در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

چرا اکثر کارشناس های امنیت ایرانی فقط سخت افزار پیشنهاد می دهند؟

این مقاله رو در تجزیه و تحلیل و ارائه توضیحات در خصوص حملاتی که طی چند روز گذشته به وب سایت انجام شد نوشتم و احساس کردم دونستن این موضوع در ایران بسیار لازم هست ، طی روزهای اخیر حملات گسترده ای از نوع DDOS بر روی وب سایت انجام شد که متاسفانه باعث شد ضمن اینکه وب سایت ساعاتی در دسترس نباشه ، مشکلاتی رو برای منابع سخت افزاری ما هم ایجاد کرد و سرور ما دچار اختلال شد که با کمک و همیاری دوستان و رسیدگی به این موضوع خوشبختانه مشکل تا حدود زیادی فعلا برطرف شد ، اما نکته جالب در خصوص این حملات این هست که در وهله اول حمله به وب سایت ها چیز بسیار بسیار طبیعی هست ، یعنی اگر روی وب سایتی حمله انجام نشه باید تعجب کرد ! شما وقتی روی وب سایتتون حمله میشه که مهم شده باشید ، ارزشمند باشید ، هیچوقت یک گروه هکری یا هکرها برای وب سایت های کم ارزش و بی ارزش زمان نمیزارن و این جای شکر داره که باعث شدیم انگیزه ای برای عده ای بشیم که در این حوزه بخان خودشون رو با حمله کردن به وب سایت ITPRO به دیگران نشون بدن و از این بابت خوشحالیم .

اما این میان خیلی حرف ها هست که نه تنها سنجیده نیست بلکه مشخصا زائییده ذهن افرادی هست که من بهشون میگم کارشناس های امنیت مبتنی بر مکانیزم های دولتی ایران ! ما در مجموعه ITPRO اصل رو بر صداقت قرار می دیم ، یعنی اگر حمله ای روی وب سایت انجام بشود رسما در کانال و در شبکه های اجتماعی در خصوص حمله و نوع آن توضیح می دهیم و از کاربران می خواهیم که تا زمان برطرف شدن مشکل صبور باشند اما ظاهرا عده ای این اطلاع رسانی را از جهت ضعف مجموعه TOSINSO می دانند !! واقعا درک نمی کنم که عده ای به من پیام می دهند و راهکار امنیتی می دهند !

آن هم نه راهکار امنیتی فنی که بصورت فورس ماژور اجرایی شود بلکه راهکارهایی که فقط در سیستم دولتی ایرانی دیده می شود ! یکی از دوستان راهکار خرید فایروال های سخت افزاری می دهد ، یکی دیگر پیشنهاد خرید تجهیزات WAF سخت افزاری می دهد ، آن یکی می گوید از فلان سرویس بین المللی ضد DDOS استفاده کنید ، آن یکی می گوید از فلان پلتفرم ایرانی استفاده کنید و ... من فقط از این عزیزان یک سئوال دارم !! واقعا تصور شما این است که بنده تا به حال عقلم به خرید و استفاده از چنین تجهیزات و سرویس هایی نرسیده است ؟ بد نیست در مورد خودم و رزومه کاری که در این حوزه دارم مطالعه کنید تا متوجه شوید که سالهای سال است که در این حوزه فعالیت می کنم و این پیشنهادات شما برای من سالها پیش حل شده است اما نکته در کجاست ؟

اکثر کارشناس های امنیتی که در ایران هستند ، به محض بروز مشکلات امنیتی با توجه به اینکه محدودیت بودجه ای تقریبا وجود ندارد و کار اکثر سازمان های دولتی در ایران هزینه تراشی است سریع به سراغ پیشنهاد راهکارهای سخت افزاری می روند ، دوست عزیز ، بزرگوار ، کارشناس امنیت سطح کلان ، شک نکنید ما هم عقلمان به این می رسد که هزینه ای چند صد میلیون تومانی می توان جلوی بسیاری از این حملات را گرفت اما شما متوجه این هستید که مجموعه TOSINSOیک مجموعه دولتی و دارای بودجه برای حیف و میل کردن نیست ؟ اگر توانایی خرید تجهیزات گرانقیمت و سرویس هایی که برای ما به لحاظ فنی بعضا قابل پیاده سازی نیست و شما هم قطعا در جریان جزئیات فنی آن نیستید ، را نداریم به دلیل این است که ما یک مجموعه دولتی نیستیم ، ما بودجه دولتی نداریم ، ما اسپانسر مالی نداریم ، ما مثل وب سایت های دولتی نیستیم که میلیاردها تومان سالیانه بودجه برای آنها تعیین شود ! از طرفی ما یک تجارتخانه آنلاین هم نیستیم ! درست است که از این وب سایت درآمد داریم اما هدف اصلی وب سایت مالی نبوده و نیست و صرفا درآمدی که از وب سایت تامین می شود برای نیروهایی که در آن زحمت می کشند هزینه می شود و ...

جالب است یکی از دوستان با کنایه می گفت که شما چجور کارشناس امنیت و هکر کلاه سفیدی هستید که اینقدر به شما حمله می شود و شما مرتب پیام می گذارید که حمله داشتیم و ... و کاری از دستتان بر نمی آید ؟ من یک سئوال از این دوست عزیزمان دارم که آیا ناسا هک نمی شود ؟ مایکروسافت هک نمی شود ؟ مگر گروه های هکری اینترنت کل ترکیه را برای چند روز مختل نکردند ؟ مگر استارتاپی مثل دیجیکالا و بامیلو در حجم عظیم ترافیکی که داشتند دچار اختلال نشدند ؟ در ضمن دقیقا شما چه کاری مختص خودتان داشته اید که در مورد ما نظر می دهید ؟ آیا خودتان مالک مجموعه ای بوده اید که دچار حملاتی شود که قدرت فکر کردن را از شما بگیرد ؟ یا اینکه صرفا در کنار مجموعه ها بوده اید و همراهی کرده اید و در رزومه نام سازمان را آورده اید که مشاورش بوده اید ؟

جناب مهندس کارشناس مشاور و پروفسور امنیت مبتنی بر سازمان های دولتی ایران ، هنر این است که شما بتوانید یک حمله را با کم هزینه ترین روش ممکن پوشش بدهید و مدیریت کنید و از خودتان خلاقیت نشان بدهید ، اگر کسی توانایی خرید تجهیزات میلیونی ندارد چگونه به او مشاوره می دهید ؟ مشاوره های بعضا این دوستان فقط خرید تجهیزات است ، بارها به دوستان گفته ام که در بسیاری از سازمان های ایران فایروال ها و تجهیزات امنیتی و سرویس های امنیتی میلیاردی خریداری می شود بدون اینکه اصلا بدانیم برای چه چیزی نیاز هستند ؟ حتی درست تنظیمات بر روی آنها انجام نمی شود !

جناب مهندس کارشناس مشاور و پروفسور امنیت مبتنی بر سازمان های دولتی ایران ، هنر این است که شما حملات را ثبت و ضبط کنید با کمترین امکانات ، هنر این است که حملات را خنثی کنید با کمترین امکانات ، هنر این است که از همان سوراخی که قبلا نیش خورده اید مجددا نیش نخورید نه اینکه فقط یک سخت افزار نصب کنید و تمام ... اینجوری باشد خیلی ها کارشناس امنیت می شوند. این محدودیت ها است که باعث ایجاد خلاقیت می شود . در سال گذشته آنقدر تعداد حملات بالا بود که شاید هر هفته ما چند ساعت Downtime داشتیم ، کم کم این حملات به مرور تجزیه و تحلیل و خنثی شدند و به مرور حملات آنقدر کم شدند که ماه ها طول می کشید تا حمله ای انجام شود .

حمله اخیر سنگین ترین حمله ای بود که تا به حال بر روی وب سایت انجام شده بود و به قدری شدید بود که مسئولین مرکز داده با ما به دلیل ایجاد شدن ترافیک زیاد بر روی سرور تماس گرفتند و اطلاع رسانی کردند !! یعنی حمله جدید متفاوت از حملات قدیمی بوده است ... اگر یکی از دوستان حداقل می گفت که اینجور لاگ رو بگیر ، از وب سرور Trace کن ببین چه نوع Attack ای هست ، روی چه آدرس های URL ای Attack داری ، روی چه Query از Database ات بار میندازه ؟ یعنی یکی سئوال فنی نکرد از این دوستان مشاور امنیت ! فقط بخرید بخرید بخرید .... نصب کنید ...

حرف ها زیاد است ، اما خلاصه کلام ، کارشناس امنیت بودن صرفا به پیشنهاد خرید سخت افزار و سرویس و نرم افزار جانبی برای ایجاد امنیت نیست ، هر موقع توانستید با دانش برنامه نویسی و بهینه سازی کدها حملات را خودتان کاهش بدهید ، هر موقع توانستید با فایروال های بسیار مبتدی و ساده ای که برای شما مسخره به نظر می رسند جلوی بسیاری از حملات معمول را بگیرید ، هر موقع توانستید بدون اتکا به بودجه و هزینه های بیخودی که برای هر جایی تراشیده می شود تا بودجه آخر سال حیف و میل شود راهکار امنیتی مبتنی بر علم امنیت بدهید ، شما قطعا یک کارشناس امنیتی مبتنی بر دانش و علم خواهید بود ... دوستانی که می خواهند کارشناس امنیت مبتنی بر سازمان های دولتی ایرانی باشند کافیست چند جمله را یاد بگیرند ، حمله دارید ؟ فایروال Fortigate فلان را بخرید ، حمله DDOS لایه هفت دارید ؟ Fortiweb بخرید ! حمله باج افزار دارید ؟ آنتی ویروس فلان را بخرید !! مشکل بکاپ دارید ؟ SAN Storage و Tape Storage بگیرید ! سایت از دسترس خارج می شود ؟ خوب شما نیاز به Load Balancing و Clustering دارید ! و .... بگذریم حرفها زیاد است ... خدارا شاکر هستیم که با حداقل امکانات توانسته ایم مجموعه ای بسازیم که با قلب مردم کار می کند نه پول مردم ... در انتها

نویسنده : محمد نصیری

منبع : جزیره امنیت اطلاعات و ارتباطات وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی است

#چگونه_یک_کارشناس_امنیت_شبکه_بشویم #چگونه_کارشناس_امنیت_شویم #چگونه_یک_کارشناس_امنیت_بشویم #تخصص_های_یک_کارشناس_امنیت_اطلاعات #ویژگی_های_یک_کارشناس_امنیت_اطلاعات #کارشناس_امنیت_شبکه_ایرانی #کارشناس_امنیت_اطلاعات_کیست #کارشناس_امنیت_شبکه_کیست
8 نظر
جعفر قنبری شوهانی

مطالب بسیاری جالبی بود و متاسفانه مشکلی که ما ایرانی ها داریم اینکه توی هر حوضه ای خودمون رو صاحب نظر میدونیم و بدون اینکه در موردش تجربه ای داشته باشیم و صرفا با خوندن یا دیدن یه دوره آموزشی خودمون رو صاحب نظر می دونیم خوبه کمی در موردش فکر کنیم و شرایط رو بسنجیم بعد نظراتمون رو بیان می کنیم

حملات DDoS چیزی نیست که به این راحتی بشه جلوش رو گرفت و اگه صرفا با خرید چندتا دستگاه میشد جلوش رو گرفت بزرگترین شبکه ها و سایت های دنیا ازش ضربه نمی خوردن و حداقل اونها که مشکلی برای هزینه ندارن سرویس هاشون دچار مشکل نمیشد

واقعا کسانی که این نظرات رو میدن باید ازشون پرسید که دوست عزیز تا حالا سایت یا شبکه ای داشتی که دچار حمله شده باشه؟ چطوری تشخیص دادی؟ چطوری جلوی حمله رو گرفتی؟ یا اصلا متوجه نشدی یا فقط از دور نظاره گر بودی؟

نکته جالبی که در مورد خیلی از سایت های سازمان ها وجود داره اینکه اصلا امکان دسترسی به اونها از خارج از کشور وجود نداره و فقط از طریق IP داخلی در دسترس هستند اینکه دسترسی به سرویس هامون رو محدود کنیم راهکار امنیتی نیست

حتی تجهیزات امنیتی که خریداری میشه درست ازش استفاده نمیشه مورد بوده که یه دیوایس که کلی قیمتش بود پسورد دیفالتش رو حتی عوض نکردن

در کل سعی کنیم در حوضه ای که تخصص و تجربه نداریم ابراز فضل نکنیم

حسین احمدی

متاسفانه خیلی ها هستند که فقط با خوندن یک یا دو مطلب راجع به موضوعی که نسبت بهش هیچ اطلاعی ندارن اظهار نظر می کنن، اما در مورد بحث خرید تجهیزاتی که مورد نیاز نیست، مخصوصاً تو سازمان های دولتی خرج کردن بودجه ای هست که تخصیص داده شده، چون معمولاً بودجه سال جدید بر اساس هزینه های سال جاری تخصیص داده میشه و بهترین کار برای خرج کردن بودجه خرید تجهیزات گرون قیمت هست.

rasool danesh

سلام

بچه های it مراکز و سازمانهای .... هم مقصر نیستند درصد زیادی از این دوستان که بر اساس توانایی و کیفیت خودشون سر کار نیومدند.... سالانه هم یک بودجه ای بهشون میدن و اگر اون رو خرج نکنن بر میگرده به خزانه و اگر خرج نکنی باید جوابگو باشی و مدیر هم ازت شاکی میشه و میگه تو بلد نیستی و توانایی نداری...

خرید رو خوب بلدن و وقتی کار به جایی میرسه که باید علم و دانش داشته باشی فوری یک پروژه تعریف میکنند و برون سپاری میکنند

4تا مهندس دارن اما یک ویندوز سرور رو باید یک بنده خدا از بیرون بیاد کانفیگ کنه

رفتم یک جایی میگم این که کاری نداره چرا خودتون انجام نمیدین میگن میترسیم خراب بشه

بعضی هاشون ترسو هم هستند

راستی یک سئوال چرا اکثر بچه های حوضه it ترسو هستند؟ من این رو توی سئوالات و نوشته های سایت هم چند بار دیدم...

پویان عارف پور

هروقت این حملات روی سایت انجام میشه خوشحال میشم . اگر می پرسید چرا ؟ بخاطر اینکه نشون میده این مجموعه چقدر با سرعت داره پیشرفت میکنه و چه رقبای بزرگی پیدا کرده که توان دارن با هزینه های چندصد میلیونی کار سایت رو مختل کنن . البته خوشحالی من یک بعد دیگه هم داره ها :D اینکه هرچی این حملات بیشتر میشه بجای اینکه آی تی پرو گوشه گیر بشه یا اعضا ازش دل بکنن باعث میشه آی تی پرو بیشتر در چشم بیاد و اونهایی که به هر دلیل تا الان با آی تی پرو آشنایی نداشتن باشنیدن خبر حمله از سر کنجکاوی هم که شده میان به سایت و میبینن کجا بهتر از اینجا . چند وقت پیش یکی از دوستان بخاطر همین حملات اینجا عضو شد میگفت وقتی شنیدم همچین حملات پرهزینه ای روش انجام میشه اومدم ببینم مگه چی داره ؟ ... هیچی دیگه ، دید چی داره و عضو شد :))

به شخصه از مهاجمین عزیز تشکر می کنم باز هم از این طرفها تشریف بیارین . اگر بدونین ما چقدر خوشحال میشیم وقتی انقدر مورد توجه شما قرار می گیریم و باعث میشید انقدر مورد توجه فارسی زبانان قرار بگیریم فکر کنم از شدت حسادت برای امنیت سایت بودجه میذاشتین نه اختلالش :))))

علی پرکره

مطلب مفیدی بود و فرمایشات شما کاملاً درسته

اما در دفاع از ITMANهای سازمانهای دولتی باید اینو بگم که ما هم چارهایی جز خرید فایروالهای سخت افزاری گرون قیمت نداریم!

چون متاسفانه اگر نخریم یه کارشناس مبتدی از بیرون میاد در حضور مدیران ارشد سازمان میگه شما چرا فلان چیزو ندارید! بعد به ما میگن چرا نگفتید بخریم هزاریم دلیل بیاریم که برای یه وب سایت که ارزش زیادی نداره نیازی نیست همچین هزینه ایی کنیم میگن شما راهکار بگید به پولش کاری نداشته باشید و این وسط ما میشم ناکارشناس

پارسال یه نفر اومده یه گزارش گذاشته جلوی مدیرعامل که شما وب سایتتون رو با asp نوشتید دیتابیسشم sql

بعد برا همین گزارش مسخره راهکار امنیتی پیشنهاد داده و 40 میلیون تومان هم قیمت داده

در صورتی که هیچگوه اتکی نتوسته بود بزنه فقط یه گزارش خیلی ساده.....

محمد نصیری

ببینید مهندس بحث من شما نبودید ، بحث من افرادی هستن که به اون سازمان مشاوره دادند ، این سیستم در ایران نهادینه شده ، شما چرا به این موضوع فکر نکردید که کشوری که همه مردمش باید ثروتمند باشه لنگ بودجه بستن سالیانه هست ؟ چرا هیچوقت بودجه یک سازمان بازگشت به خزانه نداره ؟ چرا اسفند ماه همیشه همه سازمان ها یادشون میوفته باید بودجه رو تموم کنن ؟ این میشه که چه بخایم چه نخایم مجبوریم خرجش کنیم ... اون کارشناس مبتندی یه مثال بود ... منظور من خیلی فراتر از یکجا هست ... ولی شما اگر مطالعه کنید و دانش رو بیشتر کنید طرف رو توجیه می کنید و ازش سند میخاین که بگید چرا امن نیستیم ؟ کجا آسیب پذیر هستیم ؟

vahid.kh

با سلام خدمت آقای نصیری عزیز

خدا قوت به گروه و مدیران ITPRO که تونستن جلوی حمله رو بگیرند.

صحبت هاتون منو یاد طنز مصاحبه آقای غلامحسین پیروانی مربی فوتبال انداخت که میگفت اونا 30 میلیارد خرج کردند و مانکردیم. :-))) خدا وکیلی ما همش 30500 تومن خرج کردیم.

منو یاد مهندسی هایی که زمان جنگ میشد انداخت.

مخصوصا وقتی یک موشک روی جت جنگده خودت داری و طوری اون سه تا جنگده دشمن رو به هم نزدیک میکنی و جت جنگنده وسط رو هدف قرار میدی تا موج انفجارش اون دو تای دیگه رو هم از کار بندازه.و همه رو انگشت به دهان میکنه.

اون پل هایی که با کمترین هزینه و تجهیزات میساختن.عمل کردن نه صحبت کردن.

در پایین ترین ارتفاع پرواز کردن و بدون اینکه رادار ببینتت حملتو انجام بدی و برگردی. مهندسی هستش.

بله موافقم همه چیز هزینه نیست .درسته با بیشترین هزینه با بهترین و گرانقیمت ترین تجهیزات بهت حمله میشه .اما هنر، مقابله بدون داشتن این امکانات است.هنر ایمان داشتن به دانسته ها و داشته هاته.عشق به کاره.شما بیشتر عاشق کارتون هستید که این کارو میکنید.کسی که عاشق باشه میتونه با کمترین هزینه ها و داشته ها به هدفش برسه.هر چند سخته اما شیرینیش چیز دیگست.شیرینه، درسته آقای نصیری؟

متاسفانه این صحبت هایی که به شما زده شده همه مردم هر روزه باهاش درگیرن.چند سالی هست اکثر مردم کشورمون در همه زمینه صاحب نظر ، صاحب سبک ، صاحب قضاوت قضاوت قضاوت شدند.و با لحن خاصی بهت راهکار میدن.فقط صحبت می کنند.

جناب rasool1 سلام

تو کار it باید اشتباه زیاد بکنی تا یاد بگیری.و به دلیل بی برنامگی در اداره جات و سازمان ها در زمینه it اشتباه که نه دخالت ها باعث میشه تا این اشتباهات زیاد بشه. این اشتباهاتت رصد میشه و در عرض چند ثانیه گزارش میشه تا اینکه یک نفر دیگه رو جایگزینت کنن .واقعا هم ترس داره.و کاری که قراره برای بار اول راه اندازی کنی به یک نفر دیگه بسپاری تا اون چند ایرادی که تا راه اندازی کامل یک زیر ساخت یا هر چیز دیگری اتفاق می افته و افرادی که اصلا در این زمینه اطلاعی ندارن این اتفاقات رو گنده میکنن و به گوش مدیران میرسونن ترس بار میاره.دیدم که میگم.

جناب آقای wisemadguy سلام

به هر حال آدم حسود هم زیاده که دست به این کارا میزنن.امیدوارم این حمله از روی حسودی نباشه.و به خاطر این باشه که خودشونو محک زده باشن و بگن اگه تونستی به itpro حمله کنی کارت درسته.انشالله روز ی به این مرحله برسید که هکر ها با حمله به سایت itpro به نوعی آخرین فن بروسلی رو یاد بگیرن و بگن حالا ما یک هکر شدیم.:-)

rasool danesh

سلام بر وحیدخان عزیز که یک جورایی با هم همشهری هستیم

حرفت درست اما فکر نمیکنی این ترس از کم دانشی باشه؟ مگه نمیشه هر چیزی که میخوایم اجرا کنیم رو توی یک محیط ایزوله و امن اجرا کنیم و اگر جواب داد اونو توی شبکه پیاده کرد؟

باور کنید اصلا نمیخوان وقت بزارن. باور کن اصلا نمیخوان یاد بگیرن

اگر حرف شما درست باشه. وقتی داره اون کاری که بنده خدا می ترسه رو انجام میدی میاد کنارت میشه و با دقت ته ماجرا رو هم سئوال میکنه و هم ازت در میاره که هم علمش زیاد بشه و هم ترسش بریزه . وقتی میرم کاراشونو و پروژه هاشونو انجام میدم کلا دیگه میخوان خیلی تحویلم بگیرن نمیزارن مستخدم اداره چای بیاره و خودشون چای رو میارن و یا جدیدا دمنوش میارن . و این بیشترین همت و کاری که توی زمانی که من اونجا هستم انجام میدن....

ارادت داریم وحید خان

اما موردی که استاد porkareh عزیز فرمودین

مشکل خرید تجهیزات گران نیست . منم راضی هستم که تجهیزات گران خریداری بشه اگر لازمه (البته هنر راه اندازی با کمترین هزینه است)

مشکل اصلی اینجاست که این تجهیزات گرون فقط خریداری میشه . حتی طریقه استفاده و تنظیم اون رو هم بلد نیستند و فقط میخرند

عزیزانی که اطلاعات فنی داشته باشن و درک کنند که یک مشکل از کجا پیش اومده و چطور باید حلش کرد . هم ممکنه بگن فلان دستگاه رو بخر اما وقتی میگی چرا باید خرید و مگه ایراد کار کجاست . دقیقا ایراد رو برات آنالیز میکنند و میگن . حتی ممکنه راهکار جایگزینی بجز خرید هم ارائه بدن (توی دنبای it خیلی از کارها رو میشه به چند روش انجام داد)

مشکلی که جناب نصیری عنوان کردن . بیشتر سر ارائه ندادن راهکار علمی است و صرفا گفتن کلمه بخر . اما اگر یک استادی بیاد و بگه آقا مشکل شما به این دلیل و به این دلیل اینه.... و شما فقط و فقط باید همچین دستگاهی رو بخری . خوب بله باید خرید...

دوستانی که اطلاعات فنی داشته باشند و علم کاری داشته باشند ممکنه بیان و پیشنهاد بدن فلان دستگاه گرون رو بخر . این خوبه اما وقتی بهش میگی آقا این دستگاه گرونه . یا بهشون میگی این دستگاه چکاری انجام میده و مشکل من چیه که باید این دستگاه رو بخرم . میاد کامل برات آنالیز میکنه و دلیل ارائه میده .و وقتی ازش میپرسی بجز خرید راه دیگه ای نداره ممکنه دوتا راه حل نرم افزاری دیگه هم بهت ارائه بده .....

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره پاییزه می تونی امروز ارزونتر از فردا خرید کنی ....