professioni cyber

Diventare Hacker e Penetration Tester: le certificazioni utili

Possedere le dovute conoscenze e le certificazioni adeguate che attestino le proprie competenze in materia è utile anche per diventare penetration tester. Qui un quadro delle certificazioni utilizzabili, CompTIA, Microsoft, Cisco, ITIL, (ISC)², EC-Council, eLearnSecurity, Google, Oracle, VMware, Adobe, IBM

18 Giu 2018
A
Mario Annunziata

Ethical hacker, penetration tester, consulente

Come ben sappiamo in questi ultimi anni, le richieste di lavoro nel settore della Cyber Security si stanno espandendo a macchia d’olio e trovare lavoro in una delle tante ramificazioni disponibili di questo settore è abbastanza facile, a patto però che si posseggano le dovute conoscenze e le certificazioni adeguate che attestino le proprie competenze in materia.

Se parliamo in generale di certificazioni inerenti al mondo dell’IT ne esistono tante e sempre in continua evoluzione, tra le più importanti troviamo aziende come EC-Council, Offensive Security, CompTIA, Microsoft, Cisco, ITIL, (ISC)², eLearnSecurity, Google, Oracle, VMware, Adobe, IBM, e tante altre, ognuna di esse orientata ad un percorso ben specifico.

Di seguito elenco le certificazioni che ho preso in considerazione di conseguire per formare il mio percorso professionale: ovviamente questa è la mia personale esperienza, sentitevi liberi di fare le vostre scelte e scegliere le certificazioni che più vi aggradano e che soddisfano le vostre esigenze lavorative o scolastiche che siano, visto che le specializzazioni sono vaste in questo campo.

Certificazione Offensive Security

Agenzia statunitense, specializzata in sicurezza informatica, tra le più importanti certificazioni nel settore della sicurezza informatica, famosa per la collaborazione con la distribuzione Kali Linux.

WHITEPAPER
Cloud migration: qual è l'approccio vincente?
Cloud
Cloud storage

Certificazione: OSCP

Lingua: Inglese
Svolgimento: Cattura la bandiera in scenario reale – 24 ore – Scenario virtualizzato remoto
Obiettivi esame:

  • Use multiple information gathering techniques to identify and enumerate targets running various operating systems and services Scanning Networks Enumeration System – Malware Threats, Social Engineering, Denial of Service
  • Use multiple information gathering techniques to identify and enumerate targets running various operating systems and services
  • Analyze, correct, modify, cross-compile, and port public exploit code
  • Successfully conduct both remote and client side attacks
  • Identify and exploit XSS, SQL injection, and file inclusion vulnerabilities in web applications
  • Deploy tunneling techniques to bypass firewalls
  • Demonstrate creative problem solving and lateral thinking

Descrizione: Questa certificazione prevede un solo esame e attesta competenze professionali da pentester in grado di individuare vulnerabilità e segnalarle, secondo un indice di pericolosità, per consentirne la risoluzione.
Difficoltà: Esame di livello medio, richieda la conoscenza approfondita delle reti informatiche e attacchi web avanzati.

Certificazione: OSCE

Lingua: Inglese
Svolgimento: Simulazione di un pentest reale – 48 ore – Scenario virtualizzato remoto
Obiettivi esame:

  • Identify hard-to-find vulnerabilities
  • Conduct intelligent fuzz-testing
  • Analyze, correct, modify, and port exploit code
  • Hand-craft binaries to evade anti-virus software
  • Demonstrate creative problem solving and lateral thinking

Descrizione: Questa certificazione prevede un solo esame, e attesta competenze professionali da pentester in grado di identificare vulnerabilità e configurazioni errate difficili da trovare in vari sistemi operativi ed eseguire attacchi organizzati in modo controllato e mirato.
Difficoltà: Esame di livello difficile, richieda il superamento del corso CPT (Cracking the Perimeter).

Certificazione EC-Council

Anch’essa tra le più importanti certificazioni nel settore della sicurezza informatica e fortemente improntata sull’etica, l’unica che certifica l’utente finale come Ethical Hacker.

Certificazione: EC-Council C|EH 312-50

Lingua: Inglese
Svolgimento: Test con domande a risposta multipla – 4 ore – Sede Autorizzata
Obiettivi esame:

  • Introduction to Ethical Hacking – Footprinting and Reconnaissance – Session Hijacking
  • Scanning Networks Enumeration System – Malware Threats, Social Engineering, Denial of Service
  • Hacking Web Servers, Web Applications, SQL Injection, Wireless Networks, Mobile Platforms
  • Evading IDS, Firewalls, Honeypot – Cloud Computing – Cryptography

Descrizione: Questa certificazione prevede un solo esame l’312-50, certifica l’utente finale come Ethical Hacker professionista competente ad individuare i punti deboli e le vulnerabilità di un sistema o di una rete e utilizzare le stesse conoscenze e strumenti di un hacker malintenzionato, ma in modo lecito e legittimo.
Difficoltà: Esame di livello medio, richieda la conoscenza approfondita delle reti informatiche e attacchi web avanzati.

Certificazione eLearnSecurity

Azienda poco conosciuta (essendo nata solo nel 2014), ma non per questo effimera, anzi ricca di concetti, esempi e video esplicativi, punta molto alla pratica, di fatti in ogni certificazione per ogni capitolo studiato ci sono degli esercizi da mettere in pratica in laboratori virtuali creati appositamente, stessa cosa per l’esame finale, il quale si svolge in uno scenario reale virtualizzato.

Certificazione: eLearnSecurity eJPT

Lingua: Italiano
Svolgimento: Attacco e Information Gathering ad una Web App – 3 giorni – Scenario virtualizzato remoto
Obiettivi esame:

  • Conoscenza di TCP/IP, Routing su IP, Protocolli e periferiche LAN, HTTP e tecnologie web
  • Conoscenze fondamental sulle metodologie e processi di penetration testing
  • Conoscenze di base di information gathering e reconnaissance
  • Semplici scansioni e profilazioni degli obiettivi in scope
  • Vulnerability assessment di reti di computer e applicazioni web, Exploitation con Metasploit
  • Semplice exploitation manuale di applicazioni web

Descrizione: L’acronimo eJPT sta per eLearnSecurity Junior Penetration Tester ed è una certificazione 100% pratica sul penetration testing e i fondamenti della sicurezza informatica. Superando l’esame e ottenendo la certificazione eJPT, si hanno tutti i prerequisiti necessari per proseguire al corso Penetration Testing Professional.
Difficoltà: Esame di livello facile, permette di acquisire in modo immediato e pratico i concetti studiati.

Certificazione: eLearnSecurity ePPT Gold v1

Lingua: Italiano
Svolgimento: Simulazione di un penetration test reale – 7 giorni – Scenario virtualizzato remoto
Obiettivi esame:

  • Processi e metodologie di Penetration Testing
  • Vulnerability Assessment di Reti e Applicazioni Web
  • Exploitation avanzata con Metasploit e attacchi in Pivoting
  • Exploitation manuali di Applicazioni Web Information Gathering e Reconnaissance
  • Sviluppo di Exploit , Scanning e Profiling del target, Privilege escalation e Persistence
  • Capacità di Reporting e Remediation avanzate

Descrizione: L’acronimo eCPPT è l’acronimo di eLearnSecurity Certified Penetration Tester Professional ed è anch’essa una certificazione 100% pratica di Ethical Hacking, è l’unica certificazione per penetration tester che valuta le capacità tecniche al pari di quelle professionali nella creazione di un report completo.
Difficoltà: Esame di livello medio, richiede le conoscenze approfondite di reti informatiche e attacchi web avanzati.

Certificazione: eLearnSecurity eCPTX

Lingua: Inglese
Svolgimento: Simulazione di un Pentest reale – 7 giorni – Scenario virtualizzato remoto
Obiettivi esame
:

  • Processi e metodologie di penetrazione avanzati con Metasploit e Empire
  • Manipolazione del traffico di rete – WMI, PS Remoting, DCOM – Active Directory
  • Enumerazione e ricognizione – Sviluppo di attacchi personalizzati
  • Conoscenza dei punti deboli dell’autenticazione di Windows
  • Utilizzo manuale dell’applicazione Web – Scansione furtiva e profilazione del bersaglio
  • Persistenza avanzata: backdoor – Aumento dei privilegi

Descrizione: L’acronimo eCPTX sta per eLearnSecurity Certified Penetration Tester eXtreme ed è lo step successivo dopo la eCPPT, è la certificazione più pratica ed avanzata disponibile sul mercato per la valutazione delle capacità di penetration tester della rete, ed è l’unica che valuta le tue abilità nell’uso di tecniche di attacco all’avanguardia per compromettere numerosi obiettivi, all’interno di un ambiente completo e reale.
Difficoltà: Esame di livello difficile, richiede le conoscenze approfondite di reti informatiche, Ruby, Shellcoding e Buffer Overflow.

Certificazione CompTIA

L’azienda vanta di certificazioni richieste in tutto il mondo e sempre in evoluzione, di fatti le certificazioni CompTIA hanno una validità di 3 anni dopodiché bisogna rinnovarle, un’ottima filosofia che permette al professionista di rimanere sempre aggiornato col lavoro e allenato con la mente.

Certificazione: CompTIA Security+

Lingua: Inglese
Svolgimento: Test con domande a risposta multipla – 90 minuti – Sede Autorizzata
Obiettivi esame:

  • Threats, Attacks and Vulnerabilities 21%
  • Technologies and Tools 22%
  • Architecture and Design 15%
  • Identity and Access Management 16%
  • Risk Management 14%
  • Cryptography and PKI 12%

Descrizione: Questa certificazione prevede un solo esame l’SY0-501 (la vecchia versione 401 attualmente è in scadenza) attesta le competenze ad installare e configurare sistemi per proteggere applicazioni, reti e dispositivi; eseguire analisi delle minacce; rispondere con appropriate tecniche di mitigazione, operare con la consapevolezza delle politiche, delle leggi e dei regolamenti applicabili.
Difficoltà: Esame di livello medio, richiede la conoscenza approfondita delle reti informatiche.

Certificazione: CompTIA PenTest+ PT0-001

Lingua: Inglese
Svolgimento: Test con domande a risposta multipla – 90 minuti – Sede Autorizzataa
Obiettivi esame :

  • Planning and Scoping 15%
  • Information Gathering and
  • Vulnerability Identification 22%
  • Attacks and Exploits 30%
  • Penetration Testing Tools 17%
  • Reporting and Communication 16%

Descrizione: Questa certificazione prevede un solo esame l’ PT0-001 attesta le competenze a eseguire vulnerability scanning e pentest  tramite tecniche appropriate, pianificarne, valutarne e comprenderne i requisiti legali, analizzare i risultati produrre soluzioni e comunicarli efficacemente tramite report.
Difficoltà: Esame di livello esperto, consigliate le certificazioni Network+ e Security+, con almeno 3 anni di esperienza nel settore.

Conclusioni

Una cosa importante che voglio ricordare è che le certificazioni, per quanto utili, prestigiose e di rilievo non sostituiscono in alcuno modo gli studi come un diploma di perito informatico, una laurea in ingegneria informatica/sicurezza informatica, ma rinforzano e valorizzano i propri titoli di studio.

WHITEPAPER
Report Gartner: guida all’innovazione dell’analisi con la composizione in cloud
Cloud
Cloud storage

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr