【專家主場】「資安真經」の國際專業證書CEH篇
很多朋友問我,做黑客要不要領牌 (專業證書 )。答案可以是「Yes」或「No」,綜觀全球著名黑客, 他們大多數都是從大量的實踐中煉成黑客技術, 他們專注研究軟件,從一些細微的弱點發掘出漏洞,嘗試發動攻擊入侵系統, 終於成功奪取權限。相反,修讀 CEH (Certified Ethical Hacker)專業認證資格,則是一門以正統方式把你培養成為一個「道德黑客」的課程。
CEH的EC-Council原來好打得
CEH 是由國際電子商務顧問委員會 (EC-Council)提供的網絡安全認證。CEH 是國際的頂級熱門安全證書,符合美國的 ANSI / ISO / IEC 17024 標準。EC-Council 現在於145 國家和地區都有授權培訓中心,由 350 位資安專家提供網上和班房培訓課程, 累計已有 22 萬人獲得 EC-Council 認證。
近年關於 CEH 認證有些爭議,一是認為其考試費用過高,二是其官網曾經被黑客入侵, 聲譽大受打擊。不過,其資格依然廣受認可,當中更包括美國國防部 DoD、國家安全局 (NSA)和國家安全系統委員會(CNSS)等美國政府機構,更被列入美國國防部 DoD 8570.01-M 的安全基準認證 (Baseline Certifications)。
CEH 考試 (312-50)可在 ECC 考試中心或 Pearson Vue 考試中心進行。為時四小時的英文考試,總共有 125 條選擇題,考試費用為 950 美元。如果你是通過自學參加,還需要額外多付 100 美元申請費。只要年滿 18 歲或以上就可參加考試。獲 EC-Council 授權培訓中心常常有推廣活動, 培訓課程包含考試費用, 相對上價格會比較商宜,但我的建議還是最好每星期上一次課,學習效率會較高,更易讓自己發現自身的問題,在比較長的課程中向導師詢問,提高一擊即中率;雖然考試不合格可再付 950 美元考試費, 但重考都幾肉痛。
CEH的課程內容不是堅離地
CEH 課程由 2003 年開始,至今現推出了第 10 版, 內容一直與時並進, 非常貼地。由於 “To beat a hacker, you need to think like a hacker”是 EC-Council 的教學理念,所以課程中亦包括了很多黑客技術分析,課程涉及的內容如下:
- Introduction to Ethical Hacking
- Footprinting and Reconnaissance
- Scanning Networks
- Enumeration
- Vulnerability Analysis
- System Hacking
- Malware Threats
- Sniffing
- Social Engineering
- Denial-of-Service Session Hijacking
- Evading IDS、 Firewalls and Honeypots
- Hacking Web Servers
- Hacking Web Applications
- SQL Injection
- Hacking Wireless Networks
- Hacking Mobile Platforms
- IoT Hacking
- Cloud Computing
- Cryptograph
EC-Council 除了創辦 CEH,另外還有 Certified Network Defender (CND)、 EC-Council Certified Security Analyst (ECSA) 和 Licensed Penetration Tester (LPT) 等資安課程。其實, 有些大學的資安課程就是參考自 CEH 課程內容而設計,並鼓勵學生在完成課程後,即可參加 CEH 考試, 獲得相關專業證書。
之前介紹過 CISSP、CISA、CISM、CEH 等國際認證資格,下次將會介紹 OSCP 及 OSCE。請看下一回「資安真經」の國際專業證書 Offensive Security 篇。
