صرفا تجربه شخصی بنده تو فیلد امنیت هست برای کسانی که تجربه کاری کمتری دارند. و شرایط برای هر شخص مشخصا فرق دارد.
من تقریبا از سال 2010 با حوزه امنیت به واسط یکی از نزدیکان آشنا شدم منابع خیلی زیادی برای یادگیری در این حوزه در آن زمان نبود امروز شما اراده کنید کلی کورس رایگان در اختیار دارید.
من در این مدت در خیلی شرکتهای خصوصی دولتی کار کردم چند سالی نیز تدریس داشتم. حوزه امنیت سایبری در ایران نسبت به دنیا خیلی عقب هست حتی کشورهای نزدیک به ما منظور بنده از عقب بودن خرید تجهیزات خرج کردن گرفتن مدرک نیست منظور اجرایی کردن و ساز و کار در خیلی از سازمان ها است.
با وجود مشکلات تحریم ملیت ایرانی شاید اگر شما در این حوزه فعالیت کنید به راحتی نتوانید مهاجرت کاری کنید. اما مقصر شما نیستید ولی حتما مد نظر قرار بدید کار کردن برای شرکت های مختلف همان طور که یک سری ویژگی های مثبت دارد ممکن است بعضی از ویژگی های منفی برای پرونده شما در پی داشته باشد
مثلا حقوق خوب، مزایای عالی، بیمه عالی ولی تحریم شدن شرکت شما را هم تحت شعاع قرار می دهد.
تجربه من در جلسه مصاحبه به عنوان مصاحبه شونده و مصاحبه کننده:
وقتی برای اولین بار در یک جلسه مصاحبه شرکت کردم سال 92 تازه یکسری مدرک از سایبرتک گرفته بودم.
سوال هایی که از من شد:
با چه ابزارهایی تا الان کار کردی ؟ اسکنر و ابزارهای اکسپلویت
نظرت در مورد havij و sqlmap چیه
اگر سایت کاری میکنی آسیب پذیری نداشته باشه تارگت ول میکنی ؟
بلدی sqli دستی بزنی یا فقط با ابزار کار میکنی
مهندسی اجتماعی میدونی چیه؟ با چه ابزارهایی کار کردی
بک ترک و کالی لینوکس کار کردی چیا بلدی؟
متااسپلویت بلدی باهاش چی کارا میشه کرد؟
و …
سوالات واقعا جالب بود برام اون موقع قبول شدم و اولین پوزیشن امنیت گرفتم و وقتی سر کار رفتم فهمیدم هیچی بلد نیستم خیلی چیزها سر پروژه ها یاد گرفتم و هی تمرین تمرین تمرین. کسی منتور من نبوده تو امنیت. و هیچ کس تو محل کار بهم چیزی یاد نداده فقط تسک میگرفتم و شده بود بعد از ساعت کاری بدون حقوق کار میکردم و یاد گرفتم و تو فروم ها روش های اکسپلویت انواع sqli کار با sqlmap و tamper تو چه شرایطی استفاده بشه یاد گرفتم
این موارد گفتم بدونید دنبال این نباشید کسی شما رو نجات بده با یک دوره یا یک مشاوره خودتون باید بجنگید برای یادگیری
بعدها که به سطحی رسیدم خودم مصاحبه کنم چند مورد تجربه کردم
بچه ها دهه 80 90 خیلی بلدند نسبت به سنشون ولی گاهی پیش میاد اون یادگیری خیلی عمیق نیست و سوال که عوض میشه یا یکم پیچیده میشه طرف خودش گم میکنه و دیگه نمی تونه مصاحبه ادامه بده و اینم بخاطر اعتماد به نفس که با تمرین زیاد بدست میاد.
مثلا وقتی من در مورد متااسپلویت میپرسم میدونه ابزاری که اکسپلویت میکنه اما اینکه باهاش میشه اسکن کرد یا post exploit کرد رو نمیدونه یا حتی بعضی موقع پیش اومده شخصی pivoting نمیدونسته یا تجربه نکرده اینا رو معمولا باید از کتاب رفرنس بخونید شاید تو طول دوره کسی نیاد به شما بگه یا باید در پروژه تجربه کنید.
وقتی اسم ابزاری نشنیدی تو مصاحبه نگو بلدم یا میدونم چیه بگو نشنیدم نمی دونم ولی اگر تو پروژه بر بخورم روی یک موضوع میتونم سرچ کنم ابزارها برای تست کردن آسیب پذیری خاص یا تکنیک خاص در بیارم پیاده سازی کنم
یکی از مصاحبه ها پرسیدم میدونی ابزار X چیه گفت اره کار کردم rdp hack میکنه
اینکه شما میدونی MITRE Attack چیه خیلی خوبه یا چند بار سایت باز کردی ولی وقتی بپرسن تا حالا ازش استفاده کردی بگی بله و برسه سوال بعدی تکنیک X توضیح بده نتونی توضیح بدی خیلی بده حتما بگید من کامل بلد نیستم چقدر کار کردم تا چه سطح بلدم دروغ نگید هیچ موقع
وقتی تو رزومه تایتل بزنید مثلا ردتیمر بلوتیمر پرپل تیمر پن تست شبکه پن تست وب و بفرستید برای یک مجموعه و با عنوان شغلی مغایرت داشته باشه میگه حتی رزومه برای من با اون عنوان شغلی که زدم پر نکردید امتیاز منفی هست
یا حتی یه چیزی بیشتر بزنید مثلا 2 سال سابقه کار دارید بزنید من سنیور هستم تو یک موضوع براتون مشکل پیش میاد و اون مشکل اینکه سوال های سطح سنیور ازتون میپرسند و شما را تو اون سطح میسنجند