Comments 16
Если аналитик безопасности хороший профессионал, он и есть хакер, разве нет? Такие иерархии и прививают людям слова взломщик, злоумышленник как синонимы «хакер».
Стоит обратить внимание, что CEH и ECSA, это ни в коем случае не замена CISSP-CISA/CISM, которые в большей степени требуют, в добавок, еще и знания методологий, стандартов, систем менеджмента ИБ, но и не CompTIA: Security+, где для успешной сдачи достаточно иметь багаж теоретических знаний в части технологий ИБ.
Хочу обратить ваше внимание, что сертификаты CISA/CISM не требуют каких-либо практических знаний и опыта и больше ориентированы на управленцев. В плане практики, я придаю больше значения CEH.
securityreactions.tumblr.com/post/33229704297/how-i-treat-people-who-think-the-ceh-cert-is-something
Как человек, не работающий непосредственно в сфере ИБ, но из любопытства изучивший курс CEH, скажу: он уныл, примитивен, банален и абсолютно недостаточен для специалиста в области ИБ (будь то пентестер или корпоративный айтисек). Хакера из «сертифицированного хакера» не выйдет. Но в качестве самой базы, для человека, обладающего только университетским уровнем знаний, сойдет.
Как человек, не работающий непосредственно в сфере ИБ, но из любопытства изучивший курс CEH, скажу: он уныл, примитивен, банален и абсолютно недостаточен для специалиста в области ИБ (будь то пентестер или корпоративный айтисек). Хакера из «сертифицированного хакера» не выйдет. Но в качестве самой базы, для человека, обладающего только университетским уровнем знаний, сойдет.
У меня, как человека работающего непосредственно в сфере ИБ, сложилось аналогичное мнение. Процесс напомнил мне игру в бирюльки. Весь курс свелся к перечислению софта, способного что-то и то не везде сделать. Сконцентрированный гугл курс. Больше всего мне понравился модуль Footprinting.
Кстати, почитал я требования по eligibility. Они кем себя возомнили? Из других вендоров похожие требования я видел только на Cisco Certified Architect (CCAr). Но:
Та сертификация формально считается выше, чем CCIE/CCDE. А CCIE/CCDE считается одной из самых крутых в мире сертификаций. И попытка сдачи CCAr стоит 5-значную сумму в долларах.
А CEH самим разработчиком ставится на один уровень с CCNA. Так откуда требования? От дамперов защищаются? Они и так пролезут.
Та сертификация формально считается выше, чем CCIE/CCDE. А CCIE/CCDE считается одной из самых крутых в мире сертификаций. И попытка сдачи CCAr стоит 5-значную сумму в долларах.
А CEH самим разработчиком ставится на один уровень с CCNA. Так откуда требования? От дамперов защищаются? Они и так пролезут.
---
По поводу CISA/CISM вы правы, кстати и я об этом также написал.
С точки получения реальных навыков аудита/пентеста, ИМХО, OSCP/OSCE будут гораздо полезнее, так как там основная часть курсов не просто общие слова, а занятия по взлому машин в виртуальной лаборатории.
Внимание, щас я расскажу страшную тайну, о которой конечно никто не знает: практически никто эти бумажки не смотрит. Нанимаясь в более менее нормальные команды к пен-тестерам или инженерам ИБ и показывая эту бумажку (CEH), вы в лучшем случае получите в ответ снисходительную улыбку. Эта бумажка нужна тем, кто пойдет работать туда, где про ИТ секурити никто ничего не знает, поэтому толком прособеседовать вас и не сможет…
А что спрашивают те, кто умеет собеседовать по ИБ направлению?
«Резюме сам положи в такую-то папку на таком-то не опубликованном наружу сервере. А время собеседования узнай из моего календаря в аутлуке.»
Ну по крайней мере я бы хотел, чтобы все было так :)
Ну по крайней мере я бы хотел, чтобы все было так :)
Ну зависит от вакансии. Вот мы сейчас ищем инженера ИБ. У нас есть тестовый стенд, который надо «сломать». При этом бездумные сканеры и sqlmap не помогают. Мы смотрим логи и видим как человек размышлял и решал задачу. Потом серия собеседований. В том числе и техническое с инженерами команды. Там уже вопросы по теме, от базовых до более интересных. Главное увидеть опыт, знания и то как человек умеет думать и применять свои таланты. Так в процессе такого непринужденного разговора + показатели со стенда дают довольно точную картину, гораздо более четкую чем сертификат CEH. Но это вроде очевидно…
К примеру, мы уже три года не берем молодых претендентов из «черепа»-бумажки есть, а знаний нет. Куда они потом идут? Да все туда же-в госструктуры или зао с руководителями из «бывших». Так что соглашусь,«бумажки» в реальном мире уже ничего не стоят. Повсеместная деградация в сфере образования привела к обесцениванию дипломов и сертификатов. И это масштабная проблема государства-чем больше бюрократии, тем больше дипломов, чем больше дипломов, тем больше «неспециалистов», как следствие снежный ком бумаготворчества.
Sign up to leave a comment.
Кто лучше: хакер или аналитик безопасности...?