پاسخ : کسب مقام سوم (3rd) در مسابقات داخلی هک و امنیت در دانشگاه اصفهان
با سلامنوشته اصلی توسط RoobinaServer
قبل از اینکه در مورد کلاس بنویسم. لازم است ۲ تا مورد را توضیح بدم.
به اعتقاد من هر شخص یا نباید وارد حرفه ای شود ویا اکر واردکار و حرفه ای شد به صورت تخصصی اون کار و حرفه رو ادامه بده . به عنوان مثال در صنعت هاستینگ که زیر شاخه های مختلفی دارد باید افرادی باشند که فقط و فقط به صورت تخصصی به زیر شاخه ها بپردازند و تحقیقات خود را در این زیر شاخه ها به عنوان سرمایه در شرکت استفاده کنند که اگر اینطور باشد . موفقیت تخصصی در شرکت محقق خواهد شد.
به عنوان مثال در هاستینگ موارد زیر می توان به عنوان زیر شاخه تقسیم بندی نمود.
1- Security
2- optimization
3- R&D
4- virtualization
5- sale
و.....
خوب برای هر کدام باید بخش ها مجزا و افراد نیز مجزا باشد مثلا کسی که در زمینه امنیت کار میکند باید تمام وقتش و مطالعاتش را صرف این حوزه بکند و از قسمت های دیگر نیز آگاهی داشته باشد .
خوب ولی برای بخش های دیگر نیازی نیست که در مورد امنیت مباحث را تخصصی بنگرند ولی برای به مخاطره نیوفتادن امنیت باید نتیجه تحقیقات را در اختیار بخش امنیت قرار دهد تا بررسی کند که باتنظیماتی که مثلا برای بخش optimization انجام میشود آیا مخاطره امنیتی برای سرور ها حاصل می گردد یا خیر.
پس نتیجه میگیریم که اگر کسی پا در حوزه امنیت اطلاعات میگذارد باید علوم مختلفی را فراگیرد ولی به صورت تخصصی وقت را صرف مطالعات نماید.
----------------
حوب با مقدمه ای که در بالا ذکر شد حالا به موضوع کلاس ها میپردازیم.
همیشه کلاس ها نقش هموارکردن راه و دادن سر نخ را دارد. برای همین نمی توان تنها به کلاس بسنده کرد.
کلاس خوب است ولی در کلاس ۲ تا پارامتر همیشه مدنظر قرار میگیرد
۱- استاد
۲- منابع مطالعاتی و آزمایشگاه مربوطه
اگر استادکسی باشد که خودش خاک خورده حوزه مورد تدریس باشد رفتن این کلاس توصیه می گردد ولی اگر غیر از این باشد توصیه نمی گردد.و همچنین اگر ۲ تا پارامتر باهم محیا شود وجود این کلاس شدیدا احساس می گردد و رفتن این کلاس شدیدا توصیه می گردد.
کلاس هایی که در ایران تدریس میشود معمولا یکی از پارامتر ها را ندارد که در این حالت فقط و فقط باید به رزومه استاد نگاه کنید که اگر واقعا شخص مورد نظر در اون حوزه دارای فعالیت های متعدد است و یا دیگران شخص مربوطه را تایید می کنند بعد به کلاس بروید .
برای این مورد هم دلیل دارم . به عنوان مثال ۲ سال قبل یکی از مشتریان ما (که در اینجا هم یوزر دارند) در کلاس های امنیت یکی از شرکت های امنیتی در ایران را که بهتر است اسمش را اینجا نگم . شرکت کرده بودند و اساتید آنجا به این فرد گفته بودند که شما وقتی ROOKITHUNTER را در سرور نصب میکنید بعد از چک کردن سرور اگر WARNING در نتایج بود به این منزله است که سرور شما موردنفوذ قرار گرفته است.
ما نیز از قبل برروی سرور این شخص نرم افزار مربوطه را نصب کرده بودیم. حالا باید به ایشان ثابت می کردیم که نفوذ انجام نشده است. و WARNING های مربوطه به این خاطر است که کرنل و برخی از نرم افزار های که در سرور update شده بود . بعد از update رشته MD5 نرم افزار بروز رسانی شده تغییر کرده بود و rookithunter هم به این خاطر warning میداد و ربطی به نفود در سرور نداشت.دیگه خدامیدونه چقدر طول کشید که ما به ایشان ثابت کنیم که نفوذی در کار نبوده.
اکر استاد مورد نظر حداقل در حوزه هاستینگ فعالیت داشت این مشکل برای ما به وجود نمیامد.
---
در مورد دانشگاه های ایران که متاسفانه چیزی یادم نمیدهند که به درد بخورد برای همین کلاس های بیرون احساس می شود.
من خودم در مقطع لیسانس با این که رشته مخابرات تحصیل می کردم ولی سعی کردم در همان زمان تواما 2 مورد را تحصیلات دانشگاهی و کلاس های بیرون را باهم دنبال کنم که انصافا این کار خیلی سخت بود.
ولی ۹۰ درصد یادگیری در فضای غیراز دانشگاه بوده است . ولی در مقطع ارشد که خارج ایران است . رشته مورد نظر information Security است که خارج از ایران است و یادگیری به صورت 50-50 در داخل دانشگاه و خارج دانشگاه است.
در مورد کلاس های بیرون اگر شما مشکل زبان انگلیسی ندارید . کلاس های زیر توصیه می گردد.چون تخصص کاری من penetration Testing است. از کلاس های زیر استفاده کردم که انصافا ۲ پارامتر مربوط به کلاس در این سایت ها واقعا لحاظ شده بود مخصوصا sans.ORG
SANS Information, Network, Computer Security Training, Research, Resources
Offensive Security Training and Professional Services
http://security-tube.com
InfoSec Institute - Information Security Training and IT Boot Camps
حق نگهدارتان.
ببخشید که سرتان را به درد آوردم.
با تشکر
پاسخ با نقل قول
