В современном мире информационных технологий знания о них настолько широки и многообразны, что вопрос последовательности и методик изучения приобретает все большую актуальность. С чего начать изучение? Как изучать? Что именно изучать? В этой статье я расскажу о своем видении процесса изучения информационных технологий

Особенности сертификаций по этичному хакингу

Сергей Клевогин, ведущий преподаватель Центра компьютерного обучения «Специалист» при МГТУ им. Н.Э. Баумана по направлению «Безопасность компьютерных сетей». Состоит в «Круге совершенства» инструкторов по этичному хакингу, имеет статус Licensed Penetration Tester (Master). Обладатель 38 престижнейших международных сертификаций, в том числе 10 сертификаций по информационной безопасности и этичному хакингу. Сертифицированный инженер в области безопасности Microsoft и профессионал в области безопасности SCP.

В современном мире информационных технологий знания о них настолько широки и многообразны, что вопрос последовательности и методик изучения приобретает все большую актуальность. С чего начать изучение? Как изучать? Что именно изучать? В этой статье я расскажу о своем видении процесса изучения информационных технологий

Также затрону и второй вопрос, который идет в паре: как проверить, насколько сотрудники предприятия или кандидаты на должности, связанные с информационными технологиями и информационной безопасностью, подготовлены для выполнения задач?

В современном мире квалификация в области безопасности требует немедленного приведения в соответствие с тем, чем занимается специалист, ведь если квалификация недостаточна, риски компрометации систем предприятия серьезно возрастают.

Пространство знаний в области ИТ разделено на три большие части, так что сразу можно отнести любой предмет изучения к какому-то определенному классу.

Это три основополагающие инфраструктуры:

• сетевая инфраструктура;
• инфраструктура идентификации и доступа;
• инфраструктура приложений.

Начинать изучение следует именно с сетевой, поскольку она является основой для всех остальных. Так же, если проблема безопасности возникает в компонентах сетевой инфраструктуры, страдают и другие.

Помимо того, что каждая из инфраструктур проектируется, планируется, внедряется, управляется и обслуживается, подразделение ИТ решает вопросы безопасности, то есть, применения защитных мер, и также их проектирования, управления.

И тут вспыхивает фейерверк технологий, от которых зависит не только функциональность информационной системы предприятия, но и ее безопасность.

Я вижу два аспекта к обозначенным двум вопросам о том, как изучать и как проверять квалификацию.

Первый аспект – объем и последовательность. Нельзя просто так случайно выбирать технологию и ее изучать. Но и нельзя идти строго последовательно, тщательно изучая материал. На это потребуется много времени, которого обычно не хватает. Так какие же ресурсы для изучения выбрать из большого многообразия книг, учебников?

К примеру, существует отдельный ресурс Wireshark Training. Книги, курсы online. Там вы найдете ссылки на книги и видео.

Существует официальный учебник по Wireshark, по которому читаются курсы, доступные на DVD, рассказывающие о том, как работает известнейший сниффер и что можно делать с его помощью.

На официальном портале курсов можно бесплатно скачать ISO образ DVD Laura's Lab Kit, дополняющий курсы по Wireshark, с видео и другими материалами.

Но и это еще не все. Оказывается, по Wireshark доступны не только DVD с курсами, а проводятся целые конференции SharkFest. Материалы конференций с 2008 по 2019 гг. доступны в открытом доступе для скачивания на официальном сайте Wireshark.

Особенностью является то, что видео и материалы нельзя считать последовательным методическим изучением информационных технологий. Это, скорее, дополнительное углубленное изучение сетевой инфраструктуры и возможностей Wireshark.

Второй аспект – энтузиазм и заинтересованность. Человек не может интенсивно проходить обучение длительное время. Можно «гореть» неделю, две, но если вспомнить студенческие годы, то интенсивность подготовки в период сессии и в течение всего семестра заметно отличатся.

К примеру, очень полезно ознакомиться с первоисточниками сетевых протоколов, документами RFC. Основные RFC переведены на русский язык, что позволяет лучше их понимать. Но особенностью является то, что читать RFC без практики скучно и неэффективно, потому что теория обязательно должна разбавляться практическими примерами того, как описанный в RFC протокол работает на деле.

В вопросах безопасности проблема вовлеченности в процесс повышения квалификации решается достаточно элегантно. К примеру, существует практическая лаборатория HackTheBox, где предлагается получить доступ к различным машинам, выполнить задания. Особенность в том, что, с одной стороны, решения публиковать запрещено, и они действительно не публикуются, так что нельзя просто получить готовое решение, как в случае со многими другими практическими лабораториями.

С другой стороны, есть форум, где можно получить подсказки, если остановился в исследованиях, так что есть направление для продолжения работы.

Процесс решения интересен и может затягивать, как компьютерная игра.

Но даже в этом случае направление исследований зависит от того, что задумал создатель машины. Решая квест, неизвестно, что придется изучать при прохождении: особенность протокола маршрутизации или систему управления контентом веб-сервера.

И, с точки зрения оценки квалификации, вряд ли станет общепринятым стандартом профиль на сайте с указанием количества решенных заданий. Поскольку задания, как бы интересны для решения они ни были, не обязательно тесно перекликаются.

Как же при таких аспектах решить задачу правильной подготовки и оценки квалификации в области информационной безопасности?

Ответ: в профессиональных стандартах.

Профессиональные стандарты существуют для разных областей, есть как государственные, так и международные. В качестве международного стандарта можно выделить образовательную инициативу NICE (National Initiative for Cybersecurity Education).

Это системное исследование структуры трудовых ресурсов в области кибербезопасности. Оно проведено на основе деятельности реальных предприятий и определяет, какими знаниями и умениями должен обладать специалист для выполнения должностных обязанностей. Обязанности также четко определены и разграничены в соответствии с должностями, а те, в свою очередь, определены в соответствии с категориями специальностей.

Более того, существуют программы подготовки и сертификации, соответствующие этой инициативе.

Совет консультантов по электронной коммерции EC-Council, вендор курсов по информационной безопасности и этичному хакингу анонсировал в соответствие своих курсов инициативе NICE.

В центре компьютерного обучения «Специалист» в качестве программы подготовки выбраны авторизованные курсы EC-Council. Курсы «Защита от хакерских атак», «Этичный хакинг и тестирование на проникновение», «Руководитель службы информационной безопасности» как программами, так и сертификациями соответствуют международной инициативе NICE.

Это означает, с точки зрения подготовки, что, двигаясь по программе курса, студенты следуют не случайному выбору тем для изучения, а темам, которые реально пригодятся для практической работы в нужной области. А с точки зрения сертификации, такое соответствие означает, что сертифицированный специалист не просто решил какие-то сложные задания, а справился со сценариями, которые могут случиться при решении реальных задач в процессе исполнения должностных обязанностей.

Путь хакера долог и труден. Легко сбиться с пути, увлечься, отвлечься.

Но с помощью инициативы NICE, авторизованных курсов EC-Council и центра «Специалист» мы можем этот путь оценить, спланировать и идти по этому пути с максимальной эффективностью!