Диалоги о сертификатах

Ведь если в башне поИБень.
То что ИБень, что не ИБень.
(c)

Рано или поздно в жизни каждого специалиста по информационной безопасности наступает момент, когда он задумывается о получении того или иного профильного сертификата. Причины бывают разные: узнать что-то новое, закрепить знания, требования работодателя и т.п. В этой статье я хочу рассказать, какие бывают сертификаты, для чего они могут пригодиться, и поделиться собственным опытом сдачи некоторых из них.

Начнем с обзора того, что вообще существует в мире. Если не рассматривать псевдосертификаты от Coursera, PentestIT и прочих HackerU (не поймите меня неправильно, чему-то вы научитесь, что-то узнаете, но больше вы их никак не примените скорее всего), то общемировую ситуацию можно наглядно представить следующей инфографикой:

Или подробнее и удобнее в HTML-варианте: https://pauljerimy.com/security-certification-roadmap/. В этом варианте вы также можете быстро посмотреть стоимость той или иной сертификации.

Как мы видим, все можно разделить на следующие направления (опираюсь на HTML-версию, она полнее, хотя старая версия в виде картинки проще для восприятия):

  1. Реализация (Implementation): работа с оборудованием и продуктами конкретных вендоров, а также общие концепции в этом направлении.
  2. Архитектура (Architecture): ITIL, Scrum, Agile (не спрашивайте, не знаю, зачем это здесь), построение безопасных систем.
  3. Управление (Management): менеджмент, оценка рисков, построение процессов и т.п.
  4. Анализ (Analysis): тут смешан аудит (в частности, всеми любимый ISO 27001), персональные данные, безопасность кода, концепции в области инструментальной защиты.
  5. Оо- моя оборона Защита (Defensive Operations): форензика, расследование инцидентов, прочий мониторинг и аппсек...
  6. Нападение (Offensive Operations): тестирование на проникновение, разработка эксплоитов и т.п.

Мне ближе последнее направление (Offensive Operations), поэтому рассказ будет в основном про него.

Начнем со списка основных компаний, которые выдают сертификаты в этой области:

Первые 6 являются общеизвестными. Последние 6 - если честно, я даже не знал о них (за исключением PentestIT).
У перечисленных компаний отличается спектр направлений (ведь Offensive Operations тоже можно разделить на специализированные направления), формат сертификаций (кто-то делает упор на тесты, кто-то на практику), а также средняя стоимость. Полезная сводная таблица существует в англоязычной Wikipedia: https://en.wikipedia.org/wiki/List_of_computer_security_certifications. Исходя из нее, можно сделать следующие полезные выводы:

  1. Дороже всего обойдутся сертификаты от GIAC, дешевле всего от CompTIA.
  2. Если не хочется заморачиваться с продлением в виде повторной сдачи экзамена (как у CREST) или набора баллов (например, программа ECE у EC-Council) и оплатой ежегодных взносов - выбирайте Offensive Security.
  3. Если хочется максимум практики и поменьше теории - тоже Offensive Security.

На данном этапе, я думаю, у вас уже сформировалось общее представление о направлениях, компаниях, доступных сертификатах и их стоимости. Перейдем к вопросу, где они могут пригодиться. Как я упоминал в начале статьи, причины получения сертификатов обычно следующие:

  • Узнать что-то новое или закрепить знания
  • Требования или возможность со стороны работодателя
  • Поиск работы в области ИБ
  • Участие в тендерах и прочих конкурсах на оказание услуг (умышленно выделяю в отдельный пункт, вдруг у вас частная практика)

Пойдем по пунктам. Если хотите узнать что-то новое, то рассматривайте исключительно практические сертификаты. Многие сертификаты можно сдать не проходя обучение (например, за него необходимо дополнительно платить, а весь экзамен состоит из теории), а к некоторым приобретать курс обучения обязательно, и экзамен практический. Получить навыки можно в обоих случаях, поэтому под практическими я подразумеваю только те сертификации, где экзамен либо полностью состоит из практики, либо содержит как вопросы, так и практические задания. К этой категории можно отнести все сертификаты от Offensive Security, некоторые сертификаты EC-Council (например, ECSA Practical, LPT Master), сертификаты eLearnSecurity и т.д. Обязательно изучайте, что из себя представляет экзамен, обычно это более-менее подробно расписано на сайте компании. По этому пункту я бы рекомендовал начать с сертификатов от Offensive Security.

Если говорить о случаях, когда работодатель просит получить какой-то сертификат (обычно это связано с последней причиной в вышеуказанном списке), то тут у вас обычно нет выбора. Если же работодатель предоставляет некий годовой бюджет на повышение квалификации, то тут уже зависит от целей. Хотите больше практики - смотрите предыдущий пункт, хотите сменить направление, например, углубиться в документы и процессы или стать CISO - обратите внимание на управленческие сертификаты из таблицы вначале.

С поиском работы ситуация интереснее. Естественно, наличие сертификата не гарантирует, что вас куда-то возьмут, но определенная польза от сертификатов будет. Во-первых, меньше скепсиса в отношении вас, как кандидата (при условии, что у вас есть что-то кроме CEH :D). Во-вторых, некоторые компании могут находиться в стадии формирования отдела информационной безопасности и сертификаты - единственный (хоть и плохой) способ как-то оценить кандидатов. В-третьих, некоторые позиции могут требовать наличия определенных сертификатов (например, Министерство обороны США, директива 8570). В-четвертых, компания может быть заинтересована в ваших сертификатах для участия в тендерах, государственных закупках и подобных активностях. Набор того, что можно увидеть в описаниях вакансий, отличается в зависимости от стран. В России и СНГ скорее всего увидите стандартные: CEH, OSCP, CISSP. В других странах - приготовьтесь к сертификатам GIAC (часто встречаю GPEN, GMOB) и CREST (соответственно CRT, CCT Web App).

И раз уже мы коснулись тендеров, то сразу их и разберем. Если говорить про Россию и СНГ, то нередко на специализированных площадках (например, https://www.b2b-center.ru/) и сайтах отдельных компаний (например, https://www.gazprom.ru/tenders/) публикуются тендеры по оказанию услуг в области информационной безопасности, где явным образом указывают перечень необходимых сертификатов для участия. Где-то требования являются отсекающими, где-то дают преимущество при рассмотрении заявки. Что можно встретить в них встретить? В целом что угодно, так как бывают ситуации, когда тендер делается под конкретного исполнителя и в нем указывается какой-то редкий сертификат или специфический набор сертификатов. По моему опыту чаще всего в требованиях встречаются следующие сертификаты: CISA, CISSP, CISM, CEH, OSCP, OSCE. Первые 3 из списка в целом не относятся к технической практике, они больше про процессы и управление. Реже можно встретить требования по сертификатам, связанные с конкретными направлениями, например, мобильными приложениями. Если сделать акцент на СНГ, то там нередко можно встретить требование наличия сертификатов от CREST, которые связаны, в том числе, с требованиями государственных структур в некоторых странах (видимо, взяли ориентир на Великобританию), но тут есть нюанс, у CREST также существует аккредитация организаций, которая обычно требуется вместе с сертификатами у отдельных сотрудников, а стоит она не дешево, если я правильно помню - порядка €10.000 в год. То есть если вы захотите участвовать в типичном проекте, где требуют CREST, в качестве подрядчика от лица своей маленькой, но гордой организации, то вам потребуются не только сотрудники с сертификатами, но и аккредитация.

И, наконец, поделюсь собственным опытом сдачи некоторых сертификатов, в частности: CEH, ECSA, CPSA, OSCP, OSWE. Писать длинный рассказ не буду, их и так завались в сети, особенно на английском. Постараюсь максимально кратко и по делу.

CEH - выдается на 3 года, продлевается баллами ECE и ежегодной оплатой в $80.

Исключительно теория, выбор из нескольких вариантов. В процессе сдачи за вами наблюдает через веб-камеру специальный человек, также ему виден ваш рабочий стол. Данный формат является стандартной практикой у всех, кто позволяет сдавать из дома. Оптимальный вариант подготовки для того, кто что-то понимает в области - найти примеры вопросов в Интернете и их прокликивать. При знании концепций ИБ и некоторым опыте сдается через 1-2 недели такой подготовки в среднем по часу в день. Чтобы подтянуть общие знания для сдачи можно опираться, например, на https://github.com/scottymcraig/CEHv10StudyGuide или любую другую подборку.

ECSA - аналогично CEH, ежегодная оплата в $80 за членство, а не за каждый сертификат от EC-Council.

Сдали CEH? Не спешите все забывать, в ECSA (обратите внимание, есть Practical версия, речь не о ней) на 80-90% аналогичные вопросы. Формат сдачи идентичен. В сети можно найти примеры вопросов, гайдов и комментариев, что экзамены в целом идентичны.

CPSA - выдается на 3 года, ежегодных платежей нет, каждые 3 года необходимо пересдавать.

Опять теория, но в этот раз от CREST. Фактически я его не сдавал, а получил по программе эквивалентности. Кстати, это тоже стоит денег. Аналогичным образом можно получить еще один сертификат от CREST - CRT (понадобится действующий CPSA на руках и OSCP, либо ECSA Practical). Однако, обратите внимание, получить по данной программе можно только либо CPSA, либо CRT. Поэтому если вам нужны сертификаты от CREST, то лучше сдать сначала CPSA в центре Pearson VUE, сдать OSCP (или ECSA Practical), а потом получить по программе эквивалентности CRT. Почему так? Да потому что CPSA - единственный сертификат, который можно получить удаленно, а для сдачи CRT вам иначе придется ехать в Великобританию. Кстати, подводный камень: у CREST для продления сертификатов необходимо повторно сдавать экзамен, естественно за деньги. А в случае программы эквивалентности либо ехать в Великобританию и сдавать там оригинальный экзамен, либо повторно получать тот сертификат, который вы использовали в программе (OSCP или ECSA Practical).

OSCP - выдается бессрочно, никаких дополнительных платежей и условий.

Первый практический сертификат в наборе. Включает в себя материалы для подготовки и лабораторные. Сдавал только после того, как решил порядка 80% из лабораторных. Вспомогательных материалов для подготовки в сети полно, например, https://github.com/0x4D31/awesome-oscp, https://github.com/six2dez/OSCP-Human-Guide, https://github.com/rkhal101/Hack-the-Box-OSCP-Preparation. Экзамен на 24 часа, необходимо по результатам написать отчет, обязательно прочитать вводную к экзамену (иначе есть шанс не сдать на пустом месте), на экзамене необходимо проэксплуатировать уязвимости на нескольких хостах, получить доступ, поднять привилегии. Описания состава экзамена также можно найти в сети. Если есть опыт в программировании, поиске уязвимостей и не пугает капелька ассемблера, то скорее всего сдадите, но лабораторные все же стоит порешать.

OSWE - выдается бессрочно, никаких дополнительных платежей и условий.

Еще один практический сертификат от Offensive Security. Суть в анализе кода нескольких веб-приложений на языках: C#, Java, NodeJS. Материалы, как обычно, легко ищутся, например, https://z-r0crypt.github.io/blog/2020/01/22/oswe/awae-preparation/. Экзамен рассчитан на 48 часов, но сдать можно существенно быстрее. К нему готовился меньше всего, так как приходилось сталкиваться с C# и Java с точки зрения декомпиляции, отладки, в общем инструментарий для меня привычный. Но лабораторные все равно делал, на всякий случай.

Напоследок упомяну оптимальный, на мой взгляд, набор сертификатов, который довольно универсален, минимален и достаточен для России и СНГ. Это: CEH, CPSA, OSCP, CRT. Поясню свою точку зрения. CEH и OSCP - самые узнаваемые, OSCP позволяет получить CRT; CPSA и CRT - полезны для тендеров в СНГ. Общая сумма на получение:

  1. CEH - $1,199
  2. OSCP - $1,199 (60 дней лабораторных)
  3. CPSA - £275 + VAT ~ $400
  4. CRT - $150 (по программе эквивалентности)

Итого: $2948. Считаете, что вам не нужны сертификаты CREST? $2398.

Волнующий многих вопрос: что будет, если не сдашь? В принципе, ничего страшного, но конкретные условия зависят от компании, чей сертификат вы сдаете. Обычно повторная сдача возможна через некоторое время (в среднем от недели до нескольких месяцев), и приходится еще раз заплатить, но обычно не полную сумму (полная сумма может встретиться у каких-то относительно недорогих сертификатов, скажем, до $500), а что-то в диапазоне от $100 до $400 (но не у GIAC, у них $799). Однако, лучше все-таки не проваливать сдачу 3 раза подряд, возможны "санкции".

Занимательный факт напоследок. В социальной сети LinkedIn довольно часто можно встретить предложения о тренингах и всяческой помощи в получении любых сертификатов (не только в сфере информационной безопасности). Большинство предложений сводится к тому, чтобы сдать любой необходимый экзамен за вас за 2-4 стоимости сертификата. Не знаю, развод это или нет, и если нет, то как им удается не попадаться, но неоднократно читал, что подобные активности существуют и фактически приводят к тому, что популярные сертификации обесцениваются.

Вот, пожалуй, и все. Подробнее про сертификаты других направлений расскажу как-нибудь в другой раз, например, когда их получу (если получу).

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *