1TED

راهکار های مناسب جهت تبدیل شدن به یک امنیت کار خوب

پست های پیشنهاد شده

بسم الله الر حمن الر حیم 

با پیشرفت فناوری و اطلاعات ، همه کسب و کار ها و فعالیت های اداری به بستر فضای مجازی منتقل میشه و همین امر ، یک فرصت بسیار مناسب برای امنیت کار هاست که بتونن درآمد بسیار خوبی برای خودشون داشته باشن ../

همین امر باعث میشه که خیلی ها به سمت این تخصص هجوم بیارن ولی چون راهکار مناسب برای ادامه ندارن ، نا امید میشن ! 

تو این تایپک میخوایم راجع اینکه اولا یه امنیت کار باید چه چیزا هایی رو بدونه و دوما اینکه یه هکر خوب چه کسیه صحبت کنیم 

برای ورود به دنیای تخصص در فضای مجازی قطعا ما نیاز به درک سه چیز داریم !

1- شبکه ! 

یکی از مهم ترین اقدام ها برای یک تستر امنیتی ، فهمیدن اینه که سیستم ها در شبکه با هم دیگه چطور ارتباط میگیرن 

داشتن دانش در رابطه با IP/TCP 

شما باید راجع پروتکل ها بیشتر بدانید 

شما باید تمام لایه های OSI را با دقت یاد بگیرید و بتونید با تمام جزئیات اون رو برای یک شخص توضیح بدید ! 

شما باید پروتکل های مربوط به هر سطح در OSI را به خوبی بشناسید

یکی از مهم ترین مسائل در مبحث شبکه شناخت کامل همین پروتکل هاست 

یک امنیت کار باید بتواند به خوبی دستکاری های انجام شده در شبکه رو متوجه بشود ../

نقل قول

 

برای دانستن شبکه چه کار هایی کنیم !؟ 

1- شما باید دوره های  Network+ و CCNA Security ، حتما بخش یک مبحث TCP/IP Illustrated را بخوانید ../

2- با ابزار Wireshark تمرین کنید ، ترافیک را بررسی کنید ، نحوه ایجاد و انتقال پکت ها را درک کنید.

3- راجع HTTP بیشتر بدانید ، "HTTP The Definitive Guide" یک منبع بسیار عالی برای این مبحث هست

4- از ابزار Burp suite استفاده کنید ( راجع این ابزار بعدا حتما با جزئیات بیشتر بحث خواهیم کرد )

 

 2-  درک اینترنت ! 

اکثر امنیت کار های ما فکر میکنن نحوه عملکرد اینترنت رو درک میکنن ولی خوب باید بگیم که در اشتباهن !

شما میتونین همه request و response (درخواست و پاسخ) یک پروتکل را بنویسین !؟

میتونین تفاوت بین HTTP 1.0 و HTTP 1.1 و HTTP 2.0 یا HTTP 0.9 را بدون تحقیق در موردش بگین !؟ 

شما کدهای پاسخ HTTP ، نه فقط اطلاعات کلی بلکه کدهای خاص رو میشناسین !؟

میدونین CDE چطوری کار میکنه !؟ 

جواب بعضی از این سوالات احتمالا خیر خواهد بود ! با توجه به اینکه تو کشور ما منابع کاملی وجود نداره باید قبول کنیم که یکمقدار دانشمون نسبت به این مسائل سطحیه ! شما وقتی یه وبسایت یا یه API یا یه سری کد رو  رو تست امنیت میکن ، باید بدونید که اینها چطوری کار میکنند !

نقل قول

 

برای دانستن اینترنت چه کارهایی باید بکنیم !؟

1-همونطور که تو راهکار های شبکه گفتم ، HTTP The Definitive Guide رو بخونید !

2- کتاب "The Tangled Web" منبع بسیار عالی برای درک موضوعات مرورگر و کل مباحث درهم اینترنت 😁

3- راجع "RFC "Request For Comment بیشتر بدونید !

4- با هر دو ابزار Wireshark و Burpsuite کار و وبسایت هارو تست امنیت کنید  !

 

3- درک سیستم عامل ها !

شما به عنوان یک امنیت کار ، باید تقریبا تمام سیستم عامل هارو تجربه کنید

فقط ویندوز برای تخصص ما کافی نیست ! شما حتما باید لینوکس و مکینتاش را تجربه و یاد بگیرید !

شما باید بتونید به خوبی انواع سیستم عامل هارو نصب و اجرا کنید ، با ابزار های خط فرمان ( CMD, Powershell, Bash ) کار کنید ! 

قطعا یادگیری همه ی خط فرمان ها کار بسیار دشواری براتون خواهد بود ولی خوب حدالامکان یادگیری و حفظ بودن دستورات بسیار شمارو از بقیه امنیت کار ها جلو خواهد انداخت ../ 

ولی خوب اگه نتونستید حفظ کنیدم مشکلی نیست ! گوگل دوست همیشگی ماست 🤩

نقل قول

 

برای یادگیری سیستم هامل ها چه کار هایی باید بکنم !؟ 

1- در صورت امکان سیستم عامل هارا نصب و اجرا کنید و با اونها کار کنید 

2- اگر کاربر ویندوز هستید ، میتونید با نصب ماشین های مجازی مثلا ماشین مجازی vmware سیستم عامل هارو تجربه کنید

3- حداقل یک Linux distro و یک سرور Windows را ایجاد کنید

4- دوره های وب ، کتاب ها و وب سایت های زیادی وجود داره که دانش بسیار خوبی رو در اختیار شما قرار میدن.

 

تا اینجا فهمیدیم برای ابتدای کار به چه چیز هایی نیاز داریم ! در پست های بعدی خواهیم گفت :

1- انواع امنیت و نحوه یادگیریشون (امنیت عمیق) رو یاد خواهید گرفت

امیدوارم این تاپیک براتون مفید باشه ! 

لطفا هیچ اسپمی ایجاد نکنید تا پست های بعدی در اصرع وقت ارسال شه ♥ ممنون از همکاریتون

برای تشکر میتونید از دکمه لایک استفاده کنید ، لطفا سوالات مربوط به تاپیک رو تحت یک پیام خصوصی به بنده ارسال کنید

به امید موفقیت روز افزون برای امنیت مملکتون ♥

در پناه حق ../

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

درود ../ 

با قسمت دوم تاپیک راهکار های مناسب برای تبدیل شدن به یک متخصص امنیت خوب خدمت شما هستیم 

در این پست قصد داریم راجع اینکه چطور یک هکر خوب باشیم بحث کنیم ../ 

1- یادگیری امنیت دفاعی !

قطعا یکی از مهمترین سوالاتی که کاربران از انجمن گارد ایران دارند اینه که چطور هک رو شرع کنیم و چیکار کنیم هکر شیم !؟ 

اگر شما به مطالب پست قبلی تسلط کامل دارید ، کار شما شروع میشود ../ 

به نظر بنده قبل از اینکه شما امنیت تهاجمی (Red Team) رو شروع به یادگیری کنید ، امنیت دفاعی (Blue Team) رو فرا بگیرید ! 

چون وقتی شما امنیت دفاعی رو یاد میگیرید ، در باره امنیت تهاجمی اطلاعات بسیار خوبی به دست میارید و اگه یه روز بخواین امنیت تهاجمی رو یاد بگیرید ، وقت زیادی لازم نیست صرف کنید  ../ 

هر تستر ( pentester ) باید بداند که چه نوع دفاعی باید در مقابل تهدیداتی که ممکن است وارد پروژه شود ، بکند ../

نقل قول

 

برای یادگیری امنیت دفاعی چه کار هایی باید بکنیم !؟

1-مطالعه Security+ و CISSP (البته نیاز نیست که مدارک اونارو تهیه کنید ، فقط مطالعه کافی هست ) .

2-از تکنیک های دفاعی متداول مانند نحوه کار آنتی ویروس ها ، نحوه کار با فایروال های تحت وب ، نحوه کار Firewalls / IDS / IPS و مکان نصب آنها در شبکه ها ، آگاه شوید.

3-با نصب چند نرم افزار تست امنیت (مثل Splunk) کار خودتون رو شروع کنید و سعی کنید با نرم افزار بازی کنید :) 

4- مطالعه دوره هایی مانند HIPPA ، PCI DSS و FedRAMP.

5- مطالعه استانداردهایی مانند ISO 9000 و NIST.

 

2-برنامه نویسی رو فرا بگیرید ! 

الان دیگه وقتشه کم کم برید سراغ برنامه نویسی و زبان مناسب با تخصصتون رو انتخاب و فرا بگیرید ../

اما نکته ای که باید در نظر داشته باشید اینه که شما نیازی به برنامه نویسی ندارید تا یک متخصص امنیت خوب باشید.

در این مرحله شما باید قادر باشید ، حداقل بر روی کاغذ ، یک شبکه کاملاً ایمن طراحی کرده و هر نوع وسیله امنیتی را که برای امنیت لایه لایه قرار داده اید ، درک کنید. شما همچنین باید بتوانید راهکار های امنیتی را بنویسید و کنترلهای مختلف امنیتی را بر اساس رعایت یا استاندارد امنیتی که هر شرکتی ممکن است بخواهد از آن استفاده کند ، درک کنید.

اون چیزایی که  شما باید بدانید ، اصول علوم کامپیوتر و همچنین چگونگی نوشتن حداقل اسکریپت ها / برنامه های اساسی برای تست امنیتی است ../

ما میخوایم بدونیم که

1- چگونه برنامه های کاربردی را آزمایش کنیم

2- کدهای ناامن را بیابیم و از آن سوء استفاده کنیم

 اما برای انجام این امورات نیازی به برنامه نویسی نداریم . البته هرچی اطلاعات بیشتری در مورد برنامه نویسی داشته باشید در آزمایش آن بهتر خواهید بود ،این یکی از بسیاری از زمینه هایی است که یک پنتستر خوب باید آن را بشناسد../

پس دانستن یک زبان برنامه نویسی مناسب ، یکی از اصول امنیت کار شدن است ../ 

قطعا پیشنهاد ما دنبال کردن یک زبان برنامه نویسی به صورت تخصصی است تا اینکه شما چند زبان بلد باشید و از هر کدوم یه مقدار بدونین ../

نقل قول

 

و اما زبان های پیشنهادی ما : 

1-  C و ASM برای بهره برداری از توسعه.
2- پی اچ پی برای سمت سرور.
3- HTML برای توسعه وب.
4- جاوا اسکریپت برای سمت مشتری.

5-Python برای اکسپلویت نویسی و .. .

قطعا این چهار زبان لیست کاملی از زبان هایی که باید یاد بگیرید نیست ولی خوب یک شروع عالی برای رسیدن به هدف هستش ../

 

3- تمرین ، تمرین ، تمرین ! 

باید بگیم که شما الان یک دزد و یک نگهبان بسیار خوب هستید ../ 

حالا موقع بهره برداری هست ../ شما باید هر روز تمرین مستمر داشته باشید بر دانسته های خودتون ../

امیدوارم این مقاله مورد قبول و رضایت کاربران عزیز انجمن قرار گرفته باشه ../

هرگونه سوالی داشتین تحت یک پیام خصوصی برای بنده ارسال کنید حتما بررسی خواهم کرد ♥

از ارسال پست های تشکر جدا خودداری کنید ♥ 

به امید افزایش امنیت سایبری مملکتمون ../

یا حـ ـق ../

 

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

مهمان
ارسال پاسخ به این موضوع ...

×   شما در حال چسباندن محتوایی با قالب بندی هستید.   حذف قالب بندی

  تنها استفاده از ۷۵ اموجی مجاز می باشد.

×   لینک شما به صورت اتوماتیک جای گذاری شد.   نمایش به عنوان یک لینک به جای

×   محتوای قبلی شما بازگردانی شد.   پاک کردن محتوای ویرایشگر

×   شما مستقیما نمی توانید تصویر خود را قرار دهید. یا آن را اینجا بارگذاری کنید یا از یک URL قرار دهید.

در حال بارگذاری