CISO as a Service

🛡️ Attention CISOs: Colonial pipeline and SolarWinds attacks highlighted cloud security challenges in DevOps. Learn to maintain cloud security in #DevOps. Ensure innovation without compromising security. More insights: https://thehackernews.com/2024/05/devops-dilemma-how-can-cisos-regain.html بگذريم، طي اين هفته دو سازمان و موسسه مالي بانكي توسط مهاجمين تهديد به نشت اطلاعات شدند. يك بانك هم طي بررسي هاي تيم امنيت بانك ممكن است نشت اطلاعاتي براشون متاسفانه صورت گرفته باشد كه جزييات و اسم و … قطعا محرمانه است. اميدوارم تيم هاي فناوري و امنيت هر سازماني نسبت به منابع و اهميتي كه ذينفعان به نيروي انساني و مولفه امنيت دارند، حداكثر اقدامات لازم چه پيشگيرانه چه تدافعي رو انجام بدهند و صرفا به شركت هاي بزرگ رتبه دار امنیت محور اكتفا نكنيم، تعريف پروژه، احراز توانمندي تيم فني، KPIو نظارت شفاف و صريح GRC رو جدي تر در نظر بگيريم. مانند پرنده باش، که روی شاخه سست و ضعیف لحظه‌ ای می‌نشیند و آواز می‌خواند و احساس میکند که شاخه می‌لرزد ولی به آواز خواندن خود ادامه می‌دهد، زیرا مطمئن است که بال و پر دارد... پ ن: موسيقي كه در حين رفتن به جلسات اين روزها😊پلي وي شود. https://youtu.be/bavKQ_1AzbM?si=yePp-cnsoLMXtQ0x + از هم تيمي هاي فني، سيستمي، كنترل پروژه، مديريت ارتباط با مشتري و مالي ( ثابت و غير ثابت) در شركت كمان امن دياكو، بواسطه سختگيري ها و شايد جدي بودن در فعاليت ها با نگاه ارمانگرايانه😅طلب حلاليت و بسيار سپاس و ممنون ام از تلاش و همت با تشديد سخت كوشي🙏❤️✌️ Diyako Secure Bow -Cyber Security awareness- Up2date 4 Defence Today, Secure Tomorrow @CisoasaService 2024.06.10

What is Red Teaming? Red teaming is a strategic approach used by organizations to test the effectiveness of their security measures and protocols. Unlike traditional penetration testing, which focuses on finding vulnerabilities within a system, red teaming takes a holistic approach by simulating real-world cyberattacks. mastering the art of red teaming requires a combination of technical expertise, strategic thinking, and creativity. Tactical Techniques: Dive deep into the tactical aspects of red teaming with our comprehensive guides on reconnaissance, exploitation, and post-exploitation techniques. From leveraging social engineering tactics to exploiting zero-day vulnerabilities. Strategic Insights: Red teaming isn't just about executing individual attacks—it's about understanding the bigger picture and identifying systemic weaknesses within an organization's defenses. strategic insights provide you with the knowledge and tools to develop comprehensive red teaming strategies that align with your organization's goals and objectives Third-Party Cyber Attacks: The Threat No One Sees Coming – Here's How to Stop Them https://thehackernews.com/2024/06/third-party-cyber-attacks-threat-no-one.html?m=1 بگذريم، انتخاب در در كشور نه در بالاترين سطح و چه در پايين ترين سطوح، جز ويديو طنز آيا ميتوان برداشت آزاد ديگري داشت! مجدد بگذريم؛ در شطرنج، بهش میگن زوگزوانگ، وقتیه که تنها حرکتی که میتونی انجام بدهي، حرکت نکردنه، اما شما باید حرکت کنید چون نوبت حرکت شماست!☺️ -Cyber Security awareness- Up2date 4 Defence Today, Secure Tomorrow @CisoasaService 2024.06.08

#DiyakoSecureBow ———————————— Malware analysis Nothing but Net: Leveraging macOS's Networking Frameworks to Heuristically Detect Malware 2023. Special Thanks❤️😇👍🏽🙏 RESOURCES: newosxbook.com objective-see.org developer.apple.com -Secure Business Continuity- 2024.06.06 —————————————————— #CyberSecurity #MAC #Malware #SecureBusinessContinuity https://www.linkedin.com/posts/diyako-secure-bow_nothing-but-net-2024-activity-7204536761861971969-1KXo?utm_source=share&utm_medium=member_ios

If a CISO gets into trouble, it’s usually because they were unable to navigate the many nuances of the work, as the dividing line between responsibilities among teams for security is often very blurry. Or they neglect relationships and don’t get the broader support of the internal community often necessary to move initiatives forward. Well, let's share, the lessons of the senior director of cyber security as art of خوب برويم به اشتراك بگذاريم، لسن لرن هاي مدير ارشد امنيت سايبري ‎به عنوان art of 😅: —————————————————— ‎1.I don’t recommend you let the infrastruc- ture team perform the log analysis for conflict-of-interest reason ‎بهتر است در حملات سايبري با رويكرد جرميابي سايبري در نقش As Incident Respond commander ‎اجازه تحليل و بررسي به تيم هاي شبكه، زيرساخت، سرويس، ديتاسنتر و ساير تيم هاي مشابه داده نشود، چرا؟؟ for conflict-of-interest reasons.😊 —————————————————— 2. If your goal is to col- lect telemetry from all systems to support monitoring, you’ll need all the system owners and developers to send logs to a central logging service. Good luck with this. This can take several years to fully achieve🤓 unless the leader or CEO or chief information offi- cer (CIO) is a supporter of security and directs teams to make it a priority. I’ve found that this is a slow road, and to maintain good working relationships, your monitoring program often functions far from its ideal state for several years. ‎مثلا براي يك شركت در حوزه نفت ، گاز، پتروشيمي😅آن هم با كلي حمايت از سمت مديريت عامل، حراست، و … و بودن كار تيمي حدودا ٢ سال طول كشيد كه بتوان از سيستم هاي با ارزش سازمان لاگ اوليه دريافت شود و اين يك فاجعه بود🥸🤯بايد مديران شبكه، زيرساخت و ساير تيم هاي مشابه دانش مديريت ريسك، كنترل هاي امنيتي را در سطح مناسبي ياد بگيرند ويكسري موارد كه تداخلي با تيم هاي امنيت نداشته باشد جهت تسهيل همكاري هاي جز وظايف آن تيم ها قرار گيرد —————————————————— ‎3. most of our companies are developing software for mobile apps, cloud services, and websites. Depending on the type of business your company is in, you may develop mobile applications, ecommerce websites, cloud services, APIs, desktop software, and IoT/firmware, and you may use open source software and scripting languages to integrate systems. You will want to spend a lot of time on this topic, and have dedicated software security engineers partnered with and integrated into the development processes. Unless the leader of the software teams is a security-minded individual, this area takes much patience and many laps around the track to secure. ‎اهميت كنترل چرخه كد نويسي امن با ‎-مميزي فني و سيستمي سيستم ‎-ارزيابي امنيتي سامانه VA,PT ‎-تحليل شكاف آن همراه با RCA ‎-نقشه راه آموزشي كد نويسي امن منطبق با راهنما ها و استاندارد هاي مطرح Security SDLC,(Its Agile😊) ‎-سياست گذاري بر خط as GRC ‎-طراحي در معماري و پياده سازي كنترل هاي امنيت محور در چرخه توليد و توسعه نرم افزار ‎-فرهنگ سازي مستمر -certified by the CyberSecurity,GRC department prior to being placed into production👍🏽(Maybe Its Not Agile🙃) ‎-مميزي و ارزيابي صريح و شفاف سوم شخص🤓 ‎- اگر عدم انطباق و آسيب پذيري كشف نشد بريم باگ بانتي سوراخ هاي سيستمي🥸😁🤣😂را كشف كنيم ‎-مدل بلوغ As PDCA پ ن: شروع سرويس CISO as a Service در زون منطقه ويژه عسلويه🥹 -Cyber Security awareness- Up2date 4 Defence Today, Secure Tomorrow @CisoasaService 2024.06.05