امنیت وب

  • حملات فیشینگ و روش‌های پیشگیری از آنها

    افزایش چشمگیر کلاهبرداری‌‌های اینترنتی در سال‌‌های اخیر و آسیب‌‌های فراوان مالی و روانی تحمیل شده به سازمان‌‌ها و افراد زنگ خطری جدی است که تصمیم گیران حوزه‌‌های مختلف را درگیر خود کرده است. در این میان بهره‌‌گیری از انواع حملات فیشینگ (Phishing) جزو قدیمی‌‌ترین، موثرترین و پرکاربرد‌‌ترین روش‌‌هایی است که کلاهبرداران و خرابکاران اینترنتی برای رسیدن به اهداف خود از آنها بهره می‌‌جویند. در این نوشتار در بیتسک به صورت اجمالی با انواع حملات فیشینگ و روش‌های پیشگیری از آنها خصوصا در بخش سازمانی آشنا می‌‌شویم.

    به عبارت ساده حملات فیشینگ (Phishing) به نوعی از حملات اطلاق می‌‌شود که هکر یا به تعبیری صحیح‌‌ تر کلاهبردار اینترنتی با بهره گیری از روش‌‌های فنی و روش‌‌های مهندسی اجتماعی (Social Engineering) و فریب و اقناع مخاطب، اطلاعات حساسی همچون اطلاعات هویتی و شخصی، گذر واژه‌‌ها و اطلاعات مالی مانند مشخصات کارت‌‌های اعتباری و رمز عبور آنها را به‌ دست می‌‌آورد.

    از شایع‌ترین این روش‌‌ها که کلاهبرداران اینترنتی در حملات فیشینگ از آنها بهره می‌‌برند می‌‌توان به مواردی همچون طراحی صفحات بانکی تقلبی (Website Phishing)، ارسال ایمیل حاوی اطلاعات مخرب (Email Phishing)، برقراری تماس تلفنی (Vishing) و ارسال پیام های کوتاه (Smishing) که در ذیل به صورت مختصر توضیح داده خواهند شد اشاره کرد:

    • طراحی صفحه‌‌‌‌‌‌ای تقلبی نظیر دروازه پرداخت اینترنتی به‌ پرداخت ملت https://bpm.shaparak.ir با ظاهری کاملا مشابه و اختلاف جزیی در آدرس مانند https://bpm.shapaarak.ir و یا https://bpm.shapparak.ir و فریب قربانی برای وارد کردن اطلاعات مالی.
    • ارسال ایمیل‌‌های فریب دهنده و متقاعد کننده حاوی لینک‌‌های مخرب با موضوعاتی در مورد بلایای طبیعی یا موضوعات سیاسی و اجتماعی روز و یا ایمیل‌‌های سازمانی تقلبی برای کارکنان یک سازمان یا یک موسسه مانند “بخشنامه ۷۶۷ تبدیل نیروهای قراردادی به رسمی مصوب هیئت دولت”، ” بخشنامه افزایش حقوق شماره ۳۴۷ مصوب هیئت مدیره شرکت”، ” بخشنامه شماره ۷۲۴ تعدیل نیرو مصوب سال ۱۳۹۸” و غیره.
    • برقراری تماس تلفنی و درخواست از قربانی برای اعلام مشخصات کارت بانکی و یا مراجعه به دستگاه خود‌‌ پرداز به بهانه‌‌هایی همچون پرداخت جایزه مسابقات تلویزیونی و غیره.
    • ارسال پیام‌‌های کوتاه (SMS)با محتوا و شماره تماس شبیه به مراجع قانونی و قضایی و درخواست از مخاطب برای کلیک برروی لینک یا نصب برنامه‌‌ای خاص.

    با توجه به افزایش نگران کننده آمار کلاهبرداری‌‌های اینترنتی و شانس موفقیت بالای روش‌‌های ذکر شده در بالا برای کلاهبرداران اینترنتی، آموزش و افزایش سطح آگاهی در مورد انواع حملات فیشینگ و روش‌‌های پیشگیری از آنها برای اقشار مختلف جامعه خصوصا در بخش سازمانی که موضوع این نوشتار است از اهمیت فوق العاده‌ای برخوردار است. در کنار تهدیدات حملات فیشینگ که عموم افراد جامعه را تهدید می‌‌کند، رقابت‌‌های تجاری بین کسب و کارهای مختلف و تلاش برای دستیابی به اطلاعات محرمانه تجاری رقیب جزو عواملی است که کارکنان سازمان‌‌های هدف را بیش از دیگر افراد جامعه در معرض خطر حملات فیشینگ قرار می‌‌دهد.

    طراحی و ایجاد برنامه آگاهی بخشی امنیتی (Security Awareness Program) برای سازمان‌‌ها و موسسات تجاری مختلف بدون شک بهترین راهکار برای آموزش و آگاه‌سازی کارکنان برای مقابله با انواع تهدیدات امنیتی از جمله تهدیدات حملات فیشینگ است. برنامه آگاهی بخشی امنیتی با برگزاری دوره‌‌های مستمر آموزشی منطبق بر سناریوها و تهدیدات دنیای واقعی می‌‌تواند ضمن افزایش دانش کارکنان، ریسک تهدیدات امنیتی را کاهش داده و امنیت داده‌‌های حساس سازمان و عدم نشت این اطلاعات را تا حد قابل قبولی تضمین کند.

    انجام تست‌‌های امنیتی کنترل شده برای ارزیابی دانش امنیتی و نقاط قوت و ضعف کارکنان یک موسسه یا سازمان از دیگر مزایای برنامه آگاهی بخشی امنیتی است. بخشی از این برنامه به ارزیابی دانش کارکنان در نحوه تعامل با تهدیدات حملات فیشینگ است. در این ارزیابی که با هماهنگی مدیریت و به وسیله متخصصین امنیت و آی‌‌تی سازمان انجام می‌‌گردد کارکنان به وسیله روش‌هایی که در بالا توضیح داده شد تحت ارزیابی‌‌های امنیتی مختلف قرار گرفته و خروجی و نتایج این آزمون‌‌ها برای شناسایی نقاط ضعف امنیتی سازمان و شکل‌‌دهی به آموزش‌‌های مورد نیاز کارکنان مورد استفاده قرار می‌‌گیرند.

    به طور مثال ایمیلی با عنوانی فریبنده حاوی اطلاعات جذاب در مورد افزایش حقوق و پاداش در زمانی مشخص برای تمام کارکنان تحت ارزیابی شده ارسال گشته و از آنها برای دریافت مزایای محتوای این ایمیل تقاضا می‌‌شود برروی یک لینک کلیک کرده و اطلاعات هویتی و کاری خود را در یک سامانه وارد کنند.

    نحوه واکنش کارکنان به این ایمیل و بررسی و یا عدم بررسی صحت و اصالت ایمیل دریافتی قبل از کلیک برروی لینک و وارد کردن اطلاعات درخواستی توسط آنها و نتایج و خروجی نهایی این ارزیابی، دسته بندی شده و برای شناسایی کارکنانی که نیاز به آموزش‌‌های امنیتی دارند و طراحی نوع و محتوای آموزش مورد استفاده قرار خواهند گرفت.

    ذکر این نکته ضروری است که تنها دلیل این ارزیابی‌‌ها آموزش و افزایش دانش امنیت کارکنان است و نباید نتایج این آزمون به صورت تنبیهی برعلیه کارکنان استفاده گردیده و موجبات عدم اطمینان به مدیریت و بخش آی‌‌تی سازمان را در آینده فراهم آورد.

    در پایان لازم به ذکر است همچون دیگر کشورها، طبق قوانین جرایم رایانه‌‌ای ایران کلاهبرداری‌‌های اینترنتی جرم بوده و مجازاتی از قبیل حبس و جرایم نقدی برای مجرمین در نظر گرفته شده است.

     

  • هکر وان و مسابقات کشف باگ

    همانطور که در مطالب گذشته بیان شد Bug Bounty  یا مسابقات کشف باگ یکی از رو به رشد ترین و موثرترین روشهای ایمن سازی سامانه های اینترنتی است که سازمانها و موسسات فراوانی در حال بهره گیری و استفاده از این روش هستند.

    یکی از موفق ترین این شرکتها هکر وان  hackerone است. هکر وان در کنار ارائه سرویس های امنیتی و دوره های آموزشی با دانشگاه ها از جمله دانشگاه UC Berkeley بستری را برای شرکتها و سازمانها فراهم کرده که سیستمها و سامانه های اینترنتی خود را بدون محدودیت های جغرافیایی در معرض مسابقات کشف باگ و تست بهترین متخصصین نفوذ از سراسر دنیا قرار دهند.

    در این بین هکر وان به طور سالانه گزارشهایی جامعی را در بخشهای مختلف تهیه مینماید که حاوی مطالب بسیار مفید و آموزنده ای است که آگاهی از آنها برای هر فعال امنیت سایبری مفید خواهد بود و گستردگی و ابعاد مختلف این مسابقات را تبیین میکند.

    طبق گزارش جامع سال ۲۰۱۸ هکر وان، تعداد ۱۶۶ هزار متخصص امنیت یا هکر کلاه سفید از سراسر دنیا در سامانه این شرکت عضو هستند که در سال منتهی به دسامبر ۲۰۱۷ با کشف ۷۲ هزار نقص امنیتی در سامانه های مختلف رکورد جدیدی ثبت کردند. در این میان هکروان مبلغی بالغ بر ۲۳ میلیون دلار به این متخصصین پرداخت کرده است که نشان از پویایی و وسعت رو به رشد این صنعت دارد. طبق این گزارش متخصصین امنیت هندی با ۲۳ درصد بیشترین تعداد متخصص را در این سامانه به خود اختصاص داده اند. آمریکا ۲۰ درصد، روسیه ۶ درصد، پاکستان ۴ درصد، و انگلستان با ۴ درصد در رتبه های بعدی قرار میگیرند. در حالی که نزدیک به نیمی از این متخصصین تحصیلات مرتبط دانشگاهی در سطح لیسانس یا فوق لیسانس  داشته اند، ۵۸ درصد این متخصصین به صورت خود آموز فنون و تکنیکهای تست نفوذ و امنیت را فرا گرفته اند.

    سطح درآمد این متخصصین با توجه به تخصص و مقدار فعالیتشان از ۲۰ هزار تا ۳۵۰ هزار دلار در سال در نوسان است. دوازده درصد این متخصصین درآمد ۲۰ هزار دلار در سال از مسابقات کشف باگ کسب میکنند، این در حالی است که درآمد بیش از ۳ درصد از متخصصین ۱۰۰ هزار دلار و درآمد ۱٫۱ در صد نیز رقم شگفت انگیز ۳۵۰ هزار دلار در سال است که میانگین این درآمدها در کشوری همانند هند بر طبق آمار سایت  PayScale بیش از ۱۶ برابر درآمد یک مهندس کامپیوتر است. محدوده سنی متخصصین هکروان از ۱۳ تا ۶۴ سال است که البته جمعیت غالب در گروههای سنی زیر ۳۵ سال جای میگیرند. میانگین تجربه و دوره فعالیت این متخصصین بین یک تا بیست سال است. بر طبق این گزارش ۶۶ درصد اعضای هکروان هفته ای ۲۰ ساعت و ۲۰ درصد آنها هفته ای ۳۰ ساعت  از زمان خود را به کشف باگ اختصاص میدهند.

    ابزار Burp Suite با ۳۰ درصد جایگاه اول را در بین مورد استفاده ترین ابزار برای کشف باگ و تست نفوذ را به خود اختصاص میدهد. در رتبه دوم بیش از ۱۶ درصد متخصصین هکر وان اظهار داشته اند که ابزار اختصاصی خود را برای کشف باگ طراحی و مورد استفاده قرار میدهند. وب اسکنرها، اسکنرهای شبکه، فازرها، دیباگرها در جایگاه های بعدی قرار میگیرند.

    بر طبق گزارش هکروان اولویت اول بیش از ۷۰ درصد متخصصین امنیت انجام تست کشف باگ و نفوذ بر روی سامانه های اینترنتی (Web Sites) است. رابط برنامه نویسی نرم افزار (API) با ۷٫۵ درصد، تکنولوژی های مورد استفاده و در برگیرنده اطلاعات متخصص امنیت با ۵ درصد، برنامه های اندرویدی با ۴٫۲ درصد، سیستم عاملها با ۳٫۱ درصد و اینترنت اشیا با ۲٫۶ درصد در رتبه های بعدی قرار میگیرند.

    بر طبق این گزارش جذابترین تکنیک و روش تست با ۲۸ درصد Cross Site Scripting یا XSS است. تکنیک SQL Injection با ۲۳ درصد، Fuzzing با ۵٫۵ درصد و Brute Force با ۴٫۵ در جایگاه های بعدی قرار میگیرند.

    آمار ارائه شده از گزارش ۲۰۱۸ هکروان گویای مطالب مهمی است که میتواند در آگاه سازی متخصصین و علاقه مندان امنیت کشورمان خصوصا علاقه مندان به مسابقات کشف باگ و درآمد زایی از آن کمک شایانی بکند. قانون مداری و عدم سو استفاده از آسیب پذیری های کشف شده توسط متخصصین امنیت و نفوذ گران قانونمند و گزارش آنها به صاحبان سامانه ها و طبعا کسب درآمد از آنها و استقبال رو به افزایش شرکتها و موسسات مختلف به پذیرش گزارشهای کشف باگ، میتواند فضای سایبری امن تر را برای صاحبان صنایع مختلف و کاربران به ارمغان بیاورد.

  • تامین امنیت سامانه های اینترنتی

    تامین امنیت سامانه های اینترنتی با توجه به رخدادهای امنیتی رو به رشد یکی از مهمترین دغدغه های صاحبان این سامانه ها است. با توجه به پیچیدگی آسیب پذیری ها و حملات تحت وب که سامانه های اینترنتی را تهدید میکند، طراحی ها و پیکر بندی های امنیتی در هنگام طراحی و استقرار اولیه این سامانه ها قطعا جوابگو نخواهد بود و نیاز به پالایش های امنیتی و به روز رسانی ها مستمر لازم و اساسی است. روشهای متفاوتی برای تضمین امنیت سامانه های اینترنتی پیش روی صاحبان آنها وجود دارد که در این مقاله سعی میکنیم آنها را به صورت خلاصه بررسی نموده و مزایا و معایب هر کدام را به اختصار بیان نماییم.

    اغلب شرکتها و سازمانها برای بررسی های امنیتی معمولا با استخدام و عقد قرارداد با تیم های تست نفوذ و انجام این تست ها در تلاشند که سامانه های خود را در مقابل جدیدترین تهدیدات امنیتی مصون داشته و از زیرساختهای خود محافظت نمایند. انجام تست نفوذ به این روش در کنار مزایای همچون محیط کنترل شده (Limited Scope) تست نفوذ، بهره گیری از توافقنامه عدم انتشار (NDA) که متخصص نفوذ را ملزم و متعهد به عدم افشای آسیب پذیری های کشف شده میکند، چالشهایی از قبیل محدود بودن گستردگی و دقت این تست ها به دانش تست نفوذ گر را دارا خواهد بود.

    مسابقات کشف باگ یا Bug Bounty  یکی دیگر از روشهایی است که استفاده از آن در بین شرکتهای مختلف در حال افزایش است. مسابقات کشف باگ به سازمانها و موسسات این امکان را میدهد که سامانه ها و پرتال های مختلف خود را در محدوده زمانی مشخص با پاداش و دستمزدی معین در معرض تست طیف وسیعی از متخصصین امنیت و نفوذ گران قرار دهند. همانطور که اشاره شد مهمترین مزیت این روش در مقایسه با استخدام و عقد قرارداد با تیمهای نفوذ گر برای انجام تست نفوذ، بهره گیری از دانش و تخصص طیف وسیعی از نفوذ گران است. معمولا در این روش جوایز تعیین شده بعد از کشف باگ و تایید آن توسط داوران به نفوذ گر تعلق میگیرد که این روش را به یکی از اقتصادی ترین روشها برای تامین امنیت سامانه های اینترنتی تبدیل کرده است. از معایب این روش میتوان به عدم امکان بهره گیری از تعهدات الزام آور همچون توافقنامه عدم انتشار (NDA) که در روش قبل ذکر شد نام برد. شرکتهای فراوانی در سراسر جهان در این زمینه فعالند و بستر های لازم برای مسابقات کشف باگ را فراهم مینمایند. داوری و تعیین اصالت باگ ها و مشکلات امنیتی کشف شده و تعاملات مالی بین سرویس گیرنده و نفوذ گر به عهده این شرکتها است.

    روش دیگری که در کنار بهره گیری از تیم های امنیتی داخل سازمانی و استخدام تست نفوذ گران و مسابقات کشف باگ، در بین اکثر شرکتهای تراز اول بین المللی در حال گسترش است، طراحی و برخورداری از سیاست افشای آسیب پذیری ها VDP یا Vulnerability Disclosure Policy است. جزئیات و نحوه بهره گیری از سیاست افشای آسیب پذیری ها VDP در استاندارد ISO 29147 تعریف شده است. این سیاست بستری را فراهم میکند که متخصصین نفوذی که مشکلات امنیتی را در سامانه های اینترنتی کشف میکنند بجای سو استفاده از این آسیب پذیری ها، آنها را به اطلاع آن سازمان رسانده و در مقابل از پاداش مالی برخوردار گردند. یکی از مهمترین مزایای این روش این است که طراحی و تصویب و استفاده از این متد به صاحبان سامانه های اینترنتی این امکان را میدهد که سامانه های خود را به طور دائمی در معرض بررسی های امنیتی قرار دهند. گرچه این در روش برخلاف Bug Bounty  که دستمزدی معین در زمان مشخص به متخصصین امنیت تعلق میگرد، پاداش معین و مشخصی به نفوذ گران تعلق نمیگیرد، ولی معمولا شرکتها و سازمانها برای ترغیب نفوذ گران و برای تشویق آنها برای عدم سوءاستفاده از آسیب پذیری های کشف شده و ارائه آنها به این سازمانها، پاداشی را برای این نفوذ گران در نظر میگیرند.

    با توجه به مطالب ذکر شده بهترین سیاست بهره گیری از مزایای تمام این روشها با توجه به گستردگی و نیازهای امنیتی هر مجموعه ای است. سه روش ذکر شده در این مطلب میتوانند همپوشانی کاملی را در جهت تامین و تضمین امنیت سامانه های اینترنتی بوجود آورند.

    شرکتها و سازمانهای فراوانی در زمینه برگزاری مسابقات کشف باگ و طراحی و اجرای سیاست افشای آسیب پذیری ها برای سازمانها و موسسات مختلف فعالیت میکنند که در مطالب بعدی با موفق ترین آنها آشنا خواهیم شد.

  • چگونه متخصص امنیت شویم

    رشته  امنیت از مهمترین و جذابترین زیر شاخه های آی تی است که با گذشت زمان و پی بردن به اهمیت امن سازی زیرساختهای تکنولوژیکی روز به روز علاقه مندان فراوان تری را به خود جذب مینماید. گرچه در کشورمان ایران تقسیم بندی رایج دقیقا مطابق با اصول آن در دیگر کشورها نیست، و متخصصین امنیت برای فعالیت باید بر تمام زیر شاخه های امنیت تسلط کافی داشته باشند ولی دانستن استانداردهای بین المللی و زیر شاخه های پذیرفته شده در دیگر کشورها برای تمامی علاقه مندان و هر متخصص امنیت ضروری خواهد بود.

    در این مقاله با توجه به استانداردهای شناخته شده بین المللی و نیاز روز، تخصص های متفاوت رشته امنیت و پیش نیازهای آنها به صورت اجمالی بررسی خواهد شد تا کمکی به دانشجویان و علاقمندان تحصیل و فعالیت در این رشته گردد.

    ۱- متخصص امنیت شبکه (Network Security Expert)

    امنیت زیرساختهای ارتباطی و ساختارهای شبکه یکی از مهمترین بخشهایی است که هر کمپانی باید توجه خاصی را به آن مبذول نماید. عدم توجه به امنیت شبکه های ارتباطی میتواند خسارات جبران ناپذیری به بار آورد. از این رو متخصصین شبکه مسئولیت سنگین و خطیری در پیش دارند. متخصصین امنیت علی الخصوص امنیت شبکه نیازمند داشتن آگاهی و تسلط هم بر روشهای نفوذ و هم بر عبور از مکانیزمهای دفاعی (Offensive and Defense Evasion) و ساختارهای دفاعی (Defensive) هستند. به عبارت دیگر یک متخصص شبکه در کنار برخوردار بودن از دانش تقویت ساختارهای شبکه ای (Network Hardening Techniques) نیازمند داشتن نگاهی همانند یک نفوذ گر نیز است.

    • تسلط کامل و عمیق به استانداردها و مدلهای OSI and TCP/IP کاربرد ها، شباهت ها و تفاوتهای آنها در لایه های مختلف
    • تسلط کامل به پروتکل های TCP, UDP نحوه کارکرد و تفاوتهای آنها در لایه های مختلف
    • آشنایی با تکنولوژی های ایثرنت (Ethernet) و بی سیم (Wireless) و استاندارد های IEEE 802.3 و IEEE 802.11 و زیر شاخه های آن
    • آشنایی با ساختار تمام سیستم عاملها (Windows, Linux, OSX) و نحوه کارکرد آنها و تسلط کافی و توانایی تعامل با سیستم با استفاده از دستورات خط فرمان (CLI)
    • آشنایی با زبانهای برنامه نویسی خصوصا زبانهای اسکریپت نویسی همانند پایتون، روبی، پرل و تسلط بر حداقل یکی از آنها
    • آشنایی با انواع آلگوریتم های رمزنگاری و نحوه بکارگیری آنها
    • آشنایی با انواع حملات مخاطره انگیزی که امنیت یک شبکه را تهدید خواهد کرد و راههای مقابله با آنها
    • آشنایی و تسلط کامل به انواع نرم افزارهای پالایش شبکه همانند Wireshark, Nmap, Nessus, Qualys, Retina و غیره
    • آشنایی با انواع سیستمهای حفاظت نرم افزاری و سخت افزاری و نحوه عملکرد آنها از قبیل سیستم های تشخیص نفوذ (IPS, IDS) و دیواره های آتش (Firewall)
    • آشنایی با انواع تجهیزات شبکه ای سخت افزاری همانند Cisco, Junpier, Microsoft, Mikrotik, HP, Dell، نحوه پیکر بندی و عملکرد آنها در سیستم عاملهای مختلف، و آسیب پذیری های شناخته شده آنها
    • آشنایی با استانداردها و فریم ورک های امنیتی از قبیل ISO 27001/27002 و NIST

     

    ۲- متخصص امنیت وب (Web Security Expert)

    با توجه به رشد روز افزون وبگاه ها و سامانه های اینترنتی و اهمیت فوق العاده این سامانه ها برای شرکت ها و سازمانهای مختلف و جلوگیری از تهدیدات و مشکلات امنیتی که این سامانه ها را تهدید میکند، تقاضا و بازاری رو به رشد را برای متخصصین امنیت وب میتوان پیش بینی کرد. همانند متخصصین دیگر زیر شاخه های امنیت برخوردار بودن از دانش و آشنایی با نحوه تفکر نفوذ گران از الزامات موفقیت در این رشته است.

    • آشنایی با زبانهای برنامه نویسی سمت کلاینت و سرور از جمله (JavaScript, HTML, SQL, PHP, ASP,… )
    • آشنایی با انواع سیستمهای مدیریت محتوا (Content Management Systems) از قبیل WordPress, Drupal, Joomla نحوه کارکرد و آسیب پذیری های مرتبط با آنها
    • تسلط کامل به استانداردها و مدلهای OSI and TCP/IP کاربرد ها، شباهت ها و تفاوتهای آنها در لایه های مختلف
    • تسلط کامل به پروتکل های TCP, UDP نحوه کارکرد و تفاوتهای آنها در لایه های مختلف
    • آشنایی با زبانهای برنامه نویسی خصوصا زبانهای اسکریپت نویسی همانند پایتون، روبی، پرل و تسلط بر حداقل یکی از آنها
    • آشنایی با ساختار تمام سیستم عاملها (Windows, Linux, OSX) و نحوه کارکرد آنها و تسلط کافی و توانایی تعامل با سیستم با استفاده از دستورات خط فرمان (CLI)
    • آشنایی با انواع آلگوریتم های رمزنگاری و نحوه بکارگیری آنها
    • آشنایی با انواع نرم افزارهای پالایش و نرم افزارهای کشف خودکار و نیم خودکار آسیب پذیری در سامانه های اینترنتی از قبیل Wireshark, Fiddler, Nmap, Nessus, Nexpose, Burp Suite, OWASP ZAP, و غیره
    • آشنایی با ابزارهای تست سورس کد و دیباگ از قبیل Chrome and Firefox DevTools, CA Veracod
    • آشنایی با انواع دیوارهای آتش وب (Web Application Firewall) و نحوه پیکر بندی و عملکرد آنها
    • آشنایی با تکنولوژی های جدید از قبیل بلاکچین و نحوه استفاده از آنها برای تقویت امنیت سامانه های اینترنتی
    • آشنایی با قوانین جرایم رایانه ای و سایبری و محدوده فعالیت (Scope Compliance) علی الخصوص برای تست نفوذ (Penetration Testing) و ارزیابی امنیتی (Vulnerability Assessment)
    • آشنایی با استانداردها و فریم ورک های امنیتی از قبیل ISO 27001/27002 و NIST

     

     ۳- متخصص امنیت اینترنت اشیا (IoT Security Expert)

    گسترش و تنوع روز افزون کاربرد اینترنت اشیا و تجهیزات متنوعی که این تکنولوژی در آنها به کار میرود با سرعت فراوانی رو به فزونی است. گسترش سریع شهرهای هوشمند، ماشینهای هوشمند و خودران، لزوم و اهمیت برقراری و حفظ امنیت این تجهیزات را دوچندان خواهد کرد. با توجه به جدید بودن این تکنولوژی و گستردگی فراوان آن میتوان آینده کاری موفقی را برای متخصصین این رشته پیش بینی کرد.

    • آشنایی با استانداردها و مدلهای OSI and TCP/IP کاربرد ها، شباهت ها و تفاوتهای آنها در لایه های مختلف
    • آشنایی با پروتکل های TCP, UDP نحوه کارکرد و تفاوتهای آنها در لایه های مختلف
    • آشنایی با ساختار تمام سیستم عاملها (Windows, Linux, OSX) و نحوه کارکرد آنها و تسلط کافی و توانایی تعامل با سیستم با استفاده از دستورات خط فرمان (CLI)
    • آشنایی با تکنولوژی بی سیم (Wireless) و استاندارد IEEE 802.11 و زیر شاخه های آن
    • آشنایی با سامانه سرپرستی و گردآوری داده (SCADA) و نحوه عملکرد و مشکلات امنیتی مرتبط با این تکنولوژی
    • آشنایی با پروتکل Zigbee و استاندارد IEEE 802.15.4
    • آشنایی با نسخه های مختلف Bluetooth و نحوه عملکرد آنها
    • آشنایی با پروتکلهای LoraWan, Z-Wave و نحوه عملکرد آنها
    • آشنایی با پروتکل NFC و نحوه عملکرد آن
    • آشنایی با پروتکل های Insteon و Thread
    • آشنایی با حداقل یک زبان اسکریپت نویسی همانند پایتون

     

    ۴- متخصص امنیت ابری (Cloud Security Expert)

    مزایای متعدد مجازی سازی  بر کسی پوشیده نیست، کاهش هزینه ها، استفاده بهینه از منابع سخت افزاری، تامین و گسترش سریع زیرساختهای مورد نیاز، تنها بخش کوچکی از مزایای مجازی سازی و استفاده از تکنولوژی های ابری است. همانند دیگر گرایش های امنیت میتوان آینده کاری مناسبی را برای این رشته متصور بود.

    • تسلط کامل و عمیق به استانداردها و مدلهای  OSI and TCP/IP کاربرد ها، شباهت ها و تفاوتهای آنها در لایه های مختلف
    • تسلط کامل به پروتکل های TCP, UDP نحوه کارکرد و تفاوتهای آنها در لایه های مختلف
    • آشنایی با ساختار تمام سیستم عاملها (Windows, Linux, OSX) و نحوه کارکرد آنها و تسلط کافی و توانایی تعامل با سیستم با استفاده از دستورات خط فرمان (CLI)
    • آشنایی با زبانهای برنامه نویسی متداول و جدید در حوزه برنامه نویسی ابری مانند SQL, Clojure Math, Haskell Functional
    • آشنایی با سرویس دهنده های مطرح ابری از قبیل Amazon Web Service (AWS), Microsoft Azure, Google Cloud Platform و غیره و انواع سرویس های ارائه شده
    • آشنایی با انواع نرم افزارها و سخت افزارهای ابری، نحوه کارکرد و تعامل با آنها
    • آشنایی با انواع تهدیدات امنیتی که سرویس های ابری را تهدید میکنند و نحوه پیشگیری و تعامل با آنها

     

    ۵- متخصص جرم شناسی (Forensic Expert)

    با توجه به افزایش اعمال مجرمانه در فضای مجازی و سایبری گرایش جرم شناسی یکی از مورد نیاز ترین زیر شاخه های امنیت است. متخصص جرم شناسی در کنار داشتن دانشی عمیق از پیش نیازهای این رشته، نیازمند داشتن آگاهی و دانش از دیگر زیر شاخه های امنیت نیز خواهد بود.

    • آشنایی با پروسه دریافت و نگهداری مدارک بررسی شده (Chain of Custody)
    • آشنایی با فراریت و عدم ثبات اطلاعات استخراجی و نحوه تعامل با آنها خصوصا در حافظه و اولویت بندی آنها (The Order of Volatility)
    • آشنایی با زیر شاخه های مختلف جرم شناسی از قبیل جرم شناسی وب (Web Forensic)، جرم شناسی شبکه (Network Forensic) و جرم شناسی دیجیتال (Digital Forensic)
    • آشنایی با استانداردها و مدلهای OSI and TCP/IP و پروتکل های TCP, UDP و نحوه کارکرد آنها در بخش جرایم مربوط به وب و شبکه های ارتباطی
    • آشنایی با ساختار تمام سیستم عاملها (Windows, Linux, OSX) و نحوه کارکرد آنها و تسلط کافی و توانایی تعامل با سیستم با استفاده از دستورات خط فرمان (CLI)
    • آشنایی با نحوه بازیابی لاگ فایلهای مختلف از ترافیک شبکه
    • آشنایی با نحوه عملکرد انواع ویروسها و فایلهای مختلف
    • آشنایی با نحوه و کارکرد انواع مختلف حافظه های سیستمی و نحوه صحیح بازیابی اطلاعات (Memory Acquisition)
    • آشنایی با انواع فایل فرمت های سیستم عاملهای مختلف و نحوه بازیابی و نگهداری آنها و ارزش قانونی هر کدام از فایلهای بازیابی شده
    • آشنایی با انواع سخت افزارهای بازیابی اطلاعات از قبیل Tableau Hardware, Media Clone, Talino Sumuri Workstations و غیره
    • آشنایی با انواع نرم افزار های بازیابی اطلاعات از قبیل SANS SIFT, Volatility, The Sleuth Kit, Autopsy, FTK Imager و غیره
    • آشنایی با نحوه بازیابی اطلاعات مخفی شده، حذف شده، رمز گذاری شده از سیستمهای دیجیتالی مختلف
    • آشنایی و تسلط کامل به قوانین جرایم رایانه و جرم شناسی

     

    ۶- متخصص کرکینگ و مهندسی معکوس (Reverse Engineering Expert)

    مهندسی معکوس یکی از پیچیده ترین زیر شاخه های آی تی و امنیت است که دانشی فراوان و عمیقی می طلبد. با توجه به پیچیدگی و گمراه کنندگی روز افزون حملات مخرب و استفاده از روشهای نوین برای توسعه فایلهای مخرب، حضور متخصصین مهندسی معکوس در هر تیم امنیتی از ضروریات خواهد بود.

    • تسلط کامل به زبانهای برنامه نویسی سطح پایین مانند اسمبلی و C
    • آشنایی با ساختار تمام سیستم عاملها (Windows, Linux, OSX) و نحوه کارکرد آنها و تسلط کافی و توانایی تعامل با سیستم با استفاده از دستورات خط فرمان (CLI)
    • آشنایی با عملکرد سیستم حافظه و نحوه عملکرد پروسس ها (Process Handling) در سیستم عاملهای مختلف
    • آشنایی و تسلط بر انواع نرم افزارهای دیباگ از قبیل Olly Debugger, x64_dbg, IDA

     

    لازم به ذکر است هدف اصلی از نگارش این مقاله آشنایی علاقمندان با کلیات و حداقل های ورود به رشته های مختلف امنیت است و لیست تهیه شده از پیش نیازهای گرایش های مختلف تنها چکیده ای از دانشی است که هر متخصص دنیای امنیت باید به آن مسلط باشد. قطعا مطالعه، تمرین، داشتن بینشی خلاقانه و جسورانه یا به اصطلاح “Out of the box thinking” همزمان با احترام به قوانین مدون، آینده درخشانی برای تمام علاقمندان به این رشته رقم خواهد زد.

     

دکمه بازگشت به بالا
بستن