Certified Ethical Hacker (CEH) Prüfungsprozess

Der International Council of E-Commerce Consultants (EC-Council), der Eigentümer und Schöpfer des beliebten Certified Ethical Hacker (CEH) -Berechtigungsnachweises, hat dazu beigetragen, dass Ethical Hacking als grundlegendes Element der Cybersicherheit allgemein anerkannt wird. Ethische Hacker sind Personen, die von einer Organisation angeheuert werden, um sich mithilfe von Penetrationstesttechniken in Netzwerke zu hacken, um Sicherheitslücken zu entdecken und zu melden, die von Cyberkriminellen ausgenutzt werden können. Diese Personen werden auch als „White-Hat-Hacker“ bezeichnet.“

CEHs spielen eine zentrale Rolle im Informationstechnologiesektor. Unternehmen erhöhen heute mehr denn je die Nachfrage nach ethischen Hackern, die dazu beitragen können, ihre Netzwerke und Daten vor den sich ständig weiterentwickelnden Bedrohungen des Internets zu schützen. Dies ist definitiv ein Anreiz für IT-Profis mit der richtigen Einstellung, einen Karriereweg einzuschlagen, der auf jeden Fall interessant, anregend und finanziell lohnend sein kann. Tatsächlich beträgt das durchschnittliche Gehalt eines CEH ab 2018 71.331 USD pro Jahr.

Wer sollte die CEH-Prüfung ablegen?

Laut EC-Council „um einen Hacker zu fangen, muss man als einer denken.“ Ein CEH muss das gleiche Wissen und die gleichen Werkzeuge wie böswillige Hacker anwenden, jedoch auf rechtmäßige und legitime Weise. Der CEH-Berechtigungsnachweis kann Fachleuten dabei helfen, das dafür erforderliche Know-how zu lokalisieren und aufzufrischen. Laut dem EC-Council wird „Die Certified Ethical Hacker-Zertifizierung das Anwendungswissen von Sicherheitsbeauftragten, Auditoren, Sicherheitsexperten, Site-Administratoren und allen, die sich Sorgen um die Integrität der Netzwerkinfrastruktur machen, stärken“ – alles aus einer anbieterneutralen Perspektive. Die Zertifizierung kann Fachleuten helfen, sich abzuheben, indem sie nachweisen, dass sie über den richtigen theoretischen Hintergrund sowie über die praktischen Fähigkeiten und Erfahrungen verfügen, die erforderlich sind, um den IT-Rahmen eines Unternehmens zu festigen. Ein CEH sollte in der Lage sein, effektive Werkzeuge und Techniken anzuwenden, um Problembereiche zu identifizieren, die über das hinausgehen, was durch Scansoftware hervorgehoben werden kann.

Heute gilt die Zertifizierung als eine der gefragtesten Referenzen für Profis. Das US-Verteidigungsministerium hat es als verbindlichen Standard für Computer Network Defenders Service Provider (CND-SP) in die Richtlinie 8570 aufgenommen und ist auch ANSI 17024-konform.

Wie bewerbe ich mich für die CEH-Prüfung?

Der EC-Council hat 2003 die Certified Ethical Hacker Zertifizierung eingeführt. Der CEH deckt das Kernwissen ab und ist der erste Schritt für Profis, die eine Karriere im Bereich Ethical Hacking anstreben. Sie können dann über die Optionen Certified Security Analyst und Licensed Penetration Tester (ECSA / LPT), die auch vom EC-Council angeboten werden, zu erweiterten Optionen übergehen.

Um für den Berechtigungsnachweis in Betracht gezogen zu werden, müssen die Kandidaten über mindestens zwei Jahre Berufserfahrung im Bereich Informationssicherheit verfügen. Zum Nachweis von Kenntnissen können sie an einer offiziellen EC-Council-Schulung entweder in einem akkreditierten Schulungszentrum oder an einer anerkannten akademischen Einrichtung teilnehmen. Als Alternative können Kandidaten ein Antragsverfahren durchlaufen, das die Zahlung einer nicht erstattungsfähigen Gebühr von 100 USD und die Einreichung eines Formulars beinhaltet. Wenn der Antrag genehmigt wird, hat der Kandidat drei Monate Zeit, um den Testgutschein im Online-Shop des EC-Council oder in einem seiner autorisierten Kanäle zu erwerben.

Die Bearbeitungszeit des Antrags beträgt zwischen fünf und zehn Arbeitstage, nachdem die Prüfer des Antrags auf die Informationsanfragen des EG-Rates geantwortet haben. Tester erhalten den Berechtigungscode und den Gutscheincode, mit denen sie sich registrieren und den Test in Pearson VUE- und EC-Council-Testzentren planen können.

Wie viele Fragen gibt es zur CEH-Prüfung?

Die Prüfung selbst wird vollständig online durchgeführt. Es dauert 4 Stunden und beinhaltet 125 Multiple-Choice-Fragen.

Welche Themen stehen auf der CEH-Prüfung?

Tester sollten sich auf folgende Themen vorbereiten:

• Ethik und Legalität
• Fußabdruck und Aufklärung
• Netzwerke scannen
• Aufzählung
• Systemhacking
• Malware-Bedrohungen
• Schnüffler
• Denial-of-Service
• Social Engineering
• Session-Hijacking
• Hacken von Webservern
• Hacken von Webservern anwendungen
• SQL Injection
• Hacken drahtloser Netzwerke
• Hacken mobiler Plattformen
• Umgehen von IDs, Firewalls und Honeypots
• Kryptographie
• Cloud Computing

Und für Version 10 enthält der Test jetzt:

• Schwachstellenanalyse
• Malware-Analyse
• Internet der Dinge (IoT)

Diese Themen haben sich als Reaktion auf den raschen technologischen Wandel durchgesetzt.

Wie wird die CEH-Prüfung bewertet?

Die CEH-Prüfung besteht aus sieben verschiedenen Bereichen. Diese verschiedenen Bereiche werden zusammen mit ihren gewichteten Punktzahlen und der Anzahl der Prüfungsfragen unten angezeigt:

1. Hintergrund: 4% Gewicht, 6 items

• Netzwerktechnologien (z.B. Hardware, Infrastruktur)
• Webtechnologien (z.B. web 2.0, Skype)
• Systemtechnologien
• Kommunikationsprotokolle
• Malware-Operationen
• Mobiltechnologien
• Telekommunikationstechnologien
• Backups und Archivierung (z. B. Lokal, Netzwerk)

2. Analyse/Bewertung: 13% Gewicht, 19 Artikel

• Datenanalyse
• Systemanalyse
• Risikobewertungen
• Technische Bewertungsmethoden

3. Sicherheit: 25% Gewicht, 38 Items

• Systemsicherheitskontrollen
• Anwendungs-/Dateiserver
• Firewalls
• Kryptographie
• Netzwerksicherheit
• Physische Sicherheit
• Bedrohungsmodellierung
• Verifizierungsverfahren (z. B. falsch positive /negative Validierung)
• Social Engineering (Manipulation menschlicher Faktoren)
• Schwachstellenscanner
• Auswirkungen auf die Sicherheitspolitik
• Datenschutz/Vertraulichkeit (in Bezug auf Engagement)
• Biometrie
• Drahtlose Zugangstechnologie (z. netzwerk, RFID, bluetooth)
• Vertrauenswürdige Netzwerke
• Schwachstellen

4. Tools/Systeme/Programme: 32% Gewicht, 40 Artikel

• Netzwerk- /hostbasiertes Eindringen
• Netzwerk- / Wireless-Sniffer (z. B. WireShark, Airsnort)
• Zugriffskontrollmechanismen (z. B. Smartcards)
• Kryptografietechniken (z. B. IPSec, SSL, PGP)
• Programmiersprachen (z. B. C ++, Java, C #, C)
• Skriptsprachen (z.B. PHP, Javascript)
• Boundary protection appliances
• Netzwerktopologien
• Subnetz
• Port-Scanning (z.B. NMAP)
• Domain Name System (DNS)
• Router/Modems/Switches
• Schwachstellenscanner (z. B. Nessus, Retina)
• Schwachstellenmanagement- und Schutzsysteme (z. B. Foundstone, Ecora)
• Betriebsumgebungen (z. B. Linux, Windows, Mac)
• Antivirensysteme und -programme
• Protokollanalysetools
• Sicherheitsmodelle
• Ausnutzungstools
• Datenbankstrukturen

5. Verfahren/Methodik: 20% Gewicht, 25 Artikel

• Kryptographie
• Public Key Infrastructure (PKI)
• Sicherheitsarchitektur (SA)
• Serviceorientierte Architektur
• Informationssicherheitsvorfall
• N-Tier-Anwendungsdesign
• TCP/IP-Vernetzung (z. B. Netzwerkrouting)
• Sicherheitstestmethode

6. Verordnung/Richtlinie: 4% Gewicht, 5 Artikel

• Sicherheitsrichtlinien
• Compliance-Vorschriften (z. B. PCI)

7. Ethik: 2% Gewicht, 3 items

• Professional Code of conduct
• Angemessenheit des Hacking

Welche Punktzahl benötigen Sie, um die CEH-Prüfung zu bestehen?

Die Bewertung für die CEH-Prüfung ist interessant, da es keine bestimmte voreingestellte Punktzahl oder einen bestimmten Prozentsatz gibt. Die Anzahl der richtigen Antworten hängt von der Schwierigkeit der Fragen ab, die in dieser bestimmten Sitzung gestellt werden.

Sobald der Test bestanden und alle anderen Bedingungen erfüllt sind, wird die Zertifizierung erteilt und bleibt drei Jahre gültig. Weitere drei Jahre Gültigkeit können durch den Erwerb von 120 Credits zur Aufrechterhaltung der Zertifizierung erworben werden. Die Person muss ihre Anmeldeinformationen erneuern und einen Nachweis über alle verdienten Credits über das EC-Council Delta-Portal vorlegen, einschließlich der Teilnahme an Webinaren, Konferenzen oder Schulungen.

Was sind die Zertifizierungsprüfungsrichtlinien des EC-Council?

Der EC-Rat hat eine Reihe von Richtlinien ausgearbeitet, um die hohen Standards für sein Zertifizierungsprogramm aufrechtzuerhalten und seine Ziele zu unterstützen.

• Die Geheimhaltungsvereinbarung (NDA) verhindert, dass Kandidaten Informationen zum Test und zu Fragen offenlegen.
• Kandidaten müssen sich auch an ein EC-Council Candidate Certification Agreement halten, das sie an Regeln und Vorschriften in Bezug auf die Verwendung und das Erreichen aller gehaltenen Zertifizierungen bindet.
• Eine Sicherheits- und Integritätsrichtlinie regelt, was betrügerisches Verhalten und Betrug ausmacht und welche Konsequenzen dies hat.
• Die Wiederholungsrichtlinie ermöglicht es den Kandidaten, einen weiteren Prüfungsgutschein ohne Wartezeit zu kaufen, wenn sie den Test beim ersten Versuch nicht bestehen. Bei nachfolgenden Fehlern beim Bestehen der Prüfung muss der Kandidat warten 14 Tage zwischen den Wiederholungen bis maximal fünf Mal in 12 Monate. Ein sechster Versuch erfordert eine Wartezeit von 12 Monaten.
• Die Verlängerungsrichtlinie ermöglicht es Kandidaten, die Gültigkeit ihres Gutscheins über den normalen Zeitraum von 12 Monaten hinaus zu verlängern. Eine einmalige Verlängerung um drei Monate zum Preis von 35 USD ist möglich, wenn der Gutschein noch gültig und unbenutzt ist.
• Die Gutscheinrichtlinie regelt die Verwendung von Prüfungsgutscheinen, die nicht erstattungsfähig, nicht übertragbar und nicht umtauschbar sind.
• Die Unterkunftspolitik ermöglicht es Kandidaten mit zertifizierten Behinderungen, den Test trotz Schwierigkeiten bei der Verwendung von Standardausrüstung oder aufgrund anderer Hindernisse abzulegen.

CEH v10 Prüfungsvorbereitung und Training

Der Theorietest wurde von Fachexperten auf dem Gebiet des ethischen Hackens entwickelt und zielt darauf ab, das Wissen und die Fähigkeiten zu identifizieren, die ethischen Hackern helfen, sich zu übertreffen. CEH v10 fügt mehrere neue Module hinzu, um mit den aktuellen Cybersicherheitstrends Schritt zu halten, einschließlich Schwachstellenanalyse, Malware-Analyse und Internet der Dinge (IoT). Kandidaten, die sich auf den Test vorbereiten, sollten neuere Materialien überprüfen, um für die Prüfung bereit zu sein.

Das Ethical Hacking Boot Camp – CEH v10-Training des InfoSec Institute ist eine sehr beliebte Wahl für Cybersicherheitsexperten, die die Kunst des Hackens erlernen möchten. Neben dem brandneuen CEH v10 könnten die Schüler auch an dem Online-Kurs Hacker Training interessiert sein, der die von böswilligen oder illegalen (Black Hat) Hackern verwendeten Techniken mit Vorträgen und praktischen Laborübungen behandelt. Das CEH Practice Exam SkillSet (mit Fragen vom Typ Quiz) ist ebenfalls verfügbar.Für Weiterbildungsgutschriften gibt es viele Möglichkeiten, darunter die größte jährliche Konferenz des EC-Council, Hacker Stopped, die dazu beiträgt, das internationale Bewusstsein für mehr Bildung und Ethik in der IT-Sicherheit zu schärfen. Dies ist eine großartige Gelegenheit, um Weiterbildungspunkte und berufliche Entwicklung zu erhalten, wie vom EC-Council für CEH-interessierte Mitglieder festgelegt.

Fazit

Die CEH kann eine großartige Qualifikation sein, um Ihre Fähigkeiten zu erweitern. Wie EC-Council es ausdrückt: „Sie gehen aus der Tür mit Ethical Hacking Fähigkeiten, die sehr gefragt sind, sowie die international anerkannte Certified Ethical Hacker Zertifizierung.“

Andere Zertifizierungen adressieren auch den Bedarf von Fachleuten, die sich für ethisches Hacken interessieren, wie der GIAC® (Global Information Assurance Certification) Penetration Tester (GPEN). Die Certified Ethical Hacker (CEH) -Zertifizierung ist jedoch eine der beliebtesten und angesehensten Optionen. Die CEH ist eine Basiszertifizierung, und viele infosec-Fachleute gehen zu fortgeschritteneren Optionen und spezialisierten Karrieren über. Sie können auch einen eingehenderen Ansatz durch den Certified Ethical Hacker Practical in Betracht ziehen, eine Erweiterung der CEH-Zertifizierung, Dies ist eine zusätzliche und diskretionäre Prüfung, die auf Spezifikationen von Fachexperten im EH-Bereich und mit einem praktischeren Ansatz basiert.