16 сентября 2019

Сертификаты в области информационной безопасности: что актуально в РФ и за рубежом

В декабре 2018 года аналитический центр TAdviser опубликовал результаты исследования рынка ИБ в России. Согласно представленной статистике, в сфере наблюдается рост: объем рынка увеличился на 10% по сравнению с предыдущим годом. Причинами роста называют и активную деятельность регулирующих органов, и проявление всеобщих мировых тенденций. Так или иначе, ясно одно: требования к квалификации лиц, задействованных в данной сфере, будут повышаться уже в ближайшее время. Для ИБ-специалистов это означает, что в дальнейшем на рынке предпочтение будет в первую очередь отдаваться тем, кто вовремя позаботился о получении одного из актуальных сертификатов.
1. Сертификация в области тестирования на проникновение
Наибольшую популярность среди специалистов данного профиля имеет сертификация от Offensive Security. Предлагаемые к прохождению курсы — на данный момент их уже порядка пяти — направлены на оценку навыков поиска и эксплуатации уязвимостей в следующих сценариях:
  • OSCP (Offensive Security Certified Professional) — соискателю предоставляется доступ к виртуальной сети с хостами различного типа. Каждый хост содержит набор уязвимостей, нахождение и использование которых позволит соискателю на звание OSCP все больше закрепляться в тестовой сети. OSCP выделяется среди остальных экзаменов Offensive Security наиболее широким охватом тем — подробнее с ними можно ознакомиться в описании курса PWK, предлагаемого Offensive Security в качестве подготовительного к экзамену OSCP.
  • OSCE (Offensive Security Certified Expert) — подобно OSCP, в OSCE соискателю предоставляется виртуальная сеть с хостами различного типа. Отличие состоит в том, что уровень квалификации, требуемый для анализа и эксплуатации уязвимостей на экзамене OSCE, существенно выше того, что запрашивает статус OSCP — например, задачи, требующие работы с содержимым бинарных файлов, в OSCE не ограничиваются поиском BoF-уязвимостей. OSCE охватывает меньшее количество тем, нежели OSCP, но при этом сложность задач (и, соответственно, проверяемый уровень квалификации соискателя) в нём на порядок выше.
  • OSWE (Offensive Security Web Expert) — для проверки практических навыков анализа безопасности, соискателю предлагается к изучению виртуальная сеть с веб-приложениями различного рода.
  • OSWP (Offensive Security Wireless Professional) — в данном случае практические навыки соискателя проверяются в сетях 802.11
  • OSEE (Offensive Security Exploitation Expert) — отличительной особенностью данного экзамена является необходимость поиска неизвестных уязвимостей в удаленно расположенных системах: соискателю потребуется на протяжении 72 часов анализировать различное ПО для ОС Windows на предмет ошибок и проблемных мест, а в конечном итоге — написать ряд рабочих эксплойтов, использующих найденные уязвимости.
Можно заметить, что экзамены на OSCP и OSCE отличаются от OSWE, OSWP и OSEE: OSCP направлен на оценку наиболее широкого среза навыков и умений соискателя, а OSCE требует от него особых практических навыков работы с уязвимостями. По данной причине наличие у специалиста по тестированию на проникновение сертификата OSCP или OSCE существенно выделяет его на рынке среди коллег. При этом стоит отметить, что наличие сертификата OSWE, OSWP или OSEE будет также преимуществом и отличным приложением к уже имеющемуся сертификату OSCP или OSCE.
Определённую известность также имеет сертификация от EC-Council, более знакомая специалистам в области тестирования на проникновения как CEH (Certified Ethical Hacker). Фактически, популярность сертификата CEH сравнима с OSCP, в связи с чем соискатель на звание CEH может не беспокоиться о том, что наличие данного сертификата даст ему определённое профессиональное преимущество. Тем не менее, среди специалистов в области тестирования на проникновение звание OSCP зачастую ценится выше нежели CEH — это связано в первую очередь с тем, что CEH в большей степени ориентирован на теоретические знания соискателя (например, до недавнего времени для прохождения был доступен только тест с выбором варианта ответов), в то время как OSCP направлен на проверку практических навыков. И несмотря на то, что EC-Council теперь тоже предлагают практические экзамены: CEH (Certified Ethical Hacker), ECSA (EC-Council Certified Security Analyst) и LPT (Licensed Penetration Tester), аналогичные сертификаты от Offensive Security всё ещё ценятся выше — вероятно, из-за сложности тестовых заданий.
2. Сертификация в области аудита, консалтинга и менеджмента
Аналогично тому, как в сертификации специалистов по тестированию на проникновение первенство держится за Offensive Security и, отчасти, EC-Council, в случае аудита и консалтинга во главе угла стоят сертификаты от двух организаций: ISACA и (ISC)2. Традиционную тройку наиболее важных и востребованных в сфере ИБ сертификатов от ISACA и (ISC)2 составляют:
  • CISSP (Certified Information Systems Security Professional) — сертификация от (ISC)2, направленная на подтверждение уровня квалификации специалистов по ИБ, обладающих наиболее широким комплексом профильных знаний. Если проводить аналогию с сертификатами в области тестирования на проникновение, то CISSP с точки зрения охвата и глубины проработки тем схож с OSCP — поэтому можно часто услышать, что CISSP «в милю шириной, в дюйм глубиной».
  • CISA (Certified Information Systems Auditor) — сертификация от ISACA для IT-аудиторов. Исходя из слова «Auditor» в названии, цель экзамена CISA отличается от CISSP — в данном случае у специалиста проверяется не весь объем знаний по ИБ, а лишь определённый срез, соответствующий жизненному циклу информационных систем, задействованных в бизнес-процессах компании, и проверке данных систем в рамках аудита.
  • CISM (Certified Information Systems Manager) — сертификация от ISACA для IT-менеджеров. Экзамен CISM направлен на выявление наиболее квалифицированных специалистов в области менеджмента ИБ. Как и CISA, CISM обладает меньшим охватом тем, нежели CISSP, в связи с чем его можно считать более узконаправленным.

Более подробный разбор особенностей сертификации по CISSP, CISA и CISM можно увидеть здесь и вот здесь. Со своей стороны хочется заметить, что особое положение приведенной тройки сертификатов обеспечено несколькими факторами:
1. Они относительно давно представлены на рынке (CISM — с 2002-ого года, CISSP — с 1991-ого, а CISA — аж с 1976-ого года) и признаны со стороны профессионального сообщества — например, подавляющее большинство зарубежных компаний попросту не рассматривают резюме кандидатов, не имеющих одного из обозначенных сертификатов.

2. Тематика вопросов, рассматриваемых в рамках экзаменов CISSP, CISA и CISM, фактически покрывает все аспекты профессии специалиста в области ИБ, за исключением практических навыков (см. сертификаты OSCP, CEH, CCNA Security и т. д.).

Характерным подтверждением приведенных доводов является список требований к квалификации соискателя на звание QSA (Qualified Security Assessor), выдаваемого PCI SSC — одним из ключевых пунктов является обязательное наличие сертификатов, один из которых подтверждает квалификацию в области ИБ (сертификат CISSP или CISM), а другой — квалификацию в области аудита (сертификат CISA).
Кто-то из читателей может вспомнить о сертификации ISO/IEC 27 001 (в частности, о званиях ISO/IEC 27 001 Lead Auditor и Lead Implementer). Ситуация с ISO неоднозначная: с одной стороны, для аудитора и ИБ-специалиста данный стандарт представляет собой действительно ценный кладезь знаний, поскольку учит четко регламентированному процеcсному подходу к обеспечению безопасности, а с другой стороны так сложилось, что квалифицированный аудит по 27 001 может провести только представитель BSI — британского института, создавшего серию стандартов BS 7799, которая в итоге была собрана в ISO 27 001. Таким образом, практическая значимость получения данного сертификата вызывает определённые вопросы.
3. Сертификация технических специалистов
Нерассмотренным остался класс сертификатов, которыми в большей мере пользуются технические ИБ-специалисты. Подтверждение квалификации в области администрирования и конфигурации какого-либо оборудования — основная задача сертификатов данного типа.
Поскольку вендоров на рынке представлено великое множество, сперва может показаться, что выбрать некое ограниченное множество действительно значимых сертификатов — задача непростая. В данном случае можно пойти по одному из двух путей:
1. Получить сертификат одного из «мастодонтов» рынка IT — к подобным можно отнести Cisco с сертификациями CCNA, CCNP и CCIE Security, Microsoft с сертификациями MCSA и MCSE, наконец, Red Hat c сертификациями RHCSA и RHCE. Два наиболее существенных плюса данного подхода: а) возможность получения работы в компании, выдавшей соответствующий сертификат; б) признание со стороны профессионального сообщества, как следствие — более высокий интерес со стороны большого числа компаний, находящихся в поиске нового сотрудника с определённым уровнем квалификации.

2. Получить узкоспециализированный сертификат — в качестве примера можно привести сертификат технического специалиста UserGate, аналогичный сертификат для специалиста по технологии ViPNet и так далее. Интерес к подобного рода сертификации обычно возникает в том случае, когда компании необходимо получить доступ к работе с продуктами некоторого вендора — для этого в штате выделяется сотрудник, который проходит необходимый обучающий курс, в результате чего компания достигает свою цель. Если говорить о получении подобного сертификата специалистом исключительно для себя, то в качестве одной из немногих возможных причин видится нацеленность на работу в компании, которой требуется технический специалист, знакомый с оборудованием конкретного вендора. В остальных случаях лучше будет присмотреться к предыдущему «пути».

В завершение хочется сказать о том, что, как и везде, «плохих», «ненужных» или «лишних» сертификатов в сфере ИБ нет — процесс обучения важен для сотрудника любого профиля, как важно и то, чтобы этот процесс был непрерывным. Но рынок, как известно, диктует свои правила, а значит путь ИБ-специалиста в некотором смысле предопределен.
Никита Мулаков
Консультант по информационной безопасности, Акрибия
Другие публикации по теме