Przewodnik po certyfikatach zawodowych z obszaru cyberbezpieczeństwa

(Edycja I – czerwiec 2017)

Często spotykamy się z tematem dyskusji: czy posiadanie jakiejkolwiek certyfikacji jest ważne i czy w jakiś sposób jest to miarodajna ocena wiedzy i umiejętności danego specjalisty? Zwłaszcza w obrębie bezpieczeństwa informacji okazuje się, że wiedza, którą poświadcza dany certyfikat jest inna lub niewystarczająca w stosunku do tego czego się spodziewamy. Pisząc ten przewodnik naszym celem jest przybliżenie wybranych międzynarodowych certyfikacji z obszaru cyberbezpieczeństwa i określenie jakiego rodzaju doświadczenia i umiejętności możemy się spodziewać po jego posiadaczach.

W pewnym momencie kariery zawodowej, certyfikat lub certyfikaty z wybranej dziedziny bezpieczeństwa wystawiony przez renomowaną organizację może być niezbędny aby np. awansować, ubiegać się o podwyżkę wynagrodzenia lub bardziej odpowiedzialne zadania, zmienić pracę itd. Każdy element, który może nas wyróżnić na tle innych specjalistów, niewątpliwie będzie naszym dodatkowym atutem.

Wstęp

Dostępna oferta certyfikacji z obszaru cyberbezpieczeństwa obejmuje różnego rodzaju zakresy i poziomy trudności – od teorii i usystematyzowania zagadnień po wyspecjalizowane certyfikacje z zakresu informatyki śledczej, ochrony przed włamaniami czy etycznego hackingu. Są one zazwyczaj oferowane przez niezależne organizacje akredytacyjne takie jak: CompTIA, Mile2, GIAC, ISACA czy (ISC)2.

Organizacje akredytujące często dzielą swoje programy na trzy poziomy zaawansowania: podstawowy, średniozaawansowany i ekspercki.

  • Certyfikacje poziomu podstawowego mają służyć do weryfikacji wiedzy bazowej – fundamentowych zasad, najlepszych praktyk, ważnych narzędzi, najnowszych technologii, itp
  • Certyfikacje dla poziomu średniozaawansowanego i eksperckiego z założenia zakładają, że kandydat ma duże doświadczenie praktyczne i szczegółową znajomość przedmiotu certyfikacji.

Spotykamy się również z programami bardzo specjalistycznymi, które koncentrują się na ściśle wybranym zakresie np. certyfikacje dedykowane pentesterom webaplikacji czy bezpieczeństwu sieci bezprzewodowy.

Niezależnie od zagadnienia lub poziomu:

  • Certyfikaty z obszaru bezpieczeństwa informacji mogą być użyteczne niezależnie od stanowiska czy organizacji w której pracujemy.
  • Proces akredytacji zazwyczaj składa się ze szkolenia i egzaminu końcowego.
  • Certyfikaty muszą być okresowo odnawiane, najczęściej co 2-4 lata.
  • Proces odnowienia certyfikatu często wiąże się z ciągłym zdobywaniem punktów edukacyjnych (kredytów) oraz z pozytywnym zaliczeniem aktualnej wersji danego egzaminu.
Koszty i zobowiązania

Jeżeli zdecydujesz, że wybrana certyfikacja jest tym czego potrzebujesz i jeśli posiadasz wymaganą wiedzę i umiejętności to teoretycznie nic nie stoi na przeszkodzie aby przystąpić do stosownego egzaminu lub serii egzaminów, a po jego pozytywnym zaliczeniu cieszyć się sukcesem i zaktualizować swoje CV oraz profil na Linkedin i CertyfikatIT.

Musisz jednak wiedzieć, że zdobycie certyfikatu może być kosztowne i czasochłonne.  Jeżeli zaczynasz dopiero swoją edukację w obszarze bezpieczeństwa to samodzielne przygotowanie do certyfikacji poziomu podstawowego może zająć od 3 do 9 miesięcy a koszty samego egzaminu w zależności od organizacji akredytującej wahają się od 300 do 600 USD za egzamin.

Czas przygotowania do egzaminu możemy skrócić chociażby przez udział w autoryzowanych szkoleniach przygotowujących do danego egzaminu, ale oczywiście musimy pamiętać, że wiążą się z tym dodatkowe koszty finansowe, które musimy uwzględnić.

Oczywiście bardzo często jest tak, że płaci za nas nasz pracodawca, otrzymujemy dofinansowanie w ramach szeregu projektów unijnych czy też studiujemy na uczelni, która finansuje zewnętrzne certyfikaty zawodowe dla swoich studentów itp. Przykładowo w ankietach zebranych w 2014 roku przez SANS Institute https://www.sans.org/reading-room/whitepapers/analyst/cybersecurity-professional-trends-survey-34615

  • 65% respondentów stwierdziło, że to ich pracodawcy całkowicie opłacają koszty szkolenia certyfikacyjnego
  • 15% respondentów stwierdziło, że pracodawcy pokrywają cześć kosztów

Czy warto? Jeśli zainwestujesz w ten właściwy certyfikat, to tak. Certyfikat może wpłynąć na Twoją „widoczność”, czyli staniesz się z punktu widzenia swoich profili społecznościowych, atrakcyjniejszym kontaktem dla rekrutrów, grup tematycznych. Docelowo wartościowa certyfikacja stwarza perspektywy lepszej pracy zarówno z punktu widzenia zajmowanego stanowiska jak i nowego zakresu obowiązków i odpowiedzialności i / lub wyższego wynagrodzenia.

Oczywiście (i słusznie) w tym miejscu mogą się pojawić głosy sceptyków, że certyfikat to tylko papierek, za którym wcale nie musi iść rzetelna wiedza i umiejętności i że obecnie pracodawcy bardziej stawiają na realne potwierdzenie deklarowanych umiejętności niż na to co znajduje się w naszym CV czy liście motywacyjnym.

I zgodzę się z tym w 100%

Niemniej jednak aby np. przyszły pracodawca zaprosił nas na rozmowę coś musi go do tego przekonać, to może być polecenie przez znajomego, nasza ekspercka aktywność na wszelakiego rodzaju grupach dyskusyjnych i forach, nasze wystąpienia na konferencjach czy spotkaniach MeetUp, nasze artykuły opublikowane w Internecie lub prasie drukowanej, czy w końcu właśnie nasze CV czy profil, który będzie zawierał rozpoznawalne w branży wpisy dotyczące posiadanej certyfikacji.

Dodatkowo to, że w Polsce podchodzimy nieufnie do wszelkiego rodzaju dyplomów, certyfikatów, ocen na egzaminach nie znaczy, że tak działa cały świat. Zdecydowana większość egzaminów prowadzących do uzyskania opisanych w dalszej części certyfikatów jest przeprowadzanych w środowisku testowych, które w 100% uniemożliwia jakiekolwiek oszustwa: odpisywanie, korzystanie z materiałów pomocniczych (chyba, że jest to wyraźnie dozwolone przez organizację akredytująca – egzaminy w formie „otwarta książka”). Wiele firm międzynarodowych przyjmuje fakt posiadania przez kandydata danej certyfikacji jako przepustkę do kolejnego poziomu rekrutacji z pominięciem wcześniejszych etapów wstępnych.

Kolejnym bardzo ważnym argumentem, który myślę, że może was ostatecznie przekonać jest to, że certyfikat nie jest tylko kluczem do zmiany pracy/pracodawcy ale przede wszystkim podnosi on waszą wartość w dotychczasowym miejscu pracy. Najczęściej to jak pokazuje wcześniej przytoczona analiza ankiet SANS Institute to pracodawca inwestuje w pracownika a tym samy jego celem na pewno nie jest jego utrata. Większe kwalifikacje kadry oznaczają zdolność do podejmowania i realizacji z sukcesem bardziej wymagających wyzwań i projektów, a wymiernym dowodem tych zdolności jest certyfikat, który jest często wymogiem szeregu postępowań przetargowych. Oczekujesz zaangażowania w bardziej ambitne projekty, większego wynagrodzenia? Często nie jest to możliwe właśnie ze względu, że nie brakuje ci umiejętności a dlatego, że nie spełniasz wymogów formalnych.

Wybierajmy certyfikację z głową! Tu nie chodzi faktycznie o kolekcjonowanie dowolnych papierków a takich, które są zgodne z twoimi zainteresowanymi i twoim profilem zawodowym!

Jeżeli jesteś lub chcesz być pentesterem to nie interesuj się choćby Security+ od CompTIA czy CISSP od (ISC)², postaw na OSCP od Offensive Security jeżeli jesteś doświadczonym praktykiem lub np. na CPEH, CPTE i CPTC od Mile2 jeżeli stawiasz pierwsze kroki w tym kierunku.

Myślisz o karierze CISO to poza twardą wiedzą techniczną, czy też przeglądowymi certyfikacjami jak CISSP od (ISC)², czy CISSO, CSLO od Mile2 postaw też na szkolenia w zakresie umiejętności miękkich takich jak umiejętność komunikowania się, zarządzanie projektami, analiza ryzyka itd

Którą certyfikację wybrać?

Jeżeli chodzi o szkolenia poziomu podstawowego i dotyczące kompleksowej wiedzy ogólnej, możesz na pewno rozważyć programy certyfikacyjne takie jak:

Jeżeli jesteś już ponad etapem początkowym, ścieżka certyfikacja zależy już zdecydowanie od posiadanych umiejętności praktycznych i doświadczenia oraz co podkreślałem wcześniej Twojej konkretnej socjalizacji. Przykładowo:

  • CISSP Certified Information Systems Security Professional jest jednym z certyfikatów dedykowanych managerom wyższego szczebla, zwłaszcza kandydatom na stanowisko CISO, CSO, CIO itp koncentruje się na zagadnieniach związanych z tworzeniem i zarządzaniem polityką bezpieczeństwa. Jest to najczęściej wymieniana certyfikacja w branży bezpieczeństwa IT. Był on również wskazany jako jedne z najbardziej intratnych pod względem finansowym certyfikatów w obszarze bezpieczeństwa IT top-paying IT security certifications in 2014
  • CISA Certified Information Systems Auditor certyfikacja która jest dedykowana specjalistom wykonywującym audyty, kontrole, monitorują i oceniają stosowane technologie informatycznych i systemy biznesowe
  • CISM Certified Information Security Manager certyfikacja podobnie jak CISSP i CISSO jest skierowany do osób na stanowiskach kierowniczych CIO, CISO, CSO itp.
  • CPTE Certified Penetration Testing Engineer certyfikat potwierdzający nie tylko znajomość technik i narzędzi hackerskich, ale przede wszystkim poprawnej metodyki wykonywania profesjonalnych testów penetracyjnych wraz z umiejętnością przygotowywania końcowych raportów.
  • OSCP Offensive Security Certified Professionalcertyfikat dedykowany sensu stricte dla pentesterów o dużym doświadczeniu i praktyce zawodowej, zdobywany w ramach rygorystycznego 24 godzinnego praktycznego egzamin certyfikacyjnego

Programy certyfikacyjne od producentów rozwiązań bezpieczeństwa to coś co możemy rozważać, wiedząc, że nasze zadania zawodowe są lub będą związane z obsługą konkretnych produktów. Poprzez zaliczenie stosownych szkoleń i egzaminów na pewno podniesiemy zarówno efektywność swojej pracy jaki rozwiązań, którymi się opiekujemy.

  • CCNA Security popularna certyfikacja poziomu podstawowego obejmująca zagadnienia  dotyczących zabezpieczania i obrony sieci opartych o rozwiązania Cisco.
Organizacje certyfikujące z obszaru cyberbezpieczeństwa

Przedstawiamy zestawienie 12 neutralnych produktowo organizacji certyfikujących z zakresu bezpieczeństwa cybernetycznego wymienionych na stronie National Initiative for Cybersecurity Education (NICE) (Narodowej Inicjatywy dla Edukacji z Cyberbezpieczeństwa) czyli oficjalnej inicjatywy Department of Homeland Securit (DHS) (Departamentu Bezpieczeństwa Krajowego Stanów Zjednoczonych – odpowiedzialnego za bezpieczeństwo wewnętrzne Stanów Zjednoczonych, utworzoną po zamachach terrorystycznych z 11 września 2001 roku na World Trade Center i Pentagon) wraz z opisami ich najpopularniejszych programów certyfikacyjnych. Dodatkowo na naszej liście znajduje się 3 producentów rozwiązań bezpieczeństwa, których programy certyfikacyjne uznawane są za najpopularniejsze i poszukiwane na świecie.

Programy neutrale produktowo

CERT

Działający jako oddział Software Engineering Institute (SEI),  CERT http://www.cert.org współpracuje z DHS, przemysłem, organami ścigania i środowiskiem akademickim, aby przeciwdziałać przede wszystkim zagrożeniom cybernetycznym o dużej skali czy też ich najbardziej wyrafinowanym odmianom. Dodatkowo CERT – SEI stworzyło kilka programów certyfikacyjnych w obrębie bezpieczeństwa informacji, szkoleń i powiązanych z nimi certyfikacji:

CompTIA

CompTIA jest dostawcą szeregu neutralnych produktowo certyfikacji IT, łącznie około 16 egzaminów certyfikacyjnych z zakresu: chmurze, sieci, serwerów, zarządzania projektami, bezpieczeństwa itd.

W zakresie bezpieczeństwa możemy wymienić:

Jak już wspomnieliśmy w naszym wstępie, CompTIA Security+ jest popularną certyfikacją ogólnej wiedzy na temat bezpieczeństwa informacji poziomu podstawowego.

CSA+ skupia się na potwierdzeniu kompetencje z zakresu umiejętności analizy behawioralnej, czyli analizy bazującej na rzeczywistym zachowaniu aplikacji, tym samym na umiejętnościach rozpoznawania i zwalczanie złośliwego oprogramowania czy też ukierunkowanych i długotrwałych ataków typu APT (Advanced Persistent Threats). Tym samym jest to certyfikacja, którą można polecić wszystkim tym którzy pracują lub starają się o pracę na stanowiskach technicznych w zespołach odpowiedzialnych za wykrywanie i analizę incydentów bezpieczeństwa.

CASP z kolei stawia sobie na celu weryfikację umiejętności i wiedzy specjalistów IT z zakresu bezpieczeństwa już na poziomie zaawansowanym, ale też w zakresie wiedzy ogólnej. Polecany jest on głownie specjalistom IT na stanowiska menadżerskich oraz osobą zarządzającym ryzykiem. CompTIA zaleca co najmniej 10 letnie doświadczenie techniczne na stanowiskach związanych z administracji IT, w tym pięć lat doświadczenia technicznego związanego już bezpośrednio z bezpieczeństwem przed przystąpieniem do egzaminu CAPS. Chociaż nie jest to ściśle wymóg przed egzaminem CAPS to zaleca się jednak zdobycie wcześniej certyfikacji Security+ i CSA+ która obejmuje zagadnienia bazowe.

Certyfikacja CompTIA Network+ jest popularną certyfikacją poziomu podstawowego obejmująca swoim zakresem bazową wiedzę na temat sieci komputerowych a która to jest często wymaganą podstawą przy jakichkolwiek zagadnieniach dotyczących bezpieczeństwa sieciowego.

CWNP

Certified Wireless Network Professional

Organizacja CWNP założona w 1999 r., jest niezależnym standardem dla branży IT w zakresie szkoleń i certyfikacji dotyczącym technologii Wi-Fi. Jest odpowiedzialna za opracowanie wysokiej jakości materiałów szkoleniowych i egzaminów certyfikujących w ramach 7 poziomów certyfikacji zawodowej dedykowanych ekspertom bezprzewodowych sieci korporacyjnych https://www.cwnp.com/it-certifications/

Certyfikacje odpowiadające kompetencjom z dziedziny bezpieczeństwa to :

CWSP jest certyfikacją już dla średniozaawansowanych, zaprojektowaną, tak aby skupić się na zagadnieniach związanych z zabezpieczaniem sieci Wi-Fi przed atakami hakerów, niezależnie od stosowanego sprzętu i oprogramowania. Przed przystąpieniem do egzaminu certyfikacyjnego CWSP należy posiadać ważną certyfikację CWNA.

CWNE jest już eksperckim poziomem kwalifikacji, który dodatkowo obejmuje swoim zakresem znacznie szerszy aspekt wiedzy niż samo bezpieczeństwo i tym samym potwierdza umiejętności pozwalające zrobić prawie wszystko z systemami sieci bezprzewodowej, w tym: doświadczenie w projektowaniu zaawansowanej struktur sieciowych, umiejętność swobodnej analizy protokołów sieciowych, wykrywania i zapobiegania włamaniom, analizy wydajność i jakości usług (QoS), analizy widma i zarządzania struktura sieciową.

DRI International

Założona w 1988 roku, DRI International jest organizacją non-profit, dostarczającą usługi szkoleniowe i certyfikacyjne z zakresu ciągłości biznesowej oraz procesów, polityk i procedur związane z wznowieniem lub utrzymywaniem infrastruktury teleinformatycznej. Aktualnie jest ponad 14 000 aktywnych specjalistów certyfikowanych przez DRII na całym świecie.

Najpopularniejszą certyfikacją DRII dla średniozaawansowanych z zakresu ciągłości biznesowej jest:

CBCP Certified Business Continuity Professional

Certyfikacja CBCP jest kontynuacją ścieżki zaczynającej się od poziomu Associate czyli certyfikacji ABCP Associate Business Continuity Professional i może być kontynuowana aż do poziomu eksperckiego MBCP Master Business Continuity Professional. DRII oferuje również wielopoziomowe programy certyfikacyjne w obrębie specjalizacji dedykowanych dla audytorów, pracowników sektora publicznego i służby zdrowia.

Należy wiedzieć, że proces certyfikacji DRII jest dość drobiazgowy i kompleksowy. Przykładowo egzamin CBCP obejmuje egzamin kwalifikacyjny, pisemną aplikacji wraz ze stosownymi referencjami oraz pisemnego wypracowania na wybrane zagadnienia tematyczne. Aby przystąpić do egzaminu certyfikacyjnego CBCP, DRII wymaga ponad 2 letniego doświadczenia zawodowego. Kandydat musi się wykazać praktycznym doświadczeniem z zakresu 5 wybranych obszarów tematycznych. Utrzymanie certyfikacji wymaga również ciągłego utrzymywania aktualnej wiedzy oraz corocznych opłat. DRII utrzymuje aktualną listę wszystkich certyfikowanych ekspertów w zakresie swoich programów akredytacyjnych jak i listę dostawców usług, którzy również mogą ubiegać się o stosowne certyfikaty https://www.drii.org/certification/directories.php#professionals

EC-Council

International Council Of Electronic Commerce Consultants

EC-Council jest dostawcą, który opracowała bardzo szeroką ofertę szkoleń i certyfikacji w zakresie bezpieczeństwa IT, w tym programy dotyczące ochrony informacji, bezpieczeństwa sieci, informatyki śledczej, reakcji na incydenty oraz certyfikacji zawodowych dedukowanym: CISO, audytorom, pentesterom, konsultantom.

Flagowym programem certyfikacyjnym EC-Council jest:

CEH Certified Ethical Hacker

Jest on zwłaszcza dedykowany osobom podnoszącym swoje kwalifikacje w zakresie specjalizacji pentesterskiej (wykonywania praktycznych testów systemów pod kątem wyszukiwania podatności). Szklenie i certyfikacja CEH pozycjonowana jest jako program dla średniozaawansowanych i skupia się na opanowywaniu kolejnych faz prowadzenia typowego testu bezpieczeństwa i narzędzi hackerskich stosowanych na każdym z tych etapów.

W tym miejscu też warto wspomnieć, że w przypadku szkoleń przygotowujących do roli pentestera szerokie grono specjalistów preferuje jednak programy oferowane przez Mile2 C)PEH, C)PTE i C)PTC lub CPT od IACRB niż CEH, który mimo to konsekwentnie pojawia się na listach najlepszych (i najlepiej wynagradzanych) certyfikacji z zakresu etycznego przełamywania zabezpieczeń. Wybór programu certyfikacyjnego w tym zakresie zdecydowanie zleży tylko i wyłącznie od was, poszukajcie opinii w Internecie, porozmawiajcie z osobami, które były już na takich szkoleniach i zdawały egzaminy bada i ostatecznie decydujcie sami!

Pozostałe programy certyfikacyjne od EC-Council:

CND Certified Network Defender

ECSA EC-Council Certified Security Analyst

CHFI Computer Hacking Forensic Investigator

CNDA Certified Network Defense Architect

ECES EC-Council Certified Encryption Specialist

CAST 611 Advanced Penetration Testing

LPT – Master Licensed Penetration Tester

CAST 616 Securing Windows Infrastructure

CAST 612 Advanced Mobile Forensics and Security

CAST 613 Hacking and Hardening Corporate Web App/Web Site

CAST 614 Advanced Network Defense

CCISO Certified Chief Information Security Officer

CSCU Certified Secure Computer User

ECIH EC-Council Certified Incident Handler

ECSP JAVA EC-Council Certified Secure Programmer

ECSP .NET EC-Council Certified Secure Programmer

ECSS EC-Council Certified Security Specialist

EDRP EC-Council Disaster Recovery Professional

GIAC/SANS

Global Information Assurance Certification

Założona w 1999 roku przez SANS, GIAC jest odpowiedzialna za programy akredytacyjne z dziedziny bezpieczeństwa informacji, których na tą chwile jest ponad 20 http://www.giac.org/certifications/categories i obejmują one zarówno certyfikację poziomu podstawowego przez poziom dla średniozaawansowanych aż do poziomu eksperckiego. Ich zakres tematyczny powiązany jest z sepcjalizacjami takimi jak:

  • Audyt
  • Wykrywanie włamań
  • Obsługa incydentów
  • Zapory sieciowe i ochrona brzegu sieci
  • Informatyka śledcza
  • Techniki hackerskie
  • Bezpieczeństwa systemów operacyjnych Windows i Unix
  • Tworzenie bezpiecznego oprogramowania i bezpieczeństwo aplikacji

Najbardziej popularne programy certyfikacyjne GIAC to:

GSEC jest certyfikatem poziomu podstawowego. Podczas egzaminu, kandydaci muszą wykazać się podstawową wiedzę na temat zasadniczych pojęć sieciowych i systemowych oraz stosowanych technik zabezpieczeń np. TCP, ICMP, DNS, honeypot, firewall, IDS/IPS itp.

GPEN i GCIH to kwalifikacje dla bardziej zaawansowanych. GPEN skierowany jest głownie do specjalistów odpowiedzialnych za wykonywanie testów bezpieczeństwa sieci i systemów i wyszukiwania w nich potencjalnych podatności. GCIH jest dedykowany dla osób odpowiedzialnych za obsługę incydentów i koncentruje się na umiejętności takich jak wykrywanie, odpowiadanie i rozwiązywanie incydentów związanych z naruszeniem bezpieczeństwa systemów.

Na samym szczycie programów certyfikacji GIAC znajduje się:

Certyfikacja GSE jest jedną z najbardziej prestiżowych w branży bezpieczeństwa IT. Sam egzamin prowadzący do tego tytułu został opracowany przez najlepszych ekspertów i praktyków. W odróżnieniu od wielu innych przedstawianych w tym przewodniku egzaminów ma on całkowicie charakter praktyczny, dzięki czemu weryfikuje on w sposób jak najbardziej rzeczywisty umiejętności, które oczekiwane są od najlepszych konsultantów ds. bezpieczeństwa. Egzamin GSE składa się z dwóch części, 3 godzinnego testu wielokrotnego wyboru zdawanego pod kontrolą egzaminatora oraz części praktycznej trwającej 2 dni. Certyfikat GSE jest ważny przez 4 lata a jego odnowienie wymaga ponownego zaliczenia aktualnej wersji części testowej egzaminu.

Przed przystąpieniem do egzaminów GIAC nie są wymagane żadne obowiązkowe szkolenia, można polegać na swoim własnym doświadczeniu praktycznym lub przygotowywać się na zasadach dowolności po przez dedykowane kursy prowadzone przez partnera szkoleniowego GIAC jakim jest SANS lub inne szkolenia obejmujące swoim zakresem tematykę egzaminacyjną. Certyfikacje GIAC wyższego poziomu wymagają wcześniejszego zdobycia tych niższych zgodnie z wyznaczonymi wymogami. Zdobycie wysokiej punktacji na poszczególnych egzaminach uprawnia do dostępu do zamkniętych grup dyskusyjnych. Posiadając wybrany certyfikat programu GIAC można zaaplikować o status GIAC Gold który jest przede wszystkim wartościowym narzędziem autopromocji, uzyskanie tego statusu wymaga napisania autorskiego opracowania/artykułu, przy wsparciu eksperta ze strony GIAC, który to finalnie po jego akceptacji zostaje opublikowany i promowany w Reading Room https://www.sans.org/reading-room/ . Status GIAC Gold dla określonych certyfikacji jest również wymogiem wstępnym przed przystąpieniem do egzaminu GSE.

IACRB

Information Assurance Certification Review Board

IACRB jest organizacją non-profit, oferującą programy certyfikacji kierunkowej dla szeregu ról zawodowych związanych z ochroną informacji: pentesterów, ekspertów od inżynierii wstecznej, specjalistów SCADA, informatyków śledczych i specjalistów ochrony i odzyskiwania danych.

Popularne są zwłaszcza programy certyfikacyjne dedykowane pentesterom:

CPT jest certyfikacją poziomu podstawowego, CEPT jest już poziomem eksperckim. CPT koncentruje się na z 9 obszarach sprawdzanych podczas rutynowych testów bezpieczeństwa np. ataki na protokoły sieciowych, typowe podatności systemów Windows/Unix/Linux, bezpieczeństwo sieci wireless. CEPT też operuje w ramach zdefiniowanych 9 obszarach wiedzy ale idzie znacznie głębiej w zagadnienia związane z atakami sieciowymi, inżynierią wsteczną, podatności typu Buffer Overflowi i wiele innych.

Egzaminy zarówno CPT i CEPT składają się z testu wielokrotnego wyboru oraz części praktycznej w formie zadania domowego. Kandydaci muszą pomyślnie ukończyć trzy przydzielone im wyzwania na co otrzymują maksymalnie 60 dni np. w przypadku CPET jest to napisanie działających exploit’ów , w przypadku CPT uzyskanie dostępu do wskazanych systemów i zdobycie określonych informacji.

Jako, że IACRB jest organizacją non-profit, IACRB podkreśla, że opłaty egzaminacyjne są wykorzystywane tylko i wyłącznie w celu pokrycia kosztów administracyjnych.

Pozostałe program certyfikacyjne od IACRB:

ISACA

Information Systems Audit and Control Association

Założona w 1969 roku ISACA jest organizacją non-profit, posiadającą swoje oddziały na całym świecie. ISACA dostarcza praktyczne wskazówki, standardy, wyniki badań oraz skuteczne narzędzia dla wszystkich przedsiębiorstw, które korzystają z systemów informatycznych. Prowadzą swoje centrum wiedzy, gdzie członkowie organizacji mogą łączyć się w ramach społeczności, wspólnych grup interesu, brać udział w dyskusjach i wymieniać między sobą materiały. Ponadto ISACA prowadzi Cybersecurity Nexus (CSX) czyli miejsce skupiające informacje związane z badaniami, edukacją, wskazówkami i certyfikacją z zakresu cyberbezpieczeństwa. ISACA jest organizacją działającą nieprzerwanie już ponad 40 lat tym samym ciszy się bardzo dobrą reputacją i rozpoznawalnością w całej branży bezpieczeństwa informacji na całym świecie.

ISACA jest właścicielem następujących programów certyfikacyjnych:

CISA jest praktycznie standardem rozpoznawalnym na całym świecie jeżeli chodzi o program akredytacyjny dedykowany audytorom, kontrolerom, tym wszystkim, którzy odpowiadają za monitorowanie i ocenę systemów informatycznych i procesów biznesowych organizacji.

CISM przeznaczony dla doświadczonych specjalistów szczebla zarządzającego, którzy odpowiadają za projektowanie, nadzoru i ocenę systemu bezpieczeństwa informacji przedsiębiorstwa. Praktyków zajmujących się obszarami takimi jak zarządzanie ładem korporacyjnym, zarządzanie ryzykiem i zgodnością z wymaganiami, zarządzanie incydentami i rozwojem programów.

CGEIT jest dedykowany szerokiej liście specjalistów IT biorących czynny udział w tworzeniu zasad i dobrych praktyk związanych z ładem korporacyjnym. CGEIT zapewnia wiarygodność w decydowaniu o najważniejszych kwestiach związanych z zarządzaniem strategicznym przedsiębiorstwa w oszarze IT bazując na umiejętnościach, wiedzy i doświadczeniu biznesowym kandydata.

CRISC jest certyfikacja, która pozwala specjalistom IT w naturalny sposób kontynuować swój rozwój zawodowy po poprzez powiązanie ściśle zarządzania ryzykiem informatycznym z zarządzaniem ryzykiem w przedsiębiorstwie, tym samym rozwijać się w kierunku biznesowym.

Uzyskanie certyfikatów ISACA wymaga zliczenia stosownych egzaminów i złożenia pisemnej aplikacji, która obejmuje dokumentację co najmniej pięcioletniego praktycznego doświadczenia zawodowego kandydata na właściwych stanowiskach oraz podpisania kodeku etyki zawodowej ISACA.

(ISC)²

International Information Systems Security Certification Consortium, Inc.

(ISC)² jest międzynarodowym stowarzyszeniem non-profit działającym już ponad 25 lat, koncentrującym się na zadaniach związanych z działaniami na rzecz podnoszenia poziomu bezpieczeństwa informacji. (ISC)² odpowiada za rozwój i dostarczanie szeregu programów certyfikacyjnych w obrębie bezpieczeństwa informacji, w tym SSCP, CAP i CISSP. Członkowie (ISC)² mają też zapewniony dostęp do szerokiej gamy zasobów, w tym: tablicy ogłoszeń o pracę, e-Symposium, możliwość wzajemnej współpracy, Chapter Program, gdzie uczestnicy mogą dzielić się wiedzą i doświadczeniem, zasobami, współpracować nad projektami i tym samym zdobywać kredyty CPE (czyli punkty pozwalające na utrzymanie ważności posiadanej certyfikacji).

Najbardziej znaną i flagową certyfikacją (ISC)² jest:

CISSP Certified Information Systems Security Professional

Posiadacze CISSP pracują jako menedżerowie bezpieczeństwa, dyrektorzy ds. bezpieczeństwa, architekci sieci, analitycy bezpieczeństwa – praktycznie jako ktokolwiek na wyższych stanowiskach kierowniczych w działach odpowiedzialnych za bezpieczeństwo informacji. Program certyfikacji CISSP obejmuje 8 domen wiedzy:

  • Security and Risk Management
  • Asset Security
  • Security Engineering
  • Communications and Network Security
  • Identity and Access Management
  • Security Assessment and Testing
  • Security Operations
  • Software Development Security

Przed przystąpieniem do egzaminu CISSP kandydat musi wykazać się co najmniej 5 letnim doświadczeniem zdobytym w ramach pełnoetatowej pracy, w obrębie 2 lub większej liczby z wymienionych wcześniej 8 domen wiedzy (są one szczegółowo opisane w (ISC) ² CISSP CBK® ). W przypadku kandydatów posiadających wykształcenie wyższe (minimum 4 letnie studia) lub posiadających uznawane przez (ISC)² certyfikacje organizacji trzecich, elementy te są zaliczane jako 1 rok wymaganego doświadczenia. Po zaliczeniu egzaminu kandydat w celu dokończenia procesu certyfikacji jest jeszcze zobowiązany do przestrzegania (ISC)² Code of Ethics oraz dostarczenia aplikacji z rekomendacją napisaną i podpisaną najlepiej przez już certyfikowanego przez (ISC)² specjalistę.

(ISC)² narzuca też obowiązki związane z utrzymaniem certyfikacji CISSP, recertyfikacja jest wymagana co 3 lata poprzez spełnienie następujących elementów:

  • Zebrania i zgłoszenia minimum 40 punktów CPE, potwierdzających bieżącą aktualizację wiedzy kandydata, w każdym roku w 3 letnim cyklu certyfikacji i tym samym łącznie 120 CPE na koniec 3 roku certyfikacji.
  • Opłacić coroczną opłatę za utrzymanie certyfikacji w wysokości 85 USD za każdy rok w 3 letnim cyklu certyfikacji, w sumie 255 USD.
  • Przestrzegać (ISC)² Code of Ethics

Pozostałe programy certyfikacyjne od (ISC)²:

MI: McAfee Institute

McAfee Institute (MI) jest prywatną firmą szkoleniową, założoną w 2007 roku przez Joshua McAfee. Nazwa może być myląca ale MI w żaden sposób nie jest związany z znanym producentem rozwiązań bezpieczeństwa McAfee/Intel Security. Jak wspominaliśmy na wstępie przewodnika, opisywane w tym zestawieniu organizacje certyfikujące w tym McAfee Institute współpracuje z Department of Homeland Securities (DHS) w ramach inicjatywy (NICCS) https://niccs.us-cert.gov/training  i MI jest notowana na jej stronie jako jeden z dostawców profesjonalnych certyfikatów z zakresu bezpieczeństwa informacji.

MI dostarcza szereg programów szkoleniowych i certyfikacji dedykowanych specjalistom zajmujących się egzekwowaniem prawa i odkrywaniu nadużyć.

Po zakończonym szkoleniu on-line, kandydaci zdają dedykowane egzaminy końcowe. Okres ważności certyfikatu wynosi 2 lata a jego utrzymanie związane jest z uiszczeniem co dwa lata opłaty recertyfikacyjnej w wysokości 125 USD oraz zdobycia w zależności od posiadanej certyfikacji określonej ilości punków CPE http://pages.mcafeeinstitute.com/cpe-requirements/ .

MI jest jedną z najmłodszych organizacji na naszej liście, tym samym nie mają długiej branżowej historii jak choćby ISACA, (ISC)² czy inne opisywane jednostki akredytujące, decydując się na program certyfikacyjny MI można się kierować reputacją i zaufaniem do ich rady doradców http://pages.mcafeeinstitute.com/advisory-board/ lub też poszukać opinii o ich programach w sieci.

Mile2

Firma Mile2 została założona w 2008 roku z myślą o opracowaniu niezależnych produktowo programów szkoleniowych i certyfikacyjnych z zakresu bezpieczeństwa cybernetycznego. Obecnie Mile2 to jeden z najbardziej rozpoznawalnych w USA i Europie Zachodniej dostawców szkoleń, certyfikacji i usług konsultingowych z zakresu bezpieczeństwa, które są przede wszystkim dedykowane instytucjom wojskowym i rządowym ale także dla sektora prywatnego.

Programy nauczania Mile2 stały się de facto standardami dla amerykańskich, europejskich, australijskich i azjatyckich służb wojskowych a odbiorcami konkretnych szkoleń technicznych są między innymi: Siły Powietrzne USA, brytyjskie Royal Air Force, specjaliści z korpusów Marines oraz Gwardia Narodowa USA. Ponadto Mile2 jest oficjalnym dostawcą szkoleń i certyfikacji dla ONZ, NATO, agencji wywiadowczych i personelu rządowego i wielu firm z Top Fortune 100.

Należy wspomnieć również, że programy Mile2 są zaakceptowane przez Department of Homeland Securities (DHS) w ramach inicjatywy (NICCS) https://niccs.us-cert.gov/training i są publikowane na stronie NICCS jako jedne z rekomendowanych profesjonalnych certyfikacji z zakresu bezpieczeństwa informacji.

Najbardziej znane i poszukiwane programy certyfikacyjne Mile2 są również akredytowane przez National Security Agency (NSA) i Committee on National Security Systems (CNSS) https://mile2.com/information-systems-security-infosec-professionals

W szczególności ścieżka szkoleniowa i certyfikacyjna dedykowana specjalistom IT, którzy zawodowo rozwijają się w kierunku realizacji profesjonalnych testów bezpieczeństwa zyskuje grono zwolenników na całym świecie. Tym samym programy CPEH, CPTE i CPTC od Mile2 z powodzeniem rywalizują o absolwentów z konkurencyjną ofertą w tym zakresie dostępną u EC-Council czy IACRB.

CPEH jest certyfikacją pierwsze poziomu pokrywającą wiedzę z zakresu typowych metody działania hackerów oraz narzędzi z których korzystają podczas przeprowadzania prób ataków. Kandydaci muszą wykazać się też znajomością najczęstszych wektorów ataków jak i zasobów, które są typowym celem oraz umiejętnością oceny podatności na zagrożenia.

Certyfikacja CPTE bazuje na 5 kluczowych elementach testów penetracyjnych: zbieranie informacji, skanowanie, enumeracja, eksploracja i raportowanie. Kandydaci CPTE powinni być przede wszystkim przygotowani na weryfikację wiedzy z zakresu przeprowadzania profesjonalnych testów penetracyjnych z wykorzystaniem zawansowanych ustandaryzowanych technik wykrywania zagrożeń przy równoczesnym stosowaniu najbardziej etycznych metod hackerskich. CPTE weryfikuje również umiejętności biznesowe, które są niezbędne do określenia możliwości stosowanej ochrony, uzasadniania potrzeby przeprowadzania testów i optymalizacji systemów bezpieczeństwa z punktu widzenia procesów biznesowych danej organizacji i redukcji zagrożeń z nich wynikających.

Trzeci w kolejności z wymienionych programów CPTC jest przeznaczony głownie dla specjalistów ds. bezpieczeństwa i administratorów systemów sieciowe, którzy są zainteresowani prowadzeniem testów penetracyjnych w dużych infrastruktur sieciowych takich jak duże sieci: korporacyjnej, dostawców usług internetowych, firm telekomunikacyjnych. Zamiast skupiać się na technikach testów penetracyjnych realizowanych na poziomie systemów operacyjnych, certyfikat ten obejmuje zagadnienia dotyczące sposób atakowania i zapobieganiu atakom skierowanym przeciwko protokołom i infrastrukturze sieciowej.

Aby zdobyć wybrany certyfikat Mile2 należy zaliczyć odpowiadający mu egzamin certyfikacyjny będący testem wielokrotnego wyboru. Wszystkie egzaminy Mile2 są zdawanego online w formule „otwartej książki” za pośrednictwem systemu egzaminacyjnego MACS (Mile2® Assessment and Certification System).

Pozostałe programy certyfikacyjne Mile2:

Offensive Security

Offensive Security to prywatna firma, która oferuje szkolenia, usługi testów penetracyjnych i mocno specjalizowane programy certyfikacyjne. Członkowie zespołu Offensive Security są założycielami i twórcami projektu Kali Linux, następcy BackTrack Linux, czyli najbardziej znanego na całym świecie darmowego pakietu narzędzi pentesterskich opartego na systemie operacyjnym Linux. Pełna listę projektów społecznościowych w które zaangażowane jest zespół Offensive Security znajduje się tutaj https://www.offensive-security.com/community-projects/

Jeśli jesteś zawodowym pentesterem i szukasz certyfikacji na najwyższym poziomie, zdecydowanie należy rozważyć:

Jest to jeden z nielicznych certyfikatów, który wymaga udowodnienia umiejętności wykonywania testów penetracyjnych i etycznego hackowania w 100% od strony praktycznej. Na wykonanie zadań egzaminacyjny kandydat do tytułu OSCP ma dokładnie 24 godziny.

Środowisko egzaminacyjne OSCP składa się z wirtualnej sieci zawierającej cele o różnych konfiguracjach i różne systemy operacyjne. Na początku egzaminu kandydat otrzymuje tylko instrukcje w jaki sposób połączyć się z wyizolowaną siecią egzaminacyjną, nie otrzymują on żadnej informacji na temat tego jak jest jej struktura i z jakich elementów się składa.

Kandydat musie się wykazać umiejętnością wyszukiwania zasobów sieciowych (zbieranie informacji), identyfikowania możliwych podatności i skutecznym wykonywaniem ataków. Ostatni z wymienionych elementów często wymaga od kandydata modyfikacji kodu wykorzystującego daną lukę w celem włamania się na dany systemy i uzyskania dostępu poziomu administracyjnego.

Od kandydata oczekuje się również przedstawienia kompleksowego raportu wykonanego testu penetracyjnego, zawierającego szczegółowe notatki i zrzuty ekranu obrazujące jego odkrycia. Punkty egzaminacyjne przyznawane są za każdy skompromitowany host, na podstawie trudności w jego przełamaniu i poziomu uzyskanego dostępu.

Ekspert posiadający tytuł OSCP, z definicji, jest w stanie zidentyfikować istniejące luki i wykonać testowe ataki w sposób precyzyjny i kontrolowany, potrafi pisać proste skrypty Bash lub Python, modyfikować istniejący kod w celu osiągniecia właściwego efektu, potrafi wykorzystywać techniki network pivoting i data ex-filtration oraz przełamywać źle napisane webaplikacje w PHP.

Fakt, że egzamin OSCP trwa maksymalnie 24h weryfikuje również wytrwałości i determinację kandydata oraz myślenie nieszablonowe, które zdecydowanie będzie pomocne w ukończeniu zadania w tak wyznaczonym czasie.

Pozostałe programy certyfikacyjne Offensive Security, które dodatkowo podnoszą poprzeczkę pentesterom to:

oraz programy specjalizowane, skupiające się na przełamywaniu aplikacji webowych i sieci bezprzewodowych:

Programy produktowe

Check Point

Mimo tego, że Check Point nie znajduje się na liście organizacji certyfikujących wymienionych aktualnie przez NICE, to nie możemy pominąć tego producenta w naszym zestawieniu.

Firma Check Point dostarcza swoje rozwiązania z zakresu bezpieczeństwa IT nieprzerwanie od 1993 roku, a najbardziej znana jest ze swoich przełomowych rozwiązań z zakresu zapór sieciowych i mechanizmów budowania sieci wirtualnych (VPN). Pojawienie się w roku 1993 flagowego produktu Checj Point jakim była właśnie zapora sieciowa FIreWall-1 i opatentowanie technologii stanowej analizy pakietów zmieniła całkowicie podejście do możliwości analizy ruchu sieciowego jak i sposobu konfiguracji, zarządzania tego typu rozwiązaniami.

Check Point jest również autorem szeregu autoryzowanych szkoleń odnoszących się do zagadnień konfiguracji i zarządzania ich produktami, jaki i powiązanymi z nimi programów certyfikacji. Najbardziej znane i poszukiwane na rynku pracy to CCSA i CCSE, znajdują się one rok rocznie na wielu listach najlepszych certyfikacji branży IT:

CCSA to certyfikat poziomu podstawowego dla wszystkich administratorów systemów IT, którzy na co dzień zarządzają rozwiązaniami bezpieczeństwa firmy Check Point.

CCSE to kolejny poziom certyfikacji, który weryfikuje już umiejętności związane z rozwiązywaniem problemów oraz takich, które pozwalają na maksymalizację wydajności stosowanych zabezpieczeń sieciowych.

Pozostałe programy certyfikacyjne Check Point to:

czyli najwyższy poziom certyfikacji dedykowany administratorom rozwiązań tego producenta

który jest specjalizowanym programem ukierunkowanym na wiedzę I umiejętności związane z administracją systemami pracującymi w środowiskach wielodomenowych i wirtualnych.

Wszystkie egzaminy certyfikacyjne Check Point są testami wielokrotnego wyboru zdawanymi za pośrednictwem centrów testowych Pearson VUE.

CISCO

CISCO z racji, że jest producentem, daleko mu do organizacji tworzących neutralne (niepowiązane z konkretnymi produktami/rozwiązaniami) programy certyfikacyjne. Ale choćby certyfikacja CCNA Security jest jedną z najbardziej znanych i reprezentowanych certyfikacji na świecie tym samym nie możemy pominąć tego producenta w naszym przewodniku. CISCO stopniuje swoją akredytację z obszaru bezpieczeństwa w ramach 4 poziomów doświadczenia:

CCENT obejmuje swoim zakresem podstawy sieci i bezpieczeństwa sieciowego. Jego zdobycie potwierdza, że jego posiadacz jest w stanie instalować i obsługiwać małe sieci komputerowe oraz rozwiązywać w nich bieżące problemy.

Popularna certyfikacja CCNA Security poziomu Associate obejmuje całość zagadnień dotyczących zabezpieczania i obrony sieci opartych o rozwiązania Cisco. Podczas egzaminu musisz udowodnić swoją wiedzę z zakresu podstawowych technologii zabezpieczeń, instalacji/rozwiązywania problemów /monitorowania urządzeń sieciowych i struktur bezpieczeństwa Cisco.

Kolejny poziom to Professional a więc CCNP Security dedykowany konkretnie specjalistom na stanowiskach Cisco Network Security Engineer. Całość programu zamyka poziom Expert i powiązna z nim certyfikacja CCIE Security.

Certyfikacja CCIE Security nie ma żadnych formalnych wymagań wstępnych, można się o nią starać nawet nie mając wcześniej certyfikatów poziomu Associate czy Professional. Zamiast tego, jak wiele certyfikatów najwyższego poziomu wymaga zaliczenia zarówno egzaminu w formie pisemnej jak i odpowiadającemu mu egzaminu praktycznego realizowanego w realnym laboratorium egzempcyjnym. Cisco zaleca przed próbą podejścia do tego egzaminu minimum trzy do pięciu lat dogłębnego praktycznego doświadczenia zawodowego.

Fortinet

Fortinet również nie jest obecny jako dostawca programów certyfikacyjnych na liście NICE, ale też byłoby błędem jego pominięcie w prezentowanym przewodniku z uwagi na fakt, że jest to producent szerokiej gamy rozwiązań bezpieczeństwa, który obecnie przewodzi we wszelkiego rodzaju rankingach związanych z ilościami sprzedawanych rozwiązań na świcie czy też w testach jakościowych dowodzących skuteczności i jakości oferowanych produktów np. testy wykonywane przez NSS Labs https://www.nsslabs.com/research-advisory/library/

Fortinet został założony w 2000 roku przez braci Michaela i Ken Xie. Obecnie z rozwiązań Fortinet korzysta ponad 225 000 klientów na całym świecie, w tym większość przedsiębiorstw z listy Global 1000, usługodawców i instytucji państwowych. Liczba ta odzwierciedla również zapotrzebowanie nie certyfikację od tego producenta, w samej Polsce rocznie przybywa 100-200 nowych certyfikowanych ekspertów Network Security Expert (NSE).

Fortinet wprowadził w 2015 roku swój nowy program certyfikacyjny nazwany Fortinet Network Security Expert i funkcjonujący pod skrótem NSE. Jest to 8 poziomowy program, który gwarantuje pełne opanowanie wiedzy i praktycznych umiejętności dotyczących produktów Fortinet do poziomu podstawowego do eksperckiego.

Poziomy certyfikacyjne NSE 1 do NSE 3 są skierowane dla osób zajmujących się sprzedażą produktów i rozwiązań firmy. Poziomy certyfikacyjne NSE 4 i w górę tworzą ofertę certyfikacji technicznych skierowanych dla inżynierów. Najbardziej popularnym i poszukiwanym programem certyfikacji Fortinet jest właśnie:

Uzyskanie certyfikatu NSE 4 oznaczenie potwierdzanie zdolność kandydata do realizacji usług typu: konfiguracja, instalacja i monitorowanie produktów FortiGate Unified Threat.

Poziom 5 do 7 to:

Uzyskanie certyfikatów poziomu NSE 4 do NSE 7 wymaga realizacji odpowiadających im egzaminów w centrach testowym Pearson VUE. Certyfikacje te są ważne przez 2 lata a ich odnowienie wymaga ponownego zaliczenia stosownego egzaminu, przed upływem 2 lat.

Najwyższy poziom certyfikacji:

Kandydat do certyfikacji poziomu NSE 8 musi się wykazać szeroką i dogłębną wiedzę z zakresu projektowania bezpiecznych sieci, konfiguracji i rozwiązywania problemów w złożonych sieciach komputerowych.

Certyfikacja NSE8 i tym samym tytułu Experta wymaga zaliczenia dwóch egzaminów.

Pierwszego, pisemnego, który jest testem wielokrotnego wyboru, dostępnego podobnie jak egzaminy niższych poziomów w centrach testowych Pearson VUE. Jego zaliczenie jest wymagane przed drugim etapem, którym jest egzamin praktyczny.  Trawa on 2 dni i zdawany jest on w specjalnie do tego celu przygotowanym laboratorium testowym.

Certyfikat NSE 8 jest ważny przez okres 2 lat, po tym czasie wymagana jest recertyfikacja. W celach recertyfikacji na poziomie NSE 8 należy zdać ponownie już tylko część pisemną egzaminu NSE 8.

Comments

  1. Piotr

    Cześć,
    fajne, krótkie i treściwe podsumowanie. Mam jednak pytanie, gdzie w Polsce mógłbym zdawać egzamin CompTIA Security+, bardzo mało informacji o tym w internecie, wysłałem również kilka zapytań do firm, które organizują szkolenia pod certyfikaty ale od żadnej nie uzyskałem odpowiedzi!
    Z góry bardzo dziękuje za pomoc!

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *