#آگهی_شغلی #استخدام

ما به دنبال فردی هوشمند، سیستماتیک و دقیق هستیم که در کنار پشتکار و تلاش مستمر، توانایی خلق راهکارهای نوآورانه را داشته باشد. فردی که دارای روحیه برنامه‌ریزی، پایبندی به وظایف و مسئولیت‌پذیری بالا باشد. برای ما اخلاق حرفه‌ای در کنار مهارت‌های نرم و ارتباطی مناسب مهم‌ترین اولویت است

فرصت شغلی: کارشناس ارتباط با مشتری (با امکان ورود به حوزه امنیت سایبری)

📍 محل کار: تهران، باغ صبا – سهروردی
🕒 روز و ساعت کاری: شنبه تا چهارشنبه (۰۷:۰۰ الی ۱۶:۰۰) + ۳۰ دقیقه شناوری | پنجشنبه‌ها تعطیل
💼 نوع همکاری: تمام‌وقت
📅 مدت دوره کارآموزی: ۱ تا ۲ ماه (با امکان عقد قرارداد پس از ارزیابی موفق)
👥 بازه سنی: ۲۲ تا ۲۷ سال
🎓 تحصیلات: حداقل کارشناسی در رشته‌های نرم‌افزار، سخت‌افزار، شبکه، مخابرات، هوش مصنوعی، فناوری اطلاعات، امنیت و رشته‌های مرتبط

شرح شغل و وظایف
ارتباط با مشتریان:
• مدیریت و حفظ ارتباط مؤثر با مشتریان کلیدی
• دریافت نیازها، پیگیری درخواست‌ها و انتقال به تیم‌های داخلی
• ارائه گزارش وضعیت پروژه‌ها و پاسخگویی به پرسش‌های مشتریان
• همکاری با تیم فروش و پروژه برای افزایش رضایت مشتریان
• شناسایی فرصت‌های جدید همکاری با مشتریان

کنترل پروژه‌ها:
• کنترل پروژه‌های مهندسی فروش، آموزش، خدمات و سرویس‌های امنیت سایبری
• برنامه‌ریزی، تعریف پروژه‌ها، تخصیص منابع (زمان، هزینه، منابع انسانی) و تفکیک فعالیت‌ها
• پایش و به‌روزرسانی وظایف تیم‌ها بر اساس زمان‌بندی پروژه‌ها
• تهیه گزارش‌های مدیریتی و مستندسازی
• شناسایی چالش‌ها، ارائه راهکار و مدیریت ریسک‌ها
• هماهنگی جلسات، صورتجلسه‌نویسی و پیگیری مصوبات
• همکاری با تیم‌های فنی و عملیاتی برای اجرای صحیح پروژه‌ها
• بهبود مستمر فرآیندهای مدیریت پروژه

تحقیق و توسعه (R&D):
• انجام پژوهش و ارائه راهکارهای خلاقانه و کاربردی
• مطالعه منابع تخصصی و توسعه دانش سازمانی

بازاریابی و آموزش:
• برنامه‌ریزی و اجرای دوره‌های آموزشی سازمانی و آزاد
• طراحی محتوای آموزشی و خلاقانه برای وب‌سایت و شبکه‌های اجتماعی
• مدیریت شبکه‌های اجتماعی و وب‌سایت شرکت
• طراحی و اجرای کمپین‌ها، وبینارها، سمینارها و نمایشگاه‌های داخلی و بین‌المللی

شایستگی‌ها و مهارت‌ها
• تعهد، مسئولیت‌پذیری و دقت بالا
• توانایی تحلیل، حل مسئله و عارضه‌یابی
• مهارت در مستندسازی و گزارش‌نویسی
• روابط عمومی قوی و علاقه‌مندی به کار تیمی
• آشنایی با تحلیل‌های مالی و هزینه‌ای
• تسلط بر MS Project و نرم‌افزارهای Office
• آشنایی با دیجیتال مارکتینگ و علاقه‌مند به توسعه فردی
• مزیت ویژه: در صورت علاقه‌مندی و دارا بودن پیش‌نیازها، امکان تغییر مسیر شغلی به حوزه تخصصی امنیت سایبری (امنیت اطلاعات، شبکه، نفوذ و دفاع سایبری)

مزایا و تسهیلات
• حقوق منظم و به‌موقع
• بیمه از روز اول کاری پس از تایید موفقیت در دوره کارآموزی
• وام، پاداش، ساعت کاری منعطف، بسته‌ها و هدایای مناسبتی
• محیط کاری سالم، حرفه‌ای و آکادمیک
• امنیت شغلی و بستر رشد فردی
• آموزش‌های حین کار + امکان شرکت در دوره‌های تخصصی (امنیت، فناوری، مدیریت پروژه و …)
• پرداخت‌های مبتنی بر عملکرد فصلی
• امکان کار به‌صورت هیبرید (حضوری + آنلاین)
• عدم تبعیض جنسیتی و مذهبی

+ارسال رزومه بروز و مرتبط از طریق لینکدین یا واتس آپ و تلگرام
+98 912 196 4383

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.08.24

With the enhancement of security at the level of information and cyber networks, there will inevitably be friction, challenges, and, overall, a relative reduction in efficiency and convenience for organizational staff. The extent of this impact depends on the type of security profile defined.

با ارتقاء امنیت در سطح امنیت شبکه‌های اطلاعات و سایبری، به‌طور قطع اصطکاک، چالش‌ها و در کل کاهش نسبی کارایی و سهولت انجام وظایف و فعالیت‌های پرسنل سازمان ایجاد می‌شود که این موضوع بسته به نوع پروفایل امنیتی تعیین‌شده شدت و ضعف دارد

هنر مدیریت امنیت در ایجاد تعادل و توازن (Trade-off) است؛ یعنی در عین حفاظت از دارایی‌ها و کاهش ریسک‌ها، بتوان بر پایه مدیریت ریسک و با تکیه بر فرهنگ سازمانی، این فشارها و محدودیت‌ها را مدیریت و کنترل کرد

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.08.26

https://www.linkedin.com/posts/alirezaghahrood_with-the-enhancement-of-security-at-the-level-activity-7366120937873694720-g--l

https://www.linkedin.com/posts/alirezaghahrood_ciso-as-a-service-activity-7366316620052389890-v-nN?

India Cyber Threat Report 2025 – Key Insights

The India Cyber Threat Report 2025, developed by the Data Security Council of India (DSCI) in collaboration with Seqrite (Quick Heal Technologies), provides a comprehensive outlook on the evolving cyber risk landscape.

About DSCI:
As a not-for-profit industry body under NASSCOM, DSCI is dedicated to making cyberspace safe and trusted. It works with government agencies, law enforcement, telecom, BFSI, IT/ITeS sectors, and global think tanks to drive policy, advocacy, and capacity-building in cybersecurity and data protection.

About Seqrite:
Seqrite is a global cybersecurity solutions provider, simplifying enterprise security with AI/ML-powered technologies. Backed by Quick Heal Technologies, Seqrite delivers end-to-end protection for devices, networks, data, and identities. It is also the only Indian enterprise cybersecurity brand listed internationally, serving 30,000+ businesses across 70+ countries.

Together, these initiatives highlight India’s growing role in shaping global cybersecurity resilience—balancing regulation, innovation, and trusted solutions for enterprises worldwide.

#CyberSecurity #India #ThreatReport #DSCI #Seqrite #Resilience

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.08.27

Key Priorities:
Ongoing Patch Management,
Security Hardening,
and Detection of Unauthorized Changes.

Cybersecurity requires a dynamic, knowledge-driven approach. Professionals and organizations must continuously strengthen their expertise through ongoing study, participation in leading industry events, and engagement with up-to-date resources on a daily, weekly, and monthly basis. This includes not only IT and networking, but also a dedicated focus on security itself as the core specialization. Consistent alignment with international standards, modern security frameworks, and global trends ensures preparedness against ever-changing threats. Security is not a fixed destination; it is a living, evolving process sustained only through continuous learning and knowledge exchange.

Here are some of the latest exploits observed in the wild as of August 2025:
1. Citrix NetScaler Vulnerabilities (CVE-2025-7775, CVE-2025-7776, CVE-2025-8424)
  - CVE-2025-7775(CVSS 9.2): A memory overflow vulnerability leading to remote code execution (RCE) or denial-of-service (DoS). Actively exploited in the wild.  
  - CVE-2025-7776(CVSS 8.8): Another memory overflow issue causing unpredictable behavior or DoS.  
  - CVE-2025-8424 (CVSS 8.7): Improper access control in the NetScaler Management Interface.  
  - Affected Products: NetScaler ADC and Gateway.  
  - Patches: Available in versions 14.1-47.48, 13.1-59.22, and others.  
  - [Source](https://lnkd.in/d7p73m2j)

2. Windows Kerberos Zero-Day (CVE-2025-53779)
  - CVSS 7.2: Elevation of privilege vulnerability in Windows Kerberos, allowing attackers to escalate privileges to domain administrator.  
  - Exploitation: Requires pre-existing control of specific dMSA attributes.  
  - Patches: Available for Windows Server 2025.  
  - [Source](https://lnkd.in/dCgTudwu)

3. Windows Graphics Component RCE (CVE-2025-50165) 
  - CVSS 9.8: Pre-authentication RCE via malicious JPEG files.  
  - Exploitation: No user interaction required; can be triggered via Office documents or web services.  
  - Patches: Available for Windows 11 24H2 and Server 2025. 

4. SAP NetWeaver Exploit (CVE-2025-31324 and CVE-2025-42999)
  - CVSS 10.0: Chained vulnerabilities allowing unauthenticated RCE in SAP NetWeaver Visual Composer.  
  - Exploitation: Public exploit released, enabling attackers to execute arbitrary commands.  
  - Patches: Available via SAP Security Notes 3594142 and 3604119.  
  - [Source](https://lnkd.in/dDV8JzTh)

5. Apple Zero-Day (CVE-2025-43300) 
  - CVSS Unspecified: Out-of-bounds write vulnerability in the Image I/O framework affecting iOS, iPadOS, and macOS.  
  - Exploitation: Evidence of targeted attacks.  
  - Patches: Available in Apple's latest updates. 

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.08.27

https://www.linkedin.com/posts/alirezaghahrood_cpe-isaca-2024-2025-activity-7366438022139064320-6WYR

The “Stargate UAE” project in Abu Dhabi is set to become one of the world’s largest AI data center complexes outside the US. Spanning 10 square miles with a future 5 GW power capacity, its first phase delivers 1 GW (200 MW by 2026). Led by G42 with OpenAI, NVIDIA, Oracle, Cisco, and SoftBank, the project was unveiled during a US presidential visit and reflects deep US–UAE tech cooperation. It positions the UAE as a global AI hub under its 2017 national AI strategy while raising geopolitical debates, especially around balancing US influence and China’s growing presence in the region.

این تصویر مربوط به پروژه فوق‌العاده‌ای در حال اجراست که به‌عنوان یکی از بزرگ‌ترین مجتمع‌های دیتاسنتر هوش مصنوعی در خارج از خاکِ ایالات متحده شناخته می‌شود، پروژه‌ای که در ابوظبی، امارات در دست ساخت است.

حقایق کلیدی درباره پروژه “Stargate UAE”
1. توان مصرفی عظیم
این کمپ چند دیتاسنتر در مساحتی به وسعت ۱۰ مایل مربع (حدود ۲۶ کیلومتر مربع) قرار دارد و قرار است در نهایت تا ۵ گیگاوات ظرفیت برق داشته باشد—معادل چند نیروگاه بزرگ!

2. فاز اول به نام “Stargate UAE”
فاز اول با ظرفیت ۱ گیگاوات طراحی شده که از این مقدار، ۲۰۰ مگاوات تا سال ۲۰۲۶ عملیاتی خواهد شد. پروژه توسط شرکت اماراتی G42 در همکاری با غول‌های فناوری آمریکایی (OpenAI، اوراکل، NVIDIA، Cisco و سافت‌بانک) هدایت می‌شود.

3. حمایت‌های دولتی و فنی
این پروژه در جریان بازدید رئیس‌جمهور وقت آمریکا، دونالد ترامپ، رونمایی شد و زمینه‌ساز همکاری گسترده بین آمریکا و امارات در حوزه AI و خدمات ابری شد. از جمله مفاد این همکاری‌ها، تضمین‌هایی برای مدیریت و امنیت فناوری‌های حساس ارائه شده است.

4. هدف‌گذاری بلندپروازانه AI در امارات
امارات در راستای تبدیل شدن به قطب جهانی هوش مصنوعی سرمایه‌گذاری‌های گسترده‌ای انجام داده است. ساخت این دیتاسنتر، بخشی از این استراتژی ملی است که در سال ۲۰۱۷ با عنوان “UAE Strategy for Artificial Intelligence” آغاز شد.

5. فضای رقابتی و محتوایی جهانی
این مرکز نه‌تنها قدرت محاسباتی عظیمی فراهم می‌کند، بلکه نقش کلیدی در توسعه نرم‌افزارهای مبتنی بر AI مثل ChatGPT در سطح ملی و منطقه‌ای دارد. شرکت‌های بزرگی مثل NVIDIA، OpenAI، Oracle، Cisco و SoftBank در کنار G42، نقش کلیدی در آن دارند.

تحلیل اهمیت ژئوپلیتیکی این پروژه در مقابله با نفوذ چین در منطقه (موجب بحث‌های امنیتی شده)

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.08.29

https://www.linkedin.com/posts/alirezaghahrood_the-stargate-uae-project-and-ai-in-abu-activity-7367128444142260224-UAtQ

Exile Without Choice and
A Pillow of Inner Battles!

In the past few years, many professionals in IT and cybersecurity left Iran some by choice, others by force. For me, it was a forced migration, not a choice. Life abroad brings new paths, yet nothing replaces the pain of exile or the value of home. Nights are battles within, and the future feels like an unfinished film

در ۴–۵ سال اخیر، بسیاری از فعالان حوزه IT، تکنولوژی و امنیت سایبری از ایران رفتند؛ بعضی با انتخاب و بعضی، ها غیر انتخاب!. برای من این مهاجرت انتخاب نبود؛ مهاجرتی اجباری بود.

وقتی با دوستان صادق🙂 گفت‌وگو می‌کنم، می‌بینم کیفیت زندگی همه آن‌طور که در ذهن‌ها ترسیم می‌شود بالا نرفته و هیچ‌جا هم دقیقاً مثل ایران نیست. برداشت هرکس از کیفیت زندگی متفاوت است؛ چه در آلمان و‌…، چه کانادا یا استرالیا.

علیرضا توکلی، دوست خوب و صمیمی من، خوشحالم که شرایط خوبی داری و مسیرت همان‌طور که می‌خواهی پیش می‌رود. اما غمی عمیق در دلم هست؛ اینکه چرا در ایران کنار هم نیستیم. واقعیت این است که هیچ چیز جای غربت را پر نمی‌کند. دلم برای ترافیک ۵شنبه اینور صدر به اونور بلوار کاوه، شیرینی های خاص☺️و دورههمی هامون به قول فامیل دور، تنگش نشده ، بلکه پاره شده پاره!
Alireza Tavakoli, CISSP

با اینحال
جمعیت اطراف مرا یار نپندار،
یعقوب غریب است میان پسرانش.
از سفره‌ی ما هر که نمک خورد،
شرف برد؛
اگر دوستی هست،
سلام مرا به او برسانید.

برای من هر شب، وقتی سر بر بالش می‌گذارم، جنگ‌های درونی آغاز می‌شوند. این هم بخشی از زندگی ماست؛ آینده‌ای شبیه فیلمی که اسپویل نشده در فردا طلوع می کند!


به قول صائب بزرگ تبریزی ایرانی:
ما از این هستی ده‌روزه به جان آمده‌ایم،
وای بر خضر که زندانیِ عمر ابد است.


— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.08.30

نظر کارشناسی در پاسخ به پرسش چرا شرکت خصوصی توانمند برای ارائه سرویس‌های امنیتی به غول‌های فناوری ایران وجود ندارد؟

با در نظر گرفتن شرایط فعلی کشور، هرچند موج خروج متخصصان امنیت سایبری در پنج سال اخیر فاجعه‌آمیز بوده، تجربه ۱۸ ساله‌ام، شامل بیش از دو دهه تعامل نزدیک با نهادهای دولتی، حاکمیتی و شرکت‌های بزرگ، نشان می‌دهد ریشه مسئله بسیار فراتر از کمبود تکنولوژی یا نیروی انسانی است.

بزرگ‌ترین چالش‌ها را می‌توان در چند محور خلاصه کرد
1. ضعف شایسته‌سالاری همه گیر:
2. نبود تفکر سیستمی، استراتژیک و کار تیمی در ساختارهای حاکمیتی:
3. عدم درک ارزش واقعی اطلاعات و داده:
4. نظارت‌های غیرسالم و غیرشفاف:
5. کمبود آموزش درست و بستر شایسته‌سالار:
۶.نبود قوانین دقیق:
۷. کمبود متخصص سالم:
۸.تحریم و‌فسا‌د هار!

بخش خصوصی نیز بی‌تقصیر نیست.
چند شرکت امنیتی رتبه‌یک داریم، اما پرسش اینجاست: آیا ظرفیت واقعی برای اجرای پروژه‌های سنگین دارند یا صرفاً به‌خاطر رانت و ارتباطات خاص به این جایگاه رسیده‌اند؟ کافی است سوابق مدیران، روند برنده‌شدن در مناقصات و خروجی واقعی پروژه‌ها بررسی شود؛ بدون تهمت یا افتراء، شفافیت این فرآیند خود گویای درصد بالایی از فساد و ناکارآمدی خواهد بود.

در ارزیابی بیش از ۲۰ سازمان بزرگ طی سه سال گذشته، بیش از ۷۰ درصد عدم انطباق فنی با الزامات امنیتی مشاهده شده است ، این آمار با ملاحظه و احتیاط اعلام می‌شود وگرنه واقعیت حتی تلخ‌تر است

در بخش خصوصی هم مشکل وجود دارد.
اگر فهرست چند بانک بزرگ یا چند شرکت پرداخت کشور را بررسی کنیم، کافی است رزومه مدیران امنیت آن‌ها را با شفافیت منتشر کنیم. بخش قابل‌توجهی از این رزومه‌ها در حد همان چیزی است که خودشان ثبت کرده‌اند و به‌سختی می‌توان شایستگی حرفه‌ای را احراز کرد. اگر بررسی بی‌طرفانه‌ای انجام شود، خروجی‌ها و کیفیت واقعی پروژه‌ها به‌وضوح مشخص خواهد شد.

با گروهی از دوستان متخصص، که متأسفانه امروز اکثر آن‌ها مهاجرت کرده‌اند، روی پروژه‌ای برای اتصال سامانه‌های ملی و داده‌های کشور کار می‌کردیم. هشدارها و گزارش‌های امنیتی متعددی، از جمله آسیب‌پذیری‌های حیاتی در زیرساخت‌های حساس، به مسئولان ارائه شد. برای نمونه: ترافیک یک نهاد قضایی مهم به سمت وزارتخانه‌ای دیگر قابل شنود و دستکاری بود. این موضوع را مستند، ارائه و گزارش کردیم. اگر حمایت معدود افرادی در سازمان پدافند غیرعامل و چند فرد دلسوز خارج از ساختار رسمی نبود، شاید همان شب به‌جای تشویق، بازداشت می‌شدیم‌ در برخی موارد، یک سال بعد همان آسیب‌پذیری‌ها منجر به نشت گسترده اطلاعات شد.

بانک های وجود دارد که پیمانکار خودش سند مناقصه‌را می‌نویسد، خودش در مناقصه برنده و در نهایت نیروی متخصص کافی برای اجرا ندارد.

فارغ از بحث‌های کلان مربوط به مالکیت فناوری، وجود بک‌دورهای ذاتی یا ریسک‌های زنجیره تأمین، ما در ایران حداقل‌های امنیت سایبری را نداریم، با صراحت اگر ۱۰۰ مشتری طی این ۳ سال بهشون طیف متنوعی از خدمات و راهکار های مورد نیازشون در جهت بهبود امنیت سایبری با در نظر گرفتن مدیریت ریسک ارائه کرده باشیم ۹۸٪ اشون نه از ما درصد خواستند و نه ما شیرینی دادیم! امدن سراغ ما بواسطه دانش و تجربه و خروجی کارهایمان آن ۲ درصد هم در دل کار خواستند که از سهم خودمان دادیم! از شرکت های دیگر استعلام کنید لمس کنید شرایط رانت و فساد افسار گسیخته و پرتقال فروش؟!
https://peivast.com/p/240760


— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.08.31

In the name of the father, the strongest mountain.
Father, you are dearer than life. Maybe life made me bad-tempered, but it never succeeded in making me bad-natured, Because of you.

به نام پدر…استوارترین کوه زندگی من.
من هیچ‌وقت اهل بروز احساساتم نبودم، کمتر گفتم، کمتر نوشتم ازت اما همیشه ته قلبم بهت افتخار کردم.‌ پدری که نامش خودش یک سرمایه است؛ سرمایه‌ای که با هیچ پول و ثروتی عوض نمی‌شود. گاهی می‌گویند (ارث فقط پول نیست) و من به چشم دیدم که اعتبار و اسم پاک تو برای من از هر ارثی باارزش‌تر است.

تو مردی بودی که هشت سال جنگیدی، پرواز کردی، سختی‌ها و فشارهایی رو تحمل کردی که شاید کمتر کسی می‌تونست تاب بیاره. این فشارها اثر گذاشت روی روحیه‌ات، روی زندگی‌ات… ولی هیچ‌وقت اجازه ندادی !

پدر عزیزم،
شاید گاهی سختگیر بودی، شاید خسته و خاموش، اما من همیشه می‌دونستم پشت این همه سختی، یک دل بزرگ هست…‌دلی که برای ما تپید، برای ما جنگید و برای ما ایستاد. تو از جان هم برای من عزیزتری. هر جا که می‌روم، با افتخار می‌گویم: (من فرزند توام)ً و این خودش بزرگ‌ترین ثروت دنیاست.

بودنت، پدر… بزرگ‌ترین موهبت زندگی من است.❤️‌بابا…
من همیشه فرصتِ دزدیدن داشتم، می‌تونستم راه آسون‌تر رو انتخاب کنم،‌ اما تو یادم دادی سر سفره‌ی بی‌قصد و سالم بشینم.‌ تو منو ساختی… مخصوصاً اون روزایی که ۱۸–۱۹ ساله بودم و سرکشی‌هام گاهی برات دردسر می‌شد.‌از انضباط تک رقمی ۹‌🙃 گرچه با میانگین معدل ۱۷–۱۸، تا بمبند ها😁همه و همه فقط برای این بود که از من آدمی بسازی که پایبند باشه، مقاوم باشه، درستکار باشه و اگر ظلم و‌نا حقی بود بایسته حتا تنها در میدان کار زار!

از بچگی (پادشاه و کینگ )من بودی و هنوزم هستی. نه به خاطر درجه‌ات، نه به خاطر اینکه تیمسار و امیر بودی، نه واسه رانتی که می تونستی بهره برداری کنی اما نکردی و نه چیزی! بلکه چون برای من آزادترین آزاده‌ی دنیا بودی. پدری که پول هیچ‌وقت براش ارزش نداشت،
و من هر چی دارم، چکیده‌ای از توئه. بودنت، برای من همیشه بزرگ‌ترین افتخارم بوده. ♥️

امشب بعد از جلسه، وقتی از گرند حیات به سمت هوم وسط بیزینس‌بی برگشتم، یک لحظه با خودم فکر کردم ساعت ۲:۳۰ بامداد شاید خیلی وقت‌ها ننوشتم، شاید خیلی چیزها رو مستقیم بهت نگفتم. شاید گاهی حتی آزارت دادم با سکوت‌هام یا رفتارام.

اما حقیقت اینه که همه‌ی اون‌چه که امروز هستم، ریشه در تو داره.
از سختی‌ها، از نظم و انضباطی که برام گذاشتی، تا ارزش‌هایی که یادم دادی؛ سالم زندگی کردن، آزاده بودن، پای نامت ایستادن. بابا… شاید هیچ‌وقت بلد نباشم همه‌چی رو بی‌پرده بگم، ولی تو برای من همیشه کوه بودی و من فقط می‌خوام بگم: ممنونم، بابت همه‌چی. ♥️

دیروز… یونیفرم، پرواز، جنگ و تمام سختی‌ها.
امروز… لبخند، تجربه و پدری که هنوز کوه منه

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.09.01

#DiyakoSecureBow
————————————
CISO as A Service (vCISO)

"From CVE Entries to Verifiable Exploits: An Automated Multi-Agent Framework for Reproducing CVEs", Sep. 2025.

automated, LLM-based multi-agent framework to reproduce real-world vulnerabilities, provided in CVE format, to enable creation of high-quality vulnerability datasets. Given a CVE entry as input, CVE-GENIE gathers the relevant resources of the CVE, automatically reconstructs the vulnerable environment, and (re)produces a verifiable exploit.

See also:
From Attack Descriptions to Vulnerabilities: A Sentence Transformer-Based Approach
https://arxiv.org/pdf/2509.02077v1

Special Thanks to 🙏 😇 ❤️
All

-Secure Business Continuity-
2025.09.05
————————————————
#CyberSecurity #AIinSecurity #Darktrace #AIOps
#Threat_Research #Blue_Team_Techniques

https://www.linkedin.com/posts/diyako-secure-bow_from-cve-to-exploit-2025-activity-7369597592076218369-AMBX

Most data leaks aren’t hacks.

They’re mistakes. Misconfigurations. Emails sent to the wrong inbox. DeepSeek’s 1M leaked logs are just the latest reminder: one slip can expose secrets, crush trust, and cost millions.

Here’s how it happens
→ https://thehackernews.com/2025/09/detecting-data-leaks-before-disaster.html

بگذریم، دوستی‌هایی هستند که مثل الماس ارزشمندند

از دوران اون دبستان تا امروز، سی سال گذشت…قدیما انگار راحت‌تر می‌شد دوست پیدا کرد و رفاقت‌ها عمق می‌گرفت. امروز، مرز بین همکاری ساده و دوستی عمیق سخت‌تر شده.اما بعضی رابطه‌ها چیزی فراتر از زمان و فاصله‌ست. می‌مونن توی قلب آدم، توی حافظه‌اش، مثل یک سرمایه واقعی.

دلم برای رفاقت‌های بی‌ریا و خالص تنگ شده…برای دوستی‌هایی که با فاصله کم یا زیاد هیچ‌وقت کمرنگ نمی‌شن.

بهترین دارایی ما همین رفاقت‌های ماندگارند عزت😍

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.09.06

https://www.linkedin.com/posts/alirezaghahrood_friendship-life-memories-activity-7369953750440017920-mVKW

Social Media Policy: A Global Best Practice

In today’s digital era, employees are often the strongest brand ambassadors of any organization. But without a clear framework, even well-intentioned posts on LinkedIn or other platforms can create legal, reputational, and security risks. That’s why leading organizations worldwide define a Social Media Policy as part of their governance and compliance programs.

به قول خیلی از شرکت‌های بین‌المللی
“You represent yourself, but you also reflect us.”

سیاست شبکه‌های اجتماعی: یک بهترین‌رویۀ جهانی
در عصر دیجیتال امروز، کارکنان اغلب قوی‌ترین سفیران برند یک سازمان هستند. اما بدون چارچوب مشخص، حتی پست‌های خیرخواهانه در لینکدین یا سایر شبکه‌ها می‌توانند ریسک‌های حقوقی، اعتباری و امنیتی ایجاد کنند. به همین دلیل سازمان‌های پیشرو در دنیا، سیاست شبکه‌های اجتماعی (Social Media Policy) را به‌عنوان بخشی از برنامه‌های راهبری و انطباق تعریف می‌کنند.

بهترین‌ رویه‌های جهانی در این حوزه:
1. حفظ محرمانگی – حفاظت از اطلاعات حساس سازمان، مشتری و پروژه‌ها.
2. هماهنگی با برند – یکپارچگی لحن، سبک و هویت بصری با هویت سازمانی.
3. شفافیت و سلب مسئولیت – تشویق به اشتراک دانش، همراه با ذکر توضیحاتی مانند دیدگاه‌ها شخصی هستند.
4. تعریف نقش‌ها – تفکیک افراد مجاز به نمایندگی رسمی سازمان از کسانی که صرفاً دیدگاه شخصی‌شان را بیان می‌کنند.
5. آموزش و آگاهی‌بخشی – ارائه دستورالعمل‌ها و کارگاه‌های منظم برای کارکنان.
6. مدیریت تخلفات – تعیین رویه برای برخورد سریع و عادلانه با موارد نقض سیاست.
۷.پرهیز از مجادله، مذهبی و …، توهین، افترا و سایر موضوعات مرتبط!

چارچوب‌هایی مانند ISO 27001 (A.13.2.1)، چارچوب امنیت سایبری NIST (بخش آموزش و آگاهی PR.AT) و کدهای راهبری شرکتی، همگی بر اهمیت امنیت ارتباطات و حفاظت از اعتبار برند در فضای دیجیتال تأکید دارند. یک سیاست شبکه‌های اجتماعی خوب، کارکنان را محدود نمی‌کند؛ بلکه آن‌ها را توانمند می‌سازد تا مسئولانه تعامل کنند، دانش خود را به اشتراک بگذارند و همزمان اعتماد به برند سازمان را تقویت نمایند.

در ایران هم (و خیلی کشورهای دیگه) ممکنه یا سانسور باشه یا رها باشه، یعنی یا نظارت صفر یا بیش‌ازحد.
• اعتبار سازمان: وقتی پرسنل اسم شرکت رو توی پروفایل دارن، هر پست سطحی یا غیراخلاقی ناخودآگاه به حساب اون برند نوشته میشود.
• اندازه و شهرت: هرچه شرکت بزرگ‌تر و شناخته‌شده‌تر باشه، حساسیت عمومی بالاتر.
• حفظ حرفه‌ای‌گری: حتی در محیط‌هایی که سانسور وجود داره، این سیاست به کارکنان کمک می‌کنه مرز بین فعالیت شخصی و حرفه‌ای رو روشن نگه دارند.
• جلوگیری از سوءاستفاده: وقتی سیاست مشخص وجود نداره، یک رفتار اشتباه می‌تونه کل سازمان رو زیر سوال ببره.

در واقع، در دنیا
• آزادی فردی محترمه
• اما وقتی نام سازمان کنارش میاد، باید چارچوب حرفه‌ای رعایت بشه

https://lnkd.in/dZFJ9Kn8

https://lnkd.in/dKvQdYjV

https://lnkd.in/dVAPqbu2

آزادی بیان حق اساسی: بتونی آزادانه حرفت رو بزنی و عقیده‌ات رو منتشر کنی و مسئولیت همراهش: باید طوری از این حق استفاده بشه که حقوق و امنیت دیگران آسیب نبینه!

https://www.linkedin.com/posts/alirezaghahrood_social-media-policy-a-global-best-practice-activity-7370353354797043712-D6an

این چیزی که تو ایران (و راستش فقط ایران هم نیست، جاهای دیگه هم میشه دید) در حوزه امنیت شبکه‌های صنعتی (ICS/SCADA) پیش اومده، چندتا ریشه داره:

1. بازار تازه و جذاب بودن موضوع
امنیت صنعتی تازه چند ساله تو ایران به‌عنوان ترند جا افتاده. هر بازاری که نو باشه، سریع آدمایی پیدا میشند که بدون عمق فنی خودشون رو کارشناس جا بزنند، چون کسی هنوز معیارهای ارزیابی رو خوب بلد نیست.

2. نبود استاندارد مرجع و ممیزی واقعی
برخلاف حوزه‌هایی مثل شبکه‌های IT یا حتی ISO 27001 که ممیزی و گواهینامه مشخص داره، تو ICS در ایران بیشتر ادعا کار می‌کنه تا استاندارد. همین باعث میشه هر کی با یکی‌دو اصطلاح OT/ICS آشنا بشه خودش رو کارشناس جا بزنه.

3. کمبود متخصص واقعی
کار روی سیستم‌های صنعتی نیازمند تجربه میدانی روی PLC، DCS، پروتکل‌هایی مثل Modbus، Profibus، OPC و … هست. خیلی از متخصصای امنیت IT چنین تجربه‌ای ندارن. اما چون فاصله پر کردنش سخته، بعضیا ترجیح میدن با نمایش ، مصاحبه،‌ ترجمه چک لیست و ژست علمی جای اون خلأ رو پر کنند!

4. فرهنگ “شوآف” و مارکتینگ فیک
تو ایران هنوز رزومه‌ی آنلاین و رسانه‌ای گاهی بیشتر از تخصص اثر داره. یعنی کسی که زیاد کنفرانس بره یا …، بیشتر به چشم میاد تا آدمی که واقعا توی اتاق کنترل یک پتروشیمی یا نیروگاه سختی کشیده.

5. پروژه‌های دولتی و پیمانکاری مبهم
خیلی وقت‌ها کارفرما (چه دولتی چه نیمه‌دولتی) دقیق نمی‌دونه چه چیزی نیاز داره، و صرفاً با عنوان (امنیت صنعتی) قرارداد می‌بنده. همین فضا رو برای افراد کم‌دانش ولی پرادعا باز می‌کنه.

6. شکاف بین مهندسی برق/کنترل و امنیت IT
مهندسای برق و کنترل معمولاً امنیت سایبری بلد نیستن، امنیت‌کارای IT هم از پروسه‌های صنعتی سر در نمیارند. این وسط آدمایی که یه کم از هر دو طرف شنیدن، خودشون رو اکسپرت OT Security‌جا می‌زنند، بدون اینکه عملاً تو هیچکدوم عمیق باشن.

خلاصه ریشه های اصلی: بازاری که داغه، خلأ دانشی که پر نشده و نبود مکانیزم تشخیص کارشناس واقعی از جعلی‌+ضعف نظارتی و حکمرانی هم پیش فرض هست.

چک‌لیست تشخیص متخصص واقعی ICS Security
1. سابقه کار با سیستم‌های صنعتی واقعی
• آیا روی PLC, DCS, SCADA, HMI کار کرده؟
• تجربه‌ی حضور در سایت‌های عملیاتی (نیروگاه، پتروشیمی، پالایشگاه) داشته؟
• یا فقط توی لَب و مقاله خونده؟
2. دانش پروتکل‌های صنعتی
• می‌تونه تفاوت Modbus, DNP3, Profibus, OPC DA/UA رو توضیح بده؟
• امنیت این پروتکل‌ها رو با مثال واقعی بیان می‌کنه یا فقط شعار کلی مثل network segmentation می‌گه؟
3. ارتباط OT با IT
• آیا می‌فهمه DMZ صنعتی، jump server و historian چه نقشی دارند؟
• بلد هست بین شبکه‌های IT و ICS مرز درست بکشه؟
4. شناخت استانداردها و چارچوب‌ها
• آیا به ISA/IEC 62443, NIST 800-82, MITRE ATT&CK for ICS مسلطه؟
• صرفاً اسم‌ها رو می‌گه یا می‌تونه کاربردشون رو در پروژه واقعی مثال بزنه؟
5. درک فرآیندهای ایمنی (Safety) و عملیات (Operations)
6. نمونه کار یا پروژه مستند
• می‌تونه از پروژه‌های واقعی (بدون افشای محرمانه) تجربه بیاره؟
• یا فقط اسلاید و سخنرانی داشته؟
7. توانایی کار تیمی با مهندسین برق و کنترل
• آیا بلدِ با زبان مهندسان کنترل و اپراتور صحبت کنه؟
• یا فقط اصطلاحات سایبری می‌گه که هیچکس اون‌طرف خط نمی‌فهمه؟

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.09.08

https://www.linkedin.com/posts/alirezaghahrood_%D8%A7%DB%8C%D9%86-%DA%86%DB%8C%D8%B2%DB%8C-%DA%A9%D9%87-%D8%AA%D9%88-%D8%A7%DB%8C%D8%B1%D8%A7%D9%86-%D9%88-%D8%B1%D8%A7%D8%B3%D8%AA%D8%B4-%D9%81%D9%82%D8%B7-%D8%A7%DB%8C%D8%B1%D8%A7%D9%86-%D9%87%D9%85-activity-7370483263120945152-nGZL

The Missing Link in Workplaces: Why Win–Win Is Rare

Many companies break promises on pay, benefits, or leave while some employees cut corners or secretly benefit elsewhere. This cycle of mistrust kills collaboration.

The root causes: unclear contracts, weak culture, unfair rewards, short-term thinking, and lack of professional skills.
The solution: transparency, fair performance systems, accountability, open dialogue, and long-term commitment.

When trust and long-term vision align, both employees and organizations truly win.

#Leadership #HR #Trust #OrganizationalCulture #EmployeeEngagement

چند مرتبه ای همکاران ‌‌و دوستان از سیاست های شرکت استارت اپی دیاکو از من پرسیده بودند و براشون نوع نگرش و‌تعامل امون جالب بوده
واقعا نمیفهمم سیستم برده داری هنوز هست و رنگ مدرنیته گرفته!؟ چرا عدم شفافیت و‌سر هم کلاه گذاشتن! خدا قوت همه هم آشنا مخصوصا شرکت ها! شرم نمیکنید!

چرا برد–برد بین سازمان و پرسنل کمیاب است؟

در بسیاری از سازمان‌ها چرخه‌ای از بی‌اعتمادی شکل می‌گیرد:
• کارفرما در پرداخت، مزایا یا وعده‌های شغلی شفاف عمل نمی‌کند.
• کارکنان هم گاهی با کم‌کاری، انتقال پروژه‌ها یا رفتار غیرحرفه‌ای اعتماد سازمان را مخدوش می‌کنند.

نتیجه؟ رابطه دوطرفه به‌جای همکاری، به تقابل و واکنش متقابل تبدیل می‌شود.

ریشه‌های اصلی
1. نبود شفافیت در قراردادها و سیاست‌ها.
2. فرهنگ سازمانی ضعیف.
3. سیستم ارزیابی و پاداش غیرعادلانه.
4. کوتاه‌مدت‌نگری هر دو طرف.
5. کمبود آموزش و مهارت‌های تعاملی، مسمومیت، حرف ببر حرف بیار کم کاری، غیبت و …
مسیر به سمت اعتماد و برد–برد
• پایبندی عملی به تعهدات قرارداد.
• استقرار سیستم شفاف پاداش و ارزیابی عملکرد.
• فرهنگ پاسخگویی و احترام متقابل.
• گفت‌وگوی منظم بین مدیریت و کارکنان.
• نگاه بلندمدت: رشد کارکنان = رشد سازمان.

منابع پیشنهادی برای مطالعه بیشتر
1.Stephen R. Covey – The Speed of Trust
درباره نقش اعتماد در روابط سازمانی و شخصی.
2.Patrick Lencioni – The Five Dysfunctions of a Team
راهنمایی در زمینه فرهنگ تیمی و چالش‌های اصلی همکاری.
3.Daniel Pink – Drive: The Surprising Truth About What Motivates Us
تحلیل علمی انگیزه‌های کارکنان فراتر از پول.
4.Harvard Business Review (HBR) – “Building a Culture of Trust”
مقاله‌های تحلیلی درباره سیاست‌های منابع انسانی و اعتماد.
5.SHRM (Society for Human Resource Management) Reports
گزارش‌های معتبر درباره مشارکت کارکنان و سیاست‌های HR.

حلقه مفقوده در همه این منابع یک چیز مشترکه: اعتماد واقعی و نگاه بلندمدت. در بسیاری از مواقع، شرکت‌ها و کارکنان در دو سوی تقابل قرار می‌گیرند؛ یک‌سو وعده‌هایی که عملی نمی‌شوند و سوی دیگر کم‌تعهدی یا رفتارهای غیرحرفه‌ای. حلقهٔ مفقوده دیگر اینجاست: درک و آگاهی مشترک

زمان آن رسیده برای برگزاری جلسات هم‌اندیشی و کارگاه‌های مشترک؛ جایی که مدیران و کارکنان در کنار هم بنشینند، دیدگاه‌هایشان را بیان کنند و آگاهی متقابل را ارتقا دهند.در صورت تمایل سازمان‌ها یا متخصصان HR، شرکت Diyako Secure Bow آمادگی دارد اسپانسر جلسات آنلاین رایگان در زمینه راهکارهای عملی برای اعتماد، شفافیت و رشد پایدار باشد.
Diyako Secure Bow
با هم می‌توانیم تعارض‌های محیط کار را به برد–برد واقعی تبدیل کنیم

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.09.08

https://www.linkedin.com/posts/alirezaghahrood_leadership-hr-trust-activity-7370728531154165760-hwMP

🚀 $1100+ Cybersecurity Certifications — Now Free!

Thrilled to share an incredible Black Hat USA 2025 offer from OPSWAT Academy

Use coupon OPSBH-25USA (valid until Oct 31, 2025) to unlock these certifications for free:
• ICIP – Intro to Critical Infrastructure Protection
•OOSE – OT Security Expert
•PSCE (Schneider & Siemens) – File Security Expert

This bundle is worth over $1100, now available at zero cost. A rare chance to upskill in OT & Critical Infrastructure Security and add globally recognized certificates to your journey.

👉 Redeem here:
https://opswatacademy.com/blackhat-usa-2025-opswat-ot-cyber-defense-bundle

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.09.08

https://www.linkedin.com/posts/alirezaghahrood_1100-cybersecurity-certifications-activity-7370803944803090432-oDh1

رسوایی اصلی در همرنگی بدون اندیشه و‌ خردورزی است که حماقت جمعی را پدید خواهد آورد. پدیده ای که در انتخاب ها و همه گیر شدن یک موضوع در شبکه های اجتماعی به تصمیماتمان تقدس می بخشد

آیا واقعاً می‌توان کسی را تغییر داد؟
آیا آدم‌ها واقعاً تغییر می‌کنند؟ و اگر بله، در چه سطحی و با چه هزینه‌ای؟

۱- انسان موجودی تغییرپذیر است، اما نه در هر بُعدی
تحقیقات طولی نشان داده‌اند که برخی ویژگی‌ها با گذر زمان و تجربه تغییر می‌کنند، اما اغلب این تغییرات آهسته، محدود و در نتیجهٔ انتخاب‌های آگاهانهٔ فرد هستند، نه فشارهای بیرونی.
بنابراین اگر منظورتان از تغییر، رشد فردی یا یادگیری مهارت‌های اجتماعی باشد، بله، این شدنی است.
اما اگر بخواهید جوهرهٔ درونی فرد را که امضای روانی اوست دگرگون‌کنید، معمولاً با دیوار مواجه می‌شوید.

۲- فرق بزرگی بین تغییر رفتار و تغییر شخصیت وجود دارد

افراد ممکن است در پاسخ به شرایط خاص، رفتار خود را تغییر دهند. مثلاً مردی که تا دیروز بی‌نظم بود، به‌خاطر حضور در محیط کاری جدید، منظم‌تر عمل کند. این تغییر در سطح «رفتار»رخ می‌دهد.
اما شخصیت چیزی پایدارتر و عمیق‌تر است که به‌سختی دگرگون می‌شود.

۳- برخی از تغییرات تنها با ارادهٔ خود فرد ممکن‌اند، نه با خواست ما
پژوهش‌ها نشان داده‌اند که هر نوع تغییر پایدار، نیازمند انگیزهٔ درونی است. یعنی فرد باید خود بخواهد که تغییر کند.
روان‌شناسان بالینی تأکید می‌کنند که «پیش‌نیاز هر دگرگونی، پذیرش و خواست شخصی است».شما می‌توانید منبع الهام باشید، حمایت‌کننده یا آینه‌ای صادق؛ اما نمی‌توانید محرک اصلی باشید اگر طرف مقابل تمایلی نداشته باشد.

۴- تمایز بین تغییر شخصیت و درمان اختلال روانی را جدی بگیرید

۵- رمان‌ها و فیلم‌ها تصویری اغراق‌شده از تغییر شخصیت ارائه می‌دهند

۶- مغز انسان ظرفیت یادگیری دارد، اما شخصیت الگوهای پایدارتری دارد بله، ممکن است کسی مهارت جدیدی بیاموزد یا واکنش‌های عاطفی خود را بهتر کنترل کند، اما این تغییرات لزوماً به معنای دگرگونی شخصیت نیستند. آن‌چه عوض می‌شود رفتار است، نه ماهیت وجودی فرد.

۷- برخی تغییرات نمایشی‌اند و برای تطبیق موقت با شرایط صورت می‌گیرند

۸- فرهنگ و جامعه می‌توانند چارچوب‌هایی بسازند که مسیر تغییر را تسهیل یا محدود کنند

۹- در روان‌درمانی‌های مدرن، هدف «تغییر بنیادین» نیست؛ بلکه تنظیم بهتر با واقعیت است

۱۰- گاهی تغییر، به‌معنای رهایی از نقاب است؛ نه افزودن ویژگی جدید

۱۱- تغییر شخصیت در بزرگسالی نادر، اما ممکن است

۱۲- «تغییر برای دیگران» اغلب به نارضایتی درونی منجر می‌شود
روان‌شناسان وجود «اصالت» را برای رضایت از زندگی حیاتی می‌دانند و معتقدند تغییر موفق، تنها زمانی رخ می‌دهد که در هماهنگی با هویت فردی باشد، نه تقلیدی از خواسته‌های دیگران.

۱۳- برخی ویژگی‌ها به‌قدری ژرف‌اند که تغییر آن‌ها به‌معنای ازبین‌بردن هویت است

۱۴- اغلب افراد تغییر را با کنترل اشتباه می‌گیرند

۱۵- بهترین نوع تغییر، با الگوسازی و الهام‌گیری آغاز می‌شود
مطالعات رفتاری نشان می‌دهند که افراد وقتی کسی را می‌بینند که در مسیر مشخصی رشد کرده، بیشتر از طریق «مشاهده» ترغیب به تغییر می‌شوند تا نصیحت مستقیم. به‌جای آنکه از کسی بخواهیم مطالعه کند، اگر خودمان اهل کتاب باشیم، احتمالاً به‌مراتب اثربخش‌تر خواهد بود.

گر می نخوری طعنه مزن مستان را
بنیاد مکن تو حیله و دستان را

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.09.09

https://www.linkedin.com/posts/alirezaghahrood_%D8%B1%D8%B3%D9%88%D8%A7%DB%8C%DB%8C-%D8%A7%D8%B5%D9%84%DB%8C-%D8%AF%D8%B1-%D9%87%D9%85%D8%B1%D9%86%DA%AF%DB%8C-%D8%A8%D8%AF%D9%88%D9%86-%D8%A7%D9%86%D8%AF%DB%8C%D8%B4%D9%87-%D9%88-%D8%AE%D8%B1%D8%AF%D9%88%D8%B1%D8%B2%DB%8C-activity-7370942326699028480-VD2j