
امنیت سایبری یکی از سریعترین زمینههای در حال رشد در صنعت فناوری اطلاعات است. تهدیدات اینترنتی روزبهروز در حال تکامل هستند بهطوریکه در هر ثانیه پنج تهدید جدید کشف میشود که سبب آسیب بیشتر میشود.
آیا شما درزمینهٔ امنیت سایبری هیچ تجربهای ندارید؟
ابزارهای Metasploit, Nmap, Burp Suite بهترین ابزارهای امنیتی هستند که برای انجام تست نفوذ روی برنامههای تحت وب و آسیبپذیریهای سیستم مورداستفاده قرار میگیرند.
در کجا میتوانید مهارتهای خود را به چالش بکشید و بیاموزید؟
زمانی که درزمینهٔ هک مهارت کسب کردید، باید تواناییهای خود را (بهطور قانونی) بر روی سیستمعاملهای آسیبپذیر تست کنید. در زیر پروژههای آسیبپذیری معرفیشدهاند که اهداف اصلی آنها کمک به متخصصان امنیتی برای تست مهارتهای خود در یک محیط قانونی است.
Damn Vulnerable Web Application (DVWA)
Google Gruyere (Web Application Exploits and Defenses)
The ButterFly – Security Project
Compact List Of Over 20 Vulnerable Hacking Platforms
مقایسه حقوق و دستمزد مشاغل امنیت سایبری
معمار امنیتی Security Architect
نقش اصلی: حفاظت از سیستمها با انجام اقدامات امنیتی
حقوق متوسط ایالاتمتحده: 119،000 دلار
متوسط حقوق بازنشستگی انگلستان: 72،500 پوند
افسر امنیت اطلاعات Information Security Officer
نقش اصلی: توسعه و ارائه برنامههای امنیتی
حقوق متوسط ایالاتمتحده: 89،000 دلار
متوسط حقوق بازنشستگی انگلیس: 65،000 پوند
مهندس امنیت Security Engineer
نقش اصلی: توسعه و حفظ روشهایی است که سیستمها را قادر میسازد تا از وقوع اختلال، ازجمله از بلایای طبیعی جلوگیری کنند.
حقوق متوسط ایالاتمتحده: 88،000 دلار
حقوق و دستمزد متوسط بریتانیا: 52،500 پوند
مشاور امنیت Security Consultant
نقش اصلی: ارائه راهکار به مشتریان برای رفع نیازهای مربوط به نگرانیهای امنیتی سیستم
متوسط درآمد ایالاتمتحده: 81،140 دلار
حقوق و دستمزد متوسط بریتانیا: 47،099 پوند
Crytpanalyst
نقش اصلی: مطالعه و کشف نقاط ضعف موجود در سیستمها
میانگین حقوق و دستمزد ایالاتمتحده: 76،470 دلار
انگلیس متوسط حقوق: بدون اطلاعات
تحلیلگر بدافزار Malware Analyst
نقش اصلی: تجزیهوتحلیل اینکه چگونه بدافزارهای مختلف کار میکنند
حقوق متوسط ایالاتمتحده: 75،000 دلار
حقوق و دستمزد متوسط انگلیس: 60،000 پوند
متخصص امنیت اطلاعات Information Security Specialist
نقش اصلی: تمرکز بر حفاظت از سیستمها با تعریف و تنظیم دسترسی و تخصیص منابع
میانگین حقوق و دستمزد ایالاتمتحده: 71،418 دلار
حقوق و دستمزد متوسط انگلیس: 60،000 پوند
پاسخدهنده امنیتی Incident/Security Responder
نقش اصلی: بررسی نقض اطلاعات، جرائم اینترنتی یا سایر حوادث مربوط به امنیت.
متوسط درآمد ایالاتمتحده: 70،000 دلار
انگلیس متوسط حقوق: بدون اطلاعات
تحلیلگر قانونی کامپیوتر Forensic Computer Analyst
نقش اصلی: استفاده از ابزارهای موجود برای پیدا کردن دادهها در رایانهها و سایر دستگاهها
حقوق متوسط ایالاتمتحده: 68،671 دلار آمریکا
انگلیس متوسط حقوق: 62،500 پوند
توسعهدهنده نرمافزار امنیتی Security Software Developer
نقش اصلی: استفاده از زبانهای برنامهنویسی مختلف برای توسعه نرمافزار خاص امنیتی
میانگین حقوق و دستمزد ایالاتمتحده: 65،668 دلار
انگلیس متوسط حقوق: بدون اطلاعات
آیا شما در حال حاضر تجربه محدودی دارید و میخواهید یک متخصص امنیت سایبری شوید؟
معمولاً هیچکس بهطور حرفهای امنیت سایبری را آغاز نمیکند. در زیر هر آنچه برای شروع قدرتمند موردنیاز است بررسی میکنیم.
متخصصان IT باتجربهٔ گسترده، کارشناسان امنیتی کاملی هستند. اکثر آنها مهارتهای تخصصی ویژهای را در اختیار شما قرار میدهند و علاوه برداشتن ارزیابی قوی برای تمام جنبههای امنیتی، مسائل عمومی مردم درزمینهٔ امنیت را نیز بررسی میکنند.
مشاغل IT که میتوانند به مشاغل امنیتی سایبری منجر شوند عبارتاند از:
Computer Programmer
Computer Software Engineer
Computer Support Specialist
Computer Systems Analyst
Database Administrator
IT Technician
IT Technical Support
IT Customer Service
Network Administrator
Network Engineer
Network Systems and Data Analyst
System Administrator
Web Administrator
مهمترین چیزهایی که باید روی آنها تمرکز کنید:
۱. مهارت و تحصیلات
۲. مهارتهای برنامهنویسی
۳. ساختن آزمایشگاه خود
۴. ساخت پروژههای خود
۵. دریافت گواهینامهها
۶. شبکهسازی با دیگران
۷. حضور در همایشها
۸. درک کسبوکار
۹. داشتن اشتیاق
بیاید شروع کنیم.
۱. مهارت و تحصیلات
امنیت اطلاعات یکرشته پیشرفته است، به این معنی که قبل از ورود به آن، باید در بخش دیگری از تکنولوژی خوب باشید. البته الزامی نیست، اما ایده آل است.
سه حوزهای که مردم بهطورمعمول از آن گرایش پیدا میکنند عبارتاند از:
System Administration
Networking
Development
اما اگر شما هیچ پیشزمینهای ندارید، باید از صفر شروع به یادگیری کنید.
سهراه اصلی برای انجام این کار وجود دارد:
- دانشگاه
- آموزشگاه
- گواهینامه Certifications
Networking (TCP/IP/switching/routing/protocols,etc.)
System Administration (Windows/Linux/Active Directory/hardening,etc.)
Programming (programming concepts/scripting/object orientation basics)
با دریافت گواهینامههای زیر میتوانید این مهارتها را بیاموزید.
کتابهای فوقالعادهای (به زباناصلی) در این زمینهها وجود دارد که میتوانید بامطالعهٔ آنها بهسرعت این مباحث را بیاموزید.
Security+
Linux+
CCNA
MCP Active Directory
CEH
۲. برنامهنویسی
برنامهنویسی بسیار مهم است. اجازه دهید در مورد چیزی روشن بگویم: اگر مهارتهای برنامهنویسی خود را پرورش ندهید، در کار حرفهای امنیت اطلاعات بهشدت محدود خواهید شد.
البته بدون مهارت برنامهنویسی هم میتوانید کارهای خوبی انجام دهید، اما نمیتوانید ابزار بسازید، مفهوم کدها درک کنید و همیشه به کسانی که میتوانند وابسته هستید. یادگیری مهارتها به انگیزه و هدف و انرژی شما بستگی دارد.
چند مهارت مهم برنامهنویسی
C, C++, C# and Java
Python, Ruby, PHP, Perl and/or shell
Assembly language and disassemblers
Regular Expression (regex) skills
Linux/MAC Bash shell scripting
منابع آموزشی
یکی از مهمترین چیزهایی که برای هر infosec حرفهای اهمیت دارد، مجموعهای از خبرها، مقالات، ابزارها، وبلاگها است.
توصیه من این است که از دو منبع اصلی استفاده کنید:
Twitter
RSS feeds
۳. ساختن آزمایشگاه خود
داشتن یک آزمایشگاه ضروری است. این درواقع یکی از اولین مواردی است که هر متخصص به آن نیاز دارد. آزمایشگاه جایی است که یاد میگیرید. آزمایشگاه جایی است که پروژههایتان را اجرا میکنید. آزمایشگاه جایی است که شما رشد میکنید.
بهترین فهرست برای ساخت آزمایشگاههای موردنیاز
VMware (or similar) on a laptop or desktop
VMware (or similar) on a laptop or desktop that’s now a server
A real server with VMware (or similar) on it
VPS systems online (Linode, Digital Ocean, etc.)
Build an Active Directory forest for your house
Run your own DNS from Active Directory
Run your own DHCP server from Active Directory
Have multiple zones in your network, including a DMZ if you’re going to serve services out of the house
Stand up a website on Windows/IIS
Stand up a website on PHP
Build a blog on WordPress
Have a Kali Linux installation always ready to go
Build an OpenBSD box and create a DNS Server using DJBDNS
Set up a proxy server
Build and configure a local email server that can send the email to the Internet using Postfix
مزیت یک آزمایشگاه این است که شما هر چیزی که از اخبار آسیبپذیریها میشنوید، میتوانید در آزمایشگاه خود آزمایش کنید. این برای هوش ذهنی فزاینده ارزشمند است.
اکنونکه این فهرست رادارید، میتوانید شروع به تمرکز بر روی پروژههای خود کنید.
۴. ساخت پروژههای خود
اینجایی است که دانش کتاب متوقف میشود و خلاقیت شروع میشود. شما همیشه باید روی پروژهها کارکنید. بهعنوان یک مبتدی و یا حتی یک حرفهای، هیچکس نباید از چیزی که شما در حال کار روی آن هستید باخبر شود. پروژهها تمایل زیادی به برنامهنویسی دارند. ایده اصلی این است که شما ابزارهایی را میسازید که ممکن است برای مردم مفید باشد.
مهارت کلیدی که باید پرورش دهید، توانایی شناسایی یک مشکل در مورد نحوه انجام کارها و سپس یافتن یک راهحل و درنهایت ساخت یک ابزار برای آن راهحل است. فکر نکنید که چند پروژه داشته باشید. در عوض، فقط بر مشکلات جالب امنیتی تمرکز کنید.سایت اینترنتی
شما هرروز باید وبسایتهای برتر امنیتی سایبری را دنبال کنید.
یک وبسایت بانام شخصی خود firstnamelastname.com ایجاد کنید و در آن اطلاعات تماس خود، یک لیست از پروژههای خود، و غیره را قرار دهید. در رسانههای اجتماعی LinkedIn, twitter و غیره، کانالی بانام شخصی خود ایجاد کنید در آن شروع به فعالیت کنید و با افراد متخصص ارتباط برقرار کنید.
۵. گواهینامهها
آیا گواهینامههای امنیت اطلاعات واقعاً ارزشدارند؟ کدامیک از آنها باید دریافت کنم؟
بله، گواهینامهها مهم هستند اما مهارت و تجربه از آنها مهمتر است. بهطورکلی هر چیز دیگری که مردم در مورد آن فکر میکنند مهم و ارزشمند است.
کدام گواهینامهها را دریافت کنم؟
گواهینامهها برای مبتدیان
اگر شما تازه شروع کردهاید، توصیه میکنم که گواهینامههای CompTIA زیر را دریافت کنید:
A+
Network+
Linux+
Security+
گواهینامهها منابع آموزشی خوبی را در اختیار شما میگذارند، و اگر شما تمام چهار گواهینامه را بگذرانید، درک مفیدی از بسیاری از اصول دریافت میکنید.
گواهینامههای پیشرفته
شما به CISSP نیاز دارید، باید گواهینامه حسابرسی (CISA / CISM) را دریافت کنید، و باید یک گواهی فنی (SANS) دریافت کنید. بنابراین:
CISSP
CISA/CISM
SANS (GSEC/GPEN/GWAPT)
پس از چهار سال تجربه درزمینهٔ امنیت اطلاعات، باید CISSP خود را داشته باشید. این نزدیکترین چیز به پایه استانداردی است که صنعت امنیت اطلاعات دارد. در حقیقت، در بسیاری از سازمانها از مدارک دانشگاهی علوم کامپیوتر بهتر است. (زیرا بسیاری از آنها در زمان خود در دانشگاه یاد نمیگیرند.)
بعد، شما میخواهید فضای حسابرسی را پوشش دهید، که بخش مهمی از امنیت اطلاعات است. برای همین باید CISA یا CISM را دریافت کنید. و درنهایت، میخواهید یک یا چند گواهینامه فنی دریافت کنید. من توصیه میکنم با GSEC شروع کنید که شگفتآور است. گاهی اوقات کارفرمایان در مورد CEH نیز میپرسند، بنابراین آن را هم داشته باشید.
بهترین گواهینامههای تست نفوذ
CPTC – Certified Penetration Testing Consultant
CPTE – Certified Penetration Testing Engineer
CompTIA – Security+
CSTA – Certified Security Testing Associate
GPEN – GIAC Certified Penetration Tester
OSCP – Offensive Security Certified Professional
CEH – Certified Ethical Hacker
ECSA – EC-Council Certified Security Analyst
CEPT – Certified Expert Penetration Tester
بهترین گواهینامههای امنیت اطلاعات در سال 2018
CompTIA Security+
CEH: Certified Ethical Hacker
GSEC: SANS GIAC Security Essentials
CISSP: Certified Information Systems Security Professional
CISM: Certified Information Security Manager
۶. شبکهسازی با دیگران
خوب، اکنون ما یک آزمایشگاه داریم، ما در حال کار روی برخی از پروژهها هستیم، در وبسایت و در شبکههای توییتر و لینکدین در حال فعالیت هستیم و چند گواهینامه داریم.
حال نوبت آن رسیده با متخصصان صحبت کنیم. برای شرکت در کنفرانسهای Blackhat و DEFCON به Vegas بروید. در آنجا با بسیاری از متخصصان صحبت کنید و اطلاعات کسب کنید.
یک مربی پیدا کنید
کسی را پیدا کنید که دارای سبکی است که دوست دارید، به او ایمیل بزنید و بخواهید به شما آموزش دهد.
۷. حضور در همایشها
کنفرانسها راهی برای انجام چند کار هستند:
- از تحقیقات جدید انجامشده باخبر شوید
- با دوستان جدیدی آشنا شوید
- ایدهها و تحقیقات خود را برای دیگران ارائه دهید
شما واقعاً لازم نیست به کنفرانسها بروید
بیشتر کنفرانسها، مخصوصاً آنهایی که واقعاً خوب هستند، بلافاصله پس از برگزاری در دسترس قرار میگیرند، بنابراین کافی ست آنها را از وب سایتها دانلود کنید. اما برای تازهواردان مذاکرات میدانی میتواند راهی ارزشمند برای یادگیری فرهنگ امنیت اطلاعات باشد.
اگر شما در ابتدای راه هستید، قطعاً باید حداقل یکبار به DEFCON بروید. قبل از DEFCON هرسال BlackHat برگزار میشود، که کمی حرفهایتر و گرانتر است، اما هنوز هم برای افراد جدید مناسب است.
تعداد کمی از این موارد عبارتاند از:
DerbyCon
ShmooCon
ThotCon
CactusCon
HouSecCon
علاوه بر این کنفرانسها، شما باید با سرفصلهای OWASP تسلط داشته باشید.
۸. درک کسبوکار
بسیاری از افراد فنی فاقد علم بازاریابی و مذاکره هستند که بهشدت توانایی آنها را در گفتگوها محدود نشان نمیدهد.
در اینجا قاعده اساسی این است: در کسبوکار، همهچیز به پول میرسد. بنابراین تمامکارهایی که شما در برابر خطرات امنیتی انجام میدهید، اسکن و یافتن آسیبپذیریها، اکسپلویت zero-day و … اینها همه زیرمجموعه تمرکز برای کسبوکار است.
شرکتها میخواهند میزان خطرات امنیتی خود را تعیین کنند تا بتوانند تصمیم بگیرند که چقدر باید برای کاهش آن خرج کنند. شما باید آمادهباشید که در مورد میزان خطرات صحبت کنید، چه مقدار پول برای کاهش این خطرات درراههای مختلف باید هزینه شود و چه خطراتی باقی خواهد ماند.
بهطور خلاصه، سعی کنید برای هر چیزی یک قیمتی تعیین کنید و در مورد خطر و مقابله با آسیبپذیریهای خاص و سایر جزئیات امنیتی فکر کنید.
۱۰ مشاغل برتر امنیت اطلاعات
۱. تحلیلگر امنیت اطلاعات Information Security Analyst
شغل تحلیلگر امنیت اطلاعات شامل ارزیابی اثربخش سیاستهای امنیت اطلاعات و نشان دادن آسیبپذیریها یا عدم کنترل برای کاهش خطر خاصی است. تحلیلگر امنیتی با تمام بخشهای شرکت کار میکند تا توصیههای امنیتی را برای بهبود ارائه دهد. این موقعیت با ظهور ISO 27001، Sarbanes-Oxley و مقررات مشابه و چارچوب تطبیقپذیری معمول است.
شغل: اساساً هر شرکتی که با اطلاعات سروکار دارد، نیاز به یک تحلیلگر امنیت اطلاعات دارد.
۲. پاسخدهنده حادثه Incident Responder
افرادی که در این پروژه فعالیت میکنند، سیستمهای رایانهای را برای نقض امنیت نظارت خواهند کرد، گزارش نقض و اقدامات مناسب را اجرا خواهند کرد. در صورت وقوع حادثه امنیتی، پاسخدهنده حادثه اقدامات محافظتی و اصلاحی را انجام خواهد داد.
شغل: این متخصصان معمولاً در بخش نظارت و کنترل شبکه SOC یا مرکز دادهها قرار میگیرند.
۳. مهندس امنیت شبکه Network Security Engineer
مهندسان امنیت شبکه مسئول توسعه، نگهداری و رفع عیبیابی سیستمهای امنیتی شبکههای کامپیوتری، پیکربندی امنیتی سختافزار و نرمافزار، تهیه گزارشهای امنیتی هستند. این متخصصان دارای دانش عمیق از پروتکلهای ارتباطی، مسیریابی شبکه، بستهبندی و فیلتر کردن محتوا هستند.
شغل: تقریباً هر شرکتی با یک زیرساخت شبکه متوسط/بزرگ نیاز به مهندس امنیت شبکه دارد. برای شرکتهای کوچک، انتظار میرود که مدیر شبکه این ضعف را بپوشاند.
۴. تحلیلگر بدافزار Malware Analyst
کار تحلیلگر بدافزار شامل مهندسی معکوس روی بدافزارها است. مانند مهندسی معکوس روی ویروسها و نرمافزارهای جاسوسی برای تعیین نحوه حمله به سیستمهای کامپیوتری و نحوه گسترش آنها است. این حرفه نیاز به یک دانش عمیق از زبانهای برنامهنویسی سطح بالا و پایین دارد.
شغل: سازندگان نرمافزارهای امنیتی
۵. متخصص تست نفوذ بر سیستم، شبکه و وبسایت System, Network, and Web Penetration Tester
این کار شامل تلاش برای نفوذ به سیستمها، شبکهها و برنامههای کاربردی است تا آسیبپذیریهای آنها را شناسایی کند و شرکتها بتوانند نقصها را اصلاح و امنیت خود را بهبود بخشند. تستر باید قادر به شناسایی نقص در امنیت باشد و راهحلهای احتمالی را ارائه دهد و همچنین پیشنهادهایی در مورد چگونگی تخصیص منابع امنیتی را ارائه دهد. این حرفهٔ امنیت اطلاعات بهعنوان هکر کلاهسفید، هکر اخلاقی و pentesting شناختهشده است.
شغل: ارائهدهندگان خدمات امنیت اطلاعات و شرکتهای مشاوره، سازمانهای عمدهای که در آنها امنیت مهم است مانند بانکداری، مالی، بهداشت و غیره.
۶. تحلیلگر قانونی Forensic Analyst
تحلیلگر قانونی سیستمهای کامپیوتری را تجزیهوتحلیل میکند و به شناسایی افرادی که مسئول سوءاستفاده از یک سیستم هستند یا اینکه آیا یک برنامه خاص برای ارتکاب جرم مورداستفاده قراردادند را شناسایی میکنند. تحلیلگر قانونی مسئول حفظ، مستندسازی و تفسیر مدارک کامپیوتری تحت قوانین و دستورالعملهای قانونی است.
شغل: ارائهدهندگان خدمات امنیت اطلاعات و شرکتهای مشاوره، سازمانهای عمدهای که در آنها امنیت مهم است مانند بانکداری، مالی، بهداشت و غیره.
۷. متخصص قضایی امنیت اطلاعات Information Security Forensics Expert
این حرفه امنیت اطلاعات شامل تجزیهوتحلیل پس از نقص امنیتی سیستم توسط هکرها است و تعیین میکند چگونه نقص رخداده و کدامیک از سیستمهای شرکت ممکن است به خطر بیافتد.
این شغل نیاز به حرفههای امنیتی با مهارتهای مهندسی پزشکی قانونی و معکوس و همچنین آگاهی از آخرین روشهای بهرهبرداری از آسیبپذیریهای سیستم را دارد.
شغل: ارائهدهندگان خدمات امنیت اطلاعات و شرکتهای مشاوره، سازمانهای دولتی.
۸. محقق جرائم کامپیوتری Computer Crime Investigator
اینیکی از شگفتانگیزترین شغلهای امنیتی است، زیرا این کار به پلیس و محققان قانونی کمک میکند تا جرائمی را که شامل کامپیوترها یا جنبههایی از تحقیقات جنایی مربوط به رایانه است، به پلیس و دادگستری ارائه شود. محقق جرائم رایانهای از فناوریهای پیشرفته برای تحلیل شواهد استفاده میکند. آنها همچنین به مسئولان اجرای قانون در بازیابی اطلاعات پاکشده، پنهان و رمزگذاری شده کمک خواهند کرد.
شغل: آژانسهای اجرای قانون، شرکتهای مشاوره امنیت اطلاعات.
۹. معمار امنیت اطلاعات Information Security Architect
معماران امنیت اطلاعات افراد حرفهای هستند که بر روی تصویر بزرگ فکر میکنند: آنها باید نهتنها از هر قطعهای از فنآوری مستقر در معماری کسبوکار آگاه باشند، بلکه باید درک کنند که چگونه همه این مؤلفهها برای دستیابی به اهداف سازمانی در تعامل با یکدیگر هستند.
این معمار از مراحل اولیه هر پروژه فناوری اطلاعات برای طراحی و پیادهسازی سیاستهای امنیتی موردنیاز برای حفاظت از یکپارچگی، محرمانه بودن و دسترسی اطلاعات تا پایان پروژه فعالیت میکند.
۱۰. افسر ارشد امنیت اطلاعات Chief Information Security Officer
مسئولیتهای این حرفه امنیت اطلاعات بسیار زیاد است، زیرا CISOs مسئول کل سیستم امنیتی کامپیوتر است. CISO بر کل شبکهای از افراد که از امنیت دیجیتالی شرکت محافظت میکنند، نظارت میکند.
مسئولیتهای آنها همچنین میتواند شناسایی اهداف حفاظت دیجیتالی شرکت و تعیین تخصیص منابع بر اساس حوزههای اولویتی و نیز نظارت بر بررسی نقضهای امنیتی و برنامهریزی واکنشهای حادثه باشد. بسته به کشور CISOs بهطور قانونی برای سلامت اطلاعات شرکت حیاتی هستند.
اینها برخی از اقدامات مهم برای مبتدیان است، که میتواند راه عالی برای شروع و تقویت حرفه امنیت سایبری مشخص کند.