SEC599 – Defeating Advanced Adversaries: Purple Team Tactics & Kill Chain Defenses

🔍 هدف: یادگیری دفاع مؤثر علیه مهاجمان پیشرفته (APT) از طریق ترکیب ذهنیت قرمز (مهاجم) و آبی (مدافع)؛ همان Purple Teaming.

محتوا و مهارت‌ها:

• مدل Kill Chain و MITRE ATT&CK از نگاه گام‌به‌گام حمله.
• طراحی و اجرای شبیه‌سازی حملات پیشرفته برای تست کنترل‌های امنیتی.
• استفاده از ابزارهایی مثل Cobalt Strike, Empire, و تکنیک‌های EDR bypass.
• نوشتن و بهینه‌سازی Detections در SIEM بر اساس TTPها.
• تمرین‌های ۵۰٪ حمله، ۵۰٪ دفاع با داده و ترافیک واقعی.

ارزش شغلی:

SEC599 متخصص را به یک Detection Engineer با بعد تهاجمی یا یک Threat Hunter مجهز به ذهنیت Red Team تبدیل می‌کند. این دقیقاً همان چیزی است که SOCهای بالغ دنبال آن هستند.

SEC608 – Enterprise-Class Threat Hunting, Analysis, and Incident Response

🔍 هدف: تسلط بر شکار تهدیدات در مقیاس سازمانی از طریق تحلیل داده‌های حجیم، منابع TI، و روش‌های شناسایی حملات غیرقابل‌دید در لاگ‌ها.

محتوا و مهارت‌ها:

• معماری SOC و جایگاه Threat Hunting.
• استفاده پیشرفته از SIEM، EDR و telemetry چندلایه.
• تکنیک‌های شناسایی TTPهای بدون Signature (Living Off the Land، Fileless Malware، Abuse of Legitimate Tools).
• کار با Threat Intelligence (MISP، ThreatConnect، OpenCTI) و ارتباط دادن IoCها به کارزارها.
• تحلیل memory dump و شناسایی artefactهای پنهان مهاجم.

ارزش شغلی:

SEC608 معمولاً شکارچی تهدید را به سطحی می‌رساند که حتی بدون هشدار از SIEM، بتواند از دل رفتار سیستم، دستان نامرئی یک APT را پیدا کند.

FOR508 – Advanced Incident Response, Threat Hunting, and Digital Forensics

🔍 هدف: رهبری تیم واکنش به رخدادهای پیچیده و انجام تحقیقات عمیق دیجیتال در حملات سازمان‌یافته.

محتوا و مهارت‌ها:

• چرخه کامل Incident Response: Detection → Containment → Eradication → Recovery → Lessons Learned.
• شناسایی و حذف پایداری‌ها (Persistence) در سیستم‌های آلوده.
• جنبه‌های Forensics در سیستم‌های ویندوز، لینوکس، کلود.
• بررسی artefactهایی مثل Event Logs، Prefetch، Shimcache، WER، LSASS dumps.
• Timeline analysis و بازسازی حمله از اولین ورود تا خروج داده.
• مدیریت بحران در سطح سازمان و ارتباط با مدیران غیر فنی.

ارزش شغلی:

FOR508 کسی را تربیت می‌کند که می‌تواند در گرمای حمله فرمانده صحنه باشد، شواهد کلیدی را پیدا کند و تیم‌های امنیتی و حتی حقوقی را همزمان هماهنگ کند.

یک مسیر توصیه‌شده برای کسی که می‌خواهد هم کارشناس شکار تهدید باشد و هم مدیر عملیاتی IR، می‌تواند این مدل باشد:

1. SEC599 برای تقویت ذهنیت قرمز-آبی و دست‌های تهاجمی/دفاعی.
2. SEC608 برای شکار فعالانه تهدیدات در محیط زنده.
3. FOR508 برای مدیریت حملات و تحلیل شواهد پس از حادثه.

با گذراندن این سه، متخصص علاوه بر مهارت فنی، قدرت تصمیم‌گیری سریع، توان روایت‌گر فنی برای مدیران، و رزومه‌ای با استاندارد جهانی خواهد داشت.