند برای تعیین نقاط قوت و ضعف SOC مورد استفاده قرار گیرد و با ارزیابی و اندازه ­گیری توانایی و بلوغ SOC، می­توان بیشترین ارزش افزوده را برای سازمان فراهم کرد.آشنایی بیشتر با این مدلمدل بلوغ مرکز عملیات امنیت که در حال حاضر وجود دارد، تنها نمونه کاربردی و تخصصی برای بالغ سازی مرکز عملیات امنیت می‌باشد. این مدل تحت عنوان SOC-CMM ارائه شده است که به جنبه‌های مختلف یک مرکز عملیات امنیت می‌پردازد. در این مدل تمامی جنبه‌های یک مرکز عملیات امنیت مورد بررسی قرار می‌گیرد تا سطح فعلی مرکز مشخص گردد و براساس آن می‌توان اقدام به برنامه ریزی برای رفع نقاط ضعف فعلی و ارتقای سطح بلوغ مرکز عملیات امنیت گردد. این مدل برای ارزیابی و سنجش ویژگی‌ها و مشخصه‌های اصلی مرکز عملیات امنیت نظیر فرایندها و فناوری‌های مشخص، با ادبیات علمی ایجاد شده است. در این مدل به خوبی انطباق لازم بین نیازمندی‌های تئوری و کاربردی برقرار شده است.https://www.linkedin.com/pulse/security-operation-center-capability-maturity-model-%D9%85%D8%AF%D9%84-rezza-adineh/همانطور که در شکل زیر مشخص است، این مدل از 5 دامنه و 25 جنبه مختلف تشکیل شده است. دامنه ­های "سازمان" ، "افراد" و "فرایند" فقط برای بلوغ (رنگ آبی) و دامنه­ های "فناوری" و "خدمات" از نظر بلوغ و قابلیت (رنگ بنفش) ارزیابی می­شوند.SOC-CMMگام به گام تا ارزیابیارزیابی مرکز عملیات امنیت با استفاده از ابزار اکسل انجام می ­شود. این اکسل در دو نسخه Basic و Advanced طراحی شده است. تفاوت بین نسخه Basic و Advanced در وجود فیلد Importance(اهمیت) در نسخه Advanced می باشد. برای دانلود این فایل ها میتوانید از لینک های زیر کمک بگیرید. توصیه می شود ابتدا نسخه Basic را کامل کرده و سپس در صورت نیاز از نسخه Advanced استفاده نمائید. BasicAdvancedحال در مورد بخش های این فایل توضیحاتی داده می شود. برای شروع، در بخش Introduction توضیحاتی راجع به فریم ورک و بخش های مختلف آن وجود دارد. IntroductionSOC-CMM Modelدر بخش Profile باید اطلاعاتی در خصوص تاریخ ارزیابی، نام ارزیاب، هدف بلوغ و قابلیت های SOC مشخص گردد. SOC-CMM Profileدر بخش Scope نیز اطلاعاتی نظیر SIEM، IDS، IPS و سرویس های درون SOC تکمیل می گردد. این اطلاعات در بخش های بعد مورد استفاده قرار گرفته که در آن به صورت جزئی تر تکمیل می شود. SOC-CMM Scopeپس از انجام مراحل اولیه، باید به سوالات موجود در فایل اکسل در 5 دامنه و 25 جنبه مختلف پاسخ های مناسب داده شود. برخی از سوالات جواب YES/NO داشته و برخی دیگر به صورت کیفی می باشند. همانطور که در شکل زیر مشاهده می شود، برای پاسخ به سوالات 6 حالت No, Partially, Averagely, Mostly, Fully و Not Required وجود دارد. هرچقدر یک ویژگی در مرکز شما قوی تر باشد، امتیاز بالاتری باید به آن داده شود. دقت شود که به صورت سختگیرانه به این سوالات پاسخ دهید. باتوجه به کیفی بودن این سوالات، هرچقدر سختگیرانه تر به آنها پاسخ داده شود، خروجی بهتری و واقعی تری خواهد داشت. SOC-CMM Question's Typeخروجی SOC-CMMپس از اتمام ارزیابی، بخش نتایج SOC-CMM امتیازات حاصل را به دو صورت جدولی و گراف نمایش می دهد. بخش جدولی آن امتیازات بدست آمده را محاسبه کرده و سپس باتوجه به سطح بلوغ مورد نظر، در بخش overall به رنگ قرمز یا سبز نشان داده می شود. همچنین امتیازات هر دامنه و جنبه نیز به طور مجزا مشخص می باشد. SOC-CMM Table Resultخروجی گراف آن نیز کمک میکند تا نقاط ضعف و قوت را بهتر شناسایی کرد. همچنین در دو بخش "سرویس ها" و "تکنولوژی" نمودار قابلیت وجود دارد که با رنگ متفاوت و سبز قابل مشاهده است. SOC-CMM Resultدر شکل سمت چپ، امتیازات محاسبه شده در 5 دامنه براساس سطح بلوغ مورد نظر و شکل سمت راست، امتیازات قابلیت را نشان می دهد. Maturity and Capabilities Resultمدل SOC-CMM همچنین همسویی با چارچوب امنیت سایبری NIST (CSF) را فراهم می­کند. این چارچوب از پنج مرحله شناسایی، محافظت، تشخیص، پاسخ و بازیابی تشکیل شده است.NIST(CSF) Resultگام بعدی چیست..؟!حال که نقاط ضعف و قوت SOC مشخص گردید باید طی برنامه ای مدون و هدفمند، برنامه ای جهت حفظ نقاط قوت و تقویت نقاط ضعف ایجاد گردد. باتوجه به امتیازات داده شده در دامنه و جنبه های مدل CMM، می توان به سادگی مواردی که نیاز به بهبود و تقویت دارند را شناسایی کرد. پیشنهاد بنده برای اجرای برنامه جهت بهبود بلوغ SOC، استفاده از Gantt Chart می باشد. گانت چارت (Gantt Chart) یا نمودار گانت ابزاری برای مدیریت پروژه است و به ساده‌سازی پروژه‌های پیچیده کمک می‌کند. در واقع نمایه‌ای تصویری از کارهایی است که در طول پروژه، برنامه‌ریزی شده‌اند و بطور معمول برای برنامه‌ریزی، پیگیری و کنترل پروژه مورد استفاده قرار می‌گیرند.Gantt Chart علیرضا تقی خانی علیرضا تقی خانی Sat, 23 Oct 2021 15:18:31 +0330 https://virgool.io/@alireza-taghikhani/%D9%81%D8%B1%D8%A2%DB%8C%D9%86%D8%AF%D9%87%D8%A7-%D8%B1%D9%88-%D9%82%D9%88%D8%B1%D8%AA-%D8%AF%D9%87%DB%8C%D8%AF-uscyvjowdpf9 تهیه فرایندها معمولا بخش حوصله و زمان بر هر مرکز عملیات امنیتی هست. افراد فنی و متخصص باتوجه به اینکه علاقه دارند کارهای فنی و تخصصی را به صورت عملی انجام بدهند، اصولا از فرایندها دوری میکنند. فرایندها برای این افراد خسته کننده، حوصله سر بر، وقت گیر و بی فایده بنظر می رسد. برای همین من سعی دارم در این نوشته فرایندها را برای شما جذاب تر توضیح بدهم. همچنین مواردی را به شما بگویم که در محیط عملیاتی و واقعی بتوانید ازشون استفاده کنید. ماهیت فرایندها خسته کننده و حوصله سر بر هست، اماحقیقت این است اگر بتوانیم فرایندها را اصولی و حرفه ای پیاده سازی کنیم، تنها یکبار از ما زمان میگیرد و بعد از آن، طبق روال تمامی کارها انجام می شود. تهیه فرایند و عملی کردن آن مزایای ویژه ای میتواند برای هر مرکز عملیات امنیتی داشته باشه. چند مورد از مزایای اینها میتواند شامل موارد زیر باشد:منظم شدن کارهاامکان مدیریت آسان تر نیروها مشخص بودن روال کاری مرکز عملیات امنیتافزایش بهره وری تیمی با ایجاد شفافیت و مشخص بودن کارهافرآیندهای مرکز عملیات امنیتچه فرایندهایی در مرکز عملیات امنیت داریم..؟!!پاسخ به این سوال میتواند خیلی از ابهامات و سردرگمی هایی که در حوزه فرایندها هستند را برطرف کند. من قصد دارم فرایندهایی که باید هر مرکز عملیات امنیتی داشته باشد را تیتروار بگویم و برای هرکدام توضیح مختصری داشته باشم تا اگر قصد پیاده سازی این فرایندها را دارید، بتوانید استفاده کنید. قبل از آن شاید بهتر باشد سازمان مهمی را معرفی کنم که به صورت تخصصی مسئله امنیت سایبری را بررسی میکند. US-CERT آمریکا، بخشی از دپارتمان Homeland Security هست که به صورت تخصصی و ویژه فرایندهایی که مد نظر ما هست را دارد. US-CERT: https://us-cert.cisa.gov/US-CERTخب بریم سراغ فرایندها..:فرایند مدیریت آسیب پذیری: امان امان از آسیب پذیری با درجه اهمیت بالا!! امان امان از سردرگمی در وصله این آسیب پذیری ها!! امان امان از تعلل و فرصت سوزی در ارائه راهکار مناسب به این دسته از آسیب پذیری های مهم و خطرناک!! بیایید با به کارگیری درست فرایند US-CERT از این امر مهم مصون باشیم..!https://us-cert.cisa.gov/sites/default/files/c3vp/crr_resources_guides/CRR_Resource_Guide-VM.pdfVulnerability Managementفرایند مدیریت بلوغ: پشت لب مرکز عملیات امنیت شما هنوز سبز نشده؟ میخواهید بدانید چطور مرکز عملیات پخته تر، منظم تر، حرفه ای تر و جهانی تر داشته باشید؟ برای بلوغ مرکز عملیات امنیت میشه ساعت ها صحبت کرد. برای همین در نوشته دیگر ویرگول، نحوه ارزیابی، سنجش و ارتقا بلوغ مرکز عملیات امنیت خودتان را کامل توضیح خواهم داد..!Maturity Planفرایند مدیریت دارایی: در این فرایند باید دارایی های سازمان شناسایی، الویت دهی، مستند سازی و مدیریت شوند. این فرایند برای بهبود مدیریت دارایی ها، اضافه شدن و یا حذف یک دارایی به شما کمک ویژه ای میکند. اطلاعات بیشتر در مورد این فرایند را میتوانید از لینک زیر مشاهده کنید:https://us-cert.cisa.gov/sites/default/files/c3vp/crr_resources_guides/CRR_Resource_Guide-AM.pdfAsset Managementفرایند مدیریت لاگ: لاگ ها چطور در SIEM دریافت می شوند؟ چه لاگ هایی را باید دریافت کنید؟ چطور لاگ ارسال کنیم؟ لاگ ها را برای چه مدت ذخیره کنیم؟ چه لاگ هایی باید ذخیره شوند؟ و بسیاری از سوالات دیگر در مورد لاگ ها در این فرایند پاسخ داده خواهند شد. لینک زیر از سازمان NIST به شما دید کاملا روشنی خواهد داد.https://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-92.pdfLog Managementفرایند مدیریت حادثه: تا حالا سازمان شما مورد حمله سایبری قرار گرفته است؟ اگر جواب شما بله هست، خب چطور این حادثه امنیتی را مدیریت کردید؟؟ آیا دارایی مورد حمله را سریع از مدار خارج کردید؟؟ آیا اشتباه رایج خاموش کردن سرور را نیز شما انجام داده اید؟؟ آیا میخواهید بدانید باید چطور هدفمند و حرفه ای حوادث را مدیریت کنید؟؟ پس از لینک زیر که مربوط به US-CERT هست کمک بگیرید.https://us-cert.cisa.gov/bsi/articles/best-practices/incident-management/incident-managementIncident Managementفرایند مدیریت یوزکیس های امنیتی: توسعه Use Caseهای کارآمد و هدفمند می تواند بهره وری مرکز عملیات امنیت را ارتقا دهد. یوزکیس امنیتی از جمله مواردی است که مبتنی بر نیاز و شرایط سازمان/شرکت هدف طراحی و پیاده سازی می شود. به عنوان نمونه Use Caseهایی که برای یک سازمان در حوزه مالی طراحی می شود به گونه ای است که تنها خاص آن نوع کسب و کار خواهد بود و در سایر کسب و کارها با درصد احتمال بالا، کارآیی نخواهد داشت. برای پیاده سازی و مدیریت یوزکیس های امنیتی میتوانید از فریم ورک MaGMa استفاده کنید. https://www.betaalvereniging.nl/en/safety/magma/Use case Managementفرایند مدیریت شیفت: آیا نمیدانید چطور شیفت نیروهای مرکز عملیات باید چینده شود؟ آیا نیروهای شما از شیفت های سنگین خسته شده اند؟ آیا نیروها در شیفت توانمندی و بهره وری کافی را ندارند؟ آیا شیفت های شب به آنها سخت میگذرد؟ اگر جواب همه سوال های شما بله هست، باید سریعا اقدامی در این خصوص انجام دهید. برای مدیریت شیفت میتوانید از نوشته قبلی من در ویرگول استفاده کنید.https://vrgl.ir/80MbCShift Managementفرایند مدیریت تغییرات: تغییرات بخش جدایی ناپذیر هر سازمانی هست. روزانه ممکن است تغییرات مختلف در سرورها، تجهیزات، فایروال ها و غیره انجام گیرد. در مرکز عملیات امنیت شما باید از تغییرات صورت گرفته مطلع باشید تا بتوانید تحلیل و ارزیابی بهتری در مورد سازمان خود انجام دهید. توجه شما را به سند US-CERT در این خصوص جلب می کنم. https://us-cert.cisa.gov/sites/default/files/c3vp/crr_resources_guides/CRR_Resource_Guide-CCM.pdfChange Managementفرایند مدیریت دانش: دانش های مرکز عملیات تا حد قابل قبولی مشخص است. افرادی که در این مرکز مشغول به فعالیت هستند، می دانند که چه دانش هایی را باید یاد بگیرند و به چه دانش هایی نیاز ندارند. در فرایند مدیریت دانش باید مشخص شود، دانش چطور تولید می شود؟ چطور استفاده می شود؟ چطور ذخیره می شود؟ و چطور به اشتراک گذاشته می شود. فرایند مدیریت دانش می تواند با پرسش سوالات مختلف تکمیل شود اما برای واضح تر شدن آن، میتوانید از مقاله علمی زیر استفاده کنید. https://sharifstrategy.org/knowledge-management/Knowledge Managementفرایند مدیریت آموزش پرسنل و آگاه سازی: آیا فقط مهارت های فنی نیروهای خود را در نظر میگیرید؟ آیا به نیروهای خود آموزش هایی جهت بهبود زندگی و Soft Skillهای خودشون ارائه کرده اید؟ آیا پیوسته دانش نیروهای خود را اندازه گرفته و بهبود میدهید؟ اگر جواب شما خیر است، فرایند US-CERT به شما کمک شایانی می کند.https://us-cert.cisa.gov/sites/default/files/c3vp/crr_resources_guides/CRR_Resource_Guide-TA.pdfTraining Management علیرضا تقی خانی علیرضا تقی خانی Tue, 05 Oct 2021 15:25:27 +0330 https://virgool.io/@alireza-taghikhani/%DA%AF%D8%A7%D8%AF-%D8%A2%D9%81-%D8%A7%D8%B3%D9%BE%D9%84%D8%A7%D9%86%DA%A9-%D8%B4%D9%88%DB%8C%D8%AF-c6gkfikbxrab در این بخش قراره در مورد SIEMها بخصوص Splunk صحبت کنیم. ابتدا در مورد اسپلانک صحبت میکنیم بعد مروری بر Threat hunting یا شکار تهدیدات داریم و در نهایت با نحوه حرفه ای کوئری زدن در اسپلانک اشنا میشیم. ابزارهای SIEM قلب SOC هستند و تمامی تحلیلگران امنیت با استفاده از این ابزارها تحلیل های امنیتی خود رو انجام میدهند، یوزکیس و سناریو های امنیتی رو پیاده سازی میکنند و شاید بهتر باشه بگم باهاشون زندگی می کنند.شاید بد نباشه ابتدا یکم در مورد بخش های SOC توضیح کوتاهی بدهیم. هر SOC از سه بخش تشکیل میشه:People: شامل تحلیلگران امنیتی که در مرکز عملیات امنیت مشغول به فعالیت هستند Process: شامل فرایندها و پروسه هایی هست که باید برای تحلیل رخدادهای امنیتی طی بشه Technology: شامل ابزارهایی هست که تحلیلگران برای کارهای خود استفاده میکنندThreat Huntingاسپلانک چیه؟اسپلانک یک SIEM (Security information and event management) است که بصورت پلتفرمی قدرتمند بمنظور جمع ­آوری لاگ‌ها، جستجو، مشاهده، آنالیز و تحلیل داده‌ها در سازمانها نصب می­شود و فعالیت می­کند. کشف اطلاعات از طریق پردازش هزاران داده از بررسی لاگ­ها انجام می­شود. به بیانی دیگر Splunk داده‌های خام را جمع ­آوری و فهرست بندی می‌کند و به شما این امکان را می­دهد که بتوانید بر روی تمام داده‌ها عملیات جستجو را انجام دهید و نتایج را به هر صورت قابل دلخواه مشاهده کنید.اسپلانکچطور با اسپلانک شکار تهدیدات(Threat Hunting) کنیم؟مفهوم شکار تهدیدات یا همان Threat Hunting به این فرآیند اشاره دارد که ما به دنبال تهدیدات و کشف تهدیدات متنوع باشیم که اغلب ممکن است در سازمان و شبکه ما وجود نداشته باشند. شکار تهدیدات شامل پروسه های متعددی از جمله بررسی پروسس ها، مموری، سرویس ها، Scheduled taskها و غیره می باشد. برای انجام شکار تهدیدات نیاز است یوزکیس های امنیتی مشخصی داشته باشید. چطور با اسپلانک بهینه کوئری بزنیم؟اگر با اسپلانک کار کرده باشید، قطعا متوجه شده اید که بعضی از کوئری ها در اسپلانک مدت زمان زیادی برای اجرا طول میکشند. بعضا زمانبر شدن آن باعث کلافه شدن تحلیلگران میشه. در این بخش میخوایم چند نکته رو ذکر کنیم که باعث میشه کوئری های شما سریعتر و حرفه ای تر اجرا شوند. حرفه ای کوئری بزنید..زبان کوئری در اسپلانک SPL می­باشد. کوئری دارای دو بخش است: 1- فیلتر 2- پردازشبرای مثال در کوئری زیر خط اول فیلتر و خط دوم پردازش می­باشد. به صورت کلی تمامی موارد قبل از "|" (Pipeline) فیلتر و بعد از آن پردازش قرار دارد.index=windows source=&quotXmlWinEventLog:Security&quot sourcetype=XmlWinEventLog | head 1? محدود نمودن زمانبرای مشاهده Eventها در زمان محدود، پیشنهاد می­شود زمان کوئری متناسب با Event محدود گردد. برای مثال در صورتیکه Event روز گذشته در ساعت 17 مد نظر باشد، بهتر است زمان در این بازه محدود شود و از فیلترهای زمانی 24 ساعت گذشته استفاده نگردد.در Splunk برای محدود نمودن زمان از دو طریق می­توان اقدام نمود: 1- استفاده از Time Picker در این بخش می­توان به روش­های مختلف محدوده زمانی را اعمال نمود.2- استفاده از Time Modifierبا استفاده از earliest, latest می­توان محدوده زمانی را تغییر داد. برای مثال جهت مشاهده Eventهای روز گذشته می­توان فیلترهای زیر را اعمال نمود:earliest=-1d latest=now()? مشخص کردن index, source, sourcetypeتمامی کوئری­ها باید این سه مقدار را داشته باشند. برای مثال در صورت مشاهده لاگ­های 4624 بهتر است از کوئری زیر استفاده شود.کوئری صحیح:index=windows source=&quotXmlWinEventLog:Security&quot sourcetype=XmlWinEventLog EventCode=4624کوئری غلط:index=windows EventCode=4624? استفاده از TERMدر صورتیکه یک IP، کلمه یا موردی جستجو شود که هیچ اطلاعاتی در مورد آن نباشد، استفاده می­شود.کوئری صحیح:TERM (“1.1.1.1”) TERM (“My Word”)کوئری غلط:index=* 1.1.1.1 index=* “My Word”? عدم استفاده از * تا حد ممکنتا حد امکان سعی شود کوئری مشخص باشد. همچنین باید سعی شود تا حد امکان از * در کوئری خودداری شود. برای مثال درصورتیکه کد وضعیت­های 404 HTTP مدنظر باشد، بهتر است این مقدار ذکر گردد.کوئری صحیح:status=404کوئری غلط:status=4**? عدم استفاده ازNOT تا حد ممکنبرای درک بهتر این موضوع کوئری­های زیر بررسی می­شود.کوئری صحیح:src!=x.x.x.xدر این کوئری، تمامی آدرس­های مبدا که مخالف x.x.x.x باشند، برگردانده می­شود.کوئری غلط:NOT src=x.x.x.xدر این کوئری برای Splunk اهمیت ندارد که لاگ­ها فیلد src را دارند یا خیر و در تمامی لاگ­ها بدنبال آدرس­هایی میگردد که مخالف x.x.x.x باشند. در نتیجه این کوئری سربار پردازشی بیشتری برروی سرور دارد.? استفاده از fieldsبا استفاده از آن، کوئری تنها برروی فیلدهای ذکر شده انجام می­گردد. برای مثال در کوئری زیر تنها باید مقادیر فیلد EventCode جستجو شود.کوئری صحیح:index=windows source=&quotXmlWinEventLog:Security&quot sourcetype=XmlWinEventLog | fields EventCode | stats count by EventCodeکوئری غلط:index=windows source=&quotXmlWinEventLog:Security&quot sourcetype=XmlWinEventLog | stats count by EventCode? مشخص بودن کوئرییکی از مواردی که به افزایش سرعت جستجو کمک می­کند، مشخص نمودن فیلد مورد نظر در بخش فیلتر است. درصورتیکه که این مقدار مشخص نشود، Splunk در تمامی لاگ­ها بدنبال آن می­گردد که ممکن است تمامی لاگ­ها این فیلد را نداشته باشند. برای مثال در کوئری زیر اگر فیلد EventCode مشخص نشود، تمامی لاگ­ها بررسی میشوند که سبب کاهش سرعت انجام کوئری می­شود.کوئری صحیح:index=windows source=&quotXmlWinEventLog:Security&quot sourcetype=XmlWinEventLog EventCode=* | stats count by EventCodeکوئری غلط:index=windows source=&quotXmlWinEventLog:Security&quot sourcetype=XmlWinEventLog | stats count by EventCode? استفاده از tstatsاز دستور tstats جهت افزایش سرعت کوئری­ها استفاده می­شود. این دستور فایل­های tsidx را بررسی کرده که سبب افزایش سرعت کوئری می­شود. در مثال زیر، نمونه ساده­ای از این کوئری مشاهده می­شود. همانطور که مشاهده می­شود دستور tstats کوئری را در 1 ثانیه و stats آن را در 456 ثانیه اجرا کرده که هنوز تمام نشده است.کوئری صحیح:| tstats count where index=windows by hostسرعت اجرای کوئری با استفاده از دستور tstatsکوئری غلط:index=windows | stats count by hostسرعت کوئری با شیوه های رایج? استفاده از دستور metadataداده­ها در Splunk در Bucketهای مختلف ذخیره می­شوند. در فایل tsidx اطلاعاتی شاملhost, source, sourcetype و... ذخیره می­شود. برای استفاده از دستور metadata باید بخش­های type آن را مشخص نمود.| metadata type=hosts index=*در بخش type می­توان host, source, sourcetype را وارد کرد. نکته مهم این است که در بخش type باید حرف s را به host, source, sourcetype اضافه کرد. برای مثال hosts, sources, sourcetypesکوئری صحیح:| metadata type=sources index=*کوئری غلط:index=* | stats count by sourceنتیجه گیریدر این بخش با روش هایی که حرفه ای ها کوئری میزنند آشنا شدیم. امیدوارم این بخش مورد استفاده و توجه شما قرار بگیره. علیرضا تقی خانی علیرضا تقی خانی Fri, 03 Sep 2021 20:56:02 +0430 https://virgool.io/@alireza-taghikhani/%D8%B1%D8%A7%D9%87%D8%A8%D8%B1-%D8%AA%DB%8C%D9%85-%D8%AE%D9%88%D8%AF-%D8%A8%D8%A7%D8%B4%DB%8C%D8%AF-liupr8heubku در این بخش قراره راجع به موضوعات مختلفی که شما به عنوان مدیر با اعضای تیم تون مواجه میشید، صحبت کنیم. این نکته مهم رو در نظر بگیرید که شما با کار تیمی میتونید به اهداف تعیین شده کاری تون دست پیدا کنید و این رابطه مستقیمی با تیم تون داره. در نتیجه اگر بدنبال کارآیی و بازدهی هستید، تیم خودتون رو باید خوب انتخاب کنید.راهبر تیم خودتون باشید!!ابتدا مواردی که قراره راجع بهش صحبت بشه رو تیتروار میگم تا ذهن شما همراه من تا انتها جلو بیاد:رهبر تیم خود باشید!مدیریت شیفتمدیریت سطوح کارشناسان SOCمدیریت تسک ها و وظایفمدیریت آموزشهدفمند حرکت کنید!این نکته رو باید بگم که این مطلب ممکنه طولانی باشه اما کاربردی بودن اون باعث میشه شما بتونید استفاده های لازم از اون رو ببرید.رهبر تیم خود باشید!رهبری تفاوت زیادی با مدیریت داره. بنظر من مدیریت بیشتر بدرد سازمان های دولتی و جاهایی که ارباب رئیس بودن شاخصه اصلی اونه، میخوره. اما اگه بدنبال بازدهی و رشد تیم هستید، بدون شک باید رهبر باشید..!شاید بهتره یکم راجع به تفاوت های مدیریت و رهبری صحبت کنیم و بخشی از سایت ایران تلنت در مورد تفاوت رهبری و مدیریت میتونه مفید باشه.“مدیران ضوابط و رویه‌ها را دوست دارند، به دنبال ثبات و کنترل شرایط هستند و سعی دارند مشکلات را خیلی سریع حل کنند (حتی گاهی اوقات بدون اینکه جزئیات مشکل را بدانند). رهبران برخلاف مدیران، بحران و نبود ساختار را تحمل می‌کنند، صبور هستند و در تصمیم‌گیری هیچ عجله‌ای ندارند، چون دوست دارند تمام جوانب مشکل را در نظر داشته باشند و پس از آن تصمیم بگیرند.”تفاوت رهبر و مدیرالان که تا حدی تفاوت مدیریت و رهبری رو شناختیم، باید ببینیم در تیم SOC رهبری چه مزایایی میتونه داشته باشه. تیم های SOC وابسته به پروژه و SLA آن، شامل افراد مختلفی بوده که هرچه تعداد افراد تیم شما بیشتر باشه، رهبری شخصیت های مختلف سخت تر و سخت تر میشه چون شما باید با افرادی که دارای شخصیت، اعتقاد، نظر و اخلاق متفاوت هستند کار کنید و آنها رو به سمت و سوی درست هدایت کنید.برای رهبری تیم چند نکته مهم قابل ذکر هست:1- با شخصیت های متفاوت، متفاوت رفتار کنید. یکسان رفتار کردن با همه افراد تیم تون مصداق ضرب المثل “تر و خشک باهم میسوزند” هستش. اگر میخواید کنترل تیم تون رو داشته باشید، با همه یکسان رفتار نکنید.2- یکی از مشکلات احتمالی شما، مدیریت تعارض بین افراد تیم تون هست. یه راهکاری که من انجام دادم و نتیجه خوبی داشته اینه که دوستی و رفاقت رو بین تیم تون جا بندازید. اجازه بدید افراد تیم تون با هم دوست باشند، دوستی باعث میشه افراد به رشد همدیگه کمک کنند، انتقاد پذیرتر بشوند و از کارشون لذت ببرند. دوستی درکنار مزایای خیلی زیادی که داره، باید توجه داشته باشید که مرز بین دوستی و کار رو حفظ کنید. احترام به حد و مرزها در کنار دوستی بین افراد، کلید موفقیت شما در مدیریت تعارض هست.مدیریت تعارض 3- راهی برای دوستی تیم با خودتون رو باز بگذارید. بگذارید اعضای تیم تون با شما دوست باشند. این دوستی مزایای زیادی داره که قراره بهشون اشاره کنم. وقتی تیم تون با شما دوست هست:ازتون انتقاد میکنه که باعث رشد تون میشه.ناراحتی ها و دغدغه هاشونو راحت بیان میکنن که باعث میشه در درازمدت با حجم انبوهی از مشکلات مواجه نشوید.پیشنهاداتشونو راحت بیان میکنن. به قول استیو جابز “ما افراد رو استخدام میکنیم که اونا بهمون بگن چیکار کنیم”. جا انداختن این فرهنگ باعث رشد تیم تون میشه.اگر خرابکاری کنند، رک بهتون میگن نه اینکه از ترس برخورد بد شما باهاشون، شروع به پنهان کاری کنند. این مورد رو خیلی جدی بگیرید!! بارها اتفاقات وحشتناکی در پروژه ما افتاده بود که اگر دلیل اصلی رو نمیدونستیم، به این راحتی ها ریشه مشکل پیدا نمیشد.دوستی و صمیمیت در تیم4- اگر افراد تیم تون، کارهاشونو سر موقع تموم نمیکنن و تحویل نمیدهند، ابتدا ریشه مشکل رو پیدا کنید. با اونها صحبت کنید و علت نرسیدن تسک ها و کارهاشونو جویا بشوید. در نهایت راه حلی براشون ارائه بدید.5- تیم به استراحت و تشویق نیاز داره! اگر در پروژه شما کارهای زیادی وجود داره و تیم تون فشار روحی و روانی زیادی رو تحمل میکنه، قطعا مکانیزمی باید برای تشویق و استراحت اونها در نظر بگیرید. استراحت باعث میشه تجدید قوا کنند و انرژی لازم برای انجام کار رو داشته باشند و تشویق باعث میشه انگیزه ادامه مسیر رو حفظ کنند. البته در مواقع نیاز، باید گوشه چشمی نشون بدید و جریمه هایی هم در نظر بگیرید.مدیریت شیفتتیم های SOC میتونن به صورت عادی یا شیفت های شبانه روزی کار کنند. اگر تیم شما شبانه روزی کار میکنه حتما نیاز به مدیریت ساختار شیفت دارید. شیفت های شبانه روزی و مدیریت آنها نسبت به SOC که صورت عادی کار میکنه، سختتر و دشوارتر هست. شما در ابتدا نیاز دارید که شیفت های ماهانه خود رو بچینید. طراحی شیفت با تعداد نیروهایی که دارید رابطه مستقیمی داره. هرچه تعداد نیروهای شما بیشتر باشه، شیفت های سبک تر و راحت تری رو خواهید داشت.شیفتحداقل تعداد نیروهای شیفت میتونه 4 نفر باشه. یکی از بهترین شیفت ها، شیفت های 12 ساعته برای افراد هست. این چهار نفر میتونن دو روز شیفت صبح، دو روز شیفت شب(پشت سر هم) و در نهایت 4 روز استراحت داشته باشند. با این چینش شیفت، افراد در ماه حداقل 180 ساعت کار میکنن که از نظر قانون کار با مشکلی مواجه نخواهند شد.یکی از چالش های مهم شیفت، دو نفره بودن اونها در شب هست. راه های متفاوتی وجود داره، راه پر هزینه آن، افزایش نیروها به 8 عدد هست که هم در شیفت صبح و هم در شیفت شب، دو نفر حضور خواهند داشت. راه کم هزینه تر آن، چینش شیفت های 24-48 هست. یعنی افراد 24 ساعت(2 نفر باهم) در شیفت و 48 ساعت استراحت داشته باشند. در این حالت شما حداقل به 7 نیرو نیاز دارید. درنهایت، راه کم هزینه تر آن که با 6 نفر شیفت های شب رو میتونید دو نفره کنید اینه که دو نفر(بجز 4 نفر شیفت)، به صورت سه شب، سه روز استراحت کار کنند. در این روش دو نفر فقط شیفت های شب رو دارند که میتونید به صورت ماهانه و گردشی بین افراد تقسیم کنید که فشار به افراد وارد نشه.شیفت شبچند نکته مهم راجع به شیفت وجود داره:شیفت های 8 ساعته استهلاک زیادی برای نیروها داره و بهتره خودداری بشه.شیفت های شب رو حتما دو نفره بچینید تا افراد فشار زیادی رو تحمل نکنند.شیفت ها رو جذاب کنید!! طوری برای نیروها برنامه ریزی کنید که از حضور در شیفت لذت ببرند و شیفت برای آنها خسته کننده نباشه.افراد تیم تون رو درک کنید. بدلیل کار شیفتی اونها، خواب و زندگی روزانه شون دچار مشکلاتی میشه که اگر درک نشوند، به مرور زمان از کار دلزده میشوند.هرکاری انجام بدید تا افراد در شیفت احساس راحتی کنند. پوشیدن لباس راحتی، دمپایی، قهوه، اتاق استراحت، آشپزخانه، موسیقی و .. باعث میشه افراد از شیفت لذت برده و عملکرد آنها کاهش پیدا نکنه.در شیفت های شب، کارهای سخت و فکری رو به افرادتون واگذار نکنید. باور کنید شیفت شب سختی های خودشو داره و شما نباید فشار زیادی به نیروهاتون وارد کنید.نیرو رزرو داشته باشید. ممکنه برای افرادتون مشکلی پیش بیاد و شما فردی رو جایگزین اون کنید.شیفت های ماهانه رو قبل از شروع ماه جدید به افراد اطلاع دهید.اگر برای شما امکان پذیر است، شیفت های افراد رو تا آخر سال مشخص کنید تا افراد بتونن برنامه ریزی دقیقی روی کارهاشون داشته باشند.نکته آخر اینکه هوای بچه های شیفت رو داشته باشید.مدیریت سطوح کارشناسان SOCدر SOC افراد در لایه های مختلف کار میکنند. این لایه ها وابسته به دانش و سابقه افراد تعیین میشه.لایه های مختلف کارشناسی در SOC لایه اول، کارشناسان سطح یک هستند. وظیفه اونها مانیتورینگ سامانه های SIEM، هشدارهای تولید شده و ارسال گزارش از اونها به کارشناس سطح دو هست.کارشناس سطح 2، نیازمند دانش های تخصصی امنیت در زمینه دفاع سایبری هست. این افراد باید بتونن گزارشات تحلیلی از رخدادهای امنیتی بنویسند، هانتینگ(شکار تهدیدات) انجام بدهند و در نهایت با کارشناس سطح یک در ارتباط باشند و رخدادهای شناسایی شده رو تحلیل کنند. همچنین اونها گزارشات کارشناس سطح یک رو بررسی کرده و فیدبک های لازم رو میدهند.کارشناسان سطح 3، افراد خیلی متخصص در زمینه های فارنزیک و هانتینگ پیشرفته هستند. در حال حاضر تعداد بسیار کمی از افراد وجود دارند که به این سطح رسیده باشند، چون فارنزیک و هانتینگ نیازمند اطلاعات گسترده و جزئی بسیار زیادی هست که باید در طول سالیان سال و وابسته به پروژه های مختلف بدست بیاد.الان که سه لایه رو تیم خود تون دارید. باید فرآیندی بچینید که کارشناسان این سه سطح به نحوی باهم ارتباط داشته باشند. دوتا از فرآیندهای مهم، تیکتینگ و مدیریت رخدادهای امنیتی(Incident Handling) هست. فرآیند مدیریت رخداد امنیتی مشخص میکنه در زمان وقوع رخداد امنیتی چه افرادی مسئول بوده و چه کارهایی برای انجام و پاسخ به رخداد امنیتی باید انجام بشه. تیکتینگ کمک میکنه کارشناسان لایه های پایین تر،رخدادهای شناسایی شده رو در جهت تحلیل بیشتر به کارشناس سطح بالاتر خود انتقال داده تا بررسی های بیشتری برروی آن صورت بگیرد.مدیریت تسک ها و وظایفهر تیمی باید مجموعه ای از تسک ها و کارها رو انجام بده. معمولا شلوغی و آشفتگی های زیادی در تسک ها و کارها در تیم های گوناگون دیده میشه. یکی از بهترین کارهای ممکن، استفاده از ساختار اسپرینت در اسکرام مستر است. اگر بخواید راجع به اسپرینت بیشتر بدونید، میتونید از این سایت کمک بگیرید.ساختار اسپرینت در اسکرام مستربه صورت کلی در اسپرینت ابتدا باید تسک های تیم رو مشخص کنید. اولویت بندی کنید و در نهایت تسک ها رو بین افراد مختلف براساس توانایی های اونها تقسیم کنید. برای اسپرینت میتونید بازه زمانی مختلفی در نظر بگیرید. من برای تیمم بازه های زمانی دو هفته(هر ماه دو اسپرینت) در نظر گرفتم. بازه زمانی بشدت تاثیر گذار است. اگر بازه زمانی کوتاه باشه، باعث میشه زمان زیادی جهت اسپرینت از مدیر گرفته بشه و اگر بازه زمانی زیاد باشه، باعث میشه افراد کارها رو تا لحظه آخر عقب بندازند.هر اسپرینت دارای دو جلسه هست. جلسه Plan که کارها برای افراد مشخص میشه و جلسه Review که کارها از افراد تحویل گرفته میشه.خیلی خیلیی به این نکته توجه کنید، در طول اسپرینت پیگیری کارها رو از افراد انجام بدید. به وفور مشاهده کردم که افراد در طول اسپرینت به مشکلی برمیخورند که تا انتهای اسپرینت شما رو برای حل مشکل در جریان نمیگذارند. این باعث میشه اسپرینت شون رو کامل انجام ندهند. برای همین در طول مدت اسپرینت، جویای مشکلات و دغدغه های نیروهاتون باشید.مدیریت آموزشآب راکدی رو در نظر بگیرید که لجن ها و سبزه ها روی آب قرار گرفتند. در کنارش رود خروشانی رو تصور کنید که زلالی و شفافیت آب باعث جلای روح و ذهنتون میشه. افراد با دانش های مختلف وارد تیم شما میشوند، اگر دانش آنها رشد نکنه و افزایش نداشته باشه، نتیجه ای جز راکد شدن دانششون نداره. اما اگر افراد مدام در حال آموزش و بررسی Trendهای روز دنیا باشند، زلالی و خروشان بودنشون کمک میکنه تا تیم شما همیشه در حال رشد و پیشرفت باشه.دانش مهم است!این نکته رو فراموش نکنید، عدم آموزش ضررهای جبران ناپذیری به تیم تون وارد میکنه. اگر تیم پر جنب و جوش و موفقی میخواید، آموزش نیروهاتونو جدی بگیرید.آموزش ممکنه ترس هایی رو ایجاد کنه. مثلا اینکه اگر آموزش بدیم ممکنه نیروهای ما از ما جدا بشوند. در پاسخ باید بگم به این فکر کنید که اگر آموزش ندید چه اتفاقی برای تیم تون میفته!. محیط کار اگر باعث رشد افراد نشه، قطعا اونها محیط رو ترک میکنند.افراد ممکنه باتوجه مشغولیت های روزانه و زندگی شون، زمان کافی برای مطالعه نداشته باشند. من برای تیمم یک ساعت زمان مطالعه روزانه در طول کار خودشون در نظر گرفتم. این یک ساعت باعث میشه افراد آزادانه مطالعه شونو انجام بدهند و البته من زمان مشخصی براشون تعیین نمیکنم. چون افراد قلق آموزش خودشون رو بهتر میدونن و باید اجازه بدیم آزادانه تصمیم گیری کنند.اگر خروجی عملکرد تیم برای شما مهم است، آموزش رو جدی بگیرید.هدفمند حرکت کنید!حال که در مورد بخش های مختلف صحبت شد. به عنوان مدیر باید دورنمای آینده تیم تون رو بدونید. باید بدونید که کجا هستید، کجا می روید و به کجا میخواید برسید. هدف سالیانه تیم تون رو مشخص کنید، مشخص کنید در هر ماه باید به کدام از هدف هاتون برسید و در نهایت در اسپرینت ها این موارد رو قرار بدید تا با کمک تیم تون، بهشون برسید.هدف مند حرکت کنید!صحبت پایانی..به عنوان نکته آخر، مدیریت منابع انسانی تیم در وهله اول برعهده مدیر تیم هست. باید افرادتون رو مدیریت کنید، برای اونها هدف گذاری کنید، زمان هایی رو برای جلسات فردی در نظر بگیرید، دغدغه هاشونو شناسایی کنید و در جهت رفع مشکلات اونها اقدام کنید. علیرضا تقی خانی علیرضا تقی خانی Thu, 12 Aug 2021 22:55:08 +0430 https://virgool.io/@alireza-taghikhani/%D8%A8-%D8%A8%D8%B3%D9%85-%D8%A7%D9%84%D9%84%D9%87-%D8%AF%D8%A7%D8%B3%D8%AA%D8%A7%D9%86-%DA%86%DB%8C%D9%87-%D8%A7%D8%B5%D9%84%D8%A7-g66vlalf3cyb یکم از دلیل نوشتنم بگم براتون…تصمیم گیری برای نوشتن زمانی به سرم زد که کلی حرف و تجربه بدست آورده بودم اما نمیتونستم اینها رو منتقل کنم. تجربیاتی که ممکن بود برای دیگران هم بکار بیاد و ارزشمند باشه. سایت های متفاوتی رو بررسی کردم، ایده های زیادی به سرم زد، سایت های خارجی مثل Medium رو هم بررسی کردم و در نهایت تصمیم گرفتم ویرگول رو انتخاب کنم. من قراره راجع به چی حرف بزنم؟!اینجا قراره کلا بحث های فنی در موضوعات امنیت سایبری، دفاع، حمله صحبت بشه. پلن ابتدایی من اینه که در مورد تجربیاتم در SOC (Security Operation Center) در طول مدیریتم صحبت هایی داشته باشم. اینکه چجوری راه اندازی کنیم، چجوری رشدش بدیم، چجوری بلوغ برسونیم و در نهایت چجوری جهانی فکر کنیم..!! اره درست شنیدید، چجوری جهانی فکر و عمل کنیم..من کیم اصلا؟!من علیرضا تقی خانی هستم. سن و سال که ممکنه اهمیت زیادی نداشته باشه اما با احتساب امروز، بیش از 3 سال هست که در حوزه امنیت سایبری کار میکنم. ابتدای کارم رو با تست نفوذ وب شروع کردم و بعدش به صورت تخصصی روی مبحث SOC مشغول به فعالیت بودم. در حال حاضر مدیر SOC یک مجموعه دوست داشتنی از متخصصین امنیت سایبری هستم. اگر اطلاعات بیشتری از من بخواید داشته باشید میتونید به لینکدینم مراجعه کنید. علیرضا تقی خانی علیرضا تقی خانی Tue, 10 Aug 2021 22:04:13 +0430