العاهرات في طليعة الأمن السيبراني

في مجال أمن المعلومات ، هناك مهنة مهمة ورائعة للغاية بالنسبة لـ Pentester ، أي متخصص في اختراق أنظمة الكمبيوتر.

لكي تعمل كمهندس ، يجب أن تكون لديك مهارات تقنية جيدة ومعرفة الهندسة الاجتماعية وأن تكون شخصًا واثقًا. بعد كل شيء ، تتمثل المهمة في الغالب في التغلب على بعض اللاعبين ذوي الخبرة الذين يوفرون حماية تكنولوجيا المعلومات للشركة ، وكذلك توفير الحيل للأشخاص الآخرين الذين يريدون الالتفاف على هذه الحماية. الشيء الرئيسي هنا هو عدم المبالغة في ذلك. خلاف ذلك ، قد يحدث موقف غير سارة للغاية .

أعدت Cloud4Y برنامج تعليمي صغير حول عمل المكب ، والمهارات والشهادات اللازمة.
يزداد الطلب على المبتدئين كل يوم (يطلق عليهم أحيانًا اسم المتسللين "الأخلاقيين" أو "البيض" ، لأنهم يحاولون غالبًا اختراق الأنظمة المحمية للقضاء على نقاط الضعف التي يمكن للمتسللين الآخرين استخدامها لتحقيق مكاسب شخصية). يقدر موقع CybersecurityVentures.com أنه بحلول عام 2021 ، ستصل الأضرار الناجمة عن الجرائم الإلكترونية في جميع أنحاء العالم إلى 6 تريليونات دولار ، وسوف يقوم المتسللون بضرب منظمات مثل Target و Facebook و Equifax وحتى الوكالات الحكومية مثل NSA ووزارة الأمن الداخلي.

اختبار الاختراق المطلوبة

الكثير على المحك ، ومستوى التدريب المطلوب لمثل هذه المناصب الرئيسية في مجال أمن المعلومات مرتفع للغاية بحيث يصعب على أرباب العمل إيجاد متخصصين مؤهلين لشغل عدد متزايد من الوظائف. هناك عدد قليل بشكل مخيف من المتخصصين في الأمن السيبراني.

هذا هو أحد العوامل الرئيسية التي تسهم في ارتفاع رواتب الأمن السيبراني المهني. على سبيل المثال ، يُظهر موقع CyberSeek.org ، الذي يوفر بيانات عن العرض والطلب في سوق العمل للأمن السيبراني ، متوسط ​​مرتبات المضايقات. هي 102،000 دولار .

ما الذي يجب أن يفعله الخبير ، ما هي قيمته؟ الغرض الرئيسي من الاختبار هو تحديد الثغرات الأمنية في كل من النظم والسياسات. للنجاح في هذه المهام ، هناك حاجة إلى العديد من المهارات:

• مهارات الترميز اللازمة لاقتحام أي نظام ؛
• معرفة شاملة بأمان الكمبيوتر ، بما في ذلك الطب الشرعي ، وتحليل النظم وأكثر من ذلك بكثير ؛
• فهم كيفية استخدام المتسللين للعامل البشري للوصول غير المصرح به إلى أنظمة آمنة ؛
• فهم واضح لكيفية أن انتهاكات أمان الكمبيوتر يمكن أن تضر الأعمال التجارية ، بما في ذلك الآثار المالية والإدارية ؛
• مهارات استثنائية في حل المشكلات ؛
• مهارات الاتصال لاستخدام العامل البشري في الاختبارات ؛
• مهارات للتعبير عن أفكارك بوضوح وبشكل مستمر من أجل توثيق وتبادل النتائج الخاصة بك.

عادة ما يتم إجراء اختبار الاختراق مع مراعاة خصائص مؤسسة معينة والصناعة التي تعمل فيها. تستخدم بعض الصناعات ، مثل الرعاية الصحية والمصرفية ، المكبرين لتلبية معايير سلامة الصناعة.

لتحديد المواقع العمياء المحتملة المفقودة من قبل مطوري النظام أو التطبيق أو أي برنامج ، عادة ما تشارك منظمات الجهات الخارجية. يمتلك موظفوها ، المتسللون "الأخلاقيون" ، خبرة في مجال التطوير ، ويحصلون على تعليم جيد وعدد من الشهادات التي يتطلبها الأمن السيبراني. بعض الصيادون هم بالفعل قراصنة سابقون. لكنهم يستخدمون المواهب والمهارات لمساعدة المنظمات على حماية أنظمتها.

ماذا يفعل بنتستر

بالإضافة إلى امتلاك المهارات التي ذكرناها أعلاه ، يجب أن يكون المكبّر قادرًا على "التفكير كعدو" من أجل التعامل مع مجموعة كاملة من الأساليب والاستراتيجيات التي يمكن للمتسللين استخدامها وتوقع تهديدات جديدة.

إذا أصبحت اختبارًا للتغلغل ، فمن المحتمل أن يتضمن عملك تخطيط الاختبارات وتنفيذها ، وتوثيق المنهجيات الخاصة بك ، وإنشاء تقارير مفصلة حول نتائجك ، وربما المشاركة في تطوير الإصلاحات وتحسين بروتوكولات الأمان.

بشكل عام ، يمكن ذكر مسؤوليات العمل التالية:

• إجراء اختبارات الاختراق في أنظمة الكمبيوتر والشبكات والتطبيقات
• إنشاء طرق اختبار جديدة لتحديد نقاط الضعف
• إجراء تقييم أمان مادي للأنظمة والخوادم وأجهزة الشبكة الأخرى لتحديد المناطق التي تتطلب الحماية المادية
• حدد الطرق ونقاط الدخول التي يمكن للمهاجمين استخدامها لاستغلال الثغرات أو نقاط الضعف
• العثور على نقاط الضعف في البرامج المشتركة ، وتطبيقات الويب ، وأنظمة الملكية
• بحث وتقييم وتوثيق ومناقشة النتائج مع فرق تكنولوجيا المعلومات والإدارة
• عرض وتقديم تعليقات على التصحيحات في نظام أمن المعلومات
• تحديث وتحسين خدمات الأمن الحالية ، بما في ذلك الأجهزة والبرامج والسياسات والإجراءات
• حدد المجالات التي تحتاج إلى تحسينات في تدريب المستخدم على السلامة والتوعية
• انتبه لمصالح الشركات أثناء الاختبار (تقليل وقت التوقف عن العمل وفقدان إنتاجية الموظف)
• مواكبة مع أحدث البرامج الضارة والتهديدات الأمنية

بنتستر الوظيفي

كن مستعدًا لحقيقة أن عملك لن يجلب الفرح فقط. الإثارة ، التوتر العصبي ، التعب - هذه ظواهر طبيعية عند الاختبار. لكن من غير المرجح أن تهددك عمليات مثل اختراق كمبيوتر CIA من فيلم Mission Impossible. وإذا كانوا يهددون ، فماذا؟ لذلك أكثر إثارة للاهتمام.

نصيحتنا لأي شخص يريد بناء مهنة بنتيست بسيط للغاية. ابدأ العمل كمبرمج أو مسؤول نظام للحصول على المعرفة اللازمة حول كيفية عمل الأنظمة ، ثم العثور على عيوب فيها سيصبح أمرًا مألوفًا ، غريزيًا تقريبًا. الخبرة العملية في هذا المجال لا يمكن الاستغناء عنها.

من المهم أيضًا أن نفهم أن اختبار الاختراق هو عملية لها بداية ووسط ونهاية. البداية هي تقييم النظام ، والوسط هو الجزء الممتع ، والتسلل الفعلي للنظام ، والنهاية هي توثيق ونقل النتائج إلى العميل. إذا لم تكن قادرًا على إكمال أي مرحلة ، فيمكنك بالكاد أن تقول أنك ستصبح صديقًا جيدًا.

في معظم الأحيان ، تتمثل وظيفة Pentester في دراسة النظام عن بُعد عند قضاء ساعات طويلة في لوحة المفاتيح. لكن العمل قد يشمل الرحلات إلى أماكن العمل ومرافق العملاء.

هناك العديد من اختبار تغلغل الوظائف على LinkedIn في مجموعة واسعة من الشركات:


لذلك هناك طلب ، وكذلك الاحتمالات. بالإضافة إلى ذلك ، يؤدي ارتفاع الطلب إلى زيادة سريعة في راتب كبير ضباط الأمن. في مجال الأمن السيبراني ، هناك تخصصات أخرى تشترك في الكثير من اختبارات الاختراق. وهو محلل لأمن المعلومات ، متخصص في الأمن ، محلل ، مراقب ، مهندس ، مهندس معماري ، ومسؤول. تضيف العديد من الشركات مصطلح "cyber" إلى الأسماء المذكورة أعلاه للدلالة على التخصص المقابل.

اختبار الاختراق أو مقيم الضعف

بشكل منفصل ، نريد أن نفرد عملًا آخر قريبًا بشكل أساسي: عمل مقيم الضعف. ما هو الفرق؟ باختصار ، هنا:

يهدف تقييم الثغرات الأمنية إلى تجميع قائمة من الثغرات الأمنية حسب الأولوية ، وكقاعدة عامة ، يستهدف العملاء الذين يدركون بالفعل أنهم ليسوا حيث يريدون ، من وجهة نظر أمنية. يعرف العميل بالفعل أن لديه مشاكل ، وأنه يحتاج فقط للمساعدة في تحديد أولوياتهم. نتيجة التقييم هي قائمة أولويات نقاط الضعف المكتشفة (وغالباً ما تكون طرق القضاء عليها).

تم تصميم اختبار الاختراق لتحقيق هدف محدد ، وهو محاكاة أنشطة المهاجم ، ويتم طلبه من قبل العملاء الذين وصلوا بالفعل إلى المستوى المطلوب من الأمان. قد يتمثل الهدف النموذجي في الوصول إلى محتويات قاعدة بيانات العملاء القيمة على الشبكة الداخلية أو تعديل سجل في نظام إدارة شؤون الموظفين. نتيجة اختبار الاختراق هي تقرير عن كيفية تعرض الأمان للخطر لتحقيق هدف متفق عليه (وغالبًا ما يكون هناك طرق للقضاء على الثغرات الأمنية).

تجدر الإشارة أيضًا إلى برامج Bug Bounty ، التي تستخدم أيضًا طرق اختبار الاختراق. في مثل هذه البرامج ، تقدم الشركات مكافآت نقدية للمتسللين "البيض" الذين يحددون نقاط الضعف أو الأخطاء في أنظمة الشركة.

أحد الاختلافات هو أنه عند اختبار الاختراق ، يبحث عدد محدود من المتخصصين عادة عن نقاط ضعف معينة ، في حين تدعو برامج Bug Bounty أي عدد من المتخصصين للمشاركة في البحث عن نقاط الضعف غير المؤكدة. بالإضافة إلى ذلك ، عادةً ما يتم دفع أجور السباحين مقابل أجر كل ساعة أو سنوية ، بينما يعمل أعضاء Bug Bounty على نموذج الدفع الفوري ، ويقدم تعويضًا نقديًا يتناسب مع خطورة الخطأ الذي تم العثور عليه.

كيف تصبح بنتستر معتمد

على الرغم من أن الخبرة العملية في اختبار الاختراق هي العامل الأكثر أهمية ، إلا أن العديد من أصحاب العمل ينظرون غالبًا: هل لدى المرشحين شهادات صناعية في مجال القرصنة "البيضاء" ، القرصنة ، أمن تكنولوجيا المعلومات ، إلخ ، وأحيانًا يختارون أولئك الذين لديهم هذه الشهادات.

يمكنك أيضا الحصول على هذه الوثائق. نحن حتى أعدنا قائمة إلى أين تذهب:

• هاكر الأخلاقية المعتمدة CEH
• اختبار الاختراق المعتمد CPT
• خبير معتمد اختبار الاختراق CEPT
• GIAC اختبار الاختراق المعتمد GPEN
• اختبار الاختراق المرخص LPT
• أخصائي أمن معتمد (مهني معتمد من OSCP )
• شهادة المحمول وتطبيقات الويب الاختراق تستر CMWAPT
• كومبتيا PenTest +

ما هو مفيد آخر للقراءة في مدونة Cloud4Y

→ طريق الذكاء الاصطناعي من فكرة رائعة إلى الصناعة العلمية
→ 4 طرق للحفظ على النسخ الاحتياطية في السحابة
→ تكوين القمة في جنو / لينكس
→ الصيف قد انتهى تقريبا. تقريبا لا تسربت البيانات
→ إنترنت الأشياء ، الضباب والغيوم: الحديث عن التكنولوجيا؟

اشترك في قناة Telegram الخاصة بنا حتى لا يفوتك مقال آخر! نكتب أكثر من مرتين في الأسبوع وفقط في الأعمال.