Лада Антипова, специалист по киберкриминалистике Angara SOC, совсем недавно поделилась отличными новостями - сдала свой первый экзамен на сертификат международного уровня – GIAC Certified Forensic Analyst (GCFA). В материале рассказала, как готовилась, как пережила epic fail и вернулась с победой.

В двадцатых числах октября я сдала свой первый экзамен на сертификат международного уровня – GIAC Certified Forensic Analyst (GCFA). Для тех, кто не знаком с таким или вообще зашел почитать просто интереса ради, приведу дословный перевод описания экзамена:

Сертификация GIAC Certified Forensic Analyst (GCFA) фокусируется на основных навыках, необходимых для сбора и анализа данных компьютерных систем. Кандидаты обладают знаниями, навыками и умением проводить расследования инцидентов и работать с продвинутыми сценариями обработки инцидентов, включая внутренние и внешние вторжения с утечкой данных, продвинутые постоянные угрозы, методы защиты от криминалистики, используемые злоумышленниками, и сложные случаи цифровой криминалистики.

Эмоций много, а уж тем более оглядываясь назад и понимая, что даже путь к сдаче этого экзамена был не самым простым для меня. Ну, обо всем по порядку.

Почему именно этот экзамен?

Ответить на этот вопрос легко и сложно одновременно. Вообще курсы SANS считаются одними из самых сильных на международном рынке. Если посмотреть на небезызвестный Certification Roadmap, то GCFA как раз охватывает области как форензики, так и обработки инцидентов (incident handling). Несмотря на то, что я не планирую переезжать из России, мне кажется, что это как раз тот случай, когда «нужно учиться у лучших». Как ни странно, хоть сертификаты и зарубежные, но все это очень любится и ценится в России, в частности GIAC, ISC2, Offensive Security, EC-Council.

Сейчас я работаю специалистом по реагированию на инциденты и цифровой криминалистике в Angara SOC: мы реагируем и расследуем инциденты как у внешних заказчиков, так и помогаем разобраться со сложными кейсами у клиентов нашего SOC. Однажды меня спросили, какие обучающие курсы я хотела бы пройти? Вендорские? Может, по каким-то отдельным продуктам? Или захватить новые, но связанные направления? На что я ответила, что с момента прихода в форензику у меня есть своеобразная мечта: сдать GCFA. И мне сказали: «А давай, почему нет?». Честно сказать, это было несколько неожиданно для меня, так как мы заговорили об этом в первый раз, когда я отработала в Angara Security буквально пять месяцев, если не меньше. Не так много компаний в России, которые готовы столько вкладывать в новичков. Но колеса встали на рельсы и процесс пошел.

Как сейчас дела со сдачей в России?

Кажется, этот вопрос меня выбил из колеи больше, чем что-либо: процесс затянулся. Мне выделили деньги, но мы решили, что проведу оплату я сама. Вообще сейчас много обсуждают, как это сделать правильно, для каждой организации и сертификации могут сработать разные способы. В общем, ясно только одно, что привычные способы уже не работают.

Итак, этап первый. Я оплатила сдачу экзамена через друзей и иностранную карту, но в графе Billing Address (условно, адрес, куда тебе «выставляют счет») все же указала Россию. Посоветовавшись, мы решили, почему нет, скорее всего, SANS явно вне всех этих политических игр. После заполнения формы и оплаты в течение нескольких рабочих дней на почту должно отдельно прийти подтверждение, что оплата прошла и тебе доступна запись на экзамен. Проходит неделя. Две. Три. Тишина. Я пишу на саппорт, где мне отвечают:

Занавес. Я конечно же расстроилась, попсиховала, но потом вспомнила про эту самую графу Billing Address и решила попробовать еще раз.

Этап второй. Нашла знакомых в третьей стране. Создаю новый аккаунт и указываю другой адрес, никакого упоминания родной страны. И тут…  платформа (или VPN?) на секунду подвисает, деньги списывают, а оплата не проходит. Саппорт пишет, что деньги не пришли, ждите.

Этап третий. Месяц мы ждали, чтобы банк разморозил деньги. Саппорт дополнительно рекомендовал мне оплатить еще раз, а те деньги «рано или поздно разморозят» :) Я решила все же подождать еще и спустя этот месяц я оплачиваю заново. И наконец мне подтверждают возможность сдать экзамен.

Подготовка

Когда мы обговаривали мой процесс сдачи с руководством, мне сразу дополнительно согласовали бюджет на тренировочный экзамен (Practice Test), который максимально близок к реальному, поэтому я сразу оплатила и его. Стоимость самого экзамена – 949$, тестового – 399$. Насколько мне известно, тестов можно брать два. Я же решила действовать по ситуации: сначала сдам один, если будет нужно – докуплю еще, но в конечном итоге ограничилась одним.

При оплате и экзамена, и теста тебе выставляют дедлайн: даты, до которых ты должен все сдать. Получается, при оплате экзамена и теста 31 августа 2023, мне нужно было сдать экзамен до 31 декабря 2023, а тест – до какой-то даты в феврале 2024. Но, сами понимаете, второй нужно сделать вперед.

В общем, я решила не затягивать и до ноября все сдать, а значит тренировочный пройти примерно в начале октября. То есть у меня был месяц на подготовку на тот момент.

Здесь самая скучная часть – по факту, из подготовки я только перечитала курс FOR508 за 2022 год, который, собственно, и рекомендован для сдачи этого экзамена. Да, я просто прочитала 800 страниц. (Ну, вдогонку нужно было повторить тонкости работы с Windows 11 и новые артефакты: позже я поняла, что вопросы и по ней уже встречаются)

Тут должна сказать, что все же считаю, что гораздо круче и в разы легче сдавать экзамен тогда, когда ты уже «варишься» в этом всем, и понимаешь, как и что работает. В свое время у меня была достаточно сильная школа, поэтому мне нужно было только закрыть существующие пробелы для экзамена. Тем более, когда ты работаешь с этим каждый день, уже не задумываешься над вопросами в стиле: «А где это применять? А как часто я вообще буду с этим сталкиваться?». Оффтоп, но ровно так же работают, например, TI-отчеты (Threat Intelligence). Если ты не понимаешь, как их смотреть (а иногда смотреть можно по диагонали) и где искать ключевые моменты, мозг скорее всего ничего и не запомнит.

Формат экзамена

Всего в экзамене 82 вопроса, из которых 75 теоретических, 7 практических (CyberLive), дается три часа. Формат (не содержимое!) тренировочного полностью совпадает с реальным экзаменом, поэтому я настоятельно рекомендую брать хотя бы один, чтобы просто понять структуру, чего от тебя вообще хотят, ну и, в конце концов, реально потренироваться. Все вопросы в тестовой форме, на практике тебе дается виртуальная среда, где нужно что-то сделать/распарсить и найти/проанализировать. Честно сказать, при подготовке я вообще забила на эту часть, так как для практикующего специалиста справиться с ней вообще легче простого. Нет никаких ограничений, как решать задачу, есть машина SIFT с полным набором форензик-инструментов: делай так, как умеешь. Но повторюсь, вопросы теста никак не совпадают с реальным экзаменом и надеяться, что какие-то вопросы ты прорешаешь и они тебе попадутся потом – не стоит.

Некоторые интересуются, насколько хорошо нужно владеть английским языком. Честно говоря, на этот вопрос я несколько затрудняюсь ответить, так как никакого «спикинга» в самом экзамене, как видите, нет, и отчетов как таковых тоже писать не нужно. Есть ли сложные формулировки? Неоднозначных точно нет, сложных, как по мне, тоже. В общем, на мой взгляд, если читаете англоязычный материал, проблем не будет. Я пока свободно не владею, текущий уровень – B2 (Upper Intermediate) – этого более, чем достаточно.

К тому же, важно отметить, что все экзамены GIAC имеют формат open book. Из описания, не буду переводить:

То есть по факту ты можешь взять с собой напечатанные книги, читшиты SANS, некоторые заметки, но не в цифре. Забавно, но, даже набрав всякого, вы не обеспечите себе безоговорочную сдачу: просто потому, что проверять каждый вопрос вы не сможете, даже если будете знать, где примерно искать ответ. Во-первых, потому что ответов в явном виде в самом курсе не так много, а во-вторых, просто не успеете по времени.

Касательно моего опыта: после небольших «неполадок» с оплатой я не стала рисковать и для сдачи полетела в другую страну, а именно − в Казахстан. Коллеги меня поддержали и все согласовали, хотя, возможно, это было излишне и можно было сдать удаленно через платформу ProctorU. Но тут я столкнулась с другой проблемкой: придя в сертификационный центр, экзаменатор, увидев мои несчастные распечатанные 5 листиков A4 с читшитами и некоторыми заметками из учебников курса, только развел руками и сказал, что не в курсе, что такое open book format, такого он никогда не видел, и вообще, это шпоры и не положено. После десяти минут переговоров я сдалась и решила: «Будь, что будет» и уединилась на три часа с одним только компьютером для сдачи.

Процесс сдачи

Вот тут-то, конечно, попотеть пришлось. Знающие люди поймут, что знать наизусть изменения всех временных меток в NTFS при различных манипуляциях в разных версиях винды – это задачка не из легких. Когда я решала свой тест, я без задней мысли эти вопросы просто смотрела в Windows Forensic Poster. Более того, я вообще не понимаю, зачем и как можно помнить ВСЕ нужные eventID. Да, есть часто встречающиеся и ты их назовешь даже если тебя разбудят ночью, но только по RDP есть с десяток событий как минимум в четырех созвучных журналах. Это тебе не в 4625 Security.evtx покопаться :)

В общем, подобных вопросов, хоть и самая малая часть (2-3), но попадаются. И если с читшитами это как раз то, о чем стоит волноваться меньше всего, то мне тут пришлось посидеть и повспоминать. Опять же, это исключительно мой опыт, потому что у меня есть знакомые, которые сдавали этот же экзамен в этом году, и приносили с собой без проблем просто охапку всего. Скорее всего, если бы я сдавала удаленно, такого бы не было. Но окончательно приняв тот факт, что уже будет как будет, я отвечаю на последний вопрос и…

Приятно удивляюсь :)

Конец истории и вывод

В общем-то, все закончилось как нельзя лучше: я сдала экзамен, который давно хотела, еще и немного в хардкорном режиме. Честно, сейчас сама в легком недоумении, как я это сделала ???? К тому же, ухватила кусочек золотой осени и гор в Алмате, когда в Москве уже дело шло к слякоти снегу.

Сам по себе и курс, и экзамен – крутые, в том числе с практической точки зрения. И абсолютно точно worth doing.

Какой я могу сделать вывод? Делайте то, что любите. Я искренне считаю, что у меня одно из самых интересных, захватывающих и пусть даже порой сложных направлений деятельности. Тем не менее, я всегда топлю за то, чтобы делать то, что приносит удовольствие именно вам.

Я никогда не любила публичные выступления, да и вообще я – скорее, интроверт, но в этом году, когда именно МНЕ захотелось, я, так сказать, вышла из зоны комфорта и выступила на Positive Hack Days 12 в мае, в Парке Горького. Материалы, кстати, можно посмотреть здесь, а почитать – вот тут.

Некоторое время назад мне предлагали сдавать на другие сертификаты, например, eCIR, но почитав его описание, на тот момент душа у меня к нему так и не легла.

Не хотите сдавать сертификаты вообще? Это в любом случае ваш выбор, ведь главное, что у вас в голове.

Напоследок, хочу еще раз сказать большое спасибо всей команде в лице Angara Security и отдельное спасибо – моему подразделению, Angara SOC, что верили в меня больше, чем я сама. И позволили моей маленькой мечте сбыться :)