Максим Дунаевский, VK: Просить помощи у более опытных коллег или комьюнити – это полезная практика

Максим Дунаевский (OSCP, BSCP), старший специалист отдела аудита ИБ VK и автор блога «Hack IT Easy», рассказал порталу Cyber Media о том, какие сертификации для пентестеров наиболее актуальны, какие из них были недавно обновлены и как выбрать подходящий формат начинающему специалисту.

Cyber Media: Какие сертификаты считаются наиболее ценными и полезными для специалистов по анализу защищенности?

Максим Дунаевский: Долгое время считалось, что наиболее престижными сертификатами для пентестеров – это сертификации от компании Offensive Security. Разумеется, речь о наиболее известных OSCP и OSWE. Стоит сразу отметить различную направленность этих двух сертификаций. Если первая – про инфраструктуру и проведение тестирования на проникновение методом черного ящика, то последняя – про white box и веб-приложения. По моему мнению, сейчас их значимость несколько переоценена.

Во-первых, раньше было гораздо меньше структурированной информации о том, как проводить анализ защищенности. Теоретический материал, собранный авторами данной сертификации, позволял сэкономить огромное количество времени, которое ушло бы на сбор и поиск разрозненной информации.

Во-вторых, требования к знаниям и навыкам специалистов эволюционировали, в то время как уровень сертификата остался прежним. Конечно, обновления случаются. Так, в 2023 году был практически полностью переработан теоретический материал экзамена OSCP, а также добавлены множество практических упражнений, которые можно выполнить онлайн в ходе изучения разных тем курса. С OSWE ситуация несколько хуже, последнее обновление было в мае 2021 года. В качестве лабораторных работ предлагается решить 3 веб-приложения, а интерактивные задания по ходу курса отсутствуют (как в OSCP).

Стоит отметить, что раньше Offensive Security был практически монополистом в области курсов по анализу защищенности. Сейчас ситуация сильно изменилась. Появился ресурс Portswigger Academy, который довольно полно и комплексно покрывает большинство тем по анализу защищенности веб-приложений. Площадка HTB, известная всем по большому количеству уязвимых виртуальных машин, в настоящее время развивает еще и свою академию и предлагает пройти несколько сертификаций, одна из которых по наполнению и приобретаемым знаниям ничуть не уступает OSCP, что в совокупности с значительно более низкой ценой выглядит более привлекательно.

Подводя итог рассуждениям, я бы отталкивался от стоимости и уникальности знаний, которые можно получить, пройдя курс.

Cyber Media: Сертификации компании Offensive Security серьезно отличается от привычных EdTech-компаний, в первую очередь – концепцией «try harder», в рамках которой ученику предлагается самостоятельно разбираться в заданиях и теории. Придерживаются ли этого подхода другие обучающие программы для пентестеров?

Максим Дунаевский: Мне кажется, данную концепцию не стоит возводить в абсолют. Просить помощи у более опытных коллег или комьюнити – это полезная практика. Говоря про «помощь» я, конечно же, имею в виду направление мысли.

Очень часто, особенно при отсутствии большого опыта, обучающиеся идут по ложному пути, отчаиваются и в конечном итоге выгорают. Думаю, здесь очень важен разумный баланс. В одной из статей, описывающей процессы познания человека, приводилась кривая эффективности обучения, которая зависела во многом от стресса, который испытывает обучающийся, добывая новые знания.

В подтверждение моих слов, могу сказать, что у Offensive Security есть сообщество менторов в Discord, которые отвечают на вопросы учеников, помогают и направляют. Во всех сертификациях на этапе обучения дается возможность использования подсказок или просмотра варианта решения – это полезно не только тем, кто запутался и нуждается в помощи, но и тем, кто решил самостоятельно, так как вариант решения авторов может отличаться.

Cyber Media: Насколько работодатели обращают внимание на наличие у специалиста профильных сертификатов? Часто ли они встречаются в требованиях к соискателю?

Максим Дунаевский: Да, достаточно часто на позиции специалистов по анализу защищенности или Application Security в качестве преимущества выделяют наличие сертификатов OSCP и OSWE, несколько раз видел упоминания BSCP. Увидев соответствующую строчку в резюме, можно представить пул тем, в которых кандидат должен ориентироваться.

На практике иногда складывается впечатление, что курс был «заучен» на уровне рутинных операций и действий, которые нужно выполнить. Мне кажется, так получается, когда фокус с получения знаний смещается в сторону получения сертификата.

Cyber Media: Сертификат BSCP появился сравнительно недавно. Что он собой представляет и насколько полезен для специалиста по анализу защищенности?

Максим Дунаевский: Ранее упоминал платформу Portswigger Academy. BSCP – это сертификат, который можно получить, обучившись на данной платформе. Несмотря на то, что он появился относительно недавно, сертификат уже успел получить большое количество позитивных отзывов. По моему мнению, причин здесь несколько.

Первая и наиболее значимая – обилие доступного без ограничений материала и огромное количество практических лабораторных работ. Формат обучения представляет собой изучение теории и немедленную отработку на практике, что позволяет качественно усваивать материал. Кроме того, сравнивая с аналогами, а именно OSWA от Offensive Security и CBBH от HackTheBox Academy, BSCP имеет относительно невысокую стоимость – 99$.

Сдача экзамена осуществляется без прокторинга, и не требует написания отчета, однако, это не делает его простым – экзаменуемому требуется за четыре часа успешно выполнить по три этапа в двух веб-приложениях. Под этапами понимается получение начального доступа в веб-приложение, затем повышение привилегий, и наконец, чтение локального файла, расположенного на целевой системе.

Таким образом, для успешной сдачи необходимо решить 100% заданий, у экзаменуемого нет права на ошибку. По собственному опыту могу сказать, что времени не так много, как может показаться на первый взгляд, поэтому необходимо действовать собранно и быстро.

Cyber Media: Расскажите о вашем опыте получения сертификата OSCP. Насколько сложна программа, актуальна ли она, с какими сложностями вы столкнулись?

Максим Дунаевский: Как отмечал ранее, обновление сертификата случилось чуть больше года назад. Новая версия во многом стала актуальнее и современнее – были убраны несколько тем, которые выбивались из общей канвы, кроме того просматривается работа опытных методологов. Порадовали также и разнообразные практические задачи, которые точечно покрывают материалы модулей.

Отдельного внимания заслуживают обновленные лаборатории. Кроме переработки самих виртуальных машин, теперь они не являются отдельными а включены в сети, которые разворачиваются под конкретного пользователя. Это очень удобно, так как исключается возможность перезапуска машин со стороны других студентов.

Что касается практической пользы – курс хорош тем, что помимо новых знаний, при правильном подходе, он также формирует необходимое мышление (mindset), которое в будущем позволит развиваться и самостоятельно изучать новые технологии и системы.

Говоря про полезность для меня – я специалист направления Application Security, и в своей практике не так часто сталкиваюсь с анализом защищенности инфраструктуры. В то же время, есть такие понятия как кругозор и насмотренность, отличный способ развития которых – это получение знаний в новых, малоизученных направлениях.

Кроме того, вынужден признаться, что получение OSCP было мечтой, которой я загорелся будучи еще совсем начинающим специалистом в SolidLab. Пользуясь случаем, хочу выразить слова благодарности коллегам, которые поддержали и помогли на этом нелегком пути.

Cyber Media: Существует ли какая-то общая иерархия сертификатов для специалиста по анализу защищенности или роадмап, которому можно следовать?

Максим Дунаевский: Каких-то сформированных роадмапов нет. Конечно, время от времени можно встретить на различных форумах рекомендации из набора доменов знаний, которые нужны специалисту по анализу защищенности, но без практического применения сложно осознать ценность этих знаний. Кроме того, многое зависит от предыдущего опыта и желаемого вектора развития.

Я начинал как специалист без какого либо опыта и считаю, что наиболее быстро и эффективно происходит процесс развития через изучение безопасности мобильных или веб-приложений. Отчасти это связано с тем, что они нативно ближе к нам как к пользователям. Ведь с ними мы сталкиваемся каждый день. Немаловажным является обилие структурированных материалов, которые можно самостоятельно изучить.

В любом случае, знания защищенности веб-приложений в большей или меньшей степени нужны всем – и AppSec-специалистам и специалистам по анализу защищенности, поэтому я считаю данную область хорошей отправной точкой.

Что касается иерархии – однажды мне попадалась интересная работа, в которой собрано множество сертификаций по сферам. Ее польза заключается в том, что можно изучить различные сертификации, темы, которые они затрагивают и выбрать что-то подходящее для себя.