В ИБ-среде не так популярны «курсы ради курсов» с номинальными дипломами. Наибольшую ценность представляют специализированные международные сертификаты, которые дают возможность чувствовать тренды и пульс кибербезопасности на кончиках пальцев.
- Введение
- Проблемы подстерегают везде: от регистрации до оплаты
- Что нужно знать о формате экзамена
- Вопросы: теоретические и практические
- «Open book»: вариант доступен, но не везде об этом знают
- Выводы
Введение
Получение международных сертификатов важно как для специалистов, так и для многих компаний, которые рассматривают эти документы как важный показатель квалификации. Компании готовы инвестировать в обучение порой даже новых сотрудников, если в этом есть потенциал. В современных реалиях доступ к получению некоторых международных сертификатов в России находится под санкциями, поэтому желающим получить необходимый документ приходится искать другие пути.
Рассмотрим процесс международной сертификации на примере получения сертификата GCFA. Прохождение соответствующего экзамена будет важным этапом для подтверждения квалификации у любого серьёзного киберкриминалиста. При этом экзамен вполне стандартен, как и возможные подводные камни, которые могут встретиться на пути.
Описание экзамена звучит так: «Сертификация GIAC Certified Forensic Analyst (GCFA) сфокусирована на основных навыках, необходимых для сбора и анализа данных компьютерными системами. Кандидаты обладают знаниями, навыками и умением проводить расследования инцидентов и работать с передовыми сценариями обработки инцидентов, включая внутренние и внешние вторжения с утечкой данных, усложнённые постоянные угрозы, методы защиты от криминалистики, используемые злоумышленниками, и сложные случаи цифровой криминалистики». Заметим, что российского аналога такого сертификата нет и даже не предвидится — как минимум в ближайшем будущем.
Проблемы подстерегают везде: от регистрации до оплаты
В нашем случае трудности начались ещё на этапе регистрации. Если при заполнении формы на сайте экзаменатора (в данном случае это SANS) в графе «Billing Address» (адрес, куда вам «выставляют счёт») указать РФ, то доступ к экзамену будет закрыт. Технически это выглядит так: после заполнения формы на сайте и проведения оплаты в течение нескольких дней (7 business days) на электронную почту должно прийти подтверждение, что доступна запись на экзамен. Вот только этого не происходит, а при обращении в поддержку приходит ответ о недоступности услуги (рис. 1).
Рисунок 1. Ответ техподдержки на запрос
Поэтому при регистрации в графе «Billing Address» нужно указывать страну, которая не подпадает под санкции, создавать адрес, который нельзя ассоциировать с РФ, и использовать VPN. Тогда всё срабатывает.
Оплату картами российских банков произвести невозможно. Если у самого экзаменуемого нет иностранной карты, придётся найти друзей / знакомых / коллег, готовых выступить в качестве посредника, или воспользоваться другими известными способами.
Но на этом возможные сложности не заканчиваются. В нашем случае при первой попытке деньги были списаны с карты, но не поступили на счёт принимающей стороны. Команда поддержки SANS рекомендовала оплатить ещё раз, но мы решили подождать. В результате деньги вернулись обратно на карту, после чего вторая попытка оплаты прошла успешно. Возможность сдавать экзамен была подтверждена, но вместо считаных часов это простое действие заняло несколько месяцев.
Что нужно знать о формате экзамена
После выдачи разрешения на сдачу сертификационного экзамена устанавливают дедлайн: нужно пройти все необходимые этапы за определённый срок.
При подготовке GIAC Certified Forensic Analyst доступен тренировочный экзамен (Practice Test), который максимально близок к реальному. Настоятельно рекомендуем брать его, чтобы понять процедуру, а не только пройти тренировку, хотя последнее тоже важно.
Будьте внимательны: тренировочный и основной экзамены полностью совпадают по формату, но различаются по содержанию, вопросы не совпадают. Поэтому не стоит надеяться, что найденные ответы для «Practice Test» попадутся в ходе основного экзамена.
«Practice Test» не бесплатен (правда, его можно оплатить вместе с основным), а также имеет свой дедлайн. Сроки щадящие: при оплате экзамена и теста 31 августа, как это произошло в нашем случае, нужно было сдать тренировочный экзамен до 31 декабря 2023-го, а основной — до конца февраля 2024 года.
Основной экзамен сдавали в одной из дружественных стран. Может быть, такой уровень предосторожности был излишним — возможность дистанционной сдачи доступна, — но после упомянутых проблем с оплатой рисковать не хотелось.
Вопросы: теоретические и практические
Формат экзаменов мирового уровня стандартен: есть вопросы, есть ограничения по времени на получение ответов. Например, в GIAC Certified Forensic Analyst нужно за три часа дать ответы на 82 вопроса, из которых 75 — теоретические, а 7 — практические (CyberLive).
Теоретические вопросы представлены в форме теста. Некоторые выглядят странно, так как рассчитаны на прямое знание некоторых технических параметров, которые специалисты в памяти обычно не держат. Например, для ответов на некоторые из вопросов нужно было знать буквально наизусть изменения всех временных меток в NTFS при разных манипуляциях, причём для различных версий Windows. Таких вопросов немного, но они есть.
Для практических задач дана виртуальная среда, в которой нужно выполнить заданные действия: сделать / распарсить или найти / проанализировать. Как показывает практика, для специалиста с опытом практическая часть не представит проблем: нет никаких ограничений в методах решения задач, есть машина SIFT с полным набором форензик-инструментов.
«Open book»: вариант доступен, но не везде об этом знают
Все экзамены GIAC имеют формат «open book». Об этом напрямую заявлено на сайте компании.
Рисунок 2. Подробно прописанный на официальном сайте формат «open book»
Это означает, что с собой можно брать любую документацию: книги, шпаргалки (cheat sheets) SANS, заметки — но только в бумажной форме. Однако даже это не гарантирует успешного прохождения экзамена. Проверять ответ на каждый вопрос нет возможности. Во-первых, вы просто не успеете по времени. Во-вторых, в явном виде ответы на экзаменационные вопросы в документации отсутствуют.
Впрочем, в нашем случае сотрудник сертификационного центра не знал, что такое формат «open book». Поэтому даже от нескольких листков с записями попросили отказаться, так как их посчитали шпаргалками. Сдавать экзамен пришлось один на один с компьютером.
Рисунок 3. Зачёт экзамена при доле правильных ответов в 71 %
Выводы
Экзамены на получение международных сертификатов российским специалистам сдавать можно. Это полезно самим экспертам, которые в ходе подготовки обновляют и расширяют свои знания, а также актуально для компаний, у которых появляется ещё один действенный инструмент для мотивации, развития и обучения сотрудников.
Подготовка к экзамену требует времени, а также наличия существенного опыта практической работы в предметной области. Например, в рассматриваемом нами варианте в качестве рекомендованной литературы был указан курс FOR508, поэтому мы воспользовались доступными учебными материалами по нему, однако без предварительной практики крайне трудно усвоить весь этот объём материала, да ещё на нужном для экзамена уровне. Без практической базы искать ключевые моменты будет проблематично, хотя в ряде случаев это возможно. Практикующий специалист точно должен справиться.
Технические проблемы при взаимодействии с компанией-экзаменатором возникают. Такая ситуация, конечно, раздражает, но к ней следует быть готовым, знать, как обеспечить соответствие формальным требованиям, и запастись спокойствием.
