يحتاج كل من يعمل بسلك أمن المعلومات وخصوصا اختبار الاختراق أن يقضي فترة ليست بالبسيطة بالجانب الآخر من الطاولة، وتحديدا بالبرمجة وهندسة النظم، حتى يتعلم الأسباب الحقيقية التي تظهر من خلالها الثغرات الأمنية، والخيارات الصعبة والمعقدة التي يقوم بها المبرمجون ومهندسو النظم...
فلا يوجد برأيي ما هو أسوأ من مختص أمن معلومات او مختبر اختراق يكتشف الثغرات ويعطي توصيات إصلاح ليس لها علاقة بالواقع ولا يدخل باعتبارها صعوبة الحل او إدراك التعقيدات المحيطة به.
المبرمجون ومهندسو النظم لن يستطيعو فهم وتطبيق التوصيات الساذجة التي لا تأتي من واقع خبرة.
المبرمجون ومهندسو النظم لن يستطيعو فهم وتطبيق التوصيات الساذجة التي لا تأتي من واقع خبرة.
حتى القيام بتحديثات البرامج والأنظمة Software update عملية بالحقيقة صعبة ومعقدة وتحتاج لكمية وأنواع ليست بالبسيطة من الفحص regression testing, integration testing, unit testing، وهذا في التحديثات الجاهزة، فما بالك بالإصلاحات التي تحتاج شغل يدوي ومعقد.
إذا كنت مختبر اختراق،احذر:
إذا كنت مختبر اختراق،احذر:
احذر من دخول هذا المعترك دون أن تفهم وتدرك الجوانب الأخرى.
سيكون وضعك محرج وأنت تكشف ثغرات (فتعجب بنفسك) ثم تضع توصيات لا علاقة لها بالواقع فتكشف قلة خبرتك.
ما الحل؟
ليكن لك نصيب من النشاطات البرمجية وهندسة النظم والشبكات، سواء بمقر عملك او باستخدام بيئات التدريب مثل الVMs
سيكون وضعك محرج وأنت تكشف ثغرات (فتعجب بنفسك) ثم تضع توصيات لا علاقة لها بالواقع فتكشف قلة خبرتك.
ما الحل؟
ليكن لك نصيب من النشاطات البرمجية وهندسة النظم والشبكات، سواء بمقر عملك او باستخدام بيئات التدريب مثل الVMs
وهذه الأمور لن تجدها بأي كورس تدريبي مهما طال او قصر لذلك لا مفر من حاجتك لبناء هذه البيئات بنفسك والتدرب عليها، وليس فقط استخدام بيئات جاهزة.
حينها ستعرف لماذا يضع مديري النظم صلاحيات عالية، ولم يقومون بالتحديثات الأمنية على شكل بطيء، ولم يحتاج المبرمجون لوقت طويل لحل الثغرات
حينها ستعرف لماذا يضع مديري النظم صلاحيات عالية، ولم يقومون بالتحديثات الأمنية على شكل بطيء، ولم يحتاج المبرمجون لوقت طويل لحل الثغرات
جاري تحميل الاقتراحات...