Особенности сертификаций по этичному хакингу
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

Книжная полка  

От создания сайтов до разработки и реализации API

В издательстве «БХВ» недавно вышли книги, которые будут интересны системным администраторам, создателям

 Читать далее...

Разбор полетов  

Ошибок опыт трудный

Как часто мы легко повторяем, что не надо бояться совершать ошибки, мол,

 Читать далее...

Принципы проектирования  

Dependency Inversion Principle. Принцип инверсии зависимостей в разработке

Мы подошли к последнему принципу проектирования приложений из серии SOLID – Dependency

 Читать далее...

Рынок труда  

Вакансия: Администратор 1С

Администратор 1С – это специалист, который необходим любой организации, где установлены программы

 Читать далее...

Книжная полка  

Книги для профессионалов, студентов и пользователей

Книги издательства «БХВ» вышли книги для тех, кто хочет овладеть самыми востребованными

 Читать далее...

Принципы проектирования  

Interface Segregation Principle. Принцип разделения интерфейсов в проектировании приложений

Эта статья из серии «SOLID» посвящена четвертому принципу проектирования приложений – Interface

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 10760
Комментарии: 0
Потоковая обработка данных

 Читать далее...

19.03.2018г.
Просмотров: 9005
Комментарии: 0
Релевантный поиск с использованием Elasticsearch и Solr

 Читать далее...

19.03.2018г.
Просмотров: 9052
Комментарии: 0
Конкурентное программирование на SCALA

 Читать далее...

19.03.2018г.
Просмотров: 5710
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 6399
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 3705
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 2709
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3503
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3496
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 5992
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

Друзья сайта  

 Особенности сертификаций по этичному хакингу

Статьи / Особенности сертификаций по этичному хакингу

Автор: SA

В современном мире информационных технологий знания о них настолько широки и многообразны, что вопрос последовательности и методик изучения приобретает все большую актуальность. С чего начать изучение? Как изучать? Что именно изучать? В этой статье я расскажу о своем видении процесса изучения информационных технологий

Особенности сертификаций по этичному хакингу

Сергей Клевогин, ведущий преподаватель Центра компьютерного обучения «Специалист» при МГТУ им. Н.Э. Баумана по направлению «Безопасность компьютерных сетей». Состоит в «Круге совершенства» инструкторов по этичному хакингу, имеет статус Licensed Penetration Tester (Master). Обладатель 38 престижнейших международных сертификаций, в том числе 10 сертификаций по информационной безопасности и этичному хакингу. Сертифицированный инженер в области безопасности Microsoft и профессионал в области безопасности SCP.

В современном мире информационных технологий знания о них настолько широки и многообразны, что вопрос последовательности и методик изучения приобретает все большую актуальность. С чего начать изучение? Как изучать? Что именно изучать? В этой статье я расскажу о своем видении процесса изучения информационных технологий

Также затрону и второй вопрос, который идет в паре: как проверить, насколько сотрудники предприятия или кандидаты на должности, связанные с информационными технологиями и информационной безопасностью, подготовлены для выполнения задач?

В современном мире квалификация в области безопасности требует немедленного приведения в соответствие с тем, чем занимается специалист, ведь если квалификация недостаточна, риски компрометации систем предприятия серьезно возрастают.

Пространство знаний в области ИТ разделено на три большие части, так что сразу можно отнести любой предмет изучения к какому-то определенному классу.

Это три основополагающие инфраструктуры:

  • сетевая инфраструктура;
  • инфраструктура идентификации и доступа;
  • инфраструктура приложений.

Начинать изучение следует именно с сетевой, поскольку она является основой для всех остальных. Так же, если проблема безопасности возникает в компонентах сетевой инфраструктуры, страдают и другие.

Помимо того, что каждая из инфраструктур проектируется, планируется, внедряется, управляется и обслуживается, подразделение ИТ решает вопросы безопасности, то есть, применения защитных мер, и также их проектирования, управления.

И тут вспыхивает фейерверк технологий, от которых зависит не только функциональность информационной системы предприятия, но и ее безопасность.

Я вижу два аспекта к обозначенным двум вопросам о том, как изучать и как проверять квалификацию.

Первый аспект – объем и последовательность. Нельзя просто так случайно выбирать технологию и ее изучать. Но и нельзя идти строго последовательно, тщательно изучая материал. На это потребуется много времени, которого обычно не хватает. Так какие же ресурсы для изучения выбрать из большого многообразия книг, учебников?

К примеру, существует отдельный ресурс Wireshark Training. Книги, курсы online. Там вы найдете ссылки на книги и видео.

Существует официальный учебник по Wireshark, по которому читаются курсы, доступные на DVD, рассказывающие о том, как работает известнейший сниффер и что можно делать с его помощью.

На официальном портале курсов можно бесплатно скачать ISO образ DVD Laura's Lab Kit, дополняющий курсы по Wireshark, с видео и другими материалами.

Но и это еще не все. Оказывается, по Wireshark доступны не только DVD с курсами, а проводятся целые конференции SharkFest. Материалы конференций с 2008 по 2019 гг. доступны в открытом доступе для скачивания на официальном сайте Wireshark.

Особенностью является то, что видео и материалы нельзя считать последовательным методическим изучением информационных технологий. Это, скорее, дополнительное углубленное изучение сетевой инфраструктуры и возможностей Wireshark.

В центре компьютерного обучения «Специалист» в качестве программы подготовки выбраны авторизованные курсы EC-Council

Второй аспект – энтузиазм и заинтересованность. Человек не может интенсивно проходить обучение длительное время. Можно «гореть» неделю, две, но если вспомнить студенческие годы, то интенсивность подготовки в период сессии и в течение всего семестра заметно отличатся.

К примеру, очень полезно ознакомиться с первоисточниками сетевых протоколов, документами RFC. Основные RFC переведены на русский язык, что позволяет лучше их понимать. Но особенностью является то, что читать RFC без практики скучно и неэффективно, потому что теория обязательно должна разбавляться практическими примерами того, как описанный в RFC протокол работает на деле.

В вопросах безопасности проблема вовлеченности в процесс повышения квалификации решается достаточно элегантно. К примеру, существует практическая лаборатория HackTheBox, где предлагается получить доступ к различным машинам, выполнить задания. Особенность в том, что, с одной стороны, решения публиковать запрещено, и они действительно не публикуются, так что нельзя просто получить готовое решение, как в случае со многими другими практическими лабораториями.

С другой стороны, есть форум, где можно получить подсказки, если остановился в исследованиях, так что есть направление для продолжения работы.

Процесс решения интересен и может затягивать, как компьютерная игра.

Но даже в этом случае направление исследований зависит от того, что задумал создатель машины. Решая квест, неизвестно, что придется изучать при прохождении: особенность протокола маршрутизации или систему управления контентом веб-сервера.

И, с точки зрения оценки квалификации, вряд ли станет общепринятым стандартом профиль на сайте с указанием количества решенных заданий. Поскольку задания, как бы интересны для решения они ни были, не обязательно тесно перекликаются.

Как же при таких аспектах решить задачу правильной подготовки и оценки квалификации в области информационной безопасности?

Ответ: в профессиональных стандартах.

Профессиональные стандарты существуют для разных областей, есть как государственные, так и международные. В качестве международного стандарта можно выделить образовательную инициативу NICE (National Initiative for Cybersecurity Education).

Это системное исследование структуры трудовых ресурсов в области кибербезопасности. Оно проведено на основе деятельности реальных предприятий и определяет, какими знаниями и умениями должен обладать специалист для выполнения должностных обязанностей. Обязанности также четко определены и разграничены в соответствии с должностями, а те, в свою очередь, определены в соответствии с категориями специальностей.

Более того, существуют программы подготовки и сертификации, соответствующие этой инициативе.

Совет консультантов по электронной коммерции EC-Council, вендор курсов по информационной безопасности и этичному хакингу анонсировал в соответствие своих курсов инициативе NICE.

В центре компьютерного обучения «Специалист» в качестве программы подготовки выбраны авторизованные курсы EC-Council. Курсы «Защита от хакерских атак», «Этичный хакинг и тестирование на проникновение», «Руководитель службы информационной безопасности» как программами, так и сертификациями соответствуют международной инициативе NICE.

Это означает, с точки зрения подготовки, что, двигаясь по программе курса, студенты следуют не случайному выбору тем для изучения, а темам, которые реально пригодятся для практической работы в нужной области. А с точки зрения сертификации, такое соответствие означает, что сертифицированный специалист не просто решил какие-то сложные задания, а справился со сценариями, которые могут случиться при решении реальных задач в процессе исполнения должностных обязанностей.

Путь хакера долог и труден. Легко сбиться с пути, увлечься, отвлечься.

Но с помощью инициативы NICE, авторизованных курсов EC-Council и центра «Специалист» мы можем этот путь оценить, спланировать и идти по этому пути с максимальной эффективностью!

Комментарии отсутствуют

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-41
Fax: (499) 277-12-45
E-mail: sa@samag.ru