Skip to content

ONHEXGROUP

اخبار دنیای امنیت سایبری

  • اخبار
    • آسیب پذیری امنیتی
    • آنالیز بدافزار
    • کنفرانس ،دوره ، وبینار ، لایو ، CTF
    • بازیگران تهدید
    • توسعه اکسپلویت
    • افشای اطلاعات
    • باگ بانتی
    • تیم آبی
    • تیم قرمز
    • امنیت وب
  • دوره های آموزشی
    • دوره رایگان مهندسی معکوس نرم افزار
  • لیست های ویژه
    • موتورهای جستجو برای امنیت سایبری
    • کاتالوگ KEV آژانس CISA
    • آسیب پذیری های وردپرس
      • آسیب پذیری پلاگین ها
      • آسیب پذیری های هسته
      • آسیب پذیری تم ها
    • محصولات خارج از پشتیبانی مایکروسافت
      • محصولات مایکروسافتی که در سال 2022 پشتیبانی نمیشن
      • محصولات مایکروسافتی که در سال 2023 پشتیبانی نمیشن
      • لیست محصولات مایکروسافتی که در سال 2024 پشتیبانی نمیشن
      • لیست محصولات مایکروسافتی که در سال 2025 پشتیبانی نمیشن
    • معرفی فیلم ها و سریالهای مرتبط با هک و امنیت
  • آموزش های ویدیویی
  • انتشارات
    • مجله
    • مقالات
    • پادکست
  • پروژه ها
    • ماشین آسیب پذیر
      • وردپرس آسیب پذیر
  • حمایت مالی ( Donate)
  • تماس با ما
 
  • Home
  • اخبار
  • اخبار
  • مقالات

تجربیات 4 ساله خانم Fernick بعنوان مدیریت یک تیم تحقیقاتی امنیت سایبری

On دی 2, 1401دی 19, 1401
seyyid
Share
زمان مطالعه: 5 دقیقه

تو این پست به نوشته آخر خانم Jennifer Fernick در سمت معاون ارشد و مدیر بین المللی تحقیقاتی NCC Group پرداختیم. ایشون بعد از 4 سال فعالیت در این سمت ، از موقعیتشون کنار رفتن.

نوشته ایشون دو بخش داره بخش اول در خصوص نظرات و تجربیات ایشون بعنوان مدیریت، یک تیم تحقیقاتی امنیتی هستش و بخش دوم در خصوص پروژه های تحقیقاتی مورد علاقه ایشون تو این 4 سال. تو این پست به بخش اول نوشته می پردازیم . نظرات و تجربیات فردی در این موقعیت قطعا میتونه کمک کننده باشه هم برای رشد خودمون و هم رشد جامعه امنیت سایبریمون .

از نظر من ، تحقیقات امنیتی در NCC Group ، در صنعت امنیت سایبری منحصر به فرده و خواهد بود. ما یه تیم کوچیک از چندین محقق تمام وقت نداشتیم که روی اونا سرمایه گذاری کنیم و بعنوان مدرکی بر توانایی های شرکت اونا رو نمایش بدیم. بلکه همه محققین ما بصورت نیمه وقت و بعنوان مشاور و توسعه داخلی پشتیبانی شدن. همه ما برابر هستیم یعنی کسی که اولین تحقیقش رو شروع میکنه به همون میزان منابع و زمان دسترسی داره که یه محقق معتبر یا درجه یک جهانی.

ما عمدتا در برابر brilliant asshole (عوضی با استعداد) مقاومت میکنیم ، چون میدونیم که راک استاریسم و بی احترامی یه نوع فرهنگه، که امکان ریسک‌پذیری فکری ، که تحقیقات امنیتی به اون نیاز داره، رو از بین می‌بره. همچنین با استعدادترین افرادی که در زندگی حرفه ایم ملاقات کردم، متواضع ترین و مهربان ترین ها بودن.

از تجارب من در چهار سال گذشته، چند چیز دیگه هم هست که معتقدم آوردنش اینجا میتونه خوب باشه:

اعتماد به نفس یک مهارت است.

استعدادهای زیادی به دلیل نداشتن کمی شجاعت در دنیا از بین میره، و گاهی اوقات یک نظر یا تجربه میتونه برای همیشه شغل شخصی رو تغییر بده. به عنوان رهبر، بزرگ‌ترین هدیه‌ای که می‌تونیم به افرادی که مدیریت می‌کنیم، بدیم، مهارت اعتماد به نفس هستش. یعنی یه اعتقاد قوی ، که اون فرد می‌تونه از پس هر چالشی برآد و یه محیطی به اندازه کافی امن که بدونند در صورت مواجه شدن با مشکلات به کجا و کی مراجعه کنند.

همه ما یک منتقد درونی داریم، اما منتقد درونی ما معمولا اشتباه می کند.

یکی از مهم ترین خاطرات من از دوران حضورم در این نقش، در Black Hat/DEF CON/BSidesLV در سال 2019 بود. اون سال بیش از 20 سخنران از NCC Group داشتیم که تحقیقات خودشون رو در این کنفرانس ها ارائه کرده بودند. بیش از نیمی از این محققین در لحظات نزدیک به صحبت هاشون، احساس شک و تردید، ناامنی یا ترس رو با من در میون میذاشتن. از اینکه اون فرد مطمئن برای اونا بودم سپاسگزارم، اما از شنیدن این که بسیاری از افراد با استعداد ، ارزش کارشون و گاهی حتی خودشون رو زیر سوال می بردند، دلم می سوخت. اون سخنرانان در سراسر جهان سخنرانی های بسیار خوبی ارائه کردند که مورد استقبال قرار گرفت. من فکر می‌کنم درس‌هایی که در اینجا وجود داره اینه که:

  • حتی سخنرانان باتجربه‌ای که در بهترین جاهای صنعت امنیت سایبری هستن و شناخته شده و تحسین شده هم هستن ، هنوز هم لحظاتی از سندروم ایمپاستر دارن.
  • بنابراین منتقد درونی ما تمایل به اشتباه داره و ما باید تمام تلاش خودمون بکنیم تا ترس رو احساس کنیم و به هر حال کارها را انجام بدیم.

[*] سندرم ایمپاستر، نشانگان دغل‌کار یا نشانگان خودویرانگری توانمندان ( impostor syndrome) یک پدیده روانیه که در اون فرد برجسته نمیتونه اعتبار موفقیت‌هایش رو بپذیره. در این پدیده فرد تصور میکنه بر خلاف آنچه شواهد بیرونی که نشان از لیاقت وی برای رسیدنش به موفقیت از روی رقابت و تلاش دارن، اون در واقع شایستگی اون موفقیت رو نداره و شخص فریب‌کاری هستش. فرد مبتلا ، موفقیت خودش رو در نتیجهٔ اقبال، زمان‌بندی خوب، و یا فریب دیگران فرض می‌کنه و این موضوع که فردی باهوش یا تلاش‌گر هستش رو بدفهمی دیگران فرض می‌کنه و از نظر روانی از سوی خودش نمی‌پذیره.

ما در کنار هم بهتر خواهیم بود.

هیچ چیز مانند داشتن یک جامعه قابل اعتماد که، میتونه تخصص خودش به اشتراک بذاره، دیدگاه های متفاوتی ارائه بده و همدیگرو راهنمایی کنه ،باعث رشد و انجام ایده‌های جدید و جرأت انجام چیزهای دشوار نمیشه.

فرهنگ Elitist gatekeeping موجب عدم پیشرفت ما میشه.

برخی کارها تو صنعت ما که اغلب gatekeeping هستش رو نباید انجام بدیم .

  • جلوگیری از تحقیقات بین رشته ای و تلاش هکرانه ، برای اختراع مجدد زمینه های دیگر رو متوقف کنید.
  • فراموش نکنید به کسایی که قبل از شما کاری انجام دادن، اعتبار بدید، به‌ویژه زمانی که این افراد هنوز در صنعت ما شناخته شده نیستند و به آسانی ممکنه کمک‌هاشون رو کم یا از بین ببریم.
  • از اینکه مردم ،از پرسیدن یه سوال ،بیشتر احساس شرم کنند، دست بردارید تا اینکه وانمود کنند چیزی رو که نمیدونن ، میدونن.
  • از ترساندن مشارکت کنندگان جدید به دلیل اینکه قبل از شروع موارد ابتدایی به RCE نمیرسن، دست بردارید.
  • از سرزنش کاربران به خاطر حرفه ای نبودن infosec خودداری کنید.

[*] اصطلاح gatekeeping یا کنترل و محدودسازی دسترسی عمومی ، اشکال مختلفی رو داره اما در کل از نشون دادن خود به عنوان یه متخصص خود تحسین‌شده در «چگونه این کار را درست انجام دهیم» و سبقت گرفتن از دیگران ناشی میشه . مثلا میگن هر کی لیست کتابهای جایزه Booker رو نخونده باشه ، کتابخون نیست.یا مثلا یکی میگه من فلان بیماری رو داشتم و اینجور ادمها میگن که منم داشتن و اصلا نمیتونستم از رختخواب بلند بشم ، وضعیت تو از اینم بدتره. یا مثلا یه کسی بگه من فلان خواننده رو دوست دارم ، اینجور آدما میگن 5 تا از البوماش نام ببر ببینم.

امنیت سایبری برای برخی شایسته تر از دیگران است!

در حالی که بیشتر صنعت ما فوق‌العاده است، هنوز هم افرادی هستند که تصور می‌کنند همتایان یا رهبران زن بی تجربه، غیر فنی یا از بخش بازاریابی هستند . افراد کم توجه و به حاشیه رانده شده همچنان با میزان نامتناسبی از اغماض و محرومیت مواجه میشن که به نوبه خودش می تونه باعث بشه اونا کمتر مقالات خودشون رو به CFP ها ارسال کنند، به OSS کمک کنند، تحقیقات خودشون رو منتشر کنند یا برای شغل درخواست بدن. این رگبار دلسردی به طور معناداری بر افراد تأثیر میذاره و حتی می تونه منجر به خروج اونا از صنعت ما بشه. اگه تخصیص CVE و پذیرش سخنرانی در کنفرانس سطح 1 نسبت به مواردی مانند نژاد و جنسیت بیگانه باشه، موانع سیستماتیک و فرهنگی که این افرادرو از صنعت ما را در یک زمان از گفتگوهای ناخوشایند خارج می کنه ، بیگانه نیست. اگر این موارد رو تصدیق میکنید ، ما باید تلاش کنیم که این موارد رو تغییر بدیم.

نگرش Radical inclusivity مهارت فنی بوجود می آورد

مردم در محیط‌هایی که از نظر روانی احساس امنیت نمی‌کنند، ریسک فکری ندارن (یا حتی سؤال نمی‌پرسند). با ایجاد فرهنگ رفاقتی و گرم، احترام، و گنجاندن همه سطوح و زمینه های مهارتی، می تونیم ریسک های فنی و فکری رو با هم بپذیریم، بازخورد سازنده دیگران را به عنوان یک هدیه در نظر بگیریم، تجربه کنیم بدون اینکه لزوماً «شکست» رو با «شرم» همراه کنیم، و کارهایی رو انجام بدیم که در غیر این صورت جرات امتحان کردنشون رو نداشتیم.

[*] نگرش Radical inclusivity یه سفر فکری و نگرشی هستش. برای ما، “رادیکال” در واقع به معنای “فکر کردن خارج از عاداتمونه”. به این معنی که به جای محدودیت‌های کاری که نمی‌تونیم یا نمی‌کنیم، فراوانی را در آنچه می‌تونیم انجام بدیم، ببینیم.

تلاش های جسورانه باید پاداش داده شود.

در NCC Group، ما پاداش هایی را برای موفقیت در تحقیقات پرداخت می کنیم. در چند سال گذشته، ما چندین دسته مختلف برای «دستاوردها» داشته‌ایم، و برای واجد شرایط شدن برای جایزه فقط باید یکی از این دسته را بدست می آوردن. یکی از دسته بندی هایی که افراد می تونند واجد شرایط دریافت یکی از این پاداش ها بشن، «سختی، جسارت و تلاش» بود. ما می دونیم که تلاش کردن برای کاری دشوار ،یه ریسک با پتانسیل بالاست، اما نقطه ضعف اون اینه که ممکنه شکست بخوره. ما سعی کردیم با پاداش دادن به تلاش‌های شجاعانه برای انجام کارهای سخت، حتی زمانی که اون چیزها خراب میشن و می‌سوزن، به «مالک شدن» این خطر با محققان خود کمک کنیم. و من فکر می کنم، ما برای آن بهتر عمل کرده ایم.

اشتراک در شبکه های اجتماعی :

Facebook
Twitter
Pinterest
LinkedIn
In اخبار مقالاتIn Jennifer Fernick , NCC Group , امنیت سایبری

راهبری نوشته

بررسی CVEهای پر سر و صدای این هفته (21 تا 27 آبان 1401)
بررسی CVEهای پر سر و صدای این هفته (28 آبان تا 4 آذر 1401)

دسته‌ها

  • Osint
  • آسیب پذیری امنیتی
  • آموزش های ویدیویی
  • آنالیز بدافزار
  • اخبار
  • افشای اطلاعات
  • امنیت وب
  • انتشارات
  • اینترنت اشیاء
  • بازیگران تهدید
  • باگ بانتی
  • پادکست
  • پروژه ها
  • توسعه اکسپلویت
  • تیم آبی
  • تیم قرمز
  • دوره های آموزشی
  • فازینگ
  • کنفرانس ،دوره ، وبینار ، لایو ، CTF
  • لیست های ویژه
  • ماشین آسیب پذیر
  • مجله
  • مقالات
  • مهندسی معکوس نرم افزار

پست های مرتبط

  • Osint
  • اخبار
  • بازیگران تهدید
seyyid
On مرداد 12, 1402مرداد 12, 1402

شرکت ایرانی پشت زیرساخت 21 بازیگر تهدید؟!

  • آسیب پذیری امنیتی
  • اخبار
  • توسعه اکسپلویت
  • تیم آبی
  • تیم قرمز
  • مقالات
seyyid
On خرداد 12, 1402خرداد 12, 1402

بررسی هفتگی آسیب پذیری های منتشر شده در ZDI – (6 تا 12 خرداد)

  • آسیب پذیری امنیتی
  • اخبار
  • بازیگران تهدید
  • باگ بانتی
  • توسعه اکسپلویت
  • تیم آبی
  • تیم قرمز
  • مقالات
seyyid
On دی 2, 1401فروردین 28, 1402

بررسی Patch Tuesday مایکروسافت برای دسامبر 2022 (آذر 1401)

  • آسیب پذیری امنیتی
  • اخبار
  • مقالات
seyyid
On تیر 25, 1402تیر 25, 1402

بررسی هفتگی آسیب پذیری های منتشر شده در ZDI – (17 تا 23 تیر)

درباره ما

بعد از چندین سال فعالیت تو حوزه امنیت سایبری و تولید محتوا در شبکه های اجتماعی ، بالاخره تصمیم گرفتیم تا یه سایت راه اندازی کنیم و مطالب رو ساده تر ، در یک محیط منسجم و طبقه بندی شده به دست مخاطب برسونیم. امیدوارم که قدمی در راستای رشد امنیت سایبری کشورمون برداشته باشیم.

تگ ها

0day APT command injection Deserialization of Untrusted Data Directory Traversal FBI Fortinet Heap buffer overflow integer overflow kali LockBit Memory Corruption nuclei Off By One Security out-of-bounds write Out of bounds read Patch Tuesday PWN2OWN Stack Buffer overflow type confusion use after free vulnerable wordpress XSS ZDI vulnerability آموزش اکسپلویت نویسی ارز دیجیتال اندروید اپل اکسپلویت باج افزار تلگرام زیرودی سیسکو فارنزیک فورتی نت فیشینگ لاک بیت مایکروسافت هوش مصنوعی وردپرس وردپرس آسیب پذیر ویندوز پلاگین کروم گوگل

شبکه های اجتماعی

    • Instagram
    • Telegram
    • Twitter
    • GitHub
    • YouTube
    • LinkedIn
      کپی مطالب با ذکر منبع بلامانع است | 1401-1404