این روزها کمتر پیش میاد که جایی صحبت از امنیت و هک شدن سازمانx و فاش شدن اطلاعات کاربران
نرم افزار y و از این دست خبر ها نباشه .بالاخره همه ما به طریق های مختلفی با امنیت سروکار داریم.
مگه کسی پیدا میشه که زندگیش درگیر صفر و یک ها نباشه ؟!
بخاطر دلایل بالا و خیلی دلایل دیگه همه ما دوست داریم که با دنیای امنیت آشنایی داشته باشیم
یاشاید نگاهی به اطلاعات دیگران بندازیم! یا حداقل مراقب اطلاعات خودمون باشیم
و خب اولین سوال هایی که پیش میاد اینه که :
از کجا شروع کنم ؟
بین این همه دوره کدوم رو باید یادبگیرم؟
دوره های حضوری بهترن یا فیلم ها و کتاب ها ؟
خب بیایم تلاش کنیم برای هر کردوم یک جواب مناسبی پیدا کنیم
مهمترین سوالی که پیش میاد همین هست . و با توجه به اینکه چقدر با کامپیوتر و امنیت و شبکه و... آشنایی داریم جواب های متفاوتی خواهدداشت . حتما برای اینکه پا به دنیای امنیت بزاریم لازم نیست که دانشجوی کامپیوتر باشیم یا از بچگی با آی سی ها سر و کله زده باشیم!
اما پیشنیاز ها :
مهمترین و اصلی ترین پیشنیاز "علاقه " است بعد از اون یک آشنایی خوب (نه در حد اسنودن و بیل گیتس !)با دنیای کامپیوتره و مثله خیلی چیزهای دیگه دوستی با زبان انگلیسی
یکی دیگه خوب بلد بودن حداقل یکی از زبان های برنامه نویسی خوبه!
خب زبان برنامه نویسی خوب چیه ؟ زبان هایی مثله #c ، جاوا ، پایتون ، پی اچ پی و... خیلی خوبن! چرا چون قابلیتایی مثله شی گرایی دارن و هم اینکه فریم ورک ها و کتاب خونه هایی خیلی زیادی براشون وجود داره و هم اینکه به خیلی دلایل دیگه بچه های خوبی هستن!
اما بریم سراغ دوره ها:
اولین دوره برای وارد شدن به دنیای هکرها ، دوره+ security هست
توی این دوره یاد میگیریم که امنیت چی هست الفباش چیه و چه زمینه های مختلفی داره
تصویر مثلث امنیت اطلاعات :
برای قدم زدن توی دنیای هکرا نیاز به کفش هایی از جنس شبکه است !
هرچقدر از شبکه بیشتر بدونیم پیاده رویمون راحت تر و سریعتر میشه پس دوره بعدی دوره +network
تو این دوره با الفبای شبکه آشنا میشیم و یاد میگیریم تو دنیای شبکه رابطه ها چجوری هست
خب حالا که با کلیت ماجرا آشنا شدیم و قدم اولیه رو برداشتیم به جایی رسیدیم که انتخاب های خیلی زیادی جلوی راهمون هست .
هرچقدر وسایل و ابزارهای بیشتری برداریم سریعتر به مقصدمون میرسیم یکی از این ابزار ها دوره ای به اسم CEH یا همون هکر قانونمنده
توی این دوره یاد میگیریم که هکرای با اخلاق یا همونایی که کلاهاشون سفیده چه کارهایی بلدن وچیکار میکنن
بعد از تموم شدن این دوره چیزهای خیلی زیادی از امنیت یادگرفتیم اما هنوز اول راهیم و تازه میتونیم
بریم سراغ دوره های حرفه ای .
حالا باید انتخاب کنیم که دنبال امنیت چی ها هستیم؟! میخوایم وایفای همسایمون رو هک کنیم یا بریم سراغ اپلیکیشن های موبایلی ؟
میخوایم به سخت افزار تاسیسات ها حمله کنیم یا هدفمون داده های فضای ابریه ؟
برای زمینه های مختلف امنیت دوره های مختلف خیلی زیادی ارائه شده
شرکت هایی مثله sans ، camptia ، offensive security ،EC-Council و...دوره های خیلی زیادی
رو ارائه میکنند که در نوشته های بعدی سعی میکنیم تک تکشون رو باهم بررسی کنیم.
گواهی نامه :
شرکت های امنیتی ارائه دهنده دوره ها که در بالا راجع بهشون صحبت کردیم آزمون هایی روهم برگزار میکنند که با شرکت در اونها میتونید گواهی نامه مربوطه رو دریافت کنید که البته ماها بعنوان یک ایرانی مشکلات خیلی زیادی رو برای شرکت در آزمونها داریم...
البته موسسات خصوصی خیلی زیادی هم هستن که در ایران این دوره هارو برگزار میکنند و در آخر گواهی نامه ارائه میدن
شبکه چی شد؟
یادتون که نرفته ؟ شبکه کفش های ما بود! پس برای موفقیت خیلی خوب میشه تا در همون زمانی که داریم دوره های امنیت رو یاد میگیریم یکمی هم وقت برای شبکه بزاریم
دوتا از معروف ترین دوره های شبکه ،دوره های مایکروسافت و سیسکو هست
رایج ترین دوره ccna سیسکو هست که توی اون چیزای خیلی زیادی درباره شبکه و نحوه کار کردن روترها سوییچ ها پکت تریسر و... سیسکو رو یاد میگیریم بعدش که حرفه ای تر شدیم دوره ccnp , ccie و....
دوره های مایکروسافت هم برای شروع باید سراغ mcsa بریم و بعدش msce و...
اینکه این دوره های شبکه باهم چه تفاوت هایی دارند بازار کار کدوم بهتره و... در نوشته های بعدی بهش میپردازیم
لینوکس رو فراموش نکنیم :
چرا لینوکس ؟ به این که لینوکس بهتر هست یا ویندوز یا مک کاری نداریم اما باید بدونیم که خیلی از ابزارهایی که برای تست نفوذ و امنیت لازم هست فقط در لینوکس پیدا میشه و پنگوئن تاکس یکی از همراهامون تودنیای امنیته
توزیع های مختلفی از لینوکس برای امنیت ارائه شدن که بصورت پیش فرض ابزارهای تست نفوذ لازم رو همراهشون دارن
از محبوب ترین ها میشه به kali و black arch اشاره کرد
دوره های حضوری یا فیلم ها و کتاب ها ؟
اینکه خودمون توی خونه شروع به یادگیری کنیم یا در دوره های حضوری شرکت کنیم بسته به هر فرد متفاوته
یک سری از ماها با دیدن فیلم یادگیری بهتری داریم و یک سریمون هم حتما باید حضورا شخص دیگه ای بهمون آموزش بده
هر کدوم از روش ها مزیت خاص خودشون رو دارن
بطور مثال برای دوره های شبکه بصورت حضوری این مزیت رو داره که از نزدیک میتونیم با روترها و سوییچ ها آشنا بشیم و در دنیای واقعی کانفیگ کردنشون رو یاد بگیریم
اما بازار کار امنیت ؟
هم میتونیم بگیم که امنیت بازار کار خیلی خوبی داره و هم نه ! اما چجوری ؟
اگر بخوایم با فیلدهای دیگه دنیای کامپیوتر مقایسه کنیم ( مثلا وب ) زمان و دانش فنی خیلی زیادتری برای ورود به بازار کار نیازه . در برخی از فیلدها میشه به راحتی و بعد از 6 ماه پروژه گرفت یا حتی استخدام شد اما برای امنیت حداقل زمانی 2یا 3 برابر این نیازه تا تازه بتوان حرفی برای گفتن داشت!
درسته که زمان و یادگیری خیلی بیشتری نیاز داره اما مسئله مهمی که وجود داره اینه که درآمد یک کارشناس امنیت بصورت مشاور امنیت سازمان یا( SOC(security operations center یا کارشناس تست نفوذ یا حتی یک باگ هانتر یا ...خیلی بیشتر از دیگر حوزه هاست
البته این نکته هم وجود داره که برای اون درآمد بیشتر خیلی وقتها لازمه تا هزینه زیادی صرف شرکت در دوره های آموزشی امنیتی و گرفتن گواهینامه های اون کرد
تفاوت دیگه امنیت با بقیه این هست که شما مثل یک برنامه نویس نمیتونید در همان شروع کارتون و بعد از چندماه یادگیری بصورت فریلنسینگ از داخل منزل پروژه بگیرد و کار کنید اما در عوض میتونید توی باگ بانتی های مختلف شرکت کنید و با پیدا کردن آسیب پذیری های اونها به راحتی درآمد داشته باشین
پس بالاخره بازار کار امنیت خوبه یا نه ؟ اگر واقعا به این فیلد علاقمند هستین بازار کارش عالیه! اما اگر ... :)
این صفرمین پست درباره ورود به دنیای امنیت بود و امیدوارم که خوندنش براتون مفید بوده باشه
و در ادامه برای رسیدن به دنیای امنیت همراهمون بیاین!
در آخر هم یکی از نقشه راه هایی که توسط شرکت CompTIA ارائه شده رو باهم ببینیم :
