Panduan Studi CEH: Cara Menjadi Peretas Etis Bersertifikat

Mengamankan pekerjaan sebagai peretas etis adalah proses yang rumit.

Anda mungkin memiliki pengetahuan substansial di lapangan dengan pengalaman langsung dalam alat pengujian penetrasi, sistem SIEM, dan teknologi terbaru. Tapi tetap saja, wawancara mungkin tidak berjalan seperti yang Anda rencanakan.

Setiap kali manajer perekrutan bertanya tentang pengalaman Anda, Anda menemukan teka-teki dengan banyak informasi, mencoba mencari tahu yang dapat Anda bagikan. Sebagai penguji penetrasi, Anda memiliki perjanjian kerahasiaan dengan atasan Anda sebelumnya, dan Anda tidak ingin melanggarnya.

Dalam situasi seperti itu, Anda memerlukan sertifikasi yang diakui industri untuk memvalidasi dan mendukung pengetahuan dan pengalaman Anda. CEH adalah salah satu sertifikasi tersebut.

Apa itu CEH?

Sertifikasi Certified Ethical Hacker (CEH), yang ditawarkan oleh EC-Council, memvalidasi pengetahuan Anda dalam melewati pertahanan keamanan organisasi dengan mengakses jaringan, aplikasi, database, dan data penting lainnya melalui celah dalam konstruksi keamanan.

Ini menguji keterampilan Anda dalam mengungkap kerentanan yang dapat dieksploitasi oleh penyerang jahat. Sertifikasi CEH mempersiapkan Anda untuk mencocokkan teknik dan kreativitas peretas topi hitam sambil membekali Anda dengan pemahaman mendalam tentang alat peretasan, vektor serangan yang berkembang, dan tindakan pencegahan pencegahan.

Peretas etis bersertifikat mendapatkan izin dari pemilik aset sebelum meneliti kerentanannya dan memastikan bahwa hasilnya tetap rahasia. Perjalanan menjadi seorang hacker etis bersertifikat dimulai dengan lulus ujian CEH (ANSI). Setelah melakukannya, Anda dapat memilih untuk mengikuti praktik CEH, ujian praktik enam jam. Ketika seorang profesional bersertifikat CEH dan menyelesaikan praktik CEH, mereka diakui sebagai Master CEH.

Tapi sebelum menyelam jauh ke dalamnya, mari kita mulai dengan beberapa informasi lebih lanjut mengapa menjadi CEH itu penting.

Mengapa Anda memerlukan sertifikasi CEH

Sertifikasi CEH membantu penguji penetrasi mendapatkan pekerjaan impian mereka dengan memvalidasi bahwa keahlian mereka sesuai dengan standar industri. Berikut adalah beberapa alasan lagi yang menjelaskan perlunya mendapatkan sertifikasi CEH.

Membuat Anda sangat cocok untuk pekerjaan itu

Saat merencanakan karir di bidang keamanan siber, sertifikasi Peretas Etis Bersertifikat memvalidasi keterampilan Anda sebagai penguji penetrasi dan memastikan bahwa keterampilan tersebut sejalan dengan standar yang diakui industri. Sebagai peretas etis, hasil yang Anda berikan atau kerentanan yang Anda temukan terlampir dalam cangkang rahasia. Dalam kasus seperti itu, membuktikan keahlian dan kesesuaian Anda untuk suatu pekerjaan menjadi rumit.

Anda harus berhati-hati saat membocorkan detailnya kepada manajer perekrutan, karena Anda mungkin tidak ingin mengambil risiko perjanjian hukum apa pun dengan mantan majikan Anda. Sertifikasi CEH membantu Anda menetapkan tolok ukur keahlian Anda sebagai peretas etis dan menunjukkan Anda sebagai kandidat yang sah untuk berbagai peran keamanan siber.

Mengaktualisasikan ekspektasi gaji Anda

Profesional bersertifikat mudah untuk bergabung dalam suatu organisasi, karena persyaratan pelatihan minimum. Pengusaha di bidang keamanan siber lebih memilih kandidat dengan pengetahuan komprehensif di bidangnya, yang memaparkan peretas etis bersertifikat ke sejumlah besar peluang dengan skala pembayaran yang substansial.

Memenuhi persyaratan DoD

Jika Anda cenderung untuk mendapatkan pekerjaan di Departemen Pertahanan (DoD), sertifikasi CEH akan membuka jalan Anda ke dalamnya. Departemen Pertahanan mewajibkan semua Pejabat Penjaminan Informasinya untuk disertifikasi sebelum menangani informasi sensitif dan keamanan jaringan.

Peta ke kerangka kerja industri

Kurikulum kursus CEH untuk mendapatkan sertifikasi CEH dipetakan ke kerangka kerja industri seperti NICE/NIST, diterbitkan oleh Departemen Keamanan Dalam Negeri bekerja sama dengan Institut Standar dan Teknologi Nasional (NIST) dan Kantor Direktur Intelijen Nasional (ODNI).

Ini membantu Anda memajukan karir Anda sebagai karyawan federal, karena CEH v11 berada di bawah Area Khusus kerangka kerja NICE 2.0 – Lindungi dan Pertahankan (PR) dan Analisis (AN) dan Penyediaan Aman (SP).

Memberikan keamanan kerja

Dengan meningkatnya kejahatan siber dengan kecepatan yang luar biasa, kebutuhan akan profesional keamanan siber yang berkualitas terus meningkat.

Berinvestasi dalam sumber daya keamanan siber cukup hemat biaya, karena harga rata-rata untuk membersihkan setelah diretas adalah $690.000 untuk bisnis kecil dan lebih dari $1 juta untuk bisnis skala menengah, menurut Ponemon Institute.

Sertifikasi yang diakui industri akan membantu Anda menunjukkan kemampuan Anda sebagai profesional keamanan TI yang terampil dalam permintaan yang terus meningkat ini dan menjamin pekerjaan Anda.

Bagaimana menjadi peretas etis bersertifikat

Untuk menjadi peretas etis bersertifikat, Anda harus lulus ujian CEH yang terdiri dari total 125 pertanyaan pilihan ganda. Anda memiliki batas waktu empat jam untuk menyelesaikan ujian.

EC-Council menjaga integritas ujian sertifikasi dengan menyediakannya sebagai bank soal yang berbeda. Bank soal ini dianalisis melalui pengujian beta untuk kelompok sampel yang sesuai di bawah pengawasan pakar keamanan.

Ini membantu dalam memastikan bahwa pertanyaan yang diajukan dalam ujian memiliki aplikasi dunia nyata selain signifikansi akademis. Badan pengatur menentukan tingkat kesulitan setiap pertanyaan, dan berdasarkan itu, batas akhir dievaluasi. Biasanya berkisar antara 60% hingga 80%, tergantung dari rangkaian pertanyaan yang Anda dapatkan.

Kriteria kelayakan

Sehubungan dengan kriteria kelayakan untuk mencoba ujian sertifikasi CEH, Anda memiliki dua opsi. Pertama, Anda dapat menyelesaikan pelatihan EC-Council resmi di pusat pelatihan terakreditasi, institusi akademik yang disetujui, atau melalui platform iClass. Dalam hal ini, Anda dapat menantang ujian sertifikasi EC-Council tanpa melalui proses aplikasi.

Opsi kedua untuk kelayakan sertifikasi CEH mengharuskan Anda memiliki setidaknya dua tahun pengalaman dalam domain keamanan informasi sebagai prasyarat. Jika Anda memiliki pengalaman yang relevan, Anda dapat mengirimkan aplikasi Anda bersama dengan biaya $100 (tidak dapat dikembalikan).

Dalam formulir aplikasi, Anda harus mencantumkan detail manajer Anda, yang akan bertindak sebagai pemverifikasi dalam proses aplikasi. Aplikasi biasanya memakan waktu sekitar lima sampai 10 hari kerja, setelah verifikator menanggapi permintaan informasi dari EC-Council.

Jika Anda ingin menggunakan opsi pertama, yaitu program EC-Council resmi, inilah yang telah berubah di CEH v10 menjadi CEH v11.

Apa yang ditawarkan program CEH v11 EC-Council?

CEH v11 adalah program CEH terbaru yang ditawarkan oleh EC-Council. Badan pengatur telah meluncurkan beberapa area fokus penting dalam versi ini sambil terus berkembang dengan sistem operasi, alat, taktik, eksploitasi, dan teknologi. Pembaruan di CEH v11 adalah sebagai berikut:

Penggabungan OS Keamanan Parrot

Parrot Security OS bermaksud untuk menyediakan rangkaian lengkap alat pengujian penetrasi untuk mitigasi serangan, penilaian kerentanan, penelitian keamanan, dan forensik. Ini menawarkan kinerja yang lebih baik daripada Kali Linux pada laptop dan mesin bertenaga rendah sambil memberikan tampilan intuitif dengan gudang alat umum yang luas.

Peningkatan IoT, keamanan cloud, dan modul OT

CEH v11 menggabungkan modul cloud dan IoT yang diperbarui untuk mencakup teknologi wadah penyedia layanan cloud seperti Docker dan Kubernetes, ancaman komputasi awan, dan beberapa alat peretasan IoT seperti Shikra, Bus Pirate, Facefancer 21, dan banyak lagi.

Karena dunia terus bergerak menuju adopsi cloud yang lebih dalam, peretas etis diharapkan mengetahui tentang ancaman keamanan yang terkait dengan mereka. Program CEH v11 memungkinkan Anda untuk menghindari, mengidentifikasi, dan menanggapi serangan siber tersebut.

Juga, CEH mencakup keterampilan dan konsep teknologi operasional (OT) lanjutan seperti Sistem Kontrol Industri (ICS), Kontrol Pengawasan dan Akuisisi Data (SCADA), dan banyak lagi. Ini mencakup berbagai tantangan PL, metodologi peretasan PL, protokol komunikasi jaringan PL seperti Profinet, Zigbee, dan banyak lagi.

Analisis malware terbaru

CEH v11 mencakup teknik analisis malware modern untuk ransomware, perbankan, botnet IoT, analisis malware OT, malware Android, dan banyak lagi. Baru-baru ini, komunitas keamanan membunyikan alarm untuk serangan malware tanpa file.

CEH v11 memungkinkan Anda untuk fokus pada beberapa teknik malware dengan strategi pertahanan terkait. Kursus pelatihan mencakup taksonomi ancaman malware tanpa file, teknik untuk mem-bypass antivirus, meluncurkan malware tanpa file melalui injeksi berbasis skrip, dan banyak lagi.

Peningkatan pelatihan praktis

Dalam kursus CEH v11, lebih dari 50% kurikulum difokuskan pada pengembangan keterampilan praktis dalam rentang langsung dengan lab EC-Council untuk berlatih dan meningkatkan keterampilan peretasan. Iterasi terbaru CEH juga mencakup sistem operasi baru, termasuk Windows Server 2016, Windows Server 2019, dan Windows 10 yang dikonfigurasi dengan firewall, pengontrol domain, dan aplikasi web yang rentan.

Sekarang, jika Anda akan maju dengan pilihan kedua untuk membuktikan dua tahun pengalaman Anda dan mengambil rute belajar mandiri untuk mendapatkan sertifikasi CEH, inilah cara Anda harus melanjutkan.

Cara belajar mandiri untuk ujian sertifikasi CEH

Jika Anda telah memutuskan bahwa Anda ingin menguji pengalaman Anda dan menyelesaikan ujian CEH melalui belajar mandiri, inilah yang dapat Anda lakukan.

Bergantung pada seberapa cepat Anda ingin mengikuti ujian CEH, buatlah rencana belajar yang sesuai. Hindari menginvestasikan banyak waktu dalam satu topik; memastikan bahwa Anda mencurahkan waktu yang diperlukan untuk semua bidang berdasarkan kekuatan dan kelemahan Anda.

Daftar Periksa: Topik yang akan dibahas untuk ujian sertifikasi CEH

• Pengantar peretasan etis: Peretasan etis dan kontrol keamanan informasi, hukum, dan standar. Tes pena, audit keamanan, penilaian kerentanan, dan peta jalan pengujian penetrasi.
• Footprinting and reconnaissance: Menggunakan alat dan teknik terbaru untuk melakukan footprinting dan pengintaian.
• Jaringan pemindaian: Teknik dan penanggulangan.
• Pencacahan: Teknik dan penanggulangan.
• Analisis kerentanan: Mendeteksi celah keamanan dalam infrastruktur jaringan, saluran komunikasi, dan sistem komputer organisasi.
• Peretasan sistem: Metodologi peretasan sistem, Steganografi, serangan steganalisis, dan menutupi trek untuk menemukan kerentanan jaringan dan sistem.
• Ancaman malware: Jenis malware (Trojan, virus, worm, dll.), audit sistem untuk serangan malware, analisis malware, dan penanggulangan.
• Sniffing: Temukan kerentanan jaringan menggunakan teknik packet sniffing dan gunakan tindakan pencegahan untuk mempertahankan sniffing.
• Rekayasa sosial: Teknik dan cara mengidentifikasi serangan pencurian untuk mengaudit kerentanan tingkat manusia dan tindakan pencegahan yang disarankan.
• Denial-of-Service (Serangan DoS atau DDoS): teknik dan alat untuk mengaudit target dan penanggulangan.
• Pembajakan sesi: Teknik untuk menemukan manajemen sesi tingkat jaringan, otentikasi/otorisasi, kelemahan kriptografi, dan tindakan pencegahan.
• Menghindari IDS, firewall, dan honeypot: Firewall, IDS, dan teknik penghindaran honeypot, alat dan teknik penghindaran untuk mengaudit kelemahan jaringan, dan penanggulangan.
• Meretas server web: Serangan dan metodologi serangan komprehensif untuk mengaudit kerentanan dalam infrastruktur server web, dan tindakan pencegahan.
• Meretas aplikasi web: Serangan aplikasi web dan metodologi peretasan aplikasi web yang komprehensif untuk mengaudit kerentanan dalam aplikasi web dan tindakan pencegahan.
• Serangan injeksi SQL: Teknik serangan injeksi SQL, alat deteksi injeksi untuk mendeteksi upaya injeksi SQL, dan tindakan pencegahan.
• Meretas jaringan nirkabel: Enkripsi nirkabel, metodologi peretasan nirkabel, alat peretas nirkabel, dan alat keamanan Wi-Fi.
• Meretas platform seluler: Vektor serangan platform seluler, eksploitasi kerentanan android, dan pedoman dan alat keamanan seluler.
• Peretasan IoT dan OT: Ancaman terhadap platform IoT dan OT dan pelajari cara mempertahankan perangkat IoT dan OT dengan aman.
• Komputasi awan: Konsep komputasi awan (Teknologi kontainer, komputasi tanpa server), berbagai ancaman/serangan, serta teknik dan alat keamanan.
• Kriptografi: Sandi kriptografi, Infrastruktur Kunci Publik (PKI), serangan kriptografi, dan alat kriptanalisis.

Anda juga dapat memeriksa cetak biru ujian CEH untuk menganalisis bobot topik yang berbeda dan menyelaraskan strategi persiapan Anda juga.

Saat mempelajari topik yang disebutkan di atas, pastikan Anda mengembangkan pemahaman dari perspektif dunia nyata. Anda dapat membuat lingkungan lab virtual di tempat Anda sendiri dan menggunakannya untuk mempraktikkan teknik peretasan yang dipelajari.

Mulailah mencoba kuis CEH gratis untuk mengidentifikasi area yang perlu Anda kerjakan dan tingkatkan sesuai standar CEH. Dianjurkan untuk mengikuti beberapa kursus peretasan etis dan meningkatkan pemahaman Anda tentang contoh dan pengalaman dunia nyata.

Anda juga dapat bergabung dengan komunitas atau forum online untuk mendiskusikan kebingungan Anda dan belajar dari kesalahan langkah orang lain. Akan sangat membantu jika Anda mempersiapkan ujian sendirian. Keputusan belajar mandiri adalah keputusan yang berani, karena ini adalah sertifikasi yang mahal.

Strategi terbaik adalah mendaftar dalam program pelatihan CEH, tetapi jika Anda yakin dapat menjawab pertanyaan dari topik yang disebutkan di atas, Anda selalu dapat mencobanya.

Mulai belajar dari awal

Pilihan strategi persiapan untuk ujian sertifikasi CEH hanya bergantung pada Anda. Baik Anda mendaftar di program pelatihan CEH atau mengambil rute belajar mandiri, pastikan Anda melakukan upaya yang tulus untuk mempersiapkan CEH, karena itu akan sangat bermanfaat bagi karier Anda.

Sudah siap untuk memulai persiapan hari ini? Mulailah dengan dasar-dasar dan pelajari lebih lanjut tentang pengujian penetrasi secara mendetail.