Rozpoczynając swoją przygodę z testami penetracyjnymi infrastruktury miałem duże szczęście, by trafić na świetnych specjalistów, chętnych dzielić się swoją wiedzą w praktyce.
Nie każdy jednak ma taką możliwość, a nawet jeżeli jesteście w równie uprzywilejowanej sytuacji i macie w otoczeniu mądrzejszych ludzi od Was, to aby móc chłonąć ich wiedzę musicie gdzieś zdobyć podstawy.
W tym artykule zebrałem najciekawsze kursy, laboratoria, szkolenia, które dotykają właśnie zagadnienia testów bezpieczeństwa infrastruktury IT. Będzie on aktualizowane o nowe znajdźki, jeśli tylko uznam coś za wystarczająco ciekawe i wartościowe.
Kursy od "zera" do infrapentestera
Zacznijmy od tego, że musicie zdobyć (niezbędną) wiedzę na temat infrastruktury per se.
Mowa tu o podstawach sieci komputerowych, systemów operacyjnych, warto również liznąć zagadnień dot. hardware'u. Poniżej kursy dot. właśnie tych tematów:
- https://pasja-informatyki.pl/sieci-komputerowe/ - moim zdaniem wciąż jeden z najlepszych bezpłatnych kursów podstaw wiedzy o sieciach. Koszt: bezpłatnie.
- https://www.youtube.com/watch?v=xmpYfyNmWbw - prawie 24-godzinny kurs przygotowujący do CompTIA Network +. Można się uczyć bez podchodzenia do certyfikacji, nikt tego nie sprawdza :-) Koszt: bezpłatnie (cert CompTIA Network + to 369 USD).
- CCNA - bez wiedzy o sieciach ani rusz, lata mijają, a wciąż CCNA zdaje się być królem pod względem przekazania najważniejszej, kompleksowej wiedzy na temat funkcjonowania sieci komputerowych, łącząc teorię z praktyką w licznych laboratoriach.
Koszt: Powyżej 4000 PLN za kompleksowy kurs przygotowawczy. Oczywiście można znaleźć darmowe kursy na yt, jak: https://www.youtube.com/watch?v=tLqWGysORXA&list=PLFHOoRUI-sbQHs-iVdUTg492vuJEtU05- ale i tak musimy zostać podpięci przez centrum szkoleniowe do Cisco Networking academy. Dodatkowo 300 USD za certyfikat.
Poniższe kursy dotyczą już samego zagadnienia testowania infrastruktury:
- https://tryhackme.com/path/outline/jrpenetrationtester - wprawdzie jest to kurs, który zawiera zagadnienia z wielu tematów, ale wiedza, która jest w nim zawarta jest istotna w każdym obszarze pracy pentestera. Ponadto zawiera on kilka rozdziałów dotyczących stricte infrastruktury.Koszt: 12 USD miesięcznie.
- https://tryhackme.com/module/hacking-active-directory - bez zrozumienia podstaw działania Active Directory i narzędzi do jego testowania nie podchodźmy do testów bezpieczeństwa infrastruktury. AD jest to bowiem współcześnie powszechnie używane rozwiązanie z milionach firm na całym świecie, stanowiące często główny wektor ataku w sieciach LAN.Koszt: 12 USD miesięcznie.
Kursy dla żądnych wiedzy midów
- https://certifications.tcm-sec.com/pnpt/ - praktyczny kurs, kończący się certyfikacją - egzaminem polegającym na pisaniu raportu po kilku dniowych pentestach. Dokładnie tak, jak wygląda to w komercyjnych pentestach.Koszt: 499 USD.
- Tu wypadałoby mi wrzucić OSCP, ale... nie zrobię tego. Jeżeli firma oplaci Wam ten certyfikat, to ok, ale na własną rękę nie ma sensu wydawać takiej fortuny na kurs, a następnie egzamin nie majacy większego przełożenia na rzeczywistą pracę przy pentestach.Koszt: 1649 USD (w najniższej opcji!).
Wartościowe strony, blogi i kanały
https://www.youtube.com/c/AdminAkademia - sporo wartościowych darmowych treści. Warto zajrzeć również na ich stronę https://adminakademia.pl/, gdzie można uzyskać dostęp (już płatny) do kompleksowych kursów z zagadnień dotyczących m.in administracji systemami i sieciami.
https://www.youtube.com/@Pasjainformatyki - równie dużo kursów od "zera", nastawionych na początkujących. Dobry kanał, by nabrać podstaw i ruszać dalej.
https://www.youtube.com/@MateuszChrobok - poza kursami, tutorialami, szkoleniami itp. warto zainteresować się również stroną publicystyczną, być na bieżąco z newsami np. dotyczącymi świeżo publikowanych podatności. Mateusz Chrobok na swoim kanale łączy zagadnienia techniczne z publicystyką właśnie i robi to naprawdę dobrze.
