چگونه به یک Bug Hunter تبدیل شویم؟


به این مطلب امتیاز دهید

Pentester ها به اصطلاح «هکرهای اخلاقی» هستند که توسط صاحبان سیستم شبکه و ارائه دهندگان برنامه های کاربردی استخدام می شوند تا آسیب پذیری هایی را بررسی کنند که هکرها با نیت نادرست ممکن است بتوانند از آنها سوء استفاده کنند.

هکرهای اخلاقی با استفاده از مهارت‌ ها و دانش خود ارزیابی آسیب‌ پذیری را انجام می‌ دهند – و در واقع برای انجام Pentest پول دریافت می‌ کنند.

آنها حملات سایبری واقعی را با استفاده از طیف گسترده‌ ای از ابزار ها و روش‌ ها شبیه‌ سازی می‌ کنند.

ایده تست نفوذ این است که همه راه‌ های ممکن برای نفوذ به هر سیستم رایانه‌ ای معین را بررسی کنیم تا شکاف‌ های موجود در سیستم‌ های امنیتی را قبل از ورود هکر های کلاه سیاه پیدا کنیم.

داشتن خلاقیت و سازماندهی کافی برای پیگیری، ثبت و گزارش پروژه ها نیز از ویژگی های خوبی در تست نفوذ هستند.

6 مرحله برای تبدیل شدن به یک تست کننده نفوذ

  1. خود تحلیلی: تست نفوذ برای همه نیست. چرا که نیاز به مهارت‌ های استثنایی حل مسئله، عزم جدی، تعهد به جزئیات و تمایل به آموزش مداوم در مورد آخرین روند ها در این زمینه دارد. هکر های اخلاقی موفق برای برتری باید سطح بالایی از هر یک از این ویژگی ها را داشته باشند. بنابراین قبل از تصمیم گیری در مورد اینکه آیا Pentest شغل مناسبی است، در ارزیابی خود صادق باشید.
  2. تحصیلات: در سال های اخیر، مدارک دانشگاهی برای امنیت کاران تقریباً اجباری شده است. مدارک لیسانس در رشته های مختلف امنیت سایبری راه های ورود مناسبی را به این رشته ارائه می کنند.
  3. مسیر شغلی: راه های مختلفی وجود دارد که یک Pentester می تواند وارد صنعت امنیت سایبری شود. شروع در مدیریت امنیت، مدیریت شبکه، مهندس شبکه، مدیر سیستم، یا برنامه نویسی برنامه های کاربردی مبتنی بر وب، همیشه با تمرکز بر جنبه های امنیتی هر رشته، پایه خوبی برای Pentester فراهم می کند
  4. گواهینامه های حرفه ای: کارفرمایان عمدتاً مایلند تعدادی گواهینامه حرفه ای را در رزومه Pentester ها مشاهده کنند، چندین سازمان اکنون گواهینامه های شناخته شده ای را برای مشاغل تست نفوذ ارائه می دهند
  5. ارتقاء مهارت: متخصص شدن در یک زمینه انتخابی ایده خوبی در هر شغلی است، اما برای آزمایش کنندگان نفوذ، راه های مختلفی برای متمایز شدن از دیگران وجود دارد. فعال بودن و شناخته شدن در رشته‌ های امنیت سایبری، مانند برنامه‌ های باگ بانتی، جمع‌آوری اطلاعات منبع باز (OSINT) و توسعه برنامه‌ های حمله اختصاصی، همگی باعث می‌ شوند که Pentester ها در میان گروه‌ ها شناخته شوند.
  6. آپدیت بودن: مانند بسیاری از مسیرهای شغلی امنیت سایبری، بسیار حیاتی است که در جریان آنچه در این صنعت اتفاق می افتد به روز باشید. به روز نگه داشتن مهارت ها و دانش با آخرین روندهای برنامه نویسی و امنیت شبکه، تکنیک های هک و پروتکل های امنیتی در حال تغییر، آسیب پذیری های مورد سوء استفاده عمومی و هر چیز دیگری که در صنعت امنیت سایبری اتفاق می افتد.

Pentest چیست؟

Pentester کارآگاهان دنیای امنیت هستند. مانند بسیاری از عملیات PI، وظیفه کشف تهدیدات قبل از اینکه هکری فرصتی برای اجرای برنامه های خود داشته باشد، است.

یکی از حقایق اساسی طبیعت انسان به طور کلی، سیستم های اطلاعات به طور خاص است که هکرهای کلاه سیاه همیشه سعی می کنند از این فرصت ها استفاده کنند. Pentester ها به دنبال بررسی، کشف و کمک به ایمن سازی هر گونه آسیب پذیری احتمالی در سیستم های شبکه و برنامه های مبتنی بر وب هستند.

کشمکش بین کار Pentester ها و هکرهای کلاه سیاه یک مسابقه دائمی است. هر یک از طرفین به طور مداوم تلاش می کنند تا دانش، مهارت ها و تکنیک های خود را فراتر از توانایی های طرف مقابل ارتقا دهند.

هدف Pentester ها این است که با شبیه سازی حمله به سیستم ها مانند یک هکر واقعی، بهترین امنیت ممکن را فراهم کنند، طبیعاتا این کار باعث میشود از حملات سایبری تا حد چشم گیری جلوگیری شود

مهارت و تجربه پنتستر ها

الزامات استخدام‌ در زمینه تست نفوذ، مانند همه رشته‌ های امنیت سایبری، بسته به عملکرد دقیق هر موقعیت و سطح آن موقعیت، به‌ طور چشمگیری متفاوت خواهد بود. Pentester های جونیور، Pentester های سطح متوسط، و Pentester های ارشد، نشان دهنده سطوح تجربه و مسئولیت های متوالی در تست نفوذ هستند.

برخی از موقعیت ها هنوز فقط به نشان دادن مهارت های مرتبط و سطح مناسبی از تجربه و دانش امنیت سایبری نیاز دارند. با این حال، کارفرمایان به دنبال داوطلبانی با مدرک لیسانس در امنیت اطلاعات یا مدارک مرتبط با علوم کامپیوتر هستند. برخی از موقعیت های پیشرفته تر نیاز به مدرک کارشناسی ارشد دارند.

تجربه کاری که اغلب منجر به مشاغلی در امنیت می شود شامل توسعه نرم افزار و کدنویسی، تست امنیتی، ارزیابی آسیب پذیری، مدیر شبکه، مدیر امنیت است. الزامات مهارتی که احتمالاً با کارفرمایان مواجه می شود عبارتند از: آشنایی با زبان های کامپیوتری خاص مانند:

  •  Python
  • Powershell
  • Golang
  • Bash

کار با سیستم عامل، Windows/ Linux/ MacOS، پروتکل های ارتباطی OSI، فایروال ها، سیستم های IPS/IDS، VMWARE، رمزگذاری داده ها و تست نفوذ موبایل سیستم های IOS/Android. آشنایی با ابزارهای امنیتی و برنامه ها مانند:

  • Kali
  • Metasploit
  • Burpsuite
  • Wireshark
  • Web Inspect
  • Network Mapper (NMAP)
  • Nessus, and others

گواهینامه‌های حرفه‌ای متداول که اغلب توسط کارفرمایان دنبال می‌شوند عبارتند از:

IEEE (Institute for Electrical and Electronic Engineers) OSCP (Offensive Security Certified Professional), SANS Technology Institute, GIAC (Global Information Assurance Certification), EC-Council.

مهارت‌ ها و تجربه‌ های که کارفرمایان به دنبال آن هستند عبارتند از: مهارت‌ های ارتباطی خود محور، خلاق ؛ مشارکت در پروژه‌ های Open Source  و برنامه‌ های باگ بانتی؛ و آشنایی با 10 آسیب‌ پذیری برتر OWASP. 

Pentester ها چه کار می کنند؟

به طور کلی، Pentester ها معمولاً مدل‌ سازی حمله، ارزیابی‌ های امنیتی و هک شبکه‌ ها، سیستم‌ ها و برنامه‌ های کاربردی مبتنی بر وب را انجام می‌ دهند. به طور خاص، اعتبار سنجی تضمینی شامل برخی یا همه وظایف زیر است: 

  • جمع آوری و تجزیه و تحلیل اطلاعات اوپن سورس (OSINT) برای یافتن اطلاعات. 
  • ارائه تخصص موضوعی با تمرکز بر عملیات تست امنیتی تهاجمی، کار برای آزمایش مکانیسم‌ های دفاعی در یک سازمان.
  • ارزیابی‌هایی را بر روی طیف گسترده‌ ای از فناوری‌ ها و پیاده‌ سازی‌ ها با استفاده از ابزارهای خودکار و تکنیک‌ های دستی

Pentester باید با اسکریپت‌ ها، ابزار ها و روش‌ شناسی را برای بهبود فرآیند های Pentest آشنا باشد، تمرین‌ های مهندسی اجتماعی و آزمون‌ های نفوذ فیزیکی را انجام دهد تا شبکه‌ ها را برای آسیب‌ پذیری‌های امنیتی آزمایش کند، نتایج ارزیابی را برای شناسایی یافته‌ ها و ایجاد یک دید تحلیلی جامع از سیستم در محیطی که در آن کار می‌ کند، بررسی کند، علت اصلی یافته‌ های فنی و غیر فنی را شناسایی کند. یک گزارش ارزیابی منتشر کند، یافته‌ ها و اقدامات متقابل بالقوه را شناسایی می‌ کند، یافته‌ هایی را که در چندین ارزیابی تکرار می‌ شوند شناسایی کند و این یافته‌ ها را به اشتراک بگذارد.

شرح وظایف Pentester

دامنه شغلی پنتستر بر اساس سطح کارفرما و سابقه کار بسیار متفاوت است. نگاهی به مسئولیت های اعلام شده برای پست های سطح بالا، دیدگاهی در مورد شغل نهایی برای همه Pentester ها فراهم می کند.

Pentester باید برای شناسایی خطرات و آسیب‌ پذیری‌ های امنیتی، ارزیابی‌ های نفوذ شبکه و برنامه‌ های مبتنی بر سازمان و سیستم را رهبری کند، آزمایش‌ هایی را روی دامنه وسیعی از سیستم‌ ها، از جمله برنامه‌ های کاربردی وب، کنترل‌ های امنیتی، زیرساخت‌ های شبکه، بی‌ سیم و استقرار های تلفن همراه انجام دهد، آزمایش‌ های فنی عملی را فراتر از آن انجام دهد.

متخصصان امنیت در آینده قابل پیش بینی با تقاضای بالا و به سرعت رو به رشد خواهند بود. در واقع، کمبود قابل توجهی از متخصصان infosec در همه رشته‌ها وجود دارد و انتظار می‌رود این کمبود در آینده قابل پیش‌بینی ادامه یابد. همانطور که شبکه ها، برنامه ها و نیازهای اطلاعاتی به طور مداوم برای عملیات تجاری و دولتی پیچیده تر و حیاتی تر می شوند، این سیستم ها مستقیماً هدف قرار می گیرند و آسیب پذیرتر می شوند. تسترهای قلم در خط مقدم تخصص فنی هستند و بیشترین نقش را در نقش مهاجمان احتمالی دارند. برترین تسترهای قلم در حال حاضر در بین اپراتورهای infosec بسیار ارزشمند هستند و هیچ نشانه ای در افق وجود ندارد که این تصور به هیچ وجه کاهش یابد.

 در سال 2019، Payscale.com گزارش می‌ دهد که Pentester ها از حدود 55000 دلار تا حدود 133000 دلار در سال با میانگین حقوق سالانه 82500 دلار درآمد دارند. جوایز، کمیسیون و تقسیم سود به طور متوسط ​​سالانه حدود 17000 دلار اضافه می کند.

 

بدون دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.