موضوع يشغل الكثيرين في عالم أمن المعلومات، وهو كيف أبدأ مجال أمن المعلومات. وما هي المهارات اللازمة للمضي قدما في هذا المجال.
لذلك أود الاستعانة بالمخطط الموضح من طرف شركة رائدة في أمن المعلومات وهي
شركة SANS. ولكم توضيح لهذا المخطط بشيء من التفصيل.
من هي شركة SANS ؟
هي أكبر وأشهر وأقدم شركة تقدم تدريب في أمن المعلومات على مستوى العالم، وهي أكثر مكان في العالم موثوق لتأخذ به او منه التدريب في مجال أمن المعلومات. لذلك لو أردنا التوضيح Cyber Security Roadmap فلن أجد أفضل من شركة SANS نأخذ الـ Roadmap الخاص بها ونعتبره دليل الطريق الذي سوف نسير عليه.
شركة SANS ببساطة قسمت الـ Cyber Security الى مجموعة من المجالات الكبيرة كما هو موضح بالصورة، في هذا المقال سوف أحاول توضيح الـ Roadmap الخاص بهم على قد ما أستطيع.
شركة SANS لديها توجهين، أحدهما تقني والأخر له علاقة بإدارة أمن المعلومات، وهذا المقال سوف يتخذ الطريق التقني لتوضيحه وشرحه.
المرحلة الاولى (Core Techniques) بهذا الطريق تهتم بمفاهيم عامة في الامن السيبراني منها على سبيل الذكر لا الحصر، المصطلحات الرئيسية مثل defensive و offensive، بمعنى ابسط استطيع القول سوف تحصل على دليلك الخاص لكيفية حماية نفسك وحماية الشبكة الخاصة بك او بمؤسستك، كما ستوضح هذه المرحلة طرق التفكير عند الهاكرز الذين يقومون باختراق الأنظمة والشبكات، ومن ثم ستوضح اليات الحماية من هجمات المخترقين وكيفية الصد والوقاية من الاختراقات، وبعدها ما هي الإجراءات اللازمة التي سوف تقوم بها اذا تعرضت للاختراق، كل هذه المعلومات سوف تبني لديك المعرفة الأساسية والكافية للانتقال الى المرحلة الثانية في الطريق التقني من طريق الـ SANS. سوف نجد بهذه المرحلة برنامجين للتدريب وهما: SEC401 وSEC504.
بعد الانتهاء من المرحلة الأولى، تبدأ المرحلة الثانية لتجد نفسك عند مفرق بين ثلاث طرق، لك الاختيار بحرية أياً منها سوف تسلك، هذه الطرق هي كالاتي:
1- Monitoring & Detection
2- Penetration Testing
3- Digital Forensics & Incident Response
الان سوف أحاول في بقية المقال توضيح كلا من هذه الطرق بشيء من التفصيل البسيط لإدراك الامر، والمساعدة في اختيار الطريق المناسب لك.
Monitoring & Detection
هذا الطريق سوف يساعدك في التقدم لوظيفة اسمها (Security Operations Center SOC -) وهذه الوظيفة مهمتها الرئيسية مراقبة الشبكة وما يحصل بها في كل لحظة، والعمل على تصنيف الأمور التي تمر من خلال الشبكة هل هي طبيعية ام غير طبيعة أي بمعنى مشبوهة، لذلك ان حصل الشك بالأمر وحصل امر غير طبيعي يجب عليك التحليل بعمق في الامر لفهمه والتحقق من انه امر غير ضار او يمكن ان يسبب أي ضرر بالشبكة الخاصة بالمؤسسة. هذا الطرق سوف يكسبك مهارة عالية في فهم الشبكة والبيانات التي تمر من خلالها وتحليها، وسوف تصبح خبير في مجال اسمه Packet Analysis. هذه المرحلة سوف تشمل برنامجين تدريب هما: SEC503 وSEC511.
Penetration Testing
المسار الأحمر الموجود بالصورة غني عن التعريف، وهو مجال الاختراق، لكن هنا سوف يكون بغاية اختبار الاختراق الأخلاقي وليس التعلم لغايات سيئة. طبعا هنا سوف تتعلم في هذا المسار اليات اكتشاف الثغرات في الأنظمة المختلفة، والشبكات وأيضا اكتشاف الثغرات في المواقع وصفحات الويب، وذلك بغرض التبليغ عن هذه الثغرات ونقاط الضعف الموجودة في هذه البيئات المختلفة، لأصحاب المؤسسات، لكي يقوموا بعمل الاجراء اللازم كما يرونه مناسب لهم في أسرع وقت. في هذه المرحلة سوف تشمل على برنامجين تدريب هما: SEC560 وSEC542.
Digital Forensics & Incident Response
وهي المسار الرمادي الموجود بالصورة، وهو سوف يتناول عن التحقيق في عمليات الاختراق، وهنا يبدأ دورك بعد تعرض المؤسسة للاختراق، ببساطة دورك سوف يكون العمل على تحليل النظام الموجود امامك، وبعدها تبدأ بالتعرف على ما حصل عليه من عمليات أدت الى اختراقه، حتى تصل للعملية الغير مألوفة او غير طبيعية، فاذا لم تحصل عللا أي شيء من فحص الأنظمة، تنتقل الى مرحلة التحقق ما حصل على الشبكة وما هي البيانات التي مرت عبر الشبكة من اين والى اين...؟ فاذا توصلت الى أي امر غير طبيعي هنا تتوقف وتلاحظ هل هذه البيانات المارة عملت أي تغير في النظام، إذا يوجد هنا برنامج خبيث يجب العمل على تحليله لمعرقة الضرر الذي قام به على النظام. في هذه المرحلة سوف تشمل على برنامجين تدريب هما: FOR500 وFOR508 وFOR572.
بعد الانتهاء من المرحلة الثانية، تبدأ المرحلة الثالثة، وعي عبارة عن أكثر تعمق من المرحلة التي سبقته، وسوف تعمل على تغطية المهارات التالية:
1. Cyber Defense Operations
2. Advanced Penetration Testing & Exploit Development
3. Threat Intelligence and Forensics
Cyber Defense Operations
هي المرحلة التي تلي مرحلة Monitoring & Detection، وهي أكثر توسع من السابقة، لان الغرض منها هو تأمين كل البيئات المذكورة مثل الأنظمة والشبكات والمواقع وصفحات الويب. كما سوف تكون على دراية على المفاهيم التالية من خلال دراستها في برامج المرحلة وهذه المفاهيم هي: cloud and virtualization. في هذه المرحلة سوف تشمل على العديد من البرامج منها على سبيل الذكر لا الحصر: SEC501 وSEC505 وSEC506 وغيرهم.
Advanced Penetration Testing & Exploit Development
وهي المرحلة المتقدمة جدا في اختبار الاختراق والأكثر عمقا، وسوف تدرس بها اكتشاف الثغرات بشكل يدوي وبدون الاعتماد على برمجيات جاهزة، وسوف تجد العديد من المفاهيم والأمور مثل: Mobile Penetration Testing، Wireless Penetration Testing، Python For Pen Testers. في هذه المرحلة سوف تشمل على العديد من البرامج منها على سبيل الذكر لا الحصر: SEC660 وSEC642 وSEC573 وغيرهم.
Threat Intelligence and Forensics
أما بالنسبة لـ Digital Forensics، انت الان في مرحلة أكبر وأعمق وهي الـ Malware Analysis والـ Threat Intelligence وهذا سوف ينقلنا للدخول في مجالات اخرى مثل الـ Memory Analysis والـ Smart Phone Forensics.
المرحلة تحتوي على برامج مثل FOR 610 وFOR578.
الان المجال الرابع الاخير وهو الـ Development & Secure Coding، وهنا ستجده باللون البرتقالي على اليمين في الصورة، وهو مسار موجه بشكل محدد وكبير للمطورين الـ Developers، يعلمهم كيف يكتبون أكواد تكون أكثر امان وكيف يتجنبون كل المشاكل الـ تؤدي الي Security Risk بعد ذلك. وهنا ستجد فيه برامج مثل DEV522 وDEV540.
كما ستجد ايضا على اليمين في اخر الصورة باللون الازرق المجال Industrial Control Systems، وهو مجال موجه اكتر ناحية الـ Hardware.
اخر نقطة قبل البدء والمشي على الـ Roadmap هذه، يجب أن يكون لديك معرفة وخبرة بالـ Technology بصفة عامة، يعنى يجب ان يكون عندك اساسيات في الشبكات وفى اللينكس وفى الويندوز، وتكون عارف لغة برمجة واحدة على الاقل مثل بايثون مثلا، لان هذه الـ Roadmap معتمدة على أنك شخص لديه معرفة بهذه الأساسيات.