تجربیات 4 ساله خانم Fernick بعنوان مدیریت یک تیم تحقیقاتی امنیت سایبری

تو این پست به نوشته آخر خانم Jennifer Fernick در سمت معاون ارشد و مدیر بین المللی تحقیقاتی NCC Group پرداختیم. ایشون بعد از 4 سال فعالیت در این سمت ، از موقعیتشون کنار رفتن.

نوشته ایشون دو بخش داره بخش اول در خصوص نظرات و تجربیات ایشون بعنوان مدیریت، یک تیم تحقیقاتی امنیتی هستش و بخش دوم در خصوص پروژه های تحقیقاتی مورد علاقه ایشون تو این 4 سال. تو این پست به بخش اول نوشته می پردازیم . نظرات و تجربیات فردی در این موقعیت قطعا میتونه کمک کننده باشه هم برای رشد خودمون و هم رشد جامعه امنیت سایبریمون .

از نظر من ، تحقیقات امنیتی در NCC Group ، در صنعت امنیت سایبری منحصر به فرده و خواهد بود. ما یه تیم کوچیک از چندین محقق تمام وقت نداشتیم که روی اونا سرمایه گذاری کنیم و بعنوان مدرکی بر توانایی های شرکت اونا رو نمایش بدیم. بلکه همه محققین ما بصورت نیمه وقت و بعنوان مشاور و توسعه داخلی پشتیبانی شدن. همه ما برابر هستیم یعنی کسی که اولین تحقیقش رو شروع میکنه به همون میزان منابع و زمان دسترسی داره که یه محقق معتبر یا درجه یک جهانی.

ما عمدتا در برابر brilliant asshole (عوضی با استعداد) مقاومت میکنیم ، چون میدونیم که راک استاریسم و بی احترامی یه نوع فرهنگه، که امکان ریسک‌پذیری فکری ، که تحقیقات امنیتی به اون نیاز داره، رو از بین می‌بره. همچنین با استعدادترین افرادی که در زندگی حرفه ایم ملاقات کردم، متواضع ترین و مهربان ترین ها بودن.

از تجارب من در چهار سال گذشته، چند چیز دیگه هم هست که معتقدم آوردنش اینجا میتونه خوب باشه:


اعتماد به نفس یک مهارت است.

استعدادهای زیادی به دلیل نداشتن کمی شجاعت در دنیا از بین میره، و گاهی اوقات یک نظر یا تجربه میتونه برای همیشه شغل شخصی رو تغییر بده. به عنوان رهبر، بزرگ‌ترین هدیه‌ای که می‌تونیم به افرادی که مدیریت می‌کنیم، بدیم، مهارت اعتماد به نفس هستش. یعنی یه اعتقاد قوی ، که اون فرد می‌تونه از پس هر چالشی برآد و یه محیطی به اندازه کافی امن که بدونند در صورت مواجه شدن با مشکلات به کجا و کی مراجعه کنند.


همه ما یک منتقد درونی داریم، اما منتقد درونی ما معمولا اشتباه می کند.

یکی از مهم ترین خاطرات من از دوران حضورم در این نقش، در Black Hat/DEF CON/BSidesLV در سال 2019 بود. اون سال بیش از 20 سخنران از NCC Group داشتیم که تحقیقات خودشون رو در این کنفرانس ها ارائه کرده بودند. بیش از نیمی از این محققین در لحظات نزدیک به صحبت هاشون، احساس شک و تردید، ناامنی یا ترس رو با من در میون میذاشتن. از اینکه اون فرد مطمئن برای اونا بودم سپاسگزارم، اما از شنیدن این که بسیاری از افراد با استعداد ، ارزش کارشون و گاهی حتی خودشون رو زیر سوال می بردند، دلم می سوخت. اون سخنرانان در سراسر جهان سخنرانی های بسیار خوبی ارائه کردند که مورد استقبال قرار گرفت. من فکر می‌کنم درس‌هایی که در اینجا وجود داره اینه که:

  • حتی سخنرانان باتجربه‌ای که در بهترین جاهای صنعت امنیت سایبری هستن و شناخته شده و تحسین شده هم هستن ، هنوز هم لحظاتی از سندروم ایمپاستر دارن.
  • بنابراین منتقد درونی ما تمایل به اشتباه داره و ما باید تمام تلاش خودمون بکنیم تا ترس رو احساس کنیم و به هر حال کارها را انجام بدیم.

[*] سندرم ایمپاستر، نشانگان دغل‌کار یا نشانگان خودویرانگری توانمندان ( impostor syndrome) یک پدیده روانیه که در اون فرد برجسته نمیتونه اعتبار موفقیت‌هایش رو بپذیره. در این پدیده فرد تصور میکنه بر خلاف آنچه شواهد بیرونی که نشان از لیاقت وی برای رسیدنش به موفقیت از روی رقابت و تلاش دارن، اون در واقع شایستگی اون موفقیت رو نداره و شخص فریب‌کاری هستش. فرد مبتلا ، موفقیت خودش رو در نتیجهٔ اقبال، زمان‌بندی خوب، و یا فریب دیگران فرض می‌کنه و این موضوع که فردی باهوش یا تلاش‌گر هستش رو بدفهمی دیگران فرض می‌کنه و از نظر روانی از سوی خودش نمی‌پذیره.


ما در کنار هم بهتر خواهیم بود.

هیچ چیز مانند داشتن یک جامعه قابل اعتماد که، میتونه تخصص خودش به اشتراک بذاره، دیدگاه های متفاوتی ارائه بده و همدیگرو راهنمایی کنه ،باعث رشد و انجام ایده‌های جدید و جرأت انجام چیزهای دشوار نمیشه.


فرهنگ Elitist gatekeeping موجب عدم پیشرفت ما میشه.

برخی کارها تو صنعت ما که اغلب gatekeeping هستش رو نباید انجام بدیم .

  • جلوگیری از تحقیقات بین رشته ای و تلاش هکرانه ، برای اختراع مجدد زمینه های دیگر رو متوقف کنید.
  • فراموش نکنید به کسایی که قبل از شما کاری انجام دادن، اعتبار بدید، به‌ویژه زمانی که این افراد هنوز در صنعت ما شناخته شده نیستند و به آسانی ممکنه کمک‌هاشون رو کم یا از بین ببریم.
  • از اینکه مردم ،از پرسیدن یه سوال ،بیشتر احساس شرم کنند، دست بردارید تا اینکه وانمود کنند چیزی رو که نمیدونن ، میدونن.
  • از ترساندن مشارکت کنندگان جدید به دلیل اینکه قبل از شروع موارد ابتدایی به RCE نمیرسن، دست بردارید.
  • از سرزنش کاربران به خاطر حرفه ای نبودن infosec خودداری کنید.

[*] اصطلاح gatekeeping یا کنترل و محدودسازی دسترسی عمومی ، اشکال مختلفی رو داره اما در کل از نشون دادن خود به عنوان یه متخصص خود تحسین‌شده در «چگونه این کار را درست انجام دهیم» و سبقت گرفتن از دیگران ناشی میشه . مثلا میگن هر کی لیست کتابهای جایزه Booker رو نخونده باشه ، کتابخون نیست.یا مثلا یکی میگه من فلان بیماری رو داشتم و اینجور ادمها میگن که منم داشتن و اصلا نمیتونستم از رختخواب بلند بشم ، وضعیت تو از اینم بدتره. یا مثلا یه کسی بگه من فلان خواننده رو دوست دارم ، اینجور آدما میگن 5 تا از البوماش نام ببر ببینم.


امنیت سایبری برای برخی شایسته تر از دیگران است!

در حالی که بیشتر صنعت ما فوق‌العاده است، هنوز هم افرادی هستند که تصور می‌کنند همتایان یا رهبران زن بی تجربه، غیر فنی یا از بخش بازاریابی هستند . افراد کم توجه و به حاشیه رانده شده همچنان با میزان نامتناسبی از اغماض و محرومیت مواجه میشن که به نوبه خودش می تونه باعث بشه اونا کمتر مقالات خودشون رو به CFP ها ارسال کنند، به OSS کمک کنند، تحقیقات خودشون رو منتشر کنند یا برای شغل درخواست بدن. این رگبار دلسردی به طور معناداری بر افراد تأثیر میذاره و حتی می تونه منجر به خروج اونا از صنعت ما بشه. اگه تخصیص CVE و پذیرش سخنرانی در کنفرانس سطح 1 نسبت به مواردی مانند نژاد و جنسیت بیگانه باشه، موانع سیستماتیک و فرهنگی که این افرادرو از صنعت ما را در یک زمان از گفتگوهای ناخوشایند خارج می کنه ، بیگانه نیست. اگر این موارد رو تصدیق میکنید ، ما باید تلاش کنیم که این موارد رو تغییر بدیم.


نگرش Radical inclusivity مهارت فنی بوجود می آورد

مردم در محیط‌هایی که از نظر روانی احساس امنیت نمی‌کنند، ریسک فکری ندارن (یا حتی سؤال نمی‌پرسند). با ایجاد فرهنگ رفاقتی و گرم، احترام، و گنجاندن همه سطوح و زمینه های مهارتی، می تونیم ریسک های فنی و فکری رو با هم بپذیریم، بازخورد سازنده دیگران را به عنوان یک هدیه در نظر بگیریم، تجربه کنیم بدون اینکه لزوماً «شکست» رو با «شرم» همراه کنیم، و کارهایی رو انجام بدیم که در غیر این صورت جرات امتحان کردنشون رو نداشتیم.

[*] نگرش Radical inclusivity یه سفر فکری و نگرشی هستش. برای ما، "رادیکال" در واقع به معنای "فکر کردن خارج از عاداتمونه". به این معنی که به جای محدودیت‌های کاری که نمی‌تونیم یا نمی‌کنیم، فراوانی را در آنچه می‌تونیم انجام بدیم، ببینیم.


تلاش های جسورانه باید پاداش داده شود.

در NCC Group، ما پاداش هایی را برای موفقیت در تحقیقات پرداخت می کنیم. در چند سال گذشته، ما چندین دسته مختلف برای «دستاوردها» داشته‌ایم، و برای واجد شرایط شدن برای جایزه فقط باید یکی از این دسته را بدست می آوردن. یکی از دسته بندی هایی که افراد می تونند واجد شرایط دریافت یکی از این پاداش ها بشن، «سختی، جسارت و تلاش» بود. ما می دونیم که تلاش کردن برای کاری دشوار ،یه ریسک با پتانسیل بالاست، اما نقطه ضعف اون اینه که ممکنه شکست بخوره. ما سعی کردیم با پاداش دادن به تلاش‌های شجاعانه برای انجام کارهای سخت، حتی زمانی که اون چیزها خراب میشن و می‌سوزن، به «مالک شدن» این خطر با محققان خود کمک کنیم. و من فکر می کنم، ما برای آن بهتر عمل کرده ایم.


منابع:

So long and thanks for all the 0day
Impostor syndrome

What is Gatekeeping?
What is Radical Inclusion?


حمایت از ما :

یه قهوه من مهمون کن

ما را در تلگرام دنبال کنید

دریافت نشریه تخصصی امنیت سایبری ONHEX : شماره اول | شماره دوم

ویدیوی دنیای توسعه دهندگان زیرودی ، مشاهده در : آپارات - یوتیوب - تلگرام