كيف تصبح هاكر اخلاقي محترف في القرصنة الأخلاقية

دليل كامل لتصبح هاكر اخلاقي محترف

يدور هذا الدليل حول كيفية أن تصبح مخترقًا أخلاقيًا. يتضمن معلومات مفصلة عن الدور الذي يلعبه الهكر الأخلاقي ، وبعض المهارات والخبرات اللازمة ليصبح متسللًا أخلاقيًا ، واستراتيجيات للحصول على وظيفة كمخترق أخلاقي.

من الناحية التاريخية ، تم وصف مساعي الأمن السيبراني الدفاعية والهجومية باستخدام ألقاب قراصنة القبعة البيضاء و قراصنة القبعة السوداء على التوالي. 

تم استخدام هذه الأسماء المستعارة للتمييز بين الأخيار والأشرار. في حين أن كلا المصطلحين لا يزالان شائعين ، إلا أن أحدهما على الأقل قد لا يكون وصفيًا بشكل كافٍ للأدوار المختلفة الموجودة في النظام البيئي الحديث للأمن السيبراني اليوم. 

على الرغم من أن الهكر ذو القبعة السوداء - Black hat لا يزال مجرد الرجل السيئ ، إلا أنه يتم الآن وصف الأخيار بشكل أفضل باستخدام تعبيرات مثل الفريق الأحمر ، والفريق الأزرق ، والفريق الأرجواني ، والهكر الأخلاقي ، واختبار الاختراق . وبشكل أكثر تحديدًا ، يقدم الفريق الاحمر خدمات أمنية هجومية ويقدم الفريق الأزرق خدمات دفاعية. 

اللون البنفسجي ، كونه مزيجًا من الأحمر والأزرق ، يحدد تلك الفرق التي تقدم بعضًا من كل نكهة لخدمة الأمن. 

يشمل مصطلح الهكر الأخلاقي جميع المتخصصين في مجال الأمن الذين يقدمون خدمات هجومية ، سواء كان الفريق الأحمر  Red Teaming، أو البنتستر Pentester، أو المستشار الهجومي المستقل.

محللو أو مهندسو الأمن هم أيضًا ألقاب وظيفية قد تتضمن عناصر هجومية. غالبًا ما يتم تجميع هذه الخدمات الأمنية الهجومية تحت مجموعة إدارة التهديدات والضعف داخل الشركة. 

في حين أن هناك بعض الاختلافات التقنية الدقيقة ، لنقل بين الخدمات التي يقدمها مستشار الأمن السيبراني الهجومي المستقل والمختبر الداخلي ، بالنسبة لهذا الدليل ، يتم استخدام هذه الأسماء المختلفة للمتسللين الأخلاقيين بالتبادل.  

الهدف الأساسي للهاكر الأخلاقي هو النظر إلى الأمن من منظور الخصم في محاولة للعثور على نقاط الضعف التي يمكن استغلالها من قبل Hackers.

يوفر هذا الفرصة للفرق الدفاعية للتخفيف من حدة الهجوم والاضرار الناجمة عنه (Data Breach) من خلال تصميم رقعة قبل حدوث هجوم حقيقي. يتم تحقيق هذا الهدف من خلال تنفيذ هجمات إلكترونية محاكية في بيئة افتراضية.

في حين أن الكثير من القيمة التي يقدمها المتسلل الأخلاقي يرتبط باختبار عناصر التحكم والأجهزة الأمنية لاكتشاف نقاط الضعف في اختراق المحيط ، إلا أنهم يبحثون أيضًا على نطاق أوسع عن نقاط الضعف التي يمكن استغلالها بعمق داخل شبكة أو تطبيق مثل نقاط الضعف لاختراق البيانات. 

ما هي القرصنة الأخلاقية - Ethical Hacking؟

مصطلح "القرصنة - Hacking" له دلالات سلبية للغاية ، ولكن هذا فقط حتى يتم فهم دور المخترق الأخلاقي تمامًا. الهكرز الأخلاقيون هم الأخيار في عالم القرصنة ، أولئك الذين يرتدون "القبعة البيضاء". 

إذن ما هو دور المخترق الأخلاقي؟ بدلاً من استخدام معرفتهم الحاسوبية المتقدمة للأنشطة غير القانونية، يحدد الهكرز الأخلاقيون نقاط الضعف في أمان الكمبيوتر والبيانات للشركات والمؤسسات في جميع أنحاء العالم ، لحمايتهم من الهكرز.

اقرا ايضا: كورس الهاكر الأخلاقى certified ethical hacker (ceh) v10

ماهو الهكر الاخلاقي - Ethical Hacker

الهكر الأخلاقي او  القرصان الأبيض القبعة (White hat)‏ هو الشخص الذي يخترق شبكة الكمبيوتر من أجل اختبار أو تقييم أمنها ، وليس بنية خبيثة أو إجرامية.

لذا ، إذا كنت ترغب في أن تصبح متسللًا من نوع ethical hacker ، فليس هناك أي طرق سهلة لتصبح أحدهم. 

من السهل كتابة script a kiddie و تحميل Armitage أو تحميل Cobalt Strike وتنفيذ كل استغلال - exploit معروف للإنسان على الهدف. ولكن لا فائدة من تنفيذ ثغرات Linux في Windows.

في حين أن هناك الكثير من القصص القصصية عن قراصنة القبعة السوداء الذين تم تحويلهم إلى قراصنة بيض في حقبة ماضية ، فإن أهم متطلبات أن تصبح متسللًا أخلاقيًا ناجحًا اليوم هو أن يكون لديك ، كما هو موجود في الاسم ، معايير أخلاقية عالية. 

من هو الهاكر غير الاخلاقي - Black Hat Hacker

الهاكر الاخلاقي دائما يبحث عن تغرات امنية في الاجهزة والمواقع و غيرها لكن تحت ضوابط وهي سلوكيات الهاكر الأخلاقي ، فعندما يجد اي ثغرة على سبيل المثال يقوم بالابلاغ عنها لصاحب الموقع او الشركة ، لكن هناك من يقول تحت خفايا هذا السلوك هدف مادي،  إطرح نفس السؤال عليك ، عندما تسهر الليالي و تتعب من أجل هدف معين وهو الكشف عن التغراث الامنية وفي الأخير لا يجب عليك ان تتقاضى مكافئة مادية فهذا ما يسمى بالظلم، لكن معظم الشركات الكبرى كالفايسبوك تقدم مكافأت على هذه المجهودات عند الإعلان بها لصاحب الموقع او الشركة

فسلوكيات الهاكر لها ارتباط بضميره ، كما انه يكتسب مهارات و تقنيات تعطيه إحترافية في هذا الميدان ، كما بالنسبة للهاكر غير الأخلاقي فهو أيضا يكسب تقنيات في هذا المجال لكن بدون سلوكيات اي عند إكتشافه لتغرة امنية فلا يهمه شيء سوى اخد جرعته كما العادة بتخريب الموقع و سرقة الحسابات البنكية لأشخاص لا ذنب لهم ، كما انه يعتبر مجرما اي بالأحرى قرصان يسطو على الشبكة العنكبوتية. 

كيف تصبح هاكر اخلاقي

القرصنة الأخلاقية هي الخيار المهني الأمثل للمهتمين بحل المشكلات والتواصل وأمن تكنولوجيا المعلومات. إليك ما يلزم لتصبح هاكر قبعة بيضاء.

دليل أساسي كي تصبح هاكر اخلاقي

أتلقى الكثير من رسائل البريد الإلكتروني التي تطلب إرشادات حول كيفية أن تصبح مخترقًا أخلاقيًا. تتعلق معظم الطلبات بكيفية أن تصبح هكر للقبعة السوداء والتي يتم تجاهلها عادةً. دعونا نلقي نظرة على تعريف المخترق الأخلاقي.

اقرأ أيضا: كيف تصبح هكر حقيقي محترف How to Become Hacker

مهارات مطلوبة لتصبح هكر أخلاقي Ethical Hacker Skills

في حين أن هناك الكثير من القصص عن قراصنة القبعة السوداء الذين تم تحويلهم إلى قراصنة اخلاقيين  في حقبة ماضية ، فإن أهم متطلبات أن تصبح متسللًا أخلاقيًا ناجحًا اليوم هو أن يكون لديك كما هو موجود في الاسم ، معايير أخلاقية عالية. 

اقرأ أيضا: كيف تصبح هاكر محترف - المهارات الأساسية

الأخلاق هي التي تفصل بين الأخيار والأشرار. هناك الكثير من قراصنة القبعة السوداء الذين يمتلكون المهارات التقنية الكافية ليكونوا متسللين أخلاقيين ، لكنهم يفتقرون إلى الانضباط الشخصي لفعل الشيء الصحيح بغض النظر عن الفوائد المتصورة للقيام بخلاف ذلك. 

يشكل تاريخ الجرائم الإلكترونية خطرًا غير مقبول بالنسبة لعضو فريق الأمن السيبراني. بالنسبة لمؤسسة كبيرة بها فريق قانوني ماهر ، فإن هذا النوع من المخاطر قد يتسبب في رفضك. إذن ، كلمة للحكماء هي ، عند البحث عن عمل كمخترق أخلاقي، السيرة الذاتية التي تتضمن أي عمل فيه رائحة لعمل غير مصرح به أو السلوك غير الأخلاقي هي طريقة سريعة للاستبعاد. 

في حين أن الناس يمكن بالتأكيد أن يتغيروا بمرور الوقت ، فإن معظم أرباب العمل يقبلون أن تطوير المعايير الأخلاقية الموجهة للحياة هو أكثر بكثير من مجرد الرغبة في التغيير الوظيفي. 

ثانيًا ، بعد تغطية الجزء "الأخلاقي - Ethical" من هذا اللقب العامي ، هناك حاجة إلى تغطية جزء "المخترق - Hacker" أيضًا. 

يجب أن يكون المرشح لوظيفة مخترق أخلاقي قادرًا على إظهار المهارات التقنية المتقدمة للأمن السيبراني. تعد القدرة على التوصية باستراتيجيات التخفيف والمعالجة جزءًا من التجربة المطلوبة. 

لكي يصبح المرشح متسللًا أخلاقيًا ، يجب أن يفهم الشبكات السلكية واللاسلكية. يجب أن يكونوا بارعين في ادارة أنظمة التشغيل ، خاصةً Windows و Linux. إنهم بحاجة إلى فهم جدران الحماية و أنظمة الملفات. يجب أن يعرفوا كيفية عمل أذونات الملفات وأن يكونوا على دراية بالخوادم و محطات العمل و علوم الكمبيوتر بشكل عام. 

مهارات التشفير القوية ضرورية ومباشرة ، ويجب أن تكون أساليب الهجوم اليدوية والتطبيقية مفهومة ومثبتة بوضوح. 

بالإضافة إلى الأخلاق الحميدة والمهارات الفنية القوية ، هناك مزيج خاص من التفكير الإبداعي والتحليلي. يحتاج قراصنة Ethical إلى أن يكونوا قادرين على التفكير مثل الخصم. 

يجب أن يفهموا ما الذي يحفز الفاعلين السيئين وأن يكونوا قادرين على تقدير مقدار الوقت والجهد الذي قد يكون القط الأسود على استعداد لتطبيقه تجاه أي هدف محدد. للقيام بذلك ، يجب أن يفهم البنتستر قيمة البيانات والأنظمة التي يحميها.

شهادات القراصنة الأخلاقية والتعليم 

الشهادتان الخاصتان بالقرصنة الأخلاقية هما Certified Ethical Hacker (CEH) و Offensive Security Certified Professional (OSCP). 

يصف EC-Council شهادة CEH الخاصة بهم بهذه المصطلحات: "A Certified Ethical Hacker هو محترف ماهر يفهم ويعرف كيفية البحث عن الثغرات الامنية والضعف في الأنظمة المستهدفة ويستخدم نفس المعرفة والأدوات التي يستخدمها المخترق الضار ، ولكن بشكل قانوني وطريقة مشروعة لتقييم الوضع الأمني ​​لنظام (أنظمة) الهدف.

تصادق بيانات اعتماد CEH على الأفراد في مجال أمن الشبكات المحدد للقرصنة الأخلاقية من منظور البائع المحايد. "

اقرأ أيضا: شهادة الهاكر الأخلاقي المُعتمد CEH-V10 PDF

أي عدد من الشهادات المهنية الأخرى في مجال الأمن السيبراني التي تقدمها EC-Council ستكون قابلة للتعيين بشكل أكبر كهكر أخلاقي.

يصف Offensive Security شهادة OSCP الخاصة بهم ، قائلاً: "يتكون فحص OSCP من شبكة افتراضية تحتوي على أهداف ذات تكوينات وأنظمة تشغيل مختلفة. في بداية الامتحان ، يتلقى الطالب تعليمات الاختبار والاتصال لشبكة امتحان منعزلة ليس لديهم معرفة مسبقة بها أو التعرض لها.

سيظهر الممتحن الناجح قدرته على البحث في الشبكة (جمع المعلومات) ، وتحديد أي نقاط ضعف وتنفيذ الهجمات بنجاح. يتضمن هذا غالبًا تعديل رمز الاستغلال بهدف اختراق الأنظمة والحصول على وصول إداري.

من المتوقع أن يقدم المرشح تقرير اختبار اختراق شامل ، يحتوي على ملاحظات متعمقة ولقطات شاشة توضح النتائج التي توصلوا إليها. يتم منح النقاط لكل مضيف مخترق ، بناءً على الصعوبة ومستوى الوصول الذي تم الحصول عليه ".

تعد درجة البكالوريوس في مجال متعلق بالكمبيوتر مكانًا جيدًا لبدء حياتك المهنية. يوفر تعليم علوم الكمبيوتر أو هندسة الشبكات أساسًا موصى به للعمل في مجال الأمان. عند التفكير في برنامج البكالوريوس في مجال الأمن السيبراني - Cyber Security، أعط الأولوية للبرامج ذات التركيز القوي متعدد التخصصات. 

سوف تركز البرامج الجيدة على هندسة الكمبيوتر وعلوم الكمبيوتر ومهارات إدارة الأعمال. ابحث عن البرامج التي تتضمن دورات في الكتابة الفنية والمسائل القانونية المتعلقة بالتكنولوجيا والأخلاق. أفضل محترفي الأمن السيبراني هم أفراد ذوو خبرة جيدة يمكنهم رؤية مجالهم من خلال عدسة واسعة الزاوية.

حتى مع الحصول على درجة وشهادة مهنية أو اثنتين ، فإن الدراسة الذاتية ضرورية لمواكبة أساليب الهجوم الحالية والاستراتيجيات الهجومية. يمكن أن يكون المختبر المنزلي مفيدًا جدًا. تعد مقاطع فيديو Youtube ومجموعات ومنتديات الإنترنت ومنشورات الوسائط الاجتماعية وعمليات التبادل كلها طرقًا يستخدمها المتسللون الأخلاقيون الناجحون للحفاظ وصقل مهاراتهم .

دور الهاكر الأخلاقي

يمكن أن يكون المتسللون الأخلاقيون مستشارين مستقلين ، يعملون من قبل شركة متخصصة في محاكاة خدمات الأمن السيبراني الهجومية ، أو يمكن أن يكونوا موظفين داخليين يحمون موقع الشركة أو تطبيقاتها.

تعد معرفة أساليب وأدوات الهجوم الحالية مطلبًا عبر خيارات التوظيف هذه ، ومع ذلك ، قد يُطلب من المتسلل الأخلاقي الداخلي أن يكون لديه معرفة وثيقة ببرنامج واحد أو نوع من الأصول الرقمية. 

على الرغم من كونها جديدة نسبيًا في مجال الأمن ، إلا أن إحدى الميزات التي قد يوفرها الفريق الاحمر الداخلي هي أن الفريق سيكون بالضرورة لديه فهم أكثر حميمية لكيفية إنشاء الأنظمة والتطبيقات الخاصة بهم من أي مستشار مستقل. توفر هذه المعرفة الداخلية للفريق الأحمر ميزة ، طالما أنه يمكنهم تجنب قصر النظر من وجهة نظرهم. 

سيستغرق المهاجمون الحقيقيون سنوات لتكرار هذه الميزة. يُعتقد إلى حد كبير أن الفرق الداخلية أقل تكلفة من الاستخدام المستمر لشركة استشارية أيضًا.

على العكس من ذلك ، فإن الميزة التي قد يقدمها المتسلل الأخلاقي الخارجي نظرة جديدة من لتحديد الثغرات الامنية التي قد يتجاهلها الفريق الداخلي. 

حتى المنظمات التي توظف فريقًا أحمر داخليًا قد تتعاقد أحيانًا مع هاكر أخلاقي حقيقي لتقديم هذه النظرة الجديدة على دفاعاتها.

بالنسبة لأي مزود خدمة أمنية هجومية خارجية ، من المهم بشكل خاص الحصول على إذن كتابي من العميل قبل البدء في أي أنشطة هجومية. 

يجب أن يفصل هذا الإذن الأنظمة والشبكات والتطبيقات ومواقع الويب التي سيتم تضمينها في الهجوم المحاكي. لا تقم بزيادة نطاق الخدمة دون إذن كتابي إضافي للقيام بذلك.

تماشياً مع استخدام الصناعة للألوان للتمييز بين أدوار ووظائف الأمن السيبراني المختلفة ، هناك ارتباطات أخلاقية للقراصنة الصندوق الأبيض والصندوق الأسود والمربع الرمادي. 

الصندوق الأبيض هي عندما يتم إعطاء أخصائي الأمن أكبر قدر ممكن من المعلومات حول النظام والتطبيق المستهدف. يسمح هذا للهجوم المحاكي بالانتشار على نطاق واسع وعميق بسرعة كبيرة للبحث عن Vulnerabilities التي قد يستغرق اكتشافها من طرف فاعل سيئ وقتًا طويلاً جدًا.

على العكس من ذلك ، يحدث تفاعل الصندوق الأسود عندما لا يتم إعطاء معلومات داخلية للهكر الأخلاقي. يعكس هذا بشكل أوثق ظروف هجوم حقيقي ويمكن أن يوفر نظرة ثاقبة حول الشكل الذي قد يبدو عليه ناقل الهجوم الحقيقي. كما يوحي الاسم ، يشير ارتباط الصندوق الرمادي إلى محاكاة هجوم حيث يكون المهاجم قد اخترق بالفعل المحيط وربما قضى بعض الوقت داخل النظام أو التطبيق.

اقرأ أيضا: منهجية اختبار الاختراق Penetration Testing Methodology

تستعين العديد من الشركات بالمساعدة من جميع أنواع المشاركة الثلاثة جنبًا إلى جنب مع المتسللين الأخلاقيين الداخليين والخارجيين.

يمكن أن يوفر هذا الاختلاف في المعرفة التطبيقية أفضل رؤية لما يجب نشره من إجراءات الحماية ، ولكنه أيضًا أكثر تكلفة بكثير.

امتلاك مهارات ومعارف أخلاقية للقرصنة مفيد للعديد من الأدوار الأمنية الأخرى.

هذه المهارات حيوية لمحللي أمن الشبكات - Network security ومهندسي الشبكات. تحتاج الفرق الأرجوانيية - purple team إلى أشخاص ذوي مهارات هجومية.

يستفيد مطورو أمان التطبيقات من فهم الأساليب والأدوات الهجومية. يعتمد الباحثون الأمنيون ، المعروفون باسم صائدي الأخطاء Bug Bounty Hunting ، بشكل كبير على معرفتهم بالتكتيكات الهجومية. يعرض العديد من صائدي الأخطاء الناجحين فهمًا يصل إلى أعمق من طبقة التطبيق إلى طبقة الشبكة والمناطق الأخرى التي يمكن استغلالها.

كيف تكتسب الخبرة كـ هاكر أخلاقي 

تعد تجربة أدوات اختبار الاختراق واكتشاف الثغرات مثل Metasploit و Netsparker و OpenVAS ، مفيدة جدًا للمتسللين الأخلاقيين. 

تم تصميم هذه الأدوات وغيرها الكثير لتوفير الوقت عند البحث عن الثغرات الأمنية المعروفة. قد توفر هذه الأدوات أو ما شابهها إطار عمل مفيدًا لفحص الثغرات الأمنية وإدارتها ، ولكن يجب أن تمثل فقط نقطة البداية للمتسلل الأخلاقي المتمرس. 

يجب توجيه هجمات المحاكاة اليدوية نحو الهدف أيضًا. المعرفة والخبرة المتعلقة بكيفية تنفيذ هذه الهجمات ضرورية. 

الطريق إلى العثور على عمل كمخترق أخلاقي سيمر دائمًا تقريبًا عبر سنوات عديدة كعضو في فريق أمني يقدم خدمات أمنية دفاعية.

غالبًا ما يكون التنازل عن فريق هجوم النخبة عبارة عن تقدم عبر صفوف القسم. غالبا ما تبدأ مع العمل بوصفه متخصص الأمن ، مدير الأمن ، أو مطور برامج الأمن ، خبرة إضافية والتعليم وتأهيل المرشحين للحصول على مكان في أحد الفرق تخصص أمن أو العمل كمستشار مستقل.

تمتد الخبرة المفيدة إلى ما هو أبعد من أعمال أمان تكنولوجيا المعلومات السابقة. اختبارات الهندسة الاجتماعية والاختراق الجسدي هي أيضًا مهارات قابلة للتطبيق. 

تبدأ العديد من الهجمات بجمع المعلومات باستخدام حملة هندسة اجتماعية موسعة. يمكن أن تكون المعرفة باستراتيجيات وتكتيكات الهندسة الاجتماعية مفيدة جدًا في فهم التهديدات بأكملها. 

الخروقات المادية لغرفة الخادم أو مركز البيانات سوف تسبق أحيانًا هجومًا رقميًا. سيساعد فهم الأصول المادية المعرضة للخطر المتسلل الأخلاقي على تحديد الأنواع والطرق التي من المحتمل استخدامها في حدث حقيقي. 

يجب أن يصبح مجرمو الإنترنت أكثر إبداعًا لأن المتخصصين في الأمن يحرمهم من استخدام أساليبهم وتكتيكاتهم السابقة. أصبحت الهجمات الجسدية ، بما في ذلك استخدام الطائرات بدون طيار لاستكشاف الشبكات غير المحمية ، تستخدم بشكل متكرر لجمع المعلومات والبدء في الهجمات الإلكترونية. 

يجب على الهكر الأخلاقي توقع ومحاكاة استخدام نواقل الهجوم التقليدية وغير التقليدية لتقديم تحليل التهديد الأكثر شمولاً.

الواجبات النموذجية

تتضمن مهام العمل النموذجية للمتسلل الأخلاقي نمذجة التهديدات وتقييمات الأمان وتقييمات Vulnerabilities  (VTA) وكتابة التقارير. 

بالتأكيد ستختلف مسؤوليات هذا الدور من شركة إلى أخرى ، ولكن سيتم دائمًا تضمين هذه العناصر الأساسية دائمًا في الوصف الوظيفي. 

نمذجة التهديد - Threat modeling

نمذجة التهديدات هي عملية تستخدم لتحسين أمان الشبكة من خلال تحديد نقاط الضعف ثم تحديد الإجراءات المضادة لمنع الهجوم أو التخفيف من آثار الهجوم على النظام. 

في سياق نمذجة التهديد ، يعد التهديد حدثًا ضارًا محتملاً أو فعليًا قد يكون ضارًا (مثل هجوم رفض الخدمة) أو عرضيًا (مثل فشل أجهزة الكمبيوتر) ، ويمكن أن يضر بأصول المؤسسة. سيساهم المتسلل الأخلاقي في هذه العملية من خلال توفير رؤية شاملة للهجمات الخبيثة المحتملة وعواقبها المترتبة على المنظمة. 

الهدف من النمذجة الفعالة للتهديد هو تحديد المكان الذي يجب أن يكون التركيز الأكبر فيه هو الحفاظ على أمن النظام يمكن أن يتغير هذا مع تطور الظروف الجديدة وتصبح معروفة ، وإضافة التطبيقات أو إزالتها أو تحسينها ، وتكشف طلبات المستخدم. 

نمذجة التهديدات هي عملية تكرارية تتكون من تحديد الأصول ، والتعرف على ما يفعله كل تطبيق فيما يتعلق بهذه الأصول ، وإنشاء ملف تعريف أمان لكل تطبيق ، وتحديد التهديدات المحتملة ، وتحديد أولويات التهديدات المحتملة ، وتوثيق الأحداث السلبية والإجراءات المتخذة في كل حالة .

يعد دور المخترق الأخلاقي أمرًا ضروريًا لأنه يسمح لنمذجة التهديد أن تظل نظرية وليس بعد الوفاة بعد هجوم فعلي.

التقييم الأمني - Security Assessment

غالبًا ما يتم تكليف المتسلل الأخلاقي ، سواء كان خبيرًا أو قائد فريق أحمر ، بمهمة توفير تقييم أمني. ببساطة ، تقييم أمن المعلومات هو قياس قائم على المخاطر للوضع الأمني ​​لنظام أو مؤسسة. التقييمات الأمنية هي تمارين دورية تختبر الاستعداد الأمني ​​للمؤسسة. 

وهي تشمل عمليات التحقق من الثغرات الأمنية المتعلقة بأنظمة تكنولوجيا المعلومات والعمليات التجارية ، بالإضافة إلى التوصية بخطوات لتقليل مخاطر الهجمات المستقبلية. 

تقييمات الأمان مفيدة أيضًا في تحديد مدى الالتزام بالسياسات المتعلقة بالأمن. فهي تساعد في دعم السياسات المصممة لمنع الهندسة الاجتماعية ويمكنها تحديد الحاجة إلى تدريب أمني إضافي أو معزز. بلغ ذروته في تقرير يحدد نقاط الضعف ويقدم التوصيات ، تقييم الأمان هو أداة لا تقدر بثمن لإدارة المخاطر. 

تقييم تهديد الضعف (Vulnerability Threat Assessment)

تقييم تهديد الضعف هو عملية تستخدم لتحديد الثغرات الأمنية ذات الصلة بالنظام وتقديرها وتصنيفها إلى جانب التهديدات التي يمكن أن تستغل تلك الثغرات. بينما يرتبط ارتباطًا وثيقًا بتقييم أمني ، يتم إجراء VTA لتحديد التهديدات ونقاط الضعف المحددة وربطها. 

يتم استخدام تقييم الأمان الأساسي ، الموضح أعلاه ، لتحديد نقاط الضعف وتقييم الوضع الأمني ​​للمؤسسة بشكل مستقل عن أي تهديد محدد. VTA هو تقييم أكثر اعتمادا على التهديد.

تشمل الأمثلة على الأنظمة التي يجب إجراء تقييمات للتهديدات الخاصة بها ، على سبيل المثال لا الحصر ، أنظمة تكنولوجيا المعلومات وأنظمة إمداد الطاقة وأنظمة إمدادات المياه وأنظمة النقل وأنظمة الاتصالات. 

يمكن إجراء مثل هذه التقييمات نيابة عن مجموعة من المنظمات المختلفة ، من الشركات الصغيرة إلى كيانات البنية التحتية الإقليمية أو الوطنية الكبيرة. سيتطلب كل نوع من أنواع الأنظمة و / أو المؤسسات من شخص ما في دور هكر أخلاقي لأداء VTA.

كتابة التقرير

من العناصر الحاسمة لتنفيذ مهام الهكرالأخلاقي القدرة على كتابة تقارير مهنية واضحة وموجزة. إن جمع البيانات ، وتحديد نقاط الضعف ، والتهديدات المرتبطة تكون ذات قيمة قليلة إذا لم يكن بالإمكان توضيح المعلومات المناسبة لقادة إدارة المخاطر. غالبًا ما تكون التقارير المقدمة من الفريق الأحمر هي الدافع لنفقات موارد أمنية كبيرة. 

يحتاج محترفو إدارة المخاطر إلى ثقة تامة في نتائج المتسللين الأخلاقيين في مؤسستهم. في بعض الحالات ، يكون المتسلل الأخلاقي مستشارًا خارجيًا تحتفظ به الشركة لتوفير المعلومات اللازمة لتبرير النفقات الأمنية للإدارة العليا أو مجلس الإدارة. في عالم الاستشارات الأمنية ، يعتبر التقرير الناتج الأساسي وهو ذو أهمية قصوى.

عند التفكير في الشهادات المهنية والفرص التعليمية الممكنة للارتقاء بالمهنة لتشمل مجال الهكر الاخلاقي، لا تقلل من أهمية الخبرة في كتابة الأعمال. ستعزز القدرة على إنتاج تقرير مكتوب جيدًا الحياة المهنية للفرد مقارنة بنظيره المؤهل بنفس القدر.

مراجعة القرصنة الأخلاقية

كونك عضوًا في فريق red داخلي أو تعمل كمخترق قبعة بيضاء بالقطعة هي مهن مثيرة. بقدر ما تذهب وظائف مستوى العمليات ، فهي مطلوبة بشدة بعد المناصب التي يمكن أن تولد مستوى من الاحترام وتوفر درجة من المكانة داخل مجتمع الأمن السيبراني. 

وظائف المخترق الأخلاقي ضرورية للحماية الفعالة للشبكات والأنظمة والتطبيقات. هذه الخبرة مطلوبة في جميع كيانات البنية التحتية الوطنية ولتأمين البيانات الهامة أو الحساسة عبر جميع الصناعات. 

بالنسبة للكثيرين ، مصطلح الهاكر الأخلاقي هو تناقض لفظي. إنه يشير إلى مفهومين متعارضين. أحدهما هو المعايير الأخلاقية العالية والآخر "القرصنة" التي ترتبط عادة بالنشاط الشائن.

قد يكون المحترف الأمني ​​الهجومي وصفًا أفضل ، ولكن غالبًا ما يستخدم المتسلل الأخلاقي لوصف هذا النوع من المتخصصين في مجال الأمن لأننا نواجه الأمر ، فإن المتسلل الأخلاقي يبدو أكثر غموضًا. 

بغض النظر عما إذا كانت كلمة هاكر مستخدمة في الوصف الوظيفي أم لا ، فإن هذه الوظائف ليست للمشكوك فيه أخلاقيًا وبالتأكيد ليست لأي شخص لديه تاريخ من كونه ممثلًا سيئًا. 

المتسللون الأخلاقيون مطلعون بالضرورة على المعلومات الحساسة ، والتي قد يكون الكشف عنها كارثيًا على المؤسسة. 

غالبًا ما يكون التصريح الأمني ​​مطلوبًا لموظفي الحكومة والمقاولين الحكوميين. سيتضمن الحصول على تصريح أمني تحقيقًا في الخلفية وفحصًا للبيانات المالية ووسائل التواصل الاجتماعي.

مع استثناء نادر نسبيًا لمستشار الأمن السيبراني المستقل المستقل ، يعمل المتسللون الأخلاقيون عادةً كجزء من فريق. إذا كان أعضاء الفريق الآخرون في فريق أحمر ، سيكونون متسللين أخلاقيين أو مختبري قلم ذوي مهارات مماثلة ، وسيكون الفريق جزءًا من قسم الأمن العام. 

في مؤسسة أصغر ، قد يكون المخترق الأخلاقي هو الشخص الوحيد الذي يلعب دورًا هجوميًا ، ولكنه سيكون دائمًا جزءًا من فريق أمني أكبر. 

تعد القدرة على العمل بشكل جيد مع أعضاء الفريق الآخرين والتواصل الفعال أمرًا بالغ الأهمية لتحقيق النجاح. المتسلل الأخلاقي ليس الشاب الذي يرتدي القلنسوة ويعمل من قبو والديه - الذي قرر استبدال قبعته السوداء بقبعة بيضاء. غالبًا ما يكون متعلم وذات خبرة ومهارة. 

في حين أن التاريخ قد يقدم أمثلة على الأفراد الشجعان الذين كونوا أنفسهم بأنفسهم إلى قمة عمليات الأمن السيبراني ، فإن التعليم بدرجة البكالوريوس على الأقل ، جنبًا إلى جنب مع واحدة أو أكثر من الشهادات المهنية المتخصصة ، هو المعيار للمتسللين الأخلاقيين . 

سنوات من الخبرة القوية في تطوير البرمجيات أو المزيد من الأدوار الأمنية الدفاعية التقليدية ليست غريبة على الإطلاق للقراصنة الأخلاقيين الناجحين

مطلوب معرفة مسبقة

من أجل الدخول في مجال أمن تكنولوجيا المعلومات كقبعة بيضاء ، يجب أن تكون على دراية جيدة في المجالات التالية

• الشبكات
• لغات البرمجة
• قواعد بيانات
• أنظمة التشغيل (Linux و Windows)

إذا كنت متأكدًا من أن لديك معرفة جيدة في المجالات المذكورة أعلاه ، فيمكنك البدء في التعرف على القرصنة. عندما تكون لديك معرفة بأساسيات تكنولوجيا المعلومات ، يمكنك تعلم كيفية كسر بعض نقاط الضعف الأساسية في بنية الكمبيوتر. يمكن أن تساعدك الأنشطة المذكورة أدناه في ذلك

ما المجالات التي يجب التركيز عليها من أجل بناء الأساس

الشبكات - Networking 

دورات Cisco جيدة حقًا. هناك العديد من دورات CCNA المتاحة.

البرمجة - Programming 

تعلم لغات مثل C ++ و Python / Ruby و PHP.

قواعد البيانات - Databases 

اعمل مع MySQL و MSSQL وأنشئ قاعدة بيانات خاصة بك لمعرفة كيفية عملها.

أنظمة التشغيل - Operating systems

تتشابه معظم أنواع انظمة لينكس مع بعضها البعض ، وأنا أستخدم دبيان على الكثير من الخوادم وكالي لينكس. بالإضافة إلى ذلك ، من المفيد فهم المناطق الأكثر غموضًا في ويندوز مثل الرجيستري.

تعلم يونيكس ولينكس UNIX / LINUX

تعتمد جميع أنظمة التشغيل الأفضل تقريبًا للقرصنة على نواة لينكس (Linux Kernel)، لذا فإن أنظمة التشغيل المفضلة للهكر هي لينكس دائمًا. 

يونيكس ولينكس هو نظام تشغيل مفتوح المصدر يوفر أمانًا أفضل لأنظمة الكمبيوتر. تم تطويره لأول مرة بواسطة AT&T في مختبرات بيل - Bell وساهم كثيرًا في عالم الأمان. 

اقرأ أيضا:  جميع أوامر Linux لاحتراف نظام لينكس و Terminal

يجب عليك تثبيت إصدارات مفتوحة المصدر متاحة مجانًا من LINUX على أجهزة سطح المكتب الخاصة بك لأنه بدون تعلم UNIX / LINUX ، لا يمكن أن تصبح هكر.

1. Kali Linux
2. Parrot Security OS
3. BackBox
4. BlackArch Linux
5. Fedora Security Spin
6. Caine

اقرأ كتبًا عن القرصنة

اقرأ أيضا: كورس تعلم مهارات الاختراق الاخلاقي Learn-Ethical-Hacking

تعلم التشفير - Cryptography

في سبيل تعلم الاختراق، تحتاج إلى إتقان فن التشفير . التشفير وفك التشفير مهارات مهمة في القرصنة. يتم التشفير على نطاق واسع في العديد من جوانب أمن نظام المعلومات و مجال الاختراق والمصادقة والسرية وسلامة البيانات. 

المعلومات الموجودة على الشبكة في شكل مشفر مثل كلمات المرور. أثناء اختراق النظام ، يجب كسر هذه الرموز المشفرة ، وهو ما يسمى فك التشفير.

بعض الكتب التي تستحق القراءة هي

• Linux Basics for Hackers
• The Hackers Playbook 2 & 3
• The Web Application Hacker’s Handbook: Finding and Exploiting Security Flaws
• Hacking: The Art of Exploitation, 2nd Edition
• Penetration Testing: A Hands-On Introduction to Hacking
• Metasploit: The Penetration Tester’s Guide
• CEH Certified Ethical Hacker All-in-One Exam Guide
• Google Hacking for Penetration Testers

اقرأ أيضا: افضل كتب الهكر الاخلاقي و اختبار الاختراق المتقدم

قم بإجراء دورات القرصنة الأخلاقية المجانية

من الجيد أن تأخذ بعض دورات القرصنة الأخلاقية المجانية على الرغم من أنها لن تمنحك أي مؤهل معترف به في هذا المجال.

لكني متأكد من أنهم سيعلمونك الكثير عن المجالات المختلفة للقرصنة الأخلاقية التي ستفسح المجال أمام المؤهلات المعترف بها.

يمكنك التسجيل للحصول على حساب Cybrary مجاني للقيام بـ دورة مجانية للقرصنة الأخلاقية في Cybrary

اقرأ أيضا: أفضل دورات القرصنة الأخلاقية

تعرف على أحدث أدوات الهاردوير 

يحتفظ المخترق الماهر دائمًا بمجموعة متنوعة من الأدوات حتى يتمكن من إكمال أي مهمة. ستجد هنا جميع أدوات الأجهزة التي ستحتاجها لإنجاز المهمة.

Hackerwarehouse

Hack5

Hacker Equipment

HackaDay

SPY Goodies

إجراء دورات معترف بها عبر الإنترنت

كل هذه الدورات مدفوعة الأجر ومعترف بها في المجال والتي ستساعدك في العثور على وظيفة في قطاع أمن تكنولوجيا المعلومات.

• CEH - (الهاكر الأخلاقي المعتمد)
• CHFI - (محقق قرصنة الكمبيوتر و التحقيق الجنائي الرقمي)
• OSCP - (محترف معتمد في الأمن الهجومي)
• OSCE - (خبير معتمد في الأمن الهجومي)
• OSWP - (الحماية الهجومية اللاسلكية الاحترافية)
• CISM - (مدير أمن المعلومات المعتمد)
• CISSP - (أخصائي أمن نظم المعلومات المعتمد)
• أمان CompTIA +

تواصل واتبع زملائك المتحمسين لأمن تكنولوجيا المعلومات من خلال الوسائط التالية

• Facebook (Cybersafe News, The Hacking News, & Other cyber securityPages )
• Instagram (Cybersafe News)
• Linkedin (Cybersafe News & cyber security Hub)

تابع قنوات أخبار القرصنة والأمن السيبراني

• أخبار الأمن السيبراني
• أخبار الهكر.
• التعلم الذاتي من خلال مشاهدة الدروس عبر الإنترنت.
• دورات في يوتيوب
• Security tube
• pentester academy
• Hacker academy
• Udemy

حضور مؤتمر القرصنة المحلي والدولي

مثل مجالات تكنولوجيا المعلومات الأخرى ، فإن القرصنة لها مؤتمرات ومؤتمرات مخصصة لها ، مثل DefCon ، وهي واحدة من أقدم وأكبر هذه المجالات. 

يمكن أن تكون مثل هذه التجمعات مكانًا رائعًا للالتقاء والتواصل مع الأقران وأصحاب العمل ، واكتشاف المزيد حول القرصنة. 

لدى DefCon أيضًا مجموعات محلية تابعة في مناطق محددة. تابعوا Instagram @ cybersafe.news للحصول على معلومات عن الحدث القادم.

قم بتنزيل بيئات التدريب لممارسة وصقل المهارات المكتسبة حديثًا

• Burb Suite
• Ettercap - Bettercap
• Wireshark
• DVWA (Dam Vulnerable Web Application)
• نظام Metasploitable للتدرب على الاختراق
• The Samurai Web Testing Framework
• Linux Security Distro Tools
• ULTIMATELAMP
• Emulab

ماذا يستفيد الهكر ؟

يمكن للقراصنة الحصول على راتب مرتفع مقابل العمل الذي يقومون به. بلغ متوسط ​​الأجر السنوي لمحللي Information Security ، بما في ذلك الهكرز الأخلاقيين ومختبري الاختراق ، 90،00 دولار في عام 2019. وحقق العشرة في المائة الأعلى من العاملين في هذا المجال أكثر من 130 ألف دولار

ما هي فرص العمل؟

يمكن قياس حجم الأموال التي يتم إنفاقها في جميع أنحاء العالم على أمن تكنولوجيا المعلومات بعشرات المليارات من الدولارات وقد زاد بشكل كبير خلال السنوات القليلة الماضية. 

يشير مكتب إحصاءات العمل الأمريكي (BLS) إلى أن محللي Information Security ، بما في ذلك المتسللين الأخلاقيين ، يمكنهم توقع زيادة الوظائف بنسبة 28٪ من عام 2016 إلى عام 2026. وهذا يمثل أربعة أضعاف متوسط ​​معدل نمو الوظائف على المستوى الوطني لنفس الفترة الزمنية ، وهو 7٪

ما هي الآفاق الوظيفية طويلة المدى للقراصنة؟

من خلال الخبرة ، يمكن للقراصنة الأخلاقيين التقدم إلى مناصب عليا في شركاتهم ، أو الحصول على وظائف أكثر ربحية مع شركات أخرى ، أو بدء خدمات استشارية خاصة بهم.

كيف يمكنني العثور على وظيفة كمخترق؟

يمكن للقراصنة العثور على عمل مع أنواع مختلفة من المنظمات ، بما في ذلك الحكومة. يتطلب العمل لدى الحكومة مع مجموعات مثل وزارتي الدفاع أو الأمن الداخلي الحصول على تصريح أمني ، والذي يتضمن اجتياز فحص شامل للخلفية.

يمكن أن يساعدك إجراء اتصالات داخل مجتمع المتسللين في العثور على فرص عمل. يتم تجنيد المتسللين بشكل كبير من قبل جميع أنواع المنظمات التي تتطلع إلى تأمين أنظمة تكنولوجيا المعلومات الخاصة بها ، ويمكن أن تجعلك المشاركة في أحداث مثل مؤتمرات واتفاقيات القرصنة على اتصال بالزملاء وموظفي التوظيف.

ابق قانونيًا!

من المهم ألا تنخرط أبدًا مع قراصنة "القبعات السوداء" - أي التطفل على شبكة شخص أو مهاجمتها دون إذنه الكامل. الانخراط في أنشطة غير قانونية ، حتى لو لم يؤد ذلك إلى إدانة ، من المحتمل أن يقتل مهنتك في القرصنة الأخلاقية. 

العديد من الوظائف المتاحة مع المنظمات ذات الصلة بالحكومة تتطلب تصاريح أمنية واختبار جهاز كشف الكذب.

اقرأ أيضا: كيفية اختراق الحسابات بالتخمين - هجوم القوة الغاشمة