HackTheBox Academy מול הפלטפורמה הראשית - מה ההבדל¶
הרבה אנשים שנרשמים ל-HackTheBox בפעם הראשונה מתבלבלים - הם רואים "Academy" בתפריט, נכנסים, ומגלים חוויה שונה לגמרי ממה שציפו. זה לא באג ולא בלבול בממשק - זו האמת. Academy והפלטפורמה הראשית הם למעשה שני מוצרים נפרדים, עם שתי פילוסופיות למידה שונות לגמרי, שרק במקרה חיים תחת אותה חברה.
הפלטפורמה הראשית - למידה על ידי עשייה¶
הפלטפורמה שהפכה את HackTheBox למפורסמת מלכתחילה היא זו של המכונות והאתגרים. אתם מקבלים כתובת IP, ואתם צריכים לחקור אותה בעצמכם - לסרוק פורטים, לזהות שירותים, למצוא חולשות, ולנצל אותן, בלי שאף אחד מסביר לכם מה בדיוק לחפש. יש שם גם קטגוריית Starting Point שנותנת קצת יותר כיוון למתחילים ממש, אבל ברגע שעוברים אותה, אתם נכנסים לעולם של מכונות "פתוחות" שבו ההנחיה כמעט לא קיימת.
מכונות שכבר לא פעילות (retired machines) פתוחות לצפייה בכתיבות פתרון קהילתיות אחרי שהן יורדות מהרשימה הפעילה, מה שנותן לכם דרך ללמוד מגישות של אחרים אחרי שניסיתם בעצמכם. הפילוסופיה כאן ברורה - הדרך הכי טובה ללמוד בדיקות חדירה היא לחקות את המציאות, שבה אף אחד לא נותן לכם רשימת שלבים מסודרת.
Academy - מבנה, תיאוריה, והערכת ידע¶
Academy זה עולם אחר לגמרי. במקום מכונה פתוחה, מקבלים מודולים (modules) - כל אחד מלמד נושא ספציפי בצורה כתובה ומסודרת, עם הסברים, דוגמאות, ותרגילים מודרכים שמלווים כל קטע תיאוריה. בסוף כל מודול יש בדרך כלל מבחן ידע (skill assessment) שבודק שבאמת הפנמתם את החומר, לא רק העתקתם פקודות.
המודולים מאורגנים לתוך "מסלולים" (Paths) שלמים - רצף של מודולים שביחד בונים התמחות בתחום שלם, כמו בדיקות חדירה לווב, או יסודות בדיקות חדירה כלליות. השלמת מסלול שלם, כולל מבחני הידע לאורכו, היא בדרך כלל הדרך המובילה לקראת הסמכות רשמיות של החברה - למשל CPTS (Certified Penetration Testing Specialist) שמתמקדת בבדיקות חדירה, או CBBH (Certified Bug Bounty Hunter) שמתמקדת בציד באגים בתשלום, ויש גם הסמכות נוספות בתחומים אחרים כמו הגנה והתגוננות. לא ניכנס כאן לפרטי מחיר או מבנה מדויק של כל מבחן הסמכה, כי אלה משתנים עם הזמן, אבל חשוב להבין את הרעיון הכללי - Academy היא הדרך המובנית להגיע לתעודה רשמית שאפשר להציג למעסיקים.
איך לשלב בין השניים בצורה חכמה¶
הטעות הנפוצה היא לחשוב שצריך לבחור אחד מהשניים. בפועל, השילוב הנכון הוא רציף: קודם עוברים מודול או מסלול שלם ב-Academy כדי לבנות הבנה מסודרת ומבוססת של תחום מסוים - נניח הזרקות SQL, או ניצול הרשאות בווינדוס. ה-Academy נותנת לכם את השפה, את המושגים, ואת הטכניקות הבסיסיות בצורה מסודרת שקשה להשיג לבד.
ואז, אחרי שהתיאוריה יושבת, עוברים למכונות בפלטפורמה הראשית ומיישמים את הידע הזה בלי הנחיה. שם מגלים שהמציאות הרבה יותר מבולגנת מהתרגילים המסודרים - יש הפרעות, מסלולי תקיפה לא ברורים, וצורך לחבר כמה חולשות קטנות יחד לתקיפה אחת שלמה. זו בדיוק המיומנות שמעסיקים באמת מחפשים.
הזווית של קריירה - הסמכה רשמית מול מוניטין קהילתי¶
יש כאן שני סוגי "הוכחה" שונים שכדאי להכיר. הסמכה רשמית מ-Academy היא תעודה מוכרת שאפשר לשים בקורות חיים ובפרופיל מקצועי - היא נותנת למעסיק דרך ברורה ומהירה להבין מה אתם יודעים, בלי שהוא צריך להכיר אתכם אישית. מצד שני, מוניטין קהילתי שנבנה מפתרון עשרות ומאות מכונות בפלטפורמה הראשית, במיוחד אם הוא מלווה בכתיבות פתרון (write-ups) איכותיות שאתם מפרסמים, מוכיח משהו שונה - יכולת עצמאית להתמודד עם בעיה לא מוכרת בלי הכוונה.
בעולם אמיתי, שילוב של שניהם הוא הכי חזק - הסמכה שמוכיחה בסיס ידע מובנה, ומוניטין מעשי שמוכיח יכולת יישום עצמאית. אם אתם בונים את המסלול שלכם לקריירה בסייבר ורוצים ליווי בבחירת הסדר הנכון, תבנו את הבסיס עם קורס בדיקות החדירה שלנו.
בין אם אתם עמוק ב-Academy או נאבקים במכונה קשה בפלטפורמה הראשית, כדאי לדעת שיש קהילה שלמה שמדברת בדיוק על השילוב הזה כל יום.
לסיכום¶
Academy והפלטפורמה הראשית של HackTheBox אינם תחליף זה לזה - הם שני כלים משלימים. Academy בונה לכם בסיס תיאורטי מסודר ומוביל להסמכות רשמיות, והפלטפורמה הראשית נותנת לכם את החוויה הבלתי-מונחית שמדמה עבודה אמיתית. מי שמשלב בין השניים בסדר הנכון - קודם ללמוד, אחר כך ליישם בלי רשת ביטחון - בונה לעצמו את הבסיס הכי מוצק שיש לקריירה בתחום.