По какой-то причине стало популярно обсуждать сертификаты по безопасности, особенно на форумах для новичков (например, на /r/asknetsec). Я здесь не говорю про бизнес сертификацию (ISO и др.), скорее про личные сертификаты, демонстрирующие наличие навыков. Слишком много внимания уделяется "обязательной" сертификации, позволяющей получить работу мечты.

Я хочу сказать, что вы должны перестать беспокоиться о сертификации и вместе этого потратить время на изучение вещей, которые помогут в реальном мире или лучше даже применить свои навыки в реальном мире. Вероятно, есть люди которые со мной не согласятся, и это хорошо, но я хочу дискуссию для думающих людей, а не уверенность в том, что сертификат это волшебная палочка.

Я не думаю, что сертификаты это плохо, на самом деле у меня есть несколько. Я являюсь держателем как OSCP, так и OSCE от Offensive Security, и ранее я сдавал RHCE, LPIC-1 и LPIC-2, а также несколько незначительных сертификатов. На самом деле я чертовски горжусь ими.

Я работаю в технической индустрии уже более десяти лет, более половины из которых занимаюсь безопасностью. У меня была возможность проводить собеседования для нескольких сотен людей в то время. Я пишу это не для похвалы, а чтобы подтвердить основу для моей точки зрения. Одно важное замечание состоит в том, что более 7 лет опыта была у одного работодателя, что повлияло на мое мнение по вопросу.

Большинство ролей в ИБ требует широкого спектра знаний и понимания того как применять эти знания. Есть много наборов навыков, необходимых помимо того, что можно выучить в учебном классе. Например, ни один из технических сертификатов не тратить сколько-нибудь значительное время на софт скиллы, но хорошие практики из отрасли также обязательно хорошие коммуникаторы и могут понять бизнес-приоритеты даже если они не обязательно согласны с ними.

OSCP

OSCP вероятно наиболее часто обсуждаемая сертификация, которую я видел. Причина этого - высокого качество и экзамен, требующий подтверждения знаний, а не просто повторения. Разработчики курса хорошо знают свой материал и проведение сертификации имеет ценность. Тем не менее существует большой разрыв между OSCP и тестированием в реальном мире:

- Каждая машина в лаборатории и экзамене OSCP определенно уязвима, это не обязательно верно в реальном мире
- OSCP фокусируется почти полностью на коммерчески готовом программном обеспечении (COTS), но почти каждое значительное предприятие будет иметь свое ПО
- Специфику OSCP можно лучше всего описать как "иди сюда, братан", но тесты в реальном мире имеют совершенно другую специфику
- Не смотря на то, что OSCP требует, чтобы вы сделали отчет для экзамена, на обучение составлению отчета тратится мало времени

Когда я сдавал OSCP, то хотел доказать себе, что могу это сделать. Но моему работодателю это было не нужно, и я не использовал это, чтобы пробиться на новую работу. Я сдал PWK/OSCP потому что верил, что это сделает меня более эффективным и обогатит мой набор навыков. Если вам интересно, то единственное чему я научился на OSCP это как эффективно вести записи и организовывать информацию во время крупномасштабного теста на проникновения.

OSCE

У меня есть сертификация OSCE которую считаю старшим братом OSCP. Вместо того, чтобы сосредоточиться на тестировании больших сетей, это эксплуатация небольших сервисов/сетей. Как и OSCP, он требует применения навыков на экзамене. Опять же, я взял курс и экзамен, чтобы узнать новые вещи (больше про эксплуатацию Windows) и доказать себе, что могу. Честно говоря, если бы я сделал это снова, я вероятно взял тренинг CoreLan, которые погружают в новые версии Windows.

Security+

Я бы не предложил никому тратить время на Security+. Это экзамен, который можно вызубрить по одной книге. Можно даже не использовать компьютер во время учебы на него. Хотя вы можете быть в состоянии привести факты и некоторую информацию о лучших практиках безопасности, вы все еще не можете применить эти знания на практике. Кроме того, мне дали понять, что многие советы из него уже не соответствуют лучшим отраслевым практикам.

CISSP

CISSP - странная сертификация для меня. Кажется, это один из тех сертификатов, которые получают в консалтинговой компании, чтобы гордиться и говорить "все наши пентестеры сертифицированы CISSP". Итак, если вы хотите работать в консалтинге, и у вас есть соответствующий отраслевой опыт для CISSP, то идите на это. А еще лучше убедить своего работодателя заплатить за это.

Материал неплохой, но как и все экзамены с множественным выбором, все дело в запоминании базовой информации, а не в применении этой информации в реальной среде. Кроме того, большая часть информации ориентирована на политики безопасности, поэтому будет ли полезна данная информация зависит от вашей роли.

Я знаю множество людей с истекшим CISSP, поскольку не видят в нем ценности (и вы должны заплатить, чтобы поддержать его в актуальном состоянии).

Сертификаты GIAC

Сертификаты GIAC которые идут вместе с классами SANS как и многие другие являются экзаменами с множественным выбором. Следовательно, они плохо отображают применение технических навыков. С другой стороны курсы, связанные с экзаменами, имеют достойное качество и очень последовательно преподаются. Эти сертификаты также широко известны, поэтому хороший выбор для тех, кто должен продавать себя клиентам (например, консалтинг).

Чего не делать?

Не лгите о своих сертификатах. Например, большинство из них легко проверить. Что еще более важно, не говорите о сертификатах, которые не готовы обсуждать в интервью. У меня было слишком много кандидатов, которые отвечали "О, я сделал это несколько лет назад и ничего не помню", когда их спросили о сертификации. Если вы не можете использовать информацию сегодня, то утверждение, что она делает вам лучшим кандидатом, ложная. Это примерно как пытаться получить работу водителей грузовика, когда вы не ездили последние 5 лет.

Не думайте, что наличие сертификации даст вам работу. В лучшем случае это приведет вас к интервью, но в этом интервью будьте готовы сформулировать материал из сертификации. Если у вас набор сертификатов, будьте готовы обосновать почему получили их и что наиболее значительное.

Для интервьюеров сертификаты являются приглашением в смол ток. "О, я вижу у вас есть OSCP, что было самой трудной частью?". Вы можете многое узнать о кандидате, если они сразу же прыгают и говорят об этом с гордостью и демонстрируют свой энтузиазм или пытаются уйти от вопроса.

Заключение

Сертификаты неплохо, но вы не можете построить карьеру только на них. Классы без сертификации могут в конечном итоге иметь большее влияние на вас в перспективе, поскольку вы можете выбирать предметы для изучения, а не изучать строгий список тем. Сосредоточьтесь на навыках, которые нужно получить и если вы сможете получить сертификаты с их помощью, здорово.