- بواسطة x32x01 ||
لو إنت بتشتغل Security Consultant (سواء بتعمل Pentest او غيره) وبتنزل تشتغل onsite assessment من مكان العميل, ففي شوية نصايح حابب أشاركها معاكم من تجاربي الشخصية (هستخدم مصطلحات بالإنجليزي علشان ترجمتها بالعربي بتفقدها المعني المقصود).
1. أول حاجة لازم تعملها بلا شك, هي إنك تكسب أصدقاء من المكان اللي انت رايحه. الموضوع ملهوش علاقة بالشغل هنا لكن قطعا كل ما شبكة علاقاتك بتكبر, حتي لو بناس مش في نفس تخصصك أو مجالك, فده هيفيدك دلوقتي وبعد سنين قدام. ف socialize علي قد ما تقدر وانت عند مكنة القهوة أو وانت في الكانتين بتتغدي أو وانت قاعد بتشتغل علي جهازك.
2. أوقات كتير هتقابل Project Managers مش طايقينك ولا طايقين نفسهم والتعامل معاهم بيكون صعب, ولو قفشت او اتصرفت بشكل مش كويس فده هيضر بسمعة شركتك وبسمعتك بالتأكيد. لو شايف انك مش هتعرف ت handle الموظف او المدير الفلاني عند العميل, فمفيش اي مشكلة انك ترجع لمديرك أو زميلك الأقدم منك وتفهمه الوضع وتسأله تتصرف ازاي.
3. لو بتعمل بنتست لأبلكيشن, حاول علي قد ما تقدر تتكلم مع ال Project manager وال developers علشان تفهم منهم ال business need للأبلكيشن وبيستخدم في إيه وبيشتغل ازاي وايه ال worst-case scenario إلخ. لأنك كل ما فهمت الحاجه اللي انت شغال عليها أكتر كل ما ده كان أسهل ليك في تقييم ال risk لأي vulnerability هتطلعها, وكمان هيخلي كتابة الريبورت بالنسبالك أسهل.
4. متفتيش. لو إتسألت علي حاجة فمش عيب أبدا انك تقول معرفش. ولو انت مش من اللي بيحبوا يقولو معرفش, فممكن تخرج من الموضوع بشياكة, زي إنك تقوله انك هتدور في الجزأ ده وترجعله, أو هرجع لل senior peers وارد عليك. المهم متفتيش علشان الفتية دي بيتبني عليها حاجات وارد تطلع غلط وتضر بسمعتك وسمعة شركتك.
5. ركز كويس في الجزأ ده
لازم تبلغ كل اللي بتشوفه. ممكن أوقات تلاقي ثغرة او مشكلة كبيرة في السكيورتي عند العميل ويقولك لا متطلعهاش في الريبورت احنا كده كده عارفينها وهنصلحها الشهر الجاي او بكرة أو بعد دقيقتين قوله مفيش مشكله صلحها وقت ما تحب بس انا لازم أكتب اللي لقيته في الريبورت. ويستحسن لو تساعدة يقفل الثغرة وتبلغها برده عادي بس تكتب جنبها (fixed) عشان انت المفروض رايح تساعده مش تحط عليه، وكده كده كله هيظهر في الريبورت
6. العميل دافع ليك أو لشركتك فلوس علشان انت اللي تقوله يعمل ايه, مش العكس! فلو انت مش مقتنع بالكلام اللي بيقوله ال system admin او ال developer او ال PM أو أيا كان, يبقي خليك ثابت علي رأيك لأنك هنا علشان تقولهم يعملوا إيه مش العكس, وانت من ضمن اللي هيتحاسبوا برده لو حصلت كارثه في حاجه انت إشتغلت عليها.
7. دورك مش مجرد شخص راح طلع شوية ثغرات أو عمل شغله ومشي. بص لأبعد من كدة. في بنوك هتشتغل معاها وهتيجي بعد تسعين سنة تلاقي نفس المشاكل موجودة. فمتبقاش رايح تقضي واجب وتعمل التست وتمشي, لأنك عارف الثغرات دي ممكن تتسبب في كوارث للبنك او للشركة. حاول طول البروجكت توصل للعميل خطورة اللي انت بتعملة وان ازاي ده ممكن يكون سبب في سرقة ملايين من البنك أو يكون سبب في إفلاس شركته بسبب ثغرات هو بيتعامل معاها علي انها ريبورت هيتركن علشان لما يجي بتاع ال Audit أو هيركن الريبورت للسنة الجاية علشان هو شايف ان في حاجات تانيه أهم!
8. متبخلش علي حد بمعلومة. طول منتا عند العميل في ناس هتسألك, سواء حد شغال في تيم السكيورتي او system admin او developer او غيره. حتي لو ده إستدعي انك تكتبلة كود بسيط او تصلح المشكلة بنفسك (طالما مش هتاخد وقت من المشروع نفسه وإلا عرفه يعملها ازاي بس) فمفيش أي مشكلة انك تساعد والأهم انك متعرفش حد انك ساعدت فلان.
9. بطبيعة شغلك هتبقي بتلف علي customers كتير وهتتعلم كل يوم حاجات جديدة. هتبقي حركة ظريفة جدا وهتخلي زمايلك يحبوك لو كل اسبوع أو بعد كل بروجكت بعت إميل لزمايلك عن حاجة جديدة إتعلمتها.
10.ودي خليتها في الآخر لأهميتها, ألا وهي, خلي كل حاجة documented. مش هقول ان الناس بتقول كلام وبترجع فيه أو بتنكره بس احنا بشر وطبيعي بننسي. فلازم أي اتفاق او معلومه او حاجه انت شوفتها تكون documented سواء تبعتها في اميل او في شكل screenshot او أيا كان. يعني مثلا لو بتكلم ال customer في التلفون وقالك شوية معلومات, بعد ما تقفل معاه ابعتله إميل:
1. أول حاجة لازم تعملها بلا شك, هي إنك تكسب أصدقاء من المكان اللي انت رايحه. الموضوع ملهوش علاقة بالشغل هنا لكن قطعا كل ما شبكة علاقاتك بتكبر, حتي لو بناس مش في نفس تخصصك أو مجالك, فده هيفيدك دلوقتي وبعد سنين قدام. ف socialize علي قد ما تقدر وانت عند مكنة القهوة أو وانت في الكانتين بتتغدي أو وانت قاعد بتشتغل علي جهازك.
2. أوقات كتير هتقابل Project Managers مش طايقينك ولا طايقين نفسهم والتعامل معاهم بيكون صعب, ولو قفشت او اتصرفت بشكل مش كويس فده هيضر بسمعة شركتك وبسمعتك بالتأكيد. لو شايف انك مش هتعرف ت handle الموظف او المدير الفلاني عند العميل, فمفيش اي مشكلة انك ترجع لمديرك أو زميلك الأقدم منك وتفهمه الوضع وتسأله تتصرف ازاي.
3. لو بتعمل بنتست لأبلكيشن, حاول علي قد ما تقدر تتكلم مع ال Project manager وال developers علشان تفهم منهم ال business need للأبلكيشن وبيستخدم في إيه وبيشتغل ازاي وايه ال worst-case scenario إلخ. لأنك كل ما فهمت الحاجه اللي انت شغال عليها أكتر كل ما ده كان أسهل ليك في تقييم ال risk لأي vulnerability هتطلعها, وكمان هيخلي كتابة الريبورت بالنسبالك أسهل.
4. متفتيش. لو إتسألت علي حاجة فمش عيب أبدا انك تقول معرفش. ولو انت مش من اللي بيحبوا يقولو معرفش, فممكن تخرج من الموضوع بشياكة, زي إنك تقوله انك هتدور في الجزأ ده وترجعله, أو هرجع لل senior peers وارد عليك. المهم متفتيش علشان الفتية دي بيتبني عليها حاجات وارد تطلع غلط وتضر بسمعتك وسمعة شركتك.
5. ركز كويس في الجزأ ده
لازم تبلغ كل اللي بتشوفه. ممكن أوقات تلاقي ثغرة او مشكلة كبيرة في السكيورتي عند العميل ويقولك لا متطلعهاش في الريبورت احنا كده كده عارفينها وهنصلحها الشهر الجاي او بكرة أو بعد دقيقتين قوله مفيش مشكله صلحها وقت ما تحب بس انا لازم أكتب اللي لقيته في الريبورت. ويستحسن لو تساعدة يقفل الثغرة وتبلغها برده عادي بس تكتب جنبها (fixed) عشان انت المفروض رايح تساعده مش تحط عليه، وكده كده كله هيظهر في الريبورت 6. العميل دافع ليك أو لشركتك فلوس علشان انت اللي تقوله يعمل ايه, مش العكس! فلو انت مش مقتنع بالكلام اللي بيقوله ال system admin او ال developer او ال PM أو أيا كان, يبقي خليك ثابت علي رأيك لأنك هنا علشان تقولهم يعملوا إيه مش العكس, وانت من ضمن اللي هيتحاسبوا برده لو حصلت كارثه في حاجه انت إشتغلت عليها.
7. دورك مش مجرد شخص راح طلع شوية ثغرات أو عمل شغله ومشي. بص لأبعد من كدة. في بنوك هتشتغل معاها وهتيجي بعد تسعين سنة تلاقي نفس المشاكل موجودة. فمتبقاش رايح تقضي واجب وتعمل التست وتمشي, لأنك عارف الثغرات دي ممكن تتسبب في كوارث للبنك او للشركة. حاول طول البروجكت توصل للعميل خطورة اللي انت بتعملة وان ازاي ده ممكن يكون سبب في سرقة ملايين من البنك أو يكون سبب في إفلاس شركته بسبب ثغرات هو بيتعامل معاها علي انها ريبورت هيتركن علشان لما يجي بتاع ال Audit أو هيركن الريبورت للسنة الجاية علشان هو شايف ان في حاجات تانيه أهم!
8. متبخلش علي حد بمعلومة. طول منتا عند العميل في ناس هتسألك, سواء حد شغال في تيم السكيورتي او system admin او developer او غيره. حتي لو ده إستدعي انك تكتبلة كود بسيط او تصلح المشكلة بنفسك (طالما مش هتاخد وقت من المشروع نفسه وإلا عرفه يعملها ازاي بس) فمفيش أي مشكلة انك تساعد والأهم انك متعرفش حد انك ساعدت فلان.
9. بطبيعة شغلك هتبقي بتلف علي customers كتير وهتتعلم كل يوم حاجات جديدة. هتبقي حركة ظريفة جدا وهتخلي زمايلك يحبوك لو كل اسبوع أو بعد كل بروجكت بعت إميل لزمايلك عن حاجة جديدة إتعلمتها.
10.ودي خليتها في الآخر لأهميتها, ألا وهي, خلي كل حاجة documented. مش هقول ان الناس بتقول كلام وبترجع فيه أو بتنكره بس احنا بشر وطبيعي بننسي. فلازم أي اتفاق او معلومه او حاجه انت شوفتها تكون documented سواء تبعتها في اميل او في شكل screenshot او أيا كان. يعني مثلا لو بتكلم ال customer في التلفون وقالك شوية معلومات, بعد ما تقفل معاه ابعتله إميل:
Code:
Dear X,
As per our phone call, kindly find the following raised points ......