CPENT VS OSCP
Didalam dunia IT Security yang wajib menjadi ukuran salah satunya adalah sertifikasi, seseorang dianggap qualified jika memiliki sertifikasi yang akan secara langsung ataupun tidak , bisa menjelaskan kemampuan seseorang pada bidang IT Security.
Hanya sertifikasi yang kemudian dapat menjadi barometer saat sebuah project di luncurkan, untuk memastikan bahwa agenda kegiatan di handle oleh orang yang kompeten dan proffesional.
Oke kita bisa mention 2 (dua) vendor terbaik yang ada saat ini untuk keamanan siber, yaitu EC Council dan Offensive Security. Keduanya bisa dikatakan levelnya tidak main main , banyak alumni dari kedua vendor ini malang melintang di berbagai perusahaan baik nasional dan multinasional.
Nah tulisan saya ini mencoba “membandingkan” salah satu sertifikasi yang menurut saya bisa dikatakan “top level” secara head to head. Ya siapa tahu bisa tulisan ini mencerahkan bagi yang sedang mencari cari jawaban atas pertanyaan mana diantaranya yang terbaik. Kebetulan saya sudah mendapatkan beberapa sertifikasi dari keduanya baik dari Offensive Security ataupun EC Council jadi saya mau cerita sedikit pengalaman saya.
Pada kesempatan kali ini, saya mau soroti sertifikasi OSCP (Offensive Security Certified Professional) dari Offensive Security. Bisa dikatakan OSCP adalah “Raja” dari semua Sertifikasi Pengujian Penetrasi, tetapi saya rasa mindset itu itu tidak akan berlanjut karena EC-Councils mengeluarkan CPENT (Certified Penetration Testing) yang menjadikan sertifikasi ini menjadi saingan sempurna untuk OSCP.
Saya kebetulan mendapatan CPENT Pertama kali di adakan di Indonesia (atau malah dunia), pada kurun waktu 2021. Kira kira apa saja sih isi Kursus CPENT itu ? berikut ini penjabarannya :
- Introduction to Penetration Testing
- Penetration Testing Scoping and Engagement
- Open Source Intelligence (OSINT)
- Social Engineering Penetration Testing
- Network Penetration Testing – External
- Network Penetration Testing– Internal
- Network Penetration Testing – Perimeter Devices
- Web Application Penetration Testing
- Wireless Penetration Testing
- IoT Penetration Testing
- OT/SCADA Penetration Testing
- Cloud Penetration Testing
- Binary Analysis and Exploitation
- Report Writing and Post Testing Actions
- Fuzzing
- Mastering Metasploit Frameworks
- PowerShell Scripting
- Bash Environment & Scripting
- Python Environment & Scripting
- Perl Environment & Scripting
- Ruby Environment & Scripting
- Active Directory Pen Testing
- Database Penetration Testing
- Mobile Device Penetration Testing Methodology
Lumayan komplit ya ? Coba kita bandingkan dengan OSCP , dibawah ini kira kira ini isi kursus nya :
- Penetration Testing: What You Should Know
- Getting Comfortable with Kali Linux
- Command Line Fun
- Practical Tools
- Bash Scripting
- Passive Information Gathering
- Active Information Gathering
- Vulnerability Scanning
- Web Application Attacks
- Introduction to Buffer Overflows
- Windows Buffer Overflows
- Linux Buffer Overflows
- Client-Side Attacks
- Locating Public Exploits
- Fixing Exploits
- File Transfers
- Antivirus Evasion
- Privilege Escalation
- Password Attacks
- Port Redirection and Tunneling
- Active Directory Attacks
- The Metasploit Framework
- PowerShell Empire
- Assembling the Pieces: Penetration Test Breakdown
- Trying Harder: The Labs
Jadi dimana persamaan atau perbedaan nya ? Menurut saya memang secara konsep berpikir, ada perbedaan visi EC Council dan Offensive Security seningga outputnya pun lain.
OSCP akan melatih Anda dengan semua keterampilan dan teknik langsung untuk melakukan pengujian penetrasi tetapi sayangnya tidak memiliki informasi dan panduan untuk menjelaskan kapan , di mana dan bagaimana itu dapat digunakan oleh si pentester.
CPENT mendapatkan poin di sini, dalam penskalaan yang tepat dari metodologi dan proses yang dibutuhkan penguji penetrasi untuk melakukan pengujian penetrasi. Artinya bahwa fundamental CPENT lebih kuat dibanding OSCP.
OSCP memiliki kelebihan sisi praktis sebab user langsung diajarkan tanpa terlalu banyak teori , namun kelemahannya fundamentalnya kurang kuat.
Meskipun Ujian OSCP adalah yang paling sulit sejauh ini yang saya tahu, tetapi CPENT sekarang dapat mulai menggeser tempatnya dengan menyediakan tantangan yang lebih berat di dalamnya. CPENT dirancang dengan skenario dunia nyata tidak seperti vulnerable box yang sengaja diciptakan rentan untuk di bobol. Didalam CPENT kita juga harus berurusan dengan Firewall, DMZ, WAF, dan tindakan Pertahanan lainnya untuk memecahkan mesin yang menjadi penjaga network atau aplikasi. Penyertaan IOT dan OT didalam kursus CPENT menambah tantangan yang lebih sulit untuk ujian. Sedangkan di OSCP tidak ada pengujian tentang hal itu (setidaknya untuk saat ini).
Bahasa Scripting CPENT seperti powershell, bash, perl, ruby juga menjadi alasan untuk menjadikan CPENT lebih tangguh. Di sisi lain saya harus mengapresiasi OSCP untuk meningkatkan keterampilan siswa dalam Exploit Development Capabilities secara mandiri di mana CPENT kurang di bagian itu. Didalam CPENT metodologi Pivoting , Double Pivoting, Weaponization dan Eksploitasi biner juga harus lebih diperhatikan.
Diluar perbedaan itu , kedua program memiliki kualitas yang sama atas konten kursus seperti misalnya :
Active Directory,
Buffer Overflows,
Tunneling,
Client side and Server Side attacks,
Kesimpulan:
Mesin berbasis skenario real didalam CPENT membuatnya lebih sulit daripada mesin simulasi OSCP. Kursus CPENT juga dirancang sedemikian rupa untuk melatih kita menjadi penguji penetrasi yang sempurna untuk kelompok organisasi.
Oleh Edi Susanto
Cyber Security Specialist | Blockchain Specialist
Published Dec 15, 2022
https://www.linkedin.com/pulse/cpent-vs-oscp-edy-susanto?originalSubdomain=i