CPENT VS OSCP

Didalam dunia IT Security yang wajib menjadi ukuran salah satunya adalah sertifikasi, seseorang dianggap qualified jika memiliki sertifikasi yang akan secara langsung ataupun tidak , bisa menjelaskan kemampuan seseorang pada bidang IT Security.

Hanya sertifikasi yang kemudian dapat menjadi barometer saat sebuah project di luncurkan, untuk memastikan bahwa agenda kegiatan di handle oleh orang yang kompeten dan proffesional.

Oke kita bisa mention 2 (dua) vendor terbaik yang ada saat ini untuk keamanan siber, yaitu EC Council dan Offensive Security. Keduanya bisa dikatakan levelnya tidak main main , banyak alumni dari kedua vendor ini malang melintang di berbagai perusahaan baik nasional dan multinasional.

Nah tulisan saya ini mencoba “membandingkan” salah satu sertifikasi yang menurut saya bisa dikatakan “top level” secara head to head. Ya siapa tahu bisa tulisan ini mencerahkan bagi yang sedang mencari cari jawaban atas pertanyaan mana diantaranya yang terbaik. Kebetulan saya sudah mendapatkan beberapa sertifikasi dari keduanya baik dari Offensive Security ataupun EC Council jadi saya mau cerita sedikit pengalaman saya.

Pada kesempatan kali ini, saya mau soroti sertifikasi OSCP (Offensive Security Certified Professional) dari Offensive Security. Bisa dikatakan OSCP adalah “Raja” dari semua Sertifikasi Pengujian Penetrasi, tetapi saya rasa mindset itu itu tidak akan berlanjut karena EC-Councils mengeluarkan CPENT (Certified Penetration Testing) yang menjadikan sertifikasi ini menjadi saingan sempurna untuk OSCP.

Saya kebetulan mendapatan CPENT Pertama kali di adakan di Indonesia (atau malah dunia), pada kurun waktu 2021. Kira kira apa saja sih isi Kursus CPENT itu ? berikut ini penjabarannya :

1. Introduction to Penetration Testing
2. Penetration Testing Scoping and Engagement
3. Open Source Intelligence (OSINT)
4. Social Engineering Penetration Testing
5. Network Penetration Testing – External
6. Network Penetration Testing– Internal
7. Network Penetration Testing – Perimeter Devices
8. Web Application Penetration Testing
9. Wireless Penetration Testing
10. IoT Penetration Testing
11. OT/SCADA Penetration Testing
12. Cloud Penetration Testing
13. Binary Analysis and Exploitation
14. Report Writing and Post Testing Actions
15. Fuzzing
16. Mastering Metasploit Frameworks
17. PowerShell Scripting
18. Bash Environment & Scripting
19. Python Environment & Scripting
20. Perl Environment & Scripting
21. Ruby Environment & Scripting
22. Active Directory Pen Testing
23. Database Penetration Testing
24. Mobile Device Penetration Testing Methodology

Lumayan komplit ya ? Coba kita bandingkan dengan OSCP , dibawah ini kira kira ini isi kursus nya :

1. Penetration Testing: What You Should Know
2. Getting Comfortable with Kali Linux
3. Command Line Fun
4. Practical Tools
5. Bash Scripting
6. Passive Information Gathering
7. Active Information Gathering
8. Vulnerability Scanning
9. Web Application Attacks
10. Introduction to Buffer Overflows
11. Windows Buffer Overflows
12. Linux Buffer Overflows
13. Client-Side Attacks
14. Locating Public Exploits
15. Fixing Exploits
16. File Transfers
17. Antivirus Evasion
18. Privilege Escalation
19. Password Attacks
20. Port Redirection and Tunneling
21. Active Directory Attacks
22. The Metasploit Framework
23. PowerShell Empire
24. Assembling the Pieces: Penetration Test Breakdown
25. Trying Harder: The Labs

Jadi dimana persamaan atau perbedaan nya ? Menurut saya memang secara konsep berpikir, ada perbedaan visi EC Council dan Offensive Security seningga outputnya pun lain.

OSCP akan melatih Anda dengan semua keterampilan dan teknik langsung untuk melakukan pengujian penetrasi tetapi sayangnya tidak memiliki informasi dan panduan untuk menjelaskan kapan , di mana dan bagaimana itu dapat digunakan oleh si pentester.

CPENT mendapatkan poin di sini, dalam penskalaan yang tepat dari metodologi dan proses yang dibutuhkan penguji penetrasi untuk melakukan pengujian penetrasi. Artinya bahwa fundamental CPENT lebih kuat dibanding OSCP.

OSCP memiliki kelebihan sisi praktis sebab user langsung diajarkan tanpa terlalu banyak teori , namun kelemahannya fundamentalnya kurang kuat.

Meskipun Ujian OSCP adalah yang paling sulit sejauh ini yang saya tahu, tetapi CPENT sekarang dapat mulai menggeser tempatnya dengan menyediakan tantangan yang lebih berat di dalamnya. CPENT dirancang dengan skenario dunia nyata tidak seperti vulnerable box yang sengaja diciptakan rentan untuk di bobol. Didalam CPENT kita juga harus berurusan dengan Firewall, DMZ, WAF, dan tindakan Pertahanan lainnya untuk memecahkan mesin yang menjadi penjaga network atau aplikasi. Penyertaan IOT dan OT didalam kursus CPENT menambah tantangan yang lebih sulit untuk ujian. Sedangkan di OSCP tidak ada pengujian tentang hal itu (setidaknya untuk saat ini).

Bahasa Scripting CPENT seperti powershell, bash, perl, ruby juga menjadi alasan untuk menjadikan CPENT lebih tangguh. Di sisi lain saya harus mengapresiasi OSCP untuk meningkatkan keterampilan siswa dalam Exploit Development Capabilities secara mandiri di mana CPENT kurang di bagian itu. Didalam CPENT metodologi Pivoting , Double Pivoting, Weaponization dan Eksploitasi biner juga harus lebih diperhatikan.

Diluar perbedaan itu , kedua program memiliki kualitas yang sama atas konten kursus seperti misalnya :

Active Directory,

Buffer Overflows,

Tunneling,

Client side and Server Side attacks,

Kesimpulan:

Mesin berbasis skenario real didalam CPENT membuatnya lebih sulit daripada mesin simulasi OSCP. Kursus CPENT juga dirancang sedemikian rupa untuk melatih kita menjadi penguji penetrasi yang sempurna untuk kelompok organisasi.

Oleh Edi Susanto

Cyber Security Specialist | Blockchain Specialist

Published Dec 15, 2022

https://www.linkedin.com/pulse/cpent-vs-oscp-edy-susanto?originalSubdomain=i