بایگانی ماهیانه: تیر ۱۳۹۴

درآمدزا ترین موقعیت های شغلی امنیت اطلاعات*

(دانلود فایل این یادداشت که در شماره ۶۰ مجله بانکداری الکترونیک چاپ شده است)

اگر به چشم انداز تهدیدهای امنیتی نگاه کنیم، توسعه بازار امنیت اطلاعات موضوع دور از ذهنی نخواهد بود. طبق گزارش منتشر شده توسط Burning Glass Technologies ، تعداد درخواست­های نیروی کار امنیت بین سالهای ۲۰۰۷ تا ۲۰۱۳ به میزان هفتاد و چهار درصد، تقریباً دو برابر بقیه مشاغل فناوری اطلاعات، رشد داشته است. به علاوه، انتظار می­رود که این رشد ادامه پیدا کند، به طوری که طبق پیش بینی مرکز آمار فدرال ایالات متحده، فقط جایگاه تحلیل گر امنیت (Security Analyst) تا سال ۲۰۲۲ با رشد سی و هفت درصدی نسبت به ۲۰۱۲روبرو خواهد شد.

این واقعیت­ها، بازار کاری امنیت اطلاعات را به یکی از جذاب­ترین­ ها در میان مشاغل فناوری اطلاعات تبدیل کرده است. در عین حال، هزینه­ های بالای این صنعت باعث شده که فرآیند انتخاب یک مسیر شغلی در این حوزه دشوار گردد. بر این اساس، تحقیقات ما در زمینه میزان درآمد مشاغل مختلف امنیت اطلاعات، منجر به تهیه لیستی از ۱۰ شغل برتر از نظر میزان درآمد به شرح زیر شده است.

۱-    مدیر ارشد امنیت اطلاعات (CISO)

CISO یک مدیر ارشد اجرایی (در اصطلاح C-Level) است که وظیفه اصلی آن نظارت عالی بر عملکرد واحد امنیت سازمان و پرسنل آن است. وظعیت کلی امنیت سازمان دغدغه اولیه CISO است. در حقیقت، فردی که خواهان چنین جایگاهی است باید بتوانند پیش­ زمینه­­ های قوی در موضوعات راهبردی فناوری اطلاعات و نیز معماری امنیت از خود به نمایش گذارند. همچنین متقاضی این شغل باید مهارت بالایی در تعامل و ارتباطات با افراد باشد، چرا که سازماندهی و مدیریت تیم امنیت و نیز ارتباط با دیگر مدیران سازمان و تعامل با نهادهای دیگر خارج از سازمان از وظایف این جایگاه است.

براساس پیش­بینی PayScale ، میانگین درآمد یک CISO در سال ۲۰۱۵ حدود ۱۳۱ هزار دلار است. در این جایگاه می­توان حداقل انتظار درآمد ۸۱ هزار دلار در سال را داشت. این مبلغ برای سازمان­های بزرگ می­تواند تا ۲۴۰ هزار دلار در سال نیز افزایش یابد.

۲-    معمار امنیت (Security Architect)

معمار امنیت یک کارشناس ارشد است که مسئول ایجاد و نگهداری زیرساخت فنی امنیت سازمان است. این جایگاه نیازمند دارا بودن یک تصویر جامع از زیرساخت فناوری و اطلاعاتی سازمان است، تا فرد را قادر به توسعه و تست ساختارهای امنیتی برای حفاظت از زیرساخت فوق نماید. از معمار امنیت انتظار می­رود که در حیطه­های متنوعی همچون ایزو ۲۷۰۰۱ و ۲۷۰۰۲، ITIL ، COBIT ، روال­های ارزیابی مخاطرات، سیستم عامل­ها و کنترل­های امنیت پیرامونی مهارت داشته باشد.

بر اساس پیش­بینی PayScale، حداقل دریافتی سالانه معمار امنیت حدود ۸۴ هزار دلار، به طور متوسط حدود ۱۰۹ هزار دلار و حداکثر ۱۶۰ هزار دلار است.

۳-    سرپرست امنیت (Security Director)

سرپرست امنیت نیز یک کارمند ارشد است که وظیفه نظارت بر پیاده­ سازی کلیه کنترلهای امنیت فناوری اطلاعات را بر عهده دارد. به بیان دقیق­تر، سرپرست امنیت مسئول طراحی، مدیریت و تخصیص منابع به برنامه­های امنیتی در داخل واحد امنیت است، از جمله: ایجاد برنامه­ های آگاهی رسانی، انطباق با استانداردها، تعامل با کارمندان واحدهای دیگر و نیز کمک به اجرای روال­های قانونی در صورت رخداد یک حادثه امنیتی.

از سرپرست امنیت انتظار می­رود که مهارت­های CISO را در زمینه دانش راهبردی فناوری اطلاعات، معماری سازمان و دیگر مفاهیم امنیت داشته باشد. در حقیقت، سرپرست امنیت مستقیماً به CISO پاسخگو است و به طور کلی در سازمان­های کوچک نقش CISO را ایفا می­کند.

۴-    مدیر امنیت (Security Manager)

مدیر امنیت یک کارمند میانی است که مدیریت خط مشی های امنیتی سازمان را بر عهده دارد. یک مدیر امنیت موفق باید توان ارتباط موثر با افراد و رهبری داشته باشد. کاندیداهای این جایگاه باید خود را برای تدوین و اجرای استراتژی­های ابلاغ شده از سرپرست یا مدیر ارشد امنیت آماده کنند.

مدیر امنیت همچنین موظف است ابزارهای جدید امنیت را تست و پیاده­ سازی کند، برنامه­ های آگاهی­ رسانی را راهبری کرده و بودجه واحد و زمانبندی افراد را مدیریت نماید. لازم است این فرد دارای پیش­ زمینه کافی برنامه نویسی بوده و با معماری سازمان و موضوعات راهبردی فناوری اطلاعات آشنا باشد. با این حال عموماً  وجود دانش عمیق در این زمینه­ ها الزامی نیست.

دستمزد سالانه این جایگاه به طور میانگین ۱۰۲ هزار دلار بوده و میزان حداقل و حداکثر دستمزد مورد انتظار این شغل به ترتیب ۷۱ هزار و ۱۴۳ هزار دلار (در سازمان­های بزرگ) پیش­ بینی می­شود.

۵-    مهندس امنیت (Security Engineer)

مهندس امنیت یک کارشناس میانی است که وظیفه ایجاد و راهبری راه حل­های امنیت فناوری اطلاعات را بر عهده دارد. پیکربندی فایروال، تست ابزارهای جدید، بررسی حوادث و گزارش­دهی به مدیر امنیت از جمله وظایف این جایگاه است. کسانی که مایل به تصدی این شغل هستند باید پیش­زمینه قوی در زمینه ارزیابی آسیب پذیری و تست نفوذ، فناوری مجازی سازی، فناوری­ های کاربردی و رمزنگاری، به علاوه پروتکل­های شبکه  داشته باشند. هر قدر گستره ابزارهایی که مهندس امنیت با آنها آشنا است بیشتر باشد، بیشتر می­تواند به سازمان در رفع مشکلات امنیت کمک کند.

دستمزد میانگین مهندس امنیت سالانه حدود ۸۷ هزار دلار بر اساس پیش­ بینی PayScale در سال ۲۰۱۵ است. حداقل دریافتی مورد انتظار برای این شغل می­تواند ۵۷ هزار دلار و حداکثر ۱۲۸ هزار دلار در سال باشد.

۶-    کارشناس پاسخ به حوادث (Incident Responder)

این کارشناس مسئول رسیدگی به حوادث، تهدیدها و آسیب پذیری­ها است. افراد متقاضی این جایگاه باید برای پایش فعال شبکه سازمان، اجرای تست نفوذ، ممیزی امنیت، تحلیل بدافزار و مهندسی معکوس آن، در راستای جلوگیری از رخداد مجدد حوادث آمادگی و توانایی داشته باشند.

کارشناس مسئول پاسخ به حوادث عموماً عضو تیم گوهر (CSIRT) بوده و به مدیر گوهر پاسخگو است. داشتن مهارت­ در زمینه­های گسترده­ای چون امنیت برنامه­ های مبتنی بر وب و نرم افزارهای فارنزیک الزامی است.

میزان دستمزد میانگین برای این جایگاه بین ۷۰ تا ۹۰ هزار دلار سالانه است. به طور کلی متقاضی این جایگاه می­تواند انتظار دریافتی سالانه بین ۵۰ تا ۱۵۰ هزار دلار را داشته باشد.

۷-    مشاور امنیت (Security Consultant)

مشاور امنیت یک کارشناس بیرون از سازمان است که به سازمان برای اجرای راه حل­های امنیتی کمک می­کند. کسانی که متقاضی جایگاه مشاور امنیت هستند باید طیف گسترده­ای از استانداردها، سیستم­ها و پروتکل­های امنیتی را بشناسد. مشاور امنیت برای موفقیت باید تصویر جامعی از سازمان مربوطه داشته باشد، با مدیران ارشد سازمان تعامل داشته و خط­ مشی­های کسب و کار سازمان را به خوبی بشناسد. در این صورت مشاور می­تواند ابزارها و راه حل­هایی که مناسب وضع موجود سازمان است را پیاده­سازی نماید. همچنین مشاور باید بتواند در صورت نیاز این راه حل­ها را تست و به روز رسانی کند. بر اساس پیش بینی PayScale ، مشاور امنیت می­تواند به طور میانگین ۸۱ هزار دلار درآمد در سال ۲۰۱۵ داشته باشد. حداقل این درآمد ۴۶ هزار دلار و حداکثر مورد انتظار، ۱۴۷ هزار دلار است.

۸-    کارشناس فارنزیک (Computer Forensics Expert)

این کارشناس مسئول تحلیل شواهد جمع­آوری شده از کامپیوترها، شبکه و تجهیزات ذخیره سازی به منظور بازرسی جرائم و حوادث کامپیوتری است. این افراد عموماً همکاری تنگاتنگ با مراجع قانونی داشته و شواهد و گزارش­های فنی را تهیه و ارائه کرده و نیز آموزش­های حقوقی در زمینه امنیت اطلاعات ارائه می­ دهند. بیشترین موقعیت شغلی برای این افراد در سازمان­های حقوقی و حاکمیتی فراهم است.

میزان دستمزد میانگین برای این جایگاه حدود ۷۷ هزار دلار سالیانه بوده و از حداقل ۵۶ هزار دلار تا ۱۱۹ هزار دلار با در نظر گرفتن کمیسیون­ها و اضافه کار در نوسان است.

۹-    تحلیل­گر بدافزار (Malware  Analyst)

تحلیل گر بدافزار به سازمان در زمینه شناخت انواع بدافزارها کمک می­کند. این افراد با کارشناسان فارنزیک ارتباط کاری نزدیکی داشته و به خصوص هنگام حوادث امنیتی برای شناسایی بدافزارها تلاش می­کنند. از جمله کارهای این افراد می­توان به تحلیل استاتیک و پویای کد برنامه ها برای شناسایی امضای بدافزارها و توسعه ابزارهای ضد بدافزار اشاره کرد.

دستمزد میانگین این جایگاه شغلی سالانه ۷۵ هزار دلار بوده و از حداقل ۴۸ هزار دلار تا ۱۰۰ هزار دلار قابل تغییر است.

۱۰- متخصص امنیت (Security Specialist)

متخصص امنیت یک کارشناس سطح پایین تا سطح میانی است که مسئول انجام کارهای مختلفی در زمینه امنیت سازمان می­باشد. اکثراً متخصص امنیت موظف است نیازمندی های امنیتی سیستم های سازمان را تحلیل کند، ابزارهای امنیتی را نصب و پیکربندی کرده و ارزیابی آسیب پذیری انجام دهد. همچنین باید به کارمندان سازمان آموزش­های لازم را نیز ارائه کند. افراد متقاضی این جایگاه باید دارای دانش مناسبی در زمینه نفوذ، شبکه، برنامه نویسی و ابزارهایی مانند SIEM داشته باشند.

دستمزد سالانه متخصص امنیت به طور میانگین حدود ۷۴ هزار دلار بر اساس پیش بینی PayScale در سال ۲۰۱۵ بوده و می­تواند بین ۴۳ هزار تا ۱۱۳ هزار دلار در نوسان باشد.

* این یادداشت از وب سایت شرکت امنیتی Tripwire انتخاب و ترجمه شده است.

اشتراک گذاری

خلاصه ای از اطلاعات افشا شده شرکت Hacking Team

در دو هفته گذشته موضوع هک شدن و نشت بیش از ۴۰۰ گیگابایت از اطلاعات شرکت Hacking Team ، یک شرکت ایتالیایی تولید کننده نرم افزارهای جاسوسی و نفوذ، مورد توجه بسیار زیادی قرار گرفت. کل این اطلاعات در حال حاضر در اینترنت به فرمت های مختلف در دسترس است، از جمله بیش از یک میلون ایمیل که با قابلیت های پیشرفته جستجو در سایت ویکی لیکس قرار گرفته است.

گزارش های متعددی از بررسی این ۴۰۰ گیگابایت اطلاعات منتشر شده که از جمله می توان به شناسایی و انتشار ۳ آسیب پذیری Zero-day در Adobe Falsh Player اشاره کرد که با شناسه های CVE-2015-5122 ، CVE-2015-5123 و CVE-2015-0349 هر سه این روزها به طور گسترده اکسپلویت شده اند، در حالی که دو تا از سه آسیب پذیری فوق تا امروز توسط Adobe اصلاح نشده اند.برای حذف Flash Player از این ابزار و برای بررسی اینکه آیا این کار موفق بوده یا نه از اینجا استفاده کنید.

به علاوه، بررسی ایمیل ها و اسناد اداری افشا شده نشان می دهد که این شرکت ابزارهای شنود، جاسوسی و نفوذ را به بسیاری از کشورهایی که به عنوان ناقض حقوق بشر شناخته شده اند، فروخته است و به همین دلیل، با وجود تکذیب این موارد توسط شرکت، از مدت ها قبل توسط گزارشگران بدون مرز به عنوان یکی از دشمنان اینترنت هم معرفی شده بود.

طبق ایمیل های افشا شده، این شرکت به همراه بوئینگ در حال کار روی پهپادهای حامل بدافزار بوده اند، به طوری که این پهپادها با پرواز به سمت هدف خود از فاصله مناسبی به شبکه wifi آن نفوذ و بدافزار را در شبکه هدف منتشر کنند!

بخشی دیگر از اطلاعات نشان می دهند که ابزارهای شرکت قابلیت نفوذ به انواع سیستم عامل های موبایل را دارند. حتی سیستم های iOS ای که JailBreak نشده اند هم قابل نفوذ با این ابزارها می باشند.

با وجود اینکه مدیرعامل Hacking Team از دست داشتن یک دولت خارجی در این حادثه خبر داده بود، اخیراً اعلام شده که احتمالاً موضوع افشای این اطلاعات ناشی از سوء استفاده چند کارمند پیشین شرکت از دسترسی های خود بوده است.

اشتراک گذاری

دومین دوره تهدیدهای نوظهور امنیتی ۱۲ مرداد شروع خواهد شد

دومین دوره آموزشی تهدیدهای نوظهور امنیتی از ۱۲ مردادماه در مرکز فابا شروع خواهد شد. مطالب این دوره نسبت به دوره قبل جدیدتر بوده و آخرین تکنیک های استفاده شده در حملات به خصوص نسبت به سرویس های بانکی را در بر داشته و نیز روش های مقابله با این حملات نیز بررسی خواهد شد. مدت دوره ۳۲ ساعت در طول ۸ هفته خواهد بود.

اطلاعات ثبت نام

اشتراک گذاری

ابزاری برای بررسی برنامه های کاربردی کلاینت و به روز رسانی آنها

یکی از معضلات شبکه های سازمانی در سال های اخیر، فربه شدن کلاینت ها و استفاده اونها از ده ها برنامه کاربردی از برندهای مختلف هست. این باعث شده که امنیت نرم افزارهای کلاینت به شدت بر امنیت شبکه های سازمانی و به طور کلی امنیت کاربر تأثیرگذار باشه. به دلیل همین نقطه ضعف، روند بسیاری از حملات، به خصوص حملاتی که با هدف سرقت اطلاعات انجام میشه، از جمله انواع تهدیدهای پیشرفته ماندگار (APT) ، به طرف کلاینت ها رو به افزایش بوده و شناخته شده ترین بدافزارهای سال های اخیر از آلوده کردن کامپیوترهای کلاینت کار خودشون رو آغاز می کنند.

بنابراین برای یک سازمان، اطلاع از وضعیت امنیت نرم افزارهایی مثل آفیس، flash player ها، مرورگرها و غیره بسیار حیاتی خواهد بود. اتفاقاً مشکل همینجاست، حداقل در مورد نرم افزارهای مایکروسافتی یک راه حل در سطح enterprise وجود داره اما در مورد جاوا، flash player و نرم افزارهای مشابه، راه حل استانداردی که چاره کار enterprise باشه نه اینکه وجود نداره اما اجرای اون کار ساده و کم هزینه ای نیست.

با این مقدمه، یک نرم افزار از شرکت secunia با نام Secunia SPI رو معرفی می کنم که حداقل خود شما برای کامپیوتر خودتون میتونید استفاده کنید. این نرم افزار، وضعیت تمام برنامه های کاربردی شما رو از نظر به روز بودن بررسی کرده و گزارش می کنه و در صورت لزوم میتونه اکثر اونها رو به روز کنه.

دانلود

اشتراک گذاری