EvoLearn دورههای آموزشی امنیت اطلاعات را در سه مسیر ارائه میدهد: تست نفوذ، امنیت وب اپلیکیشن و امنیت شبکههای بیسیم. در ادامه به آموزش امنیت اطلاعات در EvoLearn می پردازیم.
در حالی که دورههای ما بیشتر برای تسترهای نفوذ شناخته شدهاند، افراد فعال در حوزه IT نیز میتوانند از این آموزشها بهرهمند شوند. مدیران سیستم، مدیران شبکه، مدیران پایگاه داده، تحلیلگران IT، توسعهدهندگان وب اپلیکیشن و سایر متخصصان IT و توسعه وب باید در نظر داشته باشند که چگونه میتوانند سیستمها، شبکهها و برنامههای خود را ایمن کنند.
کدام مسیر آموزش امنیت اطلاعات در EvoLearn را انتخاب کنیم؟
- افراد فعال در IT و متخصصان امنیت اطلاعات که تاکنون دورهای از EvoLearn نگذراندهاند، باید با تست نفوذ شروع کنند تا اصول اولیه امنیت تهاجمی را بیاموزند.
- متخصصان امنیت وب و توسعهدهندگان وب باید مسیر امنیت وب اپلیکیشن را انتخاب کنند تا نحوه شناسایی آسیبپذیریهایی که میتوانند به حملات جدیتری منجر شوند را بیاموزند.
- مدیران شبکه و تسترهای نفوذ باید مسیر امنیت شبکههای بیسیم را انتخاب کنند تا نحوه ممیزی و ایمنسازی دستگاههای بیسیم را یاد بگیرند.
برای شروع هر مسیر، اطلاعات بیشتر را در بخشهای بعدی مطالعه کنید.
آموزش امنیت اطلاعات برای متخصصان IT و علاقهمندان به امنیت اطلاعات: تست نفوذ
درک نحوه حمله به سیستمها و شبکهها – و طرز فکر یک مهاجم – به شما برتری در تأمین امنیت بهتر میدهد. اگر یاد بگیرید که چگونه به یک سیستم حمله کنید، میتوانید راههای جدیدی برای دفاع از آن شناسایی کنید. به همین دلیل EvoLearn معتقد است که درک عمیق تکنیکهای تهاجمی، توانایی شما را در مقابله دفاعی با آنها افزایش میدهد.
یک تستر نفوذ بر شناسایی آسیبپذیریهای سیستم، شبکه یا اپلیکیشن تمرکز دارد. آنها با انجام ارزیابیهای امنیتی، نقاط ضعف یا مشکلاتی را که ممکن است مهاجمان از آنها سوءاستفاده کنند، شناسایی میکنند.
مهارتهای مورد نیاز
دانش پایهای لازم برای تبدیل شدن به یک تستر نفوذ معمولاً در حوزههایی مانند توسعه نرمافزار، مدیریت شبکه و مدیریت سیستم به دست میآید.
- آشنایی عمیق با سیستمعاملهای لینوکس و ویندوز، پایه و اساس مهارتهای تست نفوذ است.
- دانش زبانهای اسکریپتنویسی مانند Python، Ruby و Bash نیز مفید خواهد بود.
- مهارتهای ارتباطی قوی اهمیت زیادی دارند. توانایی مستندسازی یافتهها در گزارشها و کمک به سایر بخشهای سازمان برای درک تأثیر مسائل امنیتی فراتر از دپارتمان IT، بسیار مهم است.
آموزش تست نفوذ
Penetration Testing with Kali Linux (PWK) دورهی پایهای تست نفوذ است که ابزارها و تکنیکهای تست نفوذ را معرفی میکند و ذهنیت "تلاش کن و تسلیم نشو" (Try Harder) را در دانشجویان تقویت میکند. در این دوره، برخی از مهارتهایی که یاد خواهید گرفت عبارتاند از:
- حملات Active Directory
- پاورشل برای تست نفوذ
- بافر اورفلو
- اجرای کد از راه دور و حملات ارتقای دسترسی محلی
- حملات Client-Side
- XSS و تزریق SQL
این دوره در سال ۲۰۲۰ بهطور گسترده بازنگری شد: حجم محتوای دوره بیش از دو برابر شد، ماشینهای آزمایشگاهی بهروز شدند و ۳۳٪ ماشینهای جدید اضافه شدند. شما میتوانید برنامهی کامل دوره را در اینجا بررسی کنید.
با گذراندن این دوره و قبولی در آزمون نهایی، گواهینامهی Offensive Security Certified Professional (OSCP) را دریافت خواهید کرد، که بهویژه برای انتقال از IT به نقشهای امنیتی تخصصیتر بسیار ارزشمند خواهد بود.
آموزش امنیت اطلاعات در EvoLearn برای تسترهای نفوذ و توسعهدهندگان وب: امنیت وب اپلیکیشن
دورههای آموزشی امنیت وب اپلیکیشن در EvoLearn بر بررسی عمیق کد منبع تمرکز دارند. در حالی که تست نفوذ همچنان یک بخش کلیدی است، یک متخصص امنیت وب ارزش بیشتری دارد اگر بتواند کد را بخواند، درک کند و از آن سوءاستفاده کند، نه اینکه صرفاً آن را اسکن کند.
ارزیابی امنیتی وب اپلیکیشن زمانی مؤثرتر است که دسترسی به کد منبع وجود داشته باشد – این رویکرد جعبه سفید (White Box) نامیده میشود. بررسی کد برای آسیبپذیریهای منطقی میتواند نقاط ضعفی را آشکار کند که از طریق اسکن ساده قابل شناسایی نیستند، اما میتوانند در بکاند یا از طریق روشهای دیگر مورد سوءاستفاده قرار گیرند.
مهارتهای مورد نیاز
قویترین متخصصان امنیت وب اپلیکیشن، درک عمیقی از کل چرخهی توسعه نرمافزار دارند، هم از دیدگاه فرانتاند و هم بکاند.
- دانش قوی در زبانهای برنامهنویسی مانند HTML، JavaScript، Java، Python و .NET پایهی این مسیر را تشکیل میدهد.
- آشنایی با سیستمعاملهای لینوکس و ویندوز، از جمله دستکاری سطوح دسترسی فایل، مسیریابی، ویرایش و اجرای اسکریپتها نیز مهم است.
- آشنایی با بردارهای حملهی استاندارد، تئوری و روشهای عملیاتی تست نفوذ ضروری است.
- تجربه کار با پروکسیهای وب مانند Burp Suite یک مزیت کلیدی محسوب میشود. دوره PWK میتواند در یادگیری این مهارتها کمک کند.
آموزش امنیت وب اپلیکیشن
ما در Advanced Web Attacks and Exploitation (AWAE) تست نفوذ جعبه سفید در وب اپلیکیشنها را آموزش میبینیم. در این دوره، شما یاد خواهید گرفت که:
- ارزیابیهای امنیتی پیشرفته روی کد منبع انجام دهید.
- حملات را بهصورت زنجیرهای برای سوءاستفاده از آسیبپذیریها به کار بگیرید.
- از دانش خود برای بهینهسازی کد و کاهش احتمال سوءاستفاده استفاده کنید.
دانشجویانی که این مسیر را دنبال میکنند، میتوانند در آزمون Offensive Security Web Expert (OSWE) شرکت کنند.
دریافت گواهینامهی OSWE به کارفرمایان نشان میدهد که شما نهتنها یک تستر نفوذ توانمند هستید، بلکه دانش تخصصی در زمینهی امنیت وب اپلیکیشن نیز دارید.
برای توسعهدهندگان وب – بهویژه آنهایی که در صنایع حساس مانند سلامت، مالی و دولتی فعالیت دارند – این گواهینامه نشاندهندهی تعهد شما به امنیت در طراحی (Security by Design) است، نه فقط حریم خصوصی در طراحی (Privacy by Design).
آموزش امنیت اطلاعات در EvoLearn برای مدیران شبکه: امنیت بیسیم
شبکهها و دستگاههای بیسیم چالشهای امنیتی خاصی ایجاد میکنند. شبکههای بیسیمی که بهدرستی ایمن نشدهاند، میتوانند فرصتهایی برای مهاجمان فراهم کنند تا به اطلاعات محرمانه دسترسی پیدا کنند، بدافزار پخش کنند، حملات مرد میانی (Man-in-the-Middle) اجرا کنند و موارد دیگر. یادگیری نحوهی سوءاستفاده از این آسیبپذیریها به شما این امکان را میدهد که بهتر در برابر آنها دفاع کنید.
مهارتهای مورد نیاز
برای پیشرفت در مسیر امنیت بیسیم، به آشنایی با لینوکس و درک عمیق از پروتکل TCP/IP و مدل OSI نیاز دارید.
- تجربهی قبلی در مدیریت شبکه میتواند یک نقطهی شروع محکم برای ورود به امنیت شبکههای بیسیم باشد.
آموزش تست نفوذ بیسیم
دورهی Wireless Attacks (WiFu) درک عمیقتری از امنیت شبکههای بیسیم ارائه میدهد و آگاهی دانشجویان را نسبت به نیاز به راهکارهای امنیتی در دنیای واقعی افزایش میدهد. در دورهی WiFu، شما یاد میگیرید که چگونه:
- دستگاهها و شبکههای بیسیم را ارزیابی، هک و ایمنسازی کنید.
- به شبکههای WEP و WPA-PSK حمله کنید، هم از طریق حملات منفعل (Passive) و هم فعال (Active).
- حملات پیشرفتهای مانند استخراج کلید PRGA و تزریق بستهی یکطرفه (One-way Packet Injection) را اجرا کنید.
- از ابزارهای مختلف شناسایی بیسیم استفاده کنید.
- حملات نقطهی دسترسی جعلی (Rogue Access Point) را اجرا کنید.
برای شرکت در این دوره، دانشجویان به یک کارت شبکهی بیسیم و یک نقطهی دسترسی (Access Point) نیاز دارند. توصیههای سختافزاری در توضیحات دوره موجود است. دانشجویان میتوانند مفاهیم دوره را در یک آزمایشگاه خانگی تمرین کنند. برای کسانی که قصد دارند مهارتهای خود در زمینهی امنیت بیسیم را اثبات کنند، OffSec مدرک معتبر Offensive Security Wireless Professional (OSWP) را ارائه میدهد.
انتخاب مسیر آموزش امنیت اطلاعات در EvoLearn
پیش از شرکت در هر دورهی آموزشی امنیت اطلاعات یا دورهی تست نفوذ، بهتر است اهداف یادگیری خود را مشخص کنید.
- چرا به فکر گذراندن این دوره افتادهاید؟
- آیا فقط میخواهید یاد بگیرید؟ یا به دنبال دریافت مدرک معتبر هستید؟
- این دوره چگونه مهارتها، دانش و نگرش شما را نسبت به این حوزه تقویت میکند؟
- در کجای مسیر شغلی خود قرار دارید و به چه سمتی میخواهید پیشرفت کنید؟
در EvoLearn، ما بر یادگیری عمیق تأکید داریم، نه فقط جمعآوری مدارک. مدرک میتواند مهارتهای شما را تأیید کند و فرصتهای جدیدی را برایتان ایجاد کند، اما چیزی که مهمتر است درک واقعی محتوا و توانایی بهکارگیری آن در دنیای واقعی است.
شروع مسیر آموزش امنیت اطلاعات در EvoLearn
ما توصیه میکنیم که یادگیری خود را با دورهی PWK شروع کنید، بدون توجه به اینکه کدام مسیر را انتخاب میکنید.
دورهی PWK یک دورهی تست نفوذ پایهای است که ابزارها، تکنیکها و طرز فکر لازم برای موفقیت در امنیت اطلاعات را آموزش میدهد.
اگر یک تستر نفوذ یا توسعهدهندهی وب با تجربه هستید، شاید بتوانید مستقیماً از دورهی AWAE شروع کنید. اما قبل از آن، باید تمام مهارتهای ذکر شده در بخش "مهارتهای مورد نیاز" برای آموزش امنیت وب را داشته باشید.
به همین ترتیب، اگر در زمینهی شبکه و دستگاههای بیسیم تجربهی قوی دارید، ممکن است بتوانید بدون گذراندن PWK، مستقیماً به سراغ WiFu بروید.
تیم متخصصان ما آمادهی پاسخگویی به سؤالات شما هستند. همچنین می توانید از دیگر مقالات سایت ایوولرن دیدن کنید.