Milyen security vizsga?

Közösségi kerekasztal

Hali!

Tegyük fel, hogy át akarom képezni magam security vonalra, mert kezdem
érezni hogy szépen lassan kiégek, ha maradok a jelenlegi programozósdinál.

Láttam már "dógokat": netbank, mindenféle webshop, sanomáéknak ilyen-olyan
weboldalai, adatgyűjtés több ezer gépről a CERN-ben, ugyanitt ezekből az adatokból
megmondani, melyik gyártótól ne vegyünk több gépet (túl sokszor kellett cserélni
az adott típusú legkúlabb alkatrészt), vagy mire érdemes pluszban figyelni a következő tenderkor.

Amit otthon megtanultam, hogy ha elmegyek kódernek, akkor szopóágon leszek,
sok (általában kifizetetlen) túlórával. Amit itt megtanultam, hogy _soha_ többé hardver.
Nem akarok arról hallani, hogy ipmi, raid, jbod, firmware, meg kompatibilis, csak b*szik működni,
az idióta és fapados raid cli-okról nem beszélve. Meg a quattor/pan se igazán a szívem csücske,
de ez már más tészta. :)

Szóval: Milyen security vizsga? CISSP? OSCP? CEH? CISA? Melyiket lehet otthon letenni,
és melyik jelent előnyt otthon? Ugyanis megyek haza (túl sok a csiga errefelé, meg
fura nyelven beszélnek) :)

  • 13380 megtekintés

( PajzsMan | 2012. 10. 24., sze – 13:29 )

Jól meggondoltad? Neked nem muszály megenni a csigákat, én sem teszem.
Amúgy a válaszok engem is érdekelnének.

( johans | 2012. 10. 24., sze – 15:01 )

A nagy kérdés az, hogy a security melyik vonalára képzeled el magad: auditornak, CSM-nek, vagy white-hat hackernek?

A CISA, CISM vizsgákról tudok első kézből nyilatkozni: le tudod tenni itthon, néhány helyen előnyt jelent (PSZÁF auditorok illetve banki IT kockázat kezelők között gyakorlatilag kötelező). A kapott tudás általában a valóságtól minimum két-három évvel el van maradva, illetve nem jellemzők a technikai mélységek. Azt kell tudni az ISACA-ról, hogy a gyökerei oda vezethetők vissza, hogy pénzügyi auditorokat képeztek át IT auditorokká - azaz sokkal fontosabb volt, hogy egy excel tábla minden sora ki legyen pipálva, mint hogy valójában sérülékeny-e a rendszer. Ez mára változott valamennyit, de a keményvonalas hacker arcokat ne ebben a szervezetekben keresd. (Mondom ezt úgy, hogy mind a CISA, mind a CISM minősítésem aktív, és kellett már COBIT control objective-ek alapján összeválogatott SAS70-es riportot készítenem)

A CISSP-ről csak másodkézből tudok nyilatkozni, az volt a vélemény róla, hogy hasonló, mint a CISA, csak mélyebb technikai tudás meglétét feltételezi.

Ami vizsga illetve tanfolyam meglepően mély ismeretanyagot ad, és kimondottan tetszett, az a CEH. Ennek csak a tanfolyami anyagához volt szerencsém, mert a vizsga előtt szakítottam az akkori munkahelyemmel, szóval nem tudom, hogy a követelmény rendszere mennyire komoly. Minden esetre van magyar tanfolyam és vizsga is belőle.

Ha a leírás alapján az a kép alakul ki valakiben, hogy a CEH mindent visz, akkor el kell keserítsem. Egy CEH vizsga után nem biztos, hogy meg tudod mondani, hogy az IT büdzsé hány %-kát költsd mondjuk figyelemfelhívó tréningekre, meg hogy egy biztonsági esemény esetén milyen lépéseket kell tenni, kiket és milyen sorrendben kell értesíteni stb. mert az a CISA/CISM témaköre. Szóval pozicionáld magad az IT Securityn belül, és akkor meg lehet mondani, hogy melyik vizsgák jelentenek valódi előnyt neked.

( elod v | 2012. 10. 24., sze – 16:36 )

És aki ácsnak akar felcsapni mert t*ke tele van az IT-vel, annak milyen vizsga kell? ;)

Offtopicot félretéve +1

( sabe v | 2012. 10. 24., sze – 16:50 )

letettem a CISA, CISM, CISSP vizsgákat is. Ebből a CISSP a leggyakorlatiasabb.

de más más területet céloz mindegyik. A CISÁval megtanulod mit szeretne látni a management, hogyan lehet az IT megfelelő, átlátható működését biztosítani. Meg akartam érteni az auditorok kákán is csomót kereső gondolkodását. Sokat segített a módszertan megértése.

A CISM-re nem is emlékszem igazán erre nem nagyon tanultam :) CISA után egy évvel, gyakorlati tapasztalatokkal felvértezve nem volt nehéz. kb az, hogy mit kellene megcsinálnod, hogy az auditor ne találjon fogást rajtad

A CISSP a logikai biztonságra épül, gyakorlati ismeretekkel. Erre keményen kellett készülnöm és igen hasznosnak is találtam. Ezzel elmehetsz biztonsági szakembernek, de manageri szinthez nem ez kell (az előző kettő inkább)

CEH-t nem csináltam, drága és azóta más profilú cégnél vagyok.

( laarda | 2019. 02. 19., k – 00:28 )

Van valakinek frissebb tapasztalata SSCP-vel pl? Tananyagom van, de nem tudom, hogy megéri-e az energiát, vizsgadíjat stb..

Az SSCP-t kevésbé ismerik mint pl. a (nem annyira nehéz) CompTIA Security+ vizsgát, vagy a nehezebb CISSP-et.

Bár ezt a Security+t nem említették előttem, a CompTIA SY0-401 vizsga eredményeként kapod meg a minősítést, az SSCP elvárja hogy 1 évig ezen a területen dolgozz, a CompTIA-s nem - de mindkettő belépő. Az SSCP inkább a CISSP előfutára lehetne, kevésbé tartalmaz "önmagától is értetődő kérdéseket".

Komolyabb vizsga is mint a CompTIA Security+, de ahogy láttam, kevéssé ismerik mi az hogy SSCP. Attól függ hogy mi a célod - pl. a CISSP megszerzése? Mi a legkelendőbb, az a kérdés? A CISSP többet mutat a mánágereknek hogyha a területre be akarsz lépni.

Hogy megéri-e, mondom, az attól függ hogy mi a célod. Ha csak belépni a területre, akkor egy CEH vagy akár CompTIA Security+ megteheti. Ha látod hogy néha megemlítik hogy amúgy akár még vissza is hívnak egy interjún ilyen területen, akkor esetleg érdemes az SSCPt letenni, de akkor meg se állj a CISSP-ig, az azért viszont igényel egy pár hónap tanulást.

Amúgy az eredeti kérdezőtől megkérdezném hogy a soha többé hardver az megáll ott hogy raid cli és IPMI meg iLO scripting, vagy pedig nyitott vagy a security-n belül a hardveres ismeretet átfordítani egy kis c++/ASMbe ahol az IoT eszközök/robot targoncák már érdekesebben hangzanak? - Kontra "soha többé hardver".

Remélem ez segít, üdv

( detritus | 2019. 02. 19., k – 13:46 )

CEH-em és OSCP-m van, ezek konkrét hackelésre tanítanak.

CEH-re mindenkit elküldenék, aki informátikával foglalkozik, remek áttekintést nyújt arról, hogy nagyjából milyen irányból jöhetnek támadások, valamennyire gyakorlatias is, de a vizsga (jópár évvel ezelőtt legalábbis) pipálgatós volt. Ár/érték arányához képest túl drága.

Az OSCP-t akkor válaszd, ha konkrétan etikus hackeléssel akarsz foglalkozni, akkor viszont mindenképp ezt (és spórold meg a CEH árát). Alap linux ismeretekkel és sok-sok szorgalommal legyűrhető. A tanfolyam full gyakorlat, vpn-t kapsz egy sebezhető gépekkel teli hálózatra, ahol a pdf-ben és a videókon bemutatott technikákat ki tudod próbálni. A vizsga 24 órás és hackelni kell (5 gépen kell root/administrator jogot szerezni).

CISSP, CISA és hasonlók akkor érdekelhetnek, ha inkább a papírmunkát választanád. CISSP-s emberrel jól el tudtam beszélgetni technikai dolgokról is, annak ellenére, hogy ő a gyakorlatban nem nagyon tudta volna kivitelezni azt, amiről beszélgettünk. A CISA nem tudom, minek van (elnézést, ha valaki magára veszi).

-----
A problémáim velem kezdődtek és utánam megmaradnak. Ez az én hozzájárulásom az Emberiség Nagy Művéhez.

( laarda | 2019. 02. 19., k – 18:47 )

Köszönöm a részletes leírásokat! :) Mivel én egy egyszeri hálózatos vagyok, szigorúan véve 2 év tapasztalattal - amúgy előtte is dolgoztam hálózatos témákban is, de volt avaya meg más kliens is közben - szóval megnézem magamnak ezt a 14 órás SSCP videót kedvcsinálónak. Bennem is felmerült a kérdés, hogy a felsorolt tapasztalatokat, hogyan ellenőrzik? Foglalkozom tacacs, radius, token adminisztrációval, vpn koncentrátorok is vannak nálunk, ezeket sok helyen security-s srácok felügyelik... A fő célom egyenlőre, hogy értsem a helyi SOC team kéréseinek motivációját, vizsgával meg futok egy kört főnökkel, hátha egyiket megszponzorálja. Remélem elfogadja, hogy a cisco vizsgarendszerétől feláll a szőr a hátamon :D