من يهتم بأمن المعلومات أو يتخصص في هذا المجال لابد أنه قد مرّ عليه أو قد سمع بشهادات كثيرة في هذا المجال مثلاً CEH أو CISSP أو Security+ وغيرها الكثير. بعض هذا الشهادات تدّعي أنها محايدة بمعنى أنّها لا تدعم نظام ما من الأنظمة مثل ويندوز أو لينكس أو عتاد مثل سيسكو أو فاندري. ولكن لمن يريد شهادة في هذا المجال هل سيستفيد حقّاً من هكذا شهادة، وغالب الأنظمة في الاسواق هي مثلاً ويندوز وعتاد الشبكات مثلاً هو سيسكو.
وهناك شهادات أخرى مثل CEH تغطي مواضيع واسعة تحتاج إلى خبرة عملية طويلة تغطى في فترة قصيرة جداً وتعتمد بدرجة أساسية على أدوات. كيف يستخدم الطالب هذه الأداة؟ ما فائدة هذه الأداة؟ وغير ذلك. قد تبدو هكذا شهادات للوهلة الأولى على أنها مهمّة ومفيدة ولكن في رأي هي ليست كذلك تماماً. فأغلب الأدوات الموجودة في مختبرات هكذا شهادات تحتاج منك إلى تعطيل برنامج مكافحة الفيروس لديك وحتى إلى تعطيل الجدار الناري وتتعدى ذلك إلى تعطيل بعض الخصائص الهامة في النظام حتى تعمل هذه الأدوات. ثم يقوم الطالب بتجريبها ويستطيع اختراق النظام (الغير محمي) ليشعر أنه قد تعلم وتطبق وأصبح لديه خبرة في هذا المجال ومعه شهادة تثبت ذلك. يذهب هذا المسكين بشهادته إلى شركة ليقتنعهم بأنه لديه خبرة في مجال أمن المعلومات وحاصل على شهادة راقية في هذا المجال.
الشركة توافق بعد دراسة على أن يقوم هذا الشخص بفحص شبكتهم والتأكد من أنها محمية بشكل جيد. يبدأ الشخص يومه بتطبيق ما تعلمه في الدّورة ليجد أن غالب إن لم يكن كل الادوات التي تعلمها لا تعمل (وهذا ليس غريباً). عندها هو أمام أمرين إمّا أن يقوم بإبلاغ الشركة أنّ فصحه قد تمّ وأنّ الشبكة محمية بشكل ممتاز وهذا غير صحيح (لأن الأدوات المستخدمة في العملية قديمة). وإمّا أن يبدأ بعملية بحث عن أدوات أخرى أو يبدأ بطرح أسئلة هنا وهناك عن الخطوة التالية. والنتيجة في كلا الحالتين فاشلة.
الاختراق ليس كما يظنّه كثيرون في منطقتنا العربية عبارة عن تدمير موقع (طبعاً في الغالب ما يتم تدميره هو الصفحة الرئيسية فقط) أو سرقة بريد الكتروني. وأمن المعلومات ليس فقط تأمين خادم من خلال إجراء تحديث، أو وضع جدار ناري أو ترقية لبرنامج مكافحة فيروس، أمن المعلومات هو عملية شاملة مستمرة جزء منها حماية الشبكة والخادم ولكن في جزء آخر حماية المستخدم نفسه كونه في كثير من الاحيان هو الحلقة الأضعف في الحماية. وإدارة هذه العملية أمر ضروري من أجل نجاحها.
نعود إلى الشهادات والدّارسين والمعاهد التي تدّعي أنها رائدة في هذا المجال. هل تدريب الطالب على استعمال أدوات غالبها لم يعد يعمل اليوم أو يعمل في شبكات محدودة جداً جداً؟ لماذا لا يتمّ تدريبهم على أحدث الأدوات والتقنيات المستخدمة بدلاً من اجترار الماضي بالحديث عن أداة كانت مشهورة وقت كان ويندوز 2000 منتشراً في الشركات والمؤسسات.كذلك لماذا لا يتمّ تدريب الطلاب على كيف تعمل الاداة (داخلياً) وكيف يمكن صنع أداة مشابهة من خلال فهم النظام الذي يعملون عليه او يحاولون حمايته داخلياً. عملية البناء ستعطي الطالب فهم أعمق للنظام وآلية عمله وكيّفية بناء ادوات عليه.
الهاكرز تقنياتهم تطورت بشكل مذهل وإذا استمرت طريقة تدريب خبراء أمن المعلومات بالطريقة الحالية فالمعركة حول أمن المعلومات ستكون خاسرة ولا شك.
حتى يكتمل الحديث أود أن أشير إلى أنّ هناك أدوات مهمة ولا بد للطالب أن يتعملها مثل nmap و metasploit وغيرها وهذا أدوات تتطور باستمرار ولا حاجة إلى إعادة صناعة العجلة من خلال بناء أدوات كهذه.
ارحب بأرائكم حول هذا الموضوع زوّاري المحترمين، وهذه دعوة لنقاش هادئ حول هذا الموضوع.
تحية لك عزيزي
اعرف ان الموضوع قديم نوعا ما لكني احببت ان اشاركك بتعليقي المتواضع :
اولا : لا يمكن التشبيه بين شهادتي CISSP و Security+ حيث الاخيرة يمكن مثلا مقارنتها بـ CEH
الـ CISSP تدخل معك في انظمة مثل Bell La Padula و Biba و غيرها من انظمة التشغيل الامنة و التي تستخدمها الحكومات.
كما تحوي تفاصيل عن البنية الأمنة للكيرنال او النظام , يعني تدخل معك في العمق في كثير من الامور .
اما CEH او Security + فقد تكون كما تفضلت منحازة للانظمة الاكثر شيوعا .
ثانيا قد تكون حضرت او درست بعض شهادات السكيوريتي عبر دورات او bootcamp و لهذا تجد ان مافيها قديم , انصحك بالدخول لموقع http://www.oissg.org وهو موقع تجده في قائمة المواقع بتوزيعة Backtrack .حضور ورشة لدورة اسمها CEHD اختصارا لـ Cutting Edge Hacking and Defense و سترا فعلا كل ما هو جديد .
هذه المنظمة حاليا تركز نشاطها في الشرق الاوسط و الدورات هذه موجودة في دول الخليج .
جزاك الله خيراً على هذه الإضافة القيّمة. أنا قصدي من الموضوع كان شهادات أمن المعلومات بشكل عام. سواء منها التي تهتم الأمن والإدارة بشكل عام او التطبيقية والتي تهتم بأساليب القرصنة او تأمين المواقع والشركات. والحمد لله لي خبرة في جميعها ومن هنا كان تساؤلي حول الفائدة.
على العموم إن شاء الله أعمل على تقرير مفصل حول شهادات أمن المعلومات إن شاء الله حال انتهائي من الدراسة لهذا الفصل.
شرّفت المدونة أخي الفاضل…واجعلها بعودة
.
السلام عليكم ورحمة الله وبركاته
اشكرك اخي على هذا المقال الرائع
مع ان معلوماتي فى هذا المجال ضئيله كوني فى الدراسه وتقريبا فى بداية الطريق الا اننى وجدت كتاب ل احد المؤلفين عن الطريق الى الهاكينج ومن ثم الطريق الى الامن الذي هوه بمعرفة اساليبهم فقد ركز هذا الكاتب على اهمية بناء الادوات عن طريق معرفة احدي لغات البرمجه المناسبه وذكر منهم ال java وc++وغيرها وركز ايطا على الابتكار بجد اعجبني جدا وكلامه منطقي جدا جدا
وليس باستخدام الادوات المتوافره فهذا فى اعتقادي (خيابه).
جزاك الله خير
وعليكم السلام ورحمة الله وبركاته
حيّاك الله أخي ومشكور على الإضافة الطيّبة.
طبعاً تعلّم البرمجة وبناء أدواتك الخاصّة بك أمر ممتاز ولكن كما يقولون لا داعي لاختراع العجلة من جديد فإذا كان هناك أداة سوف أقوم باستخدامها وفي بعض الاحيان بالتعديل عليها إذا كانت مفتوحة المصدر بما يلائم حاجتي. ولكن هذه الأداة تختلف عن سكريبتات تستغل ثغرة يقوم بتطويرها أحد خبراء أمن المعلومات من أجل اثبات أنّ الثغرة وموجودة ويقوم اطفال السكريبت باستغلالها وفي كثير من الاحيان دون معرفة إذا كانت الثغرة موجودة عن الهدف ام لا. من يقومون بتطوير ادوات استغلال الثغرات يصرفون الكثير من الوقت في موضوع معين من اجل معرفة إذا ما كان فيه ثغرة ام لا وهذا جزء فقط من عملية الهاكيجن ولكن ليس كل العملية.