سلام، من محمدحسین سخن فر
مشاور، طراح و مجری طرح کارشناس ارشد و مدیر شبکه کارشناس ارشد امنیت سایبری

راه های ورود به امنیت

در این مقاله میخوایم موارد و مطالب و دوره هایی که لازمه ما برای ورود به حوزه امنیت رو بررسی کنیم.

خب،ببینید دوستان ما برای اینکه بخوایم به یک جایی حمله کنیم یا امنش کنیم با بررسی و تحلیلش کنیم باید بشناسیم که این میتونه سیستم عامل باشه، شبکه باشه و… که این یعنی باید تقریبا رو اون پلتفرم مسلط بشیم.
ما برای اینکه صلاحیت ورود به امنیت رو داشته باشیم باید یه عده دوره ها و موارد رو بخونیم که بحث میکنیم راجبش..

دوره های مربوط به شبکه:

• Network+(Comptia)
• Mcsa windows10(microsoft)
• Mcsa Installation, Storage, and Compute with Windows Server 2016(microsoft)
• Ccna(cisco)
• Mcsa Networking with Windows Server 2016(microsoft)
• Lpic-1(lpi)
• Mcsa Identity with Windows Server 2016(microsoft)
• Lpic-2(lpi)

این نسبت به شبکه است البته در اینجا یه نکته باید اضافه کنم که شما میتونید به جای lpic1-2 دوره redhat که Rhcsa و Rhce هست رو بخونید که به نظر در توضیحات مباحث کانسپتی بهتر هستش

مورد بعدی باید روی زبان های اسکریپت نویسی در دو سیستم عامل شناخت داشته باشید البته ناگفته نماند که با هر دو آن ها در دوره های ذیربط آشنا خواهید شد:

• powershell scripting,Bash scripting

وحداقل اشنایی و کار با کتابخانه های مورد نیاز در یک زبان برنامه نویسی مطرح تو دنیا در این حوزه مثل پایتون یا  go
در ادامه باید به وب آشنا باشید که:

• html ، javascript ، php ، mysql

رو در حد intermediate  باشین و اینکه css آنچنان لازم به خوندنش نیست و خب این رو عرض کنم که فقط شاید mysql نباشه و sql سرورهای متعددی وجود داشته باشه اما این را هم در نظر بگیریم که کسی فرصت تسلط روی تمامی آن ها را نخواهد داشت مسلما و صرفا اندازه رفع نیاز به سراغ هر قسمت باید رفت!

یا حتی به جای php فریم ورک های متعدد دیگر هم وجود دارد که برای تست نفوذ به آن ها باید دانشی نسبت به ساختار آن ها داشته باشیم.مثل Django که بر پایه پایتون هست یا asp که برپایه c# و یا nodejs که برپایه javascript و… که این برمیگرده به شخص شما که کدام مد نظر هست!

و حالا دوره هایی که حداقلی هست در امنیت:

• Sec401- Security Essentials(Sans)
• Sec504- Hacker Tools, Techniques, Exploits, and Incident Handling(Sans)
• PTS-eJPT(elearn security)
• Network Pentesting(pentester academy)
• Web Application Pentesting(pentester acaemy)
• PWK-OSCP(offensive security)
• PTP- eCPPT(elearnsecurity)

و در آخر باید گفت که اگر تا این نقطه پیش رفتید، زیر شاخه اصلیتون و دوره های مربوط به آن را هم شناسایی کرده اید

و دلیل آنکه در حوزه ها و دوره های  کالج ها و موسسه هایی اعم از  (sans, elearnsecurity,pentester academy,..)و کتاب های مربوطه شان دیپ نشده ام آن است که هر ساله دوره های بهتری و با مطالب بروز تری میاید که نسبت به آن زمان باید سنجید

موفق باشید.

شاخه های امنیت

در آغاز باید خدمتتون عرض کنم مطالبی که مربوط به ورود دنیای امنیت به مرور قرار خواهم داد در سایت با کمک دوست و استاد عزیزم کدخدازاده جمع آوری شده است.

امنیت مشتکل از چند شاخه و چندین زیر شاخه است:

    Penetration testing : همانطور که مشخص است این شاخه همان تست نفوذ یا هک است که خود نیز زیر شاخه هایی اعم از: شبکه،اپلیکیشن،وب اپلیکیشن،سیستم عامل،موبایل،سخت افزار،موج و رادیو و….

    Hardening : به شاخه ای که امن سازی سرویس های موجود در شبکه و دیگر پلتفرم هارا دارد

    Forensics : متخصصین این حوزه کارشناس های بررسی صحنه جرم در حوزه دیجیتال هستند که حمله را شناسایی و مجرم را رهگیری میکنند که شاخه هایی مثل: سخت افزار، سیستم عامل، شبکه و..

    SOC/Cert : این شاخه همانند noc است که کار مانیتور امنیت یک مجموعه را  عهده دار هستند که خود سطح بندی میشود مثل آنالیزگر لاگ ها و هشدار ها،پاسخگویی به حوادث امنیتی،شکارچیان تهدید و مدیریت مرکز.

    Secure coding : این شاخه مربوط به برنامه نویس هایی است که قصد دارن کد ها و برنامه هایی که مینویسند امن باشد که شامل گروه .net ، جاوا و..

    information security : برای ورود به این شاخه باید تجربه بالا و حداقل در دو شاخه قبلی که اشاره کردم حرفی برای گفتن داشته باشیم و این شاخه بیشتر مد نظر مدیران امنیت است.

باور های اشتباه در امنيت

در این مطلب قصد دارم اشتباهاتی که رایج هست در امنیت رو بیان کنم

در آغاز باید گفت شاید چون امنیت همانند شبکه برندی نیست یعنی در حوزه سرویس ماکروسافت یا لینوکس

یا در حوزه زیرساخت سیسکو یا میکروتیک و یا مورد های مشابه باید وارد شد، اما امنیت اینطور نیست و کلی کالج و رفنرس موجود است این اتفاقات افتاده است.

اما باید گفت که:

همانطور که فردی با نتورک پلاس شبکه کار نمیشود کسی هم با ceh امنیت کار نمیشود.

متاسفانه به اشتباه گفته میشود که از امنیت اطلاعات (information security) باید شروع کرد مثلا گفته شده نتروک پلاس خوانده  شود و در ادامه سکوریتی پلاس بعد ceh و یا یک مثال دیگر  ceh خوانده شود بعد pwk بعد cissp که خب این باز جای تامل و تمسخر دارد

برای شبکه در حد network+ کفایته اما خب زمانیکه به ساختار اکتیو دایرکتوری  نه لینوکس و نه سیسکو را نمیدونید چطور میخواهید اقدامی کنید!

گفته میشه برای چه ما علاقه به امنیت رو شبکه داریم سراغ وب بریم که باید گفت زمانی شما یک پروژه تست نفوذ شبکه را قصد انجامش را دارید یکی از مهم ترین پروتکل های لایه ۷ http است که ممکن است یک وب اپلیکیشن باشد و ازون طریق ما بتونید از آن وب سرور شل بگیریم و یا در زمانی تست وب اپلیکیشن را انجام میدهیم و میخواهیم افزاریش سطح دسرسی ( privesc) یا pivoting انجام دهیم که تست نفوذ شبکه لازمه پس دید درست این است که درسته شما یک شاخه، حوزه تخصصی ات هست اما باید دید خوب نسبت به بقیه شاخه ها داشته باشید.

در مثالی دیگر آیا شما تخصص اصیلتون ماکروسافت هستش و می خواید تا حدودی سرویس ها رو ایمن کنید یا اینکه شما می خواید Hardening انجام بدید و بشه تخصص اصلیتون اصلا اگه جزو گروه اول هستید احتیاج به دوره های نفوذ و red teaming و غیره نیستش اما اگه جزو گروه دوم هستید باید اول دوره های red teaming رو بگذرونید بعدا برید سمت ایمن سازی (خوبی گروه دوم این هستش که با دید خیلی خیلی باز تر هستش و شما می تونید بر اساس تجربه ی خودتون hardening انجام بدید به عنوان مثال خیلی اوقات ما یک آسیب پذیری نرمال داریم و شاید خیلی الان اونقدر تاثیر گذار نباشه نسبت به یک آسیب پذیری که critical هستش و باید سریعا درست بشه )

یک مثال ساده می زنم حمله ی ntlmrelay و smbrelay رو شما میرید مستقیما دوره های hardening رو می گذرونید اما دلیل راه اندازی smb signing و ldap channel binding رو شاید متوجه نشید و ندونید که الان اولویت با راه اندازی این قابلیت ممکنه باشه.

حرف اخر:

در آخر باید بگم این یک نظر شخصی و با مشورت افراد با تجربه در این حوزه و قصد توهین به بسیاری از عزیزان که این مطلب راهنمایی هایشان را نقض میکند را نداشتم