web-dev-qa-db-ja.com

ジュニアペンテスターのOSCP認定は良いですか?

現在、コンピューターセキュリティの学位を取得しており、ITサポートで数年の経験があり、ジュニアペンテストの仕事などに就きたいと考えています。

OSCP認定は有利になりますか、それとも重要ですか?英国の企業に認められていますか?私が読んだことから、OSCPは最も楽しいようであり、実際には他の人が本を読んでいる間に脳を使用することを含み、複数の選択肢の質問を選びます。

就職の面接を受ける可能性を高めるために他に何ができるでしょうか。私はホームラボを持っており、それをバーで実験していますが、学位は経験がありません。

8
com truise

残念ながら、英国では、ほとんどの企業が地元のCRESTとCHECK、そしてもちろんSANSを所有することを望んでいます。 OSCPはそれらとISCまたはEC評議会ほど多くは販売していません。

あなたへの私のアドバイスは、最初にCEH、次にGPEN、そしてもっと経験があればOSCPに行くことです。

正直に言うと、OSCPはPTの世界への入門レベルではありません。まず、すべてのMetasploitable、DVWA、およびそれらのチュートリアルを練習し、次のような本をいくつか入手することをお勧めしますMetasploit:The Penetration Tester's Guide高度にセキュリティ保護された環境のための高度な侵入テスト:究極のセキュリティガイドそして最も重要なのは、動機と実践です。

さて、これらの資格を持っていることはプラスですが、面接を受けたとき、たとえばビッグ4、セキュリティブティック、電話会社などでは、すべてのレベルでクライアントに問題を伝えることができることが最も重要です。実は、それを「学ぶ」ための実際の方法はありません。それとは別に、確かなネットワークスキル、OS、データベースの理解、すべての通信方法、基本的なスクリプト作成などが必要です。次のような非常に単純な質問:

あなたがPTを実行していて、その途中で何かをトリガーし、Exchangeサーバーがクラッシュし、クライアントがPTを続行し、Exchangeサーバーに触れることなく期限を守ることを望んでいるとします。

あなたにとって最良のことは、ネットワーク管理者としての仕事を得ることです(ジュニアペンテストのチャンスはそこにありますが、見つけるのは非常に難しいです)そしてこれらのほとんど...まあ彼らはあなたがインターネットで見つけることができないものをあなたに教えません、彼らはおそらくクライアントと会うためにあなたを送ることは決してなく、あなたがペンテストをスコープする方法とあなたが取るアプローチを話し合うでしょう。

本当に頑張ってください!おそらくセキュリティコンサルタントとして働いて、PTを実行して経験を積んだ人たちと話してみてください。

4
winsmak

OSCPはinfosecで認識されます。その他には、CEHと無数のSANS証明書が含まれます(SANS証明書は、おそらく一般により良いブランド認知度を持っています)。証明書は手に入れることができ、門戸を開く可能性がありますが(HRの場合のみ)、純粋な証明書よりも経験が重要です。言い換えると、ペンテスターの「エリート」グループで作業する場合、証明書はそれほど重要ではない可能性があります。ただし、ペンテスターを「解雇して燃やす」組織で働きたい場合は、OSCPがあれば十分です。

もしあれば、infosecコミュニティへの積極的な参加を検討してください。セキュリティ会議では常にボランティアを募集しており、ボランティア活動によって重要な概念や業界のトレンドを低コストで(または費用なしで)学ぶ機会が得られ、コミュニティの主要な人々との出会いがもたらされます。 Infosecヨーロッパはロンドンを巡ったばかりですが、参加できる他のグループや会議がたくさんあります。

2
bangdang

認定の目的を理解している限り。 OSCPのトレーニングは、あなたが本当に望んでいるものです。最後の紙は単にトロフィーです。

以前に言ったように、それはあなたが持っている証明書ではありませんが、あなたがやったことは重要です。過去のタスクをどのように達成したかを1文で説明できれば、それは証明書よりも価値があります。 PWBクラスは、その経験を得るのに役立ち、さらに多くを得るツールを提供します。

私のアドバイス:トレーニングを受けて証明書を取得してください。履歴書に入れてください。ただし、実際には、履歴書は自分が行ったことに集中してください。コース終了後も、新しいスキルを習得し、毎週1つの新しいツールやテクニックを学び、セキュリティコミュニティに参加してください。

認定資格は、現場のプロと協力し、彼らと協力する機会の扉を開くことができます。それとあなた自身のスキルを活用して、新しい挑戦に取り組むことができます。

幸運を!

2
schroeder

英国では、はい、OSCPは私の意見に行く方法です。試験は実地であり、ラボも素晴らしいので、業界内でよく認識されています。

英国のペンテスターの実際の「必須」認定は [〜#〜] crest [〜#〜] および [〜#〜] check [〜#〜] 認定ですただし、これらはペンテスターの経験を目的としており、CHECKにはセキュリティクリアランスが必要です。

OSCPから始めて、ゆっくりと進み、コースから可能な限りすべてを学び、それは脆弱性を見つけて悪用するための本当に良い入門書として役立ちます。また、多くの侵入テストが通常のユーザーまたは管理者のアクションを実行していますが、情報を盗むなどの特定の目標に到達することを意図しているため、オペレーティングシステムの管理を適切なレベルで学習するようにしてください。

2
airloom