Сертификация в ИБ

Привет, Хабр!

Ни для кого не секрет, что дипломированный/сертифицированный специалист в любой сфере, будь то информационная безопасность или маркетинг, выглядит намного «привлекательнее» для работодателя. Сертификация помогает не только подтвердить свой уровень знаний и профессиональных навыков, но и открыть для себя новые горизонты на рынке труда.

В статье я расскажу больше о сертификации в сфере ИБ: какие её виды наиболее «уважаемые» в Российской Федерации и за рубежом, а также как её выбрать исходя из вашего направления.

Зарубежные сертификации

Управление и менеджмент

CISSP (Certified Information Systems Security Professional)

CISSP — это одна из самых престижных и известных сертификаций в области ИБ. Базируется она на 8 доменах (областях):

• Domain 1: Security and Risk Management
  Домен охватывает широкий спектр тем, включая оценку и управление рисками, правовые и нормативные акты, профессиональную этику, а также разработку и внедрение политик безопасности.

• Domain 2: Asset Security
  Домен посвящён защите информационных активов организации, а именно: классификации данных, контролю доступа, управлению жизненным циклом активов от создания до уничтожения.

• Domain 3: Security Architecture and Engineering
  Эта область сосредоточена вокруг принципов, структур и технологий, используемых для проектирования, внедрения и обслуживания безопасных информационных систем. Из основных тем можно выделить фундаментальные понятия моделей безопасности, основы криптографии, интеграцию средств управления безопасности в информационные системы.

• Domain 4: Communication and Network Security
  Домен фокусируется на сетевой безопасности: в нём представлена информация о её протоколах, средствах контроля доступа к сети, виртуальных частных сетях и т. д.

• Domain 5: Identity and Access Management (IAM)
  Домен сосредоточен на вопросах идентификации, аутентификации и авторизации пользователей, управления учётными записями, двухфакторной и мультифакторной аутентификацией.

• Domain 6: Security Assessment and Testing
  Область оценки и тестирования безопасности включает в себя стратегии, методы и инструменты для выявления уязвимостей и оценки состояния безопасности организации.

• Domain 7: Security Operations
  В этом домене описываются методики расследования инцидентов, процедуры и инструменты форензики, инструменты мониторинга и анализа событий ИБ, управление конфигурацией, управление журналами событий и т. д.

• Domain 8: Software Development Security
  В области обеспечения безопасности разработки ПО подчёркиваются стандарты безопасной разработки, управления изменениями, оценка эффективности и безопасности программного кода.

Сам экзамен состоит из 250 вопросов с выбором ответа, для прохождения требуется набрать не менее 700 баллов из 1000.

!CISSP не является сертификацией для специалиста начального уровня, требуемый профессиональный опыт работы в ИБ — 5 лет.

В качестве литературы для подготовки к экзамену «выпускники» отмечают:

• CISSP Official (ISC)² Practice Tests — Mike Chapple, David Seidl;

• CISSP All-in-One Exam Guide — Shon Harris, Fernando Maymi;

• Official (ISC)² Guide to the CISSP CBK — (ISC)².

Подробнее об этой сертификации и опыте её прохождения рассказал Сергей Полунин в статье.

CISM (Certified Information Security Manager)

CISM — это сертификация, которую довольно часто сравнивают с CISSP, однако некоторые различия они всё же имеют. CISM была создана организацией под названием ICASA (Information Systems Audit and Control Association) — всемирно известной ассоциацией, сфокусированной на управлении ИТ.

Обязательное требование для получения сертификата CISM, как и CISSP, — не менее 5 лет опыта работы в ИБ, 3 из которых — управленческий опыт. Но несоответствие требованиям не запрещает сдать экзамен, правда, без официального сертификата. Подать заявку на его получение можно в случае, если в течение 5 лет после успешной сдачи экзамена вы «доберёте» опыт.

CISM охватывает 4 домена (области):

• Domain 1: Information Security Governance. Область управления информационной безопасностью посвящена, как ни странно, созданию и внедрению эффективных политик безопасности, нормативным и правовым аспектам ИБ и так далее.

• Domain 2: Information Security Risk Management. Этот домен позволит оценить вашу способность выявлять и устранять потенциальные риски, угрозы и уязвимости, а также способность эффективно реагировать на угрозы безопасности посредством использования как технических инструментов, так и плана реагирования на подобные угрозы.

• Domain 3: Information Security Program Development and Management. Домен включает в себя вопросы создания, разработки и управления программой информационной безопасности, которая реализуется в соответствии с целями и задачами организации.

• Domain 4: Information Security Incident Management. Заключительная область занимается управлением рисками, реагированием на инциденты информационной безопасности и устранением их последствий, чтобы минимизировать ущерб.

Благодаря постоянным обновлениям вопросы в экзамене остаются актуальными и включают в себя современные тренды информационной безопасности.

Для успешной сдачи сертификации кандидатам предстоит за 4 часа ответить на 150 вопросов и набрать проходной балл — 450 из 800.

В качестве ресурсов для подготовки к экзамену следует рассмотреть:

• CISM Review Manual — официальное руководство от ISACA, охватывающее все 4 домена;

• CISM Review Questions, Answers & Explanations Manual — мануал, содержащий практические вопросы (отличные от вопросов на экзамене, но позволяющие лучше вникнуть в тему) и «пояснялки» при выборе ответа;

• CISM Certified Information Security Manager All-In-One Exam Guide — Peter Gregory;

• Курсы от партнёров, форумы и иные источники.

Опять же, об опыте прохождения сертификации написано немало статей и постов, из которых можно взять полезную информацию.

Этичный хакинг и пентест

OSCP

OSCP (Offensive Security Certified Professional) — одна из самых популярных сертификаций в области тестирования на проникновение.

Процесс обучения в ходе прохождения сертификации можно разбить на 3 части:

• Теория,

• Практика,

• Экзамен.

В части теории ученикам предоставляется pdf-файл с задачами, которые помогают узнать новые инструменты и техники или вспомнить уже известные. В документе также описывается процесс поиска информации, использования тех самых инструментов, дальше — описание атак с примерами. Дополнительно к документу в курсе присутствуют образовательные видеоматериалы.

Для практики у учеников есть лабораторный стенд с машинами. Для того чтобы понять, какие примерно машины предоставляются для практики в «лабе» и экзамене, можно попробовать порешать HTB-машины, описанные в этом треде.

В отличие от вышеописанных сертификаций, экзамен состоит из 2 этапов по 24 часа на каждый.

В первом этапе сдающие должны взломать сеть из уязвимых хостов, а во втором — предоставить подробный отчёт о взломе каждой машины, описывая каждый свой шаг и прикрепляя скриншоты результатов и найденные «флаги» в ходе пентеста.

OSCP точно нельзя назвать сертификацией начального уровня, но в этой статье такие точно будут 🙂

CEH

CEH (Certified Ethical Hacker) — сертификация, предоставляемая организацией EC-Council. Есть 2 варианта с разными форматами экзаменов — тестом или практическими задачами.

Подготовиться к прохождению сертификации можно двумя способами: с обучением в центрах-партнёрах или без него.

Первый вариант подразумевает непосредственные занятия под руководством инструкторов или прохождение курсов CEH в утверждённых образовательных учреждениях.

При выборе второго варианта вы оплачиваете регистрационный взнос, далее сама организация рассматривает ваше заявление для проверки знаний по темам экзамена, после одобрения заявки у вас появляется возможность получить ваучер на сдачу экзамена (1 попытка).

Сам курс вмещает в себя 9 доменов, которые размещены на диаграмме в зависимости от количества вопросов на экзамене:

Кандидатам даётся четыре часа на сдачу экзамена, состоящего из 125 вопросов с несколькими вариантами ответов. Этого времени вполне хватает: выпускники отмечают, что для прохождения всего теста им хватило 2–3 часа.

Чтобы получить сертификат, нужно набрать не менее 60% в любом формате экзамена.

Эта сертификация может подходить как «стартовая»: многие в своих статьях называют её базовой.

Сертификация HackTheBox

Одна из известнейших платформ для практики в ИБ, о которой я писал ранее, тоже имеет несколько видов сертификаций.

HTB CPTS

CPTS (Certified Penetration Testing Specialist) — сертификация, которая позволяет оценить навыки кандидатов в пентесте. Описание гласит: «Обладатели сертификата CPTS будут иметь технические компетенции в области этичного хакинга и тестирования на проникновение на Middle-уровне. Они смогут выявлять уязвимости и определять пути их эксплуатации. Они также смогут нестандартно подходить к реализации уязвимостей, объединять эксплуатацию уязвимостей в цепочки для получения максимального эффекта».

Структура курса содержит 11 основных доменов:

• Penetration testing processes and methodologies,

• Information gathering & reconnaissance techniques,

• Attacking Windows & Linux targets,

• Active Directory penetration testing,

• Web application penetration testing,

• Manual & automated exploitation,

• Vulnerability assessment,

• Pivoting & Lateral Movement,

• Post-exploitation enumeration,

• Windows & Linux Privilege escalation,

• Vulnerability/Risk communication and reporting.

На экзамене кандидату будет предложено выполнить тестирование на проникновение методом «чёрного ящика».

HTB CBBH

CBBH (Certified Bug Bounty Hunter) — сертификация, которая похожа на CPTS, однако можно сказать, что её прохождение легче.

Основные темы, которые обозреваются в курсе:

• Bug Bounty Hunting processes and methodologies;

• Information gathering techniques;

• Web application, web service and API vulnerability identification and analysis;

• Manual and automated exploitation of various vulnerability classes;

• Vulnerability communication and reporting.

На экзамене кандидату предстоит искать «баги» в нескольких реальных приложениях. После запуска экзамена кандидату придёт письмо, которое содержит всё о задании: детали, требования, цели и объём.

HTB CWEE

CWEE (Certified Web Exploitation Expert) — сертификация, которая позволяет оценить навыки кандидата в выявлении сложных веб-уязвимостей методом «чёрного» и «белого» ящика.

Основные домены, которые обозреваются в курсе:

• Advanced black box web penetration testing,

• White box penetration testing,

• Large code base security reviews,

• Web exploit development,

• Advanced injections in web applications,

• Attacking advanced authentication mechanisms,

• Attacking HTTP/s requests,

• Performing blind web attacks,

• Bypassing advanced security filters,

• Performing deserialization Attacks,

• Using modern web exploitation techniques.

В ходе экзамена кандидатам предстоит протестировать реальные приложения BlackBox- и WhiteBox-методами.

HTB CDSA

CDSA (Certified Defensive Security Analyst) — сертификация, предназначенная для защитников, с помощью которой можно оценить свои навыки, — от мониторинга до реагирования на инциденты и формирования отчётов о них.

Сертификация оценивает знания кандидатов по следующим областям:

• SOC Processes & Methodologies;

• SIEM Operations (ELK/Splunk);

• Tactical Analytics;

• Log Analysis;

• Threat Hunting;

• Active Directory Attack Analysis;

• Network Traffic Analysis;

• Malware Analysis;

• DFIR Operations.

На экзамене кандидату предстоит выполнить анализ безопасности, операции SOC и действия по устранению инцидентов в нескольких реальных сетях.

«Базовые» сертификаты

CompTIA Security+

Одна из самых известных «базовых» сертификаций — это CompTIA Security+. Была создана всемирно признанной организацией CompTIA, которая занимается обучением и сертификацией в сфере ИТ. Её целевая аудитория (как отмечает организация) — специалисты, имеющие двухлетний опыт работы в сфере ИТ с акцентом на кибербезопасность и начинающие или развивающие карьеру в этой области. Сертификация позволит подтвердить наличие фундаментальных навыков для решения всесторонних задач в области ИБ.

Как таковых чётких требований к кандидату для прохождения сертификации нет: сдать экзамен и получить сертификат может каждый, кто стремится развить свои навыки в ИБ.

На экзамене кандидату предстоит ответить на вопросы по 5 доменам:

• Attacks, Threats and Vulnerabilities;

• Architecture and Design;

• Implementation;

• Operations and Incident Response;

• Governance, Risk and Compliance.

Новые темы в этих доменах включают управление цепочками поставок и IoT.

Сам экзамен состоит из вопросов двух типов: с несколькими вариантами ответов и тех, которые помогают оценить способность кандидата решать проблемы в смоделированной среде.

За 90 минут предстоит ответить на не более чем 90 вопросов и набрать проходной балл (750/900).

После успешного прохождения теста кандидат получает сертификат, однако действителен он будет только 3 года. «Продлить» сертификат Security+ можно двумя способами:

1. Набрать не менее 50 единиц непрерывного образования (CEU) с помощью «активностей», одобренных CompTIA, включая увеличение опыта работы, публикации и участие в мероприятиях. Загрузите все «пруфы» на аккаунт и оплатите сбор за продление.

2. Также вы можете пройти «более продвинутую» сертификацию от CompTIA, например CySA+, PenTest+ или CASP+.

ISC2 CC

Сертификация ISC2 CC (Certified in Cybersecurity) как нельзя лучше подходит для начинающих специалистов, так как является наиболее доступной по материалам и средствам.

ISC2 предоставляет несколько вариантов прохождения сертификации: самостоятельная подготовка и получение доступа только к экзамену; доступ к материалам курса CC и экзамену или онлайн-занятия; доступ к материалам и экзамену. Естественно, чем «шире» пакет услуг, тем больше стоимость.

Экзамен проводится в формате теста, на котором кандидату предстоит ответить на вопросы по нескольким областям:

• Security Principles;

• Business Continuity (BC), Disaster Recovery (DR) & Incident Response Concepts;

• Access Controls Concepts;

• Network Security;

• Security Operations.

Для того чтобы получить сертификат, кандидат должен за 2 часа ответить на 100 вопросов с несколькими вариантами ответов и набрать проходной балл (700/1000).

Для продления сертификата вы должны получить 45 баллов непрерывного обучения (CEU) в течение 3 лет, ежегодно оплачивая подписку в размере 50 долларов.

GISF

Сертификация GISF (GIAC Information Security Fundamentals) предназначена в качестве вводной. Она охватывает основы кибербезопасности, такие как терминология, сети, политики безопасности, реагирование на инциденты, криптография и др.

Экзамен состоит из 75 вопросов, на его прохождение даётся 2 часа. Для получения сертификата нужно набрать не менее 71% верных ответов.

eJPT

eJPT (eLearnSecurity) — это сертификация начального уровня, ориентированная на практические навыки в области тестирования на проникновение.

Для того чтобы получить сертификат, кандидату требуется пройти экзамен в формате практических задач, развёрнутых в виртуальной среде. Экзамен нацелен на проверку навыков использования инструментов для пентеста.

За 48 часов нужно набрать не менее 70% правильных ответов в ходе решения задач.

Задачи, которые встретятся на экзамене, входят в 4 домена:

• Assessment Methodologies,

• Host and Networking Auditing,

• Host and Network Penetration Testing,

• Web Application Penetration Testing.

Сертификат будет действителен 3 года после получения.

BTL1

BTL1 (Blue Team Level 1) — это сертификация, которая предназначена для начинающих специалистов, которые хотят развить свои практические навыки в области защиты от кибератак и расследовании инцидентов.

В ходе обучения кандидат сможет получить или освежить знания в шести основных областях:

• Security Fundamentals,

• Phishing Analysis,

• Threat Intelligence,

• Digital Forensics,

• Security Information and Event Monitoring,

• Incident Response.

А сам экзамен представляет собой 20 практических заданий в виртуальной лабораторной среде, требующих от кандидатов использования различных инструментов для анализа и обнаружения действий злоумышленников. Для успешного прохождения экзамена нужно набрать не менее 70% правильных ответов.

Как оплатить и сдать?

К сожалению, пройти зарубежную сертификацию, если требуется физическое присутствие человека, в РФ нельзя. Однако осталась возможность сдать экзамен в иностранных сертификационных центрах, например в Казахстане.

С онлайн-форматом всё намного проще: достаточно найти способ оплаты курса/экзамена и после этого приступить к сдаче сертификации.

Отечественные сертификации

К сожалению, полных аналогов зарубежных сертификаций у нас практически нет, а большинство онлайн-курсов, которые есть на просторах интернета, имеют содержание по типу «Нажми сюда, и оно начнёт работать, ты молодец!», что не приносит никакой пользы для обучающихся.

Однако в бочке дёгтя есть и пара ложек мёда, пускай и чайных.

ССК (УЦ «Эшелон»)

ССК (Сертификационный специалист по кибербезопасности) — это сертификация, которая является аналогом CISSP, как утверждает сама организация.

Требования к кандидату аналогичные: не менее пяти лет совокупного оплачиваемого профессионального опыта работы в области безопасности с полной занятостью.

Экзамен проводится в формате тестирования по восьми доменам:

• Менеджмент информационной безопасности,

• Законодательство в области информационной безопасности,

• Контроль доступа,

• Сетевая безопасность,

• Криптография,

• Обеспечение непрерывности бизнеса и восстановление после сбоев,

• Контроль и мониторинг информационной безопасности,

• Разработка безопасного программного обеспечения.

Для кандидатов в рамках сертификации предусмотрено два вида экзаменов: онлайн и офлайн.

Онлайн-экзамен содержит 100 вопросов, на которые нужно ответить в течение двух часов; для успешной сдачи нужно набрать не менее 70% верных ответов. После этого кандидату направляется «Сертификат кандидата в специалисты по кибербезопасности».

Офлайн-экзамен можно сдать только в учебном центре «Эшелон», где кандидату предстоит ответить на 200 вопросов за четыре часа. Проходной балл аналогичный — не менее 70% правильных ответов.

Однако помимо успешной сдачи экзамена кандидат должен будет подтвердить наличие профессионального опыта в сфере информационной безопасности, и только после выполнения этих условий он сможет получить «Сертификат специалиста по кибербезопасности».

Получить второй сертификат также смогут и обладатели CISSP без сдачи экзамена.

Академия Кодебай

Данная академия — одна из немногих, которые предоставляют качественное обучение в сфере информационной безопасности, по моему мнению.

Среди курсов могу отметить WAPT (сам его прохожу), «Анализ защищённости инфраструктуры на основе технологий Active Directory», «Специалист центра мониторинга инцидентов информационной безопасности (SOC)».

Дополнительно могу отметить платформы CyberEd и Inseca, которые также предоставляют образовательные курсы по ИБ.

Карта сертификаций

Очевидно, что невозможно уместить в одну статью всё, что есть на рынке, однако ознакомиться с картой сертификаций специалистов по разным направлениям в информационной безопасности — можно. Где? Здесь. Карта содержит уйму примеров, которые разделены по направлениям и уровню сложности, советую изучить!

На этом всё, благодарю вас за то, что дочитали до конца, увидимся в новых статьях!