ویرگول
ورودثبت نام
rasgari
rasgariدر مورد ای‌تی، کار، روزمرگی و زندگی می‌نویسم | کارشناس تست نفوذ وب | گیت هاب https://github.com/rasgari
rasgari
rasgari
خواندن ۳ دقیقه·۱۳ روز پیش

هر هکری، متخصص امنیت نیست

این متن از پست اینستاگرام " محمد نصیری" در تاریخ 12 خرداد 1405 می باشد که من برداشت خودم رو در این مطلب آوردم:

هر هکری، متخصص امنیت نیست: مرز باریک میان نفوذ و دفاع

در دنیای تکنولوژی امروز، واژه‌ی «هکر» برای بسیاری مترادف با «متخصص امنیت» است. با این حال، در لایه‌های عمیق صنعت امنیت سایبری، شکاف عمیقی میان «یافتن یک حفره» و «بنا کردن یک دژ» وجود دارد. اینکه فردی توانایی نفوذ به ۲۰۰ سایت را داشته باشد، لزوماً به این معنا نیست که او صلاحیت طراحی ساختار امنیتی یک سازمان بزرگ را دارد. برای درک بهتر این موضوع، باید تفاوت میان مهارت «اکسپلویت» و دانش «حکمرانی امنیت» را بازشناسی کنیم.

۱. نفوذگر در برابر معمار امنیت

تست نفوذ (Penetration Testing) که تخصص بسیاری از هکرهاست، مهارتی متمرکز بر «یافتن» است. یک نفوذگر با تمرکز بر نقاط ضعف، در لحظه عمل می‌کند تا زنجیره‌ای از آسیب‌پذیری‌ها را برای دسترسی به هدف کشف کند. اما امنیت سایبری، فراتر از ابزارهای هک، مجموعه‌ای از فرآیندها، قوانین و سیاست‌هاست. متخصص امنیت باید دیدی کلان به مدیریت ریسک، انطباق (Compliance) و حوزه‌هایی مانند امنیت انسانی داشته باشد. او باید بداند که امنیت فقط «فنی» نیست؛ امنیت شامل تعریف سیاست‌ها، تعیین خط‌مشی‌ها و نحوه پاسخگویی سازمان به بحران در سطوح مدیریتی است.

۲. چرا وضعیت امنیت سایبری ایران همچنان چالش‌برانگیز است؟

علیرغم وجود استعدادهای درخشان در حوزه هک و تست نفوذ در کشور، ما شاهد شکافی در اجرای استراتژی‌های دفاعی هستیم. دلیل این امر ساده است: مهارت در «شکستن»، به معنای مهارت در «ساختن» نیست. سازمانی که تنها به هکرهای تهاجمی متکی است، ممکن است آسیب‌پذیری‌های موردی را رفع کند، اما همچنان در برابر حملات سیستماتیک، مهندسی اجتماعی و خلأهای سیاستی آسیب‌پذیر باقی بماند. امنیت یک «سیستم» است، نه یک «پچ» (Patch) که بر روی یک حفره گذاشته می‌شود.

۳. سواد امنیت: فراتر از کدهای اکسپلویت

کسی که ۲۰۰ سایت را هک کرده، بدون شک درک عمیقی از پروتکل‌ها دارد، اما آیا او می‌تواند پالیسی‌های امنیتی (Security Policies) بنویسد که کارمندان یک سازمان ۵۰۰ نفره را ملزم به رعایت اصول امنیتی کند؟ آیا او می‌داند چگونه هزینه‌های امنیتی را با بودجه‌بندی سازمان هماهنگ کند؟ دانش امنیت سایبری شامل مدیریت «انسان، فرآیند و تکنولوژی» است. یک هکر ممکن است تنها روی بُعد تکنولوژی متمرکز باشد، در حالی که متخصص امنیت باید تضاد میان «راحتی کاربر» و «امنیت سیستم» را مدیریت کند.

امنیت، هنرِ حفظ امنیت در برابر ناشناخته‌هاست، نه فقط هنرِ بهره‌برداری از ضعف‌های شناخته شده.

۴. مشاوره امنیت؛ مهارتی در لایه‌های کلان

مشاوره امنیت یعنی تواناییِ دیدنِ کلیتِ یک سازمان و تشخیص اینکه کجایِ زنجیره عملیاتی، بیشترین خطر را برای خروج اطلاعات دارد. نفوذگر ممکن است به سرور دیتابیس حمله کند، اما مشاور امنیت کسی است که تعیین می‌کند چه کسی به آن دیتابیس دسترسی داشته باشد، چگونه لاگ‌ها مانیتور شوند و در صورت نشت، سیستم چگونه احیا گردد. بنابراین، بسیاری از هکرهای بسیار ماهر، لزوماً مشاوران امنیتی خوبی نیستند، چرا که مشاور بودن نیازمند مهارت‌های نرم، درک حقوقی و مدیریتی است.

سخن پایانی

هکر بودن، نقطه شروع بسیار خوبی است؛ مهارتی که به فرد نگاهی دقیق و جزئی‌نگر می‌دهد. اما گذار از «نفوذگر» به «متخصص امنیت» نیازمند تغییری بنیادین در تفکر است: تغییر از نگاه «تخریبی» (نحوه نفوذ به سیستم) به نگاه «تدافعی و حکمرانی» (نحوه حفظ تداوم کسب‌وکار در امن‌ترین حالت ممکن). ما در ایران بیش از هر چیز به متخصصانی نیاز داریم که بتوانند سیاست‌گذاری کنند، استراتژی بنویسند و امنیت را به عنوان یک فرهنگ در بدنه سازمان‌ها تزریق کنند، نه فقط کسانی که به دنبال شکار باگ‌ها در لحظه هستند.

متخصص امنیتامنیت سایبریتست نفوذباگ بانتی
۱
۰
rasgari
rasgari
در مورد ای‌تی، کار، روزمرگی و زندگی می‌نویسم | کارشناس تست نفوذ وب | گیت هاب https://github.com/rasgari
شاید از این پست‌ها خوشتان بیاید