Tento článek je o OSCP certifikace Ofenzivní Bezpečnost. Informace o certifikacích PenTest+ a CEH najdete v našem článku zde.

penetrační testování je jednou z nejžádanějších profesí v oblasti kybernetické bezpečnosti. Být „etickým hackerem“ zní zajímavě, a je kariérním cílem pro mnoho začínajících profesionálů v oblasti kybernetické bezpečnosti. Existuje několik certifikací, které se konkrétně zaměřují na penetrační testování, a v tomto článku se chystám jít do jednoho z nejpopulárnějších, OSCP ofenzivní bezpečnostní organizací.

stojí OSCP za to? Offensive Security Certified Professional je uznávaná certifikace vyžadovaná pro mnoho úloh penetračního testování. Je to notoricky obtížná a zdlouhavá zkouška, ale stojí za námahu pro profesionály v oblasti kybernetické bezpečnosti, kteří usilují o to, aby se stali testery penetrace na vyšší úrovni.

pojďme se podívat na všechny podrobnosti certifikace OSCP, včetně toho, jak můžete získat certifikaci.

obsah

• co je OSCP?
• podrobnosti o zkoušce OSCP
• klíčové oblasti dovedností OSCP
• jaké další certifikace nabízí útočná bezpečnost?
• kdo by měl zvážit OSCP?
• měli byste zvážit OSCP?
• jaké zkušenosti je nutné sedět na OSCP?
• jaké jsou náklady na OSCP?
• jak dlouho bude trvat příprava na OSCP?
• jaký je formát zkoušky OSCP?
• jak těžké je OSCP?
• jaké certifikace jsou srovnatelné s OSCP?
• jak dobře známý je OSCP?
• jak dlouho je OSCP dobré?
• jaké pozice by měly prospěch z OSCP?
• naše doporučení
• závěr / klíčové body

co je OSCP?

OSCP je profesionální certifikace Offensive Security Certified, kterou vydává organizace Offensive Security – stejná organizace, která vydává Kali Linux. OSCP je jen jednou z několika certifikací penetračního stylu nabízených ofenzivní bezpečností, ale je pravděpodobně nejznámější. Z certifikací, které nabízí Offensive Security, OSCP slouží jako úvodní možnost certifikace a školení, kterou považují za svou základní certifikaci.

(zde je video, které jsem udělal na srovnání mezi CompTIA PenTest+ a OSCP.)

(a také epizoda podcastu na toto téma.)

OSCP Exam Details

Klíčové dovednosti oblastech OSCP

Ofenzivní Bezpečnosti organizace uvádí následující seznam jako témata, která jsou pokryta v detailu, přes jejich trénink, který je navržen tak, aby připravit kandidáty pro OSCP certifikace.

• Pasivní Shromažďování Informací
• Aktivní Shromažďování Informací
• Zranitelnosti Skenování
• Přetečení Vyrovnávací paměti
• Win32 Buffer Overflow Využití
• Linux Buffer Overflow Využití
• Práce s Využívá
• přenos Souborů
• Eskalaci
• Na Straně klienta Útoky,
• Webové Aplikace Útoky
• Heslo Útoky
• Přesměrování Portu a Tunelování
• Metasploit Framework
• Vynechání Antivirový Software
• Montáž Kusy: Penetrační test Breakdown

jaké další certifikace nabízí Offensive Security?

Ofenzivní Bezpečnost nabízí také OBSE, která je Ofenzivní Certifikované Bezpečnostní Expert a je považován za navazující krok na vážný penetrační tester sledovat poté, co si vydělají jejich OSCP. OBSE je v souladu s kurzem zvaným „prolomení perimetru“ a více se zaměřuje na rozvoj využití.

Ofenzivní Bezpečnost také nabízí OSWE, což je Urážlivé Bezpečnostní Expert Web a je další certifikace považován návaznosti na OSCP. OSWE se zaměřuje na využívání a zabezpečení webových aplikací.

OSEE je Ofenzivní Bezpečnostní Vykořisťování Expert, a podle Ofenzivní Bezpečnost, to je nejvíce náročný kurz a certifikace, které nabízejí, a protože toto, samozřejmě, je k dispozici pouze v Černém Klobouku spojené státy úmluvy.

A konečně, OSWP je Offensive Security Wireless Professional, což je další pokračování OSCP a zaměřuje se na bezdrátové zabezpečení.

kdo by měl zvážit OSCP?

Ofenzivní Bezpečnost uvádí, že OSCP je určen pro profesionály již v oblasti informační bezpečnosti, které chtějí, aby se „smysluplný krok do světa profesionální penetrační testování.“Konkrétně uvádějí správce sítě a bezpečnostní profesionály jako potenciální kandidáty a objasňují, že se to považuje za certifikaci brány do světa penetračního testování.

měli byste zvážit OSCP?

OSCP certifikace je vážná certifikační zkoušky, a ačkoli to je považováno za začátek certifikace v Útočné Security suite certifikací a kurzů, to by mělo být stále považováno za pokročilý certifikační zkoušku tím, že nějaké kybernetické bezpečnosti, profesionální, bez ohledu na zkušenosti v rámci odvětví.

Založena cybersecurity odborníci by měli zvážit OSCP, pouze pokud jsou velmi vážné o vstupu do říše penetrační testování a mají značné kybernetické bezpečnosti nebo správy systémů zkušenosti. Pro více obecné odborníků v oblasti kybernetické bezpečnosti, které v současné době není, nebo nemají v úmyslu pracovat v penetrační testování, ale mají zájem vydělávat penetrační testy, certifikace, Certifikovaný Etický Hacker nebo CompTIA PenTest+ může být lepší alternativy, které vyžadují méně závazek.

Co zkušenosti, je nutné, aby sedět na OSCP?

Ofenzivní Bezpečnost výslovně vyžaduje, aby všechny zkoušky kandidátů na dokončení „Penetrační Testování s Kali Linux“ samozřejmě, aby byly způsobilé sedět na OSCP certifikační zkoušku, která je ovšem nabízena výhradně prostřednictvím Ofenzivní Bezpečnost. Tento kurz je k dispozici ve formátech vedených vlastním tempem i instruktorem, a má uvedeny tři požadované předpoklady, které ofenzivní zabezpečení definuje jako následující:

1. „Solidní znalosti TCP/IP sítí“
2. „Rozumné pochopení Linux“
3. „Znalost Bash skriptování s základní Python nebo Perl plus“

Z jejich jazyka, tady to je bezpečné předpokládat, že chcete získat co nejvíce z kurzu (a mají nejlepší šance na absolvování certifikační zkoušky), měli byste mít pevné sítě a Linux znalosti, nejlépe v živé prostředí, stejně jako skriptování znalosti, nejlépe s Python.

Zatímco tyto požadavky jsou poměrně jednoduché, je vhodné, aby uchazeči zájem o tento kurz a OSCP zkoušky mají velmi solidní zkušenosti v oboru, vzhledem k náročnosti zkoušky a obsah zahrnuté v kurzu.

jaké jsou náklady na OSCP?

náklady na certifikaci OSCP nejsou příliš drahé, vzhledem k tomu, že pro všechny možnosti musíte také zakoupit proprietární kurz a přístup do prostředí testovací laboratoře. V současné době jsou minimální náklady na balíček $ 800 ,což vám poskytne kurz, 30 dní přístupu do laboratorního prostředí a poukaz na zkoušku.

odtud máte další možnosti, jak přidat další laboratorní čas v přírůstcích 15, 30, 60 nebo 90 a můžete si zakoupit poukaz na zkoušku. Ofenzivní bezpečnost již dříve uvedla, že obecně nenabízejí kuponové kódy ani slevy, ale nabízejí možnosti firemního školení pro společnosti, které mají zájem o školení svých zaměstnanců.

jak dlouho bude trvat příprava na OSCP?

za předpokladu, že máte předpoklady potřebné k zahájení kurzu Kali Linux, můžete začít na kurzu ihned v online formátu. Třídy tváří v tvář obvykle trvají pět dní a odtud budete mít přístup do laboratorního prostředí po dobu, kterou jste zakoupili.

Po dokončení třídy, měli byste očekávat, že strávit alespoň 30 dnů studie a laboratorní praxe, aby se připravit, nicméně, mnoho lidí, kteří mají omezený pozadí v penetrační testování může potřebovat mnohem delší. Ofenzivní Bezpečnost uvádí, že zkoušky by měla být přijata ve lhůtě 90 dnů od ukončení kurzu, takže kdokoliv se chce na kurz a certifikace by si měl vybrat časový rámec, kde budou mít několik měsíců na to, věnovat se zaměřila studie a měly by být jisti, že mají dostatečné sítě a Linux zkušenosti získat co nejvíce z kurzu.

jaký je formát zkoušky OSCP?

OSCP je živá, praktická certifikační zkouška, kde budete mít 24 hodin na proniknutí do více systémů v laboratorním prostředí. Mějte na paměti, že těchto 24 hodin je 24 hodin, ne 24 hodin v průběhu několika dní, což znamená, že vaše vytrvalost a touha vytrvat bude značně testovány, stejně jako své dovednosti řízení času. Zkouška je nastavena tak, aby simulovala síťové prostředí s několika stroji, které budete muset využít, a to buď jedním krokem nebo více kroky. Každý stroj v prostředí má to, co se nazývá „důkazní soubor“, který poskytuje důkaz, že jste tento stroj úspěšně využili. Jakmile najdete důkaz soubor, budete muset vzít screenshot souboru jako důkaz. Pokud neposkytnete dokumentaci důkazního souboru, nedostanete kredit za hackování tohoto konkrétního systému.

toto 24hodinové laboratorní období je proctored a ofenzivní zabezpečení má velmi specifická pravidla týkající se toho, jaké nástroje a techniky můžete a nemůžete použít během této části zkoušky. Například některé techniky, jako je spoofing, nejsou povoleny a nástroje jako Metasploit jsou povoleny, ale jejich použití je omezené. Nezapomeňte si přečíst všechny požadavky na zkoušku před zasedáním na certifikační zkoušku, protože jsou velmi podrobné, mohou se kdykoli změnit a pokud je nedodržíte, budou mít za následek diskvalifikaci.

Pokud jste stále zavěsil na 24-hodinový koncept, pochopí, že Útok Zabezpečení má v úmyslu na zkoušku, aby být náročné, a pro vás řídit svůj čas dobře. Budou stát v jejich průvodce, který vás „očekává se, že přestávky na odpočinek, jíst, pít a spát“, takže budete muset přijít na to, jak budete potřebovat strukturovat svůj čas a jak se budete blížit tyto věci během 24 hodin zkušební období.

po 24hodinové hackerské části zkoušky budete mít dalších 24 hodin na to, abyste sepsali a předložili zprávu o svých zjištěních. Všimněte si, že toto 24 hodinové období začíná hned na konci prvního 24 hodinové období, takže jdete až 48 hodin rovně, podle toho, jak rychle pracujete a jak jste úspěšní.

je důležité, že budete mít vynikající poznámky během 24-hodinovou laboratorní část s cílem dokončit vaše zpráva úspěšně, a to zejména vzhledem k tomu, že si nemusí pamatovat všechno, co jste se naučili, nebo najít na každý systém musel pracovat. Ofenzivní Bezpečnostní dokumentace je velmi přesné, a dělají to jasné, že vaše zpráva se očekává, že zahrnuje všechny kroky, příkazy a techniky, které jste použili v plně dokumentovaný formát. Zejména musí zpráva obsahovat, aby bylo možné pro další pronikání testeru následovat kroky zdokumentovány a znovu vytvořit výsledky, které v mnoha ohledech je více detailů, než byste přidat do zprávy pro penetrační testování klienta v reálném scénáři.

i v této části hlášení je dokumentace Ofensive Security velmi přesná, včetně formátu souboru sestavy, který chcete odeslat, a způsobu podání. Poskytují vám šablonu, ze které můžete pracovat, nebo můžete použít vlastní, zpráva však musí obsahovat všechny požadované informace.

jak obtížné je OSCP?

každý chce vědět, zda je OSCP tak obtížné, jak to zní, nebo tak obtížné, jak slyšeli.

takže je OSCP těžké? OSCP je velmi obtížná zkouška, která i velmi zkušení penetrační testeři najdou výzvy. OSCP je určen pro penetrační testery se silným technickým a etickým hackerským zázemím.

jak uvedl jeden penetrační tester, “ užívání OSCP mi udělalo lepší penetrační tester.“

je důležité si uvědomit, že mnoho certifikačních zkoušek je navrženo tak, abyste dokázali, co víte, kde je OSCP navržen tak, abyste dokázali, že můžete dělat to, co víte. Toto rozlišení, v kombinaci s 24 testování formátu a následujících 24 hodin vykazovaného období, aby OSCP jedna tvrdá certifikace vydělat, a jeden, že všichni kandidáti budou muset věnovat značné úsilí a pozornost.

jaké certifikace jsou srovnatelné s OSCP?

na trhu existuje několik dalších certifikací penetračního testování, několik z nich však mnozí odborníci považují za méně náročné než OSCP. Pokud právě začínáte na cestě k penetračnímu testování, můžete zvážit CompTIA PenTest+ nebo certifikované etické hackerské certifikace. I když tyto certifikáty jsou skutečně srovnatelné s OSCP, jsou ve stejné oblasti kybernetické bezpečnosti, a může být úzce souvisí dost obsahu pro HR nebo najímání manažerů, aby zvážila svůj životopis.

ostatní certifikace nabízené Offensive Security jsou také podobné ve stylu a disciplíně jako OSCP, nicméně všechny jsou navrženy tak, aby následovaly OSCP v pořadí.

jak dobře je OSCP známo?

OSCP se nezdá být tak dobře známo, že generální manažeři najímání jako některé další penetrační testy, certifikace, jako Certifikovaný Etický Hacker certifikace, nicméně, OSCP se zdá být vysoce respektovaný a známý v pravé penetrační testování kruhy. Většina kandidátů se najít ty, volná pracovní místa, které jsou speciálně pro penetrační testery nebo s penetrační testování organizace bude vyžadovat, nebo požádat OSCP certifikace, a s OSCP certifikace by měla poskytnout výhodu na jakékoliv uchazeče o zaměstnání, kteří hledají penetrační testování práci.

jak dlouho je OSCP dobré?

certifikace OSCP nevyprší, což není běžné pro technické nebo kybernetické certifikace, jako jsou tyto, ale je přínosem pro ty, kteří ji dosáhnou.

jaké pozice by měly prospěch z OSCP?

odborníci v oblasti kybernetické bezpečnosti v následujících oblastech, nebo mají v úmyslu být v budoucnu, budou mít velký prospěch získáním certifikace OSCP.

• penetrační testery – ti, kteří provádějí etické hackerské nebo útočné testy proti systému nebo systémům.
• Cybersecurity consultants-profesionálové, kteří jsou v poradenské roli související s kybernetickou bezpečností, včetně útočné bezpečnosti.
• systémoví auditoři-profesionálové, kteří provádějí audity kybernetické bezpečnosti systémů.
• pokročilí bezpečnostní profesionálové-ti, kteří mají pracovní úkoly související s bezpečností nebo kybernetickou bezpečností, jako jsou analytici kybernetické bezpečnosti, inženýři síťové bezpečnosti, respondenti incidentů a podobné role.

Naše Doporučení

Závěr/Klíčové Body

• OSCP certifikace Útočné Zabezpečení je pokročilý penetrační testy, certifikace, které zlepší možnosti kariéry pro všechny vážné profesionální penetrace tester.
• certifikační zkouška sama o sobě je jedním z nejvíce přísné kybernetické bezpečnosti založené na certifikační zkoušky k dispozici, ale má velmi dobrou pověst mezi penetrační testery.
• Většina potenciálních kandidátů na certifikační zkoušku bude chtít, aby si vybudovaly významné sítí a Linux znalosti před zvážením sedí na OSCP zkoušku, vzhledem k praktické povaze certifikace.
• aspirující penetrační testeři s menšími zkušenostmi mohou chtít zvážit certifikace PenTest+ nebo CEH.

• Jak se Stát Penetrační Tester
• 7 Důvodů, proč nemůžeš Porovnat PenTest+ a OSCP
• OSCP vs. CEH: Který byste Si Měli Vybrat?