|
|
||
По какой-то причине стало популярно обсуждать сертификаты по безопасности, особенно на форумах для новичков (например, на /r/asknetsec). Я здесь не говорю про бизнес сертификацию (ISO и др.), скорее про личные сертификаты, демонстрирующие наличие навыков. Слишком много внимания уделяется "обязательной" сертификации, позволяющей получить работу мечты.
Я хочу сказать, что вы должны перестать беспокоиться о сертификации и вместе этого потратить время на изучение вещей, которые помогут в реальном мире или лучше даже применить свои навыки в реальном мире. Вероятно, есть люди которые со мной не согласятся, и это хорошо, но я хочу дискуссию для думающих людей, а не уверенность в том, что сертификат это волшебная палочка.
Я не думаю, что сертификаты это плохо, на самом деле у меня есть несколько. Я являюсь держателем как OSCP, так и OSCE от Offensive Security, и ранее я сдавал RHCE, LPIC-1 и LPIC-2, а также несколько незначительных сертификатов. На самом деле я чертовски горжусь ими.
Я работаю в технической индустрии уже более десяти лет, более половины из которых занимаюсь безопасностью. У меня была возможность проводить собеседования для нескольких сотен людей в то время. Я пишу это не для похвалы, а чтобы подтвердить основу для моей точки зрения. Одно важное замечание состоит в том, что более 7 лет опыта была у одного работодателя, что повлияло на мое мнение по вопросу.
Большинство ролей в ИБ требует широкого спектра знаний и понимания того как применять эти знания. Есть много наборов навыков, необходимых помимо того, что можно выучить в учебном классе. Например, ни один из технических сертификатов не тратить сколько-нибудь значительное время на софт скиллы, но хорошие практики из отрасли также обязательно хорошие коммуникаторы и могут понять бизнес-приоритеты даже если они не обязательно согласны с ними.
OSCP вероятно наиболее часто обсуждаемая сертификация, которую я видел. Причина этого - высокого качество и экзамен, требующий подтверждения знаний, а не просто повторения. Разработчики курса хорошо знают свой материал и проведение сертификации имеет ценность. Тем не менее существует большой разрыв между OSCP и тестированием в реальном мире:
- Каждая машина в лаборатории и экзамене OSCP определенно уязвима, это не обязательно верно в реальном мире
- OSCP фокусируется почти полностью на коммерчески готовом программном обеспечении (COTS), но почти каждое значительное предприятие будет иметь свое ПО
- Специфику OSCP можно лучше всего описать как "иди сюда, братан", но тесты в реальном мире имеют совершенно другую специфику
- Не смотря на то, что OSCP требует, чтобы вы сделали отчет для экзамена, на обучение составлению отчета тратится мало времени
Когда я сдавал OSCP, то хотел доказать себе, что могу это сделать. Но моему работодателю это было не нужно, и я не использовал это, чтобы пробиться на новую работу. Я сдал PWK/OSCP потому что верил, что это сделает меня более эффективным и обогатит мой набор навыков. Если вам интересно, то единственное чему я научился на OSCP это как эффективно вести записи и организовывать информацию во время крупномасштабного теста на проникновения.
У меня есть сертификация OSCE которую считаю старшим братом OSCP. Вместо того, чтобы сосредоточиться на тестировании больших сетей, это эксплуатация небольших сервисов/сетей. Как и OSCP, он требует применения навыков на экзамене. Опять же, я взял курс и экзамен, чтобы узнать новые вещи (больше про эксплуатацию Windows) и доказать себе, что могу. Честно говоря, если бы я сделал это снова, я вероятно взял тренинг CoreLan, которые погружают в новые версии Windows.
Я бы не предложил никому тратить время на Security+. Это экзамен, который можно вызубрить по одной книге. Можно даже не использовать компьютер во время учебы на него. Хотя вы можете быть в состоянии привести факты и некоторую информацию о лучших практиках безопасности, вы все еще не можете применить эти знания на практике. Кроме того, мне дали понять, что многие советы из него уже не соответствуют лучшим отраслевым практикам.
CISSP - странная сертификация для меня. Кажется, это один из тех сертификатов, которые получают в консалтинговой компании, чтобы гордиться и говорить "все наши пентестеры сертифицированы CISSP". Итак, если вы хотите работать в консалтинге, и у вас есть соответствующий отраслевой опыт для CISSP, то идите на это. А еще лучше убедить своего работодателя заплатить за это.
Материал неплохой, но как и все экзамены с множественным выбором, все дело в запоминании базовой информации, а не в применении этой информации в реальной среде. Кроме того, большая часть информации ориентирована на политики безопасности, поэтому будет ли полезна данная информация зависит от вашей роли.
Я знаю множество людей с истекшим CISSP, поскольку не видят в нем ценности (и вы должны заплатить, чтобы поддержать его в актуальном состоянии).
Сертификаты GIAC которые идут вместе с классами SANS как и многие другие являются экзаменами с множественным выбором. Следовательно, они плохо отображают применение технических навыков. С другой стороны курсы, связанные с экзаменами, имеют достойное качество и очень последовательно преподаются. Эти сертификаты также широко известны, поэтому хороший выбор для тех, кто должен продавать себя клиентам (например, консалтинг).
Не лгите о своих сертификатах. Например, большинство из них легко проверить. Что еще более важно, не говорите о сертификатах, которые не готовы обсуждать в интервью. У меня было слишком много кандидатов, которые отвечали "О, я сделал это несколько лет назад и ничего не помню", когда их спросили о сертификации. Если вы не можете использовать информацию сегодня, то утверждение, что она делает вам лучшим кандидатом, ложная. Это примерно как пытаться получить работу водителей грузовика, когда вы не ездили последние 5 лет.
Не думайте, что наличие сертификации даст вам работу. В лучшем случае это приведет вас к интервью, но в этом интервью будьте готовы сформулировать материал из сертификации. Если у вас набор сертификатов, будьте готовы обосновать почему получили их и что наиболее значительное.
Для интервьюеров сертификаты являются приглашением в смол ток. "О, я вижу у вас есть OSCP, что было самой трудной частью?". Вы можете многое узнать о кандидате, если они сразу же прыгают и говорят об этом с гордостью и демонстрируют свой энтузиазм или пытаются уйти от вопроса.
Сертификаты неплохо, но вы не можете построить карьеру только на них. Классы без сертификации могут в конечном итоге иметь большее влияние на вас в перспективе, поскольку вы можете выбирать предметы для изучения, а не изучать строгий список тем. Сосредоточьтесь на навыках, которые нужно получить и если вы сможете получить сертификаты с их помощью, здорово.
|