مسائلی در مورد حوزه امنیت که افراد مشتاق به کار در آن باید بدانند.

محققان حوزه امنیت برخی اوقات از رایانامه‌هایی سخن می‌گویند که در آن‌ها افراد مشتاق در مورد چگونگی امکان ورود به حوزه امنیت (رایانه، اطلاعات، مجازی و …) سوالاتی را می‌پرسند. این سؤالات همواره برای این محققان جذاب به نظر می‌رسد. این محققان معتقدند که در این حوزه همواره نیاز به افراد خلاق، سخت‌کوش و علاقه‌مند حس می‌شود و این افراد می‌توانند فناوری را برای استفاده کاربران امن‌تر کنند. علاوه بر این، کار کردن در این حوزه می‌تواند به عنوان یک شغل و منبع درآمد مدنظر قرار گیرد؛ اما باید در این زمینه به چندین نکته مهم توجه داشت.

فعالیت در زمینه امنیت، مانند یک فیلم نمایشی در هالیوود نیست. افرادی هستند که به فیلم‌های مربوط به نفوذ به سامانه‌ها و رایانه‌ها علاقه‌مندند، اما کار واقعی و عملی در این حوزه آن‌طور نیست که در این فیلم‌ها به نمایش در می‌آید. علاوه بر این، این مسئله در مورد تمامی مشاغل موجود صدق می‌کند. در مورد زمینه رایانه، ممکن است فردی را ببینیم که حتی تجربه‌های سخت این زمینه مانند رمزگشایی زنجیره کدها در مکانی نامناسب مانند زیرزمین را ندارند و در عین حال تصور می‌کنند که این زمینه کاری مهیج، مهم، پرچالش و درآمدزا است.

از سوی دیگر، حوزه امنیت، حوزه‌ای وسیع، مرتبط با رشته‌های مختلف و حوزه‌ای عملیاتی و کاربردی است. در این حوزه نیاز است که افراد سامانه‌های ایمن را طراحی کرده و بسازند. همچنین برخی افراد باید درگیر امور شکستن برخی سامانه‌های مقابل باشند و برخی نیز حملات عوامل خارجی را شناسایی کنند؛ به عبارت دیگر، هر فردی باید کار مشخصی را انجام دهد. هر کس که وارد این حوزه شود، در می‌یابد که در این حوزه راه صاف و هموار و یا مقدماتی وجود ندارد. شاید با توجه به پیشرفت‌های حوزه، سختی کمتری را شاهد باشیم، اما باز هم نمی‌توان با اطمینان این امید را به افراد جدید در این حوزه داد.

فارغ از اینکه شما به چه روشی اطلاعات را درزمینه‌ی علوم کاربردی رایانه و یا چگونگی کار رایانه و نرم‌افزار کسب می‌کنید، اما این اطلاع و دانش همواره به شما کمک می‌کند. بیشتر علوم موجود در حوزه رایانه در مورد رفع مشکلات با سطوح انتزاعی مختلف است و امنیت نیز هنگامی مطرح می‌شود که برای رفع این مشکلات فرضیه‌هایی مطرح شود. مرحله بعدی نیز شناسایی بهترین روش برای رفع مشکلات است.

می‌توان برای شروع در این حوزه، کار را با اخذ یک مدرک مهندسی علوم رایانه در یک دانشگاه دولتی شروع کرد. فردی که با این روش شروع می‌کند، ممکن است موضوعاتی از قبیل سامانه عامل، شبکه‌سازی، ساختار رایانه و یا کامپایلر را مفید و جالب بداند. علاوه بر این، مسائل و واحدهای تخصصی ارائه‌شده در دانشگاه‌ها مانند پردازش سیگنال‌های دیجیتال، مهندسی پزشکی، هوش مصنوعی و … و همچنین موضوعات حوزه امنیت مانند شبکه‌سازی، فناوری‌های ارتقاء حریم شخصی و امنیت برنامه‌ها نیز مطرح است. این زمینه‌ها بیشتر در کارهای گروهی انجمن‌های دانشجویی و کارآموزی مشاهده می‌شود.

نکته دیگر که در این حوزه مهم است این است که می‌توان با بررسی اینکه افراد حاضر در این حوزه مانند کاربران، مشتریان و … چگونه از فناوری‌ها استفاده می‌کنند، به نتایج جالبی رسید. برخی افراد در این حوزه معتقدند که اگر برخی مسائل روانشناسی، جامعه‌شناسی و یا علوم انسانی در کنار دروس علوم رایانه در دانشگاه تدریس شود، در هنگام کار برای افراد شاغل در این حوزه مفید خواهد بود.

معمولاً در این حوزه کارشناسانی وجود دارند که دارای زمینه‌های علمی مشترکی مانند مدارک دانشگاهی در رشته‌های مهندسی رایانه، علوم رایانه، ریاضیات و… هستند. علاوه بر این بسیاری از افراد حاضر در این حوزه ممکن است رشته‌های مرتبط را مطالعه نکرده باشند و دارای مدارک دانشگاهی در رشته‌هایی مانند شیمی، مطالعات فیلم‌شناسی، روانشناسی، طراحی گرافیک و … باشند. همچنین می‌توان به جرات گفت که برخی افراد حتی مدرک دیپلم را هم اخذ نکرده‌اند.

در مورد گواهی‌نامه‌های امنیتی، ممکن است که فردی در این بخش دستاوردی نداشته باشد و اغلب اوقات یک دلیل عقب‌ماندگی در این حوزه نیز همین کمبود است. برخی شرکت‌ها و یا حتی کشورها داشتن چنین گواهینامه‌هایی را ضروری می‌دانند.

در مورد فرهنگ‌های موجود در این حوزه، توصیه می‌شود که افراد مشتاق به ورود و اشتغال، مباحثی مانند بیانیه نفوذگر و مباحث مربوط به راه‌های نفوذگر شدن مطالعه کنند. این دو مبحث به عنوان مباحث اخلاقی و انگیزه‌ای از سوی کارشناسان این حوزه تلقی می‌شوند. اگر حتی فردی در این حوزه بخواهد شبیه نفوذگرها عمل کند، می‌تواند با برخی خصوصیت‌های این افراد در این حوزه آشنا شود.

علاوه بر این، در مورد یادگیری‌های انجام‌شده توسط افراد، باید گفت که این مهم بیش از هر چیز در گذر زمان با استفاده از مطالب و نکات مورد استفاده از همکاران و افراد شاغل در این حوزه به دست می‌آید. علاوه بر این، وبگاه‌های امنیتی، مقالات همایشی، مطالب رایانامه‌ای، گروه‌های محلی امنیتی و منابع اینترنتی نیز در این خصوص مفید هستند.

در حوزه امنیت، یک عبارت وجود دارد که به افراد توصیه می‌شود همواره به آن توجه داشته باشند: «خواندن کافی است، عمل کنید!» این عبارت البته در همه زمینه‌ها صادق است و اهمیت دارد، اما نکته مهم این است که تجربه کاری و عملی در این حوزه بسیار مهم و ضروری است. بهترین راه برای رسیدن به بخش‌های مورد علاقه و همچنین تقویت و توسعه فرصت‌های آینده نیز در افزایش تجربه و سابقه نهفته است. همچنین نکته مثبتی که تجربه کاری دارد این است که افراد حاضر می‌توانند بهتر مفهوم کارها و محیط‌های کاری عادی و روزانه را درک کنند و به علایق خود در حوزه پی ببرند. یکی از بهترین تجارب شغلی نیز هنگامی نصیب افراد می‌شود که به یک کار که اصلاً علاقه ندارند مشغول شوند و این اتفاق ممکن است روند زندگی آن‌ها را تغییر دهد.

در مورد چگونگی شروع کسب تجربه نمی‌توان روش قطعی را بیان کرد. برای مثال، بررسی اعمال و فعالیت‌های این حوزه در نمایشگاه‌ها و همایش‌ها، ورود به گروه‌ها و سازمان‌های مشابه دیگر و به دنبال مشاغل نیمه وقت بودن و دوره‌های کارآموزی، می‌تواند برای شروع کار مناسب باشد. یکی از افراد معروف مشغول در این حوزه در وبگاه شخصی خود عنوان کرده بود که قبل از دوره کاری خود در شرکت گوگل، در یک استخر عمومی به عنوان نجات‌غریق فعال بوده است و در آنجا به دلیل بروز یک اتفاق، مجبور به تمیز کردن بخشی از رستوران شده است. همین تجربه در زمان دانشجویی به وی کمک کرده است تا در دوران دانشجویی در خوابگاه یک موقعیت شغلی را به دست آورد و در همین شغل نیز با یک فرد مشغول در بخش فناوری اطلاعات یک شرکت داروسازی آشنا شده است. وی در ادامه بیان کرد که سپس در دانشگاه کار با نرم‌افزارها را آموخته است و همچنین با گذراندن یک دوره کارآموزی امنیت مجازی، تجربه‌های مهمی را کسب کرده است و مدتی بعد پس از شرکت در مصاحبه شرکت گوگل، به استخدام این شرکت درآمده است.

کد نویسی نیز یکی دیگر از بخش‌های مهم و ضروری در حوزه امنیت و رایانه است و بیشتر مهندسان شاغل در این حوزه به طور مرتب این کار را انجام می‌دهند. این کار تجربه ابتدایی نوشتن نرم‌افزار را برای آن‌ها فراهم می‌کند. این تجربه ابتدایی شامل معرفی غیرآگاهانه و البته اجتناب‌ناپذیر اشکالات کشف‌شده نیز می‌شود. این کار به نوعی اعتراف به ضعف‌های کاری خود است، اما از طرف دیگر باعث افزایش حس همدلی میان طراحان این حوزه می‌شود. علاوه بر این، نوشتن کدهای امن در این حوزه، سخت‌تر از کشف کدهای ناامن است.

هنگامی که فردی در این حوزه در نحوه شروع یک پروژه امنیتی بزرگ مشکل داشته باشد، به وی توصیه می‌شود که کار خود را با رفع اشکالات در قالب یک بخش متن‌باز شروع کند. افرادی که اشکالات موجود در نرم‌افزارها را پیدا می‌کنند، همواره محبوب هستند. حسن این نوع از تجربه این است که علاوه بر کسب تجربه، زمینه موفقیت و توسعه در آینده نیز فراهم می‌شود.

رمزگشایی و شکستن رمزها نیز زمینه‌ای است که برای پیشرفت، دانش آن کمک شایانی می‌کند. در این خصوص ضروری است که افراد نحوه کار با اشکال‌یاب‌ها، اسکنرهای شبکه، پروکسی‌های اشکال‌یابی وب را فرا بگیرند. همچنین نحوه کار نفوذگرها نیز زمینه مناسبی است و برای افراد در هر سطحی قابل‌درک و مطالعه است.

به اشتراک گذاشتن دانش و اطلاعات نیز یک عنصر مهم در حوزه امنیت است. در بسیاری از نقاط دنیا گروه‌ها و سازمان‌هایی پیدا می‌شوند که در آن‌ها کارمندان و افراد شاغل در این حوزه تجربیات و دانش کسب‌شده خود را در زمینه‌های مختلف به اشتراک می‌گذارند و از این طریق به افزایش اطلاعات همکاران خود کمک می‌کنند.

به اشتراک گذاشتن دانش از چندین جهت امری مهم و ضروری است:

۱.این کار روش ضروری و سودمندی برای شناسایی بهترین عملیات امنیتی انجام‌شده در یک سازمان یا یک پروژه است.

۲.یکی از بهترین روش‌های یادگیری مسائل، کسب آمادگی لازم برای ارائه و یا معرفی یک حوزه کاری است و باعث می‌شود افراد ریزترین مسائل یک حوزه را بررسی کرده و آن‌ها را مطرح نمایند.

۳.یکی دیگر از روش‌های مناسب یادگیری، شنیدن مسائل از زبان افراد در قالب سؤال، نظر و یا فعالیت‌های تمرینی بعد از بحث‌های آزاد است.

بحث مهم دیگر در حوزه امنیت، تقویت راه‌های ارتباطی است. کار کردن در حوزه امنیت ایجاب می‌کند که افراد حاضر در آن مشکلات تخصصی و پیچیده را به دیگر افراد توضیح دهند. هر کدام از این توضیحات کلمات و اصطلاحات، تخصص و انگیزه خاص خود را می‌طلبد. کمتر می‌توان شاهد بود که مقیاس‌های جهانی بتوانند به خوبی اهمیت و وخامت یک آسیب‌پذیری را به خوبی مطرح کنند. همچنین برخی عملیات امنیتی را نمی‌توان با زبان ساده معرفی و مطرح کرد. به همین دلیل است که افراد این حوزه باید به دور از مشکلاتی مانند ترس و شک، بر روی مسائل تمرکز داشته باشند. در این باره افراد لازم است هنر ارتباطات را به خوبی آموخته باشند و بتوانند به خوبی مسائل را تشریح کنند و در مورد آن‌ها بحث کنند. برای تقویت این بخش، استفاده از منابع تخصصی حوزه امنیت کافی نیست و باید در کنار این منابع تمرین داشت و همواره برای رشد و پیشرفت تلاش کرد.

مسئله مهم دیگر، انتظار از خود برای تلاش زیاد و برخی اوقات انتظار شکست خوردن است. حوزه امنیت، یک حوزه پرچالش است. افراد در این حوزه باید به صورت مستمر مسائل جدید را بیاموزند، زیرا دانش تخصصی لازم برای کار در این حوزه به صورت مرتب در حال تکامل و پیشرفت است. عوامل تهدید و خطر که معمولاً برای افزایش فعالیت‌های خود زمان و منابع کافی را در اختیار دارند نیز در این حوزه به سرعت خود را با بخش‌های دفاعی وفق می‌دهند.

حوزه امنیت در کنار این مسائل، تنش‌زا نیز هست. افراد شاغل در این حوزه معمولاً با مشکلات پیچیده و مبهم دست و پنجه نرم می‌کنند و راه‌حل‌های ناکامل، اطلاعات محدود و خطرات واقعی برای امنیت انسان همواره در این حوزه مشاهده می‌شود.

در حوزه امنیت نمی‌توان میزان موفقیت را تخمین و محاسبه کرد و افراد شاغل در این حوزه نیز شکست را بیشتر از موفقیت مشاهده می‌کنند. این افراد در عین حال اینکه دنیای فناوری را محافظت می‌کنند، اما در فرآیندهای کاهش خطر نیز فعالیت می‌کنند.

از آنجایی‌که این حوزه به دلیل برخی مسائل، حوزه طاقت‌فرسایی به نظر می‌رسد، مقداری خوش‌بین بودن می‌تواند از سختی‌های موجود در آن کم کند. در این حوزه متأسفانه نمی‌توان هم‌زمان و همگام با سرعت ابداعات در فناوری و همچنین در بهره‌برداری‌ها پیش رفت. برای مثال، آسیب‌پذیری‌های سرریز بافر برای دهه‌های متوالی است که در این حوزه مطرح هستند و با وجود این که این نوع آسیب‌ها شناسایی شده‌اند، هنوز هم مشاهده می‌شود که در برخی بهره‌برداری‌ها از این مسئله استفاده می‌شود. برخی افراد در این حوزه همواره معتقدند که برقراری امنیت خیالی بیش نیست و روز به روز شرایط در این حوزه وخیم‌تر می‌شود.

با اینکه حقیقت تلخ است، اما اگر افراد در این حوزه مثبت فکر کنند و به قدرت نهفته در فناوری‌ها ایمان داشته باشند، می‌توان به کارایی این حوزه امیدوار بود. حوزه امنیت هیچ‌وقت کاملاً موفق نبوده است و نخواهد بود، اما دستاوردهای این بخش به طور قطع با ده سال پیش قابل‌مقایسه نیست و می‌توان با استفاده از منابع موجود فعالیت‌های مؤثری را انجام داد.

نکته مهم دیگر در این حوزه، استفاده از کمک دیگران در مواقع لازم است. افراد شاغل در این حوزه هرگز نباید به هنگام برخورد با یک مانع و یا مشکل، ناامید شوند. باید ایمان داشت که پشتیبانی، کمک و مشاوره در این حوزه می‌تواند بسیار به پیشرفت کارها کمک کند و در عین حال باعث بهتر شدن روابط فردی در سازمان‌ها و شرکت‌ها شود. اگر کسی در موردی از فرد دیگر کمک بخواهد، به این معنا نیست که برای این کار ساخته نشده است و یا در کار خود ضعف دارد.

افراد شاغل در این حوزه باید بدانند که درخواست کمک در مواقع لازم امری ضروری است و نکته‌ای که در اینجا شایان‌ذکر است، این است که از آنجایی‌که کارشناسان این حوزه معمولاً به شدت مشغول کار هستند، بهتر است که سؤال‌ها و درخواست کمک‌ها به صورت کوتاه و مختصر و در عین حال با اطلاعات کامل و جامع باشد و از گزافه‌گویی پرهیز شود.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.