الأمن الإلكتروني

حياة اختبار الاختراق ؟!

يقوم اختبار الاختراق (المعروف أيضًا باسم Ethical Hacker) بالتحري عن الثغرات الأمنية واستغلالها في التطبيقات والشبكات والأنظمة القائمة على الويب.

يقوم اختبار الاختراق (المعروف أيضًا باسم Ethical Hacker) بالتحري عن الثغرات الأمنية واستغلالها في التطبيقات والشبكات والأنظمة القائمة على الويب.

 

بعبارة أخرى ، تحصل على أموال مقابل الإختراق القانوني. في هذا العمل “الطفل البارد” ، ستستخدم سلسلة من أدوات الاختراق – بعضها محدد سلفًا ، بعضها تصممه بنفسك – لمحاكاة الهجمات السيبرانية الحقيقية. هدفك النهائي هو مساعدة منظمة على تحسين أمنها.

ما هي متطلبات اختبار الاختراق؟

في حين أنه قد يكون من الممكن العثور على وظيفة كمخترع للاختراق يعتمد فقط على امتلاك مجموعة المهارات الصحيحة ، إلا أن معظم أصحاب العمل يفضلون توظيف مختبرين للاختراق ممن لديهم خبرة عمل سابقة ذات صلة. بعض أرباب العمل يريدون الموظفين الذين لديهم على الأقل درجة البكالوريوس. بالإضافة إلى ذلك ، قد يطلب أرباب العمل حصول مختبري الاختراق على شهادة في مجال الاختراق الأخلاقي ومناطق أمان تكنولوجيا المعلومات الأخرى.

متطلبات درجة

معظم أجهزة اختبار القلم لا تحمل درجة متخصصة. نظرًا لأن الاختراق الأخلاقي يتعلق بالمهارات أكثر من الاعتماد على المقررات الدراسية ، فإن درجة البكالوريوس أو درجة الماجستير في الأمن السيبراني غير ضرورية إذا كان لديك خبرة عمل مناسبة.

صقل مهاراتك في الشوارع بأي طريقة يمكنك. انتقل إلى مؤتمرات الاختراق والبحث عن الشهادات المحتملة (انظر أدناه) ، والنظر في دورات SANS ، وإعداد مختبر اختبار القلم ، والتعلم من أجهزة اختبار القلم الأخرى ، وقراءة المزيد.

خبرة في العمل

وبشكل عام ، يبدو أن أرباب العمل يبحثون عن 2-4 سنوات من الخبرة المتعلقة بالأمن مع الممارسة في اختبار الاختراق وتقييمات الضعف. نطاق اختبار الاختراق الأول هو أكثر متغير. قد يكون أقل من 3 وعبر 7 إلى 10 سنوات من الخبرة.

بالإضافة إلى التعليم ، مطلوب اختبار الاختراق لديهم مهارات معينة. يجب أن يكون لديهم مهارات الكمبيوتر ممتازة لتكون قادرة على محاولة أنظمة القرصنة. والأهم من ذلك ، يجب أن يكون لمخترقي الاختراق مهارات استثنائية في حل المشكلات لكي يتمكنوا من تحديد أفضل مسار للعمل عند حل المشكلات وحماية الشبكات من التهديدات أو الانتهاكات المحتملة.

مهارات صعبة

يقوم مختبري القلم بإجراء عمليات تدقيق الأمان وتطوير التعليمات البرمجية وأتمتة العمليات وثنائيات الهندسة العكسية – تستمر القائمة. لذا حاول وتعلم قدر ما تستطيع عن أنظمة التشغيل والبرمجيات والاتصالات وبروتوكولات الشبكة.

فيما يلي المهارات التقنية التي رأيناها أرباب العمل لصالح:

  • أنظمة تشغيل Windows و UNIX و Linux
  • C، C ++، C #، Java، ASM، PHP، PERL
  • خوادم الشبكة وأدوات الشبكات (مثل Nessus و nmap و Burp وما إلى ذلك)
  • أجهزة الكمبيوتر وأنظمة البرمجيات
  • تطبيقات على شبكة الإنترنت
  • أطر الأمن (مثل ISO 27001/27002 ، NIST ، HIPPA ، SOX ، إلخ.)
  • أدوات ومنتجات الأمن (Fortify ، AppScan ، إلخ.)
  • تحليل الضعف والهندسة العكسية
  • إطار Metasploit
  • أدوات الطب الشرعي
  • مبادئ التشفير

الشهادات للاختراق الاختراق

لا توجد قائمة رئيسية بالشهادات المفضلة لاختبار القلم. على الرغم من أنه يتمتع بشعبية كبيرة في صناعة تكنولوجيا المعلومات ، إلا أن CEH فضفاضة للغاية. ننصحك بأن تسأل الزملاء عن الإيجابيات وسلبيات الاعتمادات مثل CPT / CEPT و GPEN و- خاصة – OSCP.

  • CEH : معتمد هاكر أخلاقي
  • CPT : اختبار الاختراق المعتمد (الآن LPT)
  • CEPT : خبير اختبار الاختراق المعتمد
  • GPEN : اختبار الاختراق المعتمد من GIAC
  • OSCP : المهنية الأمنية المعتمدة معتمد
  • CISSP : Certified Information Systems Security Professional
  • GCIH : GIAC Certified Handident Handler
  • GCFE : GIAC معتمد الطب الشرعي الفاحص
  • GCFA : GIAC Certified Analyst Analyst
  • CCFE : معتمد الطب الشرعي الكمبيوتر شرعي
  • CREA : محلل هندسي معتمد عكسي

ما هي بعض أدوار الاختبار والاختبارات المسؤوليات؟

يسعى مختبِرون الاختراق إلى التعرف على ثغرات أمنية في شبكات المؤسسة ، ثم حلها ، وأحيانًا إنشاء بروتوكولات أمان جديدة أو محسّنة. هذا ينطوي على العديد من المسؤوليات والمهام.

كاختبار للاختراق ، من المرجح أن يُطلب منك:

  • إجراء اختبارات الاختراق على أنظمة الكمبيوتر والشبكات والتطبيقات
  • إنشاء طرق اختبار جديدة لتحديد الثغرات الأمنية
  • تصميم وإنشاء أدوات واختبارات اختراق جديدة
  • قم بإجراء تقييم الأمان المادي للأنظمة والخوادم وأجهزة الشبكة الأخرى لتحديد المناطق التي تتطلب الحماية المادية
  • تحديد النقاط ونقاط الدخول التي قد يستخدمها المهاجمون لاستغلال نقاط الضعف أو الضعف
  • ابحث عن نقاط الضعف في البرامج المشتركة وتطبيقات الويب والأنظمة الاحتكارية
  • بحث وتقييم وتوثيق ومناقشة النتائج مع فرق تكنولوجيا المعلومات والإدارة
  • توظيف الهندسة الاجتماعية للكشف عن ثغرات الأمان (مثل سوء ممارسات أمان المستخدم أو سياسات كلمة المرور)
  • مراجعة وتقديم ملاحظات حول إصلاحات أمان المعلومات
  • إنشاء تحسينات لخدمات الأمان الموجودة ، بما في ذلك الأجهزة والبرامج والسياسات والإجراءات
  • تحديد المجالات التي تحتاج إلى تحسين في التثقيف والتوعية الأمنية للمستخدمين
  • كن حساسًا لاعتبارات الشركات عند إجراء الاختبار (تقليل وقت التوقف عن العمل وفقدان إنتاجية الموظفين)
  • كن على اطلاع دائم بأحدث التهديدات الأمنية والبرامج الضارة

على الرغم من أن المسؤوليات المذكورة أعلاه تقع على عاتق المسئولين عن اختبار الاختراق ، فقد تكون لديك واجبات إضافية وفقًا للمؤسسة التي تعمل بها. أحيانًا يكون هناك تداخل في وظائف تكنولوجيا المعلومات ، لذا من المهم أن تكون مرناً وأن تعمل كجزء من فريق متماسك.

القرصنة الأخلاقية هي مزيج من الجنس و البتات المملة. على عكس المتسللين في الحياة الواقعية ، قد يكون لديك فقط أيام لتقديم حلول توفيقية. ما هو أكثر من ذلك ، يتوقع منك توثيق وشرح الأساليب والنتائج الخاصة بك. وقد دعا اختبار الاختراق واحدة من أكثر الوظائف المحبطة في مجال infosec.

أثناء اختبار الاختراق ، سوف تركز عادة على استغلال نقاط الضعف (على سبيل المثال جعله هدفًا لكسر جزء من النظام). ولكن كما يشير دانييل مايسلر في “الفرق بين تقييم الضعف واختبار الاختراق” ، لن تضطر إلى الذهاب إلى الطريق لإثبات وجهة نظرك:

” قد يكون فريق اختبار الاختراق قادراً على التقاط صور ثابتة بجوار الخزانة المفتوحة ، أو لإظهار أن لديهم إمكانية الوصول الكامل إلى قاعدة بيانات ، وما إلى ذلك ، دون اتخاذ مجموعة الإجراءات الكاملة التي يستطيع المجرم فعلها. 

يوم في حياة اختبار الاختراق

قد يبدو اليوم المعتاد لأحد مخترقي الاختراق مختلفًا كثيرًا عن اختبار آخر اعتمادًا على المنظمة التي يعملون بها. بالنسبة للبعض ، قد يكون هناك حاجة للسفر بين مواقع مختلفة ، قد يكون مطلوبًا من العمل في المساء أو عطلات نهاية الأسبوع لعدم تعطيل تدفق العمل للشركة ، أو قد يكونوا قادرين على أداء بعض الواجبات عن بعد أو عن طريق العمل عن بعد. ولكن ، في قلب موقف اختبار الاختراق هو تحديد نقاط الضعف في نظام الأمن من خلال محاولة استغلالها ومن ثم الخروج بحلول لحل نقاط الضعف للحفاظ على أمن معلومات منظمتهم.

قد يتضمن اليوم العادي لاختبار المخترع المهام التالية:

  • خطة اختبار اختراق محددة
  • قم بإنشاء أو تحديد أدوات الاختبار المناسبة
  • قم بإجراء اختبار الاختراق على الشبكات أو التطبيقات أو الأنظمة
  • منهجيات الوثيقة
  • تحديد نقاط الضعف باستخدام البيانات التي تم جمعها
  • استعراض وتقييم النتائج
  • إنشاء حلول ممكنة لنقاط الضعف
  • تقديم الملاحظات والتوصيات للإدارة أو العملاء

بالنسبة إلى جميع خبراء اختبار القلم القادمين ، أود مشاركة رابط الكل في واحد والذي سيساعدك في طريقك:

https://github.com/kaiiyer/awesome-pentest

الوسوم

اترك تعليقاً

إغلاق
إغلاق

أنت تستخدم إضافة Adblock

برجاء دعمنا عن طريق تعطيل إضافة Adblock