دکتر احمدصبحی  (ph.D computer)

در حوزه امنیت سایبری شاخه ها و گرایش های مختلفی برای فعالیت وجود دارد زیرا این رشته آنقدر گسترده است که می توان با ظهور هر تکنولوژی جدیدی یک شاخه جدید به آن اضافه کرد،در این مقاله سعی شده است شاخه های مختلفی را ذکر کنیم تا شما با آن ها آشنا شوید و مسیر خود را برای ورود هر یک انتخاب کنید.

� در مقالات آینده یا در یک صفحه مجزا برای هر یک از شاخه های مد نظر بطور مفصل صحبت خواهیم کرد و نقشه راه ارائه خواهیم داد.�

• تست نفوذ (Penetration Testing) :

در این شاخه افراد باید همانند یک هکر فکر و رفتار کنند تا بتوانند آسیب پذیری ها و ضعف های مختلف سیستم ها را پیدا کنند و بعد از پیدا کردن ضعف ها و تست درست بر روی آن ها،آن ها به مسئولان امنیتی گزارش دهند تا امنیت و عملکرد سیستم ها را بالا ببرند تا از حملات و تهدیدات هکرهای مخرب در برابر این آسیب پذیری ها و ضعف ها جلوگیری کنند،این افراد دانش خوبی در زمینه ی نفوذ به سیستم ها دارند و از این دانش در جهت بهبود و عملکرد و بالا بردن امنیت سیستم ها استفاده می کنند.

این حوزه دارای زیر شاخه های می باشد که به آن ها در زیر اشاره می کنیم :

 تست نفوذ شبکه (Network Penetration Testing) : افرادی که در این شاخه فعالیت می کنند دانش خوبی نسبت به حوزه زیرساخت و سرویس های شبکه دارند و از مهارت ها و ابزارهای تست نفوذ یا بهتر است بگوئیم از مهارت و ابزارهای هک برای پیدا کردن ضعف و آسیب پذیری های تجهیزات مختلف،سیستم های مختلف و سرویس های مختلف شبکه استفاده می کنند این افراد باید از جدیدترین ابزارها و روش های استفاده کنند تا بتوانند از مکانیزم های امنیتی شبکه نیز عبور کنند تا ضعف های مختلف شبکه را پیدا کنند.

 تست نفوذ وایرلس (Wireless Penetration Testing) : افرادی که در این شاخه فعالیت می کنند دانش خوبی نسبت به حوزه وایرلس و همچنین انواع سیگنال های ارتباطی و امواج رادیویی دارند و از مهارت ها و ابزارهای تست نفوذ وایرلس و برخی از ابزارهای مربوط به مانتیورینگ شبکه برای پیدا کردن ضعف ها و آسیب پذیری های رایج در پروتکل های وایرلس و پروتکل های امنیتی استفاده می کنند.

 تست نفوذ وب (Web Penetration Testing) : افرادی که در این شاخه فعالیت می کنند دانش خوبی نسبت به برنامه نویسی وب و سرویس های وب دارند و از مهارت ها و ابزارهای تست نفوذ وب برای پیدا کردن آسیب پذیری ها سطح برنامه های کاربردی وب استفاده می کنند.

 تست نفوذ موبایل (Mobile Penetration Testing) : افرادی که در این شاخه فعالیت می کنند دانش خوبی نسبت به برنامه نویسی موبایل و همچنین معماری پلتفرم های موبایل دارند و از تحلیل های ایستا و پویا و ابزارهای موجود در این حوزه برای ارزیابی و کشف آسیب پذیری های برنامه های موبایل استفاده می کنند.

 تست نفوذ اینترنت اشیا (IOT Penetration Testing) : افرادی که در این شاخه فعالیت می کنند دانش خوبی نسبت به حوزه اینترنت اشیا و معماری آن دارند آن ها از مهارت ها و ابزارهای تست نفوذ اینترنت اشیا و شبکه و وایرلس برای پیدا کردن آسیب پذیری ها استفاده می کنند.

 تست نفوذ سیستم های کنترل صنعتی (SCADA Penetration Testing) : افرادی که در این شاخه فعالیت می کنند دانش خوبی نسبت به سیستم های کنترلی در صنعت برق،گاز،آب،نفت،ریلی،هوایی و… دارند و از آن جایی که افراد باید در این شاخه دانش فراوانی در حوزه ارتباطات و کنترل سیستم های حیاتی و حساس داشته باشند و حداقل تجربه کار چند ساله در هر یک از صنایع مربوطه داشته باشد و با استفاده از مهارت های هکی در این حوزه و حوزه شبکه و… کسب کرده اند می تواند آسیب پذیری و نقاط ضعف آن ها را پیدا کنند.

 تست نفوذ کلود (Cloud Penetration Testing) : افرادی که در این شاخه فعالیت می کنند دانش خوبی نسبت به فضاهای ابری،برنامه نویسی و لینوکس دارند،آن ها از مهارت ها و ابزارهای هکی دارند برای پیدا کردن آسیب پذیری ها در این حوزه استفاده می کنند.

• امنیت اطلاعات (Information Security) :

در این شاخه افرادی که می خواهند وارد شوند باید هم دانش فنی و دانش تئوری خوبی در زمینه های مختلف فناوری اطلاعات و مدیریتی داشته باشند زیرا این شاخه برای جلوگیری و حفاظت از اطلاعات و سیستم های اطلاعاتی در برابر خطرات و تهدیدات می باشد،خیلی از افراد فکر میکنند دانش تئوری فقط در این زمینه کافیست اما این باور غلطی است که خیلی از افراد دارند چرا که کسی که وارد این شاخه می شود باید توانایی درک و تحلیل قوی از سیستم ها را داشته باشد و با بررسی،ارزیابی و آزمایش سیستم های اطلاعاتی بتوانند بهترین نتیجه را برای محافظت و ایمن کردن آن ها در نظر بگیرید زیرا که با افزایش امنیت،پردازش و عملکرد سیستم ها دچار مشکل نشود.

• امنیت شبکه (Network Security) :

افرادی که در این شاخه فعالیت می کنند دارای مهارت و تخصص در حوزه شبکه و سیستم های امنیتی مانند فایروال،سیستم های تشخیص نفوذ و جلوگیری از نفوذ هستند آن ها با طراحی و پیاده سازی و پیکربندی درست شبکه از اطلاعات و منابع شبکه محافظت می کنند تا از نفوذ و به خطر افتادن سیستم ها و اطلاعات توسط هکرها جلوگیری کرد.

• کد نویسی امن (Secure Coding) :

افرادی که در این شاخه فعالیت می کنند دارای مهارت برنامه نویسی قوی هستند که توانایی تحلیل و ارزیابی کدها دارند و کدهای آسیب پذیر را پیدا می کنند و به جای آن کدهای ایمن تری را می نویسند تا ضعف های کمتری یک برنامه داشته باشد(امنیت هیچ گاه صد در صد نیست)،همچنین این افراد از ابزارهای مختلفی در این زمینه استفاده می کنند تا سریعتر به نتیجه برسند،این حوزه خود به زیر شاخه های تبدیل می شود که به آن ها اشاره نمیکنیم زیرا شما با توجه به شاخه های که گفته شده است می توانید حدس بزنید چه زیرشاخه های دارد.

• مهندسی معکوس (Reverse Engineering) :

افرادی که در این شاخه فعالیت می کنند مهارت کد نویسی بالایی دارند،این دانش و مهارت شامل برنامه نویسی سطح پایین(ماشین و اسمبلی) و زبان های میانی (C,C ) و همچنین با معماری انواع پردازنده ها و سیستم عامل ها و همچنین با مباحث مهندسی نرم افزار آشنایی خوبی دارند،کار آن ها آنالیز و ارزیابی کدهاست و از این طریق متوجه می شوند که کدهای اجرا شده بر روی سیستم چه کارهای را انجام می دهد،آیا کدهای که اجرا می شود سیستم را به خطر می اندازد یا به اصطلاح کدهای مخربی در برنامه وجود دارد و…،همچنین این افراد توانایی توسعه کدهای مخرب را هم دارند و با تکنیک های مختلف آن ها را از دید برنامه های امنیتی و برنامه نویسان که دید امنیت قوی ندارند پنهان می کنند.

• جرم شناسی (Forensic) :

افرادی که در این شاخه فعالیت می کنند دانش نسبتا خوبی در زمینه تست نفوذ و هم چنین شبکه و رمزنگاری دارند،کار آن ها ردیابی مجرمان سایبریست یا بهتر است بگوئیم هکرهای مخرب،آن ها از طریق ابزارهای که در این زمینه استفاده می کنند و همچنین از طریق بررسی پرونده ها و فایل ها و سیستم های مختلف و لاگ خوانی می توانند مجرمان را پیدا کنند و آن ها را تحویل قانون دهند.

• تیم قرمز (Red Team) :

افرادی که در این شاخه فعالیت می کنند دانش و مهارت بالای در زمینه تست نفوذ دارند،این شاخه متشکل از یک تیم می باشد که بخش های مختلف یک سازمان را ارزیابی و تست می کنند و آسیب پذیری ها و ضعف ها را به مسئولان امنیتی یا تیم آبی گزارش می دهند،تا آن ها را رفع کنند.

• تیم آبی (Blue Team) :

افرادی که در این شاخه فعالیت می کنند دانش خوبی نسبت به حملات و آسیب پذیری ها و همچنین امنیت شبکه،کد نویسی امن و امنیت اطلاعات و بحث های دفاعی دارند،این شاخه متشکل از یک تیم است که کارهای امنیتی یک سازمان را در بخش های مختلف انجام می دهند و ضعف ها و آسیب پذیری ها را رفع می کنند.

• مرکز عملیات امنیت (Security Operation Center) :

افرادی که در این شاخه فعالیت می کنند دانش نسبتا خوبی در زمینه های مختلف امنیت سایبری دارند،در واقع باید گفت این شاخه متشکل از یک تیم حرفه ای برای بررسی و پویش و مانیتورینگ و انجام ارزیابی و تست سیستم ها و همچنین شناسایی،شکار حوداث و تهدیدات و تجزیه و تحلیل آن ها و جلوگیری از حملات و تهدیدات است که بصورت شبانه روزی سیستم های یک سازمان را رصد و مانیتور می کنند،که دارای بخش های مختلفی می باشد هر بخش از تیم کارهای متفاوتی را انجام می دهند.

• پاسخگویی به حوادث (Incidents Response) :

افرادی که در این شاخه فعالیت می کنند دانش نسبتا خوبی در زمنیه تست نفوذ،جرم شناسی،مدیریت امنیت اطلاعات و مهندسی معکوس دارند،کار آن ها تجزیه و تحلیل دقیق حوادث امنیتی و شناسایی،رسیدگی،پاسخگویی سریع به حوادث،تهدیدات،آسیب پذیری هاست همچنین در این زمینه قوانینی را در جهت مدیریت و ایجاد امنیت بهتر در سازمان اجرا می کنند.

• شکار تهدیدات (Threats Hunting) :

افرادی که در این شاخه فعالیت می کنند دانش نسبتا خوبی در زمینه های مختلف از قبیل تست نفوذ،مهندسی معکوس و تحلیل بدافزار و حملات مختلف از قبیل APT,0Day و… دارند،کار آن ها همان طور که از اسمشان پیداست،پیدا کردن تهدیدات و آسیب پذیری های مختلف می باشد که بطور گسترده سیستم های مختلف را تست و ارزیابی می کنند تا از صحت ایمن بودن آن ها اطمینان داشته باشند.

​​​​​​​

ساخت اکانت مخفی در انواع نسخه های ویندوز

در این مطلب آموزشی قصد داریم شما را با نحوه ساخت اکانت مخفی در نسخه های مختلف سیستم عامل ویندوز با سطح دسترسی Administrator آشنا کنیم همچنین در انتهای ویدیو، نحوه پاک کردن تاریخچه دستورات اجرا شده در  Run را نیز عنوان نمودیم.

دلایل استفاده از یوزر مخفی

در ابتدای این ویدیو دلایل استفاده از اکانت مخفی را به اختصار شرح دادیم. چنانچه کامپیوتر شما در یک ارتباط شبکه ای با اینترنت از جانب یک نفوذگر دچار آسیب شود و تمام دسترسی های شما برای ورود به سیستم از بین برود (نام کاربری و کلمه عبور تغییر پیدا کرده و یا حذف شود) لازم است تا از قبل یک اکانت با دسترسی کامل مدیرتی به صورت مخفی در سیستم خود داشته باشیم تا در مواقع ضروری بتوانیم با آن وارد سیستم شویم.

دلایل مختلف دیگری نیز برای ایجاد اکانت مخفی در ویندوز یا سرور وجود دارد که به مراتب با آنها آشنا خواهید شد.

مراحل ساخت یوزر مخفی در ویندوز

ابتدا یک فایل متنی با فرمت txt. را در محل دسکتاپ یا یکی از درایو های کامپیوتر ایجاد کرده و دستورات زیر را در آن قرار می دهیم.

توضیحات مربوط به دستورات نوشته شده برای کسانی که با اسکریپ نویسی بش در ویندوز آشنایی ندارند به صورت ابتدایی در فیلم ویدیویی شرح داده شده است.

حال فایل مربوطه را با پسوند userhidden.bat به صورت بَش اسکریپت ذخیره می کنیم. سپس با راست کلیک کردن روی آن با run as administrator آن را اجرا می کنیم.

حال با تنظیم نام کاربری و پسورد مورد نظر، اکانت مخفی ما در مسیر مشخص شده ایجاد می شود.

شاید خیلی اوقات براتون پیش اومده که یک فایل zip قبلا درست کردید و الان رمزش یادتون رفته و یا از اینترنت یک فایل zip دانلود کردید و فایل رمزگذاری شده است و میخواید که رمزش رو پیدا کنید در این آموزش یکی از قدرتمند ترین برنامه ها در این زمینه رو بررسی میکنیم که میتونه برامون پسورد فایل های zip رو پیدا کنه این عملیات با توجه به اینکه از چه متود و چه سخت افزاری استفاده میکنیم میتونه زمانش خیلی متفاوت باشه و همچنین این برنامه از ۳ متود برای کرک استفاده میکنه که هر سه متود رو توضیح میدم

اول از همه برنامه رو دانلود کنید و سپس به کمک کرکش اون رو کرک کنید و بعد برنامه رو باز کنید

برنامه رو که باز کنیم با همچین محیطی رو به رو میشیم که در قسمت اول (Select you ZIP file) مسیر فایل zip مورد نظرمون رو میدیم بهش و سپس یکی از متود های زیرش رو برای اجرای عملیات کرک انتخاب میکنیم

Brute-Force Attack : در این متود برنامه تمامی حالت های ممکن رو برای کرک پسورد امتحان میکنه و با توجه به طول پسورد و ترکیب سختی اون و همچنین سخت افزارتون میتونه خیلی زمانبر باشه
این حالت زمانی توصیه میشه که هیچ حدسی ندارید که پسورد ممکنه چه چیزی باشه

در قسمت بالا کمترین (minimum length) و بیشترین (maximum length) رمز رو به برنامه میدیم و در قسمت پایینی، به برنامه میگیم که از چه character set هایی برای کرک استفاده کنه، به طور خودکار میتونیم بگیم فقط از اعداد، و یا ترکیب اعداد با حروف کوچک استفاده کنه

Mask Attack : این متود زمانی استفاده میشه که میتونیم تقریبا حدس بزنیم که پسورد چه چیزی هست
یعنی به طور مثال میدونیم که طول پسورد چقدر هست و همچنین پسورد شامل اعداد و حروف کوچیک هست و همچنین ابتدای رمز با ultrasecurity شروع میشه

برای اینکار در فیلد Password mask حدسمون از پسورد رو به صورتی وارد میکنیم که:
⦁ کلمه ای که وارد میکنیم باید هم طول پسورد باشه
⦁ چیزی از پسورد را که میدونیم مینویسیم
⦁ جاهایی از رمزعبور رو که نمیدونیم چی هست رو ؟ میزاریم
⦁ در قسمت custom character sett به برنامه میگیم که از چه character هایی استفاده کنه
یعنی من اگر بدونم که رمز عبورم ۸ character داره و ابتدای اون hello هست و بقیه اون رو اعداد ۲-۷ تشکیل داده، فیلد هارو به صورت زیر وارد میکنم
⦁ Password mask
⦁ Hello???
⦁ custom character set
⦁ ۲۳۴۵۶۷

Dictionary attack : از این متود زمانی استفاده میکنیم که یک لیست از پسورد داریم و میخوایم که برنامه اون پسورد هارو برامون روی فایل Zip مون تست کنه

مدل بلوغ شکار تهدید سایبری یا Cyber Threat Hunting Maturity Model چیست؟

امروزه بسیاری از سازمان ها به سرعت در حال کشف شکار تهدید یا تهدیدات سایبری یا اصطلاحاً Threat Hunting هستند، از این Threat Huntingg گام بعدی در سیر تکالی Modern SOCCها محسوب می شود اما در مورد چگونگی شروع به شکار تهدیداتی که سازمان ما را مورد حمله قرار می دهند یا تهدید می کنند یا اینکه چقدر در پیشرفت توانایی های شکار خود مطمئن هستیم یا خیر چه راهکاری وجود دارد؟ و اینکه چطور می توانید کیفیت خود و سازمان خود را در این زمینه (شکار مؤثر تهدیدات سایبری) تعیین کنید؟ برای پاسخ به این سوالات یک مدلی تحت عنوان مدل بلوغ شکار تهدید سایبری یا Cyber Threat Hunting Maturity Model ارائه شده است که در طول این مقاله به توضیح آن خواهیم پرداخت.

منظور از شکار تهدیدات یا Threat Hunting چیست؟

مدل بلوغ شکار تهدید سایبری یا Cyber Threat Hunting Maturity Model

قبل از اینکه به موضوع مدل بلوغ شکار تهدید سایبری یا ‌اصطلاحاً Cyber Threat Hunting Maturity Model – HMM بپردازیم، معنی دقیق زمانی که از اصطلاح hunting استفاده می کنیم را مرور کنیم. ما hunting را به عنوان “پروسه یا فرآیند فعلانه و تکراری جستجوی شبکه جهت تشخیص و ایزوله سازی تهدیدات پیشرفته ای که راهکارهای امنیتی موجود ما را دور می زنند”، تعریف می کنیم. از این رو کارشناسانی که این پروسه ها و فرآیندها را توسط تکنیک های مختلفی که جهت جستجوی attackerها و نفوذگران و فعالیت های مخرب آنها عملیاتی و پیاده سازی می کنند را نیز “شکارچیان تهدید سایبری” یا اصطلاحاً Cyber Threat Hunter می نامیم که معمولا در لایه 3 از SOCهای مدرن فعالیت می کنند.

منظور از Hunting Maturity Model چیست؟

با تعریف ارائه شده از hunting، حال اجازده دهید تا نگاهی داشته باشیم به یک برنامه hunting خوب و ببینیم که نحوه کارکرد آن چگونه است. بطور کلی 3 فاکتور را می بایست زمان قضاوت درباره توانایی hunting سازمانی در نظر داشت: کیفیت و کمیت اطلاعاتی که آنها برای پروسه hunting جمع آوری می کنند، ابزارهایی که جهت دسترسی و آنالیز این اطلاعات فراهم کرده اند و مهارت های آنالیزی که واقعاً از این اطلاعات و ابزارها جهت پیدا کردن Security Incidentها استفاده می کنند.

البته در این فاکتور، احتمالاً مهارت های آنالیز مهمتر از بقیه هستند، چرا که این مهارت ها به hunterها امکان ردیابی داده ها و تشخیص آنها را می دهند. همچنین کیفیت و کمیت داده هایی که یک سازمان از زیرساخت IT خود جمع آوری نیز یکی از فاکتورهای موثر در تعیین سطح HMM به حساب می آید. اطلاعات بیشتری که شما درباره سازمان بدست می آورید و برای متخصص شکار تهدیدات خود فراهم می کنید، به آنها در پیدا کردن نتیجه بیشتر کمک شایانی خواهد کرد. مجموعه ابزارهایی که شما استفاده می کنید، سبک شکارهای شما را شکل می دهند و هر یک تکنیک های مختلفی برای شکار تهدیدات را در اختیاران قرار خواهند داد.

بطور کلی مدل بلوغ تهدید یا به اختصار HMM خود دارای 5 سطح است که از پایین ترین سطح Level 0 تا بالاترین سطح Level 5 در شکل زیر مشخص شده است. این مدل توسط تیم معماران امنیتی و شکارچیان تهدیدات سایبری Sqrrl که بر روی آنالیز رفتاری و یادگیری ماشین در امنیت سازمانی تمرکز دارند به خصوص David J. Bianco ارائه شده است. وجود چنین مدلی به سازمان ها کمک خواهد کرد تا شرایط موجود خود را با هر یک از سطوح در در نظر گرفته شد در این مدل تطابق داده و شرایط فعلی و آینده سازمان خود را براساس آن منطبق نمایند.

در ادامه به توضیح هر یک از سطوح مدل بلوغ تهدید یا HMM خواهیم پراخت.

سطوح مدل بلوغ تهدید یا HMM

سطح صفرم یا HMM0-Initial

در سطح HMM0، یک سازمان اساساً بر روی ابزارهای Automated Alerting از جمله IDS و SIEM یا Antivirus جهت تشخیص فعالیت های مخرب که ممکن است در سازمان وجود داشته باشند تمرکز می کند. آنها ممکن است feedهای signature updateها یا indicatorهای Threat Intelligence (هوش تهدید) را درج کرده و حتی ممکن است signatureها یا indicatorهایی را خودشان ایجاد کنند اما اینها به صورت مستقیم توسط سیستم های مانیتورینگ تغذیه می شوند.
سازمان هایی که در سطح HMM00 هستند اطلاعات بیشتری را از سیستم های IT خود جمع آوری نمی کنند، بنابراین توانایی آنها در جستجوی فعالاته تهدیدات بسیار محدودت است. همچنین سازمان هایی در این سطح قابلیت های شکار تهدیدات را در نظر نمی گیرند.

سطح یکم یا HMM1-Minima

یک سازمان در سطح HMM1 هنوز متکی بر Automated Alerting جهت بررسی پروسه Incident Response یا IR خود است اما این سازمان ها واقعاً یکسری از اطلاعات IT را نیز از زیرساخت های شبکه ای خود جمع آوری می کنند. این سازمان ها اغلب آرزوی تشخیص تهدیدات به صورت intel-driven detection یا تشخیص مبتنی بر هوش تهدیدات را دارند و آنها اغلب آخرین گزارشات مربوط به تهدیدات را از ترکیبی از منابع Open Source و Cloud Source دنبال می کنند.

سازمان هایی در سطح HMM1 به طور معمول حداقل انواعی از اطلاعات و داده ها را شبکه enterprise خود در یک سیستم متمرکز همچون یک SIEM یا یک محصول Log Management جمع آوری می کنند. اما بعضی از آنها ممکن است واقعاً اطلاعات زیادی را جمع آوری کنند، بنابراین زمانیکه تهدیدات جدیدی مورد توجه آنها قرار گیرد، تحلیگران آنها قادر خواهند بود تا توسط شاخص های کلیدی دقیقی که از گزارشات و historical data جستجو شده جهت کشف اینکه آنها (تهدیدات) اخیراً مشاهده شده اند یا خیر استفاده کنند.

سطح دوم یا HMM2-Procedural

اگر شما اینترنت را برای جستجوی مراحل hunting جستجو کنید، حتماً نمونه های عالی برای این منظور را پیدا خواهید کرد. این مراحل اغلب با یک نوع از دیتای وروردی مورد انتظار با یک تکنیک آنالیز خاص جهت کشف یک نوع فعالیت مخرب ترکیب می شوند. (برای مثال، تشخیص بد افزار توسط جمع آوری اطلاعاتی درباره برنامه هایی که به صورت خودکار بر روی میزبان ها اجرا می شوند). سازمان هایی در سطح HMM2 قادر به یادگیری و اعمال مراحل توسعه داده شده توسط دیگران به طور منظم هستند، هر چند ممکن است در آنها تغییرات جزئی را نیز ایجاد کنند اما آنها هنوز قادر به ایجاد مراحل جدید بطور کامل برای خودشان نیستند.
از آنجایی که بسیاری از روش های رایج در دسترس به نوعی به آنالیز حداقل فرکانس یا least-frequency analysis متکی هستند، سازمان های در سطح HMM2 معمولاً یک مقدار بسیار زیاد از اطلاعات را از زیرساخت enterprise خود جمع آوری می کنند.

سطح سوم یا HMM3- Innovative

سازمان هایی در سطح HMM3 دارای حداقل چند نفر شکارچی تهدیدات سایبری یا hunterها در مجموعه خود هستند انواع تکنیک های مختلف آنالیز اطلاعات را می دانند و قادر به اعمال آنها بر روی فعالیت های مخرب مشخصی هستند. این سازمان ها به جای تکیه بر روی مراحل توسعه داده توسط دیگران (همانطور که در مورد HMM2 توضیح دادم) معمولاً خودش این مراحل را ایجاد و منتشر می کنند. مهارت های تحلیلی ممکن است در حد آمارهای پایه ساده باشند یا اینکه شامل مباحث پیشرفته تری مانند تجزیه و تحلیل داده های پیوندی یا Linked data analysis، مصورسازی اطلاعات یا data visualization و یا یادگیری ماشین یا اصطلاحاً Machine Learning را نیز در بر بگیرند. کلید این مرحله برای تحلیلگران اعمال این تکنیک ها جهت ایجاد رویه های قابل تکرار است که بر روی یک تهدید خاص داکیومنت و اجرا شده اند.
سازمان هایی که در سطح HMM33 می توانند کاملا در جستجو و مبارزه با فعالیت های بازیگران تهدید کاملاً مؤثر باشند. هر چند که تعداد پروسه های huntingی که آنها در طول زمان به مرور توسعه پیدا می کند، آنها ممکن است با مشکلات مقیاس پذیری روبرو شوند و سعی کنند همه آنها را در یک برنامه معقول انجام دهند، مگر این تعداد تحلیلگران موجود خود را برای هماهنگی بیشتر افزایش دهند.

سطح چهارم یا HMM4-Leading

یک سازمان در سطح HMM4 اساساً همانند یک سازمان در سطح HMM3 است با یک تفاوت مهم که: Automation است. در HMM4، هر پروسه و فرآیند شکار تهدید موفقیت آمیزی عملیاتی شده و به ردیابی خودکار تبدیل می شود. این موضوع باعث میشود تا تحلیلگران از بار اجرای همان فرآیندها رها شده و به آنها اجازه می دهد تا در عوض تمرکز خود را در بهبود روندهای موجود یا ایجاد مراحل جدید متمرکز کنند.
سازمان های در سطح HMM44 به شدت در مقاومت بر علیه فعالیت های دشمن (منظور attackerها و نفوذگران و…) مؤثر هستند. سطح بالای اتوماتیک سازی فرآیندها به این سازمان ها اجازه می دهد تا تمرکز موثری بر روی ایجاد یک جریان از پروسه های hunting داشته باشند که در نتیجه باعث پیشرفت برنامه تشخیص آنها خواهد شد

از کجا بفهمیم گوشی ما هک شده است؟!

گوشی ما شامل قسمت عمده زندگی ما است. همچنین ، یک ابزار هوشمند است که هر روز آن را در جیب خود حمل می کنیم ، بنابراین همیشه این امکان وجود دارد که در معرض سرقت اطلاعات یا حتی خود گوشی شویم. بنابراین ، اقدامات ایمنی را باید به طور کامل رعایت کرد. در این مقاله به یک پرسش مهم با عنوان “از کجا بفهمیم گوشی ما هک شده” می پردازیم.

هکرها همیشه ابزارهای خود را آماده به کار گذاشته اند. در اینجا با نحوه شناسایی و محافظت از گوشی های هک شده آشنا می شوید.

گوشی شما چگونه هک می شود؟

گوشی شما چگونه هک می شود؟

روش های مختلفی برای هک کردن گوشی وجود دارد که برخی از آنها حتی به دانش پیشرفته فناوری نیز نیاز ندارند. در ادامه به برخی از این روش ها خواهیم پرداخت.

حمله Sim Jacking که با استفاده از این حمله، یک کد مخرب به صورت SMS برای قربانی ارسال می گردد و بعد از آن کنترل سیم کارت را در اختیار می گیرد و اطلاعات حساس را خارج می کند.

ابزار های جاسوسی که داده های شما را جمع آوری می کنند. برخی از برنامه های جاسوسی وجود دارند که به راحتی قابل استفاده هستند و به هکرها این امکان را می دهند که فعالیت های تلفن شما را از راه دور رصد کنند. نفوذگر می تواند با دسترسی مستقیم به دستگاه شما ، چنین برنامه ای را نصب کند.

ممکن است از طریق شبکه های عمومی Wi-Fi یا ایستگاه های شارژ ، نرم افزارهای مخرب وارد گوشی شما شود. هکرها می توانند شبکه های Wi-Fii جعلی را تنظیم کنند تا شما را به سمت وب سایت های فیشینگ هدایت کنند یا داده ها را از طریق کابل USB در یک ایستگاه شارژ سرقت کنند و یا تمامی اطلاعات حساس شما را موقع استفاده از وای فای عمومی شنود کنند.

پیام های فیشینگ ، که با استفاده از طعمه هایی مانند اینترنت رایگان، جایزه های میلیونی و یا حتی قطع یارانه!! و … شما را وسوسه به ورود به لینک های فیشینگ می کنند.

همچنین مهم ترین دلیل هک شدن گوشی بی توجهی کاربران هنگام نصب برنامه ها است. به عنوان مثال در حین بارگیری برنامه ها یا با کلیک روی پاپ آپ ها یا پیوندهای غیرقابل اعتماد ، بدافزارها را از سایت های مشکوک بارگیری می کنید. یا امروزه شبکه های اجتماعی مانند تلگرام بستر مناسبی برای انتشار بدافزارها شده است.

از کجا بفهمیم گوشی ما هک شده

از کجا بفهمیم گوشی ما هک شده

آیا تاکنون فکر کرده اید که “گوشی من هک شده است یا نه؟” در ادامه به برخی از علائم مهم هک شدن گوشی می پردازیم:

1. شما چیزی را در گوشی خود میبینید که قبلا آن را ندیده بودید و برای شما ناشناس است. (به عنوان مثال ، برنامه ها ، پیام هایی که شما ارسال نکرده اید ، خریدهایی که انجام نداده اید ، تماس هایی که توسط شما صورت نگرفته است).
2. احساس کنید که گوشی شما نسبت به قبل کند کار می کند. چرا که بعد از هک شدن گوشی شما، از منابع و باتری شما استفاده زیادی می شود و از حد معمول داغ تر می شود.
3. استفاده از داده اینترنت شما بطور چشمگیری افزایش می یابد. فرآیندهای مخرب ممکن است داده های گوشی همراه شما را در پس زمینه مصرف کنند به عنوان مثال فایل های شما را دانلود کنند یا دوربین و میکروفن گوشی شما اقدام به شنود و تصویر برداری باشند.
4. رفتار عجیب گوشی شما برای مثال برنامه ها به روشی که باید اجرا نشوند، به طور غیر منتظره روشن یا خاموش شوند و…
5. ظاهر شدن پاپ آپ های مختلف. اگر متوجه شدید که تعداد بسیاری از برنامه های پاپ آپ در صفحه نمایش شما ظاهر می شوند ، احتمالاً جاسوس افزار یا بدافزار دارید.

چگونه شخصی که گوشی ما را هک کرده است را پیدا کنیم؟

در علم سایبری به تمامی کارهای جرم یابی فارنزیک می گویند. در بحث هک شدن گوشی ها، پیدا کردن مقصر می تواند بسیار دشوار باشد. در ابتدا سعی کنید تمام برنامه هایی را که نمی شناسید و شماره تلفن های مشکوک یا حساب رسانه های اجتماعی که با شما ارتباط برقرار کرده اند را بررسی کنید. با یک جستجوی سریع ممکن است برخی سرنخ هایی را پیدا کنید اما ردیابی هکرها معمولاً به یک متخصص امنیت سایبری احتیاج دارد.

در صورت هک شدن گوشی چه کاری باید انجام دهیم؟

در صورت هک شدن گوشی می توانید به صورت زیر عمل کنید.

• رمزهای عبور خود را فوراً تغییر دهید.
• بلافاصله همه نرم افزارهای مشکوک را حذف کنید.
• به دوستان خود اطلاع دهید تا پیام های مشکوک ناشی از شما را نادیده بگیرند.
• بلافاصله نرم افزار امنیتی موبایل (آنتی ویروس ها) را نصب کنید.
• برای اطمینان خاطر می توانید گوشی خود را به تنظیمات کارخانه برگردانید که در این حالت تمامی اطلاعات و برنامه های موجود در گوشی شما حذف می شود. بنابراین از آن فقط به عنوان آخرین راه حل استفاده کنید.

نحوه جلوگیری از هک شدن گوشی شما

1. از Wi-FI عمومی ها و یا نقاط شارژ که به آنها اطمینان ندارید استفاده نکنید. اگر از WiFi عمومی استفاده کنید، هرگز بدون VPN این کار را نکنید. هکرها ممکن است یک نقطه دسترسی جعلی با نام یک شبکه اصلی ایجاد کنند و داده های شما را بدست آورند یا شما را ردیابی کنند.
2. بلوتوث خود را بعد از استفاده از آن خاموش کنید زیرا می تواند یک نقطه دسترسی برای هکرها باشد.
3. برای رعایت امنیت فیزیکی سعی کنید بر روی گوشی خود گذرواژه تنظیم کنید.
4. هرگز تلفن خود را بدون نظارت رها نکنید و اجازه ندهید افرادی که نمی شناسید از آن استفاده کنند.
5. مرتباً برنامه های موجود در گوشی خود را نگاه کنید تا برنامه های ناشناس رو در صورت وجود شناسایی کنید.
6. پیام ها ، پیوندها یا پرونده های مشکوک را باز نکنید زیرا امکان مخرب بودن آن ها وجود دارد.
7. آنتی ویروس ها را در گوشی خود نصب کرده و به طور مداوم آن ها را به روز کنید.
8. از سایت های بارگیری که به آنها اعتماد ندارید استفاده نکنید. آنها منبع بالقوه بدافزارها هستند.

چگونه بدون تحریم در اندروید وارد یوتیوب (youtube) شویم؟

یوتیوب یک وب سایت به اشتراک گذاری فیلم است که مقر آن در سن برونو، کالیفرنیای آمریکا است و توسط سه کارمند پیشین پی پال به نام های چاد هورلی، استیو چن و جاوید کریم در فوریه سال 2005 میلادی ایجاد شده است. گوگل این سایت را در نوامبر 2006 با 1.65 میلیارد دلار آمریکا خریداری کرد. اکنون YouTube به عنوان یکی از شرکت های تابعه Google فعالیت می کند.

YouTube به کاربران امکان می دهد تا به راحتی ویدیو های خود را بارگذاری کنند و یا سایر ویدیو ها را مشاهده کنند یا میتوانند درباره ویدیو های دیگران اظهار نظر کنند و … به همین سبب بسیاری از افراد و شرکت ها این شبکه را به عنوان معرفی محصولات خود انتخاب کرده اند.

محتوای موجود در یوتیوب شامل کلیپ های ویدئویی، موسیقی، مستند، فیلم های سینمایی و تلوزیونی و دیگر کلیپ ها مانند کلیپ های آموزشی و شخصی می باشند. اکثر مطالب در YouTube توسط افراد بارگذاری می شود، اما شرکت های رسانه ای از جمله CBS ، BBC ، Vevo و Hulu بخشی از مطالب خود را از طریق YouTubee به عنوان بخشی از برنامه همکاری YouTube ارائه می دهند.

به دلیل وجود قوانین خاص در هر کشور، مشاهده این شبکه در برخی از کشور ها مسدود شده است. در ادامه می خواهیم روشی را برای مشاهده یوتیوب بدون محدودیت در گوشی های اندرویدی یاد بدهیم که با ما همراه باشید.

مشاهده یوتیوب بدون تحریم

برای این کار از فناوری جدید شرکت کلود فلر استفاده خواهیم کرد که پیش تر، آن را به عنوان ارائه دهنده cdn می شناختیم.

این فناوری جدید Warp نام دارد و در اول آپریل سال 2019 به بهره برداری رسیده است. برای استفاده از آن در گوشی های با اندروید پایین تر از 9 می توانید برنامه آن را از گوگل پلی دریافت کنید. اما در گوشی های با اندروید9 و بالاتر بدون نیاز به هیچ برنامه ای می توانید از این فناوری استفاده کنید.

این فناوری ارتباط ما را از طریق dns به صورت کاملا امن برقرار می کند که دی ان اس آن با آدرس 1.1.1.1 شناخته می شود.

برای تنظیم dns در گوشی های اندروید9 به صورت زیر عمل کنید:

ابتدا وارد تنظیمات شبکه گوشی خود می شویم.

سپس گزینه more connection setting را انتخاب می کنیم.

در قسمت تنظیمات بیشتر، گزینه private dns را انتخاب کرده و عبارت زیر را در آن قرار می دهیم.

http://1dot1dot1dot1.cloudflare-dns.com

کار تمام است. حالا شما به راحتی می توانید یوتیوب را در گوشی خود بدون هیچ محدودیتی مشاهده کنید.

دور زدن کلودفلر و پیدا کردن ای پی سرور

» باسلام، امروز قصد داریم به معرفی کلودفلر و روش های دور زدن آن بپردازیم !

~ کلودفلر (CloudFlare) چیست !

» کلودفلر یک CDN به شمار میرود، این CDN باعث جلوگیری از حملات DDos میشود و همچنین دارای یک فایروال قوی نیز می باشد !

~ CDN چیست ؟

» ( Content Delivery Network ) که به اختصار CDN نیز خوانده می‌شود، طبق تعریف اتحادیه
بین‌المللی مخابرات به هر گونه شبکه‌ای که برای تحویل محتوای دیجیتالی بهینه‌سازی شده باشد شبکه تحویل محتوا می‌گویند !

» معمولاً شبکه‌های تحویل محتوا دارای سرورهایی است که در نقاط مختلف مستقر هستند؛ و به صورت جغرافیایی توزیع شده‌اند. برخی شبکه‌های تحویل محتوا بسیار بزرگ هستندو به وبگاه‌های زیادی خدمت عرضه می‌کنند

» مانند آمازون، آکامی و کلود فلر برخی دیگر از شبکه‌های !
تحویل محتوا هم بسیار بزرگ هستند اما فقط برای مصرف یک مجموعه وبگاه توسعه پیدا کرده‌اندمانند شبکه تحویل محتوای گوگل !

» برخی شبکه‌های تحویل محتوا هم بر یک کشور خاص متمرکز هستند !
مانند چاینا کش در چین،گاهی اوقات به خادم‌های ذخیره‌سازی موقتی اپراتورهای دسترسی اینترنتی هم شبکه تحویل محتوا می‌گویند .

» اما شبکه‌های تحویل محتوای تجاری بر اساس قرار داد
با صاحب خدمات وبگاه و با دسترسی به خادم نام به اطلاعات وبگاه دسترسی دارند.

» شبکه تحویل محتوا با استفاده از خادم‌های توزیع شده توجه به موقعیت جغرافیایی کاربر از طریق نزدیک‌ترین سرور به کاربر محتوا را ارائه می‌دهد !

» در وب سایت‌های با ترافیک بالا و وب سایت‌های جهانی مانند گوگل، یاهو، فیس بوک و … بسیار تأثیرگذار است.
CDN به هاست قدرت سرورهای چندگانه را می‌دهد و می‌توان مزیت‌های استفاده از این روش را به صورت زیر فهرست نمود !

»  افزایش سرعت بارگذاری و نمایش صفحات وب در سیستم بازدید کنندگان

»  افزایش امنیت سایت‌ها (بیشتر ارتباط‌ها به صورت غیر مستقیم و محافظت دو چندان هستند)

»  افزایش مقدار پهنای باند (برای مثال اگر سرور شما ۱۰۰ گیگابایت پهنای باند به شما ارائه می‌کند وقتی شما از یک CDN که دارای ۱۰ node است استفاده می‌کنید در حقیقت شما ۱۰ * ۱۰ گیگابایت به پهنای باند خود افزوده‌اید

» هزینه بسیار پایین (دلیل این مزیت توانایی استفاده اشتراکی چندین نفر از سرورها است)

» نصب آسان

» افزایش سرعت بارگذاری و نتایج مثبت در رتبه سایت شما در موتورهای جستجوگر.

~ روش دور زدن کلود فلر و بدست آوردن آی پی سرور ؟

» روش های مختلفی برای بدست آوردن ایپی سرور اصلی وجود دارد اما ساده ترین و پابلیک ترین روش بدست آوردن ای پی سرور اصلی استفاده از اسکریپتهای آماده گیت هاب و یا دریافت ایمیل از سایت هدف میباشد

~ روش پیدا کردن ایپی سرور از طریق دریافت ایمیل ؟

» در این روش با استفاده از روشهای مختلف نظیر ثبت نام کاری میکنیم که از طریق سرور سایت به ما ایمیلی داده شود و سپس با بررسی HEADER های آن ایمیل میتوانیم ای پی آن سرور را پیدا کنیم

انواع هماهنگ سازی اطلاعات در vSphere Replication

بطور کلی سه نوع متود و دو حالت برای هماهنگ سازی اطلاعات در vSphere Replication وجود دارد که عبارتند از:

• متد Initial full sync
• متد Delta Sync
• متد Full sync
• مد Online sync
• متد Initial full sync
• مد Offline sync

متد Initial full sync

در این مند vSphere Replication یک دیسک مجازی خالی در target location ایجاد کرده و تمام محتویات بلاک های اطلاعاتی در دیسک مجازی مبدأ را به دیسک مجازی در target location را replicate می کند. در این عملیات بسته به مقدار اطلاعتنی که می بایست replicate شود زمان زیادی صرف می شود و سرعت و latency (تأخیر) در ارتباط شبکه بین source location و target location نیز از پارامترهای مهم در این replication هستند.

متد Delta Sync

که در واقع replication مربوط به blockهایی است که از آخرین چرخه replication تغییر کرده اند. گاهی اوقات به این نوع replication اصطلاحاً Sync نیز گفته می شود. در این مد نه تمامی اطلاعات بلکه فقط blockهایی از اطلاعات که تغییر کرده اند و به آنها اصطلاحاً changed blocks گفته می شود، بین source و target توسط VRA، replication می شود به این طریق هم حجم کمتری از اطلاعات transfer می شوند و هم در پهنای باند ارتباطی شبکه صرفه جویی صورت می گیرد.

متد Full sync

در متد vSphere Replication توسط checksumها دیسک مجازی مبدأ را با دیسک مجازی مقصد یا target copy جهت تعیین اینکه blockها sync شده اند یا خیر مقایسه می کند. سپس blockهایی که sync نشده اند از source به target، replicate خواهند شد. vSphere Replication می بایست کل محتویات فایل های دیسک های مجازی در source و target را بخواند و checksumها را generate کند که این عملیات نیازمند صرف زمان بسیار زیادی است و این ایجاد و مقایسه checksumها در source و destination، خود نیازمند چرخه های CPU یا CPU cycleهاست. اما در حالیکه این checksumها مقایسه و ایجاد می شوند، vSphere Replication نیز به صورت دوره ای تفاوت های کشف شده را ارسال می کند. این متد sync همچنین زمانیکه یک offline copy از فایل دیسک مجازی مبدأ در target location قرار گرفته نیز مورد استفاده قرار می گیرد. این offline copyها در واقع همان seedها هستند که از آنها جهت کاهش مقدار زمان و پهنای باند مورد نیاز شبکه در پروسه replication استفاده می شود. پروسه Full sync در سناریوهایی کمی از جمله زمانیکه برای اولین بار replication برای یک ماشین مجازی power on شده پیکربندی می شود، اتفاق می افتد.

بطور کلی دو نوع sync mode داریم:

حالت Online sync

در Full Sync و Delta sync هر دو در حالیکه یک ماشین مجازی power on است، اتفاق می افتند. یک initiated sync دستی یا زمانبندی شده در حالیکه یک ماشین مجازی power on است یک online sync است. بطور کلی هیچ ملاحضات خاصی برای online synchronization وجود ندارد، چرا که این رایج ترین حالت synchronization است.

حالت Offline sync

این مد برای Full syncها و Delta syncهایی که initiated شده اند مورد استفاده قرار می گیرد و زمانیکه ماشین مجازی مبدأ در حالت power off است و vSphere Replication نیز جهت recovery ماشین مجازی در target location مورد استفاده قرار گرفته کاربرد دارد. همچنین Offline sync mode زمانیکه یک administrator اقدام به initiated کردن یک sync دستی (یا manual sync) برای یک ماشین مجازی power off شده می کند نیز مورد استفاده قرار می گیرد. بعلاه ذکر این نکته نیز مهم است که Offline sync اقدام به lock (قفل) کردن فایل های دیسک مجازی (یا VMDKها) می کند، به این معنی که ماشین مجازی نمی تواند تا زمانیکه پروسه Offline sync کامل شود، power on شود. به عبارت دیگر، در بعضی از موارد یک ماشین مجازی ممکن است برای یک دوره زمانی طولانی در حالت power off باقی بماند. یک مثال برای این مورد یک Delta sync بزرگ بر روی یک کانکشن low-bandwidth است. مثال دیگر یک Full sync برای یک دیسک مجازی بزرگ است.

افسر(مدیر) ارشد امنیت اطلاعات یا CISO کیست؟

افسر ارشد امنیت اطلاعات (CISO) یا Chief Information Security Officer یک نقش مدیریتی است که در آن، شما انتخاب، نظارت و رهبری هر طرحی که مربوط به امنیت یک سازمان باشد را بر عهده خواهید داشت. در شرکت های بزرگ، شما حتی ممکن است درباره ی مسائل امنیتی سازمان به دولت و مراجع قانونی پاسخگو باشید.

برخی شرح وظایف این سمت عبارت است از:

• تعیین و هدایت یک تیم از کارشناسان امنیت IT
• ایجاد یک طرح استراتژیک برای به کارگیری از فن آوری های امنیت اطلاعات
• نظارت بر توسعه (و اطمینان از انطباق با) سیاست ها، استاندارد ها و پروسیجر های امنیتی سازمان
• یکپارچه کردن توسعه سیستم های IT با سیاست های امنیتی و استراتژی های حفاظت از اطلاعات
• همکاری با ذینفعان کلیدی سازمان برای ایجاد یک برنامه مدیریت ریسک امنیت IT
• بازرسی یا Auditing سیستم های موجود و ارائه ارزیابی ریسک جامع
• پیش بینی تهدیدات امنیتی جدید و به روز بودن با زیرساخت های در حال تحول
• نظارت بر آسیب پذیری های امنیتی، تهدیدات و رویداد های امنیتی در شبکه و سیستم های میزبان
• توسعه استراتژی های رسیدگی به حوادث امنیتی و هماهنگی فعالیت های تحقیقی(Investigation)
• عمل به عنوان یک نقطه کانونی برای تحقیقات امنیتی IT و هدایت آن
• اولویت بندی و تخصیص منابع امنیتی به صورت صحیح و موثر
• آماده سازی پیش بینی های مالی برای عملیات امنیتی و پوشش تعمیر و نگهداری مناسب برای دارایی های امنیتی
• ارائه رهبری، فرصت های آموزشی و راهنمایی برای پرسنل
• کار با مدیریت ارشد برای اطمینان از اینکه سیاست های امنیتی سازمان به طرز موثری پیاده سازی شده، بازبینی، نگهداری و کنترل می گردد.
• ارائه و پیشبرد یک برنامه های آموزشی دقیق برای افزایش آگاهی کاربران و انطباق های امنیتی متمرکز

علاوه بر این وظایف، CISO باید در طیف زیادی از وظایف مدیریتی غیر فنی مشارکت داشته باشد و گزارش امنیتی خود را به CIO یا CEO ارائه دهد. برای به دست آوردن این سمت در یک سازمان، شما باید پله های ترقی را به ترتیب طی کنید. شما می توانید با سمت های زیر کار خود را آغاز کنید:

• Security Administrator
• Network Administrator
• System Administrator

بعد از آن شما می توانید با افزایش توانایی های خود در فیلد امنیت، در سمت های زیر فعالیت نمایید:

• Security Specialist
• Security Analyst
• Security Engineer
• Security Consultant
• Security Auditor

در نهایت، شما می توانید برای رسیدن به یک موقعیت در سطح ارشد، تجربه رهبری، مدیریت پروژه و سیاست های سازمانی را در موقعیت های زیر به دست آورید:

• Security Manager
• IT Project Manager
• Security Architect
• Security Director

و در نهایت به سمت CISO برسید. سمت های مشابه این نقش در سازمان عبارت است از:

• (Chief Security Officer (CSO
• (Information Security Officer (ISO
• Global Head of Information Security

حقوق متوسط برای یک CISO در حدود 175 هزار دلار سالیانه است. در حالت کلی شما می توانید انتظار داشته باشید سالیانه بین 75 هزار دلار تا 273 هزار دلار دریافت کنید. (آمار سال 2019 برگرفته از سایتsecureworldxpo)

شما برای کسب این سمت حداقل میبایست مدرک کارشناسی در علوم کامپیوتر، امنیت سایبری یا سایر رشته های فنی مرتبط را داشته باشید. با خطرناک تر و پیچیده تر شدن مسائل امنیتی ، برخی از کارفرمایان مشخص می کنند که CISO باید مدرک کارشناسی ارشد امنیت IT را نیز دارا باشد.  انتظار می رود شخص مورد نظر برای به دست آوردن این سمت، 7 الی 12 سال در زمینه ی IT و امنیت و حداقل 5 سال در زمینه ی مدیریت تیم های امنیتی و عملیاتی تجربه ی کاری داشته باشد.

فرد دارای این سمت می بایست مهارت های زیر را داشته باشد:

•  شیوه ها و روش های استراتژی IT، معماری سازمانی و معماری امنیتی
•  مفاهیم امنیتی مربوط به DNS، مسیریابی، احراز هویت، VPN، خدمات پروکسی و فن آوری کاهش DDOS
•  فریمورک های ISO 27002، ITIL و COBIT
•  ارزیابی انطباق PCI، HIPAA، NIST، GLBA و SOX
•  سیستم های عامل ویندوز، یونیکس و لینوکس
•  زبان های برنامه نویسی C، C++، C#، جاوا و PHP
•  پروتکل های فایروال و سیستم های تشخیص و پیشگیری از نفوذ
•  تکنیک های کدنویسی امن، هک قانونمند و مدل سازی تهدیدات
•  شبکه های کامپیوتری و روتینگ سوئیچینگ
•  تعریف و توسعه معماری امنیتی شبکه
•  دانش ادیتینگ 3rd party و متودولوژی های ارزیابی ریسک Cloud

کارفرمایان متقاضیان زیادی را برای این سمت دارند. علاوه بر مهارت های ارتباطی، کارفرمایان می خواهند شاهد تفکر سازمانی و فرایند گرا، برنامه ریزی استراتژیک و خلاقیت برای فرد کاندید این پست باشند. مهارت های فردی و مذاکره ای شدیدا مورد علاقه کارفرمایان می باشد. CISO باید قابلیت کار در شرایط پیچیده و تعامل و نفوذ بر روی ذینفعان را به صورت روزانه داشته باشد. کارفرمایان باید بدانند که شخص مورد نظر قادر به هدایت یک تیم، همکاری با مدیران سطح بالا و ایجاد روابط با دپارتمان های مختلف را داراست. در نهایت، کارفرمایان به نتایج نگاه می کنند. CISO باید قادر به تحمل فشارهای الزامات قانونی / نظارتی و محدودیت های مالی باشد.از شناخته شده ترین مدارک امنیتی برای این سطح از مدیریت CISSP و CISM می باشد، اما مدارک دیگری نیز وجود دارد:

•  CISA: Certified Information Systems Auditor
• CISM: Certified Information Security Manager
•  GSLC: GIAC Security Leadership
•  CCISO: Certified Chief Information Security Officer
•  CGEIT: Certified in the Governance of Enterprise IT
•  CISSP: Certified Information Systems Security Professional
•  CISSP-ISSMP: Information Systems Security Management Professional

تحلیلگر امنیت کیست و چه شرح وظایفی دارد؟

وظیفه یک تحلیلگر امنیت، تشخیص و جلوگیری از تهدیدات سایبری پیش روی سازمان هست. شما باید روزانه به دنبال نقاط ضعف زیرساخت های سازمان (نرم افزار، سخت افزار و شبکه) و پیدا کردن راه های خلاقانه برای محافظت از آن ها باشید.

بعضی از شرح وظایف تحلیلگر امنیتی عبارت است از:

• برنامه ریزی، پیاده سازی و ارتقاء کنترل های امنیتی
• برقراری طرح ها و پروتکل های برای حفاظت از فایل های دیجیتال و سیستم های اطلاعاتی در مقابل دسترسی های غیر مجاز، تغییر و / یا تخریب
•  حفظ اطلاعات و نظارت بر دسترسی امنیتی
•  انجام تست آسیب پذیری، تجزیه و ارزیابی ریسک و ارزیابی های امنیتی
•  انجام ممیزی امنیتی داخلی و خارجی
•  پیش بینی هشدارهای امنیتی، حوادث و بلایای طبیعی و کاهش احتمال آنها
•  مدیریت شبکه و سیستم های تشخیص و پیشگیری از نفوذ
•  تجزیه و تحلیل رخنه های امنیتی صورت گرفته برای تعیین ریشه این اتفاق (Root Couse Analysis)
•  پیشنهاد و نصب ابزار های مناسب و مکانیزم های مقابله با تهدیدات
•  تعریف، اجرا و نگهداری سیاست های امنیتی شرکت
•  آموزش کارکنان همکار در آگاهی و پروسیجر های امنیتی
•  هماهنگی برنامه های امنیتی با Vendor های خارجی

در اینجا ممکنه تمایز قائل شدن بین دو نقش Security Administrator و Security Analyst کمی گیج کننده به نظر برسه:

تحلیلگران امنیتی مسئول تجزیه و تحلیل داده ها و پیشنهاد انجام تغییرات به مقامات بالاتر است. اما آنها معمولا مسئول اجازه دادن برای انجام تغییرات و اجرای تغییرات نیستند. وظیفه اصلی آنها دور نگه داشتن مهاجمان است.

مدیران امنیتی اطمینان حاصل می کنند که سیستم ها به همان شکلی که طراحی شده اند کار می کنند. بر خلاف تحلیل گران، وظیفه Security Administratot ها ایجاد تغییرات، اعمال patchها و ایجاد کاربران ادمین جدید است. کار اصلی آنها این است که سیستم های همیشه Up باشند.

بعد از کسب تجربه در این سمت شما می توانید برای سمت های سطح بالاتر زیر اقدام نمایید:

•  Security Architect
•  Security Engineer
•  Security Manager
•  Security Consultant
•  Security Director
•  CISO

این نقش سازمانی می تونه با عناوین زیر هم وجود داشته باشه:

• Data Security Analyst
• Information System Security Analyst
•  IT Security Analyst

برای این نقش می توان انتظار سالانه متوسط 65 هزار دلار را داشت. در حالت کلی می توان انتظار داشت بین 44 هزار دلار تا 95 هزار دلار را سالانه دریافت کرد. معمولا برای کار در این نقش سازمانی بین 1 تا 5 سال تجربه نیاز است. بسیاری از افرادی که بالای 5 سال سابقه دارند و نمی خواهند استرس کار به عنوان یک Incident Responder را داشته باشند به عنوان یک آنالیست امنیتی به فعالیت خود ادامه میدهند.

مهارت های فنی یک تحلیلگر امنیت

•  سیستم های تشخیص و پیشگیری از نفوذ، تست آسیب پذیری و تست نفوذ
•  آنتی ویروس، آنتی بدافزار و DLP
•  شبکه و روتینگ و سوئیچینگ
•  پروتکل های فایروال و تشخیص و پیشگیری از نفوذ
•  سیستم های عامل ویندوز، لینوکس و یونیکس
•  پروتکل های شبکه و ابزار های تحلیل پکت های شبکه
•  زبان های برنامه نویسی PHP، C، C++، C# و جاوا
•  محاسبات ابری (Cloud Computing)
•  مدل های SaaS
•  دانش SIEM

مدارک مورد نیاز یک تحلیلگر امنیت

•  CEH: Certified Ethical Hacker
•  ECSA: EC-Council Certified Security Analyst
•  GSEC / GCIH / GCIA: GIAC Security Certifications
•  CISSP: Certified Information Systems Security Professional
•