Geekly articles weekly

المتسللين الأم في وظيفة رسمية: ما يفعله البنتستي



"Pentester" - الكلمة هي في الواقع ليست الروسية ، واستعارة. ما يتبادر إلى الذهن للناس ليس من تكنولوجيا المعلومات ، أخشى أن أتخيل. لذلك ، نحن أنفسنا "في روسيا" نسميها بفخر "المتخصصين في اختبار الاختراق". ما هو الآخر "الاختراق" ولماذا يجب اختباره؟ في هذه المقالة سأحاول فتح حجاب السرية للمبتدئين.

هناك شركات كبيرة تعمل فيها "الأعمام" المحترمة. ويعملون بواسطة المبرمجين الذين يكتبون الكود ويرتكبون أخطاء في بعض الأحيان. أسباب الأخطاء شائعة: بسبب الغباء ، بسبب الكسل أو بسبب الجهل بالتكنولوجيا ، وغالبًا بسبب حرق farts من المواعيد النهائية التي لا تسمح لك بالتفكير من خلال منطق التطبيق وتغطية الرمز مع الاختبارات.

في أي منتج برنامجي ، أي خطأ يمثل ثغرة أمنية محتملة. الضعف هو بالفعل خطر محتمل. والمخاطر سيئة نوعًا ما ، ويمكنك أن تخسر المال (بشكل عام ، يمكنك أن تخسر الكثير من الأشياء: بيانات العميل ، والملكية الفكرية ، والسمعة ، ولكن كل هذا يتم حسابه بالمال).

وما رأيك؟ تقرر الأعمام الكبرى عدم التسرع في المبرمجين ، ونقلهم إلى دورات التطوير الآمن ، وإعطاء الوقت لإتقان الكود ومنحهم تدليك القدم؟ بالطبع لا. تقرر الأعمام الكبيرة قبول هذه المخاطر (تقليل ، نقل ، تأمين والعديد من الكلمات الطنانة الأخرى). بشكل عام ، تدور البرامج - اللوفخة مشوش. سرق قراصنة قليلا ، وذهب كل شيء في دفق قياسي ، ولكن كان في الوقت الحاضر.

مع مرور الوقت ، بدأت كمية البيانات في النمو بشكل ملحوظ ، نمت غطرسة المتسللين بشكل أسرع. بدأت الأضرار الناجمة عن القرصنة تتجاوز الحدود المقبولة. أيضًا ، بدأ المستخدمون يدركون قيمة بياناتهم الشخصية "المهمة جدًا" ، ثم انطلق "الشباب" من السياسة وبدأوا في الدوران (التنصت على المكالمات الهاتفية لكبار المسؤولين ، تعطيل محطة الطاقة النووية الإيرانية ، تزوير الانتخابات ، حرية التعبير ، الحق في الخصوصية ، الحق في النسيان) وأخيرا "الأسلحة الإلكترونية"!).

لقد أدرك الجميع على الفور أن أمن المعلومات ليس من أجلك "Khuhra-Mukhra".
هنا ، قال الأشخاص الأكثر احتراماً إنهم بطبيعة الحال سوف يسجنون المتسللين الشر (الذي سيصلون إليه) ، ولكن الجميع بحاجة إلى أن يتحملوا بطريقة أو بأخرى مسؤولية أنشطتهم واتخاذ التدابير اللازمة لأمن المعلومات. أصدروا تعليمات ، وضربوا بمطرقة وهربوا.

نقطة مهمة للقارئ: يمكن لـ "العمل" ، بالطبع ، أن يقول إن خصوصيتك مهمة جدًا بالنسبة له ، ولن يتم نقل البيانات إلى أي شخص وسيتم حماية كل جزء من المعلومات من قبل شخص مدرب بشكل خاص ، ولكن هذا في الواقع لا يهم أي شخص. الدوافع الرئيسية لضمان أمن المعلومات هي "الجدات" أو بشكل أكثر دقة:

  • المتطلبات التنظيمية (غرامات ثقيلة على خلاف ذلك) ؛
  • منع المتسللين من سرقة الكثير (يمكن أن يؤدي إلى الإفلاس) ؛
  • الحفاظ على سمعة (حتى يتسنى للمستخدمين السذج حمل أموال الشركة).

بشكل عام ، في البداية لم يزعج أحد كثيرًا ، فقد طوروا قطعًا ذكية من الورق ، واشتروا معدات معتمدة ، ووظفوا متخصصين معتمدين (أو بالأحرى ، اشتروا قطعًا من الورق لضعفهم) ، ويبدو أن كل شيء آمن من النظرة الأولى. ولكن كما يفهم الجميع ، لا تنطلق ورقة واحدة في الحياة الواقعية.

مرة أخرى ، تجمع "الأعمام الأذكياء" وقرروا: من أجل الدفاع ضد المهاجم ، عليك التفكير كأنك مهاجم. ليس بالضرورة بنفسك ، يمكنك إضفاء الطابع الرسمي على هذه العملية ، وتوظيف أشخاص مدربين بشكل خاص "في السترات" ، والسماح لهم باختراق أنفسهم ، وسيكون الإخراج ورقة جديدة ، ولكن بالفعل "تقرير فني"!

لذلك ، "المكب" بطريقة بسيطة هو شخص يقلد عمل مهاجم حقيقي ، وبالتالي اختبار المنظمة لاحتمال الاختراق (التسوية) والوصول إلى أصول المعلومات (المعلومات السرية).

كيف تختبر؟ من اين أين تخترق؟ ما هي المعلومات للحصول على؟ ما هي القيود؟ - كل هذه هي التفاصيل التي تم الاتفاق عليها مسبقا.

من الخارج ، يبدو أن المهمة سهلة وذات أجور عالية ، بالإضافة إلى أن السوق غير مشبع بالمتخصصين ، وبالتالي ، فإن الاتجاه يتشكل أن العديد من الطلاب يريدون أن يصبحوا "متسللين رائعين" يجلسون في المنزل على الأريكة ويضغطون على اثنين من المفاتيح ، ويخترقون عمالقة تكنولوجيا المعلومات. ولكن هل هذا بسيط؟

تجربة الحياة


Pentester ليس مجرد اختبار ، من الأفضل عدم الذهاب هنا من مقاعد البدلاء المدرسية دون خبرة في العمل كموظف في شركة عادية أو شركة بائع .

يجب أن تذهب من خلال مدرسة الحياة ، أمثلة:

  • اشرح للمحاسب أن الطابعة لا تعمل لأن السلك غير متصل بالكمبيوتر ؛
  • اشرح للمدير المالي في الشركة أن كتابة كلمة مرور على ملصق على الكمبيوتر أمر سيء للغاية ؛
  • تثبيت البرامج مع الحد الأدنى من متطلبات 4Gb على جهاز كمبيوتر مع ذاكرة الوصول العشوائي 256 ميغابايت ؛
  • إعداد شبكة الشركة على أجهزة التوجيه المنزلية بحيث يطير كل شيء ؛
  • انتظر شهرين للموافقة على الوصول إلى نظام معلومات بسيط ؛
  • وضع سياسة لأمن المعلومات في غضون يومين عن طريق تنزيل "fish" من الإنترنت ؛
  • اطلب من الله ترجمة البرنامج ، وبدون تغيير أي شيء في الكود ، احصل على النجاح ؛
  • اجعل العمل أسرع مرتين من المخطط ، واحصل على المزيد من العمل بدلاً من الجائزة
  • إلخ

وإلا ، فإن تقريرك بالكامل دون فهم الممارسة والشخصية الحقيقية للعميل سيظل جزءًا جميلًا من الورق ، ولن يتم تنفيذ التوصيات أبدًا.

عادة لا يكون من الصعب العثور على "ثقب" واحد في شركة متعددة الألف ، ولكن من دون تجربة الحياة ، سيكون من الصعب تحليل وكسر الأنظمة الأخرى بشكل كامل دون فهم:

  • كيف تم بناؤه؟ (نوعيا ، أو تحت المواد)
  • لماذا هكذا؟ (الكسل والميزانية والظروف والموظفين)
  • ماذا يمكن للمطور / المهندس المعماري / المسوق الشبكي أن يغيب
  • لماذا لا يوجد أحد مسؤول عن اختراق النظام؟ (ويحدث ذلك)
  • لماذا لا أحد يريد إصلاح الثغرة الأمنية الفائقة الأهمية لديك؟ (ويحدث ذلك)
  • لماذا لا يمكن إصلاح الثغرة الحرجة في بضع ساعات؟ (ربما يكون الأشخاص قد أنهوا يوم عملهم ولم يدفع أي شخص للمعالجة)
  • ما مدى سهولة إصلاح الثغرة الأمنية المكتشفة؟ (ربما هناك دعم للاستعانة بمصادر خارجية منتهية الصلاحية)
  • إلخ

متطلبات Pentester


تختلف متطلبات مثل هذا المتخصص ، بالطبع ، عن متطلبات رائد فضاء ، فليس من الضروري أن تكون مرنًا جسديًا ، لا يمكنك عمومًا الاستيقاظ من الأريكة لفترة طويلة ، ولكن هناك بعض الفروق الدقيقة الخاصة بك.

فيما يلي عينة من المسؤوليات الوظيفية:

  • اختبارات الاختراق (pentest):
    • اختبار الاختراق الخارجي والداخلي ؛
    • تحليل الأمان لتطبيقات الويب ؛
    • تحليل أمان الشبكات اللاسلكية ؛
    • اختبار الاختراق باستخدام أساليب الهندسة الاجتماعية ؛
  • اختبارات الاختراق كجزء من معيار PCI DSS.
  • تطوير تقارير وتوصيات الاختبارات التي أجريت.
  • تطوير وتطوير كفاءات القسم في مجال أمن المعلومات.

متطلبات العينة:

  • وجود التعليم الفني العالي في مجال أمن المعلومات.
  • المعرفة بإدارة أنظمة * nix و Windows وخوادم الويب.
  • معرفة بروتوكولات الشبكة (TCP / IP) ، وتقنيات الأمان (802.1x) ، وكذلك نقاط الضعف الرئيسية لبروتوكولات الشبكة (arp-spoofing ، ntlm-relay).
  • معرفة عمل بروتوكولات وتقنيات الويب (http ، https ، الصابون ، ajax ، json ، بقية ...) ، بالإضافة إلى ثغرات الويب الرئيسية (OWASP Top 10).
  • المعرفة بسوق منتجات أمن المعلومات (المصنعين والموردين والمنافسين واتجاهات التنمية وخصائص الطلب واحتياجات وتوقعات العملاء).
  • فهم تقنيات أمن المعلومات (WAF ، VPN ، VLAN ، IPS / IDS ، DLP ، DPI ، إلخ).
  • تجربة مع برامج nmap ، sqlmap ، dirb ، wireshark ، جناح تجشؤ ، Metasploit ، المستجيب ، Bloodhound.
  • تجربة مع Kali Linux OS.
  • معرفة OWASP ، منهجيات PCI-DSS.
  • تجربة التنمية في بيثون ، PHP ، روبي ، باش ، بوويرشيل ، جافا ، C ، الجمعية.
  • فهم أساسيات الهندسة العكسية.
  • معرفة اللغة الإنجليزية ليست أقل من المستوى المتوسط.
  • معرفة الصينية (انتظر قريبا).

بالإضافة إلى:

  • خبرة في الهندسة العكسية وتحليل البرمجيات الخبيثة.
  • خبرة في استغلال نقاط الضعف الثنائية.
  • توفر الشهادات المهنية CEH ، OSCP ، OSCE ، إلخ.
  • المشاركة في المسابقات المهنية (CTF ، hackathon ، olympiads).
  • المشاركة في برامج Bug Bounty.
  • وجود CVE الخاص بك.
  • خطاب في المؤتمرات المهنية.

من نفسي:

في هذه الحالة ، يهتم عدد قليل من الناس بالعبقري الفني الاجتماعي ، وعادة ما يكون الشخص المنتهية ولايته مطلوبًا هنا ، والذي يمكنه:

  • اشرح للعميل ما يريده حقًا وكيف سيبدو ؛
  • تقديم وحماية أفعالهم وتوصياتهم بشكل صحيح في شكل كتابي وشفهي ؛
  • إذا نجحت ، قم بإنشاء "تأثير رائع" ؛
  • في حالة الفشل ، قم بإنشاء "تأثير نجاح باهر" (السلبيات من pentest هي مزايا أمن المعلومات) ؛
  • كن مقاومًا للتوتر (يكون الجو حارًا ، خاصة مع العمل الخفي) ؛
  • حل المهام في الوقت المحدد حتى مع المشاريع المشتركة.
  • أن تكون في اتجاه (أوه ، نعم ، أن تكون في اتجاه هو "عبء" جميع المتخصصين في تكنولوجيا المعلومات):
    • [لا يمكنك أن تأخذها فقط ولا تفكر في العمل بعد العمل].
    • تحتاج إلى أن تتطور باستمرار.
    • قراءة غرف الدردشة في برقية ، وقراءة المدونات الأجنبية ، وقراءة الأخبار ، وتتبع Twitter ، وقراءة Habr ، ومشاهدة التقارير.
    • تعلم أدوات جديدة ، وتتبع التغييرات في المستودعات.
    • حضور المؤتمرات ، والتحدث عن نفسك ، وكتابة المقالات .
    • تدريب الموظفين الجدد.
    • أن تكون معتمدة.
  • لا تحترق.

فلسفة بنتست


لا داعٍ للاعتقاد بأن المكبوت سوف يُظهر جميع المشكلات ، وأن النتيجة ستكون تقييمًا موضوعيًا لأمن معلوماتك في الشركة (المنتج).

يوضح pentest فقط النتيجة التي يمكن لفريق من المتخصصين المعينين في ظروف معينة (الزمان والمكان ونموذج المهاجم والكفاءات والإجراءات المسموح بها والقيود التشريعية والأولويات ومرحلة القمر ) تحقيقها من خلال محاكاة عمل المهاجم.

تذكر: لا يمثل المبتدئون دخيلاً حقيقيين يمكنهم الجمع بين السرقة والقرصنة والابتزاز ورشوة الموظفين وتزوير الوثائق وتأثيرها والعوامل البشرية العالمية الأخرى ، ويتم تنسيق كل شيء هنا 100 مرة ، والتحكم في العبء وكل شيء على دراية.

Pentest هو أيضا الحظ. لقد تمكنت اليوم من استخراج كلمة مرور المسؤول من ذاكرة الوصول العشوائي وانتقلت إلى مسؤول المجال لشبكة الشركة بالكامل ، وغداً لم تكن موجودة بالفعل ، ولن يتم الوصول إلا إلى الوصول البسيط (البسيط) إلى التقرير على بعض الخوادم القديمة المثيرة للاهتمام.

الاختلافات من وجهات قريبة


بالإضافة إلى "pentester" ، هناك أيضًا "redtimers" ، "baghunters" ، "باحثون" ، "مدققون" ، خبراء في أمن المعلومات فقط - كل هذا يمكن أن يكون شخصًا واحدًا ، أو يمكن أن يكون هناك أشخاص مختلفون ، متداخلون جزئيًا فقط من حيث الاختصاصات. لكن حاول "مضغ" هذه المصطلحات قليلاً:

"المراجع"


يتم تزويد هذا المتخصص بجميع المستندات ومخططات الشبكة وتكوينات الأجهزة ، والتي يتم على أساسها تقديم الاستنتاجات والتوصيات للمؤسسة وفقًا لأفضل معايير وخبرات المدقق. نظرًا لانفتاح المعلومات ، فإنه يوفر أكبر تغطية لجميع عمليات IS ورؤية شاملة للبنية التحتية بأكملها.

نادرًا ما يتحقق المدقق بشكل مستقل من كل إعداد في المؤسسة ، وعادةً ما يتم توفير المعلومات له من قبل العميل نفسه ، والتي تكون قديمة أو غير صحيحة في بعض الأحيان.

من الضروري الجمع بين الجهود التي يبذلها المراجعون والمراقبون للتحقق من كل من ورقة مع العمليات التجارية وتنفيذها في الممارسة.

"باحث"


بنتستر في أنقى صوره ليس باحثًا ، فهو ببساطة لا يملك وقتًا لذلك. أقصد بالباحث أخصائي يمكنه رفع منصة ونشر برامج معينة وفحصها فقط لأعلى ولأسفل لعدة أسابيع أو حتى أشهر.

تخيل الآن ، أنك تقوم بتوظيف أخصائي لاختبار البنية التحتية لشركتك ، وقد جلس هناك طوال الوقت ودرس برنامج "إرسال عيد الحب" المثبت على جهاز كمبيوتر أحد الموظفين. حتى لو نجحت ، فأنت لست مهتمًا جدًا بنتائج عمله.

"Redtimer"


Redtim هي فلسفة اختبار مختلفة تماما. مناسبة للشركات التي لديها IS ناضجة ، والتي أجرت بالفعل عمليات التدقيق و pentests ، بالإضافة إلى جميع أوجه القصور التي تم القضاء عليها.

هنا ، هو الأقرب إلى المهاجم الحقيقي ، وخدمة IS IS وخدمات الحلفاء ( SOC ...) قيد التحقق بالفعل.

الاختلافات من Pentest:

  • فقط عدد قليل من الناس يعرفون عن العمل ، والرد سوف ترد في الوقت الحقيقي للهجمات.
  • يتم تنفيذ العمل بشكل سري - يمكنك الهجوم من مضيفات السحابة في الليل.
  • ليست هناك حاجة للقيام بتغطية الاختبار - يمكنك اتباع المسار الأقل مقاومة والعثور على كلمة المرور على github.com.
  • نطاق التعرض أوسع - 0day يمكن تطبيقها ، ثابت في النظام.
  • يتم تنفيذ العمل لفترة طويلة (عدة أشهر ، سنة) ، لا يتطلب التعجيل - يمكنك هنا البحث عن البنية التحتية للعميل على حوامل مرتفعة لتقليل استخدام معدات الحماية.

"BagHanter"


المقارنة بين baghunter مع pentester غير صحيح - هو مثل دافئ مع لينة ، واحد لا يتداخل مع الآخر. لكن من أجل الانفصال ، يمكنني القول أن pentester هو موقف أكثر ، فالعمل ينطوي على عدد من المهام الرسمية بموجب اتفاق مع العميل وفقًا للمنهجية المعلنة ومع صياغة التوصيات.

يكفي أن يجد الباحث عن وجود ثقب في أي شخص (عادة من قائمة على الموقع) ويرسل دليلاً على وجود خطأ (الشروط المسبقة ، الخطوات).

مرة أخرى ، لا توجد اتفاقيات أولية ولا موافقات - لقد وجدت مشكلة عدم الحصانة وأرسلتها إلى العميل من خلال الموقع (يمكن للموقع www.hackerone.com أن يكون مثالًا للموقع). يمكنك حتى أن ترى كيف فعلت Petya في المنظمة "أ" وكررت الأمر هناك في المؤسسة "ب". المنافسة هنا مرتفعة ، و "فاكهة معلقة منخفضة" تأتي عبر أقل وأقل. من الأفضل اعتباره شكلاً من أشكال الدخل الإضافي للمهندس.

خصوصية pentest من شركة متكاملة


قد يبدو هذا القسم إعلانات ، لكنك لن تفلت من الحقائق.

كل pentest فريدة بطريقتها الخاصة (على الرغم من أن التقنية يمكن أن تكون نمطية). هناك العديد من العوامل التي تجعلها فريدة من نوعها ، ولكن في الأساس فريق من المتخصصين ، الذين يتأثر أسلوبهم بالتأكيد بالشركة التي يعملون بها.

لذلك ، على سبيل المثال ، بنتنت وحدها هي نفسها مهمة لشركة واحدة ، ونتائجها ، فهي تكسب المال فقط على هذا. الشركة الثانية تريد خلق عيوب محددة خلال المكبوت من أجل بيع حلها الوقائي. يركز الثالث بشكل أكبر على العمليات التجارية المعطلة لإثارة طبقة كاملة من المشاكل واقتراح تدابير لحلها.

بالعمل في شركة تكامل ، سأتحدث عن ميزات آفاتنا للعملاء الخارجيين. الخصوصية هي:

  • نحن لسنا مهتمين بإجراء المكبوت من أجل المكبوت وتمديده لعدة أشهر.
  • يتم تنفيذ العمل في أقصر وقت ممكن ، وتهدف النتائج إلى تحديد الصورة الحقيقية لأمن معلومات العميل.
  • من الضروري تسليط الضوء على العمليات التجارية الإشكالية لأمن المعلومات من خلال اختبار نقاط البنية التحتية الرئيسية. لذا ، إذا تم اكتشاف نظام تشغيل قديم على 20 من أصل 20 جهاز كمبيوتر ، فما الفائدة من عرض 200 جهاز آخر؟ غالبًا ما تكون التغطية الكاملة غير مطلوبة ، ومن يمكنه ضمان ذلك على الإطلاق؟
  • وفقًا لنتائج نتائج البحث ، يمكن للشركة أن تعرض على الفور إجراء تدقيق وبناء عمليات تجارية واقتراح تدابير وقائية وتنفيذها ومرافقتها ومراقبتها. في روسيا ، لا تستطيع العديد من الشركات التباهي بمثل هذه المجموعة من الفرص. هذا أمر مريح عندما يمكن تقديم مجموعة كاملة من الخدمات من قبل شركة واحدة مع خبرة واسعة في مثل هذه المشاريع.

من وجهة نظر الموظف ، فإن الشركة المتكاملة هي مجموعة كبيرة من المشاريع لجميع أنواع العمل مع العملاء الصغار والكبار جداً على مستوى البلاد. هذا هو وجود رحلات العمل في كل من روسيا والخارج. وبالطبع ، العمل جنبًا إلى جنب في فريق مع مدققي الحسابات والتنفيذ ومهندسي الصيانة والبائعين ، إلخ.

الحياة العملية


تخيل أنك تعمل بالفعل كخبير كيف ستبدو أيام عملك؟

من الاثنين إلى الجمعة ، تقوم بإجراء "pentest خارجي" للعميل 1 مع زميل له. يتم العمل على أساس الخبرة الشخصية والأساليب الدولية ، مع مراعاة خصوصيات العميل. تقوم بتشغيل الماسحات الضوئية ، وتجميع خريطة ، والتحقق من قوائم المراجعة ، والتوافق مع أحد الزملاء حول نقاط الضعف المكتشفة.

في الوقت نفسه ، يبدأ فريق آخر بالاتصال بموظفي العميل ، متنكراً كخدمة أمنية ، بإرسال رسائل هائلة تحتوي على مرفقات ضارة ، حتى يغادر شخص ما لرمي محركات أقراص فلاش ووضع ملصقات على أراضي العميل.

هذه ليست منافسة ، لا توجد دائمًا نقاط ضعف مثيرة للاهتمام هنا ، والناس لا يستخدمون كلمات المرور دائمًا عبر الهاتف ، ولا يتم إعداد أجهزة الحماية دائمًا "متسربة" ، لذلك لا يمكن إلا أن تقيدك قائمة من الأعمال المنجزة ، ولكن لا تقلق ، لأن كل بنتوس يعلمك شيء جديد ويظهر العوامل البشرية المثيرة للاهتمام.

بضع مرات بعد تعثر العملاء في بيانات الإدخال ، تتدهور قابلية الصيانة للخدمات ، ويتم تعليق العمل. بعد التعديلات على القيود ، فإنها تستمر. كل شيء طبيعي. اكتب تقريرا

بعد ذلك ، يتم تعيينك لـ "pentest" للعميل 2 من خلال رحلة عمل إلى مدينة N ، يحصل أحد زملائك على اختبار لتطبيقات الهاتف المحمول. عند الوصول ، ستتم مرافقتك إلى مكتب منفصل وتوفير مكان للعمل. يمكنك توصيل كبل الشبكة بهدوء بالكمبيوتر المحمول وإجراء "pentest داخلي" ، وفقًا للاتفاقية المذكورة. ربما يمكنك التقاط وحدة تحكم المجال بعد 3 ساعات من بدء العمل من خلال ms17-010 وجمع المتجهات الأخرى بقية الأيام. ربما كنت تحاول طوال الأسبوع "اللعب" مع "تفويض Kerberos للسلطة" على زوج من الحسابات المستلمة. بالتأكيد سيأتي موظفو IB إليك ويسألون عما عثروا عليه. بالفعل بعد 15 دقيقة تتوقع السؤال: "حسنًا؟ هل تمكنت من كسر شيء ما؟ "، على الرغم من أن nmap لم" يسخن ". في أي حال ، عادة ما يكون لديك شيء تفاجئ حراس الأمن به ، وحتى مع وجود حساب من الطابعة ، يمكنك التقاط نسخ احتياطية لخادم Exchange. مزيد من التقارير والقصص حول "الرحلة العظيمة" للزملاء والمفاجأة للعميل والكثير من التوصيات والمزيد من الإيضاحات ، ولكن في النهاية بدأت الشركة تدرك حقًا أن الأمن عملية وليست تدبيراً لمرة واحدة ، وسوف تكون مسرورًا بالعمل المنجز.

بعد ذلك يتم تعيينك لفريق أحمر ، وأنت تقود سيارة مع زميل في سيارة ، وتوقف بجوار البنك. شن هجومًا على شبكة Wi-Fi باستخدام كمبيوتر محمول وهوائي خاص. أنت لست GRU ، ليس لديك قشرة ، يمكنك حقًا "الاستيلاء على قبعة" من الحراس الذين لا يمكن التنبؤ بهم ، لذلك يتم إخفاء الهوائي ، ولديك أسطورة تتوقعها من الأصدقاء.

ولكن الآن يتم استلام مصادقة شبكة Wi-Fi للشركات ، وقد قام زملاؤك في المكتب بالفعل بفكها وذهبوا عبر الإنترنت إلى صندوق بريد المدير الأعلى. إنه نجاح. مزيد من جمع المعلومات والتقارير والعروض التقديمية.

كذلك في أيام الأسبوع ، تكتب نصوصًا لتحسين جزء من عملك. اقرأ الأخبار واختبر التقنيات الجديدة في المنصة. في موازاة ذلك ، يرسل العملاء القدامى أسئلة عن العمل قبل شهر.

بعد ساعات قليلة يوم السبت (يتم دفع تكاليف المعالجة) ، يتم التخطيط لاختبار الحمل على العميل ، ويمكنك إسقاط الموقع بعد 10 دقائق من البدء ، وتخمين ماذا؟ اكتب تقريرا عن النتائج.

قريباً سيكون هناك حدث مثير للاهتمام لـ ASU TP ورحلة إلى مؤتمر IS على نفقة الشركة. يمكنك إسقاط دمعة من السعادة وإدراج علامة اقتباس في نموذج ويب جديد.

في الختام


موضوع البنتات ليس جديدًا ، لقد كتبوا عنه كثيرًا وبطرق مختلفة (يمكنك قراءته هنا وهنا ) ،
تظهر التخصصات المناسبة في الجامعات ، ويتم تنظيم المسابقات ، وتُعقد مؤتمرات مختلفة ، لكن "الجوع" في التوظيف يزداد كل عام. بالإضافة إلى ذلك ، ينمو نضج أمن المعلومات في العديد من الشركات ، وهناك المزيد والمزيد من أدوات حماية المعلومات التي تظهر ، والكفاءات العالية والمتعددة مطلوبة من المتخصصين. سيكون من المفيد لكل متخصص في تكنولوجيا المعلومات (ناهيك عن متخصصي أمن المعلومات) أن يشاركوا في فكرة حقيقية على الأقل مرة واحدة.

وعلى الرغم من بدايات التشغيل الآلي (مثال هنا ) ، فمن غير المرجح أن يحل شيئًا محل الشخص المؤهل الحي في السنوات العشر القادمة.

Source: https://habr.com/ru/post/ar459712/

More articles:


All Articles