تبلیغات
کلبه وحشت

کلبه وحشت
در دنیایی به این بزرگی من کوچکترینم 
نویسندگان
پیوندهای روزانه
لینک های مفید
چگونه یك متخصص امنیت اطلاعات شوم؟ كسب چه مهارت های امنیتی، آینده مرا تضمین می كند؟ شاید این سوال بسیاری از مبتدی های امنیت اطلاعات باشد كه می پرسند: "چه مهارت هایی من نیاز دارم تا اولین شغل امنیتی خود را پیدا كنم؟" اخیرا در همین زمینه من با افراد زیادی برخورد كردم كه درباره مهارت های مورد نیاز یك "تحلیگر امنیتی تكنولوژی های اطلاعاتی" سوال داشتند.

واقعا این سوال بسیار مهمی در زندگی حرفه ای یك شخص است كه من چگونه می توانم مهارت های فردی خود را ارتقاء دهم. تقریبا در تمامی كسانیكه در حرفه های مربوط به كامپیوتر فعالیت می كنند، یك نقطه مشترك وجود دارد. در حقیقت اینگونه نیست كه ما فقط در زمینه حرفه خود باید اطلاعات كسب كنیم و آموخته شویم؛ ما نیاز داریم كه از حرفه ها و تخصص های دیگر نیز در زمینه های مربوط به حرفه و شغل خود با خبر باشیم. در زمان ما، یك مركز تحصیلاتی متمركز  هم نبود كه بخواهد تمامی مسایل امنیتی را یك جا مطرح كند. اما امروزه مراكز دانشگاهی و علمی متعددی هستند كه در زمینه "امنیت اطلاعات" به صورت تخصصی فعالیت می كنند.

هر چند به دلیل ضعف اغلب مراكز آموزش رسمی در زمینه امنیت اطلاعات، برای رسیدن به جایگاه یك "تحلیلگر امنیتی" نیاز به تلاش فردی بسیاری است. درست است كه آوردن مهارت های دانشگاهی به دنیای واقعی امنیتی، به یك تحلیلگر می تواند كمك شایانی بكند، اما امروزه این غلط است كه بگوییم یك نفر یك ترم درسی را در دانشگاه می گذراند و تبدیل به یك تحلیگر امنیتی می شود.

همه ما برای یك بار هم كه شده در رویایمان، خود را در جایگاه یك تحلیلگر امنیتی قرار داده ایم و بدون آنكه كاری  كرده باشیم پله های ترقی را بالا رفته ایم. اما در واقعیت چه؟ در واقعیت هم ما بهترین كسی هستیم كه نقاط ضعف خود را می دانیم و به آن واقفیم و همانطور كه در بالا اشاره كردم فقط با كسب برخی مهارت ها می توانید آینده شغلی خود را تضمین كنید.

آیا همه مسیر ها به یك نقطه ختم می شود؟

SystemAdministrator2.JPG

همه ما می دانیم كه برخی حرفه ها از جمله مدیریت سیستم (System Administrator )، متخصص سخت افزار – اشخاصیكه در زمینه نگهداری روترها، سوییچ ها و ابزارهای دیگر تخصص دارند– و مدیران پایگاههای داده ای (Database Administrator )، تخصص های اصلی مشتركی با هم دارند. 

بله! یك مدیر سیستم كسی است كه بتواند در یك زمان تمامی كارهای گفته شده در بالا را انجام دهد، البته به دلیل آنكه در یك شركت بزرگ و یا در یك سازمان دولتی مشغول است فقط می تواند در یك فیلد خاص فعالیت كند. بخشی از تخصص هایی كه یك مدیر سیستم دارد در زیر آمده است و بعد از آن خواهیم گفت كه چگونه آنها می توانند برای یك تحلیلگر امنیتی نیز مفید باشند:

·         دانش و تخصص لازم در زمینه سیستم های ویندوزی

·         دانش و تخصص در زمینه پروتكل های اصلی شبكه

·         مفاهیم معماری شبكه

·         آشنایی با فایروال، راه حل های آنتی ویروس ها و برنامه های فیلتر محتوا(Content Filter )

·         تخصص های لازم در زمینه مدیریت پروژه

یكی از مهارتهایی كه یك مدیر سیستم نیاز دارد دانش و تخصص كافی در زمینه سیستم عامل هایی است كه در شبكه استفاده می گردد. در شبكه های امروزی این به معنی یادگیری در زمینه سیستم های ویندوزی و در برخی مواقع لینوكسی و یا BSD می باشد، زیرا تجربه به من نشان داده است كه در اغلب شبكه ها فقط ما از یك نوع سیستم عامل استفاده نمی كنیم بنابراین آشنایی با اغلب آنها لازم است. این موضوع دقیقا همان چیزی است كه یك تحلیلگر امنیتی باید انجام دهد زیرا برای او تفاوتی بین سیستم عامل های مختلف وجود ندارد و او نیاز دارد كه اطلاعات جامعی از كلیه سیستم عامل های ذكر شده داشته باشد.

اگر شما مدیر سیستم های ویندوزی باشید حتما با پروتكل های NetBIOS و فولدرهای اشتراكی ویندوز آشنایی كامل دارید زیرا كه آنها پایه اصلی فعالیت های ویندوز در شبكه هستند. یكی از ریسك های امنیتی این سرویس ها، بی حفاظ گذاشتن آنها به دلیل نداشتن كلمه عبور است. همه مدیران سیستم ها می دانند كه با استفاده از كلمه عبور می توان امنیت را برای فولدرهای اشتراكی در شبكه برقرار كرد. این موضوع و دانش نیز یكی از چیزهای عمومی است كه یك تحلیلگر امنیتی باید بداند.

داشتن دانش لازم در زمینه پروتكل های مورد استفاده از شبكه یكی از تخصص های مورد نیاز برای هر مدیر سیستم است. در ضمن یك مدیر سیستم كسی است كه سرویس دهنده های وب (Web Server ) را راه اندازی و پیكربندی می كند .

دانش و تخصص لازم در زمینه خطاهای پروتكل HTTP، چیزی است كه علاوه بر یك مدیر سیستم، یك تحلیلگر امنینی نیز آن را می داند. همچنین دانستن پروسه های مورد نیاز جهت محكم سازی یك سرویس دهنده وب جهت حفط امنیت آن، دانش مورد نیاز هر دو آنها است. این موضوع در زمینه پروتكل FTP نیز صادق است.

هر دو پروتكل FTP و HTTP دو بخشی هستند كه بسیار مورد نفوذ و حمله كدهای مخرب قرار می گیرند. پس تعجبی ندارد كه داشتن تخصص لازم در زمینه این دسته از پروتكل ها نیاز اصلی یك مدیر سیستم و یك تحلیلگر امنیتی است.

معماری یك شبكه جزو بخش هایی است كه معمولا در شبكه های بزرگ مورد غفلت قرار می گیرند و باز هم یك مدیر سیستم تنها كسی است كه در این زمینه  بیشترین نگرانی را دارد. با كمی پیچیدگی، یك شبكه می تواند هم از داخل و هم از بیرون در معرض خطر باشد. داشتن DMZ امروزه در برابر تكنیك های حفاظتی دیگر، بسیار معمول و پیش پا افتاده است. همه این مسایل كه درباره معماری و طراحی یك شبكه است، نیاز به دانشی دارد كه مدیران سیستم ها و تحلیلگران امنیتی هر دو به اندازه كافی از آن بهره مند باشند.

SystemAdministrator1.JPG

هر شبكه بزرگ و امروزی دارای ابزارهای مختلف امنیتی است. این ابزارها شامل فایروال، راه حل های آنتی ویروس ها، فیلتركنندگان محتوا و پروكسی سرور ها می باشد كه معمولا تمامی آنها توسط مدیران سیستم ها، مدیریت می شود. تنها تفاوت یك مدیر سیستم و یك تحلیلگر امنیتی عمق دانش آنها درباره خروجی های این ابزارها می باشد. برای نمونه یك تحلیلگر سیستم، كلیه ترافیك خروجی یك فایروال را تجزیه و تحلیل می كند و می گوید آیا هشدار های این سیستم معتبر هستند یا خیر. شاید فقط تعداد محدودی از مدیران سیستم  هستند كه با خواندن جزییات بسته های شبكه راحتند. این كار نیاز به زمان زیادی دارد، در حالیكه تنها چیزهایی كه مدیران سیستم نیاز دارند راه اندازی سیستم ، پیكربندی و نگهداری از این ابزارهاست، این همان دانشی است كه یك تحلیلگر امنیتی نیز آن را دارا می باشد.

مدیریت پروژه بخشی است كه فقط در هنگام نیاز به كار می آید. دانش و تخصص آن نیز برای یك مدیر سیستم و یك تحلیلگر امنیتی یكسان است. ره آوردهای مدیریت پروژه به هر فرآیندی كه یك نفر به عهده می گیرد قابل اعمال است. شاید این سوال در ذهن ایجاد شود كه چرا یك مدیر سیستم نیاز به دانستن این مساله دارد؟ یك نگاهی به اموری كه در طول یك ماه مدیر سیستم انجام می دهد داشته باشید. این كارها از به روزرسانی سیستم ها بعد از انتشار یك اصلاحیه تا ارائه یك سرویس جدید در شبكه می باشد. شما برای انجام تمامی این امور، به صورت ناخواسته اغلب مسایلی كه در مدیریت پروژه مطرح است را انجام می دهید. برای نمونه به روز رسانی سیستم عامل ویندوز XP به ویستا می تواند به عنوان یك پروژه مطرح شود. طرح های مختلفی مطرح می شود تا این پروژه با موفقیت صورت پذیرد و این همان كاری است كه یك مدیر پروژه انجام می دهد.

حال این مساله چگونه به یك تحلیلگر امنیتی ارتباط پیدا می كند؟ اغلب مواقع یك تحلیلگر امنیتی به عنوان یك مشاور عمل می كند و در یك شركت بزرگ جهت امری همچون "تجزیه و تحلیل ریسك" فعالیت می كند. طراحی "سیستم مدیریت اصلاحیه ها" نیز امری مشابه آن است و نیاز به مشخص كردن وظایف جهت پیشبرد آن دارد. همانطور كه می بینید این مسایل به گونه ای با هم شباهت دارند و نیاز است كه یك ره آورد مشابه مدیریت پروژه به آنها اعمال شود. در واقع اگر شما نخواهید این امور را تحت ره آوردهای مدیریت پروژه انجام دهید، این امور به سرعت و در بهترین حالت به سرانجام نخواهند رسید.

مرور دوباره

حالا بدیهی است كه مهارت های مورد نیاز یك مدیر سیستم، بسیار مشابه یك تحلیلگر امنیتی است. برعكس اگر شما تخصص لازم در زمینه سیستم عامل های متفاوت، پروتكل های مختلف در شبكه و یا مهارت های مورد نیاز یك مدیر سیستم را نداشته باشید نمی توانید یك تحلیلگر امنیتی خوب باشید.

بیان وجوه اشتراكی این دو حرفه بسیار سمبلیك است. یك مدیر سیستم نه تنها در زمینه عملكرد سرویس های ارائه شده در شبكه مهارت دارد، همچنین نگران وضعیت امنیتی آنها نیز است. شما نمی توانید یك سیستم یا سرویس را بدون داشتن تخصص و دانش لازم درباره آن، امن كنید. یك تحلیلگر امنیتی شخصی است كه دانش گسترده ای دارد. شما می توانید یكی از تخصص های دیگر همچون "تست نفوذگری" (Penetration Testing ) و یا متخصص "امنیت برنامه های كاربردی" (Web Application Security ) را نیز به عنوان حرفه آینده خود انتخاب كنید.

بنابراین برای تمامی مدیران سیستم ها، انتخاب حرفه تحلیلگر امنیتی نمی تواند دور از ذهن و بعید باشد.





برچسب ها: هک، دانلود برنامه هک، دانلود برنامه های هک، هکر، آموزش هکر شدن، هکر کلاه سفید، هکر کلاه سیاه، آموزش هک شبکه، آموزش هک ایمیل، آموزش هک سایت یا وبلاگ، دانلود نرم افزار، دانلود نرم افزار هک، دانلود، آموزش هک، امنیت شبکه، ویروس، آنتی ویروس، نرم افزار موبایل، نرم افزار شبکه، موبایل، ترفند، منجمد کردن ایمیل،
[ پنجشنبه 16 شهریور 1391 ] [ 10:50 ب.ظ ] [ پدرام احمدی ]
.: Weblog Themes By کلبه وحشت :.

درباره وبلاگ

نه از خودت تعریف کن و نه بدگویی. اگر از خودت تعریف کنی قبول نمی‌کنند و اگر بدگویی کنی بیش از آنچه اظهار داشتی تو را بد خواهند پنداشت....
حقیقت چیزی نیست که نوشته می‌شود .. آن چیزی است که سعی می‌شود پنهان بماند!
آمار سایت
بازدیدهای امروز : نفر
بازدیدهای دیروز : نفر
كل بازدیدها : نفر
بازدید این ماه : نفر
بازدید ماه قبل : نفر
تعداد نویسندگان : عدد
كل مطالب : عدد
آخرین بروز رسانی :





Powered by WebGozar