Игорь Ландырев, Awillix: «Технохардкор» – это лучший формат обучения для пентестера

Игорь Ландырев, руководитель проектов по Анализу защищенности компании Awillix, рассказал порталу Cyber Media об особенностях получения сертификата Offensive Security Experienced Penetration Tester от Offensive Security, и пользе от сертификации для специалиста по информационной безопасности.

О спикере: 

Окончил федеральное государственное бюджетное образовательное учреждение высшего образования «Национальный исследовательский университет «МЭИ» (National Research University «Moscow Power Engineering Institute») – магистр «информационная безопасность», 2020.

Профильные сертификаты: «PEN-300 Evasion Techniques and Breaching Defenses. Advanced Pentesting Training (OSEP)», «PEN-200 PENETRATION TESTING (OSCP)», Kaspersky.Academy Training Lab – авторизованный тренер Лаборатории Касперского по курсу «Мониторинг безопасности и обнаружения угроз».

c 2018 по 2020 – эксперт SOC PJSC Bank Otkritie Financial Corporation, с 2020-2021 – специалист по анализу защищенности PJSC Bank Otkritie Financial Corporation, в настоящее время – руководитель проектов по Анализу защищенности компании Awillix.

Cyber Media: Расскажите о том, что представляет собой сертификация OSEP и чем она отличается от других ИБ-сертификатов (например, CISA)?

Игорь Ландырев: Отличий достаточно много, но главное заключается в том, что CISA и похожие сертификаты – это подтверждение определенных знаний. Специалист прошел курс, сдал тест – получил сертификат. OSEP – это подтверждение наличия навыков, поскольку экзаменационная работа состоит из чистой практики на базе виртуального полигона сертификационного центра.

Offsec предлагает экзаменацию разного уровня сложности и подготовки, в разделе penetration testing это:

• Pentesting Prerequisites (PEN-100) – начальный уровень навыков;

• OSCP (PEN-200) – средний или фундаментальный уровень;

• OSWP (PEN-210) – курс с упором на атаки на беспроводные сети;

• OSEP (PEN-300) – продвинутый.

Есть множество частных отличий: в организации обучения, времени на сдачу экзамена, специализации курсов, они тоже играют свою роль. Важно понимать, что Offensive Security – это не EdTech в привычном понимании, основной упор здесь делается на самообучение и ресерчинг информации. Неподготовленному человеку может показаться, что его просто бросили наедине с огромным объемным данных. Но на самом деле это просто такая концепция: try harder (больше старайся, – прим.редакции ).

Cyber Media: Как проходила подготовка? Сколько времени это занимает, какие основные темы затрагиваются?

Игорь Ландырев: В случае с PEN-300 все очень индивидуально, поскольку многое зависит от опыта и «стартовых навыков» конкретного специалиста. У меня на освоение всех материалов ушло три месяца, занимался по вечерам и в выходные. Вероятно, с нулевыми знаниями по программе у человека уйдет около года.

В самом начале были некоторые опасения, что возникнут трудности из-за геополитической обстановки, но они оказались напрасны. Единственное, есть понятные сложности с переводом оплаты, но они не критичны и вполне преодолимы.

Подготовка, как я говорил выше, выстроена следующим образом: вам выдали материалы для обучения, дали доступ к лабсреде, а далее – try harder, этот девиз «живет» на всех уровнях курсов offsec. Обо всех прелестях EdTech-компаний, которые предлагают IT-курсы, можно забыть: никакого нативного обучения, геймификации процесса и прочих прелестей не будет. Даже если вы решите задать вопрос в чате – скорее всего вам ответят в стиле «try harder».

Важно понимать, что предоставленные материалы – это далеко не избыточные данные, которые нужны для получения сертификата. Авторы курса считают, что пентестеру важно владеть таким базовым навыком, как ресерчинг, на высоком уровне, и уметь самому находить информацию для изучения разных техник.

Касательно тем, они подробно описаны на официальном сайте. Если говорить о PEN-300, то основное внимание курса сосредоточено на техниках обхода средств защиты, всякие классические навыки, как, например, передвижения по домену и закрепления в нем. Очень многое на С++ и С#, много программ нужно написать именно для лабораторных работ. Естественно, это не будет все работать в реальной среде и вы обучитесь базовым навыкам, которые нужно будет улучшать. Также, ваш код нужно будет адаптировать под обновления средств защиты.

Если кратко – обучение рассчитано на максимальную самостоятельность и мотивированность, не лишним будет предварительно подготовиться и поресерчить темы из списка. Правда, у меня так сложилось, что я «запушил» курс буквально сразу после оплаты.

Cyber Media: Как выглядит сам процесс сертификации, экзамен?

Игорь Ландырев: Сертификация длится 72 часа: 48 часов на экзамен и 24 на написание отчетов. Все это, конечно, происходит под онлайн-камерой. Там есть ряд требований относительно окружения, имеющихся в помещении мониторов и присутствия людей, но если кратко – главное чтобы кроме сдающего никто не взаимодействовал с ПК. 

Перед стартом нужно показать помещение, стол, под столом и так далее, собрать инфу о хостовой системе и виртуалке, после чего выдается VPN-конфиг к экзаменационной среде и экзамен начинается. Все время с вами сидит кто-то из команды прокторинга и наблюдает, помогает в случае каких-то технических проблем. 

Например, у меня пропал коннект на какое-то время, и команда поддержки пыталась помочь с восстановлением. В итоге оказалась, что проблема возникла на стороне экзаменаторов, и они продлили экзамен на время простоя, но такие случаи обычно исключение из правил.

В начале перед специалистом ставится цель и даются входные данные о внешних адресах компании, подготовленная легенда. Затем, собственно, сдающий начинает экзамен, ищет пути продвижения, репортит флаги, оформляет отчет.

Для сдачи экзамена нужно набрать сто баллов, каждый «флаг», при правильном оформлении отчета и наличии всех доказательств, «стоит» 10 баллов. Когда в мою консоль прокторинга было отправлено 12 флагов, то я решил больше не тратить времени на поиск новых путей и занялся проверкой достаточности информации для отчета. Было бы глупо потерять баллы из-за недостаточных доказательств, поэтому я уделил этому большое количество времени, после чего отправился спать, не завершив экзамен.

Cyber Media: Чем оправдан такой «хардкорный» формат обучения и экзамен на трое суток? Дает ли сертификат какие-то преимущества и преференции?

Игорь Ландырев: В первую очередь, сертификация – это прикладные знания и навыки, которые затем можно использовать в работе. Это само по себе очень ценно, даже в отрыве от выдачи сертификата по итогам обучения.

Во вторую очередь – это челлендж, который можно бросить самому себе. Для пентестера важно быть в тонусе и постоянно искать новые знания, техники, оттачивать свои навыки. На мой взгляд, «технохардкор» – это лучший формат обучения для пентестера.

И третий аспект – это, конечно, возможность похвастаться перед коллегами и друзьями из комьюнити, так сказать, в чатах. Можно сказать, что это элемент здоровой конкуренции «между своими».

Если же говорить о каких-то прямых выгодах от OSEP-сертификата, то я бы не сказал, что они есть. Специалисты по тестированию на проникновение набираются в команду исходя из направлений, которые в этой команде нужно «закрыть», а не исходя из регалий, званий и прошлого места работы. Сертификаты важны как маркер наличия знаний и навыков, но просто надеяться на высокую зарплату за одно лишь их наличие – точно не стоит.

Опять же, сертификат гарантирует что на момент окончания обучения специалист имеет заявленные навыки. Но если он ими затем не пользуется, то уже через год-два его умения по ряду направлений серьезно устареют.

Cyber Media: Что Вы могли бы порекомендовать тем, кто только собирается пойти на программу OSEP?

Игорь Ландырев: В первую очередь – уделить внимание предварительной подготовке, чтобы затем не изучать темы в форсмажорном темпе. Для этого нужно посмотреть основные темы курса, выбрать те, в которых вы больше всего « плаваете», и поресерчить. Без предварительной подготовки будет дополнительный челлендж, поскольку курс состоит из 1000 страниц. Плюс видео, лабораторки и упражнения к курсу. Также, важно подтянуть свои знания в C++ и C#, без них вообще никуда.

Если говорить о технических аспектах, то стоит перепроверить свое окружение и все коннекты с VPN своей Kali-машины, особенно в лабораторной среде в последние дни, чтобы избежать форсмажоров и лишнего стресса. При этом, на своей практике могу сказать, что если какие-то технические системы дадут сбой, то организаторы будут стараться вам помочь и максимально пойдут навстречу.

Непосредственно по поводу экзамена могу дать четыре совета:

1. Не останавливайтесь на достигнутых ста очках. Досадно будет из-за потерянного на какой-нибудь мелочи балла завалить экзамен.

2. Проверьте все доказательства и отчеты. Недостающие скриншоты, ошибки в шапке и прочие, как может показаться, мелочи – могут привести к обидной потере очков.

3. Пользуйтесь разными полезными нагрузками. нет уникальной, подходящей для всего. Интерактивный шелл – не всегда мет. сессия, psexec, wmiexec, ssh могут дать то, что вам нужно. 

4. Отдых очень важен, распланируйте время. Если на OSCP можно забить на сон и спокойно его закончить, то тут, с лимитом времени в 48 часов, поспать придется. 

Еще один момент, сугубо с точки зрения самонастроя и успокоения: важно понимать, что у представителей сертификационного центра нет цели вас завалить, придраться к каким-то мелочам или использовать случайный технический сбой как повод для остановки экзамена. В рамках оговоренных правил, экзаменаторы всегда пойдут навстречу.