Некоторые пентестеры сертифицированы независимо от сертификатов, полученных компанией, в которой они работают. Сертификаты пентестеров являются индивидуальными сертификатами, однако компания, в которой они работают, может поощрять своих сотрудников к получению сертификатов, финансировать этот процесс или даже предоставлять специальное время для обучения и подготовки к экзаменам. Эти сертификаты, конечно, не являются единственным критерием для определения уровня квалификации пентестера: действительно, есть младшие аудиторы безопасности или даже студенты, которые имеют сертификаты OSCP или CEH, а некоторые опытные и очень компетентные пентестеры вообще не имеют сертификатов. Тем не менее, использование сертифицированных пентестеров означает гарантию того, что их навыки были подтверждены независимой третьей стороной.
Сертификация пентестеров: CEH и OSCP
CEH (Certified Ethical Hacker) и OSCP (Offensive Security Certified Professional) — это два широко распространенных, признанных во всем мире сертификата, соответствующих профессии пентестера.
Эти два сертификата отличаются по содержанию и процессу оценки, но их цель — подтвердить уровень знаний и навыков в области этического взлома / наступательной безопасности. CEH и OSCP часто используются компаниями-пентестерами для продвижения среди клиентов.
Сертификаты, специфичные для определенных категорий пентестинга
Существуют и другие сертификаты для пентестеров, более специфичные для определенных видов тестирования на проникновение.
Для тестирования веб-приложений существуют сертификаты GWAPT, eWPT и OSWE. Эти сертификаты ориентированы исключительно на типы дефектов и методы проникновения, характерные для веб-приложений. Действительно, пентестинг веб-приложений требует совершенно иного подхода и навыков, чем пентестинг инфраструктуры и сетей. Если аудиторы безопасности не имеют таких сертификатов, полезно посмотреть, есть ли у них навыки веб-разработки. Действительно, сочетание опыта веб-разработки с опытом проведения пентестинга вызывает больше доверия и компетентности, чем подготовка к сертификации без технического опыта работы в Интернете.
Для проведения пентестинга в области социальной инженерии существует специальная сертификация: SEPP. Она ориентирована исключительно на методы социальной инженерии и позволяет проверить человеческий фактор кибербезопасности. Однако, поскольку эта сертификация не очень распространена, интересно больше сосредоточиться на опыте аудиторов в этой области и способности компании-пентеста предложить соответствующий подход для этого типа тестирования.
Сертификация с учетом специфики технологии
Сертификация по конкретным технологиям не относится непосредственно к пентестингу, но она демонстрирует глубокое понимание определенных технологий, что очень полезно для проведения аудита безопасности.
Что касается серверной части, то технологии Linux, Unix и Windows соответствуют определенным знаниям. Опытный пентестер сможет тестировать системы, основанные на различных типах технологий. Однако глубокое знание Linux, например, позволит пойти дальше в обнаружении и эксплуатации определенных недостатков, а также предоставить более подробные рекомендации по итогам аудита безопасности. Такой тип углубленных знаний может быть продемонстрирован сертификацией Linux или значительным опытом работы в качестве администратора Linux.
Облачные технологии и, в частности, наиболее популярные публичные облачные инфраструктуры (AWS, Azure, Google Cloud) также соответствуют экспертным знаниям. Существуют сертификаты, посвященные облачным технологиям и даже облачной безопасности, например, AWS Certified Security Specialty.
Что касается разработки, то широко используемые технологии (PHP, Java, Ruby, Python, NodeJS и т. д.) также соответствуют специальным знаниям. Это также относится к различным фреймворкам, специфичным для этих технологий. Например, глубокое знание PHP и Symfony позволит пентестеру пойти еще дальше в определенных типах тестов и рекомендаций по устранению уязвимостей. Подобные знания могут быть продемонстрированы сертификацией Symfony или значительным опытом разработки под Symfony.
Другие сертификаты по кибербезопасности
Существуют и другие, более общие сертификаты по кибербезопасности, которые могут иметь пентестеры и которые представляют интерес для их клиентов.
CISSP — это сертификат, который охватывает аспекты аудита и тестирования безопасности, но с общей точки зрения для специалиста по кибербезопасности. Она не является специфической для профессии пентестера, но позволяет подтвердить глобальный уровень владения вопросами кибербезопасности компании (управление рисками, безопасность ресурсов, архитектура и дизайн безопасности, безопасность коммуникаций и сетей, управление идентификацией и доступом, оценки и тесты безопасности, безопасность программных разработок…). Это может быть очень полезно при консультировании клиента по стратегии пентестов в отношении подхода к безопасности, понимаемого как единое целое.
ISO27001 Lead Implementer — это сертификация, которая больше сосредоточена на «функциональных» аспектах безопасности, для сопровождения процесса формализации политики безопасности с целью сертификации ISO27001. Тем не менее, некоторые пентестеры, которые также имеют эту сертификацию, могут рассматривать потребности своих клиентов в пентестировании с более глобальным подходом.