OffSec ha recentemente annunciato dei cambiamenti rispetto all’esame per ottenere la certificazioni.
Questi cambiamenti sono:
Nella parte di Active Directory (AD) non ci sarà più una parte web iniziale per prendere il foothold, ma ti danno già delle credenziali, simulando uno scenario di breach iniziale, e si dovrà fare la compromise delle tre macchine AD.
Per l’assegnazione dei punti nella parte AD, prima era o tutto o niente. Adesso invece i 40 punti di AD sono dati in modo graduale, ovvero 10 alla prima macchina, 10 alla seconda, e 20 per il domain controller.
Tolgono i bonus points, che erano 10 punti extra ottenibili dopo aver completato l’80% degli esercizi di ogni modulo e dopo aver finito una 30ina di macchine (non ricordo esattamente il numero) durante il training.
Questi cambiamenti partono il primo novembre. A chi prende la cert sarà data la OSCP+, che è una cert a “tempo limitato”, che dura tre anni, e quando ti scade fondamentalmente diventa una normale OSCP.
Quindi hanno introdotto sto concetto del OSCP+ per dare informazioni su quanto tempo è passato da quando hai preso la cert.
OSCP+ = OSCP negli ultimi 3 anni
OSCP = OSCP per sempre
Onestamente penso che OffSec, specialmente per queste cert entry level, non riesce a competere in modo significativo con i contenuti prodotti da altre piattaforme tipo HTB o TryHackMe. La qualità è molto diversa, e quella di OffSec è tra le peggiori in circolazione.
Detto questo la certificazione OSCP è molto conosciuta nell’ambiente ed ha un certo valore per passare le interviste di lavoro con HR (Human Resource), quindi non so bene come questa cosa di OSCP+ sarà interpretata.
A me comunque le certificazioni non fanno impazzire in generale, anche se molte persone sembrano essere ossessionate da ste cose.
Mi sono interessato al tema perché ho in pianificazione l’esame e ora devo decidere se fare prima o dopo le modifiche. In particolare i bonus point li vedrei utili.
Concordo sulle tue valutazioni sul tema certificazioni in generale, dal mio punto di vista (dopo anni di PT) le trovo, in molti casi, distanti dalla realtà operativa e spesso troppo tools oriented. E’ vedo che sono comunque riconosciute ed in alcuni contesti sono requisito per partecipare a determinate attività. Diciamo che è andata così, sono comunque interessanti da fare.
Ho scritto questo ad una persona che mi ha chiesto se ha senso aspettare oppure no
This is a tough call to make honestly.
The question is: will they also make AD a bit harder, or will they keep the same difficulty for AD levels? Because if they keep the same difficulty, then it should be simpler with the new format, since they are effectively removing one step and giving u gradual points for compromise. Consider this: how confident do you feel in AD? because even if you don’t feel like 100% confident, if you know a bit of it, you will most likely be able to obtain the first machine, and eventually the second, and that will be like bonus points plus another 10 points.
At the same time, if you really feel like you can tackle OSCP now, you should not scare yourself and just go for it. Playing too many “mind games” when it comes to the exam can be dangeorus. Just prepare, study well, do a lot of practice, and you will be able to face anything that is thrown at you.
È da capire se la parte AD è stata resa più difficile oppure se è invariata. Perché se fosse invariata hanno effettivamente reso “più semplice” la parte AD, in quanto inizi già da credenziali compromesse, e prendi punti in modo graduale.
Quindi 10 punti bonus di prima adesso si traducono nel riuscire a fare almeno una macchina AD, che tipicamente la prima consiste in roba di privesc abbastanza tranquilla, quindi mi aspetto non sia troppo difficile.