كاتب المقال هو بريان كريبس ، صحفي معروف في مجال أمن المعلومات.



في كل عام ، يتخرج الآلاف من الخريجين في مجال أمن المعلومات أو علوم الكمبيوتر من الكليات والجامعات غير مستعدين تمامًا للعمل الحقيقي. هنا نلقي نظرة على نتائج استطلاع حديث سلط الضوء على أكبر فجوات في المهارات للخريجين ، وكيف يمكن للمرشحين للوظائف أن يبرزوا من بين الحشود.







كل أسبوع تقريبًا أتلقى خطابًا واحدًا على الأقل من قارئ يطلب النصيحة حول كيفية بدء حياة مهنية في مجال أمن المعلومات. في معظم الحالات ، يسأل الباحثون عن عمل عن الشهادات التي يجب أن يحصلوا عليها أو التخصص الذي له مستقبل مشرق.



نادرًا ما يُسأل عن المهارات العملية التي تحتاجها لإتقانها لتصبح مرشحًا أكثر جاذبية. أحذرك دائمًا من أنني شخصياً لا أمتلك أي شهادات أو دبلومات ، لكنني أتحدث بانتظام مع رؤساء أقسام أمن المعلومات وموظفي التوظيف - وغالبًا ما أسأل عن انطباعات المرشحين المعاصرين.



الإجابة النموذجية هي أن الكثير من المرشحين يفتقرون ببساطة إلى الخبرة في التعامل مع المشكلات العملية.



بالطبع ، يفتقر معظم الخريجين إلى الخبرة العملية. ولكن لحسن الحظ ، فإن أحد الجوانب الفريدة لأمن المعلومات هو أن الخبرة والمعرفة الأساسية يمكن الحصول عليها من خلال الطريقة القديمة الجيدة للتجربة والخطأ.



تتمثل إحدى النصائح الأساسية في تعلم أساسيات كيفية تفاعل أجهزة الكمبيوتر والأجهزة الأخرى مع بعضها البعض. أقول هذا لأن الشبكات هي مهارة أساسية تُبنى عليها العديد من مجالات التعلم الأخرى. إن الحصول على وظيفة في مجال الأمن دون فهم عميق لكيفية عمل حزم البيانات يشبه إلى حد ما محاولة أن تصبح مهندسًا كيميائيًا دون دراسة الجدول الدوري أولاً.



من فضلك لا تأخذ كلامي لذلك. استطلع معهد SANS للأبحاث مؤخرًا أكثر من 500 من ممارسي الأمن السيبراني في 284 شركة مختلفة في محاولة لاكتشاف المهارات التي يجدونها مفيدة جدًا للمرشحين للوظائف وأيهم غالبًا ما يكون مفقودًا.



في سياق الاستطلاع ، طُلب من المستجيبين تصنيف مهارات مختلفة من "الحرجة" إلى "الاختيارية". استشهد 85٪ بمعرفة الشبكة كمهارة حرجة أو "مهمة جدًا" ، تليها لينكس (77٪) ، ويندوز (73٪) ، تقنيات استغلال شائعة (73٪) ، هندسة الكمبيوتر والمحاكاة الافتراضية (67٪) معالجة البيانات والتشفير (58٪). من المدهش تمامًا أن 39٪ فقط ذكروا البرمجة كمهارة بالغة الأهمية أو مهمة جدًا (سنعود إلى ذلك في غضون دقيقة).



كيف قام محترفو الأمن السيبراني بتقييم المتقدمين المحتملين للوظائف بناءً على هذه المهارات الحاسمة والمهمة جدًا؟ تبدو النتائج ساحقة:





يقول آلان بالير ، مدير الأبحاث في المعهد: "أفاد أرباب العمل أن تدريب الطلاب في مجال الأمن السيبراني غير كافٍ إلى حد كبير ، كما أنهم محبطون لأن الأمر يستغرق شهورًا من البحث قبل أن يجدوا موظفين مؤهلين على مستوى المبتدئين ، إن وجدوا". بلا. "لقد اقترحنا أنه لبدء معالجة هذه المشاكل وسد الفجوة ، نحتاج إلى توضيح المهارات التي يتوقعها أصحاب العمل ولكن لا يجدونها في الخريجين."



الحقيقة هي أن بعض المتخصصين في أمن الكمبيوتر الأذكى والأكثر ذكاءً وموهبة الذين أعرفهم ليس لديهم شهادات أو شهادات في علوم الكمبيوتر أو علوم الكمبيوتر. في الواقع ، لم يذهب الكثير منهم إلى الكلية أو يتخرجوا منها.



بدلاً من ذلك ، وصلوا إلى الأمان لأنهم كانوا مهتمين بشغف وبالغ الاهتمام بالموضوع ، وأجبرهم هذا الفضول على التعلم قدر الإمكان - عن طريق القراءة والمحاولة وارتكاب الأخطاء (أخطاء كثيرة).



أنا لا أحبط القراء من متابعة التعليم العالي أو الحصول على شهادة في هذا المجال (والذي قد يكون مطلبًا أساسيًا في العديد من الشركات) ، ولكن ببساطة حتى لا يرون أنه ضمان لعمل مستقر وعالي الأجر.



بدون إتقان واحدة أو أكثر من هذه المهارات ، لن يتم اعتبارك ببساطة مرشحًا جذابًا أو متميزًا.

ولكن كيف؟

إذن أين يجب التركيز وأين هو أفضل مكان للبدء؟ أولاً ، في حين أن هناك عددًا لا نهائيًا من الطرق لاكتساب المعرفة ولا يوجد حد تقريبًا للأعماق التي يمكنك استكشافها ، فإن أسرع طريقة للتعلم هي جعل يديك متسخة.



أنا لا أتحدث عن اختراق شبكة شخص ما أو اختراق موقع سيء. من فضلك لا تفعل هذا بدون إذن. إذا كسرت خدمات ومواقع الجهات الخارجية ، فاختر تلك التي تقدم مكافآت من خلال برامج bug bounty ، ثم تأكد من اتباعك لقواعد هذه البرامج.



لكن يمكن لعب كل شيء تقريبًا محليًا. هل تريد إتقان التقنيات العامة لاختراق واستغلال نقاط الضعف؟ هناك عدد لا يحصى من الموارد المجانية المتاحة ؛ أدوات مصممة خصيصًا مثل Metasploit و WebGoat وتوزيعات Linux مثل Kali Linux مع الكثير من البرامج التعليمية والبرامج التعليمية عبر الإنترنت. بالإضافة إلى ذلك ، هناك عدد من أدوات اختبار الاختراق المجانية واكتشاف الثغرات الأمنية مثل Nmap و Nessus و OpenVAS و Nikto . هذه ليست قائمة كاملة.



تنظيم مختبر القراصنة الخاص بك. يمكنك القيام بذلك على جهاز كمبيوتر أو خادم احتياطي ، أو على جهاز كمبيوتر قديم ، والذي يتم بيعه بكثرة بسعر رخيص على موقع eBay أو Craigslist. أدوات افتراضية مجانية مثل VirtualBox، تبسيط العمل مع أنظمة التشغيل المختلفة دون الحاجة إلى تركيب معدات إضافية.



أو ضع في اعتبارك أن تدفع لشخص ما مقابل إعداد خادم افتراضي يمكنك تجربته. يعد Amazon EC2 خيارًا جيدًا منخفض التكلفة. إذا كنت ترغب في اختبار تطبيقات الويب ، فيمكنك تثبيت أي عدد من خدمات الويب على أجهزة الكمبيوتر في شبكتك المحلية الخاصة ، مثل الإصدارات القديمة من WordPress أو Joomla أو محركات المتاجر عبر الإنترنت مثل Magento.



هل تريد استكشاف الشبكات؟ ابدأ بكتاب لائق عن TCP / IP ، واحصل على فهم جيد لمكدس الشبكات وكيف تتفاعل جميع الطبقات مع بعضها البعض .



أثناء استيعابك لهذه المعلومات ، تعرف على كيفية استخدام بعض الأدوات التي ستساعدك على وضع معرفتك موضع التنفيذ. على سبيل المثال ، تعرف على Wireshark و Tcpdump ، وهما أدوات يدوية يستخدمها مسؤولو الشبكة لاستكشاف مشكلات الشبكة والأمان وإصلاحها ، وفهم كيفية عمل تطبيقات الشبكة (أو لا). ابدأ بالتحقق من حركة مرور الشبكة الخاصة بك ، وتصفح الويب ، واستخدام الكمبيوتر اليومي. حاول أن تفهم ما تفعله التطبيقات على جهاز الكمبيوتر الخاص بك من خلال النظر في البيانات التي ترسلها وتستقبلها ، وكيف وأين.

حول البرمجة

قد يطلب أصحاب العمل مهارات البرمجة بلغات مثل Go أو Java أو Perl أو Python أو C أو Ruby وقد لا يطلبون ذلك . بغض النظر ، فإن معرفة لغة واحدة أو أكثر لن تجعلك مرشحًا أكثر جاذبية فحسب ، بل ستسهل أيضًا المزيد من الدراسة والتقدم إلى مستويات أعلى من الكفاءة.



اعتمادًا على التخصص ، قد تجد في مرحلة ما أن إمكانيات التدريب الإضافي محدودة تحديدًا بفهم البرمجة.



إذا شعرت بالخوف من فكرة تعلم اللغة ، فابدأ بأدوات سطر أوامر Linux الأساسية. مجرد تعلم كيفية كتابة البرامج النصية الأساسية لأتمتة المهام الروتينية يعد بالفعل خطوة رائعة إلى الأمام. علاوة على ذلك ، فإن الكفاءة في البرمجة النصية للقذيفة ستحقق أرباحًا رائعة طوال حياتك المهنية في أي دور تقني يتعلق بأجهزة الكمبيوتر (سواء كنت تتعلم لغة برمجة معينة أم لا).

احصل على مساعدة

لا تخطئ: مثل تعلم آلة موسيقية أو لغة جديدة ، فإن اكتساب مهارات الأمن السيبراني يستغرق وقتًا طويلاً ومرهقًا. لكن لا تثبط عزيمتك إذا كنت غارقًا في الكمية الكاملة من المعلومات. فقط خذ وقتك واستمر في المشي.



لهذا السبب تساعد مجموعات الدعم. بجدية. في صناعة أمن المعلومات ، يتخذ الجانب الإنساني من الشبكات شكل المؤتمرات والاجتماعات المحلية. من الصعب المبالغة في تقدير مدى أهمية التواصل مع الأشخاص ذوي التفكير المماثل على أساس شبه منتظم بالنسبة لسلامة عقلك وحياتك المهنية.



العديد من هذه الأحداث أحرار، بما في ذلك BSides اجتماعات ، المجموعات DEFCON و الاجتماعات OWASP... وبما أن صناعة التكنولوجيا لا تزال في الغالب من الذكور ، فهناك عدد من اجتماعات الأمن السيبراني والمجموعات التي تركز على النساء مثل Cyberjutsu Sorority وغيرها المدرجة هنا .



إذا كنت لا تعيش في مكان مجهول ، فمن المحتمل وجود العديد من المؤتمرات والاجتماعات الخاصة بأمن المعلومات في منطقتك. ولكن حتى لو كنت بعيدًا عن المسار المطروق ، فإن العديد من هذه الاجتماعات تُعقد الآن تقريبًا بسبب وباء COVID-19.



باختصار ، لا تتوقع أن تمنحك الدبلومة أو الشهادة المهارات التي يتوقعها منك أصحاب العمل بشكل مفهوم. قد يكون هذا عادلاً وقد لا يكون ، ولكن سيتعين عليك تطوير وتحسين المهارات التي ستخدم صاحب (أصحاب) العمل في المستقبل وفرص العمل في هذا المجال.



أنا متأكد من أن القراء لديهم أفكارهم الخاصة حول ما يجب تركيز جهودهم عليه للمبتدئين والطلاب. من فضلك لا تتردد في التحدث في التعليقات.

أنظر أيضا:

• " IBo nefig: أفضل إفصاحات الأمن السيبراني لعام 2020 وفقًا لـ JSOC "
• " تم إنشاء معهد الأمن السيبراني في معهد سانت بطرسبرغ للفنون التطبيقية "
• " الاستعانة بمصادر خارجية لأمن المعلومات ، الأمن الداخلي. إلى أين أذهب إلى العميل "