Offensive Security Certified Professional ( OSCP ) es una certificación de piratería ética ofrecida por Offensive Security que enseña metodologías de prueba de penetración y el uso de las herramientas incluidas con la distribución Kali Linux (sucesora de BackTrack ). [1] El OSCP es una certificación de prueba de penetración práctica , que requiere que los titulares ataquen y penetren con éxito en varias máquinas activas en un entorno de laboratorio seguro. [2] Se considera más técnico que otras certificaciones de piratería ética, [3] [4]y es una de las pocas certificaciones que requiere evidencia de habilidades prácticas en pruebas de penetración . [5]
Curso OSCP
El curso previo a la certificación OSCP se ofreció por primera vez en 2006 con el nombre "Offensive Security 101". Los estudiantes que esperaban un curso 101 no estaban preparados para el nivel de esfuerzo que requiere el curso, por lo que el nombre se cambió a "Pentesting With BackTrack" en diciembre de 2008 y nuevamente a "Penetration Testing With Kali Linux" cuando la distribución BackTrack se reconstruyó como Kali. . [5]
El curso cubre los vectores de ataque comunes que se utilizan durante las pruebas de penetración y la auditoría. El curso se ofrece en dos formatos, ya sea en línea o en clases "dirigidas por un instructor". El curso en línea es un paquete que consta de videos, un PDF, tareas de laboratorio y acceso al laboratorio. El curso dirigido por un instructor es una capacitación intensiva en vivo que cubre el mismo material, también con acceso al laboratorio. Los laboratorios son accesibles a través de una conexión a Internet de alta velocidad y contienen una variedad de sistemas operativos y dispositivos de red donde los estudiantes realizan sus tareas.
Desafío OSCP
Al finalizar el curso, los estudiantes son elegibles para tomar el desafío de certificación. [6] Se les da 24 horas en un laboratorio desconocido para completar con éxito los requisitos del examen. La documentación debe incluir los procedimientos utilizados y la prueba de la penetración exitosa, incluidos los archivos de marcadores especiales que se cambian por examen. Los resultados del examen son revisados por un comité de certificación y se da una respuesta dentro de los 10 días hábiles. [7]
Recertificación
El OSCP no requiere recertificación. [8]
Relaciones con otras capacitaciones o exámenes de seguridad
La finalización exitosa del examen OSCP califica al estudiante para 40 (ISC) ² créditos CPE .
En 2015, el organismo de acreditación predominante en el Reino Unido para las pruebas de penetración, CREST, [9] comenzó a reconocer a OSCP como equivalente a su calificación de nivel intermedio CREST Registered Tester (CRT). [10]
Recepción
En "Kali Linux: una caja de herramientas para pentest", JM Porup calificó la certificación OSCP como "codiciada" porque requería aprobar un difícil examen de 24 horas que demostraba la piratería. [11] En un comunicado de prensa sobre un nuevo director de operaciones para una empresa de servicios de seguridad, el uso de profesionales de OSCP por parte de la empresa se describió como una fortaleza. [12] En "La guía definitiva para comenzar con la ciberseguridad", Vishal Chawla de Analytics India Mag recomendó OSCP como una de las dos certificaciones de seguridad "bien conocidas". [13] En una entrevista con el director ejecutivo de Offensive Security, Ning Wang, Adam Bannister de The Daily Swig habló sobre una "actualización importante" del curso de formación "Penetration Testing with Kali Linux (PWK)", que conduce a la certificación OSCP para los estudiantes que aprueben la final. examen. [14] Las actualizaciones de formación se discutieron en detalle en la seguridad de la red de ayuda. [15]
En Los fundamentos de la piratería web: herramientas y técnicas para atacar la web , Josh Pauli calificó a OSCP como "muy respetado". [16] Educación en ciberseguridad para la concientización y el cumplimiento brindó un esquema del programa de estudios del curso de capacitación para OSCP. [17] En Phishing Dark Waters: Los lados ofensivo y defensivo de los correos electrónicos maliciosos , el coautor Christopher Hadnagy mencionó a OSCP como una de sus calificaciones. [18] La Guía de la Fundación Certified Ethical Hacker (CEH) enumeró a OSCP como una de las dos certificaciones de Offensive Security para una "Pista de pruebas de seguridad". [19] Sicherheit von Webanwendungen in der Praxis también incluyó OSCP en una lista de certificaciones recomendadas. [20] La construcción de un laboratorio de Pentesting para redes inalámbricas denominó capacitación en seguridad ofensiva "práctica y práctica" y dijo que eran "las más recomendadas". [21]
En "El plan de estudios de pregrado en seguridad de la información: evolución de un programa pequeño", Lionel Mew de la Universidad de Richmond dijo que el 35% de los trabajos de seguridad de la información requieren certificaciones y describió a OSCP como una "certificación popular". [22] "Mantener un plan de estudios de ciberseguridad: Certificaciones profesionales como una guía valiosa" denominó a OSCP una "certificación avanzada" y una de "unos pocos" que requieren demostraciones prácticas de habilidades de penetración. [23]
Referencias
- ^ "Profesional certificado de seguridad ofensiva" . Seguridad ofensiva . Consultado el 13 de octubre de 2016 .
- ^ Linn, Ryan (1 de marzo de 2010). "Revisión final del curso y examen: prueba de lápiz con BackTrack" . EH-Net Online Mag . Consultado el 13 de octubre de 2016 .
- ^ Westfall, Brian (15 de julio de 2014). "Cómo conseguir un trabajo como un hacker ético" . Defensa inteligente . Asesoramiento sobre software . Consultado el 13 de octubre de 2016 .
- ^ Dix, John (11 de agosto de 2016). "¿Qué tan bien funciona la ingeniería social? Una prueba arrojó un 150%" . Mundo de la red . Consultado el 13 de octubre de 2016 .
- ^ "Cursos de formación en seguridad de la información y hacking ético" . Seguridad ofensiva . Consultado el 13 de octubre de 2016 .
- ^ "Guía de examen de certificación OSCP - seguridad ofensiva" . support.offensive-security.com . Consultado el 12 de enero de 2020 .
- ^ https://www.offensive-security.com/faq/#how-long-cert-valid
- ^ Knowles, William; Barón, Alistair; McGarr, Tim (26 de mayo de 2015). Análisis y recomendaciones para la estandarización en pruebas de penetración y evaluación de vulnerabilidades: Estudio de mercado de pruebas de penetración (Informe). Grupo BSI y Universidad de Lancaster .
- ^ "CREST firma nueva asociación con seguridad ofensiva para mejorar los estándares de seguridad de la información" (Comunicado de prensa). CREST y seguridad ofensiva. 4 de agosto de 2015.
- ^ "Kali Linux: Une boîte à outils pour pentest - Le Monde Informatique" . LeMondeInformatique (en francés) . Consultado el 15 de marzo de 2020 .
- ^ "Anchin, Block & Anchin LLP expande la práctica de ciberseguridad de la empresa - Tab Bradshaw se une como nuevo líder de Redpoint Cybersecurity LLC" . Benzinga . Consultado el 15 de marzo de 2020 .
- ^ Chawla, Vishal (24 de febrero de 2020). "La guía definitiva para empezar con la ciberseguridad" . Revista Analytics India . Consultado el 15 de marzo de 2020 .
- ^ " ' Somos nuestro propio grupo de enfoque': Ning Wang en certificación de seguridad, capacitación y mantenimiento de Kali Linux en la cima" . El trago diario | Noticias y opiniones sobre ciberseguridad . 2020-03-03 . Consultado el 15 de marzo de 2020 .
- ^ "Offensive Security lanza una actualización importante para su curso de formación de pruebas de penetración con Kali Linux" . Ayuda Net Security . 2020-02-11 . Consultado el 15 de marzo de 2020 .
- ^ Pauli, Josh (18 de junio de 2013). Los fundamentos de la piratería web: herramientas y técnicas para atacar la web . Elsevier. pag. 140. ISBN 978-0-12-416659-2.
- ^ Ismini, Vasileiou; Steven, Furnell (22 de febrero de 2019). Educación en ciberseguridad para la concientización y el cumplimiento . IGI Global. págs. 233-234. ISBN 978-1-5225-7848-2.
- ^ Hadnagy, Christopher; Fincher, Michele (18 de marzo de 2015). Phishing Dark Waters: el lado ofensivo y defensivo de los correos electrónicos maliciosos . John Wiley e hijos. págs. viii. ISBN 978-1-118-95848-3.
- ^ Rahalkar, Sagar Ajay (29 de noviembre de 2016). Guía de la Fundación Certified Ethical Hacker (CEH) . Presione. pag. 184. ISBN 978-1-4842-2325-3.
- ^ Rohr, Matthias (19 de marzo de 2018). Sicherheit von Webanwendungen in der Praxis: Wie sich Unternehmen schützen können - Hintergründe, Maßnahmen, Prüfverfahren und Prozesse (en alemán). Springer-Verlag. pag. 447. ISBN 978-3-658-20145-6.
- ^ Fadyushin, Vyacheslav; Popov, Andrey (28 de marzo de 2016). Creación de un laboratorio de pentesting para redes inalámbricas . Packt Publishing Ltd. pág. 234. ISBN 978-1-78528-606-3.
- ^ Mew, Lionel (2016). "El plan de estudios de pregrado en seguridad de la información: evolución de un programa pequeño" (PDF) . Actas 2016 de la Conferencia EDSIG . 2 : 5.
- ^ "Mantener un plan de estudios de ciberseguridad: certificaciones profesionales como orientación valiosa" (PDF) . Revista de Educación en Sistemas de Información . 28 : 106.Diciembre de 2017.
enlaces externos
- Página web oficial