* esse artigo também foi publicado na edição de nº30 da Revista Espírito Livre
O
que mais vejo em listas de discussão da área de segurança, e ouço
de meu alunos e pessoas que assistem minhas palestras é a seguinte
pergunta: qual é a melhor certificação na área de segurança da
informação?
Há
outras variantes sobre o mesmo tema, mas é sempre alguém querendo
saber qual é a melhor certificação para se obter tanto para quem
está entrando nessa área, quanto para quem quer crescer ainda mais.
Por
conta de tantas dúvidas sobre o mesmo assunto, ainda mais na área
de S.I., pensei em escrever esse artigo para clarear um pouco mais a
questão.
Primeiro
vou tentar elencar as certificações mais importantes para o mercado
nesse momento, tanto para quem pensa em enfrentar o mercado
tupiniquim, quanto para quem pensar em buscar outras oportunidades ao
redor do mundo. Afinal, certificação reconhecida apenas
nacionalmente, em plena era da globalização, é pura perda de
tempo.
A
maioria das certificações que procurarei abordar, são vendor
neutral, mas algumas fugirão dessa regra, por mais que eu me
esforce.
Um
exemplo disso, são as certificações da CISCO. Por mais que
queiramos fugir, a CISCO ainda detém uma imensa fatia do mercado de
equipamentos de redes e infraestrutura. E esse fabricante, por saber
o quanto a segurança de uma infraestrutura é importante para uma
organização, desenvolveu um currículo bem interessante para os
profissionais que já trabalham com CISCO e possuem pelo menos o
CCNA. Partindo dessa certificação básica desse vendor, o
profissional pode decidir por especializar-se em segurança de
infraestrutura de redes, seguindo o padrão CISCO com as
certificações CCNA Security, CCNP Security e CCIE Security.
Essas
certificações, são bem interessantes quando pensamos no
profissional que atua como analista de infraestrutura e deseja migrar
para a área de segurança. Mas e para o profissional que administra
redes? As certificações LPI, voltadas para Linux são muito boas,
principalmente quando culminam na LPI 303, cujo foco é segurança em
servidores Linux.
A
LPI 303, aborda temas que possibilitam o profissional que atua com
Linux, realizar o hardening e proteger seus servidores de acessos
indevidos e ataques remotos e locais. Os temas abordados englobam
desde criptografia de disco, à VPN e monitoramento com Nagios.
Eu
costumo inclusive brincar, que se alguma empresa quer um profissional
com conhecimento de infra e administração de redes, é só ver se o
profissional tem o conhecimento prático e vivencial que é pedido
para uma certificação LPI e CISCO conjugadas. Mas vamos em frente,
pois o nosso foco aqui é segurança... E só falamos de quatro
certificações até agora.
Quando
alguém me pergunta qual a melhor certificação para conseguir
entrar no mercado de SI, prontamente digo: ISO 27002. Essa é bem
básica, fácil de tirar e precisa constar no currículo de todo
profissional de segurança da informação. Mas deve-se ficar bem
claro, que junto dessa certificação, o profissional deve ter um
conhecimento extenso sobre a norma ISO 27001, para saber o porque de
muita coisa da 27002. Mas ainda assim, essas certificações ainda
são para níveis de gestão e consultoria apenas, sem conhecimento
técnico muito forte como pré-requisito.
Outra
certificação para quem já tem um pé em segurança, atuando com
alguns controles como administrador de redes ou analista de infra
(onde em muitas empresas é esse o profissional que faz tudo), é a
Security+ da CompTIA, que aborda diversos temas sobre segurança e
precisa da comprovação de dois anos de atuação na área.
Considero essa certificação como um nível intermediário,
preparatório para outras mais complexas.
Continuando
ainda no nível de gestão, temos a CISM (Certified Information
Security Manager) criada pela ISACA, que tem como foco os
profissionais que atuarão como gerentes de SI, tomando as decisões
mais burocráticas e de nível de gestão que envolvem a segurança
numa organização.
Da
ISACA também, com um bom nível de importância no mercado, temos a
CISA (Certified Information Systems Auditor), possui um foco em
auditoria, controles e segurança. Se o profissional pretende seguir
o rumo da auditoria em TI e SI em geral, essa é uma certificação
obrigatória.
Partindo
agora para uma outra empresa certificadora, onde se encontram
atualmente as certificações mais requisitadas pelo mercado de
segurança, a (ISC)², cito três certificações como as mais
interessantes para os profissionais que já atuam na área, mas
precisam de um respaldo maior para ascenderem em suas carreiras:
SSCP, CSSLP e CISSP.
A
primeira dessas certificações, SSCP (Systems Security Certified
Practitioner), tem como foco profissionais que atuem como analistas
de segurança, administradores de rede e sistemas. A prova engloba
parte dos domínios existentes no CBK (Common Body Knowledge), e que
também fazem parte dos domínios cobrados na prova para a CISSP. É
interessante para os profissionais que estão iniciando em segurança,
que não se sentem seguros para realizar a prova para CISSP já de
início, mas querem uma certificação respeitada internacionalmente
na área.
Já
a CSSLP, Certified
Secure Software Lifecycle Professional, é uma das primeiras
certificações no mundo a abordar o tema desenvolvimento seguro. Não
há foco na codificação, ou limitação no que diz respeito às
linguagens que suporta, pois é mais global, focando em todo o ciclo
de produção de um software e validando em cada ponto, os princípios
de segurança existentes.
Há
pouquíssimos profissionais dessa área no mercado atualmente, e é
uma excelente oportunidade para quem trabalha com desenvolvimento e
quer migrar para segurança da informação, pois permitirá coadunar
sua experiência prévia, com os novos conceitos aprendidos sobre
segurança, e de uma maneira que está de acordo com as necessidades
atuais do mercado.
Agora,
chegamos na certificação mais importante para o mercado de
segurança, a CISSP. Devemos manter em mente, que ela não é uma
certificação técnica e nem tem esse objetivo. No entanto, ela
requer um conhecimento bem amplo quanto as soluções existentes nos
diversos domínios do CBK desenvolvido pela (ISC)². Tais domínios
abordados na prova são:
- Access Control
- Application Development Security
- Business Continuity and Disaster Recovery Planning
- Cryptography
- Information Security Governance and Risk Management
- Legal, Regulations, Investigations and Compliance
- Operations Security
- Physical (Environmental) Security
- Security Architecture and Design
- Telecommunications and Network Security
A
prova, até ano passado, era aplicada apenas em papel, e em inglês.
No entanto, do final do ano passado pra cá, tivemos ótimas
notícias, inclusive uma que deixou à todos felizes esse mês
(setembro/2011): as provas desde o final do ano passado já são
aplicadas em português, e partir de outubro de 2011, elas também
poderão ser realizadas em alguns centros credenciados pela VUE e
Prometric.
Essas
duas decisões são importantes para, em primeiro lugar, focar a
avaliação nos domínios, e não no nível de proficiência que o
profissional tem da língua inglesa. E em segundo, porque antes
haviam poucas vagas nas poucas vezes em que a prova era aplicada aqui
no Brasil, inclusive forçando que os profissionais se deslocassem
para São Paulo, gastando com deslocamento e hospedagem para realizar
a prova, e ainda assim corriam o risco de não conseguir vagas para a
prova, já que sempre eram poucas. E uma das coisas interessantes, é
que antes era necessário aguardar algumas semanas, e agora com a
prova no formato eletrônico, o resultado sai assim que o candidato
finaliza a prova.
Agora,
quem quiser realizar essa prova, prepare-se para a maratona, pois são
em média 250 perguntas, mas sem uma solução muito definida do tipo
“qual a flag de resposta quando é enviado uma pacote com a flag
null ativa para uma porta aberta?”. Na prova da CISSP, as questões
são sempre contextualizadas, cobrando uma solução que melhor se
encaixe naquele cenário específico. Por isso, alguns anos de
experiência na área de segurança, além de ser um dos
pré-requisitos para obter a certificação, também auxiliará o
profissional à responder as questões de forma mais concisa e
coerente.
Essa
certificação, CISSP, é pré-requisito para quem quer sair do
Brasil e conseguir uma vaga lá fora na área de segurança da
informação. E aqui no Brasil, como ainda são poucos os
profissionais com esse certificado, ainda é possível conseguir bons
salários comparados com outras áreas de atuação em nosso país
(faixa salarial de 10.000,00 à 20.000,00 dependendo do nível de
gestão em que o profissional atue).
Para
quem quiser saber um puco mais sobre os domínios abordados nas
provas das certificações da (ISC)², é interessante acessar o
seguinte link:
Agora
vamos partir para certificações mais técnicas, e analisar algumas
das oferecidas pela SANS, EC-Council, ISECOM, Offensive Security e
Immunity.
A
SANS, através da entidade certificadora conhecida como GIAC (Global
Information Assurance Certification), oferece dezenas de
certificações para a área de segurança da informação. Vou falar
apenas de algumas delas.
As
certificações oferecidas pela SANS são altamente reconhecidas no
mercado internacional, mas ainda estão em processo de valorização
aqui no Brasil. Portanto, se quer uma certificação conceituada e
tem como objetivo sair do Brasil ou atuar em uma multinacional, as
certificações GIAC são uma excelente pedida.
Elas
são agrupadas em categorias, que são as seguintes, atualmente:
- Security Administration
- Audit
- Management
- Operations
- Software Security and/or Secure Coding
- Forensics
- Legal
- Expert
Entre
essas categorias, podemos contar com dezenas de certificações, as
quais destaco a seguir, como sendo as mais interessantes na parte
técnica referente à segurança, de acordo com a área de atuação
desejada pelo profissional.
Para
quem atua ou quer atuar com resposta à incidentes:
- GCIA - GIAC Certified Intrusion Analyst
- GCIH - GIAC Certified Incident Handler
Para
quem deseja atuar com teste de invasão e avaliações de segurança:
- GPEN - GIAC Penetration Tester
- GWAPT - GIAC Certified Web Application Penetration Tester
- GAWN - GIAC Assessing Wireless Networks
Para
quem deseja atuar com forense computacional e análise de malware:
- GCFE - GIAC Certified Forensic Examiner
- GCFA - GIAC Certified Forensic Analyst
- GREM - GIAC Certified Reverse Engineering Malware
Desde
2005 surgiu uma controvérsia com relação às certificações da
SANS, mas nada que comprometesse sua credibilidade no mercado. Essa
organização, decidiu facilitar o processo de obtenção de suas
certificações criando dois níveis, o Silver e o Gold. Para tirar
uma certificação no nível Silver, basta o profissional realizar as
provas de múltiplas escolhas necessárias para aquela área
específica. No entanto, se o profissional quiser ser um certificado
Gold, ele precisa finalizar o desafio prático apresentado, para
comprovar sua aquisição de conhecimento aplicado à situações
práticas.
A
Ec-Council, outra entidade que oferece certificações para a área
de segurança, também possui reconhecimento internacional, inclusive
com a chancela do Pentágono (órgão de defesa americano). Suas
certificações tem ganhado um reconhecimento maior no mercado
brasileiro, e possuem um foco mais técnico do que gerencial.
Apesar
da Ec-Council oferecer mais de uma dezena de certificações, vou
abordar apenas quatro delas, com foco mais técnico e próximo das
necessidades de um profissional de segurança. São elas: ECSA, CEH,
LPT e CHFI.
Para
quem está iniciando em segurança, está bem cru mesmo e quer
entender o que um analista de segurança faz e quais suas
atribuições, aconselho a certifica ECSA (Ec-Council Security
Analyst), que aborda os temas básicos da atuação com segurança da
informações e os controles de segurança que precisam ser
implementados, para tornar uma infraestrutura mais segura. Agora, não
esperem demais dessa certificação, pois ela é inicial e
introdutória no assunto de segurança, não sendo indicada para
profissionais que já atuem na área e tenham experiência de alguns
anos.
Para
quem quer algo um pouco mais aprofundado, a CEH (Certified Ethical
hacker) é mais interessante, pois já aborda a questão das
avaliações de segurança, como teste de invasão e auditoria de
segurança em redes e sistemas. É reconhecida internacionalmente,
mas na minha opinião peca por não ter uma avaliação prática, com
desafios do tipo “capture the flag”. Entretanto, ainda assim é
uma certificação interessante que força o aluno a estudar bastante
os conceitos de segurança e testes.
Atualmente,
reunindo a certificação ECSA e CEH, caso o profissional tenha
experiência e atuação com testes de invasão, ele pode reunir as
documentações comprobatórias necessárias de sua experiência, e
requerer à Ec-Council a certificação LPT (Licensed Penetration
Tester), que certifica o profissional como sendo um pentester
reconhecido por uma organização internacional, a Ec-Council.
Confesso
que dessas certificações da Ec-Council, aqui no Brasil só vi em
vagas de empregos, a solicitação da CEH e da CHFI, a próxima
a ser comentada.
A
CHFI (Certified Hacking Forensic Investigator), já possui um foco
bem específico, que é a forense computacional. É bem interessante
o conteúdo cobrado, desde que o profissional saiba como aplicá-lo,
pois como todas as outras provas da Ec-Council, é tudo teórico com
múltiplas escolhas. No entanto, o nível técnico dessa certificação
é superior aos das citadas anteriormente, pois pressupõe um
conhecimento prévio do que é abordados nas três certificações
anteriores. Afinal, como um investigador poderá encontrar indícios
se não conhece como deve ser um ambiente seguro, como normalmente
ele pode ser comprometido, e quais as ferramentas e métodos
utilizados numa invasão? Logo, podemos assumir que a CHFI é uma
reunião dos conhecimentos necessários para as certificações
anteriores mais o conhecimento investigativo, necessário para a
recriação de cenários complexos através da descobertas de
indícios e evidências, em sistemas Windows, Linux, MAC, imagens,
roteadores, redes, e etc.
As
três organizações restantes, ISECOM, Offensive Security e
Immunity, oferecem poucas certificações, mas nem por isso são
menos importantes.
A
ISECOM é responsável pela manutenção e suporte à OSSTMM, uma
metodologia internacionalmente aceita como muito adequada para a
realização de testes de invasão. O que é interessante é que essa
metodologia foi tão bem aceita no mercado, que estuda-se a
possibilidade de transformá-la em uma norma ISO, específica para os
testes de segurança. Portanto, qualquer uma das duas certificações
dessa entidade, OPSA e OPST (OSSTMM Professional Security Analyst e
OSSTMM Professional Security Tester), é interessante para quem
quiser já estar preparado para essa mudança radical, tornando essa
metodologia um padrão adotado internacionalmente.
A
primeira certificação OPSA, é mais voltada para analistas de
segurança, administradores de rede com foco em segurança e CSO’s,
que precisam ter um conhecimento mais aprofundado que a média sobre
uma metodologia de testes de segurança, mas sem necessariamente
precisar realizar esses testes ou avaliações de forma mais
especializada.
Já
a OPST, tem um foco mais aprofundado, na realização de testes de
segurança, fazendo com que essa seja a escolha mais acertada para os
profissionais que atuem diretamente realizando essas avaliações e
investigações, tais como Pentesters e Investigadores Forense.
Agora,
na área de segurança, apesar de ainda não ter o devido
reconhecimento do mercado aqui no Brasil, as certificações que
realmente atestam se o profissional está pronto para atuar na
prática com testes de invasão são: OSCP e OSCE. Sem desmerecer as
demais certificações, acredito que essas duas são as que mais se
aproximam de um ambiente real encontrado por um profissional ao
realizar um testes de invasão.
O
foco de ambas as certificações, é comprovar na prática a
aquisição dos conhecimentos transmitidos ao estudante ao longo do
período que o mesmo tem acesso ao LAB, fornecido pela Offensive
Security, organização mantenedora do Backtrack, distribuição
sobre a qual toda a certificação é baseada.
A
diferença entre ambas certificações, OSCP (Offensive Security
Certified Professional) e OSCE (Offensive Security Certified Expert),
está no treinamento que é realizado e na prova que culminam esses
treinamentos.
Para
a OSCP, o treinamento realizado é o PWB (Pentesting with Backtrack)
com duração de 30, 60 ou 90 dias de acesso, depende de quanto o
aluno quiser pagar pelo tempo de acesso ao LAB. A prova é
exclusivamente prática, onde o aluno tem 24h corridas para realizar
a entrada na rede cedida para avaliação pela Offensive Security, e
alcançar os objetivos propostos, de acordo com os conteúdos
estudados e praticados no LAB.
E
para alcançar a OSCE, o aluno precisa inscrever-se no treinamento
CTP (Cracking the Perimeter), que funciona nos mesmos moldes do PWD,
com acesso ao LAB por um determinado número de dias, acesso à
apostila e vídeos com as técnicas explicadas detalhadamente, que
culminarão numa avaliação bem mais avançada que a primeira: 48h
corridas para a realização das práticas com um relatório final de
tudo o que foi feito. Nesse nível, o aluno não apenas empregará
técnicas de exploração, mas analisará vulnerabilidades, como elas
poderão ser exploradas e precisará desenvolver seus próprios
exploits para explorar as vulnerabilidades encontradas (um adendo: os
exploits desenvolvidos precisam ser enviados ao final da avaliação).
Portanto,
deve estar claro para vocês porque essas certificações ainda não
possuem o devido reconhecimento no mercado de segurança, pois para
dominar o processo de testes de invasão e testes de segurança no
nível solicitado por essas certificações, o profissional precisa
ter um nível técnico bem alto.
A
certificação que deixei para o final, não é a menos importante,
mas sim a mais trabalhosa de se conquistar, pois demanda um nível
técnico razoavelmente alto para o que a certificação se propõe.
Essa
certificação é a NOP (Network Offensive Professional), criada pela
Immunity Sec., desenvolvedora do Immunity Canvas e Immunity Debugger,
importantes ferramentas para profissionais de segurança.
Em
primeiro lugar, a prova é de graça, e não se paga nada para tirar
a certificação, a não ser a passagem de avião os EUA (!!!). A
partir daí, na sede da Immunity, o postulando terá pouco mais de 30
minutos para fazer o seguinte: receber dois PE's (executáveis
Windows), com vulnerabilidades que deverão ser detectadas através
do processo de debugging e fuzzing, utilizando ferramentas da própria
Immunity, como é o caso de seu Debugger. Detectando as
vulnerabilidades, é necessário dentro do prazo estipulado
(lembre-se, pouco mais de 30 minutos no total), desenvolver um
exploit, nada muito rebuscado, que faça a exploração dessa
vulnerabilidades e alcance um determinado resultado como definido
pelos aplicadores da prova.
Através
dessa pequena análise de algumas das certificações existentes,
podemos perceber quantas possibilidade temos diante de nós. A
escolha de qual certificação é melhor, sempre vai depender da área
onde o profissional deseja atuar, bem como a empresa onde já
trabalha ou busca uma vaga.
Obviamente
que a maioria dessas certificações é barata e pode ser tirada
facilmente. Algumas são mais fáceis, como citadas ao longo do
texto, mas outras demandam meses de preparação, mesmo que o
profissional já atue na área e tenha alguns anos de experiência.
No entanto, mesmo que o tempo e dinheiro empregados sejam em grande
quantidade algumas vezes, podem acreditar: vale muito à pena. Mas
obviamente que vale mais ainda à pena, quando o profissional além
do papel timbrado, tenha a prática e vivência necessárias para
impor-se no mercado como profissional respeitado e que realmente sabe
o que está fazendo.
Espero
que, de alguma forma, esse artigo possa ter tornado o caminho de
vocês em busca das certificações em segurança, ainda mais claro.
Excelente artigo.
ResponderExcluirRico em conteúdo e conciso.
Me auxiliou muito no inicio de carreira em SI.
Obrigada Luiz, continue a publicar.