یک هکر اخلاقی (کارشناس تست نفوذ) برای کسب و کار من چه کاری می تواند انجام دهد؟
کلمه "اخلاقی یا همان کارشناس تست نفوذ "و" هک کردن "همکارهای معمولی نیستند، اما وقتی که در کنار هم قرار بگیرند، می توانند یک آزمونگر نفوذ عالی باشند. تیم هولمن، مدیر عامل 2|SEC ، گفت: "ما به هکرها فکر می کنیم." "مجرمین در اولین سوء استفاده متوقف نمی شوند. آنها پشت سر هم سوء استفاده می کنند و سیستم های معرض را به سمت خود جذب می کنند تا نفوذ بیشتری به دست آورند."
ا 2|SEC یک ارائه دهنده خدمات امنیتی در لندن است که خدمات تست نفوذ را برای طیف وسیعی از مشتریان فراهم می کند. و به عنوان "هکرهای اخلاقی" یا " pen tester" شناخته می شود، این متخصصان از سوی سازمان هایی که می خواهند بدانند که آیا آنها نیاز به بهبود امنیت خود دارند، به کار گرفته می شوند و اگر جواب مثبت است در کجا؟
هولمن توضیح داد: "مزیت واضح این است که سیستم شما در مقابل آخرین سوء استفاده ها و تکنیک هایی که در برابر شما مورد استفاده قرار می گیرد، محافظت می شود. "اگر شما منابع اختصاص داده شده و تمام وقت که می توانند در برابر آخرین تهدیدات و آسیب پذیری ها باقی بماند را نداشته باشید، برای شرکت شما بسیار دشوار خواهد بود تا تجربه و تخصصی را که یک تستر نفوذ حرفه ای به ارمغان می آورد، را دارا باشد."
هیچ چیزبدی در مورد کار کردن با یک کارشناس تست نفوذ وجود ندارد. شرکت هایی که برای این ویژگی به آن نزدیک شدیم، از صحبت دراره ی آنچه که انجام می دهند و نحوه انجام آن رضایت داشتند، و اشاره می کنند که تنها به سیستم هایی که مجاز به آنها هستند و فقط در طی زمان مشخص هدف گیری میکنند. "رویکرد ما این است که همیشه از جدیدترین تحقیقات، سوء استفاده ها و تکنیک ها استفاده کنیم تا ببینیم آیا می توانیم در شرکت شما جای پای خود را پیدا کنیم یا خیر. ما باید بسیار مراقب باشیم که سیستم ها را نابود نکنیم یا به طور غیرمستقیم داده های حساس را افشا نکنیم."
اهمیت در حال رشد
همانطور که سازمانها حجم داده های بزرگتری را پردازش می کنند، نیاز به تست پن افزایش می یابد. زمانی نه چندان دور، به آنها به طور مرتب توصیه می شد که هر دو سال یک بار تست شوند، اما این کار دیگر مشتریان شان را راضی نگه نمی دارد.
الیور پینسون-روکسبرگ، MD از گلوله ای، گفت: "برخی از الزامات انطباق، الزام آور است که سازمان هایی که اطلاعات کارت پرداخت را می پذیرند باید حداقل هر این کار را انجام دهند و به سمت یک مدل حرکت کنند که هر شش ماه آن را انجام می دهند." "اگر برنامه شما بعد از آخرین تست پن تغییر قابل توجهی داشته باشد، توصیه می شود که بعد از آن نیز دوباره انجام شود."
تا حدودی، این توسط رژیم GDPR هدایت می شود. پینسون-روکسبرگ گفت: "ما مشتریان بیشتری داریم که در مورد آنچه که باید انجام دهند، سوال می پرسند. "اغلب، آنها یک طرح واکنش حادثه ای ندارند و می خواهند بدانند که اگر گرفتار شوند، حداقل می توانند کاری انجام دهند."
داشتن چنین برنامه ای و توانایی اثبات این که شما در تست نفوذ های خود دقت داشته اید، نشان می دهد که شما در حال انجام برخی از مسئولیت ها هستید. مارک نیکلز، مدیر امنیت سایبری Redscan، گفت: "این نشان می دهد که شما تلاش های منطقی انجام داده اید تا هر کاری را که از دستتان برمی آید انجام دهید."
"ما اغلب به شرکت ها کمک کرده ایم که آمادگی خود را برای نقض بررسی کنند و از نظر دفاع، پرسیدند که تیم امنیتی و شبکه ای در پاسخ به آن هنگامی که یک حمله انجام می شد چه کاری انجام دادند. آیا آنها توانستند اطلاعات لازم را ظرف 72 ساعت اول پس از یک حمله به مقامات گزارش دهند؟
انجام چنین اقدامات منطقی اغلب برای جلوگیری از نقض در وهله اول به اندازه کافی کافی خواهد بود، زیرا این امر می تواند به شناسایی مواردی که اصلاحات اعمال نشده و یا تنها تا حدی مؤثر بوده، کمک کند.
ا Pinson-Roxburgh گفت: "تجربه من این بوده است که سازمان هایی که تحت قانون حفاظت از داده ها جریمه شده اند می توانند تا حد زیادی مشکلات خود را با انجام یک تست پن یا اجرای یک نوع اسکن اولیه امنیتی یا آزمایش اولیه، حل کنند. جاییکه ICO حکم را منتشر کرده است، [اغلب] نشان می دهد که اگر سازمان در مورد امنیت به درستی عمل کرده بود، مشکلات را شناسایی می کرد. اغلب، آن مشکل یک آسیب پذیری شناخته شده، و سه ماهه بوده که باید آنها شناسایی و حل می شده است. "
کلمه "اخلاقی یا همان کارشناس تست نفوذ "و" هک کردن "همکارهای معمولی نیستند، اما وقتی که در کنار هم قرار بگیرند، می توانند یک آزمونگر نفوذ عالی باشند. تیم هولمن، مدیر عامل 2|SEC ، گفت: "ما به هکرها فکر می کنیم." "مجرمین در اولین سوء استفاده متوقف نمی شوند. آنها پشت سر هم سوء استفاده می کنند و سیستم های معرض را به سمت خود جذب می کنند تا نفوذ بیشتری به دست آورند."
ا 2|SEC یک ارائه دهنده خدمات امنیتی در لندن است که خدمات تست نفوذ را برای طیف وسیعی از مشتریان فراهم می کند. و به عنوان "هکرهای اخلاقی" یا " pen tester" شناخته می شود، این متخصصان از سوی سازمان هایی که می خواهند بدانند که آیا آنها نیاز به بهبود امنیت خود دارند، به کار گرفته می شوند و اگر جواب مثبت است در کجا؟
هولمن توضیح داد: "مزیت واضح این است که سیستم شما در مقابل آخرین سوء استفاده ها و تکنیک هایی که در برابر شما مورد استفاده قرار می گیرد، محافظت می شود. "اگر شما منابع اختصاص داده شده و تمام وقت که می توانند در برابر آخرین تهدیدات و آسیب پذیری ها باقی بماند را نداشته باشید، برای شرکت شما بسیار دشوار خواهد بود تا تجربه و تخصصی را که یک تستر نفوذ حرفه ای به ارمغان می آورد، را دارا باشد."
هیچ چیزبدی در مورد کار کردن با یک کارشناس تست نفوذ وجود ندارد. شرکت هایی که برای این ویژگی به آن نزدیک شدیم، از صحبت دراره ی آنچه که انجام می دهند و نحوه انجام آن رضایت داشتند، و اشاره می کنند که تنها به سیستم هایی که مجاز به آنها هستند و فقط در طی زمان مشخص هدف گیری میکنند. "رویکرد ما این است که همیشه از جدیدترین تحقیقات، سوء استفاده ها و تکنیک ها استفاده کنیم تا ببینیم آیا می توانیم در شرکت شما جای پای خود را پیدا کنیم یا خیر. ما باید بسیار مراقب باشیم که سیستم ها را نابود نکنیم یا به طور غیرمستقیم داده های حساس را افشا نکنیم."
اهمیت در حال رشد
همانطور که سازمانها حجم داده های بزرگتری را پردازش می کنند، نیاز به تست پن افزایش می یابد. زمانی نه چندان دور، به آنها به طور مرتب توصیه می شد که هر دو سال یک بار تست شوند، اما این کار دیگر مشتریان شان را راضی نگه نمی دارد.
الیور پینسون-روکسبرگ، MD از گلوله ای، گفت: "برخی از الزامات انطباق، الزام آور است که سازمان هایی که اطلاعات کارت پرداخت را می پذیرند باید حداقل هر این کار را انجام دهند و به سمت یک مدل حرکت کنند که هر شش ماه آن را انجام می دهند." "اگر برنامه شما بعد از آخرین تست پن تغییر قابل توجهی داشته باشد، توصیه می شود که بعد از آن نیز دوباره انجام شود."
تا حدودی، این توسط رژیم GDPR هدایت می شود. پینسون-روکسبرگ گفت: "ما مشتریان بیشتری داریم که در مورد آنچه که باید انجام دهند، سوال می پرسند. "اغلب، آنها یک طرح واکنش حادثه ای ندارند و می خواهند بدانند که اگر گرفتار شوند، حداقل می توانند کاری انجام دهند."
داشتن چنین برنامه ای و توانایی اثبات این که شما در تست نفوذ های خود دقت داشته اید، نشان می دهد که شما در حال انجام برخی از مسئولیت ها هستید. مارک نیکلز، مدیر امنیت سایبری Redscan، گفت: "این نشان می دهد که شما تلاش های منطقی انجام داده اید تا هر کاری را که از دستتان برمی آید انجام دهید."
"ما اغلب به شرکت ها کمک کرده ایم که آمادگی خود را برای نقض بررسی کنند و از نظر دفاع، پرسیدند که تیم امنیتی و شبکه ای در پاسخ به آن هنگامی که یک حمله انجام می شد چه کاری انجام دادند. آیا آنها توانستند اطلاعات لازم را ظرف 72 ساعت اول پس از یک حمله به مقامات گزارش دهند؟
انجام چنین اقدامات منطقی اغلب برای جلوگیری از نقض در وهله اول به اندازه کافی کافی خواهد بود، زیرا این امر می تواند به شناسایی مواردی که اصلاحات اعمال نشده و یا تنها تا حدی مؤثر بوده، کمک کند.
ا Pinson-Roxburgh گفت: "تجربه من این بوده است که سازمان هایی که تحت قانون حفاظت از داده ها جریمه شده اند می توانند تا حد زیادی مشکلات خود را با انجام یک تست پن یا اجرای یک نوع اسکن اولیه امنیتی یا آزمایش اولیه، حل کنند. جاییکه ICO حکم را منتشر کرده است، [اغلب] نشان می دهد که اگر سازمان در مورد امنیت به درستی عمل کرده بود، مشکلات را شناسایی می کرد. اغلب، آن مشکل یک آسیب پذیری شناخته شده، و سه ماهه بوده که باید آنها شناسایی و حل می شده است. "
رویکرد اول شما
هکرهای اخلاق به راهنمایی کردن مشتری های جدید عادت دارند- مخصوصا کسانی که مطمئن نیستند چه چیزی نیاز دارند یا چه چیزی ارائه می دهند.
همانطور که نیکلز توضیح می دهد، مشخص کردن آنچه که مشتری به عنوان یک کسب و کار انجام می دهد، سیستم، عملکرد آن و چیزی که هکر اخلاقی می تواند انجام دهد، معمولا در هر مکالمه ای وجود دارد. "سپس ما تعدادی روز تعیین می کنیم که در طی آن آنها می توانند منابع مناسب را بکار گیرند، اعم از مدیران پروژه یا توسعه دهندگان ، تا اطمینان حاصل کنند که ما هیچ چیزی را خراب نخواهیم کرد و بتوانند در حین اینکه ما مشکلات جدی را پیدا میکنیم به آنها پاسخ دهند."
گفته می شود که آزمایشکنندگان پن اغلب راه خود را به سیستم مهندسی اجتماعی می کنند - حتی رشوه های جعلی به کارکنان پیشنهاد می کنند. اما پن تستینگ اغلب بیشتر از نشستن در پشت یک صفحه کلید و ماوس و جستجو برای آسیب پذیری است.
ا Pinson-Roxburgh گفت: "ما تمرینات تیم قرمزی انجام می دهیم که در آن مشتری به ما هدفی می دهد که ما باید به هر طریقی آنرا به انجام برسانیم." "این ممکن است ورود فیزیکی به یک ساختمان وپیدا کردن راهمان باشد ویا مهندسی اجتماعی . ما چند تست بزرگ مرکز داده انجام داده ایم، ظاهرا امن ترین مراکز داده در جهان و ما راهمان را از طریق ترکیبی از دسترسی اجتماعی / فیزیکی به ساختمان ها و هک پورتال ها باز کردیم. برای برخی از مشتریان ما حتی پیشنهاد رشوه به کارکنان دادیم تا ببینیم که چگونه کارکنانشان به امنیت پاسخ می دهند. "
اولویت Pinson-Roxburgh این است که در هر زمانی که ممکن است با سیستمهای زنده کار کند، زیرا "اگر آنها قصد دارند یک سیستم نیمه کاره را به ما بدهند به این دلیل که درمرحله پیش تولید هستند، آنها نمیتوانند یک آزمایش واقعی انجام دهند." چرا که بسیاری از سازمان ها می گویند که آنها می خواهند شما چیزها از دیدگاه هکر شبیه سازی کنید. "
اما نیکولز نیز کار با زیرساختار و مجموعه داده های موازی را ارزشمند می داند. با استفاده از سیستم های زنده، او می گوید: "همیشه یک خطر ذاتی وجود دارد هکه نگامی که شما یک برنامه یا سرور را آزمایش می کنید که در آن مشکلاتی ممکن است از اسکن شدن ناشی شود." اگرچه نرم افزارهای امروزه دارای قابلیت انعطاف پذیری بیشتری هستند، اما میتواند باعث خرابی دستگاه شود. بنابراین، ما توصیه می کنیم یک سیستم نماینده که نزدیک به آنچه سیستم زنده دارد است، تست شود. این به شما یک ایده خوب را می دهد که آسیب پذیری ها وجود دارد و ما نیازی به عقب نشینی نداریم. ما می توانیم هر پارامتر را ارزیابی کنیم. "
محرمانه بودن و اعتماد
اگر یک تستر دسترسی به سیستم شما داشته باشد، می تواند به اطلاعات محرمانه دسترسی داشته باشد. ضروری است که پن تستر یک توافقنامه عدم افشا امضا کنند و کارکنان آن دارای مجوز رسمی امنیتی باشند.
در نهایت، شما باید از کار کردن با آنها راحت باشید، اما این لزوما به معنی اجتناب از کسی با سابقه ی کدر نیست- چنانچه اصلاح شده باشند.
نیکولز گفت: "بسیاری از افراد برجسته امنیتی، از طرف اشتباه شروع به کار کردند. "کنجکاوی، در اوایل، می تواند یک مسئله باشد، اما اگر این تغییر کرده است و اکنون در یک حرفه امنیتی پیشرفت می کنند و در آن قابلیت های خود را ارائه می دهند، هیچ دلیلی وجود ندارد که یک فرد مانند آن استانداردهای مختلف و گواهینامه ها را نگیرد. " با این حال، پاسخ به یک رویکرد ناخواسته، موضوع کاملا متفاوت است و Pinson-Roxburgh احتیاط را توصیه میکند.
"آنچه که اخیرا دیده ام، سازمان هایی هستند که به طور مستقیم از سوی افرادی که به دنبال رفع مشکلات هستند پیشنهاد دریافت کرده اند. من توصیه می کنم که یک سازمان در چنین شرایطی بسیار محتاطانه رفتار کند؛ زیرا ما شاهد آن بوده ایم که فردی که این رویکرد را اجرا کرده مبلغ زیادی درخواست می کند، و سازمان کشف می کند که چیزی که پیدا می شود، در مقایسه با مقدار پولی را که پرداخت کرده اند اندک بوده است ...
"هنگامی که کسی با شما تماس می گیرد و در مورد مشکلات احتمالی صحبت می کند ، قانون سوء استفاده از کامپیوتر و این واقعیت است که هیچ کس نباید سیستم های شما را بدون اجازه شما تست کند را ذکر کنید.
#security #hacker @unixmens
هکرهای اخلاق به راهنمایی کردن مشتری های جدید عادت دارند- مخصوصا کسانی که مطمئن نیستند چه چیزی نیاز دارند یا چه چیزی ارائه می دهند.
همانطور که نیکلز توضیح می دهد، مشخص کردن آنچه که مشتری به عنوان یک کسب و کار انجام می دهد، سیستم، عملکرد آن و چیزی که هکر اخلاقی می تواند انجام دهد، معمولا در هر مکالمه ای وجود دارد. "سپس ما تعدادی روز تعیین می کنیم که در طی آن آنها می توانند منابع مناسب را بکار گیرند، اعم از مدیران پروژه یا توسعه دهندگان ، تا اطمینان حاصل کنند که ما هیچ چیزی را خراب نخواهیم کرد و بتوانند در حین اینکه ما مشکلات جدی را پیدا میکنیم به آنها پاسخ دهند."
گفته می شود که آزمایشکنندگان پن اغلب راه خود را به سیستم مهندسی اجتماعی می کنند - حتی رشوه های جعلی به کارکنان پیشنهاد می کنند. اما پن تستینگ اغلب بیشتر از نشستن در پشت یک صفحه کلید و ماوس و جستجو برای آسیب پذیری است.
ا Pinson-Roxburgh گفت: "ما تمرینات تیم قرمزی انجام می دهیم که در آن مشتری به ما هدفی می دهد که ما باید به هر طریقی آنرا به انجام برسانیم." "این ممکن است ورود فیزیکی به یک ساختمان وپیدا کردن راهمان باشد ویا مهندسی اجتماعی . ما چند تست بزرگ مرکز داده انجام داده ایم، ظاهرا امن ترین مراکز داده در جهان و ما راهمان را از طریق ترکیبی از دسترسی اجتماعی / فیزیکی به ساختمان ها و هک پورتال ها باز کردیم. برای برخی از مشتریان ما حتی پیشنهاد رشوه به کارکنان دادیم تا ببینیم که چگونه کارکنانشان به امنیت پاسخ می دهند. "
اولویت Pinson-Roxburgh این است که در هر زمانی که ممکن است با سیستمهای زنده کار کند، زیرا "اگر آنها قصد دارند یک سیستم نیمه کاره را به ما بدهند به این دلیل که درمرحله پیش تولید هستند، آنها نمیتوانند یک آزمایش واقعی انجام دهند." چرا که بسیاری از سازمان ها می گویند که آنها می خواهند شما چیزها از دیدگاه هکر شبیه سازی کنید. "
اما نیکولز نیز کار با زیرساختار و مجموعه داده های موازی را ارزشمند می داند. با استفاده از سیستم های زنده، او می گوید: "همیشه یک خطر ذاتی وجود دارد هکه نگامی که شما یک برنامه یا سرور را آزمایش می کنید که در آن مشکلاتی ممکن است از اسکن شدن ناشی شود." اگرچه نرم افزارهای امروزه دارای قابلیت انعطاف پذیری بیشتری هستند، اما میتواند باعث خرابی دستگاه شود. بنابراین، ما توصیه می کنیم یک سیستم نماینده که نزدیک به آنچه سیستم زنده دارد است، تست شود. این به شما یک ایده خوب را می دهد که آسیب پذیری ها وجود دارد و ما نیازی به عقب نشینی نداریم. ما می توانیم هر پارامتر را ارزیابی کنیم. "
محرمانه بودن و اعتماد
اگر یک تستر دسترسی به سیستم شما داشته باشد، می تواند به اطلاعات محرمانه دسترسی داشته باشد. ضروری است که پن تستر یک توافقنامه عدم افشا امضا کنند و کارکنان آن دارای مجوز رسمی امنیتی باشند.
در نهایت، شما باید از کار کردن با آنها راحت باشید، اما این لزوما به معنی اجتناب از کسی با سابقه ی کدر نیست- چنانچه اصلاح شده باشند.
نیکولز گفت: "بسیاری از افراد برجسته امنیتی، از طرف اشتباه شروع به کار کردند. "کنجکاوی، در اوایل، می تواند یک مسئله باشد، اما اگر این تغییر کرده است و اکنون در یک حرفه امنیتی پیشرفت می کنند و در آن قابلیت های خود را ارائه می دهند، هیچ دلیلی وجود ندارد که یک فرد مانند آن استانداردهای مختلف و گواهینامه ها را نگیرد. " با این حال، پاسخ به یک رویکرد ناخواسته، موضوع کاملا متفاوت است و Pinson-Roxburgh احتیاط را توصیه میکند.
"آنچه که اخیرا دیده ام، سازمان هایی هستند که به طور مستقیم از سوی افرادی که به دنبال رفع مشکلات هستند پیشنهاد دریافت کرده اند. من توصیه می کنم که یک سازمان در چنین شرایطی بسیار محتاطانه رفتار کند؛ زیرا ما شاهد آن بوده ایم که فردی که این رویکرد را اجرا کرده مبلغ زیادی درخواست می کند، و سازمان کشف می کند که چیزی که پیدا می شود، در مقایسه با مقدار پولی را که پرداخت کرده اند اندک بوده است ...
"هنگامی که کسی با شما تماس می گیرد و در مورد مشکلات احتمالی صحبت می کند ، قانون سوء استفاده از کامپیوتر و این واقعیت است که هیچ کس نباید سیستم های شما را بدون اجازه شما تست کند را ذکر کنید.
#security #hacker @unixmens
👨🎓بورسیه تحصیلی دانشگاه تورنتو کانادا برای 2021-2020
👩🎓دانشگاه تورنتو کانادا از اعطای تعدادی بورس تحصیلی در مقطع لیسانس برای علاقمندان به تحصیل در کانادا با شرایط ذیل خبر داده است .دانشگاه تورنتو یکی از بهترین دانشگاه های دولتی کانادا میباشد که در شهر تورنتو واقع شده است. این دانشگاه بعنوان کالج پادشاهی در سال 1827 با منشور سلطنتی تاسیس شد.
👨🎓دانشگاه تورنتو کانادا از اعطای تعدادی بورس تحصیلی در مقطع لیسانس برای علاقمندان به تحصیل در کانادا با شرایط ذیل خبر داده است .دانشگاه تورنتو یکی از بهترین دانشگاه های دولتی کانادا میباشد که در شهر تورنتو واقع شده است. این دانشگاه بعنوان کالج پادشاهی در سال 1827 با منشور سلطنتی تاسیس شد.
👩🎓Supporting Documents: The candidates have to submit full documentation (transcripts), online self-reported grades, evidence of English language proficiency, standardized test results, or other supplemental information.
Admission Requirements: An applicant must complete a secondary school education form a school outside Canada.
Language Requirement: Candidates have to show the English language ability by the TOEFL or IELTS test for studying in Canada.
👨🎓آخرین مهلت ثبت نام : 1398/10/25
👩🎓اطلاعات بیشتر و ثبت نام:
https://future.utoronto.ca/scholarships/u-of-t-engineering-international-scholar-award/
#بورسیه @unixmens
👩🎓دانشگاه تورنتو کانادا از اعطای تعدادی بورس تحصیلی در مقطع لیسانس برای علاقمندان به تحصیل در کانادا با شرایط ذیل خبر داده است .دانشگاه تورنتو یکی از بهترین دانشگاه های دولتی کانادا میباشد که در شهر تورنتو واقع شده است. این دانشگاه بعنوان کالج پادشاهی در سال 1827 با منشور سلطنتی تاسیس شد.
👨🎓دانشگاه تورنتو کانادا از اعطای تعدادی بورس تحصیلی در مقطع لیسانس برای علاقمندان به تحصیل در کانادا با شرایط ذیل خبر داده است .دانشگاه تورنتو یکی از بهترین دانشگاه های دولتی کانادا میباشد که در شهر تورنتو واقع شده است. این دانشگاه بعنوان کالج پادشاهی در سال 1827 با منشور سلطنتی تاسیس شد.
👩🎓Supporting Documents: The candidates have to submit full documentation (transcripts), online self-reported grades, evidence of English language proficiency, standardized test results, or other supplemental information.
Admission Requirements: An applicant must complete a secondary school education form a school outside Canada.
Language Requirement: Candidates have to show the English language ability by the TOEFL or IELTS test for studying in Canada.
👨🎓آخرین مهلت ثبت نام : 1398/10/25
👩🎓اطلاعات بیشتر و ثبت نام:
https://future.utoronto.ca/scholarships/u-of-t-engineering-international-scholar-award/
#بورسیه @unixmens
بورسیه تحصیلی دکترا و فوق دکترا در تمامی رشته های تحصیلی 10 دانشگاه در کشور سوئیس :
https://www.sbfi.admin.ch/sbfi/en/home/education/scholarships-and-grants/swiss-government-excellence-scholarships.html
#بورسیه #بورسـتحصیلی @unixmens
https://www.sbfi.admin.ch/sbfi/en/home/education/scholarships-and-grants/swiss-government-excellence-scholarships.html
#بورسیه #بورسـتحصیلی @unixmens
www.sbfi.admin.ch
Swiss Government Excellence Scholarships 2026 – 2027
Each year the Swiss Confederation awards Government Excellence Scholarships to encourage international exchange and research cooperation between Switzerland and over 180 other countries. Recipients are selected by the awarding body, the Federal Commission…
هنگامی که یک شبکه مورد حمله قرار می گیرد، پاسخ امنیتی اغلب فرآیند دستی است. یک تیم از تحلیلگران اطلاعات را از چندین ابزار جداگانه برای جمع آوری، هدایت و تحقیق در مورد حمله جمع آوری می کند. این فرایند زمان و منابع زیادی میطلبد و در نهایت، هزینه های زیادی را به سازمان تحمیل میکند.
مؤسسات می توانند امنیت شبکه خود را بهبود بخشیده و در عین حال با بهره گیری از خودکار سازی پاسخ امنیتی خود، کارایی و صرفه جویی را افزایش دهند.
کاهش زمان از کار افتادگی
اتصال چندین ابزار امنیتی با یک موتور خط مشی به طوری که آنها به عنوان یک کل یکپارچه کار کنند گام خوبی در جهت بهینه سازی امنیت شبکه است. برای مثال، هنگامی که یک اسکنر آسیب پذیری یک مشکل را شناسایی می کند، موتور خط مشی این گزارش آسیب پذیری را گرفته و با قرار دادن یک قانون فایروال یا جدا کردن دستگاه آلوده عمل می کند. سپس یک عامل امنیتی می تواند سازش و بردار حمله را شناسایی کند و دستگاه را ترمیم کند.
این پاسخ اتوماتیک در هر زمانی ممکن است، حتی اگر حمله در ساعت 3 صبح، رخ دهد. سیستم خودکار زمان پاسخ را از ساعت یا روز به دقیقه یا ثانیه کاهش می دهد، که آسیب یک حمله را به حداقل می رساند. زمان پاسخ کوتاه تر منجر به یک شبکه با ثبات تر با زمان کمتری می شود که به نوبه خود موجب صرفه جویی در هزینه می شود.
صرفه جویی در هزینه از طریق تحکیم
یکی دیگر از راه های اتوماسیون امنیت شبکه، صرفه جویی در هزینه است که اجازه می دهد آژانس ابزارهایی که کارهای مشابه انجام می دهند را ادغام کنند. با استفاده از مهاجرت ابر، ابزارهای قدیمی ممکن است با ثبات و با ارزش نباشند و ممکن است نیاز به فرایندها و کنترل های خودکار باشد.
با پیشرفت تکنولوژی، ویژگی ها و توابعی که پیشتر یک سرویس منحصر به فرد بودند، به دستگاه های اصلی متصل می شوند. به عنوان مثال، در گذشته، یک شبکه امنیتی ممکن بود یک فایروال، یک سیستم پیشگیری از نفوذ، پروکسی، سرور و نرم افزار ضد ویروس و تروجان داشته باشد.
در فایروال های امروزی، تمام این قابلیت ها به عنوان توابع اصلی در نظر گرفته شده است. در نتیجه، بسیاری از این منابع جداگانه را می توان حذف کرد، و تعمیر و نگهداری، صدور مجوز و سرمایه گذاری می تواند به کنترل های بیشتر یا فرایندهای مرتبط تر مربوط شود.
حداکثر سرمایه گذاری در افراد
پاسخ اتوماتیک همچنین با حذف خطر خطای انسانی، دقت را افزایش می دهد. انسان ها اشتباه می کنند - ماشین ها نمی کنند. یک سیاست منسجم در همه دستگاه ها هر بار پاسخی مشابه ارائه می دهند، به جای سطوح متفاوت عمل بر اساس فرد پاسخ دهنده. پاسخ اتوماتیک همچنین می تواند گزارشی از مراحل انجام شده و نتایج آنها را تولید کند- اطلاعاتی که می تواند در افزایش بهره وری در آینده کمک کند.
جایگزینی انسان ها با ماشین ها برای برخی از وظایف مطمئنا خطر خطا را کاهش می دهد، اما مردم هنوز بخش مهمی از هر سازمان هستند. جذب و حفظ بهترین اعضای تیم یک سازمان هزینه های گردش مالی، آموزش و سایر هزینه های مرتبط با منابع انسانی را ذخیره می کند.
پیدا کردن حرفه ای های ماهر امنیتی می تواند یک چالش در بازار امروز باشد، بنابراین مهم است که بیشترین استفاده را از هر عضو تیم داشته باشید. خودکار سازی پاسخ های امنیتی می تواند کارکنانی را که در حال حاضر در حال نصب سیاست های امنیتی و کنترل هستند را آزاد کند و به آنها نقش های پیشگیرانه تر و فعالانه تر بسپارد.
این تخصیص مجدد بازده بیشتر سرمایه گذاری را فراهم می کند و به اعضای تیم وظایف غیر تکراری و معنی دارتر میدهد. انتقال به سیستم امنیتی خودکار می تواند دلهره آور باشد. وقت آن رسیده است تا سیاستها و ابزارهای تلفیقی درست را راه اندازی کنید، اما سازمانها مجبور نیستند این کار را تنها انجام دهند. یک شریک میتواند در ایجاد سیاست، طرح فرآیند اتوماسیون سفارشی و ایجاد یک استراتژی مهاجرت امن کمک کند. شریک امنیت شبکه همچنین می تواند انتقال را با ساختن یک مرحله نظارت برای نشان دادن عملکرد اتوماسیون قبل از اجرای عملیات، آسانتر سازد. این به مدیران امنیتی اجازه می دهد تا با فرایند سازگار شوند و درک کنند که چگونه این تغییرات بر شبکه تاثیر می گذارد. و به عنوان یک گام نهایی، سازمان ها باید فرایندهای اندازه گیری و گزارش را اجرا کنند تا تاثیری که اتوماسیون بر ثبات محیط و در نهایت مأموریت آنها ایجاد کرده را ببینند.
#security #hack @unixmens
مؤسسات می توانند امنیت شبکه خود را بهبود بخشیده و در عین حال با بهره گیری از خودکار سازی پاسخ امنیتی خود، کارایی و صرفه جویی را افزایش دهند.
کاهش زمان از کار افتادگی
اتصال چندین ابزار امنیتی با یک موتور خط مشی به طوری که آنها به عنوان یک کل یکپارچه کار کنند گام خوبی در جهت بهینه سازی امنیت شبکه است. برای مثال، هنگامی که یک اسکنر آسیب پذیری یک مشکل را شناسایی می کند، موتور خط مشی این گزارش آسیب پذیری را گرفته و با قرار دادن یک قانون فایروال یا جدا کردن دستگاه آلوده عمل می کند. سپس یک عامل امنیتی می تواند سازش و بردار حمله را شناسایی کند و دستگاه را ترمیم کند.
این پاسخ اتوماتیک در هر زمانی ممکن است، حتی اگر حمله در ساعت 3 صبح، رخ دهد. سیستم خودکار زمان پاسخ را از ساعت یا روز به دقیقه یا ثانیه کاهش می دهد، که آسیب یک حمله را به حداقل می رساند. زمان پاسخ کوتاه تر منجر به یک شبکه با ثبات تر با زمان کمتری می شود که به نوبه خود موجب صرفه جویی در هزینه می شود.
صرفه جویی در هزینه از طریق تحکیم
یکی دیگر از راه های اتوماسیون امنیت شبکه، صرفه جویی در هزینه است که اجازه می دهد آژانس ابزارهایی که کارهای مشابه انجام می دهند را ادغام کنند. با استفاده از مهاجرت ابر، ابزارهای قدیمی ممکن است با ثبات و با ارزش نباشند و ممکن است نیاز به فرایندها و کنترل های خودکار باشد.
با پیشرفت تکنولوژی، ویژگی ها و توابعی که پیشتر یک سرویس منحصر به فرد بودند، به دستگاه های اصلی متصل می شوند. به عنوان مثال، در گذشته، یک شبکه امنیتی ممکن بود یک فایروال، یک سیستم پیشگیری از نفوذ، پروکسی، سرور و نرم افزار ضد ویروس و تروجان داشته باشد.
در فایروال های امروزی، تمام این قابلیت ها به عنوان توابع اصلی در نظر گرفته شده است. در نتیجه، بسیاری از این منابع جداگانه را می توان حذف کرد، و تعمیر و نگهداری، صدور مجوز و سرمایه گذاری می تواند به کنترل های بیشتر یا فرایندهای مرتبط تر مربوط شود.
حداکثر سرمایه گذاری در افراد
پاسخ اتوماتیک همچنین با حذف خطر خطای انسانی، دقت را افزایش می دهد. انسان ها اشتباه می کنند - ماشین ها نمی کنند. یک سیاست منسجم در همه دستگاه ها هر بار پاسخی مشابه ارائه می دهند، به جای سطوح متفاوت عمل بر اساس فرد پاسخ دهنده. پاسخ اتوماتیک همچنین می تواند گزارشی از مراحل انجام شده و نتایج آنها را تولید کند- اطلاعاتی که می تواند در افزایش بهره وری در آینده کمک کند.
جایگزینی انسان ها با ماشین ها برای برخی از وظایف مطمئنا خطر خطا را کاهش می دهد، اما مردم هنوز بخش مهمی از هر سازمان هستند. جذب و حفظ بهترین اعضای تیم یک سازمان هزینه های گردش مالی، آموزش و سایر هزینه های مرتبط با منابع انسانی را ذخیره می کند.
پیدا کردن حرفه ای های ماهر امنیتی می تواند یک چالش در بازار امروز باشد، بنابراین مهم است که بیشترین استفاده را از هر عضو تیم داشته باشید. خودکار سازی پاسخ های امنیتی می تواند کارکنانی را که در حال حاضر در حال نصب سیاست های امنیتی و کنترل هستند را آزاد کند و به آنها نقش های پیشگیرانه تر و فعالانه تر بسپارد.
این تخصیص مجدد بازده بیشتر سرمایه گذاری را فراهم می کند و به اعضای تیم وظایف غیر تکراری و معنی دارتر میدهد. انتقال به سیستم امنیتی خودکار می تواند دلهره آور باشد. وقت آن رسیده است تا سیاستها و ابزارهای تلفیقی درست را راه اندازی کنید، اما سازمانها مجبور نیستند این کار را تنها انجام دهند. یک شریک میتواند در ایجاد سیاست، طرح فرآیند اتوماسیون سفارشی و ایجاد یک استراتژی مهاجرت امن کمک کند. شریک امنیت شبکه همچنین می تواند انتقال را با ساختن یک مرحله نظارت برای نشان دادن عملکرد اتوماسیون قبل از اجرای عملیات، آسانتر سازد. این به مدیران امنیتی اجازه می دهد تا با فرایند سازگار شوند و درک کنند که چگونه این تغییرات بر شبکه تاثیر می گذارد. و به عنوان یک گام نهایی، سازمان ها باید فرایندهای اندازه گیری و گزارش را اجرا کنند تا تاثیری که اتوماسیون بر ثبات محیط و در نهایت مأموریت آنها ایجاد کرده را ببینند.
#security #hack @unixmens
Forwarded from Academy and Foundation unixmens | Your skills, Your future (yashar esmaildokht 🐧)
دوره سوم کلاس شل اسکریپت از مهر ماه آغاز خواهد شد .
"برای عمل کردن بدن انسان باید او را بیهوش کرد، اما برای عمل کردن روح انسان باید او را بیدار کرد."
👤 لئو تولستوی
👤 لئو تولستوی
"سنگريزه" ريز است و ناچيز. اما اگر در جوراب يا کفش باشد، ما را از راه رفتن باز میدارد!
در زندگی هم بعضی مسائل ريزاند و ناچيز، اما مانع حرکت به سمت خوبیها و آرامش ما ميشوند!
کم احترامی يا نامهربانی به والدين؛
نگاه تحقيرآميز به فقرا؛
تکبر و فخرفروشی به مردم؛
منت گذاشتن هنگام کمک کردن؛
نپذيرفتن عذر خطای دوستان؛
بخشی از سنگريزههای مسير تکامل ما هستند!
آنها را بموقع کنار بگذاريم تا از زندگی لذت ببریم.
در زندگی هم بعضی مسائل ريزاند و ناچيز، اما مانع حرکت به سمت خوبیها و آرامش ما ميشوند!
کم احترامی يا نامهربانی به والدين؛
نگاه تحقيرآميز به فقرا؛
تکبر و فخرفروشی به مردم؛
منت گذاشتن هنگام کمک کردن؛
نپذيرفتن عذر خطای دوستان؛
بخشی از سنگريزههای مسير تکامل ما هستند!
آنها را بموقع کنار بگذاريم تا از زندگی لذت ببریم.
فراخوان شرکت وسفا
شرکت وسفا برای گسترش همکاری خود فی ما بین شرکت های برتر در سطح بین المللی، نیاز به یک نفر متخصص برنامه نویسی Angular دارد که به جدیدترین نسخه از Angular مسلط باشد. محل کار در شهر یزد است .در صورتی که تمایل دارید در شرکت های صاحب نام و گروه های کاری حرفه ای و خلاق و بر روی پروژه های تراز اول بین المللی فعالیت نمایید، لازم است بدانید که، ما هم اکنون در حال جذب نیرو متخصص در حوزه زیر می باشیم، پس فرصت را از دست ندهید.
شرایط عمومی :
• موقعیت مکانی : یزد
• نوع همکاری : تمام وقت
• حداقل سابقه کار : یک سال
شرایط تخصصی :
• مسلط به Typescript و Angular6 به بالا
• آشنا به Javascript ،CSS ،HTML
• آشنا به Bootstrap و Material Design
• دارای تجربه کاری در استفاده از Web Service ها (REST, JSON, and APIs)
• مهارت کافی در کار با Git
• آشنایی با NodeJS (مزیت محصوب می شود)
• داشتن روحیه کار گروهی
مزایای همکاری:
• استخدام به صورت تمام وقت
• بیمه تامین اجتماعی
• حقوق از 5،000،000 به بالا ماهانه
• محیط کاری سالم و پویا
• فرصتهای ارتقا و پیشرفت کاری
توجه : حضور در محل شرکت الزامیست لذا لطفا از ارسال درخواست های دورکاری پروژه ای و … خودداری نمایید.
از علاقه مندان خواهشمند است نسبت به ارسال رزومه به آدرس [email protected] اقدام فرمایند.
شماره تماس تماس : 38275996 035 - 09132736086
ساعت تماس : 8:30 الی 16:20
#یزد
#jobs @unixmens
شرکت وسفا برای گسترش همکاری خود فی ما بین شرکت های برتر در سطح بین المللی، نیاز به یک نفر متخصص برنامه نویسی Angular دارد که به جدیدترین نسخه از Angular مسلط باشد. محل کار در شهر یزد است .در صورتی که تمایل دارید در شرکت های صاحب نام و گروه های کاری حرفه ای و خلاق و بر روی پروژه های تراز اول بین المللی فعالیت نمایید، لازم است بدانید که، ما هم اکنون در حال جذب نیرو متخصص در حوزه زیر می باشیم، پس فرصت را از دست ندهید.
شرایط عمومی :
• موقعیت مکانی : یزد
• نوع همکاری : تمام وقت
• حداقل سابقه کار : یک سال
شرایط تخصصی :
• مسلط به Typescript و Angular6 به بالا
• آشنا به Javascript ،CSS ،HTML
• آشنا به Bootstrap و Material Design
• دارای تجربه کاری در استفاده از Web Service ها (REST, JSON, and APIs)
• مهارت کافی در کار با Git
• آشنایی با NodeJS (مزیت محصوب می شود)
• داشتن روحیه کار گروهی
مزایای همکاری:
• استخدام به صورت تمام وقت
• بیمه تامین اجتماعی
• حقوق از 5،000،000 به بالا ماهانه
• محیط کاری سالم و پویا
• فرصتهای ارتقا و پیشرفت کاری
توجه : حضور در محل شرکت الزامیست لذا لطفا از ارسال درخواست های دورکاری پروژه ای و … خودداری نمایید.
از علاقه مندان خواهشمند است نسبت به ارسال رزومه به آدرس [email protected] اقدام فرمایند.
شماره تماس تماس : 38275996 035 - 09132736086
ساعت تماس : 8:30 الی 16:20
#یزد
#jobs @unixmens
همانطور که می دانید یکی از روش های ایمن سازی سرویس و یا سرور خود، استفاده از گواهینامه ی امنیتی بر روی دامنه ی مورد استفاده ی خود می باشد. هنگامی که شما بخواهید یک گواهینامه ی امنیتی SSL از ارائه دهنده ی خدمات خود خریداری کنید، نیاز هست تا یک CSR که سر نام واژه های Certificate Signing Request می باشد ایجاد کنید و برای ارائه دهنده ی خدمات خود ارسال کنید.
برای ساخت CSR روش های گوناگونی وجود دارد که در این مطلب قصد داریم تا با استفاده از ابزار openssl یک CSR ایجاد کنیم. اگر بسته ی openssl بر روی سیستم شما نصب نیست کافیست تا با دستور پایین آن را نصب کنید . #ssl @unixmens
برای ساخت CSR روش های گوناگونی وجود دارد که در این مطلب قصد داریم تا با استفاده از ابزار openssl یک CSR ایجاد کنیم. اگر بسته ی openssl بر روی سیستم شما نصب نیست کافیست تا با دستور پایین آن را نصب کنید . #ssl @unixmens
Academy and Foundation unixmens | Your skills, Your future
همانطور که می دانید یکی از روش های ایمن سازی سرویس و یا سرور خود، استفاده از گواهینامه ی امنیتی بر روی دامنه ی مورد استفاده ی خود می باشد. هنگامی که شما بخواهید یک گواهینامه ی امنیتی SSL از ارائه دهنده ی خدمات خود خریداری کنید، نیاز هست تا یک CSR که سر نام…
نصب openssl بر روی فدورا :
# dnf install openssl
نصب openssl بر روی RHEL/CentOS :
# yum install openssl
نصب openssl بر روی Debian/Ubuntu :
# apt install openssl
اکنون برای ساخت CSR با استفاده از openssl کافیست تا دستور زیر را اجرا کنید :
$ openssl req -new -newkey rsa:2048 -nodes -keyout example.com.key -out example.com.csr
اگرقصد دارید تا Wildcard SSL بر روی دامنه ی خود خریداری کنید باید دستور زیر را اجرا کنید :
$ openssl req -new -newkey rsa:2048 -nodes -keyout *.example.com.key -out *.example.com.csr
# dnf install openssl
نصب openssl بر روی RHEL/CentOS :
# yum install openssl
نصب openssl بر روی Debian/Ubuntu :
# apt install openssl
اکنون برای ساخت CSR با استفاده از openssl کافیست تا دستور زیر را اجرا کنید :
$ openssl req -new -newkey rsa:2048 -nodes -keyout example.com.key -out example.com.csr
اگرقصد دارید تا Wildcard SSL بر روی دامنه ی خود خریداری کنید باید دستور زیر را اجرا کنید :
$ openssl req -new -newkey rsa:2048 -nodes -keyout *.example.com.key -out *.example.com.csr
کته اینکه به جای example.com در دستورهای بالا باید نام دامنه ی خود را بنویسید. پس از اجرای دستور گفته شده، پرسش هایی نمایش داده خواهد شد که شما بر اساس دامنه ی خود باید آنها را وارد کنید. نمونه ای از خروجی اجرای دستور گفته شده را در تصویر پایین مشاهده می کنید .
Academy and Foundation unixmens | Your skills, Your future
کته اینکه به جای example.com در دستورهای بالا باید نام دامنه ی خود را بنویسید. پس از اجرای دستور گفته شده، پرسش هایی نمایش داده خواهد شد که شما بر اساس دامنه ی خود باید آنها را وارد کنید. نمونه ای از خروجی اجرای دستور گفته شده را در تصویر پایین مشاهده می کنید…
پس اجرای دستور گفته شده فایل csr به همراه key ایجاد می گردد. اکنون کافیست فایل csr را برای ارائه دهنده خدمات SSL خود ارسال کنید و فایل key را در مکانی امن نگهداری کنید.
Forwarded from Academy and Foundation unixmens | Your skills, Your future (yashar esmaildokht 🐧)
معرفی ابزار DSNIFF
ا dsniff مجموعه ای از ابزارهای حسابرسی و تست نفوذ شبکه است. dsniff، پرونده های narf ، mailsnarf ، msgsnarf ، urlsnarf و webspy یک شبکه را برای داده های مهم (گذرواژه ها ، ایمیل ها ، پرونده ها ، و غیره) نظارت می کنند. arpspoof ، dnsspoof و macof رهگیری ترافیک شبکه را که معمولاً برای یک مهاجم در دسترس نیست را آسان می کنند.
#security #hack @unixmens
ا dsniff مجموعه ای از ابزارهای حسابرسی و تست نفوذ شبکه است. dsniff، پرونده های narf ، mailsnarf ، msgsnarf ، urlsnarf و webspy یک شبکه را برای داده های مهم (گذرواژه ها ، ایمیل ها ، پرونده ها ، و غیره) نظارت می کنند. arpspoof ، dnsspoof و macof رهگیری ترافیک شبکه را که معمولاً برای یک مهاجم در دسترس نیست را آسان می کنند.
#security #hack @unixmens
Forwarded from Academy and Foundation unixmens | Your skills, Your future (yashar esmaildokht 🐧)
Forwarded from Academy and Foundation unixmens | Your skills, Your future (yashar esmaildokht 🐧)
معرفی ابزار driftnet
ا Driftnet برای شنود شبکه به کار می رود و تصاویر JPEG و GIF را برای نمایش انتخاب و نمایش می دهد. این یک حمله هولناک به حریم خصوصی است و نباید در هر کجا از آن استفاده شود. همچنین می تواند داده های صوتی MPEG را از شبکه استخراج کرده و آن را پخش کند.
نکته : باید ip_forward فعال و ترافیک با ابزار arpspoof تعغیر کند .
حال arpspoof چیست :
DESCRIPTION
arpspoof redirects packets from a target host (or all hosts) on the LAN
intended for another host on the LAN by forging ARP replies. This is an
extremely effective way of sniffing traffic on a switch.
Kernel IP forwarding (or a userland program which accomplishes the same, e.g.
fragrouter(8)) must be turned on ahead of time.
ا Driftnet برای شنود شبکه به کار می رود و تصاویر JPEG و GIF را برای نمایش انتخاب و نمایش می دهد. این یک حمله هولناک به حریم خصوصی است و نباید در هر کجا از آن استفاده شود. همچنین می تواند داده های صوتی MPEG را از شبکه استخراج کرده و آن را پخش کند.
نکته : باید ip_forward فعال و ترافیک با ابزار arpspoof تعغیر کند .
حال arpspoof چیست :
DESCRIPTION
arpspoof redirects packets from a target host (or all hosts) on the LAN
intended for another host on the LAN by forging ARP replies. This is an
extremely effective way of sniffing traffic on a switch.
Kernel IP forwarding (or a userland program which accomplishes the same, e.g.
fragrouter(8)) must be turned on ahead of time.
Forwarded from Academy and Foundation unixmens | Your skills, Your future (yashar esmaildokht 🐧)