Dziś zajmiemy się rozważaniami nad certyfikacją w cyberbezpieczeństwie i ogólnie porozmawiamy o tym, co wybrać, jak działać i kiedy czego warto się uczyć. Pierwszy certyfikat w cyberbezpieczeństwie. Mam nadzieję, że po przeczytaniu tego artykułu będziesz w stanie wybrać pierwszy certyfikat dla siebie i pomoże Ci to w wyborze ścieżki, którą będziesz chciał iść.

Wstęp

Na tę chwilę na blogu dążę do tego, byś zdobył wiedzę teoretyczną na poziomie Comptia Sec +. Moim zdaniem jest to wyjściowy certyfikat do każdej roli w bezpieczeństwie.

W Polsce Comptia może nie jest dobrze znana i jeśli chcesz, by certyfikat miał większe znaczenie w kontekście poszukiwania pracy w Polsce, zrób sobie CEH, bo ładniej brzmi i jest bardziej znany. W żaden sposób mu tu nic nie ujmuję, bo to dobry certyfikat, ale to zaraz poruszę. Ale jeśli chodzi Ci o konkretną wiedzę na początek, to i tak wybrałbym Comptia bądź też SSCP.

Pamiętaj, że certyfikat jest pochodną wiedzy, a nie na odwrót

Pamiętaj, że certyfikat jest pochodną wiedzy, a nie na odwrót. Znam wiele osób, które mają certyfikaty, ale wiedzy już nie za bardzo. Nie mnie oceniać, jak zdobyli te certyfikaty. Zapewne już wiesz, jaką mam opinię odnośnie szkoły, ale to wygląda tak samo w wypadku certyfikatu.

Powiedzmy, że mamy osobę, która po godzinach siedzi w domu, praktykuje, rozkminia jeden problem x czasu, aż go rozwiąże – i drugą osobę, która tego nie robi. Oboje skończyli studia, ale jeden dostanie pracę z miejsca, bo jego wiedza przebije się ponad brak doświadczenia, a drugi będzie siedział i teraz się uczył.

Wiem, że żyjemy w Polsce i tu pracę (jak wszędzie zresztą) można dostać przez znajomości czy za piękne oczy. Ale mówię tu ogólnie, nie o wybiórczych przypadkach.

Sam nie byłem orłem na zajęciach. Uczyłem się po szkole, ale jak teraz pomyślę, to za mało czasu na to poświęcałem. Miałbym teraz znacznie większą wiedzę. Ale co zrobić – teraz nadrabiam z nawiązką.

Pierwszy certyfikat w cyberbezpieczeństwie – Comptia + i SSCP

Dlaczego uważam, że na początek powinieneś zdobyć jeden z tych certyfikatów? Ano dlatego, że poruszają one bardzo szeroko pojęte bezpieczeństwo.

Są one przeznaczone dla architektów bezpieczeństwa, inżynierów bezpieczeństwa, specjalistów ds. bezpieczeństwa, techników zapewniających bezpieczeństwo informacji, administratorów bezpieczeństwa, administratorów systemów i administratorów sieci.

Moim zdaniem pentesterom czy bug hunterom też się przydadzą, ale drugiej kolejności. Ale o tym zaraz. Oba te certyfikaty poruszają następujące tematy: kontrola dostępu, administracja, audyt i monitorowanie, ryzyko, kryptografia, komunikacja. Poza tym SSCP porusza tematykę różnego rodzaju zagrożeń związanych z błędami w kodach.

Sam myślałem, by zrobić sobie SSCP, ale gdy zacząłem się przygotowywać i zauważyłem, że powtarzam temat z Comptii, zrezygnowałem.

Nie mówię, że powtarzanie jest złe. Ale w certyfikacji nie chodzi o to, by mieć jak najwięcej, tylko o to, by potwierdzały stan twojej wiedzy. Wiec uznałem, że mam to za sobą i trzeba się uczyć następnych tematów, bo ich w świecie cyber nigdy nie zabraknie.

Pierwszy certyfikat w cyberbezpieczeństwie – dla kogo CEH na początek

CEH przeznaczony jest dla pentesterów i bug hunterow. I tylko gdybym chciał zostać jednym z nich, wziąłbym się za ten certyfikat w pierwszej kolejności. Nie myśl, że mam coś do tego certyfikatu – wręcz przeciwnie, jest to godny polecenia i warty zdania certyfikat.

Myślę, że każdy powinien mieć wiedzę w nim zawartą. Z tym że jeśli zaczynasz jako Info Sec, to na początku ta wiedza nie jest Ci aż tak potrzebna. Masz wiele innych ważniejszych tematów do nadrobienia. Oczywiste jest, że powinieneś wiedzieć, jak np. odpowiednio się bronić przed atakiem, ale dalej jestem zdania, że możesz zrobić ten certyfikat w drugiej kolejności.

Lub też opanować wiedzę w nim zawartą nie podchodząc do egzaminu. Chociaż z drugiej strony, szkoda byłoby nie podejść, jak i tak wiedza już jest. Tak jak powyżej napisałem – można podejść, by po prostu się pochwalić, że ma się taki certyfikat, to też jest sposób 🙂 dla początkującego.

Zanim zacząłem pracę jako bezpiecznik, byłem na 37 rozmowach kwalifikacyjnych. Jak widzisz, nie jest lekko dostać się do naszego zawodu. Śmieszna historia: zostałem zaproszony na rozmowę na stanowisko architekta bezpieczeństwa, podczas gdy byłem świeżakiem z wiedzą w ogóle nieodpowiednią na to stanowisko. No ale w trzy minuty wyjaśniliśmy sobie to nieporozumienie.

Wypiliśmy po kawce i się rozeszliśmy ze śmieszną historią, jak to junior prawie dostał się na architekta. Większość „przyszłych” pracodawców w ogóle nie kojarzyła, czym jest ten certyfikat, który posiadam. Musiałem im tłumaczyć, co obejmuje mój certyfikat itp. Ale jak zapytałem, czy wiedzą, czym jest CEH, to tylko raz spotkałem się z zakłopotaniem. Wiedziały to osoby zarówno techniczne, jak i nietechniczne. Dlatego mówię, że łatwiej z CEH.

Pierwszy certyfikat w cyberbezpieczeństwie – już wybrałem, co dalej

U mnie na blogu aktualnie dążę do tego, by doprowadzić do momentu, w którym to będziesz przygotowany z teorii na zdanie Comptii Sec + (a co za tym idzie, też SSCP). Niestety, albo stety, mnie bardziej kreci defensywa i opieka nad danymi niż ich wydobywanie.

Pewnie będzie moment, w którym to poruszę tematy z ofensywy, ale będzie tego mniej stanowczo mniej. To, co mogę Ci polecić to to, byś ze mną został :), bo będę dalej drążył temat defensywy. Będzie coraz bardziej skomplikowanie, ale na pewno będziesz miał coraz większą wiedzę.

Co do certyfikacji, jeśli już zrobisz Comptię, polecam Ci zainteresowanie się certyfikacją chmurową. Nie jestem za chmurą z racji ryzyk, jakie przynosi.

Ale biznes, by być skalowalny i mniej kosztowny – czy też prostszy w obsłudze – na pewno będzie szedł w tym kierunku. Więc warto się szkolić i rozwijać w tym temacie. Certyfikaty, jakie są dostępne, to cała masa z Azure, GCP, AWS oraz CCSP. CCSP jest ogólnym certyfikatem chmurowym bez konkretnego vendora.

Za to każdy vendorów ma swoją certyfikację skupioną na swoich produktach, ale tak jest chyba zawsze. Moim zdaniem przyszłością jest Azure, ponieważ aktualnie zjada rynek. Azure przejmuje rocznie 4% więcej rynku – przynajmniej tak było przez poprzednie lata.

Przez długi czas królował AWS, ale pomalutku spada z piedestału. Aktualnie najwięcej zarabiają architekci bezpieczeństwa w Google, przynajmniej gdy ostatnio to sprawdzałem, ale takich specjalistów można policzyć na palcach ;). Oczywiście życzę Ci, byś kimś takim został, ale ja mam dużo więcej doświadczenia z Microsoftem, więc raczej będę szedł dalej w Azura.

Jeśli chodzi o certyfikację w moim przypadku, to ja aktualnie będę przygotowywał się do CISA, a później do CISM-a. Więc jak skończymy z podstawami i trochę z ofensywą, to zapewne będę poruszał zagadnienia z tym związane :).

Pierwszy certyfikat w cyberbezpieczeństwie – Podsumowanie

Na dziś to wszystko, chciałem Ci dać prostą odpowiedź, do którego certyfikatu powinieneś podejść moim zdaniem. Poza tym wrócę do tematu, który poruszyłem w ostatnim poście.

Czy byłbyś zainteresowany takim kursem, który by od podstaw przygotowywał Cię do roli bezpiecznika w praktyce? Myślę, by był on podzielony na różne etapy – od przygotowania sobie środowiska testowego przez przygotowanie polityk do testu DRP.

Bo jeśli zaczynasz w korporacji, to łatwo Ci się odnaleźć, ale jeśli chciałbyś pracować w startupie, to jest ciężej, bo zapewne będziesz – jak ja teraz – one man army. Czyli będziesz musiał ogarniać każdy aspekt, zarówno sprawy techniczne, jak i polityki, jak też tak naprawdę wszystko inne :). Co myślisz o takim pomyśle?

Daj znać na priv albo w komentarzu. Sam nie znam szkolenia, które miałoby np. 100 czy 200 godzin, było dobre na start, podzielone na etapy i kompleksowe. I uderzało w aspekty, które trzeba poruszyć. PS jeśli znasz tego typu kurs, z chęcią się z nim zapoznam. A że to byłby naprawdę wielki projekt, wolę zawczasu wiedzieć, czy są chętni ;).

Pozdrawiam – Pusz ????