O que mais vejo em listas de discussão da área de segurança e
ouço de meu alunos e pessoas que assistem minhas palestras é a seguinte
pergunta: qual é a melhor certificação na área de segurança da
informação? Há outras variantes sobre o mesmo tema, mas é sempre alguém
querendo saber qual é a melhor certificação para se obter tanto para
quem está entrando nessa área, quanto para quem quer crescer ainda mais.
Por conta de tantas dúvidas sobre o mesmo assunto, ainda mais na área
de S.I., pensei em escrever esse artigo para clarear um pouco mais a
questão.
Primeiro, vou tentar elencar as certificações mais importantes para o
mercado nesse momento, tanto para quem pensa em enfrentar o mercado
tupiniquim, quanto para quem pensar em buscar outras oportunidades ao
redor do mundo. Afinal, certificação reconhecida apenas nacionalmente,
em plena era da globalização, é pura perda de tempo. A maioria das
certificações que procurarei abordar, são vendor neutral, mas algumas
fugirão dessa regra, por mais que eu me esforce.
Um exemplo disso, são as certificações da CISCO. Por mais que
queiramos fugir, a CISCO ainda detém uma imensa fatia do mercado de
equipamentos de redes e infraestrutura. E esse fabricante, por saber o
quanto a segurança de uma infraestrutura é importante para uma
organização, desenvolveu um currículo bem interessante para os
profissionais que já trabalham com CISCO e possuem pelo menos o CCNA.
Partindo dessa certificação básica desse vendor, o profissional pode
decidir por especializar-se em segurança de infraestrutura de redes,
seguindo o padrão CISCO com as certificações CCNA Security, CCNP
Security e CCIE Security.
Essas certificações são bem interessantes quando pensamos no
profissional que atua como analista de infraestrutura e deseja migrar
para a área de segurança. Mas e para o profissional que administra
redes? As certificações LPI, voltadas para Linux são muito boas,
principalmente quando culminam na LPI 303, cujo foco é segurança em
servidores Linux. A LPI 303 aborda temas que possibilitam o profissional
que atua com Linux realizar o hardening e proteger seus servidores de
acessos indevidos e ataques remotos e locais. Os temas abordados
englobam desde criptografia de disco, à VPN e monitoramento com Nagios.
Eu costumo inclusive brincar que se uma empresa quer um profissional
com conhecimento de infra e administração de redes, é só ver se o
profissional tem o conhecimento prático e vivencial que é pedido para
uma certificação LPI e CISCO conjugadas. Mas vamos em frente, pois o
nosso foco aqui é segurança… E só falamos de quatro certificações até
agora.
Quando alguém me pergunta qual a melhor certificação para conseguir
entrar no mercado de SI, prontamente digo: ISO 27002. Essa é bem básica,
fácil de tirar e precisa constar no currículo de todo profissional de
segurança da informação. Mas deve-se ficar bem claro que, junto dessa
certificação, o profissional deve ter um conhecimento extenso sobre a
norma ISO 27001, para saber o porque de muita coisa da 27002. Mas ainda
assim, essas certificações ainda são para níveis de gestão e consultoria
apenas, sem conhecimento técnico muito forte como pré-requisito.
Outra certificação para quem já tem um pé em segurança, atuando com
alguns controles, como administrador de redes ou analista de infra (onde
em muitas empresas é esse o profissional que faz tudo), é a Security+,
da CompTIA, que aborda diversos temas sobre segurança e precisa da
comprovação de dois anos de atuação na área. Considero essa certificação
como um nível intermediário, preparatório para outras mais complexas.
Continuando ainda no nível de gestão, temos a CISM (Certified
Information Security Manager), criada pela ISACA, que tem como foco os
profissionais que atuarão como gerentes de SI, tomando as decisões mais
burocráticas e de nível de gestão que envolvem a segurança em uma
organização.
Da ISACA também, com um bom nível de importância no mercado, temos a
CISA (Certified Information Systems Auditor), que possui um foco em
auditoria, controles e segurança. Se o profissional pretende seguir o
rumo da auditoria em TI e SI em geral, essa é uma certificação
obrigatória.
Partindo agora para uma outra empresa certificadora, onde se
encontram atualmente as certificações mais requisitadas pelo mercado de
segurança: a (ISC)². Cito três certificações como as mais interessantes
para os profissionais que já atuam na área, mas precisam de um respaldo
maior para ascenderem em suas carreiras: SSCP, CSSLP e CISSP.
A primeira dessas certificações, SSCP (Systems Security Certified
Practitioner), tem como foco profissionais que atuam como analistas de
segurança, administradores de rede e sistemas. A prova engloba parte dos
domínios existentes no CBK (Common Body Knowledge), e que também fazem
parte dos domínios cobrados na prova para a CISSP. É interessante para
os profissionais que estão iniciando em segurança, que não se sentem
seguros para realizar a prova para CISSP já de início, mas querem uma
certificação respeitada internacionalmente na área.
Já a CSSLP, Certified Secure Software Lifecycle Professional, é uma
das primeiras certificações no mundo a abordar o tema desenvolvimento
seguro. Não há foco na codificação, ou limitação no que diz respeito às
linguagens que suporta, pois é mais global, focando em todo o ciclo de
produção de um software e validando em cada ponto, os princípios de
segurança existentes.
Há pouquíssimos profissionais dessa área no mercado atualmente, e é
uma excelente oportunidade para quem trabalha com desenvolvimento e quer
migrar para segurança da informação, pois permitirá coadunar sua
experiência prévia com os novos conceitos aprendidos sobre segurança, e
de uma maneira que está de acordo com as necessidades atuais do mercado.
Agora, chegamos na certificação mais importante para o mercado de
segurança: a CISSP. Devemos manter em mente que ela não é uma
certificação técnica e nem tem esse objetivo. No entanto, ela requer um
conhecimento bem amplo quanto as soluções existentes nos diversos
domínios do CBK desenvolvido pela (ISC)². Tais domínios abordados na
prova são:
- Access;
- Control;
- Application;
- Development Security;
- Business;
- Continuity and Disaster Recovery Planning;
- Cyptography;
- Information;
- Security Governance and Risk Management;
- Legal;
- Regulations, Investigations and Compliance;
- Operations;
- Security;
- Physical;
- (Environmental) Security;
- Security;
- Architecture and Design;
- Telecommunications;
- Network Security.
A prova era aplicada apenas em papel e em inglês. Mas em setembro de
2011 elas passaram a ser aplicadas em português, e partir de outubro de
2011, elas também passaram a ser realizadas em alguns centros
credenciados pela VUE e Prometric.
Essas duas decisões foramo importantes para, em primeiro lugar, focar
a avaliação nos domínios, e não no nível de proficiência que o
profissional tem da língua inglesa. E em segundo, porque antes haviam
poucas vagas nas poucas vezes em que a prova era aplicada aqui no
Brasil, inclusive forçando os profissionais se deslocarem para São
Paulo, gastando com deslocamento e hospedagem para realizar a prova, e
ainda assim corriam o risco de não conseguir vagas para a prova, já que
sempre eram poucas. E uma das coisas interessantes é que antes era
necessário aguardar algumas semanas, e agora com a prova no formato
eletrônico, o resultado sai assim que o candidato finaliza a prova.
Agora, quem quiser realizar essa prova, prepare-se para a maratona;
pois são em média 250 perguntas, mas sem uma solução muito definida do
tipo “qual a flag de resposta quando é enviado uma pacote com a flag
null ativa para uma porta aberta?”. Na prova da CISSP, as questões são
sempre contextualizadas, cobrando uma solução que melhor se encaixe
naquele cenário específico. Por isso, alguns anos de experiência na área
de segurança, além de ser um dos pré-requisitos para obter a
certificação, também auxiliará o profissional à responder as questões de
forma mais concisa e coerente.
Essa certificação, CISSP, é pré-requisito para quem quer sair do
Brasil e conseguir uma vaga lá fora na área de segurança da informação. E
aqui no Brasil, como ainda são poucos os profissionais com esse
certificado, ainda é possível conseguir bons salários comparados com
outras áreas de atuação em nosso país (faixa salarial de R$10 mil a R$20
mil dependendo do nível de gestão em que o profissional atue). Para
quem quiser saber um puco mais sobre os domínios abordados nas provas
das certificações da (ISC)², é interessante acessar esse link.
Agora vamos partir para certificações mais técnicas, e analisar
algumas das oferecidas pela SANS, EC-Council, ISECOM, Offensive Security
e Immunity.
A SANS, através da entidade certificadora, conhecida como GIAC
(Global Information Assurance Certification), oferece dezenas de
certificações para a área de segurança da informação. Vou falar apenas
de algumas delas.
As certificações oferecidas pela SANS são altamente reconhecidas no
mercado internacional, mas ainda estão em processo de valorização aqui
no Brasil. Portanto, se quer uma certificação conceituada e tem como
objetivo sair do Brasil ou atuar em uma multinacional, as certificações
GIAC são uma excelente pedida.
Elas são agrupadas em categorias, que são as seguintes, atualmente:
- Security Administration;
- Audit;
- Management;
- Operations;
- Software;
- Security and/or Secure Coding;
- Forensics;
- Legal;
- Expert.
Entre essas categorias, podemos contar com dezenas de certificações,
as quais destaco a seguir como sendo as mais interessantes na parte
técnica referente à segurança, de acordo com a área de atuação desejada
pelo profissional.
- Para quem atua ou quer atuar com resposta à incidentes:
GCIA – GIAC Certified Intrusion Analyst
GCIH – GIAC Certified Incident Handler
- Para quem deseja atuar com teste de invasão e avaliações de segurança:
GPEN – GIAC Penetration Tester
GWAPT – GIAC Certified Web Application Penetration Tester
GAWN – GIAC Assessing Wireless Networks
- Para quem deseja atuar com forense computacional e análise de malware:
GCFE – GIAC Certified Forensic Examiner
GCFA – GIAC Certified Forensic Analyst
GREM – GIAC Certified Reverse Engineering Malware
Desde 2005 surgiu uma controvérsia com relação às certificações da
SANS, mas nada que comprometesse sua credibilidade no mercado. Essa
organização decidiu facilitar o processo de obtenção de suas
certificações criando dois níveis, o Silver e o Gold. Para tirar uma
certificação no nível Silver, basta o profissional realizar as provas de
múltiplas escolhas necessárias para aquela área específica. No entanto,
se o profissional quiser ser um certificado Gold, ele precisa finalizar
o desafio prático apresentado, para comprovar sua aquisição de
conhecimento aplicado à situações práticas.
A Ec-Council, outra entidade que oferece certificações para a área de
segurança, também possui reconhecimento internacional – inclusive com a
chancela do Pentágono (órgão de defesa americano). Suas certificações
têm ganhado um reconhecimento maior no mercado brasileiro e possuem um
foco mais técnico do que gerencial. Apesar da Ec-Council oferecer mais
de uma dezena de certificações, vou abordar apenas quatro delas, com
foco mais técnico e próximo das necessidades de um profissional de
segurança. São elas: ECSA, CEH, LPT e CHFI.
Para quem está iniciando em segurança, está bem cru mesmo e quer
entender o que um analista de segurança faz e quais suas atribuições,
aconselho a certifica ECSA (Ec-Council Security Analyst), que aborda os
temas básicos da atuação com segurança da informações e os controles de
segurança que precisam ser implementados, para tornar uma infraestrutura
mais segura. Agora, não esperem demais dessa certificação, pois ela é
inicial e introdutória no assunto de segurança, não sendo indicada para
profissionais que já atuem na área e tenham experiência de alguns anos.
Para quem quer algo um pouco mais aprofundado, a CEH (Certified
Ethical hacker) é mais interessante, pois já aborda a questão das
avaliações de segurança, como teste de invasão e auditoria de segurança
em redes e sistemas. É reconhecida internacionalmente, mas na minha
opinião peca por não ter uma avaliação prática, com desafios do tipo
“capture the flag”. Entretanto, ainda assim é uma certificação
interessante que força o aluno a estudar bastante os conceitos de
segurança e testes.
Atualmente, reunindo a certificação ECSA e CEH, caso o profissional
tenha experiência e atuação com testes de invasão, ele pode reunir as
documentações comprobatórias necessárias de sua experiência e requerer à
Ec-Council a certificação LPT (Licensed Penetration Tester), que
certifica o profissional como sendo um pentester reconhecido por uma
organização internacional, a Ec-Council.
Confesso que dessas certificações da Ec-Council, aqui no Brasil só vi
em vagas de empregos, a solicitação da CEH e da CHFI, a próxima a ser
comentada.
A CHFI (Certified Hacking Forensic Investigator) já possui um foco
bem específico, que é a forense computacional. É bem interessante o
conteúdo cobrado, desde que o profissional saiba como aplicá-lo, pois
como todas as outras provas da Ec-Council, é tudo teórico com múltiplas
escolhas. No entanto, o nível técnico dessa certificação é superior aos
das citadas anteriormente, pois pressupõe um conhecimento prévio do que é
abordados nas três certificações anteriores. Afinal, como um
investigador poderá encontrar indícios se não conhece como deve ser um
ambiente seguro, como normalmente ele pode ser comprometido, e quais as
ferramentas e métodos utilizados numa invasão? Logo, podemos assumir que
a CHFI é uma reunião dos conhecimentos necessários para as
certificações anteriores mais o conhecimento investigativo necessário
para a recriação de cenários complexos através da descobertas de
indícios e evidências, em sistemas Windows, Linux, MAC, imagens,
roteadores, redes, e etc.
As três organizações restantes, ISECOM, Offensive Security e
Immunity, oferecem poucas certificações, mas nem por isso são menos
importantes.
A ISECOM é responsável pela manutenção e suporte à OSSTMM, uma
metodologia internacionalmente aceita como muito adequada para a
realização de testes de invasão. O que é interessante é que essa
metodologia foi tão bem aceita no mercado, que estuda-se a possibilidade
de transformá-la em uma norma ISO, específica para os testes de
segurança. Portanto, qualquer uma das duas certificações dessa entidade,
OPSA e OPST (OSSTMM Professional Security Analyst e OSSTMM Professional
Security Tester), é interessante para quem quiser já estar preparado
para essa mudança radical, tornando essa metodologia um padrão adotado
internacionalmente.
A primeira certificação OPSA é mais voltada para analistas de
segurança, administradores de rede com foco em segurança e CSO’s, que
precisam ter um conhecimento mais aprofundado que a média sobre uma
metodologia de testes de segurança, mas sem necessariamente precisar
realizar esses testes ou avaliações de forma mais especializada.
Já a OPST, tem um foco mais aprofundado, na realização de testes de
segurança, fazendo com que essa seja a escolha mais acertada para os
profissionais que atuem diretamente realizando essas avaliações e
investigações, tais como Pentesters e Investigadores Forense.
Agora, na área de segurança, apesar de ainda não ter o devido
reconhecimento do mercado aqui no Brasil, as certificações que realmente
atestam se o profissional está pronto para atuar na prática com testes
de invasão são: OSCP e OSCE. Sem desmerecer as demais certificações,
acredito que essas duas são as que mais se aproximam de um ambiente real
encontrado por um profissional ao realizar um testes de invasão.
O foco de ambas as certificações é comprovar na prática a aquisição
dos conhecimentos transmitidos ao estudante ao longo do período que o
mesmo tem acesso ao LAB, fornecido pela Offensive Security, organização
mantenedora do Backtrack (distribuição sobre a qual toda a certificação é
baseada).
A diferença entre ambas certificações, OSCP (Offensive Security
Certified Professional) e OSCE (Offensive Security Certified Expert),
está no treinamento que é realizado e na prova que culminam esses
treinamentos. Para a OSCP, o treinamento realizado é o PWB (Pentesting
with Backtrack) com duração de 30, 60 ou 90 dias de acesso – depende de
quanto o aluno quiser pagar pelo tempo de acesso ao LAB. A prova é
exclusivamente prática, onde o aluno tem 24h corridas para realizar a
entrada na rede cedida para avaliação pela Offensive Security e alcançar
os objetivos propostos, de acordo com os conteúdos estudados e
praticados no LAB.
E para alcançar a OSCE, o aluno precisa se inscrever no treinamento
CTP (Cracking the Perimeter), que funciona nos mesmos moldes do PWD, com
acesso ao LAB por um determinado número de dias, acesso à apostila e
vídeos com as técnicas explicadas detalhadamente, que culminarão numa
avaliação bem mais avançada que a primeira: 48h corridas para a
realização das práticas com um relatório final de tudo o que foi feito.
Nesse nível, o aluno não apenas empregará técnicas de exploração, mas
analisará vulnerabilidades, como elas poderão ser exploradas e precisará
desenvolver seus próprios exploits para explorar as vulnerabilidades
encontradas (um adendo: os exploits desenvolvidos precisam ser enviados
ao final da avaliação).
Portanto, deve estar claro para vocês porque essas certificações
ainda não possuem o devido reconhecimento no mercado de segurança, pois
para dominar o processo de testes de invasão e testes de segurança no
nível solicitado por essas certificações, o profissional precisa ter um
nível técnico bem alto.
A certificação que deixei para o final, não é a menos importante, mas
sim a mais trabalhosa de se conquistar, pois demanda um nível técnico
razoavelmente alto para o que a certificação se propõe.
Essa certificação é a NOP (Network Offensive Professional), criada
pela Immunity Sec., desenvolvedora do Immunity Canvas e Immunity
Debugger (importantes ferramentas para profissionais de segurança).
Em primeiro lugar, a prova é de graça, e não se paga nada para tirar a
certificação, a não ser a passagem de avião para os EUA. A partir daí,
na sede da Immunity, o postulando terá pouco mais de 30 minutos para
fazer o seguinte: receber dois PE’s (executáveis em Windows) com
vulnerabilidades, que deverão ser detectadas através do processo de
debugging e fuzzing, utilizando ferramentas da própria Immunity, como é o
caso de seu Debugger. Detectando as vulnerabilidades, é necessário –
dentro do prazo estipulado (lembre-se, pouco mais de 30 minutos no
total) -, desenvolver um exploit que faça a exploração dessa
vulnerabilidades e alcance um determinado resultado como definido pelos
aplicadores da prova.
Através dessa pequena análise de algumas das certificações
existentes, podemos perceber quantas possibilidade temos diante de nós. A
escolha de qual certificação é melhor, sempre vai depender da área onde
o profissional deseja atuar, bem como a empresa onde já trabalha ou
busca uma vaga.
Obviamente que a maioria dessas certificações é barata e pode ser
tirada facilmente. Algumas são mais fáceis, como citadas ao longo do
texto, mas outras demandam meses de preparação, mesmo que o profissional
já atue na área e tenha alguns anos de experiência. No entanto, mesmo
que o tempo e dinheiro empregados sejam em grande quantidade algumas
vezes, podem acreditar: vale muito à pena. Mas obviamente que vale mais
ainda à pena, quando o profissional além do papel timbrado, tenha a
prática e vivência necessárias para impor-se no mercado como
profissional respeitado e que realmente sabe o que está fazendo.
Espero que, de alguma forma, esse artigo possa ter tornado o caminho
de vocês em busca das certificações em segurança, ainda mais claro.
***
Artigo de Luiz Vieira