La certificazione OSCP per la penna junior tester è valida?

8

Attualmente ho terminato la mia laurea in sicurezza informatica e ho qualche anno di esperienza nel supporto IT e voglio entrare in un lavoro di penna junior o simile.

La certificazione OSCP mi farebbe qualche favore, ha qualche peso? È riconosciuto da società nel Regno Unito? Da quello che ho letto l'OSCP sembra essere il più piacevole e in realtà implica l'utilizzo del cervello mentre gli altri sono per lo più libri di lettura e domande a scelta multipla.

In realtà cos'altro posso fare per migliorare le mie possibilità di ottenere un colloquio di lavoro, ho un laboratorio a casa che faccio esperimenti con il bar e che la mia laurea non ha esperienza.

    
posta com truise 04.05.2012 - 12:50
fonte

4 risposte

5

Sfortunatamente nel Regno Unito, molte aziende vogliono che tu abbia quelle locali, CREST e CHECK, e naturalmente SANS. OSCP non vende tanto quanto loro e ISC o EC-Council.

Il mio consiglio per te sarebbe di iniziare prima con CEH, poi con GPEN e con una maggiore esperienza, puoi andare su OSCP.

Per essere onesti, OSCP non è un entry-level nel mondo del PT, ti suggerirei prima di esercitarti su Metasploitable, DVWA e quei tutorial, ottenere un paio di libri come Metasploit: The Penetration Tester's Guida , Test di penetrazione avanzata per ambienti ad alta sicurezza: la Guida alla sicurezza definitiva e, soprattutto, motivazione e pratica.

Ora, avere queste certificazioni è un vantaggio, ma quando si ottiene un colloquio, diciamo big 4, boutique di sicurezza, telco e simili, il più importante è che tu sia in grado di comunicare i problemi con il cliente a tutti i livelli. Il fatto è che non esiste un vero modo per "apprenderlo". Oltre a questo, è necessario disporre di solide competenze di networking, comprensione del sistema operativo, database e come tutto comunica, script di base e simili. Una domanda molto semplice come:

Let's suppose you're doing a PT, and in the middle of it, you trigger something, the exchange server crashes, client wants you to continue with the PT and meet the deadline but without touching the exchange server

Il meglio per te sarebbe quello di ottenere un lavoro come amministratore di rete, (le opportunità di pentimento junior sono là fuori, ma estremamente difficili da trovare) e la maggior parte di queste ... beh, non ti insegneranno nulla che non riesci a trovare su Internet, molto probabilmente non ti invieranno mai per incontrarti con un cliente e discuteranno di come tratterai un pentest e l'approccio che sceglierai.

Buona fortuna davvero! Prova a lavorare come consulente per la sicurezza e a parlare con i ragazzi che fanno PT e acquisire esperienza, è un sacco di studio personale.

    
risposta data 11.07.2016 - 20:00
fonte
2

L'OSCP è riconosciuto in infosec. Altri includono CEH e la miriade di ceratt SANS (i cerati SANS probabilmente hanno una migliore consapevolezza del marchio in generale). Anche se i certificati sono belli da avere e possono aprire le porte (solo con le risorse umane), l'esperienza è più importante dei certs puri. In altre parole, se si desidera lavorare con un gruppo di élite di pentesters, i certificati potrebbero non avere molto peso. Tuttavia, se si desidera lavorare per un'organizzazione che "abbassa e brucia" i tester di penna, avere un OSCP potrebbe farti ottenere il lavoro.

Se possibile, prendere in considerazione la possibilità di partecipare attivamente alla comunità di infosec. Le conferenze sulla sicurezza sono sempre alla ricerca di volontari e il volontariato offre la possibilità di apprendere concetti importanti e tendenze del settore a basso (o senza costi) e può darti incontri casuali con persone chiave della comunità. Infosec Europe ha appena attraversato Londra, ma ci sono molti altri gruppi / conferenze a cui puoi partecipare.

    
risposta data 04.05.2012 - 17:42
fonte
2

Nel Regno Unito, sì, l'OSCP è la strada da percorrere secondo me, è ben riconosciuto nel settore perché l'esame è pratico, anche i laboratori sono fantastici.

Le vere certificazioni "must have" per i pen tester inglesi sono CREST e CONTROLLA le certificazioni però, ma sono mirate all'esperienza dei tester di penna e per CHECK è necessario disporre del nulla osta di sicurezza.

Inizia con OSCP e vai piano, impara tutto ciò che puoi dal corso e sarà un'ottima introduzione alla ricerca e allo sfruttamento delle vulnerabilità. Assicurati anche di imparare l'amministrazione dei sistemi operativi ad un buon livello, questo è importante perché molti test di penetrazione stanno eseguendo azioni di normali utenti o amministratori ma con l'intento di raggiungere un obiettivo specifico come rubare informazioni.

    
risposta data 07.05.2012 - 17:23
fonte
1

Finché comprendi a cosa serve una certificazione. La formazione per l'OSCP è ciò che vuoi veramente. La carta alla fine è semplicemente un trofeo.

Come ho già detto, non è il talento che hai ma è ciò che hai fatto che conta. Se riesci a spiegare in una singola frase come hai svolto un compito in passato, allora è più prezioso del certificato. La classe PWB può aiutarti a ottenere quell'esperienza e darti gli strumenti per guadagnare ancora di più.

Il mio consiglio: ottenere l'addestramento e ottenere il certificato. Mettilo su un curriculum, ma focalizza il tuo curriculum su ciò che hai fatto, in termini pratici. Una volta terminato il corso, continua ad acquisire nuove competenze, apprendi un nuovo strumento o tecnica ogni settimana e partecipa alla comunità della sicurezza.

Le certificazioni possono mettere le mani sulle opportunità di lavorare con i professionisti sul campo e lavorare con loro. Sfruttalo e le tue abilità, per essere in grado di affrontare nuove sfide.

Buona fortuna!

    
risposta data 04.05.2012 - 17:54
fonte