▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬

[ 🎯 ] آموزش جامع رول‌نویسی امنیتی (Security RP): از ۰ تا ۱۰۰ [ 🔰 ] بخش اول: تعریف و هدف رول امنیتی (Security Role) یعنی نوشتن و ایفای نقش در سناریوهایی که تمرکز اصلی‌شون روی حفظ امنیت، واکنش به تهدیدها، پیشگیری از خطرات یا اجرای قانونه. در واقع، رول امنیتی درباره‌ی اینه که *چطور با منطق، نظم و پیش‌بینی، از یک سیستم، منطقه، سازمان یا شخصیت محافظت می‌کنی.* 🎯 اهداف اصلی رول امنیتی: 1. نمایش کنترل و نظم در شرایط بحرانی. 2. تصمیم‌گیری منطقی با کمترین احساسات. 3. ایجاد حس واقع‌گرایی در امنیت و عملیات. 4. نمایش مهارت‌های سازمانی، انضباط و کار گروهی. 5. حفظ انسجام و قاعده در بازی، نه نمایش قهرمان‌گرایی. [ 🔰 ] بخش دوم: پنج اصل رول امنیتی حرفه‌ای ۱. منطق و نظم همه‌چیز باید با نظم باشه: دستور، واکنش، ارتباط، تصمیم، حتی حرکت. نکته: هیچ‌چیز نباید «اتفاقی»، «جعلی» یا «غیرقابل توضیح» به‌نظر برسه. ۲. اطلاعات (Intelligence) امنیت یعنی دانستن قبل از وقوع خطر. رول امنیتی قوی بدون «جمع‌آوری اطلاعات» عملاً ناقصه. - از شنود، دوربین، گزارش گشت‌ها، منابع مخفی و غیره استفاده کن. - همیشه در رول بنویس *«بر اساس داده‌ها تصمیم گرفتم»* نه *«حدس زدم».* ۳. پروتکل و ساختار هر سازمان امنیتی بر اساس پروتکل کار می‌کنه: - کدها و شماره‌ها: (Code Red, Alpha Operation, Protocol-06) - دستورالعمل‌ها: گزارش‌گیری، بازجویی، بازداشت، بازرسی. - زنجیره فرماندهی: هیچ سربازی نباید تصمیم حیاتی رو بدون مجوز بگیره. کاربردی: رول امنیتی خوب همیشه حس «هماهنگی سازمانی» داره. همه‌چیز طبق دستور و گزارش‌سازی پیش می‌ره. ۴. منطق وضعیت و واکنش در هر سناریو امنیتی، باید: - وضعیت رو سریع ارزیابی کنی، - خطر رو اولویت‌بندی کنی، - و بعد *با آرامش و منطق* واکنش نشون بدی. مثال: اگر صدای فریاد در محوطه شنیده شد، به جای هجوم سریع، دستور می‌دی: «کد نقره فعال، واحد دوم به موقعیت جنوب، اولویت بررسی غیرمسلح.» ۵. گزارش‌نویسی و شفافیت هر رول امنیتی با گزارشی منطقی تموم می‌شه. نه لزوماً مفصل، بلکه شفاف. سه بخش کلیدی گزارش امنیتی: 1. مشاهده: چی شد؟ چه ساعتی؟ توسط کی؟ 2. اقدام: چه تصمیمی گرفتی؟ چرا؟ 3. نتیجه: وضعیت بعد از اقدام چطور شد؟ [ 🔰 ] بخش سوم: ساختار رول امنیتی حرفه‌ای یک رول امنیتی حرفه‌ای معمولاً از چهار بخش تشکیل می‌شه: | بخش | توضیح | هدف | | ۱. مقدمه (Context) | توضیح هدف مأموریت یا دلیل حضور امنیتی | ایجاد باورپذیری | | ۲. وضعیت (Situation) | شرح دقیق موقعیت امنیتی یا تهدید | تعیین محیط و خطر | | ۳. روند عملکرد (Action Process) | گام‌به‌گام واکنش امنیتی | نمایش منطق و مهارت | | ۴. نتیجه و گزارش (Outcome & Report) | نتیجه عملیاتی و تصمیم بعدی | جمع‌بندی واقع‌گرایانه | (تو قسمت وضعیت گاهی میشه وضعیت احتمالی رو قرار داد یعنی برای اتفاقاتی که ممکنه بیاد سناریو امنیتی و دفاعی داشته باشی و خرابکاری حریف موفقیتش کمتر بشه) [ 🔰 ] بخش چهارم: مراحل نوشتن رول امنیتی از ۰ تا ۱۰۰ مرحله ۱. ایده‌پردازی امنیتی ایده‌ی «تهدید» رو مشخص کن: | نوع تهدید | مثال | | فیزیکی : حمله، سرقت، خرابکاری | | اطلاعاتی : نشت داده، جاسوسی | | داخلی : خیانت کارمند، نفوذ در سیستم | | زیست‌محیطی : آتش‌سوزی، نشت مواد خطرناک | | ساختاری/فناوری : نقص سیستم دفاعی، هک سرورها | نکته: تهدید هرچقدر ظریف‌تر و واقعی‌تر باشه، رول حرفه‌ای‌تره. مثلاً به‌جای «تروریست‌ها حمله کردن»، بگو: > «حرکت غیرمجاز در محدوده‌ی شمالی ثبت شد، دوربین ۴۷ از کار افتاده.» مرحله ۲. طراحی تیم و تجهیزات برای باورپذیری، مشخص کن: - چه نیروهایی درگیرن؟ (امنیت داخلی، پلیس، نیروهای ویژه، حفاظت اطلاعات) - چه تجهیزاتی دارن؟ (پد، سلاح غیرکشنده، سیستم ارتباطی، دوربین‌ها) - چه ساختار فرماندهی‌ای فعاله؟ (یه فرمانده با ۲ افسر و ۴ نیرو) مرحله ۳. تشریح وضعیت و آغاز رول در ابتدای رول، وضعیت رو با جزئیات روایت کن: - کجا هستی؟ - ساعت چند است؟ - چه چیزی باعث آغاز مأموریت شد؟ - فضای محیط چطوره؟ (نور، صدا، تنش) مثال: ساعت ۲۱:۴۵ در پایگاه شمال. باد شدید و آنتن دوربین‌ها ضعیف. یکی از دوربین‌ها سیگنال نامعمول ارسال کرده...

مرحله ۴. توصیف واکنش امنیتی حالا منطق تصمیم‌گیری و روند اجرای عملیات رو با دقت بنویس: 1. ارزیابی وضعیت: بررسی داده‌ها و احتمال وقوع خطر. 2. دستور اولیه: وظایف را بین نیروها تقسیم کن. 3. حرکت یا کنترل موقعیت: (ورود، محاصره، بی‌سیم، هشدار) 4. درگیری یا نفوذ معکوس: در صورت لزوم. 5. پاک‌سازی و گزارش اولیه. 🎯 هدف این مرحله القای حس *کنترل و تسلط بر وضعیت* است، نه اکشن و قهرمان‌بازی. مرحله ۵. نتیجه و گزارش نهایی در پایان رول، مثل یک عملیات رسمی جمع‌بندی کن: - وضعیت تهدید: رفع شده یا کنترل؟ - تلفات؟ آسیب‌ها؟ - یافته‌های قابل‌پیگیری بعدی؟ - دستور بعدی چیست؟ مثال کوتاه: عملیات بدون تلفات پایان یافت. منبع نویز دوربین کابل آسیب‌دیده‌ بود. تیم B تا تعمیر کامل سیستم مسئول گشت منطقه باقی می‌ماند. بخش پنجم: معیارهای کیفی رول امنیتی خوب | معیار | توضیح | اشتباه متداول | | منطق تصمیم‌ها | تصمیم‌ها بر اساس داده و دستور باشن | تصمیم‌های عجولانه و چشم‌بسته | | کنترل لحن و رفتار | خونسرد، منظم، دقیق | خشم، خشونت بی‌منطق | | واقع‌گرایی در جزئیات | محیط، ابزار، زمان‌بندی قابل‌باور | زیاده‌روی یا قهرمان‌نمایی | | ساختار سازمانی واضح | زنجیره‌ی فرماندهی مشخص | اینکه «همه‌چیز خودت هستی» | | جمع‌بندی و گزارش واضح | وضعیت و تلفات شفاف | پایان باز و مبهم | بخش هفتم: اشتباهات رایج در رول امنیتی | اشتباه | توضیح | | ❌ اکشن بیش‌ازحد | رول امنیتی تمرکز روی *نظم و واکنش* داره نه جنگ | | ❌ تصمیمات نامعتبر | بدون داده و بدون دستور تصمیم گرفتن | | ❌ لحن خشن و بی‌منطق | امنیت یعنی خونسردی، نه عصبانیت | | ❌ نبود گزارش نهایی | همیشه باید نتیجه‌ی رسمی داشته باشی | | ❌ نادیده گرفتن تیم | رول امن باید کار تیمی رو نشون بده، نه تک‌نفره‌بودن | بخش هشتم: پیشرفت از رول ساده به رول حرفه‌ای | سطح | ویژگی‌ها | مثال | | 🔰 مبتدی | توضیح موقعیت و اقدام مستقیم | “در را بستم تا کسی وارد نشود.” | | ⚙️ متوسط | توضیح موقعیت، دستور و کنترل تیم | “دستور دادم تیم دو به گیت شرقی برود.” | | 🧠 پیشرفته | پیش‌بینی تهدید، تحلیل داده، کنترل هم‌زمان چند بخش | “تحلیل شبکه نشان داد منبع سیگنال داخلی است؛ نیروهای پشتیبان به حالت آماده‌باش درآمدند.” | 📌 خلاصه نهایی — ملاک‌های یک رول امنیتی حرفه‌ای: 1. منطقی، منظم و قابل‌باور باشد. 2. تصمیم‌ها داده‌محور و دارای توجیه باشند. 3. از کدها و ساختار سازمانی استفاده شود. 4. گزارش‌نویسی شفاف و حرفه‌ای داشته باشد. 5. تعادل بین واقع‌گرایی و هیجان حفظ شود. 6. لحن آرام، دقیق و متین باشد. 7. روایت حس کنترل، نه اغراق و قهرمان‌گرایی، منتقل کند.

⚠️دوستان توجه کنید این نوع رول امنیتی که ذکر شده بیشتر برای دفاع در برابر رول خرابکاری حریف استفاده میشه ولی خودتون میتونید تغییراتی توش بدین و توی اول بازی که هنوز خرابکاری باز نیست استفاده کنید ازش به عنوان مثال یه لایه‌هایی امنیتی بسازید با چهار بخش گفته شده توضیحش بدید که موجب میشه امنیتتون بالا بره. همیشه سعی کنید جزئیات رو دقیق و کامل ذکر کنید که بتونه مفهومتون رو به داور برسونه. یادتون نره که تو نوشتن رول منطق همیشه حرف اول رو میزنه!

[ 🔰 ] نمونه رول امنیتی حرفه‌ای این ساختار امنیتی بر پایه‌ی «پیشگیری قبل از تهدید» نوشته شده، یعنی طوری امنیت را می‌چینیم که بعدها هر نفوذی عملاً ناممکن شود. نقش: رهبر کشور فانتزی «فونیکس» هدف: ایجاد امنیت پایه‌ی محکم قبل از ظهور تهدیدات آینده وضعیت: هیچ دشمن یا عامل خرابکاری فعلاً وجود ندارد تمرکز: ایجاد لایه‌های امنیتی، استانداردسازی پروتکل‌ها، غیرممکن‌کردن نفوذ برای آینده (این ۴ تا بخش بالایی نقش و هدف و اینا جهت جا افتادن مطلب برای شماست و لازم نیست توی رولتون بنویسین) ۱) مقدمه و زمینه بازی تازه شروع شده. هیچ گروه خرابکار، جاسوس، یا تهدید خارجی هنوز شکل نگرفته، اما تجربه نشان داده «دورهای اول، دوران ساخت زیرساخت‌های نفوذناپذیر هستند.» به‌عنوان رهبر فونیکس، تصمیم گرفتم قبل از اینکه کسی حتی فکر خرابکاری کند، ساختاری ایجاد کنم که: - ورود غیرمجاز را عملاً ناممکن کند - اطلاعات حیاتی را لایه‌لایه محافظت کند - مسیرهای نفوذ شناخته‌نشده را از همان ابتدا ببندد - پروتکل‌های امنیتی را به‌عنوان ستون ثابت کشور تعریف کند این رول آغاز «دوره طلایی امنیت» در کشور محسوب می‌شود. ۲) وضعیت اولیه - زمان: روز اول حکومت - تهدیدها: صفر - دارایی‌ها: یک پایتخت، سه پایگاه اصلی، مرکز اطلاعات مرکزی - نیروی انسانی: آماده، اما بدون تجربه‌ی عملیاتی - فضای کشور: آرام، بدون دشمن هدفم از همین لحظه این بود که حتی اگر تهدیدات در دورهای بعدی قدرتمند شوند، همچنان هیچ راه مستقیمی برای نفوذ نداشته باشند. ۳) روند عملیات (Action Process) مرحله ۱: طراحی ستون‌های امنیت پایه دستور فوری صادر کردم: «تمام ساختارهای کشور بر اساس سه اصل ساخته می‌شوند: لایه‌مندی، رمزگذاری، و عدم اعتماد پیش‌فرض.» اقدامات: - هر ساختمان حساس دارای سه لایه امنیتی شد: فیزیکی، اطلاعاتی، هویتی - تمام ورود و خروج‌ها با احراز هویت دو مرحله‌ای - تمام داده‌های حکومتی تحت سیستم رمزگذاری سطح بالا (کلیدها روزانه تغییر می‌کنند) - ایجاد «سیستم اعتماد صفر»: هیچ‌کس دسترسی کامل ندارد؛ همه سطح‌بندی شده‌اند این مرحله درهای نفوذ را قبل از اینکه کسی بخواهد وارد شود، می‌بندد. مرحله ۲: ایجاد شبکه‌ی پایش زودهنگام حتی بدون تهدید، شبکه‌ی Early Warning راه‌اندازی شد: - دوربین‌های حرارتی در مراکز حساس - حسگرهای محیطی در اطراف پایتخت - ثبت و ذخیره‌ی رفتارهای پایه برای شناسایی هر تغییر در آینده - راه‌اندازی یک سامانه مرکزی نظارت که تنها ۳ نفر به آن دسترسی دارند (غیر همزمان) هدف این شبکه: «هر تهدید آینده قبل از شکل‌گیری، در مرحله‌ی نشانه شناسایی شود.» مرحله ۳: پاک‌سازی و استانداردسازی مسیرهای دسترسی یکی از اشتباهات رایج اینه که کشورها مسیرهای بی‌نام‌ونشان دارند. من از همان ابتدا دستور دادم: - تمام تونل‌ها، ورودی‌های قدیمی و خطوط ارتباطی مخفی نقشه‌برداری شوند - مسیرهای غیرضروری مسدود و با مهر امنیتی 5‑A قفل شوند - هر ساختمان فقط یک مسیر کنترل‌شده داشته باشد - تمام سیستم‌ها از «پروتکل مجوز هویت» استفاده کنند؛ هیچ دستگاهی بدون ثبت اولیه فعال نمی‌شود نتیجه: «مسیر پنهان = صفر» مرحله ۴: آموزش تیم امنیت مرکزی تیم امنیت اصلی کشور را فراخواندم. به آنها گفتم: «تهدید هنوز نیامده، اما از امروز تمرین‌ها شروع می‌شوند. ما امنیت را وقتی می‌سازیم که دشمن نیست؛ نه وقتی که دشمن حمله کرده.» دستورها: - تمرین روزانه‌ی تحلیل تهدید - شبیه‌سازی نفوذهای کوچک - ساخت الگوهای رفتاری - یادگیری پروتکل خاموش‌سازی سریع (RT‑7) - گزارش‌نویسی استاندارد این تمرین‌ها باعث می‌شود وقتی دشمن بالاخره پدیدار شد، ما نه در واکنش، بلکه در پیشگیری برتری داشته باشیم.

مرحله ۵: ساخت سپر اطلاعاتی برای آینده، مهم‌ترین خطر نفوذ اطلاعاتی است. پروژه‌ی «سپر آبی» ایجاد شد: - تمام ارتباطات داخلی رمزگذاری حداقل سه‌لایه دارند - سیستم هوش مصنوعی پایش با الگوریتم رفتار ناهنجار فعال شد - دسترسی به اطلاعات حساس در سه کلید مختلف تقسیم شد - هر ۱۲ ساعت، بررسی سلامت داده‌ها انجام می‌شود این سپر باعث می‌شود هیچ هکر یا نفوذگر در آینده نتواند به هسته‌ی اطلاعاتی نزدیک شود. مرحله ۶: استقرار پروتکل امنیت آینده‌نگر پروتکل نهایی که برای آینده ساخته شد: پروتکل 0‑Lockdown - هر تهدید مشکوک (حتی سطح پایین) به‌صورت خودکار سطح منطقه را به حالت «نیمه‌قفل» می‌برد - تمام تبادل داده تا تأیید انسانی متوقف می‌شود - سیستم‌ها فقط روی حالت داخلی کار می‌کنند - تمام مسیرهای ورود/خروج یک‌طرفه می‌شوند این پروتکل باعث می‌شود: «حتی اگر دشمن در آینده دانشی فراتر داشته باشد، باز هم نتواند از سدهای ما عبور کند.» ۴) نتیجه و گزارش نهایی گزارش روز اول: - تمام زیرساخت‌های کشور دارای امنیت لایه‌ای شدند - مسیرهای مخفی و آسیب‌پذیر حذف شدند - اطلاعات تحت سه لایه رمزگذاری قرار گرفت - تیم امنیتی آموزش پایه را دریافت کرد - شبکه‌ی پایش زودهنگام فعال شد - کشور وارد وضعیت «عدم نفوذ» شد نتیجه‌گیری: «تهدید هنوز وجود ندارد، اما با امضای امروز، نفوذ در آینده نیز عملاً غیرممکن شد.» دستور نهایی: - آغاز تمرینات هفتگی - به‌روزرسانی دائمی کلیدهای امنیتی - توسعه لایه چهارم امنیت در دور آینده این رول‌پلی پایان عملیات "بنای امنِ فونیکس" است.

[ 💡 ]ایده‌یابی و خلاقیت در رول امنیتی اصل ۱ - از کجا ایده بگیریم؟ برای رول امنیتی، ایده اصلی همیشه حول این سؤال‌ها می‌چرخه: - «چی باید محافظت بشه؟» - «از چی می‌ترسن؟» - «چه چیزی اگر از کار بیفته، همه‌چیز به هم می‌ریزه؟» - «دشمن احتمالی کیه؟ (خرابکار، خیانت، اشتباه انسانی، باگ سیستم و …)» از همین ۴ تا سؤال ساده، ده‌ها ایده درمیاد. ۱. دارایی مهم (Asset) رو مشخص کن مثال‌ها: - سرور مرکزی - خزانه - آزمایشگاه حساس - یک شخصیت مهم (VIP) - یک آرشیو اطلاعات - اتاق کنترل دوربین‌ها این خودش میشه هسته ایده. مثلاً: «اتاق کنترل دوربین‌ها» → همه خرابکاری‌ها و واکنش‌ها می‌چرخن دور همین. ۲. تهدید احتمالی رو انتخاب کن تهدید لازم نیست واقعی باشه، فقط منطقی باشه: - نفوذ داخلی (یکی از پرسنل خائن) - نفوذ خارجی (خرابکار ناشناس) - باگ سیستم (خطای نرم‌افزاری) - اشتباه انسانی (پرسنل تازه‌کار) - حمله هم‌زمان از چند نقطه (برای شلوغ کردن فضا) همین که بگی: «من به عنوان مسئول امنیت، حس می‌کنم تهدید اصلی ما نفوذ داخلیه.» یه عالمه ایده برای بازجویی، بررسی لاگ‌ها، چک کردن کارت‌ها، تنظیم قوانین جدید، بهت میده. ۳. نقطه ضعف پیدا کن هیچ سیستم امنیتی کامل نیست. از خودت بپرس: - «ضعف این سیستم کجاست؟» مثلاً: - شیفت شب خلوت‌تره - یکی از درها دستی باز میشه - یه دوربین کور هست - سیستم بکاپ دیر آپدیت میشه - قوانین قدیمی‌اند همین نقطه ضعف، تبدیل میشه به: - دغدغه‌ی رول امنیتی - نقطه ورود رول خرابکاری اصل ۲ - چطور خلاقیت رو روی ایده امنیتی سوار کنیم؟ حالا که ایده‌ی خام داری (چه چیزی محافظت میشه، از چی می‌ترسن، ضعف کجاست)، نوبت خلاقیت است. ۱. نقش امنیت رو فقط «گشت‌زنی» ننویس امنیت فقط «می‌چرخه» و «چک می‌کنه» نیست. یک رول امنیتی خلاق می‌تونه: - تحلیل‌گر باشه (Logها، رفتارها، رفت‌وآمدها) - طراح پروتکل باشه (قوانین جدید برای ورود/خروج) - بازجو باشه (بدون خشونت، فقط سوال منطقی) - تست‌کننده امنیت (عمداً خودش سناریوهای حمله تمرینی طراحی کنه) مثال خلاق: «به عنوان مسئول امنیت، عمداً یک کارت دسترسی fake وارد سیستم کردم تا ببینم چه کسی بدون مجوز ازش استفاده می‌کنه.» بدون هیچ خرابکاری واقعی، فقط طراحی سناریو امنیتی باهوش. ۲. امنیت را تبدیل به «شطرنج» کن به جای این‌که امنیت منفعل باشه، بذار هوشمند جواب بده. مثال: - به جای این‌که خرابی سیستم را فقط درست کند، سعی می‌کند بفهمد *کی* باعث شده. - به جای خاموش کردن ناقض قانون، اول اطلاعات جمع می‌کند. - به جای شک کردن مستقیم، آزمایش می‌کند (مثلاً یک خبر دروغ می‌پراکند تا واکنش‌ها را ببیند). ۳. لایه‌لایه فکر کن یک رول امنیتی قوی چند لایه داره: - لایه ۱: رفتارهای روزمره (گشت، چک، لاگ) - لایه ۲: شک‌های ریز (چرا فلانی دیر میاد؟ چرا فلان دوربین بیشتر قطع میشه؟) - لایه ۳: برنامه‌ریزی واکنش (اگر این شد، چه می‌کنم؟) - لایه ۴: مستندسازی (گزارش‌نویسی، جمع‌بندی) اگر توی رول‌هات این لایه‌ها رو نشون بدی، حتی بدون اکشن، رول امنیتی جذاب میشه. درکل بهترین راه اینه که نقطه ضعف‌های امنیتیتون رو پیدا کنید اونارو تحلیل کنید و دنبال راه حل باشین براش.

▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬

[ 🎯 ] آموزش ۰ تا ۱۰۰ نوشتن رول خرابکاری جامع‌ترین، کامل‌ترین و اصولی‌ترین آموزش نوشتن رول خرابکاری در سطح حرفه‌ای این آموزش شامل: - تعریف و هدف خرابکاری در رول‌پلی - پنج ستون طلایی خرابکاری - ساختار استاندارد رول - مراحل طراحی یک خرابکاری قوی - معیارهای کیفی - اشتباهات رایج - فرمول ساخت سناریو - مثال‌های قابل استفاده ۱) رول خرابکاری چیست؟ در رول‌پلی، «خرابکاری» یعنی: «ایجاد یک اختلال محدود، حساب‌شده و هوشمندانه برای تغییر جریان قدرت، اطلاعات یا شرایط محیط، *بدون ایجاد صدمه واقعی*.» هدف خرابکاری در رول‌پلی: - ایجاد تعلیق - به چالش کشیدن امنیت - ساختن نقطه بحران - بالا بردن کیفیت داستان - ایجاد بازی دوطرفه (نفوذ + مقابله) نکته: خرابکاری یک هنر است، نه اکشن کور. خرابکاری خوب *هوشمندانه، تمیز و آرام* است. ۲) پنج اصل طلایی یک رول خرابکاری حرفه‌ای اصل ۱ - پنهان‌کاری خرابکاری باید *نامرئی* باشد. یعنی: - حرکت آرام - زمان‌بندی دقیق - انتخاب نقطه‌ای که دیده نشود - عدم ایجاد سرنخ غیرضروری خرابکاری خوب، *فریاد نمی‌زند*. اصل ۲ - هدف‌گذاری دقیق خرابکاری بدون هدف = هرج‌ومرج بی‌ارزش. هدف تو باید واضح باشد: - کاهش سرعت دشمن - گرفتن اطلاعات - ایجاد اختلاف - خاموش کردن یک سیستم کوچک - ایجاد تأخیر - تغییر مسیر توجه امنیت نه بیشتر، نه کمتر. اصل ۳ - کوچک‌سازی خرابکاری خوب فقط یک نقطه کوچک را می‌زند نه کل سیستم را. چرا؟ - باورپذیرتر است - امنیت می‌تواند پاسخ دهد - داستان دوطرفه می‌شود - تعادل بازی حفظ می‌شود اصل ۴ - منطقی بودن خرابکاری باید با: - توانایی شخصیت - منابع موجود - سطح تکنولوژی جهان بازی - شرایط محیطی هماهنگ باشد. اگر نقش تو یک فرد سطح پایین است، نباید خرابکاری سطح بالا بکنی. اصل ۵ - ردپا خرابکاری حرفه‌ای *دو نوع ردپا دارد*: - ردپای مصنوعی (برای گمراه کردن) - ردپای صفر (برای پنهان‌کاری واقعی) در رول‌پلی حرفه‌ای باید انتخاب کنی کدام را استفاده می‌کنی. ۳) ساختار استاندارد نوشتن یک رول خرابکاری خوب یک رول خرابکاری حرفه‌ای چهار بخش دارد: (۱) مقدمه چه کسی هستی؟ کجا هستی؟ چرا خرابکاری لازم است؟ مثال: «ساعت ۰۱:۲۲، در بخش فنی پایگاه جنوبی. تیم امنیت تغییر شیفت داده. هدف من ایجاد یک تأخیر کوتاه در شبکه تا فرصت خروج فایل فراهم شود.» (۲) موقعیت و فرصت توضیح دقیق از: - محیط - موانع - وضعیت نگهبان‌ها - ابزارهایی که داری - ریسک‌ها هر چقدر دقیق‌تر، بهتر. (۳) اجرای خرابکاری اینجا بخش اصلی رول است. شامل: - نزدیک شدن - پنهان‌کاری - تعامل با محیط - انجام خرابکاری محدود - فاصله گرفتن و خروج هر مرحله با منطق دقیق و جزئیات. (۴) نتیجه و پیامد این بسیار مهم است؛ خرابکاری باید «پیامد طبیعی» داشته باشد. مثلاً: - تأخیر ۴ دقیقه - اختلال جزئی - گمراهی امنیت - شک‌کردن مسئولان - افزایش کنترل‌ها نه نابودی کامل، نه موفقیت کامل. تعادل! ۴) مراحل طراحی یک خرابکاری واقعیِ رول‌پلی مرحله ۱: انتخاب نوع خرابکاری خرابکاری سه نوع کلی دارد: ۱) خرابکاری فنی (غیروابسته به واقعیت) مثل: - کند کردن سیستم - خاموش کردن یک چراغ - ایجاد تأخیر در حسگر - گیرکردن درب الکترونیکی ۲) خرابکاری روانی/اطلاعاتی مثل: - ایجاد شک و خطای ذهنی - جابجا کردن یک برچسب - قرار دادن یک نشانه مصنوعی - تغییر یک عدد در یک لیست ۳) خرابکاری محیطی ساده مثل: - بستن یک مسیر - جا‌به‌جایی یک وسیله - ایجاد سر و صدای کوچک در زمان مناسب. مرحله ۲: شناخت محیط خرابکاری باید بر پایه محیط نوشته شود: - نور - دسترسی - مسیرهای خروج - گشت امنیت - دوربین‌ها - محدودیت زمانی مرحله ۳: برنامه‌ریزی سه‌لایه خرابکار حرفه‌ای سه طرح دارد: - Plan A: ساده‌ترین و آرام‌ترین - Plan B: اگر کسی نزدیک شد - Plan C: خروج اضطراری بدون ترک سرنخ خطرناک مرحله ۴: محدودیت‌گذاری باید مشخص کنی: - توان شخصیت محدود است - خرابکاری گسترده نیست - خروج لازم است بدون محدودیت رول غیرمنطقی می‌شود. مرحله ۵: خروج حرفه‌ای توضیح خروج *به اندازه اجرای خرابکاری مهم است.* ۵) معیارهای یک رول خرابکاری عالی یک رول خرابکاری حرفه‌ای باید: - دقیق باشد - منطقی باشد - کوچک اما مؤثر باشد - تعادل داشته باشد - برای امنیت هم فرصت واکنش بگذارد - بدون اکشن اغراق‌آمیز باشد - بدون تخریب بزرگ باشد - ردپا یا پیچیدگی قابل تحلیل تولید کند.

۶) اشتباهات رایج خرابکاری‌نویسی این‌ها کیفیت رول را نابود می‌کنند: - خرابکاری بیش از حد بزرگ - انجام کارهایی خارج از توان شخصیت - آتش‌سوزی، انفجار، آسیب‌زدن—همه این‌ها غلط هستند - خروج بدون توضیح - خرابکاری بدون مقدمه - خرابکاری بدون پیامد - خرابکاری بدون جنبهٔ منطقی - خرابکاریی که هیچ ریسکی ندارد - نادیده گرفتن امنیت ۷) فرمول طلایی ساخت یک خرابکاری برای نوشتن خرابکاری هر بار این فرمول را اجرا کن: هدف کوچک + فرصت محدود + اقدام دقیق + پیامد کنترل‌شده درشت‌نویسی ممنوع. خرابکار حرفه‌ای همیشه کوچک کوچک کار می‌کند. ۸) مثال‌هایی از خرابکاری بی‌خطر قابل استفاده در رول - تغییر مسیر یک ربات نگهبان - خاموش شدن یک چراغ راهرو - کند شدن باز شدن یک در - جا‌به‌جایی یک پرونده - گذاشتن یک اثر انگشت ساختگی برای گمراه‌سازی - ایجاد سر و صدای کوچک برای منحرف کردن حواس - قطع ۳۰ ثانیه‌ای یک صفحه نمایش - قفل شدن اشتباهی یک کشو - گیر کردن موقت یک کارت شناسایی - تأخیر کوتاه در ارسال یک گزارش

[ ✍🏻 ] نمونه رول خرابکاری نفوذ سایبری در کشور حریف (لازم نیست بخش‌های بولد شده رو مشخص کنید و فقط برای جا افتادن مطلب برای شما بیان شده‌اند.) ⊱⋅ ──────────── ⋅⊰ ۱) مقدمه شخصیت: رهبر کشور فونیکس در جهان فانتزی، با امور امنیتی حساس و فناوری‌های پیشرفته. هدف خرابکار: نفوذ به سیستم ارتباطاتی و اطلاعاتی کشور، سرقت داده‌های محرمانه، و ایجاد اختلال در فرماندهی نظامی و امنیتی. چرا؟ رقابت سیاسی، خنثی‌سازی تهدید نظامی، و به دست آوردن اطلاعات برای عملیات‌های مخفی. زمان و مکان: شب، در یک مرکز داده مخفی در یک ساختمان زیرزمینی. ۲) وضعیت - سیستم‌های کشور به‌روز و مجهز است، ولی صدها دستگاه امنیتی در حال نظارت است. - شیش‌تایی دوربین کنترل شده، چند لایه فایروال پیشرفته، و تیم امنیتی سخت‌گیر. - اقدام: نفوذ از طریق سایبر، با تکنیک‌های مخفی و هوشمندانه، بدون شناسایی شدن. - محدودیت‌ها: زمان محدود (2 ساعت قبل از شروع عملیات)، ضعف در بخش پایگاه داده قدیمی، و نیاز به خروج سریع. ۳) ایده خرابکاری و طراحی خلاقانه - ایده اولیه: ورود به سیستم مرکزی داده در قالب یک کاربر مجاز، و ایجاد یک باگ مدت‌دار در پروتکل‌های ارتباطاتی. - مرحله‌به‌مرحله: 1. پنهان‌کاری: - ایجاد یک حمله سایبری پیچیده در لایه لایه، شامل: حمله مبتنی بر سایه‌زدن (Shadow Attack) و تغییر جزئی در درخواست‌های وردپرس سرور، تا شناسایی نشود. 2. نقشه‌ریزی: - از ابزارهای شبیه‌سازی و کدهای مخفی برای فریب تیم امنیت و جلوگیری از هشدارهای زودهنگام استفاده می‌کنم. - مثلاً، یک کد مخفی در فایل‌های لاگ جا می‌گذاری که فقط خودت بفهمی، تا بعد به عنوان شواهد غلط ظاهر شود. 3. نفوذ و خرابکاری: - پس از ورود، یک برنامه پاک‌شونده زمان‌بندی می‌نویسم که در رسانه‌های درون شبکه پخش می‌شود و ترافیک را مختل می‌کند، اما به‌عنوان یک خطای طبیعی نشان داده می‌شود. - در همین حین، در پس‌زمینه، یک‌نکته جدید در سیستم‌های کنترل ارتباطات وارد می‌کنم که باعث می‌شود فرمان‌های امنیتی اشتباه تفسیر شود. 4. خروج هوشمند: - قبل از لو رفتن، از کلیدهای امنیتی مجازی، درخواست خروج مخفی تنظیم می‌کنم و پاک‌سازی‌های لازم انجام می‌دهم. ⊱⋅ ──────────── ⋅⊰ ۴) نتیجه و پیامد - پیامد کوتاه‌مدت: - شبکه دچار قطعی موقت، ارتباطات ناپایدار و خطاهای دیتا. - تیم امنیت درگیر است ولی هنوز نمی‌فهمد کجای کار است. - پیامد بلندمدت: - اطلاعات مهم به‌صورت مخفی سرقت می‌شود، بدون اینکه ناظران بفهمند. - در ظاهر، عملیات موفق است، اما خطر لو رفتن بالا است چون چیزی جایگزین نمی‌شود. - گزارش‌نویسی: - در گزارش درونی، بیان می‌شود که حمله پیچیده است، و ضعف در لایه‌های امنیتی دیده می‌شود، اما کار تعمدی نبوده است. ۵) معیارهای خلاقیت و باورپذیری در این رول - استفاده هوشمندانه از حمله سایبری چند لایه (حمله سایه، تداخل در درخواست‌ها، تغییر فایل‌ها) - پنهان‌کاری بالا و خروج بی‌صدا - تمرکز بر اطلاعات حیاتی، نه خرابکاری کلی و بزرگ - برنامه‌ریزی خروج سریع و ردپای کم - طراحی سناریو بر اساس ضعفی در سیستم فرضی، نه بر اساس امکانات خیالی و بی‌پایه مشخصه‌های این رول: - پنهان‌کاری دقیق - هدف مشخص و محدود - حملات هوشمندانه و منطقی - پیامد قابل کنترل و باورپذیر - پایبندی به منطق و محدودیت‌های محیط

[ 💡 ] ایده‌یابی و خلاقیت در رول خرابکاری: 1) ایده را از دل منطق محیط و شخصیت بیرون بکشی (نه از هیجان) 2) همان ایده را با خلاقیت “کوچک اما اثرگذار” بسازی (نه بزرگ و غیرقابل‌باور) 1) از دل سه‌چیزِ ایده‌ساز بساز: Asset / Threat / Weak Point قبل از هر چیز این سه‌تا را برای صحنه‌ات مشخص کن: - Asset (دارایی مهم): چی برای طرف مقابل حیاتی است؟ (مثلاً: پرونده‌ها، وجهه، زمان‌بندی عملیات، اعتبار یک گزارش، امنیت روانیِ تیم، نظم یک مراسم) - Threat (تهدید): دشمن چه خطری دارد یا دنبال چیست؟ (مثلاً: افشاگری، عقب‌افتادن برنامه، تضعیف اعتماد، خراب شدن هماهنگی) - Weak Point (نقطه ضعف): کجای سیستم/آدم‌ها آسیب‌پذیر است؟ (مثلاً: یک روال تکراری، یک نقطه کور نظارتی، وابستگی به یک نفر، یک جزئیات فراموش‌شده) خروجی این مرحله: یک “قفل داستانی” بساز: > «دارایی مهم = X، تهدید = Y، ضعف = Z» 2) نوع خرابکاری را انتخاب کن (تا از همان اول راه درست بروی) برای اینکه ایده‌ات بپرد، از این دسته‌ها انتخاب کن: الف) فنی خرابکاری روی رسانه/سیستم/فرآیند اثر می‌گذارد، اما معمولاً کوچک و قابل‌توضیح است. نمونه‌های رول‌: جابجایی یک پرونده، ایجاد یک خطای ظاهری، برهم‌زدن ترتیب دسترسی‌ها، عقب افتادن یک اعلان. ب)روانی/اطلاعاتی خرابکاری روی تصویر ذهنی اثر می‌گذارد: شک، تاخیر تصمیم، رقابت داخلی، سوءتفاهم کنترل‌شده. نمونه‌های رول: یک “شایعه دقیق”، یک پیام نیمه‌گمراه‌کننده، یک گزارش که به نظر غلط نمی‌آید ولی مسیر را منحرف می‌کند. ج)محیطیِ ساده خرابکاری روی روتین و فضا اثر می‌گذارد. نمونه‌های رول: کند شدن یک در، قفل شدن یک کشو، خاموش شدن چراغ، ایجاد سر و صدا/توجه‌سازی کوچک. اصل طلایی: اگر تازه شروع می‌کنی، ب یا ج بهترین‌اند چون ریسک و پیچیدگی‌شان در رول کمتر است. 3) ایده را به “فرصت محدود” گره بزن بزرگ‌ترین عامل خرابکاری موفقِ داستانی: زمان و پنجره فرصت. به خودت بگو: - این خرابکاری باید در کجا جواب بدهد؟ - در چه ساعتی یا چه روالی؟ - اگر امنیت/نگهبان/کارمند نبود چه می‌شد؟ - اگر واکنش سریع رخ داد، چه بلایی سر عملیات می‌آید؟ پس به ایده یک “پنجره” بده: «فقط ۱۲ دقیقه بین تعویض شیفت و شروع جلسه» این کار هم خلاقیت می‌دهد هم منطقی‌اش می‌کند. 4) با خلاقیت، ایده را “کوچک‌سازی” و “قابل دفاع” کن خرابکاری خوب معمولاً: - اثر کوچیک می‌گذارد - اما اثر دومین/زنجیره‌ای ایجاد می‌کند فرمول: هدف کوچک + فرصت محدود + اقدام دقیق + پیامد کنترل‌شده چطور “پیامد زنجیره‌ای” بسازی؟ برای هر خرابکاری، یک مسیر پیامد طراحی کن: - اقدام تو ← باعث می‌شود کسی یک تصمیم اشتباه بگیرد؟ - یا باعث می‌شود تیم فرآیند را دوباره چک کند؟ - یا باعث می‌شود یک نفر وقت را از دست بدهد؟ - یا باعث می‌شود سیستم نویز تولید کند و حقیقت گم شود؟ نکته: لازم نیست دنیا نابود شود؛ فقط باید “مسیر” عوض شود. 5) ۵ نوع خلاقیت برای سوق دادن ایده به سطح بالاتر این‌ها تکنیک‌اند برای اینکه ایده تکراری نشود: 1) تغییر زاویه دید: به جای هدف گرفتن “شیء”، هدف “روتین کار” باشد. 2) تله‌ی انسانی: خرابکاری تو طوری طراحی شود که واکنشِ طبیعیِ طرف مقابل هم به نفع داستان شود. 3) اثر زمان‌مند: چیزی درست مثل “خطای کوچک” باشد که بعداً اثر بگذارد (نه همان لحظه فاجعه کند). 4) اطلاعات ناقص ولی قابل‌باور: اطلاعاتی بده که «به نظر بدیهی» برسد، نه یک توهم آشکار. 5) چندلایه کردن نشانه‌ها: ردپا طوری پخش شود که تحلیل‌گر دنبال «عامل اشتباه» برود. 6) یک چک‌لیست سریع برای ارزیابی ایده‌ات قبل از نوشتن، ایده را با این سوال‌ها بسنج: - آیا آسیب واقعی ایجاد نمی‌کند؟ (در رول می‌خواهیم داستانی بی‌خطر باشد) - آیا قابل باور است که در دنیای تو انجام شود؟ - آیا پنجره فرصت دارد؟ - آیا حداقل یک نتیجه زنجیره‌ای دارد؟ - آیا امنیت/مقابل می‌تواند واکنش نشان دهد؟ - آیا خروج حرفه‌ای و پیامد قابل گزارش دارد؟ اگر ۳ مورد یا بیشتر “نه” شد، ایده را پرورش بده و منطقی‌ترش کن. 7) قالب آماده برای تبدیل ایده به رول این قالب رو پر کنین: 1) دارایی مهم (Asset): 2) تهدید/نیاز خرابکار: 3) ضعف محیط/آدم‌ها (Weak Point): 4) پنجره فرصت: 5) اقدام کوچک و دقیق: 6) پیامد کنترل‌شده: 7) واکنش احتمالی امنیت/طرف مقابل: 8) خروج حرفه‌ای و ردپا (کم/قابل کنترل):