在我国,两项国家家级攻防领域(渗透测试CISP-PTE/应急响应CISP-PTS)的认证,自2017年由奇安信集团与中国信息安全测评中心联合成立注册信息安全专业人员攻防领域考试中心,现在已经过了4年,已经受到越来越多的学院的追捧,并获得了相关用人单位的认可,国家注册渗透测试工程师认证(CISP-PTE)逐渐在业内为人熟知和企业认可,此项工作为广大信息安全从业人员尤其是攻防从业者提供专业的技术纲领,国家将渗透测试CISP-PTE/应急响应CISP-PTS是对我国渗透方向领域空白的极好补充。

  根据市场需求和技术推广的需要,官方于2018年正式推出了国内第一个渗透测试专家级认证(CISP-PTS),受到了大多数网络安全渗透测试从业人员的关注和欢迎,尤其是先进高级的的网络安全渗透测试人员的追捧。

  赛虎学院作为一家官方认可的培训机构,赛虎学院秉承着国家信息安全的高度责任感,按照官方指定的白皮书指南安排了专业讲师准备课程讲义,并用优秀老师研究了大量的渗透测试的相关内容和备课教材,并利用自己的赛虎学院在线教育平台提供技术视频学习,为培训奠定了良好的基础。到目前为止,赛虎学院已经在各地区招生CISP-PTE培训的学院,并在已经开始了CISP-PTS的招生。

  据官方数据显示,在2019年,CISP-PTE国内注册人员突破了1000人的总人数。与注册渗透测试工程师CISP-PTS相比,CISP-PTS对申请人知识的深度、广度、实际操作经验和能力有更高的要求,考试难度也大大增加,考试至今已经启动。参加CISP-PTS注册考试并通过CISP-PTS注册考试并获得专家级资格的总人数约为50人,所以CISP-PTS的含金量不一般,也有一定的考试难度。

  根据两者的区别,判断自己是否适合于基本的学习水平或专家级水品的认证,我们可以参考以下几点:。

  在了解了两者之间的简单区别之后,让我们来看看课程知识体系中的不同之处。在2019年10月,CISP渗透测试方向新注册考试大纲(2.0版)正式完成,涉及到在CISP-PTS和CISP-PTS注册考试中需要检查的知识系统。CISP-PTE考试点的要求与原始大纲相同。除了CISP-PTE所要求的所有知识和能力,CISP-PTS还在网络间安全、数据库安全和中间件安全方面提出了新的要求。

  可以得出的是CISP-PTS在数据库安全方面的知识能力考察要求比CISP-PTE更高。除了需要掌握主流的MySQL、MSSQL数据库渗透知识以外,还需要掌握Oracle关系型数据库安全、Redis非关系型数据库安全。

  中间件作为当前网络应用体系架构中不可缺少的一部分,其安全的重要性不言而喻。CISP-PTS注册考试要求考生除了需要掌握Apache、IIS、Tomcat等常见中间件的安全知识以外,还需要掌握在Java环境下重要中间件的安全知识。其考察知识内容包括:Weblogic、Websphere、Jboss等中间件的安全设置、日志审计、漏洞利用与防范方法。

  除CISP-PTE四大知识域外,PTS增加内网安全。其是网络安全渗透测试过程中需要关注的重点。当渗透测试从外网获得突破口,进入到内网后,无论是模拟真实场景下的黑客思路“扩大战果”,还是考虑发掘被测试网络系统内部的安全隐患,都要重点研究内部网络的安全性。CISP-PTS综合内网渗透的技术方法与逻辑顺序,主要新增以下考察知识点:

  · 内网信息搜集

  内网信息搜集作为获取内网信息的必要工作,其主要的考察知识内容包括对内网中主机及用户的信息发现、内网中主要使用端口的扫描、以及内网中主机、应用、网络设备的漏洞扫描等方面的知识,包括实现以上信息搜集工作所需主流软件工具的掌握和使用熟练程度。

  · 内网横向移动

  内网横向移动技术用于检测内网是否可以抵御多种网络攻击、高级持续性威胁(APT)。通过横向移动渗透测试,可以判断内网最终是否可以防止入侵者拿到域控权限,域环境下的全部机器是否都面临威胁。其主要的考察知识内容包括横向移动原理、凭证抓取、域攻击原理等理论知识,以及实现这些横向移动渗透所需要的技术和相关工具的使用方法。

  · 内网权限维持

  内网权限的维护主要应用在渗透过程中。通过该漏洞获取目标主机的权限后,尽量避免服务器管理员发现并修复该漏洞而导致服务器权限的丢失。渗透测试技术也是对被测系统内部安全防御技术和管理机制的测试。知识的主要内容包括内部网络的分类和相应的方法,权限维护的技术原理和常用方法的掌握。

  与cisp-pte相比,cisp-pts与cisp-pte的主要区别不仅在于知识内容的拓展,更注重对学习者的培养。今后,作为渗透测试的专家和负责人,cisp pts应该比普通渗透测试工程师进行更宏观、更完善、更全面的分析和思考,并通过自身更丰富的专业知识和经验来接近项目经验,管理者的身份考虑渗透检测的全过程、合适的技术方法、可能的风险、质量控制和检测效果的验证等,这样才能更胜任总体规划,未来渗透测试实施的设计与管理。

  那么学生适合靠CISP-PTE和CISP-PTES吗?

  首先CISP-PTE对于信息安全从业人员来说不是必须的,但确实是有用的。如果你仔细了解过这个证书就会发现他是一个"基于Web安全,辐射周边知识"的一个认证,他的核心还是讲Web安全。

  这个证书的价值在于,可以让研发工程师了解代码常出现漏洞的位置,避免代码漏洞;可以让测试工程师掌握除了业务测试、性能测试以外的安全测试。对于网络安全从业人员来说是一个梳理自己知识体系,证明能力,为自己的职业发展助力。

  这个证书的缺点在于价格太贵,市场19800的价格是大多学生或者刚工作1-2年的学生比较难以负担的。

  赛虎学院作为多年来信息安全培训行业的领军企业,深知攻防人才的培养不仅仅是几天的训练,更是长期工作学习中的积累、分享和实践。因此,学院坚持攻防领域的继续教育,定期开展cisp pte/cisp pts获奖者知识讲座和新技术分享会活动,组织大家互相交流,不仅可以了解讲师专家的理念和知识信息,还要把实际工作中遇到的问题抽象出来,用安全的方式描述和展示出来,让大家集思广益。通过分享大家的愿景,我们可以为渗透测试的具体工作积累更多的经验,为项目实施过程中可能遇到的问题和场景积累更多的经验。我们可以通过固赛虎学院的官方账号为您提供预习课程和免费补考。