Диалоги о сертификатах – Misc

Диалоги о сертификатах - Misc Сертификаты
На чтение 22 мин. Просмотров 3 Опубликовано
Содержание
  1. Что за сертификаты?
  2. Что нужно знать и понимать?
  3. Что такое oswe
  4. Шаг 2. что с английским?
  5. Что такое awae
  6. «бумажная» безопасность
  7. Cissp
  8. Course overview & syllabus
  9. Базы вопросов
  10. Вопросы для оценки необходимости стать сертифицированным специалистом
  11. Глоссарий терминов
  12. Диалоги о сертификатах – misc
  13. Дополнительные материалы
  14. Еще немного об этике
  15. Как подготовиться?
  16. Как проходит сам экзамен
  17. Какие могут быть сложности?
  18. Книги
  19. Курсы подготовки
  20. Мышление ит-аудитора
  21. Обращайте внимание на first, last, except, not
  22. Отбросить бредовый вариант сразу и не тормозить
  23. Пара лайфхаков
  24. Планирование непрерывности бизнеса и восстановления после сбоев (bcp/drp)
  25. Посыл
  26. Предложение/спрос
  27. При пожаре выносить первым!
  28. Сложности
  29. Списывание
  30. Шаг 1. где я?
  31. Шаг 4. подготовка в последнюю неделю перед экзаменом

Что за сертификаты?

Сначала расшифруем аббревиатуры и переведем, но не дословно, а по смыслу.

CISSP (Certified Information Security Systems Professional) – сертифицированный специалист по информационной безопасности.

CISA (Certified Information Systems Auditor) – сертифицированный ИТ-аудитор.

CISM (Certified Information Security Manager) – сертифицированный менеджер по информационной безопасности.

Именно такой состав выбранных для рассмотрения сертификаций объясняется их близостью по темам (доменам), ну и, конечно, наличию у автора статьи опыта проведения подготовки специалистов к данным экзаменам.

Сведем информацию об экзаменах в следующую таблицу:

Что нужно знать и понимать?

Очень не хочется занудно раскрывать объем знаний, который стоит за каждым из доменов (и очень хорошо описан в руководствах по экзаменам), поэтому кратко рассмотрим портрет идеального обладателя каждого из трех сертификатов.

Что такое oswe


OSWE (Offensive Security Web Expert):

  • Сертификация разработана небезызвестной компанией Offensive Security (именно ей принадлежит разработка и поддержка Kali Linux).
  • OSWE идет вместе с курсом AWAE, отдельно OSWE не закажешь, да и смысл без практик идти на сертификацию.
  • AWAE — это определенно не курс для начинающих, ибо будет сложно.
  • На кого рассчитана сертификация и курс:
    — на ребят с опытом в тестировании на проникновение,
    — на технарей и разработчиков, умеющих читать и дебажить код.
  • Сертификация недешевая — минимальный пакет 1400 USD.
  • Раньше этот курс можно было пройти только в оффлайн режиме в рамках конференции Black Hat, но теперь они завернули это в онлайн продукт.
  • Все построено по принципу: специалисту предоставляется исходный код веб-системы для анализа, и через найденные дыры в коде нужно захватить контроль над лайв системой.
  • Сертификат, кстати, выдается бессрочный и на всю жизнь, как говорят разработчики сертификации — если вы смогли пройти эту сертификацию, вы уже специалист в этой области даже через 10 лет.

Шаг 2. что с английским?

Оцените, хватает ли ваших знаний английского для понимания вопросов и предлагаемых ответов, если нет, включите в свой план подготовки английский язык.

Что такое awae

Курс AWAE (Advanced Web Attacks And Exploitation)

«бумажная» безопасность

Многие технические специалисты увлекаются технологиями, а вот бизнес-процессы им совершенно не интересны, соответственно корпоративные политики, процедуры, стандарты воспринимаются как ненужные бумажки. С позиций менеджмента подобные документы являются очень важными, так как формируют требования информационной безопасности, которые в свою очередь реализуются с помощью технологий и грамотных действий сотрудников. Соискателю CISSP, СISA, CISM нужно научиться мыслить как управленцу и полюбить процессный подход к менеджменту всей душой.

Cissp

Истинный обладатель CISSP должен очень хорошо ориентироваться во всех современных течениях информационной безопасности и в первую очередь в области менеджмента ИБ. Соискатель должен уметь мыслить в категориях «уязвимость», «риск», «контрмера». Опыт администрирования средств защиты информации или взлома компьютерных сетей (этичного, конечно) будет бесспорно полезен, но на экзамене никто не будет требовать вспомнить какую-то определенную настройку или команду какой-либо системы, так как сертификация не зависит от какого-либо вендора.

На мой взгляд, объем знаний CISSP соответствует объему знаний молодого специалиста, окончившего с хорошими отметками профильную кафедру и имеющему пару лет реального опыта в информационной безопасности в серьезной организации.

Course overview & syllabus

WEB-300 focuses on white box web app pentest methods. The bulk of your time will be spent analyzing source code, decompiling Java, debugging DLLs, manipulating requests, and more, using tools like Burp Suite, dnSpy, JD-GUI, Visual Studio, and the trusty text editor.

Базы вопросов

Можно легко найти и приобрести базы вопросов для подготовки к экзаменам, как официальные от ISC2 и ISACA, так и от сторонних вендоров. Базы вопросов могут быть как в виде программ для тестирования, так в виде учебников. Очень полезный материал, позволяющий постоянно оценивать свою готовность к экзамену.

Вопросы для оценки необходимости стать сертифицированным специалистом

Давайте сведем в один список вопросы, ответы на которые позволят специалистам в области ИБ решить насколько им необходима сертификация.

У меня получился такой «аудиторский» чеклист:

  1. Обладаете высшим техническим образованием в ИТ-сфере и средний балл не ниже 4?
  2. На работе занимаетесь проектами по большинству тем экзамена?
  3. Без словаря читаете английские статьи на профессиональные темы?
  4. Есть желание двигаться по карьерной лестнице вверх?
  5. Будет время готовиться вечерами и сможете взять несколько дней отгула перед экзаменом?
  6. Хоть немного ощущаете себя настоящим менеджером?
  7. Готовы к тому, чтобы жить и работать в столице?


Если на большинство вопросов у вас положительный ответ, то определенно стоит ввязаться в это дело, подготовиться, сдать экзамен(ы), а затем постоянно поддерживать свои знания на достойном уровне.

Глоссарий терминов

Даже если на Шаге 2 вы оценили, что ваш уровень владения английским языком подходит для сдачи экзамена, не поленитесь и пролистайте

. Обратите внимание, что в вопросах экзаменов зачастую фигурируют слова, перевод которых на русский язык не всегда однозначен (например, control — контрмера, мера минимизации риска, СЗИ, контроль).

Диалоги о сертификатах – misc

Диалоги о сертификатах - Misc

Ведь если в башне поИБень.
То что ИБень, что не ИБень.
(c)

Рано или поздно в жизни каждого специалиста по информационной безопасности наступает момент, когда он задумывается о получении того или иного профильного сертификата. Причины бывают разные: узнать что-то новое, закрепить знания, требования работодателя и т.п. В этой статье я хочу рассказать, какие бывают сертификаты, для чего они могут пригодиться, и поделиться собственным опытом сдачи некоторых из них.

Начнем с обзора того, что вообще существует в мире. Если не рассматривать псевдосертификаты от Coursera, PentestIT и прочих HackerU (не поймите меня неправильно, чему-то вы научитесь, что-то узнаете, но больше вы их никак не примените скорее всего), то общемировую ситуацию можно наглядно представить следующей инфографикой:

Диалоги о сертификатах - Misc

Или подробнее и удобнее в HTML-варианте: https://pauljerimy.com/security-certification-roadmap/. В этом варианте вы также можете быстро посмотреть стоимость той или иной сертификации.

Как мы видим, все можно разделить на следующие направления (опираюсь на HTML-версию, она полнее, хотя старая версия в виде картинки проще для восприятия):

  1. Реализация (Implementation): работа с оборудованием и продуктами конкретных вендоров, а также общие концепции в этом направлении.
  2. Архитектура (Architecture): ITIL, Scrum, Agile (не спрашивайте, не знаю, зачем это здесь), построение безопасных систем.
  3. Управление (Management): менеджмент, оценка рисков, построение процессов и т.п.
  4. Анализ (Analysis): тут смешан аудит (в частности, всеми любимый ISO 27001), персональные данные, безопасность кода, концепции в области инструментальной защиты.
  5. Оо- моя оборона Защита (Defensive Operations): форензика, расследование инцидентов, прочий мониторинг и аппсек…
  6. Нападение (Offensive Operations): тестирование на проникновение, разработка эксплоитов и т.п.
Про сертификаты:  Аккумуляторные триммеры - купить по цене от 2 690 рублей, подбор по отзывам и характеристикам – интернет-магазин ВсеИнструменты.ру

Мне ближе последнее направление (Offensive Operations), поэтому рассказ будет в основном про него.

Начнем со списка основных компаний, которые выдают сертификаты в этой области:

Первые 6 являются общеизвестными. Последние 6 – если честно, я даже не знал о них (за исключением PentestIT).
У перечисленных компаний отличается спектр направлений (ведь Offensive Operations тоже можно разделить на специализированные направления), формат сертификаций (кто-то делает упор на тесты, кто-то на практику), а также средняя стоимость. Полезная сводная таблица существует в англоязычной Wikipedia: https://en.wikipedia.org/wiki/List_of_computer_security_certifications. Исходя из нее, можно сделать следующие полезные выводы:

  1. Дороже всего обойдутся сертификаты от GIAC, дешевле всего от CompTIA.
  2. Если не хочется заморачиваться с продлением в виде повторной сдачи экзамена (как у CREST) или набора баллов (например, программа ECE у EC-Council) и оплатой ежегодных взносов – выбирайте Offensive Security.
  3. Если хочется максимум практики и поменьше теории – тоже Offensive Security.

На данном этапе, я думаю, у вас уже сформировалось общее представление о направлениях, компаниях, доступных сертификатах и их стоимости. Перейдем к вопросу, где они могут пригодиться. Как я упоминал в начале статьи, причины получения сертификатов обычно следующие:

  • Узнать что-то новое или закрепить знания
  • Требования или возможность со стороны работодателя
  • Поиск работы в области ИБ
  • Участие в тендерах и прочих конкурсах на оказание услуг (умышленно выделяю в отдельный пункт, вдруг у вас частная практика)

Пойдем по пунктам. Если хотите узнать что-то новое, то рассматривайте исключительно практические сертификаты. Многие сертификаты можно сдать не проходя обучение (например, за него необходимо дополнительно платить, а весь экзамен состоит из теории), а к некоторым приобретать курс обучения обязательно, и экзамен практический. Получить навыки можно в обоих случаях, поэтому под практическими я подразумеваю только те сертификации, где экзамен либо полностью состоит из практики, либо содержит как вопросы, так и практические задания. К этой категории можно отнести все сертификаты от Offensive Security, некоторые сертификаты EC-Council (например, ECSA Practical, LPT Master), сертификаты eLearnSecurity и т.д. Обязательно изучайте, что из себя представляет экзамен, обычно это более-менее подробно расписано на сайте компании. По этому пункту я бы рекомендовал начать с сертификатов от Offensive Security.

Если говорить о случаях, когда работодатель просит получить какой-то сертификат (обычно это связано с последней причиной в вышеуказанном списке), то тут у вас обычно нет выбора. Если же работодатель предоставляет некий годовой бюджет на повышение квалификации, то тут уже зависит от целей. Хотите больше практики – смотрите предыдущий пункт, хотите сменить направление, например, углубиться в документы и процессы или стать CISO – обратите внимание на управленческие сертификаты из таблицы вначале.

С поиском работы ситуация интереснее. Естественно, наличие сертификата не гарантирует, что вас куда-то возьмут, но определенная польза от сертификатов будет. Во-первых, меньше скепсиса в отношении вас, как кандидата (при условии, что у вас есть что-то кроме CEH :D). Во-вторых, некоторые компании могут находиться в стадии формирования отдела информационной безопасности и сертификаты – единственный (хоть и плохой) способ как-то оценить кандидатов. В-третьих, некоторые позиции могут требовать наличия определенных сертификатов (например, Министерство обороны США, директива 8570). В-четвертых, компания может быть заинтересована в ваших сертификатах для участия в тендерах, государственных закупках и подобных активностях. Набор того, что можно увидеть в описаниях вакансий, отличается в зависимости от стран. В России и СНГ скорее всего увидите стандартные: CEH, OSCP, CISSP. В других странах – приготовьтесь к сертификатам GIAC (часто встречаю GPEN, GMOB) и CREST (соответственно CRT, CCT Web App).

И раз уже мы коснулись тендеров, то сразу их и разберем. Если говорить про Россию и СНГ, то нередко на специализированных площадках (например, https://www.b2b-center.ru/) и сайтах отдельных компаний (например, https://www.gazprom.ru/tenders/) публикуются тендеры по оказанию услуг в области информационной безопасности, где явным образом указывают перечень необходимых сертификатов для участия. Где-то требования являются отсекающими, где-то дают преимущество при рассмотрении заявки. Что можно встретить в них встретить? В целом что угодно, так как бывают ситуации, когда тендер делается под конкретного исполнителя и в нем указывается какой-то редкий сертификат или специфический набор сертификатов. По моему опыту чаще всего в требованиях встречаются следующие сертификаты: CISA, CISSP, CISM, CEH, OSCP, OSCE. Первые 3 из списка в целом не относятся к технической практике, они больше про процессы и управление. Реже можно встретить требования по сертификатам, связанные с конкретными направлениями, например, мобильными приложениями. Если сделать акцент на СНГ, то там нередко можно встретить требование наличия сертификатов от CREST, которые связаны, в том числе, с требованиями государственных структур в некоторых странах (видимо, взяли ориентир на Великобританию), но тут есть нюанс, у CREST также существует аккредитация организаций, которая обычно требуется вместе с сертификатами у отдельных сотрудников, а стоит она не дешево, если я правильно помню – порядка €10.000 в год. То есть если вы захотите участвовать в типичном проекте, где требуют CREST, в качестве подрядчика от лица своей маленькой, но гордой организации, то вам потребуются не только сотрудники с сертификатами, но и аккредитация.

И, наконец, поделюсь собственным опытом сдачи некоторых сертификатов, в частности: CEH, ECSA, CPSA, OSCP, OSWE. Писать длинный рассказ не буду, их и так завались в сети, особенно на английском. Постараюсь максимально кратко и по делу.

CEH – выдается на 3 года, продлевается баллами ECE и ежегодной оплатой в $80.

Исключительно теория, выбор из нескольких вариантов. В процессе сдачи за вами наблюдает через веб-камеру специальный человек, также ему виден ваш рабочий стол. Данный формат является стандартной практикой у всех, кто позволяет сдавать из дома. Оптимальный вариант подготовки для того, кто что-то понимает в области – найти примеры вопросов в Интернете и их прокликивать. При знании концепций ИБ и некоторым опыте сдается через 1-2 недели такой подготовки в среднем по часу в день. Чтобы подтянуть общие знания для сдачи можно опираться, например, на https://github.com/scottymcraig/CEHv10StudyGuide или любую другую подборку.

ECSA – аналогично CEH, ежегодная оплата в $80 за членство, а не за каждый сертификат от EC-Council.

Сдали CEH? Не спешите все забывать, в ECSA (обратите внимание, есть Practical версия, речь не о ней) на 80-90% аналогичные вопросы. Формат сдачи идентичен. В сети можно найти примеры вопросов, гайдов и комментариев, что экзамены в целом идентичны.

Про сертификаты:  «Домашние методы оценки подлинности меда и 7 эффективных способов проверить его чистоту в домашних условиях»

CPSA – выдается на 3 года, ежегодных платежей нет, каждые 3 года необходимо пересдавать.

Опять теория, но в этот раз от CREST. Фактически я его не сдавал, а получил по программе эквивалентности. Кстати, это тоже стоит денег. Аналогичным образом можно получить еще один сертификат от CREST – CRT (понадобится действующий CPSA на руках и OSCP, либо ECSA Practical). Однако, обратите внимание, получить по данной программе можно только либо CPSA, либо CRT. Поэтому если вам нужны сертификаты от CREST, то лучше сдать сначала CPSA в центре Pearson VUE, сдать OSCP (или ECSA Practical), а потом получить по программе эквивалентности CRT. Почему так? Да потому что CPSA – единственный сертификат, который можно получить удаленно, а для сдачи CRT вам иначе придется ехать в Великобританию. Кстати, подводный камень: у CREST для продления сертификатов необходимо повторно сдавать экзамен, естественно за деньги. А в случае программы эквивалентности либо ехать в Великобританию и сдавать там оригинальный экзамен, либо повторно получать тот сертификат, который вы использовали в программе (OSCP или ECSA Practical).

OSCP – выдается бессрочно, никаких дополнительных платежей и условий.

Первый практический сертификат в наборе. Включает в себя материалы для подготовки и лабораторные. Сдавал только после того, как решил порядка 80% из лабораторных. Вспомогательных материалов для подготовки в сети полно, например, https://github.com/0x4D31/awesome-oscp, https://github.com/six2dez/OSCP-Human-Guide, https://github.com/rkhal101/Hack-the-Box-OSCP-Preparation. Экзамен на 24 часа, необходимо по результатам написать отчет, обязательно прочитать вводную к экзамену (иначе есть шанс не сдать на пустом месте), на экзамене необходимо проэксплуатировать уязвимости на нескольких хостах, получить доступ, поднять привилегии. Описания состава экзамена также можно найти в сети. Если есть опыт в программировании, поиске уязвимостей и не пугает капелька ассемблера, то скорее всего сдадите, но лабораторные все же стоит порешать.

OSWE – выдается бессрочно, никаких дополнительных платежей и условий.

Еще один практический сертификат от Offensive Security. Суть в анализе кода нескольких веб-приложений на языках: C#, Java, NodeJS. Материалы, как обычно, легко ищутся, например, https://z-r0crypt.github.io/blog/2020/01/22/oswe/awae-preparation/. Экзамен рассчитан на 48 часов, но сдать можно существенно быстрее. К нему готовился меньше всего, так как приходилось сталкиваться с C# и Java с точки зрения декомпиляции, отладки, в общем инструментарий для меня привычный. Но лабораторные все равно делал, на всякий случай.

Напоследок упомяну оптимальный, на мой взгляд, набор сертификатов, который довольно универсален, минимален и достаточен для России и СНГ. Это: CEH, CPSA, OSCP, CRT. Поясню свою точку зрения. CEH и OSCP – самые узнаваемые, OSCP позволяет получить CRT; CPSA и CRT – полезны для тендеров в СНГ. Общая сумма на получение:

  1. CEH – $1,199
  2. OSCP – $1,199 (60 дней лабораторных)
  3. CPSA – £275 VAT ~ $400
  4. CRT – $150 (по программе эквивалентности)

Итого: $2948. Считаете, что вам не нужны сертификаты CREST? $2398.
Диалоги о сертификатах - Misc

Волнующий многих вопрос: что будет, если не сдашь? В принципе, ничего страшного, но конкретные условия зависят от компании, чей сертификат вы сдаете. Обычно повторная сдача возможна через некоторое время (в среднем от недели до нескольких месяцев), и приходится еще раз заплатить, но обычно не полную сумму (полная сумма может встретиться у каких-то относительно недорогих сертификатов, скажем, до $500), а что-то в диапазоне от $100 до $400 (но не у GIAC, у них $799). Однако, лучше все-таки не проваливать сдачу 3 раза подряд, возможны “санкции”.

Занимательный факт напоследок. В социальной сети LinkedIn довольно часто можно встретить предложения о тренингах и всяческой помощи в получении любых сертификатов (не только в сфере информационной безопасности). Большинство предложений сводится к тому, чтобы сдать любой необходимый экзамен за вас за 2-4 стоимости сертификата. Не знаю, развод это или нет, и если нет, то как им удается не попадаться, но неоднократно читал, что подобные активности существуют и фактически приводят к тому, что популярные сертификации обесцениваются.

Вот, пожалуй, и все. Подробнее про сертификаты других направлений расскажу как-нибудь в другой раз, например, когда их получу (если получу).

Дополнительные материалы

По тем областям знаний, где вы себя чувствуете неуверенно, лучше читать дополнительные материалы, которые, как правило можно найти на профильных сайтах (

Еще немного об этике


И у ISC2, и у ISACA есть кодекс профессиональной этики – его лучше прочитать и запомнить, так как вопросы по этике обязательно будут и хорошее ее знание принесет несколько дополнительных баллов.

Как подготовиться?

Исходя из собственного опыта подготовки к экзаменам и проведения

предлагаю следующий алгоритм.

Как проходит сам экзамен

  • Экзамен идет онлайн 48 часов; сколько тебе поспать, поесть — сам решай.
  • Экзамен сдаешь удаленно за своей машиной, но контроль за тобой ведется полный:
  • Если в AWAE курсе все уязвимости из зарегистрированных в CVE, то на экзамене это будут системы, где специально сделали кастомные уязвимости — можете даже не гуглить и не тратить время.
  • Выделяется отдельный VPN в защищенную сеть, где уже развернуты сами цели.
  • Цели — это две веб-системы, в которых нужно обойти систему аутентификации и получить shell доступ на серверах:
  • Для доказательства, что атака во время сертификации прошла успешно, нужно на сервере найти нужный файл (он вне директории веб-приложения) и предоставить содержимое этого файла.
  • До экзамена я думал, что в задании расскажут как приблизительно действовать, в результате получаешь IP целевого сервера и среду, где можно проанализировать код системы и подебажить. Среды имеют абсолютно свои уникальные переменные среды.
  • Перекачать себе весь код не получится, только удаленный анализ.
  • Есть жесткие ограничения на использование только определенных инструментов, поэтому сканы на уязвимости, брутфорсеры сразу отпадают.

Какие могут быть сложности?

Обсудим некоторые подводные камни, о которых нужно помнить при подготовке к экзаменам.

Книги

Без пары хороших книг подготовка будет просто невозможной. Лучше всего полистать все, какие сможете получить, и подобрать подходящие именно вам, исходя из стиля изложения и актуальности материала (лучше смотреть книги, изданные за последние 2-3 года).

, и это очередной вклад в развитие информационной безопасности в России от группы компаний «Эшелон».

Кстати, в Сети можно найти неформальный перевод на русский язык устаревшей версии учебника для подготовки к CISSP

– пробежаться по вопросам тоже не помешает (на самом старте изучения). Начать готовиться лучше, используя литературу именно на русском языке (для погружения в предметную область), а заканчивать – массированным штудированием примерных вопросов исключительно на английском языке (см. базы вопросов ниже).

Курсы подготовки


Стоит ли идти на специализированные курсы? Стоит, если хотите сразу за пару дней погрузиться в тематику экзамена и увидеть всю картину в целом. Нужно понимать, что никакой курс не заменит самостоятельное чтение книг и решение пробных тестов.

Про сертификаты:  В промышленной безопасности мелочей не бывает

Длительность этой фазы подготовки, если ни одного подобного экзамена ранее не сдавали, 3-4 месяца (в среднем по часу в день), если опыт успешной сдачи есть и уровень знаний высок, то срок может быть сокращен и до недели (разумеется, в режиме полного погружения).

Мышление ит-аудитора

Для успешной сдачи экзамена CISA нужно хорошо представлять, как мыслит ИТ-аудитор. ИТ-аудиторы проверяют, как выполняются требования внутренних и внешних документов и мыслят совершенно иначе, нежели ИТ-специалисты, нацеленные на то, «чтобы все работало, а остальное – не важно».

Поясню на следующем примере. В ООО «Ромашка» доступ к системам предоставляется на основе заявок по электронной почте и выполняется определенная цепочка согласований. Для администратора отработанная заявка – ненужный мусор, который можно удалить в новогоднюю ночь, автоматически очищая архивы, а для ИТ-аудитора, эта заявка представляет собой важное свидетельство, подтверждающее выполнение процедуры, которую нужно хранить, как золото.

Для освоения методик, применяемых реальными ИТ-аудиторами, очень полезно стать членом ISACA (кстати, отделение ISACA есть в Москве ) и тем самым получить доступ к базе полезных методологических документов. Как уже видели в таблице, членство в ISACA дает существенные скидки как на сами экзамены, так и на продление.

Обращайте внимание на first, last, except, not

Необходимо внимательно читать вопросы и обращать внимания на слова, влияющие на выбор ответа напрямую: одно дело выбрать из списка контрмеру, которую надо внедрить в первую очередь, и другое дело – в последнюю.

Отбросить бредовый вариант сразу и не тормозить

Самый распространенный формат вопросов на всех рассматриваемых экзаменах так любимый западным миром MCQ (multiple choice question) – вопрос с несколькими вариантами ответов (как правило, 4). Прежде чем взяться за тренировку с вопросами экзаменов, попробуйте решить обратную задачу – придумать такой MCQ на тему, в которой вы разбираетесь, как никто другой.

Вы увидите, что придумать более-менее близкие варианты к единственному правильному не так уж и просто, и вы обязательно включите один вариант, который будет по сути совершенно бредовый. А это значит, что при ответе на вопросы нужно сразу же исключать явно неправильный и искать лучший из оставшихся трех, и в большинстве случаев он виден сразу.

Пара лайфхаков

В этом разделе хочется привести несколько идей, которые могут облегчить подготовку и сдачу экзаменов.

Планирование непрерывности бизнеса и восстановления после сбоев (bcp/drp)

Во всех рассматриваемых экзаменах попадаются вопросы на тему BCP/DRP. В настоящее время подобные проекты реализуются только в довольно крупных организациях, соответственно лишь небольшой процент специалистов сталкивается с данными вопросами на практике. Для проработки этих тем лучше всего дополнительно изучить публикации двух профильных сообществ специалистов:

Посыл

Удачи.

Денис Колошко, Penetration Tester, CISSP, OSWE

Предложение/спрос


Давайте посмотрим, сколько всего специалистов, обладающих данными сертификатами, кем и где они работают – заглянем в социальные сети и на страницы ассоциаций. В прошлой статье, посвященной интернет-разведке мы уже

и использовали для этого специальный инструментарий, в этот раз ограничимся простым просмотром результатов поиска.

В сети Linkedin, к которой сейчас довольно ограниченный доступ, можно найти 539 аккаунтов российских пользователей с сертификатами CISA, 330 — c CISSP и 129 — c CISM.

Пролистывая профили пользователей, указавших данные сертификаты, можно увидеть, что их обладатели, как правило, занимают руководящие должности в крупных компаниях, многие задействованы в консалтинговой сфере (BIG4, ИТ-интеграторы и т.п.)

По официальной статистике ассоциаций ISC2 и ISACA сейчас в России всего 200 обладателей сертификатов CISSP, 203 CISA и 60 CISM (данная статистика по CISA и CISM включает только сертифицированных специалистов, являющихся также членами ассоциации ISACA).

Чтобы понять, а есть ли спрос на подобных специалистов, посмотрим наличие вакансий для людей, обладающих такими сертификатами и уровень зарплат, который им готовы предложить работодатели. Сведем результаты выдачи с сайта HH по нашим ключевым словам (названия сертификатов) в следующую таблицу:

Очевидно, что в основном такие специалисты востребованы в крупных городах и в особенности в столицах. Уровень зарплат достойный, но, конечно, же зарплату платят не за наличие сертификата, а за работу.

Анализируя эти данные нужно также помнить, что руководящие должности в крупных организациях часто замещаются без публикации вакансий. Поэтому реальный спрос на таких специалистов несколько выше.

При пожаре выносить первым!

Если для ответа на вопрос необходимо оценить приоритеты для спасения активов и в списке есть человеческая жизнь, то у нее всегда будет приоритет номер один. Сейфы с деньгами и документами можно смело оставить на милость стихии.

Сложности

  • Подсказывать с этой стороны тебе никто не сможет, а от того, кто за тобой наблюдает, ты услышишь только их фирменную фразу — try harder.
  • Это будет 48-часовой стресс, мозг постоянно работает в режиме поиска вариантов атак (даже во сне).
  • У меня получилось 100 баллов набрать, но времени было впритык.
  • В какой-то момент эксплоит на C# пришлось переписывать быстро на Python, потому что через VPN медленно шла атака, а в самой сети была Kali, с которой атака в разы быстрее.
  • Кто-то на Редите писал, что он за первые полдня поломал обе системы, а потом курил — безбожно трындит; объем работы, который необходимо провести — колоссальный, и не может быть даже физически освоен за несколько часов.
  • А кто-то на Редите писал, что за 48 часов так ничего и не нашел и набрал 0 баллов, и переживал, что если возьмет еще платно пересдачу, нет никакой гарантии, что она не пройдет также с нулевым результатом, ведь ВСЕ уже проанализировано.
  • Будут моменты, когда вера в себя и в успех будет падать до нуля или доходить до полной уверенности, а потом снова падать, тут главное не сдаваться и продолжать.

Списывание

У нас зачастую принято довольно снисходительно относиться к тем, кто списывает на экзаменах. В западной культуре списывание считается серьезным проступком, требующем соответствующего наказания. Правилами запрещается списывать на экзаменах ISACA и ISC2, процесс сдачи контролируется, нарушителей изгоняют с позором.

Шаг 1. где я?

Выяснить в чем хорошо разбираетесь, а в чем не очень. Просмотреть вопросы по всем доменам или пройти пробные тесты. Определить какие домены для вас легкие, а по каким нужно «прокачаться».

Шаг 4. подготовка в последнюю неделю перед экзаменом

Как правило, подготовка к экзамену растягивается на длительный срок и в конце можно немножко подзабыть, что изучали вначале. Поэтому целесообразно взять несколько дней отгула перед экзаменом, чтобы пролистать целиком свои материалы. В любом случае, в конце подготовки придется уделить пару дней для зубрежки отдельных технических параметров.

Оцените статью
Мой сертификат
Добавить комментарий

© 2025 Мой сертификат