#اپلیکیشن «Privacy Shade» به شما این امکان را میدهد که ایمیلها، پیامها و محتوای خصوصی گوش خود را بخوانید بدون اینکه نگران باشید دیگران روی گوشیتان جاسوسی میکنند، حتی اگر روی شانه شما خم شدهباشند. این اپلیکیشن میتواند این امکان را فراهم کند که اطلاعات شخصی خود را در مکانهای عمومی مشاهده کنید و برای این کار کافی است بخشهای غیرفعال صفحه را پنهان کنید.
👁 @intsec
👁 @intsec
Forwarded from SecOps
Security Analyst
وظیفه ی یک تحلیلگر امنیتی، تشخیص و جلوگیری از تهدیدات سایبری پیش روی سازمان هست. شما باید روزانه به دنبال نقاط ضعف زیرساختهای سازمان (نرم افزار، سخت افزار و شبکه) و پیدا کردن راه های خلاقانه برای محافظت از آنها باشید. بعضی از شرح وظایف عبارتند از:
برنامه ریزی، پیاده سازی و ارتقاء کنترل های امنیتی
برقراری طرح ها و پروتکل های برای حفاظت از فایل های دیجیتال و سیستم های اطلاعاتی در مقابل دسترسی های غیر مجاز، تغییر و / یا تخریب
حفظ اطلاعات و نظارت بر دسترسی امنیتی
انجام تست آسیب پذیری، تجزیه و ارزیابی ریسک و ارزیابی های امنیتی
انجام ممیزی امنیتی داخلی و خارجی
پیش بینی هشدارهای امنیتی، حوادث و بلایای طبیعی و کاهش احتمال آنها
مدیریت شبکه و سیستم های تشخیص و پیشگیری از نفوذ
تجزیه و تحلیل رخنه های امنیتی صورت گرفته برای تعیین ریشه این اتفاق(Root Couse Analysis)
پیشنهاد و نصب ابزار های مناسب و مکانیزم های مقابله با تهدیدات
تعریف، اجرا و نگهداری سیاست های امنیتی شرکت
آموزش کارکنان همکار در آگاهی و پروسیجر های امنیتی
هماهنگی برنامه های امنیتی با Vendor های خارجی
در اینجا ممکنه تمایز قائل شدن بین دو نقش Security Administrator و Security Analyst کمی گیج کننده به نظر برسه:
تحلیلگران امنیتی مسئول تجزیه و تحلیل داده ها و پیشنهاد انجام تغییرات به مقامات بالاتر است. اما آنها معمولا مسئول اجازه دادن برای انجام تغییرات و اجرای تغییرات نیستند. .وظیفه ی اصلی آنها دور نگه داشتن مهاجمان است.
مدیران امنیتی اطمینان حاصل می کنند که سیستم ها به همان شکلی که طراحی شده اند کار می کنند. بر خلاف تحلیل گران، وظیفه ی Security Administratot ها ایجاد تغییرات، اعمال پچ و ایجاد کاربران ادمین جدید است. کار اصلی آنها این است که سیستم های همیشه Up باشند.
بعد از کسب تجربه در این سمت شما می توانید برای سمت های سطح بالاتر زیر اقدام نمایید:
Security Architect
Security Engineer
Security Manager
Security Consultant
و در نهایت:
Security Director
CISO
این نقش سازمانی می تونه با عناوین زیر هم وجود داشته باشه:
Data Security Analyst
Information System Security Analyst
IT Security Analyst
برای این نقش می توان انتظا سالانه متوسط 65 هزار دلار را داشت.در حالت کلی می توان انتظار داشت بین 44 هزار دلار تا 95 هزار دلار را سالانه دریافت کرد.معمولا برای کار در این نقش سازمانی بین 1 تا 5 سال تجربه نیاز است.بسیاری از افرادی که بالای 5 سال سابقه دارند و نمی خوان استرس کار به عنوان یک Incident Responder را داشته باشند به عنوان یک آنالیست امنیتی به فعالیت خود ادامه می دن.
مهارت های فنی:
سیستم های تشخیص و پیشگیری از نفوذ، تست آسیب پذیری و تست نفوذ
آنتی ویروس، آنتی بدافزار و DLP
شبکه و روتینگ و سوئیچینگ
پروتکل های فایروال و تشخیص و پیشگیری از نفوذ
سیستم های عامل ویندوز، لینوکس و یونیکس
پروتکل های شبکه و ابزار های تحلیل پکت های شبکه
زبان های برنامه نویسی PHP، C، C++، C# و جاوا
محاسبات ابری(Cloud Computing)
مدل های SaaS
دانش SIEM
مدارک های مورد نیاز:
CEH: Certified Ethical Hacker
ECSA: EC-Council Certified Security Analyst
GSEC / GCIH / GCIA: GIAC Security Certifications
CISSP: Certified Information Systems Security Professional
#Job_Position
وظیفه ی یک تحلیلگر امنیتی، تشخیص و جلوگیری از تهدیدات سایبری پیش روی سازمان هست. شما باید روزانه به دنبال نقاط ضعف زیرساختهای سازمان (نرم افزار، سخت افزار و شبکه) و پیدا کردن راه های خلاقانه برای محافظت از آنها باشید. بعضی از شرح وظایف عبارتند از:
برنامه ریزی، پیاده سازی و ارتقاء کنترل های امنیتی
برقراری طرح ها و پروتکل های برای حفاظت از فایل های دیجیتال و سیستم های اطلاعاتی در مقابل دسترسی های غیر مجاز، تغییر و / یا تخریب
حفظ اطلاعات و نظارت بر دسترسی امنیتی
انجام تست آسیب پذیری، تجزیه و ارزیابی ریسک و ارزیابی های امنیتی
انجام ممیزی امنیتی داخلی و خارجی
پیش بینی هشدارهای امنیتی، حوادث و بلایای طبیعی و کاهش احتمال آنها
مدیریت شبکه و سیستم های تشخیص و پیشگیری از نفوذ
تجزیه و تحلیل رخنه های امنیتی صورت گرفته برای تعیین ریشه این اتفاق(Root Couse Analysis)
پیشنهاد و نصب ابزار های مناسب و مکانیزم های مقابله با تهدیدات
تعریف، اجرا و نگهداری سیاست های امنیتی شرکت
آموزش کارکنان همکار در آگاهی و پروسیجر های امنیتی
هماهنگی برنامه های امنیتی با Vendor های خارجی
در اینجا ممکنه تمایز قائل شدن بین دو نقش Security Administrator و Security Analyst کمی گیج کننده به نظر برسه:
تحلیلگران امنیتی مسئول تجزیه و تحلیل داده ها و پیشنهاد انجام تغییرات به مقامات بالاتر است. اما آنها معمولا مسئول اجازه دادن برای انجام تغییرات و اجرای تغییرات نیستند. .وظیفه ی اصلی آنها دور نگه داشتن مهاجمان است.
مدیران امنیتی اطمینان حاصل می کنند که سیستم ها به همان شکلی که طراحی شده اند کار می کنند. بر خلاف تحلیل گران، وظیفه ی Security Administratot ها ایجاد تغییرات، اعمال پچ و ایجاد کاربران ادمین جدید است. کار اصلی آنها این است که سیستم های همیشه Up باشند.
بعد از کسب تجربه در این سمت شما می توانید برای سمت های سطح بالاتر زیر اقدام نمایید:
Security Architect
Security Engineer
Security Manager
Security Consultant
و در نهایت:
Security Director
CISO
این نقش سازمانی می تونه با عناوین زیر هم وجود داشته باشه:
Data Security Analyst
Information System Security Analyst
IT Security Analyst
برای این نقش می توان انتظا سالانه متوسط 65 هزار دلار را داشت.در حالت کلی می توان انتظار داشت بین 44 هزار دلار تا 95 هزار دلار را سالانه دریافت کرد.معمولا برای کار در این نقش سازمانی بین 1 تا 5 سال تجربه نیاز است.بسیاری از افرادی که بالای 5 سال سابقه دارند و نمی خوان استرس کار به عنوان یک Incident Responder را داشته باشند به عنوان یک آنالیست امنیتی به فعالیت خود ادامه می دن.
مهارت های فنی:
سیستم های تشخیص و پیشگیری از نفوذ، تست آسیب پذیری و تست نفوذ
آنتی ویروس، آنتی بدافزار و DLP
شبکه و روتینگ و سوئیچینگ
پروتکل های فایروال و تشخیص و پیشگیری از نفوذ
سیستم های عامل ویندوز، لینوکس و یونیکس
پروتکل های شبکه و ابزار های تحلیل پکت های شبکه
زبان های برنامه نویسی PHP، C، C++، C# و جاوا
محاسبات ابری(Cloud Computing)
مدل های SaaS
دانش SIEM
مدارک های مورد نیاز:
CEH: Certified Ethical Hacker
ECSA: EC-Council Certified Security Analyst
GSEC / GCIH / GCIA: GIAC Security Certifications
CISSP: Certified Information Systems Security Professional
#Job_Position
Forwarded from SecOps
Forensics Experts
کارشناس جرم شناسی رایانه ای یک کارآگاه دیجیتال، کشف وآنالیز شواهد از کامپیوتر، شبکه و دیگر اشکال دستگاه های ذخیره سازی داده ها است.در نقش خود به عنوان شرلوک هلمز، وظیفه ی شما بررسی آثار جرایم اینترنتی پیچیده است. زندگی یک کارشناس فارنسیک با شواهد دیجیتال(Digital Evidence) سپری می شود. برخی وظایف عبارتند از:
انجام تحقیقات درباره ی رویداد های امنیتی(Security Incidents)
بازیابی و بررسی داده از کامپیوتر و دستگاه های ذخیره سازی الکترونیکی
بازیابی اطلاعات از دست رفته از سیستم های معیوب
شناسایی سیستم های/ شبکه های دیگر متاثر شده از حملات سایبری
گردآوری شواهد برای موارد قانونی
آماده سازی گزارش های فنی و شواهد برای دادرسی قانونی
واگذاری وکالت پرونده به یک وکیل متخصص درباره ی شواهد دیجیتال
آگاهی رسانی در مورد اعتبار شواهد جمع آوری شده به مراجع قانونی
فراهم سازی مدارک تخصصی در دادگاه
آموزش مأموران اجرای قانون در زمینه ی پروسیجر های شواهد کامپیوتری
به روز بودن در زمینه ی فن آوری های در حال ظهور، نرم افزارها و پروسیجر ها
ماهر ماندن در فارنسیک، پاسخ به حوادث و مهندسی معکوس(Reverse Engineering)
در حال حاضرکارشناسان فارنسیک برای شرکت های بزرگ، آژانس های مجری قانون، شرکت های قانونی و شرکت های مشاوره خصوصی کار می کنند. شرکت های بین المللی دپارتمان مخصوص به خود را برای فارنسیک دارند. دولت (محلی، ایالتی و فدرال) یک کارفرمای عمده است. به عنوان مثال، تیم تحلیل و واکنش کامپیوتری اف بی آی (CART) شامل 500 عامل در سراسر آمریکا است.
Junior Forensics Analyst
Senior Forensics Analyst
Senior Forensics Manager
کار های مشابه:
Information Security Crime Investigator
Computer Forensics Engineer
Digital/Computer Crime Specialist
Computer Forensics Investigator
Computer Forensics Specialist
Computer Forensics Analyst
Computer Forensics Examiner
Computer Forensics Technician
حقوق سالیانه ی کارشناسان فارنسیک یه طور متوسط و سالیانه حدود 77 هزار دلار است.شما می توانید انتظار داشته باشید بین 56 هزار تا 119 هزار دلار در سال حقوق و مزایا دریافت کنید. از آنجا که این نقش فنی است، انتظار می رود که دارای مدرک کارشناسی در علوم کامپیوتر یا مهندسی با تمرکز بر امنیت سایبری، فارنسیک دیجیتال و یا رشته های مرتبط باشید. دانستن در مورد سیستم های کامپیوتری کافی نیست ؛ شما باید تکنیک های جرایم اینترنتی را به خوبی درک کنید.برای افزایش چشم انداز شغلی خود، شما می توانید انتخاب کنید به دنبال مدرک کارشناسی ارشد در فارنسیک باشید (مقدار زیادی از دانشگاه آنها را ارائه دهد). آموزش و گواهی نامه های تخصصی حرفه ای نیز می تواند به شما بسیار کمک کند.
تجربیات و نیازمندی های این کار می تواند متفاوت باشد. انتظار می رود تحلیلگران تازه کار نیاز به 1 تا 2 سال سابقه در فارنسیک باشند، هر چند که نرمال 2 تا 3 سال است. کارشناسان ارشد(Senior Forensic Analyst) می بایست بالای 5 سال سابقه داشته باشند.
مهارت های فنی:
Network skills, including TCP/IP-based network communications (much of modern forensics involves reading network traces)
Windows, UNIX and Linux operating systems
C, C++, C#, Java and similar programming languages
Computer hardware and software systems
Operating system installation, patching and configuration
Backup and archiving technologies
Cryptography principles
eDiscovery tools (NUIX, Relativity, Clearwell, etc.)
Forensic software applications (e.g. EnCase, FTK, Helix, Cellebrite, XRY, etc.)
Data processing skills in electronic disclosure environments
Evidence handling procedures and ACPO guidelines
Cloud computing
مدارک فنی مورد نیاز:
CCE: Certified Computer Examiner
CEH: Certified Ethical Hacker
EnCE: EnCase Certified Examiner
GCFE: GIAC Certified Forensic Examiner
GCFA: GIAC Certified Forensic Analyst
GCIH: GIAC Certified Incident Handler
CCFE: Certified Computer Forensics Examiner
CPT: Certified Penetration Tester
CREA: Certified Reverse Engineering Analyst
#Job_Position
کارشناس جرم شناسی رایانه ای یک کارآگاه دیجیتال، کشف وآنالیز شواهد از کامپیوتر، شبکه و دیگر اشکال دستگاه های ذخیره سازی داده ها است.در نقش خود به عنوان شرلوک هلمز، وظیفه ی شما بررسی آثار جرایم اینترنتی پیچیده است. زندگی یک کارشناس فارنسیک با شواهد دیجیتال(Digital Evidence) سپری می شود. برخی وظایف عبارتند از:
انجام تحقیقات درباره ی رویداد های امنیتی(Security Incidents)
بازیابی و بررسی داده از کامپیوتر و دستگاه های ذخیره سازی الکترونیکی
بازیابی اطلاعات از دست رفته از سیستم های معیوب
شناسایی سیستم های/ شبکه های دیگر متاثر شده از حملات سایبری
گردآوری شواهد برای موارد قانونی
آماده سازی گزارش های فنی و شواهد برای دادرسی قانونی
واگذاری وکالت پرونده به یک وکیل متخصص درباره ی شواهد دیجیتال
آگاهی رسانی در مورد اعتبار شواهد جمع آوری شده به مراجع قانونی
فراهم سازی مدارک تخصصی در دادگاه
آموزش مأموران اجرای قانون در زمینه ی پروسیجر های شواهد کامپیوتری
به روز بودن در زمینه ی فن آوری های در حال ظهور، نرم افزارها و پروسیجر ها
ماهر ماندن در فارنسیک، پاسخ به حوادث و مهندسی معکوس(Reverse Engineering)
در حال حاضرکارشناسان فارنسیک برای شرکت های بزرگ، آژانس های مجری قانون، شرکت های قانونی و شرکت های مشاوره خصوصی کار می کنند. شرکت های بین المللی دپارتمان مخصوص به خود را برای فارنسیک دارند. دولت (محلی، ایالتی و فدرال) یک کارفرمای عمده است. به عنوان مثال، تیم تحلیل و واکنش کامپیوتری اف بی آی (CART) شامل 500 عامل در سراسر آمریکا است.
Junior Forensics Analyst
Senior Forensics Analyst
Senior Forensics Manager
کار های مشابه:
Information Security Crime Investigator
Computer Forensics Engineer
Digital/Computer Crime Specialist
Computer Forensics Investigator
Computer Forensics Specialist
Computer Forensics Analyst
Computer Forensics Examiner
Computer Forensics Technician
حقوق سالیانه ی کارشناسان فارنسیک یه طور متوسط و سالیانه حدود 77 هزار دلار است.شما می توانید انتظار داشته باشید بین 56 هزار تا 119 هزار دلار در سال حقوق و مزایا دریافت کنید. از آنجا که این نقش فنی است، انتظار می رود که دارای مدرک کارشناسی در علوم کامپیوتر یا مهندسی با تمرکز بر امنیت سایبری، فارنسیک دیجیتال و یا رشته های مرتبط باشید. دانستن در مورد سیستم های کامپیوتری کافی نیست ؛ شما باید تکنیک های جرایم اینترنتی را به خوبی درک کنید.برای افزایش چشم انداز شغلی خود، شما می توانید انتخاب کنید به دنبال مدرک کارشناسی ارشد در فارنسیک باشید (مقدار زیادی از دانشگاه آنها را ارائه دهد). آموزش و گواهی نامه های تخصصی حرفه ای نیز می تواند به شما بسیار کمک کند.
تجربیات و نیازمندی های این کار می تواند متفاوت باشد. انتظار می رود تحلیلگران تازه کار نیاز به 1 تا 2 سال سابقه در فارنسیک باشند، هر چند که نرمال 2 تا 3 سال است. کارشناسان ارشد(Senior Forensic Analyst) می بایست بالای 5 سال سابقه داشته باشند.
مهارت های فنی:
Network skills, including TCP/IP-based network communications (much of modern forensics involves reading network traces)
Windows, UNIX and Linux operating systems
C, C++, C#, Java and similar programming languages
Computer hardware and software systems
Operating system installation, patching and configuration
Backup and archiving technologies
Cryptography principles
eDiscovery tools (NUIX, Relativity, Clearwell, etc.)
Forensic software applications (e.g. EnCase, FTK, Helix, Cellebrite, XRY, etc.)
Data processing skills in electronic disclosure environments
Evidence handling procedures and ACPO guidelines
Cloud computing
مدارک فنی مورد نیاز:
CCE: Certified Computer Examiner
CEH: Certified Ethical Hacker
EnCE: EnCase Certified Examiner
GCFE: GIAC Certified Forensic Examiner
GCFA: GIAC Certified Forensic Analyst
GCIH: GIAC Certified Incident Handler
CCFE: Certified Computer Forensics Examiner
CPT: Certified Penetration Tester
CREA: Certified Reverse Engineering Analyst
#Job_Position
Forwarded from SecOps
Penetration Tester
یک Pentester (هکر اخلاقی یا Ethical Hacker) آسیب پذیری های موجود در سیستم ها، شبکه ها و برنامه های کاربردی را کشف و اکسپلویت می کند.به عبارت دیگر، به شما پول پرداخت می شود تا به صورت قانونی هک کنید. شما باید از مجموعه ای از ابزار ها استفاده کنید، تعدادی از ابزار های که وجود دارند و تعدادی ابزار که خودتان طراحی کرده اید تا حملات واقعی را شبیه سازی کنید. هدف نهایی شما آن است که امنیت یک سازمان را ارتقا دهید. بر خلاف هکرهای واقعی، شما مدت محدودی زمان دارید تا به سیستم نفوذ کنید. از شما انتظار می رود که یافته های خود را مستند کنید. تست نفوذ یکی از خسته کننده ترین شغل ها در فیلد های امنیت سایبری است.
برخی از وظایف عبارتند از:
انجام تست های نفوذ رسمی در برنامه های کاربردی مبتنی بر وب، شبکه و سیستم های کامپیوتری
انجام ارزیابی امنیت فیزیکی سرورها، سیستم ها و دستگاه های شبکه
طراحی و ایجاد ابزار و تست های جدید برای انجام تست نفوذ
بررسی آسیب پذیری در برنامه های وب، برنامه های کاربردی fat/thin و برنامه های کاربردی استاندارد
روش های دقیق که مهاجمان با استفاده از آن آسیب پذیری ها بهره برداری می کنند
استفاده از تکنیک های مهندسی اجتماعی برای کشف حفره های امنیتی
به کارگیری ملاحظات کسب و کار (برای مثال از دست دادن درآمد به دلیل DownTime، هزینه مشارکت، و غیره) در استراتژی های امنیتی
پژوهش، مستند سازی و توضیح در مورد یافته های امنیتی با مدیریت و تیم فناوری اطلاعات
بررسی و تعریف الزامات برای راه حل های امنیت اطلاعات
کار بر روی بهبود سرویس های امنیتی
تفاوت Penetration Test و Vulnerability Assessment
تست نفوذ برای رسیدن به یک هدف خاص و شبیه سازی شده ی یک مهاجم طراحی شده است و باید توسط مشتریان که در حال حاضر در وضعیت امنیتی مورد نظر خود هستند، درخواست شود. هدف می تواند دسترسی به محتویات پایگاه داده مشتری بر روی شبکه داخلی و یا تغییر یک رکورد در یک سیستم HR باشد.
ارزیابی آسیب پذیری جهت رسیدن به یک لیست اولویت بندی شده از آسیب پذیری ها طراحی شده است و به طور کلی برای مشتریانی است که می دانند در حال حاضر از نظر امنیتی در جایگاهی که باید نیستند. مشتری در حال حاضر می داند که آنها از نظر امنیتی با مشکلاتی روبرو هستند و برای رفع این مشکلات نیاز به کمک دارند.
کارهای مشابه:
Ethical Hacker
Assurance Validator
حقوق متوسط سالیانه 72 هزار دلار و در کل بین 44 هزار تا 117 هزار دلار هست.اغلب Pen Tester ها تحصیلات آکادمیک ندارند چرا که این کار بیشتر بر پایه ی مهارت های فنی می باشد. اغلب کارفرمایان به دنبال افرادی با 2 الی 4 سال تجربه می گردند، البته برای کار در موقعیت های سطح بالای تست نفوذ(Senior) بین 7 الی 10 سال تجربه نیاز است.
مهارت های فنی:
Windows, UNIX and Linux operating systems
C, C++, C#, Java, ASM, PHP, PERL
Network servers and networking tools (e.g. Nessus, nmap, Burp, etc.)
Computer hardware and software systems
Web-based applications
Security frameworks (e.g. ISO 27001/27002, NIST, HIPPA, SOX, etc.)
Security tools and products (Fortify, AppScan, etc.)
Vulnerability analysis and reverse engineering
Metasploit framework
Forensics tools
Cryptography principles
مدارک فنی:
CEH: Certified Ethical Hacker
CPT: Certified Penetration Tester
CEPT: Certified Expert Penetration Tester
GPEN: GIAC Certified Penetration Tester
OSCP: Offensive Security Certified Professional
CISSP: Certified Information Systems Security Professional
GCIH: GIAC Certified Incident Handler
GCFE: GIAC Certified Forensic Examiner
GCFA: GIAC Certified Forensic Analyst
CCFE: Certified Computer Forensics Examiner
CREA: Certified Reverse Engineering Analyst
#Job_Position
یک Pentester (هکر اخلاقی یا Ethical Hacker) آسیب پذیری های موجود در سیستم ها، شبکه ها و برنامه های کاربردی را کشف و اکسپلویت می کند.به عبارت دیگر، به شما پول پرداخت می شود تا به صورت قانونی هک کنید. شما باید از مجموعه ای از ابزار ها استفاده کنید، تعدادی از ابزار های که وجود دارند و تعدادی ابزار که خودتان طراحی کرده اید تا حملات واقعی را شبیه سازی کنید. هدف نهایی شما آن است که امنیت یک سازمان را ارتقا دهید. بر خلاف هکرهای واقعی، شما مدت محدودی زمان دارید تا به سیستم نفوذ کنید. از شما انتظار می رود که یافته های خود را مستند کنید. تست نفوذ یکی از خسته کننده ترین شغل ها در فیلد های امنیت سایبری است.
برخی از وظایف عبارتند از:
انجام تست های نفوذ رسمی در برنامه های کاربردی مبتنی بر وب، شبکه و سیستم های کامپیوتری
انجام ارزیابی امنیت فیزیکی سرورها، سیستم ها و دستگاه های شبکه
طراحی و ایجاد ابزار و تست های جدید برای انجام تست نفوذ
بررسی آسیب پذیری در برنامه های وب، برنامه های کاربردی fat/thin و برنامه های کاربردی استاندارد
روش های دقیق که مهاجمان با استفاده از آن آسیب پذیری ها بهره برداری می کنند
استفاده از تکنیک های مهندسی اجتماعی برای کشف حفره های امنیتی
به کارگیری ملاحظات کسب و کار (برای مثال از دست دادن درآمد به دلیل DownTime، هزینه مشارکت، و غیره) در استراتژی های امنیتی
پژوهش، مستند سازی و توضیح در مورد یافته های امنیتی با مدیریت و تیم فناوری اطلاعات
بررسی و تعریف الزامات برای راه حل های امنیت اطلاعات
کار بر روی بهبود سرویس های امنیتی
تفاوت Penetration Test و Vulnerability Assessment
تست نفوذ برای رسیدن به یک هدف خاص و شبیه سازی شده ی یک مهاجم طراحی شده است و باید توسط مشتریان که در حال حاضر در وضعیت امنیتی مورد نظر خود هستند، درخواست شود. هدف می تواند دسترسی به محتویات پایگاه داده مشتری بر روی شبکه داخلی و یا تغییر یک رکورد در یک سیستم HR باشد.
ارزیابی آسیب پذیری جهت رسیدن به یک لیست اولویت بندی شده از آسیب پذیری ها طراحی شده است و به طور کلی برای مشتریانی است که می دانند در حال حاضر از نظر امنیتی در جایگاهی که باید نیستند. مشتری در حال حاضر می داند که آنها از نظر امنیتی با مشکلاتی روبرو هستند و برای رفع این مشکلات نیاز به کمک دارند.
کارهای مشابه:
Ethical Hacker
Assurance Validator
حقوق متوسط سالیانه 72 هزار دلار و در کل بین 44 هزار تا 117 هزار دلار هست.اغلب Pen Tester ها تحصیلات آکادمیک ندارند چرا که این کار بیشتر بر پایه ی مهارت های فنی می باشد. اغلب کارفرمایان به دنبال افرادی با 2 الی 4 سال تجربه می گردند، البته برای کار در موقعیت های سطح بالای تست نفوذ(Senior) بین 7 الی 10 سال تجربه نیاز است.
مهارت های فنی:
Windows, UNIX and Linux operating systems
C, C++, C#, Java, ASM, PHP, PERL
Network servers and networking tools (e.g. Nessus, nmap, Burp, etc.)
Computer hardware and software systems
Web-based applications
Security frameworks (e.g. ISO 27001/27002, NIST, HIPPA, SOX, etc.)
Security tools and products (Fortify, AppScan, etc.)
Vulnerability analysis and reverse engineering
Metasploit framework
Forensics tools
Cryptography principles
مدارک فنی:
CEH: Certified Ethical Hacker
CPT: Certified Penetration Tester
CEPT: Certified Expert Penetration Tester
GPEN: GIAC Certified Penetration Tester
OSCP: Offensive Security Certified Professional
CISSP: Certified Information Systems Security Professional
GCIH: GIAC Certified Incident Handler
GCFE: GIAC Certified Forensic Examiner
GCFA: GIAC Certified Forensic Analyst
CCFE: Certified Computer Forensics Examiner
CREA: Certified Reverse Engineering Analyst
#Job_Position
Forwarded from SecOps
Security Manager
از یک مدیر امنیت که جزء مدیران سطح میانی سازمان محسوب میشه انتظار می رود که مدیریت امنیت IT یک سازمان را در هر زمینه ای از طراحی راه حل های امنیتی تا اجرای سیاست ها و پروسیجر های آموزشی را بتونه رسیدگی کنه. بعضی از وظایف این نقش که البته بجز بعضی جاها بی شباهت به CISO هم نیست عبارتند از:
# ایجاد و اجرای استراتژی هایی برای بهبود قابلیت اطمینان و امنیت پروژه های فناوری اطلاعات
# تعریف، اجرا و نگهداری سیاست ها و پروسیجر های امنیتی سازمان
# رهبری ممیزی آسیب پذیری و پروسیجر های فارنسیکی
# پاسخ سریع به رویداد های امنیتی و ارائه تجزیه و تحلیل کامل
# مدیریت یک تیم متنوع از ادمین های امنیتی، تحلیلگران و متخصصان فناوری اطلاعات
# عمل به عنوان یک رابط اصلی بین مدیریت سطح بالا، برنامه نویسان، کارکنان ارزیابی ریسک و حسابرسان( منظور افرادیست که کار Auditing رو انجام میدن)
# آموزش های سازمانی در زمینه ی افزایش آگاهی، پروتکل ها و پروسیجر های امنیتی
# اطمینان از انطباق در مورد کارکنان امنیتی
# ارزیابی، تست و انتخاب محصولات و فن آوری های جدید امنیتی
# آماده سازی برآورد هزینه و شناسایی مسائل یکپارچه سازی
# مدیریت بوجه و پرسنل
اسامی دیگه ای که برای این سمت ممکنه بش بر بخورین عبارتند از:
Information Systems Security Manager
Information Security Manager
IT Security Manager
Systems/Applications Security Manager
Security Manager (Systems/Applications/Information)
به طور متوسط انتظار میره برای این سمت سازمانی سالانه حدود 100 هزار دلار و در کل بین 70 هزار دلار تا 142 هزار دلار حقوق و مزایا در نظر گرفته بشه (البته این آمار مربوط به سال 2014 هست)
برای کسب این سمت حداقل به مدرک کارشناسی در زمینه ی فناوری اطلاعات و امنیت نیازه. البته این نکته رو هم باید اضافه کنم که براب اغلب سازمانها داشتن کارشناسی ارشد یک امتیاز محسوب میشه. نکته ی بعدی اینکه شما باید 5 الی 10 سال در زمینه ی IT و 3 الی 5 سال در زمینه ی امنیت اطلاعات تجربه داشته باشین و مهارت های فنی و غیر فنی لازم رو هم مثل نقش CISO باید داشته باشین. معتبر ترین مدارک برای این نقش CISSP و CISM هست و البته مدارک زیر هم مفیده:
CISM: Certified Information Security Manager
CISSP: Certified Information Systems Security Professional
CISSP-ISSMP: Information Systems Security Management Professional
GSLC: GIAC Security Leadership
#Job_Position
از یک مدیر امنیت که جزء مدیران سطح میانی سازمان محسوب میشه انتظار می رود که مدیریت امنیت IT یک سازمان را در هر زمینه ای از طراحی راه حل های امنیتی تا اجرای سیاست ها و پروسیجر های آموزشی را بتونه رسیدگی کنه. بعضی از وظایف این نقش که البته بجز بعضی جاها بی شباهت به CISO هم نیست عبارتند از:
# ایجاد و اجرای استراتژی هایی برای بهبود قابلیت اطمینان و امنیت پروژه های فناوری اطلاعات
# تعریف، اجرا و نگهداری سیاست ها و پروسیجر های امنیتی سازمان
# رهبری ممیزی آسیب پذیری و پروسیجر های فارنسیکی
# پاسخ سریع به رویداد های امنیتی و ارائه تجزیه و تحلیل کامل
# مدیریت یک تیم متنوع از ادمین های امنیتی، تحلیلگران و متخصصان فناوری اطلاعات
# عمل به عنوان یک رابط اصلی بین مدیریت سطح بالا، برنامه نویسان، کارکنان ارزیابی ریسک و حسابرسان( منظور افرادیست که کار Auditing رو انجام میدن)
# آموزش های سازمانی در زمینه ی افزایش آگاهی، پروتکل ها و پروسیجر های امنیتی
# اطمینان از انطباق در مورد کارکنان امنیتی
# ارزیابی، تست و انتخاب محصولات و فن آوری های جدید امنیتی
# آماده سازی برآورد هزینه و شناسایی مسائل یکپارچه سازی
# مدیریت بوجه و پرسنل
اسامی دیگه ای که برای این سمت ممکنه بش بر بخورین عبارتند از:
Information Systems Security Manager
Information Security Manager
IT Security Manager
Systems/Applications Security Manager
Security Manager (Systems/Applications/Information)
به طور متوسط انتظار میره برای این سمت سازمانی سالانه حدود 100 هزار دلار و در کل بین 70 هزار دلار تا 142 هزار دلار حقوق و مزایا در نظر گرفته بشه (البته این آمار مربوط به سال 2014 هست)
برای کسب این سمت حداقل به مدرک کارشناسی در زمینه ی فناوری اطلاعات و امنیت نیازه. البته این نکته رو هم باید اضافه کنم که براب اغلب سازمانها داشتن کارشناسی ارشد یک امتیاز محسوب میشه. نکته ی بعدی اینکه شما باید 5 الی 10 سال در زمینه ی IT و 3 الی 5 سال در زمینه ی امنیت اطلاعات تجربه داشته باشین و مهارت های فنی و غیر فنی لازم رو هم مثل نقش CISO باید داشته باشین. معتبر ترین مدارک برای این نقش CISSP و CISM هست و البته مدارک زیر هم مفیده:
CISM: Certified Information Security Manager
CISSP: Certified Information Systems Security Professional
CISSP-ISSMP: Information Systems Security Management Professional
GSLC: GIAC Security Leadership
#Job_Position
Forwarded from SecOps
Security Engineer
وظیفه ی مهندس امنیت ایجاد و حفظ راهکار های امنیتی برای سازمان است. در این موقعیت در سطح متوسط، شما امنیت را برای سیستم های/پروژه های سازمان توسعه خواهید داد و به مشکلات فنی به وجود آمده پاسخ خواهید داد. بعضی از وظایف عبارتند از:
ایجاد راه های جدید برای حل مسائل امنیتی موجود
پیکربندی و نصب فایروال ها و سیستم های تشخیص نفوذ
انجام تست آسیب پذیری، ارزیابی ریسک و ارزیابی های امنیتی
توسعه اسکریپت های اتوماتیک برای رسیدگی به حوادث امنیتی
بررسی رویداد های نفوذ(Intrusion)، انجام تحقیقات فارنسیک و پاسخ به آنها
همکاری با سایرین در راه حل های تأیید هویت، Authorization و رمزگذاری
ارزیابی فن آوری های جدید و فرآیندهایی که توانایی های امنیتی سازمان را افزایش می دهد.
تست راه حل های امنیتی با استفاده از معیارهای آنالیز استاندارد آن صنعت
ارائه گزارش های فنی و مقالات رسمی
پاسخ به مسائل امنیت اطلاعات در طول هر مرحله از چرخه حیات پروژه
نظارت بر تغییرات در نرم افزار، سخت افزار، امکانات، ارتباطات از راه دور و نیازهای کاربران
تعریف، اجرا و نگهداری سیاست های امنیتی سازمان
تجزیه و تحلیل و مشاوره در مورد فن آوری های امنیتی جدید
توصیه تغییرات در عرصه های حقوقی، فنی و نظارتی که امنیت IT را تحت تاثیر قرار می دهد.
درباره ی تفاوت Security Engineer و Security Analyst باید این نکته رو بگم که مهندس امنیت تمایل به اصلاح سیستم داره و تحلیلگر امنیت تمایل به نفوذ به سیستم. تحلیلگران امنیت معمولا به دنبال کشف نقاط ضعف و ریسک ها در زیر ساخت سازمان هستند(تست نفوذ، Auditing و ...)، در حالی که مهندسین امنیت به دنبال پیاده سازی راهکار های امنیتی مثل فایروال و سیستم های تشخیص و پیشگیری از نفوذ هستند. همانطور که می بینیم تا حدودی در شرح کار ها همپوشانی وجود دارد و به همین دلیل درخواست برای شغل هایی مثل Security Analyst/Engineer رایج شده است.
کارهای مشابه این کار:
Network Security Engineer
Information Assurance Engineer
Information Security Engineer
Information Systems Security Engineer
برای این کار میشه انتظار حقوق متوسط سالیانه ی 85 هزار دلار رو داشت. در حالت کلی میشه انتظار داشت به صورت سالانه بین 55 هزار تا 127 هزار دلار حقوق و مزایا دریافت کرد. در حال حاضر اغلب سازمان ها دارن میرن به سمتی که مدرک کارشناسی در فیلد های مرتبط با امنیت سایبری رو میخوان. میزان تجربه ای که برای این شغل نیازه به ابعاد سازمان و میزان مسئولیت های شما بستگی داره و بین 1 تا 10 سال سابقه متغیره، البته میزان تجربه برای مهندس امنیت ارشد(Senior Security Engineer) بین 5 تا 10 سال هست.
مهارت های فنی:
سیستم های تشخیص و پیشگیری از نفوذ، ارزیابی آسیب پذیری و تست نفوذ
مکانیزم های فایروال و تشخیص و پیشگیری از نفوذ
کد نویسی امن، هک قانونمند (Ethical Hacking) و مدل سازی تهدیدات
سیستم های عامل ویندوز، لینوکس و یونیکس
تکنولوژی های مجازی سازی
پلتفرم های بانک اطلاعاتی MSSQL و MySQL
اصول مدیریت هویت و دسترسی
امنیت اپلیکیشن ها و تکنولوژی های رمز نگاری
معماری های امن شبکه
پروتکل های شبکه و وب
تهدیدات پیشرفته ی ماندگار(APT)، فیشینگ و مهندسی اجتماعی، کنترل کننده های دسترسی به شبکه(NAC)، ضد بدافزار های لبه ی شبکه و احراز هویت پیشرفته
مدارک فنی زیر می تواند مفید باشد:
CEH: Certified Ethical Hacker
CCNP Security: Cisco Certified Network Professional Security
GSEC / GCIH / GCIA: GIAC Security Certifications
CISSP: Certified Information Systems Security Professional
#Job_Position
وظیفه ی مهندس امنیت ایجاد و حفظ راهکار های امنیتی برای سازمان است. در این موقعیت در سطح متوسط، شما امنیت را برای سیستم های/پروژه های سازمان توسعه خواهید داد و به مشکلات فنی به وجود آمده پاسخ خواهید داد. بعضی از وظایف عبارتند از:
ایجاد راه های جدید برای حل مسائل امنیتی موجود
پیکربندی و نصب فایروال ها و سیستم های تشخیص نفوذ
انجام تست آسیب پذیری، ارزیابی ریسک و ارزیابی های امنیتی
توسعه اسکریپت های اتوماتیک برای رسیدگی به حوادث امنیتی
بررسی رویداد های نفوذ(Intrusion)، انجام تحقیقات فارنسیک و پاسخ به آنها
همکاری با سایرین در راه حل های تأیید هویت، Authorization و رمزگذاری
ارزیابی فن آوری های جدید و فرآیندهایی که توانایی های امنیتی سازمان را افزایش می دهد.
تست راه حل های امنیتی با استفاده از معیارهای آنالیز استاندارد آن صنعت
ارائه گزارش های فنی و مقالات رسمی
پاسخ به مسائل امنیت اطلاعات در طول هر مرحله از چرخه حیات پروژه
نظارت بر تغییرات در نرم افزار، سخت افزار، امکانات، ارتباطات از راه دور و نیازهای کاربران
تعریف، اجرا و نگهداری سیاست های امنیتی سازمان
تجزیه و تحلیل و مشاوره در مورد فن آوری های امنیتی جدید
توصیه تغییرات در عرصه های حقوقی، فنی و نظارتی که امنیت IT را تحت تاثیر قرار می دهد.
درباره ی تفاوت Security Engineer و Security Analyst باید این نکته رو بگم که مهندس امنیت تمایل به اصلاح سیستم داره و تحلیلگر امنیت تمایل به نفوذ به سیستم. تحلیلگران امنیت معمولا به دنبال کشف نقاط ضعف و ریسک ها در زیر ساخت سازمان هستند(تست نفوذ، Auditing و ...)، در حالی که مهندسین امنیت به دنبال پیاده سازی راهکار های امنیتی مثل فایروال و سیستم های تشخیص و پیشگیری از نفوذ هستند. همانطور که می بینیم تا حدودی در شرح کار ها همپوشانی وجود دارد و به همین دلیل درخواست برای شغل هایی مثل Security Analyst/Engineer رایج شده است.
کارهای مشابه این کار:
Network Security Engineer
Information Assurance Engineer
Information Security Engineer
Information Systems Security Engineer
برای این کار میشه انتظار حقوق متوسط سالیانه ی 85 هزار دلار رو داشت. در حالت کلی میشه انتظار داشت به صورت سالانه بین 55 هزار تا 127 هزار دلار حقوق و مزایا دریافت کرد. در حال حاضر اغلب سازمان ها دارن میرن به سمتی که مدرک کارشناسی در فیلد های مرتبط با امنیت سایبری رو میخوان. میزان تجربه ای که برای این شغل نیازه به ابعاد سازمان و میزان مسئولیت های شما بستگی داره و بین 1 تا 10 سال سابقه متغیره، البته میزان تجربه برای مهندس امنیت ارشد(Senior Security Engineer) بین 5 تا 10 سال هست.
مهارت های فنی:
سیستم های تشخیص و پیشگیری از نفوذ، ارزیابی آسیب پذیری و تست نفوذ
مکانیزم های فایروال و تشخیص و پیشگیری از نفوذ
کد نویسی امن، هک قانونمند (Ethical Hacking) و مدل سازی تهدیدات
سیستم های عامل ویندوز، لینوکس و یونیکس
تکنولوژی های مجازی سازی
پلتفرم های بانک اطلاعاتی MSSQL و MySQL
اصول مدیریت هویت و دسترسی
امنیت اپلیکیشن ها و تکنولوژی های رمز نگاری
معماری های امن شبکه
پروتکل های شبکه و وب
تهدیدات پیشرفته ی ماندگار(APT)، فیشینگ و مهندسی اجتماعی، کنترل کننده های دسترسی به شبکه(NAC)، ضد بدافزار های لبه ی شبکه و احراز هویت پیشرفته
مدارک فنی زیر می تواند مفید باشد:
CEH: Certified Ethical Hacker
CCNP Security: Cisco Certified Network Professional Security
GSEC / GCIH / GCIA: GIAC Security Certifications
CISSP: Certified Information Systems Security Professional
#Job_Position
👍1
Forwarded from ASIS News
https://api.news.asis.io/image/3090
نهمین دورهی مسابقات بینالمللی امنیت سایبری ASIS
دور مقدماتی مسابقات سال ۱۳۹۶ و نهمین دورهی مسابقات بینالمللی امنیت سایبری ASIS برای پنجمین سال متوالی برگزار میشود.
مرحلهی مقدماتی مسابقات سال جاری به صورت برخط (آنلاین)، طی روزهای ۱۸ الی ۲۰ فروردین ماه ۱۳۹۶، از ساعت ۱۷ به مدت ۴۸ ساعت برگزار میگردد. شرکت در این مسابقه برای تمامی علاقهمندان و شرکتکنندگان آزاد است.
برای کسب اطلاعات بیشتر به وبگاه asis-ctf.ir مراجعه نمایید.
لینک خبرhttps://u.asis.io/127
کانال اخبار امنیتی IT
@SecuNews
نهمین دورهی مسابقات بینالمللی امنیت سایبری ASIS
دور مقدماتی مسابقات سال ۱۳۹۶ و نهمین دورهی مسابقات بینالمللی امنیت سایبری ASIS برای پنجمین سال متوالی برگزار میشود.
مرحلهی مقدماتی مسابقات سال جاری به صورت برخط (آنلاین)، طی روزهای ۱۸ الی ۲۰ فروردین ماه ۱۳۹۶، از ساعت ۱۷ به مدت ۴۸ ساعت برگزار میگردد. شرکت در این مسابقه برای تمامی علاقهمندان و شرکتکنندگان آزاد است.
برای کسب اطلاعات بیشتر به وبگاه asis-ctf.ir مراجعه نمایید.
لینک خبرhttps://u.asis.io/127
کانال اخبار امنیتی IT
@SecuNews
📱 پس از فعال شدن تماس صوتی #تلگرام تمام کسانی که شماره تلفن و یا شناسه تلگرام (ID) شما را دارد قادر خواهند بود به شما تلفن بزنند.
با مراجعه به قسمت Privacy and Security و انتخاب گزینه Call میتواند برای دریافت تماس صوتی محدودیت ایجاد کنید.
با انتخاب گزینه Call سه گزینهی Everybody به معنی دریافت تماس صوتی از همه، My Contacts به معنی دریافت تماس صوتی فقط از کسانی که شماره آنها در دفترچه تلفن گوشی شما ثبت شده است و Nobody به این معنی که هیچ تماس صوتی را نمیپذیرید انتخاب کنید.
👁 @intsec
با مراجعه به قسمت Privacy and Security و انتخاب گزینه Call میتواند برای دریافت تماس صوتی محدودیت ایجاد کنید.
با انتخاب گزینه Call سه گزینهی Everybody به معنی دریافت تماس صوتی از همه، My Contacts به معنی دریافت تماس صوتی فقط از کسانی که شماره آنها در دفترچه تلفن گوشی شما ثبت شده است و Nobody به این معنی که هیچ تماس صوتی را نمیپذیرید انتخاب کنید.
👁 @intsec
پس از برقرای تماس بر روی گوشی هر دو فردی که با هم تماس گرفتند چهار شکلک (Emojis) نمایش داده خواهد شد.
در صورتی هر دو نفر چهار شکلک یکسان را مشاهده کنند به این معنی است که تماس صوتی #تلگرام شما رمزگذاری شده و هیچ کس قادر نخواهد بود تا آن را شنود کند در غیر این صورت رمزگذاری تماس صوتی شما با موفقیت همراه نبوده و قابل شنود خواهد بود.
👁 @intsec
در صورتی هر دو نفر چهار شکلک یکسان را مشاهده کنند به این معنی است که تماس صوتی #تلگرام شما رمزگذاری شده و هیچ کس قادر نخواهد بود تا آن را شنود کند در غیر این صورت رمزگذاری تماس صوتی شما با موفقیت همراه نبوده و قابل شنود خواهد بود.
👁 @intsec
47% ازجمعیت جهان به اینترنت دسترسی دارند.
بیش از 3 میلیارد نفر درکشورهای فقیر و درحال توسعه موبایل ندارند که 1.7 میلیارد آنان زنان هستند.
👁 @intsec
بیش از 3 میلیارد نفر درکشورهای فقیر و درحال توسعه موبایل ندارند که 1.7 میلیارد آنان زنان هستند.
👁 @intsec
نشست هم اندیشی اعضای انجمن رمز ایران با موضوع نقش نظام های امنیت شبکه ملی اطلاعات در توسعه کسب و کار شرکتهای افتا در تاریخ چهارشنبه 30/01/96 از ساعت 17 الی 19:45 برگزار خواهد شد.
👁 @intsec
👁 @intsec
اختلال در اینترنت "بانک ملت" که از ظهر امروز اتفاق افتاده موجب بروز شایعات نگران کننده بین مردم شده است.
روابط عمومی بانک ملت تایید کرد که به دلیل بروز یک مشکل فنی و نرمافزاری، امروز از حساب تعداد محدودی از مشتریان این بانک، ارقامی بین ۱۱۰، ۱۴۰ و ۱۵۰ میلیون تومان کسر شده است، اما اطمینان داد که جای نگرانی برای مشتریان نیست و تا ساعاتی دیگر این پول به صورت کامل، به حساب افراد باز میگردد.
👁 @intsec
روابط عمومی بانک ملت تایید کرد که به دلیل بروز یک مشکل فنی و نرمافزاری، امروز از حساب تعداد محدودی از مشتریان این بانک، ارقامی بین ۱۱۰، ۱۴۰ و ۱۵۰ میلیون تومان کسر شده است، اما اطمینان داد که جای نگرانی برای مشتریان نیست و تا ساعاتی دیگر این پول به صورت کامل، به حساب افراد باز میگردد.
👁 @intsec
درصد کارکنان مونث در شرکت هایش بزرگ تکنولوژی جهان
👁 @intsec
👁 @intsec