 |
|
|
|
Особенности сертификаций по этичному хакингу
В современном мире информационных технологий знания о них настолько широки и многообразны, что вопрос последовательности и методик изучения приобретает все большую актуальность. С чего начать изучение? Как изучать? Что именно изучать? В этой статье я расскажу о своем видении процесса изучения информационных технологий Особенности сертификаций по этичному хакингу
В современном мире информационных технологий знания о них настолько широки и многообразны, что вопрос последовательности и методик изучения приобретает все большую актуальность. С чего начать изучение? Как изучать? Что именно изучать? В этой статье я расскажу о своем видении процесса изучения информационных технологий Также затрону и второй вопрос, который идет в паре: как проверить, насколько сотрудники предприятия или кандидаты на должности, связанные с информационными технологиями и информационной безопасностью, подготовлены для выполнения задач? В современном мире квалификация в области безопасности требует немедленного приведения в соответствие с тем, чем занимается специалист, ведь если квалификация недостаточна, риски компрометации систем предприятия серьезно возрастают. Пространство знаний в области ИТ разделено на три большие части, так что сразу можно отнести любой предмет изучения к какому-то определенному классу. Это три основополагающие инфраструктуры:
Начинать изучение следует именно с сетевой, поскольку она является основой для всех остальных. Так же, если проблема безопасности возникает в компонентах сетевой инфраструктуры, страдают и другие. Помимо того, что каждая из инфраструктур проектируется, планируется, внедряется, управляется и обслуживается, подразделение ИТ решает вопросы безопасности, то есть, применения защитных мер, и также их проектирования, управления. И тут вспыхивает фейерверк технологий, от которых зависит не только функциональность информационной системы предприятия, но и ее безопасность. Я вижу два аспекта к обозначенным двум вопросам о том, как изучать и как проверять квалификацию. Первый аспект – объем и последовательность. Нельзя просто так случайно выбирать технологию и ее изучать. Но и нельзя идти строго последовательно, тщательно изучая материал. На это потребуется много времени, которого обычно не хватает. Так какие же ресурсы для изучения выбрать из большого многообразия книг, учебников? К примеру, существует отдельный ресурс Wireshark Training. Книги, курсы online. Там вы найдете ссылки на книги и видео. Существует официальный учебник по Wireshark, по которому читаются курсы, доступные на DVD, рассказывающие о том, как работает известнейший сниффер и что можно делать с его помощью. На официальном портале курсов можно бесплатно скачать ISO образ DVD Laura's Lab Kit, дополняющий курсы по Wireshark, с видео и другими материалами. Но и это еще не все. Оказывается, по Wireshark доступны не только DVD с курсами, а проводятся целые конференции SharkFest. Материалы конференций с 2008 по 2019 гг. доступны в открытом доступе для скачивания на официальном сайте Wireshark. Особенностью является то, что видео и материалы нельзя считать последовательным методическим изучением информационных технологий. Это, скорее, дополнительное углубленное изучение сетевой инфраструктуры и возможностей Wireshark.
Второй аспект – энтузиазм и заинтересованность. Человек не может интенсивно проходить обучение длительное время. Можно «гореть» неделю, две, но если вспомнить студенческие годы, то интенсивность подготовки в период сессии и в течение всего семестра заметно отличатся. К примеру, очень полезно ознакомиться с первоисточниками сетевых протоколов, документами RFC. Основные RFC переведены на русский язык, что позволяет лучше их понимать. Но особенностью является то, что читать RFC без практики скучно и неэффективно, потому что теория обязательно должна разбавляться практическими примерами того, как описанный в RFC протокол работает на деле. В вопросах безопасности проблема вовлеченности в процесс повышения квалификации решается достаточно элегантно. К примеру, существует практическая лаборатория HackTheBox, где предлагается получить доступ к различным машинам, выполнить задания. Особенность в том, что, с одной стороны, решения публиковать запрещено, и они действительно не публикуются, так что нельзя просто получить готовое решение, как в случае со многими другими практическими лабораториями. С другой стороны, есть форум, где можно получить подсказки, если остановился в исследованиях, так что есть направление для продолжения работы. Процесс решения интересен и может затягивать, как компьютерная игра. Но даже в этом случае направление исследований зависит от того, что задумал создатель машины. Решая квест, неизвестно, что придется изучать при прохождении: особенность протокола маршрутизации или систему управления контентом веб-сервера. И, с точки зрения оценки квалификации, вряд ли станет общепринятым стандартом профиль на сайте с указанием количества решенных заданий. Поскольку задания, как бы интересны для решения они ни были, не обязательно тесно перекликаются. Как же при таких аспектах решить задачу правильной подготовки и оценки квалификации в области информационной безопасности? Ответ: в профессиональных стандартах. Профессиональные стандарты существуют для разных областей, есть как государственные, так и международные. В качестве международного стандарта можно выделить образовательную инициативу NICE (National Initiative for Cybersecurity Education). Это системное исследование структуры трудовых ресурсов в области кибербезопасности. Оно проведено на основе деятельности реальных предприятий и определяет, какими знаниями и умениями должен обладать специалист для выполнения должностных обязанностей. Обязанности также четко определены и разграничены в соответствии с должностями, а те, в свою очередь, определены в соответствии с категориями специальностей. Более того, существуют программы подготовки и сертификации, соответствующие этой инициативе. Совет консультантов по электронной коммерции EC-Council, вендор курсов по информационной безопасности и этичному хакингу анонсировал в соответствие своих курсов инициативе NICE. В центре компьютерного обучения «Специалист» в качестве программы подготовки выбраны авторизованные курсы EC-Council. Курсы «Защита от хакерских атак», «Этичный хакинг и тестирование на проникновение», «Руководитель службы информационной безопасности» как программами, так и сертификациями соответствуют международной инициативе NICE. Это означает, с точки зрения подготовки, что, двигаясь по программе курса, студенты следуют не случайному выбору тем для изучения, а темам, которые реально пригодятся для практической работы в нужной области. А с точки зрения сертификации, такое соответствие означает, что сертифицированный специалист не просто решил какие-то сложные задания, а справился со сценариями, которые могут случиться при решении реальных задач в процессе исполнения должностных обязанностей. Путь хакера долог и труден. Легко сбиться с пути, увлечься, отвлечься. Но с помощью инициативы NICE, авторизованных курсов EC-Council и центра «Специалист» мы можем этот путь оценить, спланировать и идти по этому пути с максимальной эффективностью! |
Комментарии отсутствуют
|
