卡利Linux创建者计划如何应对渗透测试的未来

进攻性安全可能是最知名的公司 卡利Linux,它是流行的(免费的)开源笔测试平台,但是它对信息安全行业的贡献绝对不限于此。

kali linux渗透测试

“在《财富》 100强公司中,超过60%的公司聘用了受过进攻性安全培训的专业人员-这绝对是我们值得骄傲的,”该公司首席执行官王宁说。

公司’据她介绍,其主要目标是培训数百万专业人员,以掌握黑客的思维方式以及进入网络安全行业并在其中取得成功所需的必要的道德黑客技能。

“传统上,我们将重点放在具有大量IT实际操作经验的人员身上,以使他们更加努力地成为专业的渗透测试人员。展望未来,我们将为更多背景不同的人提供培训,”她告诉Help Net Security。

CEO角色的正确背景

进攻安全 成立于2006年,在过去的11个月中,它一直由Wang领导。

她学习并获得博士学位。从事物理学工作,但不久之后,她就开始从事商业工作,并从事了一系列工作,这些工作为她目前的CEO职位做好了充分的准备:她是在线教育机构Lynda.com(现名)的财务,工程和运营负责人作为微软的LinkedIn学习);曾担任HPE现在拥有的云软件制造商Eucalyptus的首席财务官;最近是HackerOne的副手,这是一家漏洞赏金创业公司,对发展道德黑客市场产生了重大影响。

这些职位为她提供了与开源社区合作的经验(以及对Kali Linux的重要性和支持的深刻理解)和在线培训,并且使她意识到传统的安全培训方法是无效的,并且解决 安全人才短缺 行业面临的挑战是吸引天生好奇的人,培训他们获得解决问题的技能,并培养黑客的思维方式。

“进攻安全性是我领导公司的第一步,我意识到自己是男性主导领域的女性首席执行官。此外,2020年当然也提出了自己的一系列独特挑战,需要领导团队的创新和创造力。但是,我很自豪地说,通过这一切,OffSec保持了发展势头,甚至在某些领域还在加速发展,扩大了我们的产品线,并不断向安全社区提供新产品,” she noted.

王的进攻安全

自王’任命后,OffSec团队的人数增加了一倍以上,该公司培训了更多的安全和IT专业人员,并颁发了比以往任何时候更多的证书。

他们也:

  • 更新了其最受欢迎的培训和认证课程,包括使用Kali Linux(PWK)进行渗透测试和高级Web攻击与利用(AWAE)
  • 推出了新的安全培训课程PEN-300,这是一门高级课程,旨在教给已建立的安全专业人员,以新技术对强化的成熟网络执行高级攻击。 (成功完成课程并通过48小时实践考试的人员将获得具有攻击性的安全经验丰富的渗透测试仪–OSEP认证。)
  • 推出了专为企业客户量身定制的产品OffSec Flex计划,以帮助解决网络安全人才短缺的问题,并推出了Proving Grounds,这是一个新的实验室环境,旨在使安全和IT专业人员能够尝试使用黑客技术,提高并维持其安全性和测试技巧,并了解加入OffSec广受欢迎的认证计划的经验。

卡利Linux发行版,专门为 渗透测试 和数字取证仍然免费提供。自2019年1月起,OffSec在她的领导下组建了一支敬业的Kali团队,每季度发布一次,受到了社区的积极评价。

“Kali和其他项目(例如Exploit数据库),Internet上最大的漏洞利用和漏洞集合, 使我们与安全社区的需求保持一致 并继续告知我们公司的方向,” she explained.

但是她的事’最让我们感到骄傲的是,OffSec已成为一家拥有明确定义的核心公司价值观的公司:家庭,热情,正直,社区和创新。

“在扩展,雇用和运营时,我们以这些价值观为生。作为首席执行官,我在团队成员的支持下找到了自己的风格:勇于成为真实和脆弱的人。我们营造了一种环境,可以拥抱和实践增长思维方式,建立基于漏洞的信任,并赋予我们的团队以最大的力量,使他们能够做到最好。作为首席执行官,我的工作是如何以我或OffSec可以影响的方式使我们的员工更快乐。”

将渗透测试推向新的高度

如前所述,OffSec计划为背景各异的人提供培训–但是学习的方法仍然是相同的。

“我们不提供简单‘check the box’在OffSec开设的课程。我们对学生进行了深入的动手训练,然后使他们运用在充满挑战的沉浸式实验室环境中获得的知识,” Wang explained.

“任何人都可以学习如何操作漏洞扫描程序。但是,在OffSec,我们不仅教我们的学生如何操作工具。相反,目标是在学生团体中树立对抗心态,训练安全专业人员,让他们超越显而易见的事物,更加努力地尝试并确定攻击者之前的漏洞。 OffSec的动手实践方法是独一无二的。这种思维方式是思考和工作的方式,是在现实世界中进行笔测试的必要条件。”

而且,随着防御控制措施越来越有效,该公司正在满足对更高级的渗透测试技能的需求。

Wang说,十年前,OSCP技能水平已经足够成为一个好五分之一,但现在已经不复存在了,他指出,笔测试活动越来越多地涉及Web属性,并且经过改进的防病毒软件和监视工具阻止了笔测试人员进入目标常规系统。

“这就是为什么我们最近推出了第二层课程–先进的Web攻击和利用(AWAE)以及规避技术和突破性防御(ETBD)–并将很快启动Windows用户模式漏洞利用开发(WUMED)。我们相信,要成为在现代环境中有效的笔测试员,不仅需要具备ETBD级别的技能,而且还要精通具有AWAE级别的技能的网络媒体资源,” she opined.

““使用Kali Linux(PWK)进行渗透测试”和“通过进攻性安全认证专家(OSCP)”认证仍然是笔测试人员要获得的基本技能,但它们是需要建立的基础。我们相信,即将到来的新的OSCE3认证是在2020年代成为可行的,熟练的笔测试仪所需要的。”

分享这个