Posts List

CPE 获取指南

在我们考取 ICS 的认证之后,是需要通过 CPE(Countinuing Professional Education) 来进行证书的维持的。以 CISSP 为例,3年是需要 120 CPE 来进行证书的维持的。官方的文档已经详细说明了获取 CPE 的各种途径,如果按照官方的说明,满足要求的难度是比较低的。我在取得 CISSP 认证之后,不到一年的时间已经获得 98 CPE 了,距离要求已经很接近了。所以就分享自己一些获取 CPE 的手段来进行分享。 Webinars 基本上是一些讲座或者分享之类的,听一次基本都可以获取一个 CPE。而且现在目前 ISC 上面大多数在线的会议或者课程学习,如果可以获取 CPE 的话,你只要填了你的 ID 的话,过一段时间就会帮你自主申报,不需要你自己来申报的。不过这种在线分享,一般很多没有在线字幕,而且内容也比较杂,所以我就听说一两次,不是特别的感冒。我自己的话不是特别推荐,虽然说这是获取 CPE 的手段之一,但好歹自己也在这个过程中学点东西,这样也更有价值。 Professional Development Institute 这是我最为推荐的部分。在 PDI 里面提供了各种各样的课程,这些课程一般是英文为主,涉及的方向也比较多,比如应用安全、安全运营之类的,制作一般都比较精良。虽然里面的内容大多数都是偏理论的居多,但是如果拿去写材料什么的还是比较好的。课程可能会随着内容的多少,其 CPE 分值也不相同,有的 5 分,有的可能只有 1 分。不过这些课程都需要经过考试的,基本上分数达到 70% 以上就可以过关了。 其它 其它像回答 InforSecurity Professional 杂志上面的 quiz 也可以去获取 CPE 的,不过我觉得还挺麻烦的,因为答案可能还不太好找。参加一些安全会议也是可以获取 CPE 的。另外值得分享的是,参加 ISC 的一些志愿活动也是可以获取 CPE 的。我有次参加了一次志愿活动,一共持续了 3 天,一次性给了 21 个 CPE,还是比较多的。

文武双全,看我如何过CISSP

2020年我有拿到 Offensive Security 的 OSWE 的认证,这个认证算得上是应用安全代码审计方面含金量比较高的认证。当初,我也写过一篇文章「一键 Shell,我的 OSWE 之旅」分享了课程学习和备考的经历,感兴趣的同学可以看看这篇文章。在考完 OSWE 之后,就考虑去考一下 CISSP,毕竟 CISSP 算是国内目前安全领域内认可度比较广的证书之一了。同时,也是为了证明自己在安全实战和理论方面都有所掌握,拿到认证并不代表什么,但是取得认证的过程却是大有裨益的。下面就分享一下在 CISSP 准备过程中以及考试的一些经验。 考试报名 我的 CISSP 备考过程是没有参加任何培训的,也没有做过什么培训班的题目,主要的复习资源都是官方的材料。其实,在2021年初当时就有考试的计划,不过当时也没有明确的目标,也就偶尔翻了一下书。直到年末才开始认真准备,差不多3个月左右的准备时间,提前1个月预约了考试时间和考点。上海一共有2个考点,一个在人民广场一个在徐家汇,都是比较市中心的位置。如果有过几年的安全经验的话,两到三个月的备考时间是比较合适的。因为 CISSP 预约考试之后换预约时间是需要再付费的,所以建议还是确定好考试时间再注册报名考试。当时我做 Practice Test 的准确率差不多有 80% 左右,感觉差不多了就报名了考试。可能一开始没有合适的时间,可以没事多看看,看到合适的时间就果断的报名考试。值得注意的一个点是考试报名的时候应该把名放在前面,一开始我以为是要和中文拼音保持一致的,后来考点的人和我说还是要调整过来的。 备考 教材的选择可以说是准备考试的第一步。因为考虑到教材的准确性和翻译问题,备考过程中我看的全都是英文的教材,包括像 Official Study Guide 以及 All in One,习题做的就是 Practice Test。英文教材的表述会更地道,更准确,另外一点就是英文教材已经更新到第9版了,中文教材还没有更新。Practice Test 的最新版本是第3版。 OSG 和 AIO 的选择,我强烈推荐 OSG。OSG 和 AIO 对比下来,感觉逻辑更清晰,知识点更明确,AIO 感觉更像是知识点的延伸,所以有的知识点讲的特别发散。当然如果准备时间比较充裕,也可以看看作为一个补充。对于 CISSP 的八个 Domain: Security and Risk Management Asset Security Security Architecture and Engineering Communication and Network Security Identity and Access Management Security Assessment and Testing Security Operaions Software Development Security 我本身主要是参与最后3个 Domain 的相关工作,不过这三个 Domain 在知识点占得比重不能算很多。第一个 Domain 是教材中篇幅最长的,可见其重要程度。风险是 CISSP 中非常重要的一个概念,很多的知识点都是围绕着风险展开的,所以对风险务要有深入的理解。

PWK 以及 OSCP 最常见的问题

OSCP 最近在安全圈子越来越受到认知,Offsec 最近更新了一篇博文,关于 PWK 以及 OSCP 最常见的问题。本文挑一些重点讲一下: 什么是 PWK 以及 OSCP PWK 是为信息安全专业人员设计的渗透测试培训课程,是 OffSec 的基础课程。考虑参加 PWK的 学生应具有 TCP/IP 网络,Linux 和 Bash 脚本编写的一些经验。具备 Python 或Perl 的基本知识。OSCP 则是 PWK 对应的考试,OffSec 一般都是课程对应考试,比如 AWAE 对应相应的考试 OSWE。 官方还推荐完成 OSCP 后还可以考虑以下课程: CTP 中的渗透测试技术以及漏洞利用开发功能, AWAE 中的 Web 应用程序安全技能 WIFU 中的无线安全技能 如何以及在哪参加 PWK PWK 可以在世界各地参加,只要你能联网。不过中国的网络,你懂得。官方的 PWK 课程仅由 OffSec 提供,所以不要被一些培训机构骗了。 如何注册 PWK 以及 OSCP 考试 一般来说个体只要有护照应该就可以报名了。如果你已经是学生了,你可以在你最开始购买时收到的邮件里面购买其他可能或者更多的 lab 时间。如果要注册 OSCP 考试,可以使用课程报名的欢迎邮件。 前提条件 除了上述建议的先决条件外,我们还要求学生至少 18 岁才能上课,当然也有列外,之前国外好像就有一个16岁的学生通过了考试。对于硬件,我们建议至少安装 4 GB 的 RAM,至少要有一个双核 CPU 和 20GB 的可用硬盘空间。与实验室的连接是通过使用 Kali Linux 的 OpenVPN 完成的,要使用稳定的网络,当然对于中国的学生来说非常难。