تا %60 تخفیف خرید برای 4 نفر با صدور مدرک فقط تا
00 00 00

بررسی دلایل پایین بودن سطح دانش امنیت اطلاعات در کشور

این پست یه پست مشارکتیه و ممنون میشم نظرات خودتون رو زیر پست بنویسید.با سلام خدمت کاربران سایت توسینسو ، یک مطلبی بود گفتم خوبه دربارش صحبت کنیم که چرا سطح دانش عمومی درباره هک امنیت هکر خیلی پایینه ؟ خب بنده یکوچولو در تیم های امنیتی فعالیت کردم و بعضی از دوستان هم آشنا هستن توی این زمینه (اقای ایمان جوادی (دکتر ایمان) و آقای آرتین غفاری (surreal) یادمه وقتی توی تیم های امنیتی کار میکردم همش وحشت داشتم که وای نکنه این متد پاب شه وای نکنه دانش عمومی در زمینه امنیت بالابره و هکشون سخت شه ، یکم که جلوتر امدم دیدم نه هرچیم به ملت میگی انگار نه انگار ! با اجازه از مهندس و استاد بزرگوار اقای نصیری ، از اول شروع میکنیم :

  • 1) سطح دانش توی کشور ما خیلی پایین هستش ، دلیل عمده ای هم که میتونیم براش بیان کنیم اینه که نمیزارن در این مورد صحبت بشه ، در فرومی سایتی جایی .. نمیزارن مردم آگاهی پیدا کنن

یه ایده اشتباهی رو من براتون بیان کنم از اول که دیدتون باز شه : اول باید راه نفوذو بشناسی بعد جلوشو بگیری ، اگر ندونی چطوری و از کجا نفوذ میکنن پس چطوری میخوای جلوشو بگیری ؟ مطلبی که در کشور هستش اینه که میگن درباره هک صحبت نکن ، درباره نفوذ صحبت نکن و... همش بگو امنیت ... خب وقتی طرف نمیدونه طرز کار فیشینگ چیه 1000 بار بهش بگی https .. خب سخت میفهمه !پس اول شروع کنیم سطح دانش عمومی رو تا حد کمی افزایش بدیم درباره نفوذ که آگاهی پیدا کنن ، و چه بسا اگر راه نفوذو بفهمن خودشو بتونن جلوشو بگیرن و نیاز نباشه براشون راه های امنیتی هم بیان کنی !!!

  • 2)نداشتن آگاهی عمومی (ادامه مطلب بالا)

وقتی توی کشور 4 تا دوره امنیت برگزار نمیشه ، که مردم اگاهی پیدا کنن و ببینن واقعا باید چیکار کنن، واقعا امنیت چیه ! تا یه پیامک تبلیغاتی امد زارت نرن به حرفاش گوش کنن ، آقای مسئول آقای فلان ... بخدا از کلاسای اموزشگاه ها ، از کلاس های CEH از کلاس های CCNA هکر کاه سیاه بیرون نمیاد !!!! اصلا هکر کلاه سیاه به اونا احتیاج نداره ... پس چرا میترسید (البته میدونم که زیر ساختاتون ضعیفه) الان با یه سرچ ساده توی اینترنت 10 تا پکیج امنیت اینستاگرام و هکش پیدا میشه با مبلغای بالای 200ت

  • 3)عدم بروزرسانی دانش

این هم متودی است که به نوبه خودش جای مهمی داره ! طرف رفته SQL Injection یاد گرفته بعد یه 10 تام بایپس یاد گرفته و چندین ساله داره با همونا کار میکنه ، به محض اینه به یه اروری میخوره میمونه و بایپسشو نمیدونه ! اطلاعاتش بروز نیست و به اطلاعات قدیمی خودش اکتفا میکنه ! طرف مسئول امنیت یه سایتیه ، بعد 1 ماه مبینیه سایت دیفیس شده ... چرا؟ اکسپلویت جدید ثبت شده توی سایت های ثبت اکسپلویت و شما زحمت نکشیدی بری توی اون سایتا و اگر باگ توی سایتت بود قبل هک شدن پچش کنی !!!

  • 4)داشتن تعصب نسبت به بعضی از محصولات

این هم بحث داغی است به نوبه خودش ! مخصوصا که میان انتی ویروس بومی میسازن و موتور بقیه رو کپی میکنن ، به قول مهندس نصیری بدنه پیکان موتور بوگاتی !!! UTM بومی میسازن کپی ایندین !!! بدون تغییر رنگ ، فقط فارسی سازی منو و نام ! جالب تر از اون بودجه های کلان برای این کاره ... پیام رسان ملی .. یک ایده نو توش نبود ، عینا کپی پیست تلگرام ، عینا بدون تغییر(البته تغییر چرا امنیتش رو کلا گند زدن توش) 😐

  • 5)اپدیت بودن فقط در سخت افزار و تجهیزات

این هم جالب است ! مهندس نصیری بار ها توی پادکست هایشان اشاره کردن ! چندین میلیون دستگاه میخرن ، فایروال یو تی ام و... آخرش کانفیگش که نمیکنن هیچ ، یه دستمالم روش نمیکشن ، فقط عین مجسمه یه جا هست و داره خاک میخوره

  • 6)عدم استفاده از متخصص کاربلد و استفاده از افراد نابلد (رانت ، پارتی و ..)

مبحث دیگه هم که خیلی شیرینه اینه که متخصصای ما وضعیت خوبی ندارن ، طرف 10 سال فقط تجربه کاری داره و کلی دانش ولی نمیارنش سر کار ، چرا؟؟؟ چون پسر رئیس بلده باگ SQL Injection چیه ! اونو میارن میگن خب تست کن ببین سایت امنیتش چقدره .. بعضا هم پارتی .. که دیگه وارد بحثش نمیشم

  • 7) cert هایی با بار فنی کم

وظیفه مرکز cert(ماهر) ترجمه مطلب بی ارزش و جا زدن آن به عنوان تحلیل و یا انتشار مطالب آموزشی کاربر ویندوز و صفر کردن بودجه میلیاردی نیست !! یک cert استاندارد دارد، فقط طبق حداقل های استاندارد حرفه ای رفتار کنید

  • 8) جدال غرور تعصب یکدندگی در کار خود و کم ارزش جلوه دادن کار همکار دیگر

از مشکلات عمده کارشناسان امنیت در ایران ، غرور و تعصب بی جا بر روی کار خودشان است و در بسیاری از موارد ادعاهای واهی است ، بهتر نیست بجای جبهه گیری علیه هم ، دست به دست هم بدهیم و برای پیشرفت کشور تلاش کنیم ؟

  • 9)و برای حسن ختام یه نگاهی بیندازید به این لینک و ببینید چه شرکت تاپ ایرانی ، چه بانکی ، چه مخابراتی استخدام نیروی امنیت داره ؟

لینک

 

3 نظر
محمد حسین احمد نصیر

سلام و روزبخیر،

تمام حرفها و بحثها یک طرف بحث مقاومت در برابر یادگیری مردم هم یک طرف. این بارها به من اثبات شده که مردم (بقیه دنیا رو نمیدونم ولی در ایران خیلی دیدم) در برابر یادگیری و به روز شدن دانسته هاشون شدید مقاومت میکنن مثلا لوله آب میترکه از وسط درخت آب میزنه بیرون یکی هوار میزنه درخت گریه کرد و آی تبرکه حالا هرچی مامور آب و فاضلاب میگه لوله ترکیده زیرش و درخت خشک شده اکثریت حاضر نمیشن بپذیرن و فاصله درسافت اطلاعات اول و اطلاعات بعدی چند دقیقه بیشتر نیست ولی خب. یا برای مثال توی اداره ای که بودم زیاد پیش میومد که در قسمت نگهبانی دم در به اشتباه آدرس اتاق ما رو بجای اتاق مورد نظر ارباب رجوع بهشون میگفتند و وقتی ارباب رجوع میومد باید بارها بهش میگفتیم اون اولی اشتباه آدرس داده تا بپذیره یعنی وقتی چیزی توی ذهن مردم میره به این راحتیا نمیشه تصحیحش کرد سرتونو دردآوردم بگم همین داستان درباره شبکه و شهروند الکترونیک هم هست یعنی هرچی بگی اینا هم آموزش لازم داره و دیگه مثل سابق نیست چون الان پولتون و آبروتون توی شبکه اینور اونور میشه حاضر نیستند یاد بگیرند "چون تا الان همه استفاده می کردن آموزش هم نمیخواسته و مشکلی هم براشون پیش نیومده" و تازه این وسط اگر بگی هزینه داره که دیگه هیچ. تا جایی که حتی اگر بلایی هم بواسطه این ناآگاهی براشون رخ بده باز هم حاضر نیستند چندساعت در این باره مطالعه کنند.

حالا همین رو تعمیم بدین به لایه بالاتر مثلا مدیران سازمانها. اونها هم همینطور هستند و فقط گاهی یهو یه سازمانی یا یه مافوقی حرفی درباره امنیت شبکه میزنه و شور حسینی ورشون میداره بعد میبینید چه ولوله ای شده که چه نشسته اید که امنیت شبکه مهمه و بعد کار سپرده میشه دست یه آدمهایی که هیچ درکی از این مساله ندارن و فقط دنبال قیمت پایین هستند مثل مدیران مالی و کارپردازی. برای اینها اینکه شما متخصص شبکه باشی یا مرده شور تفاوتی نداره ولی قیمتی که میدید مهمه و ... و یکی میاد یه ریپورت جمع میکنه و چهارتا نرم افزار نصب میکنه و این میشه امنیت و پدافند غیر عامل و اون ولوله میخوابه تا دوباره یه جایی یه افتضاحی پیش بیاد و دوباره جلسه ای و دوباره قیمتی و و این چرخه هی تکرار ...

در زمینه متخصصین شبکه که مطمئنم اینجا همه موافقید که خیلیها اسمشون متخصص شبکه هست ولی حتی بپرسید شبکه چی هست و به چی میگیم شبکه ممکنه نتونن جواب بدند و پاسخهایی بشنوید مثل "خب اینترنت دیگه !" یا "همون وبه دیگه!" و خب طبیعیه که اینها خدای ناکرده به چند نفر درس بدند چه فاجعه ای در خروجی اون کلاسها می بینیم و بعد این شاگردها میشن همونهایی که دیگه نمیشه بهشون حالی کرد که اونی که بهت درس داده بوده سواد کافی نداشته و یه سری چیزا رو بهت اشتباه گفته و بدتر از اون اینه که یکی از همین مثلا متخصصین میشه مدرس در فلان ارگان یا سازمان که همونطور که گفتم احتمالا قیمت پایین یا به قول دوستمون فقط پارتی باعث این انتخاب شده و بعد یکی از همون شاگردا میاد توی تلویزیون و شبکه های اجتماعی افاضاتی میکنه از آبروریزی بدتر. بدبختانه چون تعداد این عزیزان کم نیست در نتیجه اکثر مواقع چیزایی از دور و بر میشنوید که سرتان سوت می کشد. این وسط یه عده مهندس آی تی واقعی هم هستند که در اکثر سازمانها جور اونایی که با پارتی مسئول آی تی شدند و یا همکارانی که با پارتی آمده اند میکشند که براشون آرزوی توفیق می کنم و به صبر و استقامتشون خدا قوت میگم و تنها این آدمها هستند که متوجه شدند آی تی تمومی نداره و همیشه باید یاد گرفت و همیشه احتمالش هست که دانش ما نیاز به به روز رسانی داشته باشه و از اونها چنین سهل انگاری هایی به ندرت دیده میشه.

محمد حسن پزشکیان

مهندس پویان عزیز سلام

واقعا ممنونم ک نظر دادی ☺♥️

اره قبول دارم قیمت هم مشکل هست

اون بحث مقاومت در برابر دانش هم بحث داغیه .. عالی گفتی نمیخوان یاد بگیرن ،مخصوصا دفاع شخصی ک خودم تجربه کردم

طرف ی فیلم دیده زور گیری ، میگم بیا فنشو بهت بگم میگ ایشالا ک پیش نمیاد 😂😶😐

بد فهمی و تلاش برای نفهمیدن هم مسئله دیگریس

هرچند که مورد دیدم به چشم خودم که توی فنی حرفه ای درس میداد ب بچه های رشته کامپیوتر و یکی از بچه ها پرسید کامپیوتر چیه؟ گفت اسم خاصه دیگ ..یکی یه اسمی گذاشته 😂😂😂😂نتونستم جلو خودمو بگیرم 😂😂😂

بگذریم ...هرچه بگوییم کم است

ما دستی توی تغییر و تصحیح این مشکلات نداریم

ولی ایکاش بشه یکی مقاله مارو بخونه (به چشم مثبت) و شروع ب اصلاح کنه

موفق باشید 🌷♥️

محمد نصیری

سلام و عرض ادب و احترام به مهندس پزشکیان عزیز ، میدونم که دیر روی این پست دارم نظر میزارم ولی ظاهرا یا فرصت نکردم یا اصلا ندیدمش ولی بصورت کلی نظر من این هست در ایران تصور سازمانی این هست که من احساس امنیت رو بیشتر از امنیت می پسندم !!! یعنی چی ؟ یعنی همینکه طرف احساس کنه امن هست کافیه نیازی نیست بودجه و هزینه اضافه و آموزش بزاره که این احساس رو تقویت کنه ! همینکه بگن امن هستی براش کافیه ولو اینکه در حد نصب آنتی ویروس و فایروال براش باشه ... تو یه سازمان تست نفوذ میزدیم ، مدیر سازمان پیام داد که چرا تست نفوذ میگیرید به تیم فناوری اطلاعاتشون؟ گفتیم که برای اینکه آسیب پذیری هاتون رو پیدا کنیم و بهتون بگیم ! خیلی راحت گفت چند بدیم ندونیم آسیب پذیر هستیم ؟

در خصوص ضعف آموزشی که دنیایی میشه صحبت کرد ، در شهر کورها قطعا مرد یک چشم پادشاه هست ! وقتی سواد و تفکر نباشه امثال Lammer های اینترنتی که زیاد داریم تبدیل به خداوندگار امنیت میشن همین توهمات رو به مسئولین امنیتی سازمانی هم انتقال میدن ! یه جلسه ای در کمیسیون افتای یه جایی ... داشتیم یکی از مسئولین ارشد فناوری اطلاعات کشور گفت چرا برای امن کردن سازمان هاتون از پدر هک ایران مشاوره نمیگیرید؟ !! یعنی ما و تیممون یخ کردیم ! اینقدر درک و فهم نداشت که حتی مطالعه کنه تفاوت کارشناس امنیت و Lammer رو بفهمه ... فکر می کرد هالیوود هست ...

سومین دلیلی که ضعف امنیت هست و البته بیشتر از پیش جلوه می کنه فرار مغزها هست ، وقتی توی کشوری هستیم که متخصص ارشد امنیت اطلاعات چون پروژه یا هست بعضا از یه کارمند رسمی قیمت نیرو انسانی کمتر حقوق میگیره ! وقتی به تخصصش ارزش قائل نمیشن ! فرار می کنه ، چه بسا به تعداد انگشت های دست تو کشورمون کارشناس امنیت قدر نداریم ! حالا فکر کن تو این اوضاع یه لپ لپی مثل روزبه نوروزی میاد آکادمی آموزشی هم میزنه ! فکر کن خودت سواد نداری بعد میای آکادمی میزنی ... و این ماجرا ادامه دارد ... در این حد گفتم بس بود

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر