أهلاً بكم! لذا، سيكون هذا نوعًا مختلفًا من المقالات. لقد حاولت أن أبقى بعيدًا عن الرادار شخصيًا من خلال مقالاتي وحسابي على Twitter لعدة أسباب. ليس من الصعب معرفة من أنا. لدي روابط لحسابي على تويتر وهذه المقالة على حساب تويتر الخاص بي (أعلم أنه مكان مقرف)، لكنني لا اهتم فقط احب مجال الأمن السيبراني .
لا أعرف إذا كنت قد قلت هذا من قبل على مقالتي (بالتأكيد فعلت ذلك على تويتر)، لكنني لست من هواة الكتابة. على الرغم من أن الأمن السيبراني مثير للاهتمام للغاية بالنسبة لي، إلا أنني مدمن في هذا المجال قبل ان يخرج هذا المصطلح كما انني احب كسر القواعد . لقد عملت كخبير لفترة قصيرة جدًا قبل أن أترك المنصب. لماذا غادرت؟ سأدخل في ذلك لاحقًا.
لم أقم بأشياء غير الأختراق لفترة طويلة جداً. أعتقد أن المرة الأولى التي قمت فيها باختراق شيء ما كانت في عام 2009. ولم أحصل على شهادة OSCP حتى عام 2020 وفشلت مرتين. عملت كمسؤول Linux وقضيت معظم وقتي في مجال تكنولوجيا المعلومات. قبل العمل في مجال تكنولوجيا المعلومات كنت في القوات المسلحة ولم أمارس تكنولوجيا المعلومات لفترة ثلاث سنوات تقريباً. لذلك كان كل هذا، ولا يزال، جديدًا جدًا بالنسبة لي.
كما أني كنت لست مبرمجًا جيدًا أو حتى رائعًا مع Linux. كان لا يزال يتعين عليّ إدارة معظم وقتي في العمل. وأنا أقول باستمرار لماذا لا يعمل هذا “chmod web.txt 777”. أوه نعم، مسار الملف يأتي بعد الأذونات.
لماذا أتحدث عن هذا؟ حسنًا، لأنه على الرغم من أنني أعمل في مجال الأمن السيبراني بدوام كامل، إلا أنه لا يزال بإمكان اي شخص تجربة تطوير الـ MALWARE ومسارات الهجوم وغيرها من الأشياء الرائعة. أنا فقط لا أتقاضى أجرًا مقابل ذلك. المشكلة هي أنني لست مسؤولاً عن ذلك أيضًا.
قبل عشر سنوات، عندما بدأت كل هذا، أردت حقًا العمل في مجال الأمن السيبراني. مثلاً أردت حقًا العمل فيه. كن حذرا مما ترغب فيه. أنت لست هواة الاختراق، وهذا ما كنت أتمنى أن لا يخبرني به شخص ما قبل أن أحاول أن أكون واحدًا.
سوق العمل
يا إلهي، هناك 3 ملايين وظيفة في مجال الأمن السيبراني لم يتم شغلها بعد! لقد سمعناها جميعا.
ألقِ نظرة على مصدر هذه الإحصائيات. في كثير من الأحيان، يأتي من منظمة تفعل ماذا؟ تقدم التدريب على الأمن السيبراني! غريب هاه؟
لقد سمعنا أيضًا النقاش حول ما هي الوظيفة المبتدئة في مجال الإمن السيبراني.
“إنهم يريدون خبرة 5 سنوات وOSCP لمنصب مبتدئ!”
هذه هي الحقيقة. هناك طرق يمكنك من خلالها الحصول على منصب مبتدئ في pentesting. مثل محلل SOC مبتدئ. ولكن يجب أن يكون لديك بعض الخبرة. مستوى مبتدئ لا يعني عدم وجود خبرة. يعني بعض الخبرة وهذا ليس موجودًا في HackTheBox أو TryHackMe. يتمتع مطورين الويب أو مسؤولين النظام أو مبرمجين .Net بفرصة ممتازة للانضمام إلى فريق الامن السيبراني الداخلي. ستكون هذه حركة جانبية مع شركة تم تأسيس المرشح فيها بالفعل.
ليس لديك شهادة OSCP أو أي شهادة أخرى هي الأكثر إثارة الآن؟ تريد الدخول في اختبار الاختراق pentesting؟ ربما تحتاج إلى درجة جامعية في علم الحاسوب وسيتعين عليك التحول إلى وظيفة مدفوعة الأجر من فترة التدريب.
لقد ولت أيام الحصول على شهادة OSCP وإجراء مقابلة فورية في كبرى الشركات.
تعامل بشكل جيد مع الفريق وانتقل إلى الأمن السيبراني. سيعرف الفريق نقاط قوتك وضعفك حتى لا ينزعجوا أو يشعرون بالخداع لأنهم وظفوا شخصًا لا يمكنه برمجة PoolParty POC الجديد في Nim.
كما أن معظم العاملين في مجال الأمن السيبراني لديهم غرور ويشعرون بالحاجة إلى فرض هيمنتهم التقنية على الجميع عبر الإنترنت. سيكون الأمر مختلفًا عند التحدث شخصيًا مع موظف متوسط المستوى يمكنه التحدث إلى مدير التوظيف نيابةً عنك.
وبما أننا في موضوع سوق العمل. إنه عام 2024. هل رأيت عمليات تسريح الموظفين؟ ولكن كيف لا يتضور الناس جوعا والأشخاص الموهوبين في مجال الإنترنت عندما تقوم كل شركة تكنولوجيا بتسريح الموظفين؟
يعد سوق العمل ساخنًا بالنسبة للأشخاص عبر الإنترنت، ولكن الأشخاص عبر الإنترنت الذين لديهم 10 سنوات من الخبرة كمستخدمين لتطبيقات الويب، وخبرة استشارية في مواجهة العملاء، وCVEs، وقد ألقوا محادثات في المؤتمرات. لن يكون لديهم مشكلة في العثور على عمل.
السوق ليس ساخنًا بالنسبة للأشخاص الذين يقومون بإيقاف تشغيل الحماية في الوقت الحقيقي لتشغيل PAYLOAD MSF .
السوق ساخن أيضًا للأشخاص الذين يستخدمون تطبيقات الويب. لماذا؟ لأنه إذا كنت تستحق الاهتمام بتطبيقات الويب، فإنك تقدم مكافأة للأخطاء وتجني 4-5 أضعاف ما ترغب شركة استشارية في تقديمه.
الإفصاح الكامل لقد عُرض عليّ مبلغ 120 ألفًا لأكون مستشار في تطبيق الويب. أنا لم آخذ هذه الوظيفة. أفتح الطريق أكثر كمحترف في مجال الأمن السيبراني.
أنا لست على علم بسوق العمل العالمي، وهذا هو ما رأيته في الولايات المتحدة. يمكن أن يكون الأمر مختلفًا في بلدان أخرى. أتحدث إلى الكثير من الأشخاص في الاتحاد الأوروبي، لذا يبدو أن لديهم بعض الفرص. لكن من يعلم. أعلم أن المخترقين في بريطانيا يكسبون أقل بكثير مما يحصلون عليه في الولايات المتحدة.
وعلى الجانب الآخر، هل لاحظت كم عدد مواقع “التدريب” الموجودة الآن؟ يبدو الأمر كما لو أن الناس يكسبون أموالاً من تدريس الأختراق أكثر من فعلها فعليًا. في كل مرة ألتفت فيها أرى دورة تدريبية جديدة للتهرب من EDR، وMalware Dev، وREAL HACKER. غريب هاه؟
مستشار
إذن، هل تريد أن تصبح مختبر اختراق pentester؟ هل تعتقد أنك ستجلس امام نظام Kali Linux الخاص بك وتبدأ في الأختراق؟ تمام. هل سبق لك أن عقدت اجتماعا تمهيديا ؟ اذا هل سبق لك أن تم جرك إلى مكالمة مبيعات؟ هل كان من المتوقع من أي وقت مضى لجلب العملاء؟
مرحبا بكم في عالم الاستشارات. غالبية وظائف pentesting التي ستجدها موجودة في عالم الاستشارات. إن عالم الاستشارات القذر والمظلم هو حفرة الجحيم التي يجد المخترقون أنفسهم فيها دون أي مخرج متوقع.
في بعض الشركات، يأتي الأمن السيبراني في المرتبة الثانية بعد المال. كم يدفع العميل؟ وهذا ما يحدد مستوى الجهد. أعتقد أن “التحول والحرق” كانت عبارة سمعتها.
لقد قيل لي ذات مرة “إنهم لا يدفعون الكثير من المال، لذا افعل أي شيء”. يبدو شرعيا أليس كذلك؟
في كثير من الأحيان، ستخرج من التعامل مع العميل بعد أن دفعت 20 ألفًا ليطلب منك إيقاف تشغيل LLMNR.
هذا هو العالم الذي يدفع فيه العميل 15 ألفًا مقابل اختبار اتصال لاسلكي ويقوم المشغل بتشغيل Wifite، ولا يصافحه ويبتعد. يبدو عظيما، أليس كذلك؟
هل كل الشركات الاستشارية هكذا؟ لا، بالتأكيد لا. هناك بعض الشركات الجيدة حقًا والتي تأخذ وقتًا للعمل مع عملائها وتأمين شبكاتها على مدار أشهر، أو حتى سنوات.
اعرف ما الذي ستدخل إليه إذا كنت تجري مقابلة في شركة استشارية. اسألهم عن الساعات القابلة للفوترة، وعدد المشغلين في كل مشاركة، وما هي متطلبات إعداد التقارير، وما إلى ذلك. واسألهم أيضًا عن وقت البحث والتدريب والتطوير. كيف يعاملون هذا؟
من الواضح، إذا لم تكن في تفاعل مع العميل، فأنت لا تجلس فقط وتشاهد Netflix، ولكن ماذا تفعل؟ هل تقوم بكتابة تقارير الآخرين، وتطوير TTPs الداخلية؟ أو هل تنتقل من عميل إلى آخر دون توقف؟
ماذا يحدث عندما تتعثر في العمل؟ هل تعلم أن شيئًا ما قابل للاستغلال، لكن لا يمكنك اكتشافه؟ لقد حدث هذا معي كثيرًا، لكن الشركة لم ترغب في إصدار فاتورة لمشغل آخر ضد العميل حتى لا يلقي أحد نظرة على هجومي. عانى العميل.
الفرق الداخلية هي الأفضل دائمًا. عادةً لا يكون هناك قدر كبير من التقارير، وإذا كان هناك تقرير، فيمكن للفريق بأكمله معالجته. أو إذا كان الفريق يتمتع بالسرعة الكافية، كاتب في فريق العمل!
يحتاج المبتدئين إلى فهم كيف ينظرون إلى الشركات الاستشارية. في عالم الأعمال، إذا كنت لا تجلب المال إلى الشركة، فإنك تكلف أموال الشركة. لا يجلب المخترقون المال، بل مندوبين المبيعات يفعلون ذلك.
مختبرين الأختراق Pentesters هم منتج الشركة. يبيعون مختبر الأختراق pentester إلى العميل لفترة محددة من الوقت. إذا تجاوزت هذا الوقت، فإنك لا تكلف العميل المزيد من المال، بل تكلف الشركة المزيد من المال.
باعتبارك مخترقًا، يمكنك التبديل مع شخص يتمتع بنفس القدر من المهارة، ولكن بسعر أقل. وفي سوق العمل هذا، هناك الكثير من المشغلين ذوي المهارات العالية الذين هم يائسون لسداد رهنهم العقاري او القروض بعد أن منحتهم التمهيد. هل تعتقد أنهم لن يحصلوا على وظيفة مقابل 90 ألفًا حتى لا يستعيدوا منزلهم؟ نعم حسنا.
لسوء الحظ، بسبب ظهور التدريب الأمني الهجومي، أصبح هناك عدد أكبر من “المخترقين” أكثر من أي وقت مضى. سيجد المبتدئون أو حتى المتوسطين صعوبة بالغة في العثور على عمل في الوقت الحالي وربما في المستقبل المنظور. توقعاتي هي أن الأمر سيصبح أكثر صعوبة وسنرى أشخاصًا لديهم شهادات إلكترونية يحاولون شق طريقهم إلى مجالات تكنولوجيا المعلومات الأخرى مثل السحابة أو إدارة النظام أو تطوير تطبيقات الويب.
الراتب
هل تعتقد أنك ستجني 150 ألفًا؟ فكر مرة اخرى. سوف يكسب المخترقون ذوو المستوى الأعلى أموالاً جيدة حقًا. عندما كنت pentester في احد الشركات ، كسبت 120 ألفًا. لقد كان المبلغ أقل بـ 5 آلاف مما يتقاضاه مسؤول نظام في ذلك الوقت، لكنني قبلت الوظيفة لأنني أردت أن أكون في مجال الأمن السيبراني.
نعم، لقد قرأت ذلك بشكل صحيح. لقد كان راتبي الأقل للوصول إلى الأمن السيبراني.
إذا حصلت على عرض سيكون بين 85 و 120 ألف. هذه هي الحقيقة. قد يبدو الأمر لائقًا، ولكن يمكنك كسب المزيد من المال كمسؤول Azure. لو انتقلت من الأمن السيبراني الى مسؤول النظام، سوف حققت 40 ألفًا إضافية. لم يكن علي التعامل مع التقارير أو العملاء أو الساعات القابلة للفوترة.
لقد أخبرت هذا للعديد من الاصدقاء في مجال الأمن السيبراني من خلال الرسائل المباشرة، وأخبرني بعضهم أنهم كانوا يفكرون جديًا في الخروج من الأمن السيبراني لأنهم كانوا يعملون أكثر من 40 ساعة في الأسبوع ولا يكسبون الكثير من المال.
عندما كنت أعمل ككاتب، كنت أعمل لمدة 60-65 ساعة في الأسبوع. شعرت كما لو كان ذلك متوقعًا بصمت كما فعل الآخرون في الفريق. هذا هو الواقع. لن تعمل 9-5. الأمن السيبراني سيكون حياتك. عندما لا تكون في ارتباط، يُتوقع منك اجتياز الدورات التدريبية الجديدة للارتقاء إلى المستوى الأعلى.
يُتوقع منك الحصول على أحدث شهادة OffSec، وتطوير تجاوزات AMSI جديدة، أو أي شيء آخر. وهذا كله بعد ساعات العمل. هل لاحظت يومًا عدد أفراد الأمن السيبراني المقيمين في الولايات المتحدة الذين يغردون بعد منتصف الليل؟ هل لاحظت يومًا عدد أفراد الأمن السيبراني المقيمين في الولايات المتحدة الذين يميلون إلى العمل بعد ظهر يوم السبت؟
المهارات
هل يمكنك البرمجة بلغة C وC# وpython وPerl وRuby وNim وRust؟ هل يمكنك البرمجة النصية بلغة bash وPerl وPowershell وVBscript؟ اريد التواصل مع الدكتور واتس اب. بالنسبة للعديد من الشركات التي تقوم بالاختراق، سوف تحتاج إلى معرفة البرمجة. سوف يعطونك أيضًا تحديًا برمجيًا (ربما 2).
هل البرمجة ضرورية حقًا للاختراق؟ نوع من يعتمد. يجب أن تفهم أساسيات البرمجة، وخاصة WinAPIs في C# وC. هل يُتوقع منك تحليل استغلال وإعادة كتابته إذا لزم الأمر؟ نعم، سوف تكون. بغض النظر عن exploit الذي تم كتاتبه.
من المتوقع أن يكون المخترقين خبراء في كل شيء بدءًا من برمجة .Net وحتى تكوينات تحويل Cisco إلى إلغاء تسلسل Java. ما هي تجاوزات BitLocker التي تعرفها؟ هل سبق لك أن قمت بإعداد rogue AP ؟ هل تعرف كيفية ضبط DMARC وSPF للتصيد الاحتيالي؟
هنا شيء. هل سبق لك أن قمت بإعداد البنية التحتية للقيام بالاتصالات بالحرب؟ لقد كانت هذه مهمة فعلية تم تكليفي بها. إذا كنت لا تعرف ما هو هذا، فابحث عنه. إنه شيء فعلوه في الثمانينيات وطلب من بعض الاشخاص القيام بذلك في عام 2021.
هذه مجرد المهارات التقنية. عندما تصل إلى soft skills ، هناك أيضًا عدد كبير من الأشياء المتوقعة منك. ماذا عن الإمساك بلسانك عندما تحاول أن تشرح لـمدير احد الشركات أن هذا هو سلوك متوقع؟
عندما يتعلق الأمر بالمهارات، يُتوقع منك إما حفظها عن ظهر قلب، أو أن تكون قادرًا على تعلمها في حوالي 30 دقيقة. سريع! ما هو بناء الجملة لتشغيل Secretsdump.py؟
الارتباطات
إليك شيء لن يخبرك به أحد عندما تدخل في مجال الأمن السيبراني. كل تلك الأمور الرائعة التي تعلمتها في مختبرات OffSec أو حتى تعلمتها بنفسك، ربما لن تتمكن من القيام بها فعليًا.
قل وداعًا للهجمات المعتمدة على Powershell. ليس مسموحًا لهم بها لماذا؟ لأنه “قد” يتم اكتشافه. كل هذا التدريب الذي قمت به على أساس PowerSploit؟ كان عليه أن يجد طريقة مختلفة.
وهنا شيء آخر، هل حصلت على مخدر؟ هل تعتقد أنك ستقوم بترك EXEs على الهدف؟ فكر مرة اخرى. لن يكون مسموحًا لك بترك أي شيء على القرص عندما تقوم بالاختراق. لماذا؟ لأنك “قد” تنساها وأيضًا لأنه “ربما” يتم اكتشافها.
ماذا عن BYVOD AV killer ؟ هاها. تمام. هل تعتقد حقًا أن مديرك سيسمح لك kill AV على هدف العميل؟ لن يحدث. لقد قمت بتغيير registry key لتشغيل RDP للانتقال الجانبي إلى سيرفر SQL مرة واحدة وتعرض الجميع للانهيار.
من الواضح أن هناك تكتيكات يمكن أن تستخدمها التهديدات المستمرة المتقدمة الحقيقية والتي من شأنها أن تكون مدمرة لبيئة العميل، وبالتالي فإن الخط الفاصل بين محاكاة الهكر وإجراءات الهكر يتحرك ذهابًا وإيابًا اعتمادًا على TTPs الخاصة بك.
في بعض الحالات، قد يكون من المقبول تغيير parameter مهم مجدول لتنفيذ التعليمات البرمجية عن بعد. وفي حالات أخرى، يمكنك حقًا تدمير شيء ما.
على سبيل المثال، ستقوم بعض الشركات بمحاكاة هجمات ransomware على شبكة عملاء مجزأة. ولكن إذا كنت تخترق بيئة إنتاجية، فأنت تريد أن تكون حذرًا بشأن ما تغيره.
ما أقوله هو أنك لن تكون قادرًا على التشغيل التلقائي الكامل على شبكات العملاء. كثير من الأشخاص الذين يدخلون في اختبار pentesting لا يفهمون هذا ويعتقدون أن ما فعلوه في اختبار الامن السيبراني الخاص بهم سوف يكون له معنى. ستكون شركتك مقيدة، أكثر تقييدًا مما تظن.
واقع EDR
الشيء الآخر الذي لا يأخذه الناس في الاعتبار هو حقيقة EDR. أصبحت EDR أو SIEM، أو أيًا كان ما تريد تسميتها، أكثر انتشارًا في شبكات العملاء.
سوف تتولى الاكتشافات القائمة على السلوك المسؤولية خلال السنوات العشر القادمة بفضل الذكاء الاصطناعي. إن تجاوز هذه الدفاعات سوف يصبح أكثر صعوبة. هل سيكون هناك دائما طريقة؟ بالتأكيد، ولكن سواء أرادت شركات الامن السيبراني الاعتراف بذلك أم لا، فإن الكثير من الشركات ستبدأ في التخلص من اختبارات الاختراق السنوية أو الموسمية بعد أن يتوقف المشغلين عن إيجاد طرق للدخول.
تخيل أنك تدفع مبلغًا ثابتًا قدره 40 ألفًا مقابل مشاركة red team فقط ليتم إخبارك بأن ان الفريق لا يمكنه الدخول من المكان الذي قدمه العميل. CISOs هم المدراء التنفيذيين. يريدون أن يروا النتيجة. ولا يقدم فحص Nessus الذي تبلغ تكلفته 40 ألف دولار الكثير. في الواقع، فإن إخبارك بأن شركة الامن السيبراني لا يمكنها الدخول يعد سببًا إضافيًا للتخلص من أجهزة Pentests.
يعود هذا إلى عمليات تسريح العمال الأخيرة في مجال الأمن السيبراني. أعتقد أنني مخطئ؟ هذا جيّد. ربما أنا كذلك.
الخاتمة
انظر، لقد فهمت. نحن جميعا نريد أن نتقاضى أموالا لـ pwn. المشكلة هي أن أعمال الأختراق تختلف كثيرًا عن OffSec Proving Grounds أو HackTheBox Certified أيًا كانت الشبكات.
إذا كان الاختراق هو حلمك، فافعلها! فقط كن مستعدًا لما سيستغرقه الأمر. أنا لا أحاول تثبيط عزيمة المبتدئين أو حتى المتوسطين. ولكن إذا كنت أعرف كيف سيكون الأمر في عالم الأختراق الحقيقي، فربما كنت لن ادخله في هذه السنوات وأحصل على شهادة مهندس معتمد من RedHat..
إذا كنت مهتمًا بتطبيقات الويب، فإن مكافآت الأخطاء أصبحت تنافسية للغاية، ولكنك لا تزال رئيس نفسك والعديد من الأشخاص متخصصون في 2-3 هجمات (XSS، والحقن، وما إلى ذلك).
ومع هذا أترككم لذلك! اذهب وقم بترك ملف EXE على الجهاز على شبكة العميل !
