מדריך להסמכות בדיקת חדירות - מה שווה, מה מיותר, ומה תלוי בשלב שלכם¶
עולם ההסמכות בבדיקות חדירות הוא בלגן. יש עשרות הסמכות, כל אחת עם קיצור אותיות משלה, ומחירים שנעים בין כמה מאות שקלים לעשרות אלפים. בפוסט הזה אני רוצה לתת לכם מפה כנה, בלי לייפות ובלי לזלזל.
למה בכלל להסמכות יש משקל בתחום הזה¶
לפני שנצלול לרשימה, כדאי להבין למה הסמכות חשובות יותר בבדיקות חדירות מאשר בהרבה תחומי הייטק אחרים. בעולם התכנות, קורות חיים עם פרויקטים אישיים ותרומה לקוד פתוח מספיקים כדי להוכיח יכולת. בבדיקות חדירות, קשה יותר להראות "פרויקט" בלי לפרוץ למשהו בפועל, ולכן הסמכה מעשית שמוכיחה שהצלחתם לתקוף מערכות אמיתיות תחת לחץ, מקבלת משקל גדול יותר.
עם זאת, וזה חשוב - אף הסמכה לא מחליפה ניסיון מעשי אמיתי. היא כלי אחד בארגז, לא הסיפור כולו.
ההסמכות המרכזיות ולמי הן מתאימות¶
OSCP - Offensive Security Certified Professional¶
הכי מוכרת בתחום, ולא בכדי. מבחן מעשי לגמרי, 24 שעות של תקיפת מכונות אמיתיות. מתאימה למי שכבר יש לו בסיס טכני סביר ורוצה הוכחה מעשית שמעסיקים מכירים ומכבדים. לא נקודת התחלה טובה למי שעדיין בונה יסודות.
eJPT ו-eCPPT¶
הסמכות של INE, שנחשבות נגישות יותר מבחינת מחיר ורמת כניסה. eJPT מתאימה ממש כנקודת התחלה, לפני OSCP, כדי לבדוק אם התחום בכלל מדבר אליכם בלי להשקיע סכום גדול. eCPPT מהווה מדרגת ביניים טובה.
CRTP - Certified Red Team Professional¶
הסמכה שממוקדת כמעט לגמרי בתקיפת Active Directory, מה שהופך אותה לרלוונטית מאוד למי שרוצה להתמחות בתקיפת דומיינים - בדיוק התחום שהכי מבוקש היום בבדיקות חדירות פנימיות. פחות מוכרת בציבור הרחב מ-OSCP, אבל מוערכת מאוד בקרב אנשי מקצוע שמכירים את התחום.
OSWE ו-OSEP¶
הסמכות מתקדמות יותר של Offensive Security, שממוקדות בהתאמה בניצול אפליקציות ווב ברמה גבוהה, ובטכניקות Red Team מתקדמות. אלה לא הסמכות למתחילים, הן מיועדות למי שכבר צבר ניסיון משמעותי ורוצה להעמיק בכיוון ספציפי.
CEH - Certified Ethical Hacker¶
הסמכה מוכרת מאוד בשם, אבל שנויה במחלוקת בתחום עצמו. היא מבוססת בעיקר על מבחן רב ברירה ולא על תקיפה מעשית, ולכן אנשי מקצוע רבים בתחום מתייחסים אליה בזהירות. היא יכולה להיות שימושית בהקשרים ספציפיים, כמו דרישות פורמליות של מכרזים ממשלתיים, אבל היא בהחלט לא ההוכחה הכי משכנעת ליכולת מעשית.
מה שחשוב יותר מכל הסמכה בודדת¶
הטעות הכי נפוצה שאני רואה היא אנשים שקונים הסמכה אחרי הסמכה, מקווים שהצבירה תפצה על חוסר ביסודות. זה לא עובד ככה. מעסיקים בראיונות טכניים ישאלו אתכם להסביר איך פעלתם, לא רק להציג תעודה. אם אין לכם הבנה עמוקה מאחורי ההסמכה, זה יתגלה מהר בשיחה טכנית פשוטה.
הדרך הנכונה היא הפוכה - קודם לבנות ידע וניסיון מעשי אמיתי דרך תרגול, CTF ומעבדות, ורק כשמרגישים שהידע יציב, לבחור הסמכה שמתאימה לשלב הנוכחי ולכיוון הקריירה שאתם רוצים לפתח.
מאיפה מתחילים לבנות את הבסיס הזה¶
לפני שאתם מוציאים שקל על הסמכה כלשהי, כדאי שיהיה לכם בסיס טכני יציב שמאפשר לכם להחליט בעצמכם איזו הסמכה הכי משתלמת לכיוון שמעניין אתכם. קורס בודק חדירות שלי בעברית ובחינם נותן בדיוק את הבסיס הזה - מרקון ועד תקיפת Active Directory מתקדמת, לפני שאתם משקיעים באלפי שקלים על הסמכה שאולי לא מתאימה לכם עדיין.
לסיכום¶
הסמכות בבדיקות חדירות הן כלי חשוב, אבל הן לא קיצור דרך. תבנו קודם ידע אמיתי, תבדקו איפה אתם עומדים, ורק אז תבחרו הסמכה שמתאימה לשלב שאתם בו. הסמכה בלי בסיס היא רק נייר, ובסיס בלי הסמכה עדיין שווה הרבה יותר ממה שאנשים חושבים.
יש לנו בקהילה אנשים שעברו כמעט כל הסמכה שהזכרתי כאן. בואו לשאול לפני שאתם מחליטים.