Redakcja
Zanim przejdziemy do oceny wartości merytorycznej, zapoznajmy się z zawartością samego sylabusa. Dokument składa się z dziewięciu rozdziałów, opisujących główne tematy bezpieczeństwa.
Rozdział 1 opisuje podstawy testów bezpieczeństwa, na które składa się rola oceny ryzyka, identyfikacja znaczących aktywów firmy, które mają być chronione oraz ocena poziomu bezpieczeństwa każdego z aktywów. Poruszony został również aspekt polityki i procedur bezpieczeństwa, a także rola audytu bezpieczeństwa w testach. Jest to szeroko pojęta teoria bezpieczeństwa.
Rozdział 2 to cele i strategie testów. Autorzy zwracają uwagę na to, że testy bezpieczeństwa mogą pomóc w identyfikacji zagrożeń i oceny skuteczności istniejących zabezpieczeń, lecz nie zagwarantują, że system lub organizacja będą bezpieczne przed atakiem. Cele testów powinny być zgodne z polityką bezpieczeństwa organizacji. Przeczytamy również o zakresie i pokryciu testów oraz o podejściach do testów. W tym rozdziale mamy do czynienia z wysokopoziomowym podejściem do aspektu bezpieczeństwa.
W rozdziale 3 został nakreślony całkowity przebieg testów bezpieczeństwa, rozpoczynający się od zdefiniowania elementów procesu testowego poprzez planowanie, projektowanie i wykonywanie testów. Rozdział kończy się tematem analizy wyników testów oraz aspektem utrzymania procesu testowego. Prezentowane podejście procesowe jest niespotykane w innych, popularnonaukowych opisach bezpieczeństwa.
Rozdział 4 to opis testowania bezpieczeństwa w kontekście całego cyklu życia oprogramowania. Tematy związane z zapewnieniem bezpieczeństwa aplikacji powinny być omawiane i wdrażane już w początkowych fazach cyklu życia oprogramowania i kontynuowane przez cały cykl. W rozdziale zostały wyszczególnione role testowania bezpieczeństwa w wymaganiach, projektowaniu, wdrożeniu, testach akceptacyjnych oraz utrzymaniu. Po raz kolejny podejście do tematu bezpieczeństwa ma charakter menedżerski.
Rozdział 5 jest najdłuższym pod względem rekomendowanego czasu potrzebnego do nauki (240 minut). Tematem przewodnim rozdziału są mechanizmy testów bezpieczeństwa. Pierwszy podpunkt mówi o systemie Hardening. Jest to proces zabezpieczania systemu polegający na ograniczeniu jego podatności na ataki. Zwykle składa się na to zmiana haseł domyślnych, identyfikacja niepotrzebnych usług i portów sieciowych, weryfikacja komponentów i bibliotek aplikacji pod kątem aktualności (czy nie są przestarzałe i podatne na atak). Ważnym elementem zabezpieczania systemu jest również autoryzacja i uwierzytelnianie wrażliwych zasobów organizacji. W sylabusie zostały również przedstawione mechanizmy szyfrowania, stosowania zapór sieciowych oraz narzędzi wykrywania intruzów i złośliwego oprogramowania (malware). Ostatnie tematy poruszone w rozdziale to maskowanie danych oraz przeprowadzanie szkoleń z bezpieczeństwa. Zwłaszcza ten ostatni temat warty jest uwagi, ponieważ, jak wiadomo, to ludzie są zwykle najsłabszym ogniwem w zapewnieniu bezpieczeństwa. Opisane tutaj zadania testerów mają niewiele wspólnego z testowaniem, a raczej z aspektem organizacyjnym bezpieczeństwa.
Czynnikowi ludzkiemu w testach bezpieczeństwa został poświęcony rozdział 6. Metody ataku to nie tylko wykorzystywanie błędów w kodzie, ale także socjotechniki. Warto więc zwiększać świadomość ludzi w tematach bezpieczeństwa.
Rozdział 7 zwraca uwagę na kwestię oceny testów oraz tworzenie raportu lub raportów z przeprowadzonych testów. Raport powinien być udostępniony uprawnionym osobom. Zaleca się wczesne raportowanie, ponieważ daje to więcej czasu na naprawianie luk w zabezpieczeniach. W rozdziale można zapoznać się ze strukturą raportu, czyli odpowiedzialnością menedżerską.
W rozdziale 8 przedstawiono rolę narzędzi w testach bezpieczeństwa. Narzędzia można podzielić na dynamiczne i statyczne. Testy statyczne mogą być wykonane we wczesnym etapie cyklu tworzenia oprogramowania, co jest niewątpliwie dużą zaletą. Należy jednak pamiętać, że najważniejsze jest użycie narzędzi przez testera.
Rozdział 9 to standardy i trendy występujące w dziedzinie bezpieczeństwa. W rozdziale położono nacisk na zagadnienia dotyczące zrozumienia korzyści ze stosowania standardów. Przedstawiono również przykłady, gdzie można śledzić trendy w dziedzinie bezpieczeństwa. Autorzy zwracają uwagę na to, że ciągły rozwój i zmiany zagrożeń wymagają od testerów bycia na bieżąco poprzez śledzenie trendów oraz stosowanie odpowiednich narzędzi.
Podsumowując sylabus przedstawia tematy, które tester musi poznać, aby dobrze przygotować się do egzaminu ISTQB Security Tester, ale ma to w naszej opinii niewielkie przełożenie na samo testowanie bezpieczeństwa. Oddajmy jednak głos ekspertom.
Pierwszy problem, jaki się pojawił przy próbie zebrania opinii to niechęć do jej wyrażenia. Jest to jednak usprawiedliwione tymi głosami, które ostatecznie udało nam się otrzymać. Są one podane "bez ogródek", zwykle krytykujące zarówno stronę merytoryczną, jak i biznesową. Zdecydowaliśmy się więc nie ujawniać nazwisk autorów. Możemy Was jednak zapewnić, że są to osoby, których publikacje mieliście zapewne okazję czytać lub których prezentacje mieliście okazję oglądać jeśli tylko interesujecie się bezpieczeństwem.
Opinia pierwsza: Jest to certyfikacja nakierowana bardziej na zarządzanie bezpieczeństwem w organizacji IT. Nie jest to co prawda jeszcze CISO (Chief Information Security Officer), ale skręca w tę stronę. Jest to materiał dla lidera testów bezpieczeństwa, który ma część odpowiedzialności w temacie bezpieczeństwa aplikacji albo infrastruktury. W podręczniku nie ma słowa o praktycznym testowaniu, jest za to sporo ogólnej wiedzy o bezpieczeństwie, obszarach, jakich dotyka, modelowaniu zagrożeń, ryzyku, procesie testowania w cyklu rozwoju oprogramowania, itd. Dużo jest definicji i pojęć do zapamiętania, nie ma natomiast nic np. o podatnościach aplikacji webowych i mobilnych.
Szkolenie z tego zakresu ma sens dla osób,:
- które chcą posiąść/uporządkować ogólną wiedzę o bezpieczeństwie czy testowaniu bezpieczeństwa w organizacji IT,
- zajmujących się bezpieczeństwem, ale we współpracy z zewnętrznymi firmami wykonującymi testy bezpieczeństwa,
- które zarządzają już testami w organizacji.
Zwłaszcza ten trzeci punkt jest istotny. Widzimy coraz więcej firm, w których wewnętrzne testowanie bezpieczeństwa jest wykonywane nieskładnie i taka publikacja może im pomóc temat uporządkować. Dzięki temu będą mieć argumenty na realizację swoich działań oraz dowiedzą się, co będą musieli zlecić na zewnątrz.
Niewiele po tym egzaminie jest wiedzy praktycznej. Niewielkim wyjątkiem jest trochę wiedzy o tworzeniu wymagań, modelowaniu zagrożeń i bardzo ogólnym definiowaniu scenariuszy dla bezpieczeństwa.
Opinia druga: Pierwsze wrażenie nie jest dobre. Wygląda to trochę tak, jakby ktoś wrzucił dostępne sylabusy ze szkoleń dla managerów IT sec i dobrze je wymieszał. Głównym problemem jest to, że szkolenie i egzamin nazywa się "ISTQB Security Tester", a sylabus w żadnym stopniu nie pokrywa się z tytułem. Powinno się raczej nazywać "IT security management". Nie ma w nim zbyt dużo ani o testowaniu ani o problemach bezpieczeństwa oprogramowania. Zakładam przy tym, że ISTQB zajmuje się głownie oprogramowaniem, a nie infrastrukturą. Moja obawa polega na tym, że ci, którzy przyjdą na szkolenie będą dość mocno rozczarowani. Nie dlatego, że materiał jest zły, tylko dlatego, że jest nie na temat, a więc rozminie się z ich oczekiwaniami.
Można zauważyć, że certyfikat nie nawiązuje do części swoich celów biznesowych oraz celów nauczania.
Materiały omawiane w opiniach:
A jakie są Wasze opinie i przemyślenia o certyfikacji ISTQB dla testerów bezpieczeństwa?
[aktualizacja 10.07.2017]
Dalsze opinie na temat certyfikatu.
Z LinkedIN.
Z twittera.
Może być ok jeśli chodzi o organizację testów. Ale nie ma chyba najważniejszego - czyli jak konkretnie je realizować. https://t.co/9sTmW0ICNR
— Sekurak (@Sekurak) July 10, 2017
raczej wiedza podstawowa dla kazdego PM, niż coś dla testera security. Ten powinien wiedziec to i *WIELE* wiecej, zwłaszcza *JAK* testować.
— Niebezpiecznik (@niebezpiecznik) July 10, 2017
