چگونه یک کارشناس تست نفوذ انتخاب کنیم؟ ۱۰ نکته تا استخدام!

استخدام هکر

مهاجمان امروزی خلاق هستند؛ به‌گونه‌ای که کسی جلودارشان نیست. در این‌جا 10 قانونی که هنگام استخدام متخصص تست نفوذ باید در نظر داشته باشید را برای شما عنوان می‌کنیم:

ZDNet جهت کمک به شما در زمینه‌ی به‌کارگرفتن متخصصان تست حرفه‌ای، تیزبین، کارآمد، معتمد و خلاق در انجام تست نفوذ، با برخی از برترین متخصصان تست، سازمان‌ها و تیم‌های انجام‌دهنده‌ی تست نفوذ مصاحبه کرده و ما توصیه‌های آنان را در 10 بخش خلاصه کرده‌ایم تا استخدام افراد حرفه‌ای برای شما امری ساده باشد.

تست نفوذ یکی از بخش‌های مهم تقویت و حفظ امنیت شبکه، امنیت IP و نیز امنیت فیزیکی است؛ اما همان‌طور که از طریق مصاحبه‌های متعدد فهمیدیم، استخدام افراد مناسب برای انجام چنین کارهایی چندان ساده نیست. تست نفوذ شامل صدور اجازه برای متخصصان تست حرفه‌ای جهت تست و تأیید این موضوع است که سیستم‌ها، شبکه‌ها، برنامه‌ها و محافظ‌های جدید و موجود، دسترسی غیرمجاز برای هکرهای مخرب را فراهم نمی‌کنند؛ اما افراد و شرکت‌هایی که تست نفوذ را انجام می‌دهند، دامنه‌ی وسیعی از متخصصان تست دقیق و مفید تا متخصصان نامعتبر و بی‌دقت را شامل می‌شود.

مهاجمان امروزی منحرف و خلاق هستند و چیزی توانایی مقابله در برابرشان را ندارد. در این‌جا 10 نکته‌ی حیاتی و مهمی که باید جهت استخدام متخصصان تست مفید و سودمند بدانید، آورده شده: 

1. مهارت‌های ارتباطی قوی

مهارت ارتباطی

تمامی افراد و شرکت‌هایی که با آن‌ها مصاحبه کردیم، تأکید کردند که مهارت‌های ارتباطی متخصص تست نفوذ جهت ارزیابی در روند استخدام امری بسیار مهم است. رانی فلادرز، مشاور امنیتی در شرکت Neohapsis، به ZDNet عنوان کرد: «برقراری ارتباطات یکی از مهم‌ترین مهارت‌های یک متخصص تست نفوذ است.» او همچنین افزود: «به نظر من باارزش‌ترین مهارتی که هر متخصص تست نفوذ می‌تواند داشته باشد، توانایی تبدیل بحث‌های عمیق و فنی به مفاهیم پیشرفته بسته به هر مخاطب است.»

آندره روبیتایلی، مدیر ارشد تیم قرمز در شرکت Dell SecureWorks، موافقت کرد و گفت: «نتایج تست نفوذ تنها در صورتی مفید خواهد بود که به آن‌ها عمل شود و شفافیت در برقراری ارتباطات، چه کتبی و چه گفتاری، یکی از مهمترین مهارت‌هایی است که یک متخصص تست می‌تواند داشته باشد.»

صمیر دیکسیت، مدیر Trustwave، عنوان کرد که یک متخصص تست نفوذِ برجسته باید مهارت‌های ارتباطی شفاهی و کتبی گسترده‌ای داشته باشد. «متخصصان تست نفوذ باید بتوانند گزارش‌های باكیفیتی ارائه كنند و یافته‌های خود را به‌تفصیل در سطح فنی و غیرفنی توضیح دهند.»

آقای روبیتایلی از شرکت Dell این واقعیت را توضیح داد که ارزش هر متخصص تست نفوذ به درک نتایج به‌دست‌آمده و عملی‌ساختن آن نتایج وابسته است. «یک متخصص تست با مهارت فنی قوی و توانایی انتقال نتایج تست نفوذ، به‌گونه‌ای که مدیرهای غیرفنی بتوانند آن را درک کنند، بسیار مفیدتر از یکی از بهترین متخصصان در جهان است که نتایج را همراه با اصطلاحات فنی متراکم آن‌گونه می‌نویسد که اشخاص تصمیم‌گیرنده سردرگم می‌شوند.»

مشاور امنیتی شرکت Neohapsis توضیح می‌دهد که چرا «مهارت‌های فنی همیشه قابل آموزش و ارتقا است، اما یادگیری مهارت‌های ارتباطی خوب و قوی امری بسیار دشوار است.»

«در حین مصاحبه از داوطلب می‌خواهم که آسیب‌پذیری‌های مختلف را برای من به‌گونه‌ای توضیح دهدکه انگار من شخصی کاملاً غیرفنی هستم. او باید بتواند مفاهیم را با اصطلاحات مختلف، چه به‌صورت کلامی و چه نوشتاری، توضیح دهد.»

متخصص تست نفوذ ممکن است در تست مدنظر، یک اکسپلویت (حفره‌ی کُدنویسی به‌کاررفته توسط مهاجمان جهت بهره‌برداری از آن) فوق‌العاده فنی و حیاتی پیدا کند؛ اما تا زمانی که او نتواند آن را به‌خوبی توضیح دهد و خطرات را به‌درستی مشخص نماید، شخص مقابل هیچ درکی از ارزش یا اهمیت موضوع مذکور نخواهد داشت.

اگر می‌خواهید از امنیت شبکه،اپلیکیشن موبایل یا وب اپلیکیشن سازمان خود مطلع شوید، به لینک روبرو مراجعه کنید:

2. مراقب مشاوران “SECRET SAUCE” باشید

سعی کنید بفهمید که کاندیداهای شما از نظر فنی چقدر تبحر دارند. دیکسیت از شرکت Trustwave عنوان کرد: «ما به‌دنبال آن دسته از متخصصان تست نفوذی هستیم که دانش تمام و کمالی در رابطه با چارچوب توسعه‌ی شرکت، پروتکل‌های شبکه، MiTM، کلاهبرداری ARP، مدیریت سیستم پلتفرم، ذخیره‌ی رمز عبور (LM ، NTLM، Shadow و…)، سیستم‌های پایگاه داده و البته برنامه‌نویسی (رابی، پایتون، پرل و…) و ابزارهای امنیتی ضروری داشته باشند.»

یان آمیت، مدیر بخش خدمات در شرکت IOActive، تأكید كرد كه سوال‌کردن در رابطه با روش كار (متدولوژی) امری بسیار ضروری است. «پیاده‌سازی تست نفوذ عملی یک‌بارمصرف نیست که مبتنی بر شانس و جادو باشد.»

تست نفوذ هدیه‌ی عجیبی است؛ اما اعتماد کورکورانه نیز هرگز پذیرفتنی نیست. آقای آمیت درباره‌ی «مشاوران Secret sauce (سس مخفی)» هشدار داد و گفت: «اگر گزارش حاوی اطلاعات روشنی درباره‌ی چگونگی بازآفرینی مشکل و توصیه‌هایی در خصوص نحوه‌ی كاهش تهدیدات مرتبط با آن مشکل نبود، بهتر است یک سرویس‌دهنده‌ی دیگر پیدا كنید. اگر یافته تکرارپذیر نیست، پس احتمالاً یک یافته نیست؛ درواقع یک مثبت کاذب است.»

مدیر IOActive به‌طور خلاصه توضیح داد که یک یافته، هرچقدر هم نادر و کمیاب باشد، «باید تکرارپذیر باشد و یافته‌ها باید مشکلات سیستماتیکی (منظمی) را نشان دهند که بتوان آن‌ها در سطح مرکزی یا از طریق کنترل‌های محدودکننده، مشاهده و هدف‌گیری کرد.»

3. وارد انجمن‌های امنیتی شوید

کنفرانس تخصصی

تمامی آن کنفرانس‌های مربوط به هکرها که مرتباً در اخبار می‌خوانید، چه ارتباطی با سازمان شما دارند؟ این ارتباط، ارتباطی همه‌جانبه است. در واقع این کنفرانس‌ها همان جایی هستند که افراد در آن می‌توانند از تبدیل نام شرکت‌تان به نام بزرگ بعدیِ نقض امنیت این هفته که در سراسر عناوین خبری ملی قرار می‌گیرد، مانع شوند.

بنا به دلایل مختلف و مهمی، مشارکت در جوامع امنیتی کاری است که باید پیش از آغاز آن در جستجوی استخدام یک متخصص تست نفوذ باشید.

صمیر دیکسیت از Trustwave به ZDNet گفت: «کارفرمایان باید در بخش‌های مختلفِ امنیت اطلاعات محلی (Local) و پروژه‌های توسعه‌ی ابزارهای امنیتیِ منبع باز نظیر github ، OWASP و… مشارکت فعال داشته باشند. با واردشدن به جامعه‌ی infosec، کارفرمایان بینش بهتری به استعداد متخخصان تست برتر به‌دست می‌آورند و نیز می‌توانند با کاندیداهای بالقوه ارتباط برقرار کنند.»

وی افزود که این امر همچنین می‌تواند به شما کمک کند تا فهرستی از داوطلبان منتخب به‌دست آورید و مطمئن شوید که برای هر کاری شخص مناسبی را به‌کار گرفته‌اید و بالعکس. «جامعه‌ی متخصصان تست نفوذ نیز می‌توانند با شرکت‌هایی که استخدام می‌کنند بیشتر آشنا شوند.»

4. شهرت و اعتبار همه‌چیز است

اعتبار حرفه‌ای

استخدام متخصصان تست نفوذ مانند این است که خطرناک‌ترین افرادی را که می‌توانید پیدا کنید، استخدام می‌کنید و نمودارهایی در رابطه با نقاط ضعف شرکت‌تان را تحویل آن‌ها می‌دهید. دقیقاً به همین دلیل است که اعتبار و آوازه همه‌چیز است. برای سنجش اعتبار افراد و تیم‌هایی که جهت انجام تست‌های نفوذتان از آن‌ها رزومه دریافت می‌کنید، هیچ‌جایی بهتر از کنفرانس‌ها و انجمن‌های اجتماعی مختلف نیست.

تمامی شرکت‌هایی که با آن‌ها مصاحبه کردیم، هشدار دادند که اگر نمی‌دانید که متخصص تست نفوذتان از کجا آمده است (اطلاعاتی از او ندارید)، در واقع در وضعیتی قرمز قرار دارید.

مدیر ارشد تیم قرمز درDell SecureWorks  با علاقه به این موضوع به ZDNet گفت: «آیا آن‌ها (متخصصان تست) با جامعه‌ی InfoSec در ارتباط هستند؟ آیا تا کنون در کنفرانس‌هایی مشابه از قبیل DerbyCon ، DEFCON ، ShmooCon یا کنفرانس‌های BSides صحبت کرده‌اند؟ آیا آن‌ها در رویدادهای Capture the Flag (CTF) به رقابت پرداخته‌اند؟ آیا تابه‌حال در پروژه‌های منبع باز، وبلاگ‌نویسی یا انتشار مسئولانه‌ی آسیب‌پذیری‌ها مشارکت داشته‌اند؟»

روبیتالی در ادامه افزود: «بدیهی است که این قبیل فعالیت‌ها نشان می‌دهند که شخص مدنظرمان بسیار پُرشور است و از انجام تست نفوذ لذت می‌برد؛ اما مهم‌تر از همه این موضوع است که شخص مرتباً و به‌طرز فعالی چیزهایی را بهبود می‌بخشد یا به دیگران آموزش می‌دهد که هر سازمان و هر تیمی به آن‌ها نیاز دارد: به‌عبارتی بهبود مستمر.»

پیگیری برای یادگیری مهارت‌های جدید، به‌اشتراک‌گذاری مهارت‌ها، جمع‌آوری بینش در خصوص مشکلات و جستجوی دانش، جنبه‌ی اصلی کنفرانس‌های هکرها و فعالیت‌هایی است که حول محور این کنفرانس‌ها برگزار می‌شوند.

آمیت از شرکت IOActive هشدار داد که مراقب متخصص‌های تست خودخواه موجود در صحنه‌های امنیتی باشید. ممکن است این‌ها در شرایط خاصی برای حقوق و خواسته‌های خودشان بیش از امنیت سازمان شما ارزش قائل شوند. «همیشه به‌دنبال «ستاره های راک» (بهترین‌ها) نباشید. یافتن یک متخصص تست نفوذ دقیق و متعهد به اصول معمولاً ارزش بیشتری نسبت به استخدام جدیدترین«هکرهایی که شبیه بدلکار یک هکر واقعی هستند» خواهد داشت که ممکن است این افراد بدلکار، از لحاظ فنی در قسمت‌هایی از کار نیز خوب تلقی شوند اما به طور کلی، نتیجه موردنیاز شما را برآورده نخواهند کرد. این‌گونه افراد هنگام رویارویی با طیف گسترده‌تری از امنیت اطلاعات، که درواقع همان مواردی است که شرکت در آن نیاز به تست نفوذ دارد، معمولی عمل می‌کنند.»

5. هوش فنی فاکتوری ضروری است

هوش فنی

روبیتالی از شرکت Dell SecureWorks صریحاً اظهار کرد: «یک مصاحبه‌ی فنی (یا در صورت وجود، یک تست آزمایشگاهی) برای تأیید تخصص کاندیدای انجام تست نفوذ بسیار حیاتی است.»

مدیر ارشد تیم قرمز Dell زمان زیادی را صرف استخدام متخصصان تست نفوذ می‌کند. وی گفت هنگامی که به رزومه، بیوی آنلاین یا هر بخشی راجع‌به اطلاعات («درباره‌ی من») شخص کاندیدا نگاه می‌کنید و به بررسی آن می‌پردازید، از خودتان بپرسید که آیا کاندیداهای مدنظر گواهینامه‌ی فنی دارند؟ و این‌که آیا سطح‌شان مبتدی، متوسط یا پیشرفته است؟ او همچنین اضافه کرد: «کاندیداهایی که دارای گواهینامه‌ی امنیت تهاجمی OSCE یا SANS GXPN هستند، بلافاصله توجه من را به خود جلب می‌کنند؛ زیرا حداقل در محیط کلاس یا آزمایشگاه مفاهیم پیشرفته را درک می‌کنند.»

شناخت مجموعه‌ی ابزارها امری کلیدی است. روبیتالی افزود: «رزومه‌ها مكرراً تجربه باMetasploit ، BurpSuite و Kali را نشان می‌دهند؛ اما تجربه‌ی كاندیداهایی كه بیشتر وقت خود را صرف محافظت از دارایی‌ها (اطلاعات) می‌كنند، اغلب به ابزارهای لازم جهت شروع اسكن و تفسیر نتایج حاصل، محدود می‌شود.» از طرف دیگر، متخصص تست نفوذ خوب، از ابزارهایی جهت سرعت‌بخشیدن به تست‌های خود استفاده کرده و همچنین می‌تواند بدون این ابزارها هم کار خود را به‌خوبی انجام دهد؛ زیرا می‌داند که این ابزارها در پشت‌صحنه چطور عمل می‌کنند.»

آماده‌ی انجام تعهد معامله از جانب خودتان باشید. کارل وینسنت، مشاور امنیتی در Neohapsis، توصیه می‌کند که سازمان‌های پیشگام قبل از استخدام «باید ساختار الگوی خود را تا حد ممکن بیرون بریزند.»

او افزود: «هرچه الگوی‌تان از انعطاف‌پذیری و مقاومت بیشتری برخوردار باشد، گزارش‌های شما از ثبات بیشتری برخوردار خواهد بود. اگر متخصصان تست بدانند که در مقایسه با این‌که مجبور باشند هربار همه‌چیز را از ابتدا به زبان morph اصولی بنویسند، یافته‌های معمول سریع‌تر وارد گزارش می‌شوند، نتایج بسیار بیشتری به‌دست می‌آورند.»

می‌خواهید بدون هیچ هزینه‌ای از امنیت وب‌سایت یا وب اپلیکیشن خود آگاه شوید؟ روی لینک روبرو کلیک کنید:

6. داشتن تجربه‌ی کامل و به روز

تجربه کاری مفید

ورود به کار تست نفوذ باید کار سختی باشد؛ زیرا هیچ‌یک از شرکت‌ها یا افرادی که با آن‌ها مصاحبه کرده‌ایم تابه‌حال توصیه نکرده‌اند که کسی را بدون تجربه‌ی این کار استخدام کنید. این حوزه‌ی کاری جایی نیست که هر فردی که تازه از مدرسه‌ی هکرها بیرون آمده، وارد آن شود و تلاش کند که شغلی برتر به‌دست آورد. مدیر ارشد تیم قرمز Dell احساس می‌کرد که این موضوع باید برعکس باشد. روبیتالی گفت: «هنگام استخدام متخصص تست نفوذ، هر کاندیدای قانونی باید تجربه‌ی تست نفوذ را به‌عنوان جدیدترین و اصلی‌ترین نقش خود داشته باشد.»

مدیرانی که با آن‌ها مصاحبه کردیم گفتند: «استخدام یک متخصص تست نفوذ با تجربه‌ی مدیریت در گذشته امری کلیدی است.»

روبیتالی اظهار کرد که «مدافعان کُدها یا همان تیم‌های آبی که در شبیه‌سازی‌های تهاجمی در برابر تیم قرمز دفاع می‌کنند، مهاجمان بهتری هستند. بهترین متخصصان تست نفوذ در Dell SecureWorks و سایر سازمان‌ها وقت خود را در تیم آبی سپری کرده‌اند. این متخصصان افرادی هستند که تابه‌حال شبکه‌ها و یا سیستم‌ها را مدیریت کرده یا این‌که برنامه‌های خود را توسعه داده‌اند.»

روبیتالی به ZDNet توضیح داد: «من با متخصصان تست نفوذ فوق‌العاده‌ای ملاقات کرده‌ام که تجربه‌ی عمیقی که باید از حضور در یک تیم آبی به وجود آمده باشد را ندارند، اما در کار خود بی‌نظیرند. Dell SecureWorks هنوز نامزدهایی را که فقط تجربه‌ی تست نفوذ بدون حضور در تیم آبی دارند را درنظر می‌گیرد. تجربه ، اما اغلب این نامزدها در رشد فنی دانش خود به سقف محدودی برخورد می‌کنند و متوقف می‌شوند.»

وی همچنین توضیح داد که تجربه‌ی کلی یک متخصص تست چگونه می‌تواند میان متخصصانی که به کارایی سیستم کمک می‌کنند، یا آن‌هایی که باعث ایجاد خرابکاری بیشتری می‌شوند، تفاوت ایجاد کند. «هنگامی که یک متخصص تست نفوذ برای اولین‌بار به سیستمی دسترسی پیدا می‌کند، سپس زمان پسااکسپلویت (Post exploit) فرارسیده، مسیر پایان می‌یابد و بیابان آغاز می‌شود.»

برخلاف محیط کلاس و آزمایشگاه، هیچ‌کس به متخصص تست ایده نمی‌دهد که در مرحله‌ی بعد باید چه کاری بکند.

ما دریافته‌ایم که تفاوت بین متخصص تست «خوب» و «عالی» این است که آن‌ها می‌توانند از محیط آگاهی پیدا کنند؛ زیرا دانش عمیقی در خصوص نحوه‌ی کار سیستم‌ها یا شبکه‌ها دارند که معمولاً ناشی از کار با سیستم‌ها یا مدیریت شبکه‌هاست: این همان تجربه است.

برای هر متخصص تست برنامه‌های کاربردی، این دانش عمیق او اغلب از سابقه‌ی کار در برنامه‌نویسی نرم‌افزار حاصل می‌شود.

7. هکرهای مشتاق و علاقه‌مند را استخدام کنید

نیروی مشتاق

استخدام مشاوری که علاقه‌ی خاصی به حوزه‌ی تخصصی خود نداشته باشد، فارغ از این‌که در چه زمینه‌ای فعالیت می‌کند یا چقدر این‌کار، ازلحاظ فرهنگ موجود در تیم فنی عجیب به‌نظر می‌رسد، در هر شرایطی موجب به‌بارآمدن فاجعه می‌شود. به همین دلایل، روبیتالی به ZDNet عنوان کرد: «هنگامی که تسترهای نفوذ را استخدام می‌کنم، معمولاً از پایین رزومه شروع می‌کنم به بررسی؛ زیرا معمولاً این کار به من نشان می‌دهد که شخص در مقابل کاری که به او گفته می‌شود تا انجام دهد، انتخاب می‌کند زمانش را روی چه چیزی صرف کند. اگر بفهمم که تست نفوذ برای آن‌ها امری مهم تلقی می‌شود، باعث می‌شود دیدگاه من به ادامه‌ی فرایند تغییر یابد.»

آقای روبیتالی چیزی را به ما گوشزد کرد که تقریباً آن را در تمامی گوشه‌کنارهای infosec شنیده‌ایم. وی گفت: «به‌طور کلی بهترین متخصصان تست کسانی نیستند كه فقط از خراب‌كردن چیزها لذت می‌برند؛ بلكه افرادی هستند كه شخصاً بر اساس اصل بهبود امنیت کار خود را انجام می‌دهند.»

او همچنین توصیه کرد: «هنگام مصاحبه از متخصصان تست بپرسید که چرا می‌خواهند متخصص تست نفوذ باشند؟ یا چرا یک متخصص تست نفوذ هستند؟ اکثر آن‌ها خواهند گفت که عاشق چنین چالشی هستند یا فناوری و یادگیری را دوست دارند؛ اما بهترین کاندیداهای استخدام می‌گویند که هدف آن‌ها ساختن و بهترکردن همه‌چیز است.»

8. تمایل به خارج از چارچوب عمل کردن

عمل کردن خارج از چارچوب

اکثر سازمان‌ها «خلاقیت» را به‌عنوان بهترین ویژگی مدنظر خود در بهترین متخصصان تست نفوذ معرفی می‌کنند. رونی فلادِرز، مشاور بخش مدیریت امنیتی در Neohapsis، تصریح کرد: «هیچ دو تعاملی هرگز یکسان نیستند و شما همیشه باید حین پیشروی با یافته‌های خود سازگار شوید. حتی یک آسیب‌پذیری یکسان می‌تواند در دو محیط مختلف متفاوت باشد و شیوه‌ی حمله‌ی شما به آن نیز به‌ندرت یکسان خواهد بود.»

به همین دلیل او گفت: «من احساس می‌کنم که اغلب اوقات، متخصصان تست نفوذ به ابزارهای استاندارد، اسکنرها و متدولوژی‌های خودکار تکیه می‌کنند. در حالی که این‌ها نقاط شروع بسیار خوبی هستند، یک متخصص تست نفوذ باید با آن‌چه به‌دست آورده سازگار شود و همچنین هنگامی که ابزارها به‌کار نمی‌آیند، بتواند به‌صورت دستی تست نفوذ را پیاده کند.»

وی همچنین گفت که پرتاب موانع در بدترین حالت به‌سوی کاندیداها، می‌تواند آن‌ها را تحت فشار قرار دهد تا خلاقیت‌شان به حداکثر میزان ممکن برسد. آقای فلادِر به ZDNet گفت:

«در مصاحبه‌ها من دوست دارم سناریوهای خیالی را ارائه کنم و ببینم نامزد چگونه پاسخ می‌دهد.

وقتی که می‌گویند از Metasploit یا ابزار دیگری استفاده می‌کنند، من به آن‌ها می‌گویم که کار نمی‌کند یا در دسترس نیست. وقتی آن‌ها می‌گویند اسکن‌پورت را اجرا می‌کنند، می‌گویم که IPS به‌تازگی آن را در لیست سیاه قرار داده است. کسانی که می‌دانند چگونه به‌صورت دستی تست کنند و از محدودیت‌ها عبور کنند، از باارزش‌ترین‌ها هستند.

من از کاندیدایی که تنها می‌داند چگونه با Nessus و Metasploit کار کند و سپس گزارش بنویسد، شگفت‌زده نمی‌شوم.»

شاید این بهترین گفته‌ی آقای روبیتالی مدیر ارشد تیم قرمز در Dell باشد: «متخصصان تست نفوذ باید بتوانند هنگام از کار افتادن هر ابزار، هنگامی که ابزار مدنظرشان برای انجام وظیفه‌ی موجود عمل نمی‌کند، یا حتی زمانی که آن ابزار جهت مخفیانه عمل‌کردن بیش از حد «پُر سر و صدا»ست، خارج از چارچوب عمل کنند. هرچه شخص تجربه‌ی حملات موثق بیشتری داشته باشد، توانایی بیشتری برای خلاقیت و ادامه‌ی راه بدون استفاده از ابزارها را دارد.»

9. آگاه باشید که یک متخصص تست نفوذ تنها بخشی از تصویر است

برای خوشحال کردن مدیران سطح XYZ خود، باید همه‌ی کادرها را علامت بزنید (همه‌ی اهداف را انجام دهید)؛ بنابراین فقط متخصصان تست نفوذ را استخدام کنید و گزارش‌های حسابرسی را ارائه دهید. بدین ترتیب اهداف امنیتی انجام می‌شوند، تند نرو!

با اتخاذ رویکرد یک‌مرحله‌ای، شما در قبال روند استخدام متخصص تست نفوذ و چشم‌انداز همیشگی آن دارید اشتباه بزرگی را مرتکب می‌شوید.

 

یان آمیت از شرکت IOActive توضیح داد که تصمیم‌گیرندگان باید درباره‌ی لایه‌های دفاعی امنیت خود فکر کنند. وی به ZDNet گفت: «اتكاکردن به تنها یک تست نفوذ، جهت ارائه‌ی نمایی کلی از وضعیت امنیتی‌تان، صرفاً مانند تکیه‌کردن به یک فایروال واحد است تا تمامی خطرات امنیتی اطلاعات را در شركت‌تان كاهش دهد.

همیشه مصاحبه‌ها، بررسی کُدها و تست‌های نفوذ را باهم استفاده کنید تا بتوانید پوشش خوبی برای وضعیت امنیتی خود ایجاد کرده و تحمل بیشتری برای مواجهه با خطر داشته باشید. یافته‌های تست‌ها را با ثبت وقایع در شبکه‌ی خود مقایسه کنید تا بفهمید که آیا در معرض حملات خاصی قرار گرفته‌اید، و نیز دریابید که خود را از تماس با چه کسی محافظت می‌کنید.

10. از متخصصان تست نفوذ نترسید

بحث‌هایی که شما در خصوص دلایل انجام تست نفوذ خواهید داشت و این‌که چه کسی و چه متخصص تست نفوذی استخدام کنید و این‌که نتیجه‌ی گزارش‌ها چه خواهد بود، بحث‌هایی بسیار خسته‌کننده و ناخوشایند خواهند بود.

این بحث‌های ناراحت‌کننده نه‌تنها ایده‌ی خوبی هستند، بلکه برای بقای سازمان شما لازم‌اند. اکثر متخصصان تست نفوذ که با آن‌ها صحبت کردیم، اظهار کردند که بزرگ‌ترین مانعی که در مسیر همکاری جهت رفع مشکلات امنیتی با آن مواجه می‌شوند، روبه‌روشدن با مقاومت از جانب خود آن شرکت‌هایی است که متخصصان تست در تلاش‌اند برای آن‌ها کار کنند.

جناب وینسنت از شرکتNeohapsis  در رابطه با مشکلات ایجادشده توسط رفتارهای خاص صحبتی نکرد. وی توصیه كرد: «یک بخش فناوری اطلاعات داشته باشید كه شامل تسترهای نفوذتان باشد.»

در نهایت، تسترها مجبورند گزارش‌هایی بنویسند و کارهای اداری معمولی را مانند بقیه انجام دهند.

اکنون به معضل بالا، مشکلاتی از قبیل انسداد IPهای لازم جهت اجرای اسکن، لایسنس‌های نرم‌افزاری برای کار با ابزارها، سخت‌افزارهای ضروری جهت ارزیابی فیزیکی و بی‌سیم را اضافه کنید؛ آن موقع است که شما با کابوس فناوری اطلاعات مواجه‌اید.

وینسنت اکیداً توصیه می‌کند: «با مشاوران مانند پلیس رفتار کنید» و بنابراین «اگر کمد اسلحه‌هایتان به‌اندازه‌ی کافی بزرگ نیست (ابزارهای کافی در اختیار ندارید)، آن‌ها جهت تهیه‌ی ابزار یا تجهیزات لازم به جایی دیگر مراجعه می‌کنند و از این‌که آن‌ها را مجبور کرده‌اید وقت و هزینه‌ی خود را برای این کار خرج کنند، از شما متنفر خواهند شد.»

وی خاطرنشان کرد که یک اشتباه معمول که در مذاکرات اولیه‌ی روند استخدام متخصص تست نفوذ رخ می‌دهد، شفاف‌نبودن اصول استخدام از راه دور، کار در محل و مسافرت است. او افزود: «در خصوص نیازهای مسافرتی پیش‌قدم باشید. بعضی از افراد مسافرت را دوست ندارند و برخی دیگر از زندگی در جاده بدشان نمی‌آید. پیش‌قدم باشید تا افراد مناسب کار خود را پیدا کنید.»

جناب آمیت از شرکت IOActive هشدار داد که نداشتن درکی از تهدیدات، و این‌که تهدیدات جامعه چه کسانی هستند، می‌تواند مشکلات بزرگ‌تری را در ادامه‌ی مسیر ایجاد کند. «خود را در برابر متخصصان تست نفوذ محافظت نکنید.»

وی افزود: «شما از خود در برابر مهاجمان دفاع نمی‌کنید؛ بنابراین اطمینان حاصل کنید که ارائه‌دهندگان خدمات‌تان وضعیت ریسک و مدل تهدید شما را درک کرده و می‌توانند با دقت بیشتری آن حملات را شبیه‌سازی کنند.»

برخورد با مجرمان، فعالان، هکرهای تصادفی یا بازیگران تحت حمایت دولت، کاملاً متفاوت است؛ زیرا هرکدام تکنیک‌ها، انگیزه‌ها، منابع و دسترسی به دارایی‌های خاص خود را دارند.

مطمئن شوید که تست‌های شما منعکس‌کننده‌ی چنین نتیجه‌ای است. در غیر این صورت، خود را آماده در مقابل حملات متخصصان تست نفوذ می‌یابید تا آماده در مقابل مهاجمان واقعی؛ به این ترتیب، وقتی با حملات واقعی از راه‌هایی که شما برنامه‌ریزی نکرده‌اید روبه‌رو می‌شوید و آماده نبوده‌اید، متعجب خواهید شد.

شما به متخصصان تست نفوذ نیاز دارید که به نتیجه‌ی بازی متعهد باشند. بازی آخر شما، همان چیزی است که از سازمان‌تان محافظت می‌کند. ZDNet از سازمان‌ها و متخصصان تست نفوذ مصاحبه‌شده برای این فهرست و همه‌ی کسانی که دانش، تجربه و تخصص خود را در این مقاله آورده‌اند، تشکر می‌کند.

می‌خواهید کارشناس تست نفوذ شوید؟ ما به شما کمک می‌کنیم مسیر درست را طی کنید:

از متخصص‌های تست نفوذ خود 5 سوال زیر را بپرسید!

مصاحبه شغلی

اگر هر بخشی از شبکه‌ی کسب‌و‌کار شما به اینترنت متصل باشد، اطلاعاتی که کسب‌وکارتان دست‌به‌دست می‌کند در دسترس هکرها و مجرمان سایبری است.

به همین دلیل استاندارد امنیت داده‌ی صنعت پرداخت کارتی (PCI DSS) مستلزم اجرای تست نفوذ بر شبکه‌ی فناوری اطلاعات شما می‌باشد. از آن‌جا که تست (یا همان آزمون) نفوذ شبکه باید حداقل یک سال یک‌بار صورت بگیرد و به دلیل این‌که فقط نیاز به یک نیروی انسانی دارد، بهتر است مطمئن شوید شخصی که استخدام می‌کنید، ارزش هزینه‌ای را که می‌کنید داشته باشد.

انتخاب شخص مناسب برای اجرای تست نفوذ نیازمند پرسیدن سوال‌هایی صحیح به‌هدف بررسی صحیح ابزارها، روش‌ها و بینش‌های آزمایش امنیت شبکه‌ای است که آن شخص استفاده می‌کند:

1. تفاوت تست نفوذ با انواع دیگر آزمایش‌های امنیتی،مانند ارزیابی آسیب‌پذیری، چیست؟

اگرچه شما از پیش پاسخ این سوال را می‌دانید، همچنان باید این سوال را بپرسید تا مطمئن شوید متخصص می‌تواند تفاوت‌هایی كه تست نفوذ را منحصر‌به‌فرد می‌كند بیان كند. اگر متخصص از کلمه‌هایی مانند «نفوذ» و «اسکن» به‌جای هم استفاده می‌کند یا ادعا می‌کند که فرایند تست نفوذ آن‌ها کاملاً خودکار است، مراقب باشید.

2. روند انجام تست نفوذ چگونه است؟

روش‌ها و تکنیک‌های تست نفوذ معمولاً برای هر سازمانی متفاوت است؛ اما برخی از فعالیت‌های اصلی در تمام تست‌های نفوذ مشترک است. حتی اگر فرد متخصص از روش مشخصی استفاده نکند، باید بتواند یک شمای کلی از مرحله‌های اجراشده و ابزارهایی که در هر مرحله استفاده می‌شود ارائه دهد.

3. آیا متخصص شما گواهینامه‌ی استاندارد صنعتی دارد؟

مهم است بدانید افرادی که تست شما را انجام می‌دهند، دارای دانش و آگاهی لازم هستند و از فرایندهای امنیتی به‌روز استفاده می‌کنند. بررسی کنید که تیم متخصص‌ها دارای چه گواهینامه‌هایی است. گواهینامه‌های مختلفی وجود دارد که دانش مربوط به امنیت اطلاعات و فناوری را به طور کلی نشان می‌دهد؛ اما متخصصان نفوذ اغلب دارای گواهینامه‌هایی مانند CEH ، CISSP ، GPEN و GWAPT هستند.

4. چگونه از داده‌ها حین تست و بعد از آن محافظت می‌کنید؟

بررسی کنید که متخصص چگونه داده‌های شما را در طول فرایندهای تست و تحویل ایمن نگه می‌دارد. اگر دستگاه‌ها به مکان شما منتقل می‌شوند یا متخصص با لپ‌تاپ بازدید خود را انجام می‌دهد، حتماً از رمزگذاری مبتنی بر دیسک برای محافظت از داده‌های به‌دست‌آمده در طول تست استفاده کنید. وقتی زمان ارائه‌ی گزارش نهایی است، متخصص باید روش مطمئنی را برای تحویل آن ارائه دهد. اطلاعات محرمانه، از جمله گزارش‌های تست، هرگز نباید با ایمیل ارسال شود. باید از FTPهای امن یا سایت‌های اشتراک‌گذاری فایل امن استفاده کنید، سایت‌هایی که از SSL استفاده می‌کنند.

5. چگونه از وجود سیستم‌ها و خدمات در زمان برگزاری آزمون مطمئن می‌شوید؟

از آنجا که تست‌های نفوذ حمله‌هایی واقعی به سیستم‌های شما هستند، تضمینی برای زمان کار(آنلاین‌بودن) یا دسترسی به خدمات در هنگام تست نیست. با این حال بیشتر متخصص‌ها نگران این موضوع هستند که نکند حمله‌ی خاصی سیستم شما را خراب کند یا سرویس خاصی را «قطع» کند. همچنین می‌توانید با اطلاع‌دادن در رابطه با هر یک از سیستم‌های قدیمی یا سیستم‌هایی که مقاومت کمی در شبکه دارند، به متخصص خود کمک کنید. یک متخصص خوب برای رفع مشکل‌های عملیاتی و نظارت بر پیشرفت در تمامی مرحله‌های تست با شما همکاری نزدیکی خواهد داشت.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *