What's Penetration testers ?

-anouar marouan -

ما هو اختبار الاختراق؟

اختبار الاختراق ، هو محاولة لتقييم أمان البنية التحتية لتكنولوجيا المعلومات من خلال محاولة استغلال نقاط الضعف بأمان. قد توجد نقاط الضعف هذه في أنظمة التشغيل والخدمات وعيوب التطبيقات أو التكوينات غير الصحيحة أو سلوك المستخدم النهائي المحفوف بالمخاطر. هذه التقييمات مفيدة أيضًا في التحقق من فعالية الآليات الدفاعية ، فضلاً عن التزام المستخدم النهائي بالسياسات الأمنية. 

 مهام ومسؤوليات اختبار الاختراق

ستختلف المهام اليومية لمختبر القلم باختلاف المؤسسة. فيما يلي بعض المهام والمسؤوليات الشائعة التي قد تواجهها في هذا الدور ، وكلها مأخوذة من قوائم الوظائف الحقيقية :

  • قم بإجراء اختبارات على التطبيقات وأجهزة الشبكة والبنى التحتية السحابية
  • تصميم وتنفيذ هجمات الهندسة الاجتماعية المحاكاة
  • ابحث واختبر أنواعًا مختلفة من الهجمات
  • تطوير منهجيات اختبار الاختراق
  •   راجع رمز الثغرات الأمنية
  • عكس هندسة البرمجيات الخبيثة أو البريد العشوائي
  • توثيق قضايا الأمن والامتثال
  • أتمتة تقنيات الاختبار الشائعة لتحسين الكفاءة
  • كتابة التقارير الفنية والتنفيذية
  • إبلاغ النتائج لكل من الموظفين الفنيين والقيادة التنفيذية
  • تحقق من صحة التحسينات الأمنية باختبارات إضافية

 أين يعمل مختبري الاختراق؟

يعمل مختبرو الاختراق عادةً في واحدة من ثلاث بيئات.

  • داخليًا (In-house): باعتبارك مختبِر اختراق داخلي ، فأنت تعمل مباشرةً لصالح شركة أو مؤسسة. يتيح لك هذا عادةً التعرف على بروتوكولات أمان الشركة جيدًا. قد يكون لديك أيضًا المزيد من المدخلات في ميزات وإصلاحات الأمان الجديدة.
  • شركة أمنية (Security firm): تقوم بعض المنظمات بتوظيف شركة أمنية خارجية لإجراء اختبار الاختراق. يوفر العمل في شركة أمان تنوعًا أكبر في أنواع الاختبارات التي ستتمكن من تصميمها وتنفيذها.
  • العمل الحر (Freelance): يختار بعض مختبري الاختراق العمل لحسابهم الخاص. يمكن أن يمنحك اختيار هذا المسار مرونة أكبر في جدولك الزمني ، ولكن قد تحتاج إلى قضاء المزيد من الوقت في البحث عن العملاء في وقت مبكر من حياتك المهنية.

 كيف تصبح مختبري اختراق

بصفتك مختبِرًا للاختراق ، يمكنك كسب راتب عن طريق الاختراق القانوني لأنظمة الأمان. يمكن أن تكون وظيفة مثيرة وسريعة الخطى إذا كنت مهتمًا بالأمن السيبراني وحل المشكلات. في هذا القسم ، سنلقي نظرة فاحصة على الخطوات التي قد تتخذها للحصول على وظيفتك الأولى كمختبِر اختراق.

1. تطوير مهارات اختبار الاختراق.

 يحتاج مختبرو الاختراق إلى فهم قوي لتكنولوجيا المعلومات وأنظمة الأمان من أجل اختبارها بحثًا عن نقاط الضعف. تشمل المهارات التي قد تجدها في الوصف الوظيفي لمختبر القلم ما يلي :

  •      أمن الشبكات والتطبيقات (Network and application security)
  •      لغات البرمجة ، خاصة للبرمجة النصية (Python ، BASH ، Java ، Ruby ، Perl)
  •      نمذجة التهديد (Threat modeling)
  •      بيئات Linux و Windows و MacOS
  •      أدوات تقييم الأمان (Security assessment tools)
  •      منصات إدارة Pentest
  •      الكتابة الفنية والتوثيق (Technical writing and documentation)
  •      التشفير (Cryptography)
  •      بنية السحابة (Cloud architecture)
  •      تقنيات الوصول عن بعد (Remote access technologies)

 2.أدوات اختبار الاختراق الشعبية


يمتلك مختبرو الاختراق اليوم مجموعة من الأدوات للمساعدة في جعل وظائفهم أسرع وأكثر كفاءة. إذا كنت مهتمًا بأن تصبح مختبِرًا الاختراق ، فقد يساعدك ذلك في التعرف على واحدة أو أكثر من هذه الأدوات.

 

* Kali Linux: نظام تشغيل pentesting شعبي

* Nmap: ماسح ضوئي للمنافذ لاكتشاف الشبكة

* Wireshark: شم الحزم لتحليل حركة المرور على شبكتك

* John the Ripper: برنامج تكسير كلمات المرور مفتوح المصدر

* Burp Suite: أدوات اختبار أمان التطبيق

* Nessus : أداة تقييم الضعف

*  OWASP ZAP Proxy: أداة فحص أمان تطبيقات الويب

 3. الحصول على شهادة.

تثبت شهادات الأمن السيبراني لمسؤولي التوظيف ومديري التوظيف أن لديك المهارات المطلوبة للنجاح في الصناعة. بالإضافة إلى شهادات الأمن السيبراني العامة هذه ، يمكنك أيضًا الحصول على شهادة في اختبار الاختراق أو القرصنة الأخلاقية. الشهادات ذات السمعة الطيبة التي يجب مراعاتها تشمل:

  •      الهاكر الأخلاقي المعتمد (CEH)
  •      CompTIA PenTest +
  •      جهاز اختبار الاختراق GIAC (GPEN)
  •      جهاز اختبار اختراق تطبيق الويب GIAC (GWAPT)
  •      محترف معتمد في الأمن الهجومي (OSCP)
  •      اختبار الاختراق المعتمد (CPT)

 4. الممارسة في بيئات حقيقية ومحاكاة.

ترغب العديد من الشركات في توظيف مختبري الاختراق من ذوي الخبرة السابقة. لحسن الحظ ، هناك طرق لبدء اكتساب الخبرة خارج مكان العمل. تتضمن العديد من برامج التدريب على اختبار الاختراق اختبارًا عمليًا في بيئات محاكاة.

Hack the Box

Hack.me

Hack This Site

WebGoat

 راتب فاحص الاختراق


وفقًا لـ Glassdoor ، إجمالي الأجر التقديري لمختبري الاختراق في الولايات المتحدة هو 97،638 دولارًا سنويًا. يتضمن هذا الرقم راتبًا أساسيًا متوسطًا قدره 90673 دولارًا أمريكيًا و 6965 دولارًا أمريكيًا راتبًا إضافيًا. قد يمثل الراتب الإضافي مشاركة في الأرباح أو العمولات أو المكافآت. يعتمد راتبك على مجموعة متنوعة من العوامل ، بما في ذلك موقعك وخبرتك وتعليمك وشهاداتك. تميل بعض الصناعات ، مثل الخدمات المالية والمقاولات العسكرية ، إلى دفع رواتب أعلى من غيرها.

التصنيف :

إرسال تعليق

أحدث أقدم

نموذج الاتصال