Cyberbezpieczeństwo okiem programisty

Wrażenia z egzaminu CompTIA Security+ SY0-601 (online)

W

Jeśli nie chcesz przegapić kolejnych publikacji, to zachęcam do zapisania się na newsletter:

Wstęp

Już od jakiegoś czasu trąbiłem o tym, że zamierzam podejść do egzaminu certyfikacyjnego CompTIA Security+ SY0-601. Jest to certyfikat potwierdzający ogólną wiedzę z tematyki cyberbezpieczeństwa, który jest bardzo często polecany na początku kariery z racji swojej rozpoznawalności oraz bardzo szerokiego przekroju zagadnień z tej dziedziny. Mówiąc krótko: aby zdać egzamin wymagana jest wiedza podstawowa, ale w szerokim zakresie.

Na szczęście na samym gadaniu się nie skończyło i 14 lutego 2023 udało mi się szczęśliwie zdać egzamin oraz uzyskać swój pierwszy upragniony certyfikat. W tym artykule chcę się podzielić swoimi przemyśleniami na temat samego egzaminu oraz moich przygotowań. Być może znajdziesz w nich wartość również dla siebie.

Voucher na egzamin został zakupiony rok temu przez mojego ówczesnego pracodawcę, a ja sam zapisałem się na egzamin w ostatniej chwili, przed wygaśnięciem jego ważności (voucher ważny jest przez rok). Potwierdza się reguła, że im więcej masz czasu, tym dłużej zwlekasz z wykonaniem zadania :).

Trzeba przyznać, że CompTIA Security+ jest dosyć drogim egzaminem, bo samo podejście do egzaminu kosztuje w tej chwili $392. W związku z tym, jeśli jest taka możliwość, można porozmawiać ze swoim aktualnym pracodawcą i poprosić o jego sfinansowanie. Oczywiście podczas takiej rozmowy warto przedstawić jakie korzyści odniesie dzięki temu firma.

Przebieg egzaminu (online)

Przygotowanie

Kiedy się zapisywałem, musiałem podjąć decyzję czy chcę zdawać stacjonarnie, w centrum szkoleniowym, czy zdalnie. Na początku planowałem zdawać w centrum szkoleniowym, ale mieszkam w Białymstoku, więc ze względu na czas dojazdu (najbliższe centrum jest w Warszawie) i brak terminów, zdecydowałem się z zdawać online – w tym przypadku mamy do wyboru znacznie większą liczbę dostępnych terminów.

Po zapisaniu się na egzamin na stronie login.comptia.org otrzymałem instrukcje dotyczące przebiegu egzaminu. Warto się z nimi zapoznać od razu, ale później i tak otrzymamy maila ze wszystkimi niezbędnymi informacjami. Podczas zapisywania się zwróćmy uwagę na poprawność naszych danych osobowych, ponieważ muszą się one zgadzać z tymi, które widnieją na naszym dokumencie tożsamości.

Zalecane jest aby przynajmniej kilka dni przed egzaminem przetestować swój system za pomocą oprogramowania udostępnianego przez Pearson VUE (duża firma zajmująca się obsługą wszelkiej maści egzaminów), które jest później wykorzystywane do przeprowadzenia egzaminu. Proces jest stosunkowo prosty, a link z instrukcjami znajdziemy w mailu. Warto tutaj zaznaczyć, że test sprzętu i oprogramowania należy przeprowadzić na identycznej konfiguracji, jakiej później użyjemy na sprawdzianie, żeby obyło się bez niespodzianek. Identyczny proces weryfikacji należy będzie przejść podczas procedury odprawy (check-in), 30 minut przed samym egzaminem.

Kilka dni przed egzaminem otrzymamy maila z przypomnieniem o najważniejszych sprawach, czyli o:

  • przetestowaniu naszego systemu (jeśli jeszcze tego nie zrobiliśmy);
  • przygotowaniu odpowiedniego dokumentu tożsamości ze zdjęciem (zgodnie z podanymi wytycznymi, np. dowód osobisty, paszport, prawo jazdy);
  • przygotowaniu stanowiska egzaminacyjnego.

Wszystkie niezbędne informacje znajdziemy na stronie CompTIA OnVUE online proctored.

Kilka uwag odnośnie stanowiska: możemy mieć tylko jeden monitor i kamerka musi być skierowana wprost na nas. Dlatego zdecydowałem się odłączyć monitor i zdawać na laptopie z wbudowaną kamerą. Dodatkowo zalecam podłączenie się do sieci kablem, żeby uniknąć wszelkich kaprysów naszej sieci bezprzewodowej.

Jeśli chodzi o otoczenie to u mnie wyglądało to następująco: mam w mieszkaniu swój gabinet zamykany na klucz. Mały był w przedszkolu, ale akurat tego dnia żona została w domu, więc pomimo prośby o nie wchodzenie skorzystałem z klucza (czasami można się po prostu zapomnieć). Całkowicie pozbyłem się rzeczy z biurka (łącznie z monitorem i drukarką, choć możliwe, że było to trochę na wyrost); powynosiłem książki z półek oraz pozbyłem się z widoku wszystkiego co mogło wyglądać na jakieś notatki. Możliwe, że w przypadku książek wystarczyłoby je zakryć jakimś kocem, ale nie chciałem ryzykować ich noszenia przed samym egzaminem, jeśli byłyby jakieś zastrzeżenia. Pamiętam tylko, że wynosząc rzeczy dzień wcześniej myślałem sobie, że jak nie zdam to później będę musiał drugi raz wszystko wynosić przed powtórką ;).

Wielki dzień

W końcu nadszedł wielki dzień. O 9:30 ucałowałem żonę, rozejrzałem się ostatni raz po pokoju i przystąpiłem do odprawy (check-in). Przypominam, że nie dało się jej rozpocząć wcześniej. 

Najpierw należało przeprowadzić ostatni test naszego systemu, a następnie rozpoczął się właściwy proces odprawy. Przyda nam się do tego telefon, który można (a nawet trzeba) mieć w pomieszczeniu podczas egzaminu, ale musi być poza naszym zasięgiem. Poza tym, że telefonu użyłem do zrobienia zdjęć pomieszczenia oraz zeskanowania dokumentu tożsamości, może on być również użyty do kontaktu z nami przez egzaminatora (proctor), jeśli zajdzie taka potrzeba.

Ku mojemu zaskoczeniu, cały proces przebiegł bez kontaktu z egzaminatorem/osobą pilnującą. Wszystkie niezbędne instrukcje były klarownie przekazane za pośrednictwem webowego przewodnika.

W międzyczasie zostało mi przypomniane, że podczas egzaminu można mieć przy sobie jedynie szklankę wody. Wszelkie jedzenie, guma do żucia czy papierosy są zabronione. Postanowiłem jednak zrezygnować z tego przywileju, ponieważ obawiałem się, że w pewnym momencie mój pęcherz zacznie domagać się uwagi, a odejście od stanowiska podczas egzaminu automatycznie kończy się jego zakończeniem i oblaniem. Pamiętajmy, że przez cały czas jesteśmy obserwowani oraz nagrywani za pośrednictwem kamerki.

Jeszcze jedno: nie przejmujmy się, że odprawa może potrwać trochę dłużej niż 30 minut, bo w takim przypadku sam egzamin zostanie przesunięty o te kilka minut, jeśli zajdzie taka potrzeba.

Egzamin

Na moim teście było 80 pytań, w tym 5 pytań otwartych (PBQ = Performance Based Question). Pozostałe to standardowy test wymagający wyboru jednej lub więcej odpowiedzi (w zależności od pytania). W oficjalnej rozpisce jest podana maksymalna liczba 90 pytań, więc wszystko się zgadza. Co mnie jednak zdziwiło to fakt, że na test otrzymałem 120 minut, zamiast 90, jak to wynikało z wytycznych egzaminacyjnych. Dopiero po chwili dotarło do mnie, że przed egzaminem otrzymałem informację, że w teście pojawią się pytania spoza zakresu, które nie są punktowane. Oznacza to, że w teście przewinęły się pytania wykraczające poza zakres, na które można było w ogóle nie odpowiadać, a i tak uzyskałoby się maksymalną liczbę punktów. Choć przyznam szczerze, że w ferworze walki nie byłem w stanie stwierdzić, które to były ;).

Właściwie wszyscy, którzy zdawali ten egzamin radzą, żeby na początku pominąć pytania otwarte, bo prawdopodobnie i tak najwięcej punktowane są pytania testowe, a analiza przedstawionych sytuacji może zabrać nam cenne minuty, kiedy jeszcze nie jesteśmy odpowiednio rozgrzani. Tak też uczyniłem – zaznaczyłem sobie te pytania do rewizji i od razu przeszedłem do pytań testowych.

Pamiętając o tym, że część pytań może być delikatnie podchwytliwych, starałem się dokładnie czytać ich treść. Niektórych nawet po kilka razy. Może się zdarzyć, że:

  • Na pierwszy rzut oka pasuje jedna z dostępnych odpowiedzi, ale po dokładnym zrozumieniu pytania, okazuje się, że prawidłowa odpowiedź jest inna.
  • Na zadane pytanie pasuje więcej niż jedna odpowiedź, ale tylko jedna z nich jest najbardziej precyzyjna.

Jedną z bardziej upierdliwych rzeczy jest konieczność pamiętania co oznaczają określone akronimy. Zdarzały się pytania, gdzie dostępne odpowiedzi są tylko w formie akronimów i bez ich znajomości trudno jest wybrać tę poprawną. Na szczęście nie musimy znać dokładnego rozwinięcia danego akronimu – wystarczy wiedzieć czego mniej więcej dotyczy. Na przykład, SLA to formalna umowa gwarantująca określony poziom świadczenia usług, a MOU jest rodzajem nieformalnego porozumienia między stronami.

Przydała się również podstawowa wiedza o numerach portów popularnych protokołów/usług sieciowych. Choć nie przypominam sobie pytania zamkniętego, które wymagałoby znajomości numeru portu (co nie znaczy, że takiego nie było), ale przydało się to podczas rozwiązywania pytania otwartego, polegającego na zdefiniowaniu reguł prostego firewalla. Na szczęście dotyczyło to raczej powszechnie znanych protokołów, takich jak SSH, HTTP, HTTPS, DNS itp.

Jakieś 20 minut przed końcem odpowiedziałem na wszystkie pytania zamknięte, choć część z nich oznaczyłem jako do weryfikacji, bo nie byłem do końca pewny odpowiedzi. Stwierdziłem, że je sobie jeszcze raz przejrzę, jeśli starczy mi czasu, ale najpierw zajmę się pytaniami otwartymi. Nie wydawały się jakoś specjalnie skomplikowane i udzieliłem odpowiedzi na wszystkie, ale jestem prawie pewny, że gdzieś i tak popełniłem błąd.

Pamiętajmy, że na egzaminie nie ma kary za nieprawidłowe odpowiedzi w postaci ujemnych punktów. Dlatego nawet jeśli nie mamy nawet cienia podejrzenia, że dana odpowiedź jest prawidłowa, zawsze warto strzelić. W przypadku pytań otwartych nie przejmujmy się, że nie potrafmy rozwiązać całego zadania, ponieważ najprawdopodobniej możemy za nie otrzymać punkty cząstkowe.

W trakcie przeglądu zaznaczonych pytań skończył mi się czas, ale się nie przejmowałem, bo wiedziałem już, że i tak nic lepszego nie wymyślę. To już ten moment! Zaraz dowiem się czy mój wysiłek się opłacił! Jeszcze chwila… i zamiast wyniku zostałem poproszony o wypełnienie ankiety demograficznej. 🙂

Na szczęście ankieta była stosunkowo krótka i po udzieleniu wszystkich odpowiedzi w końcu pojawił się upragniony komunikat: Congratulations! You passed! 🙂

Podsumowanie

Informację o zaliczeniu egzaminu (bądź niezaliczeniu) otrzymujemy od razu. Mnie takie rozwiązanie się podoba, ponieważ nie jesteśmy trzymani w niepewności. Nawet jak się nam powinie noga, to przynajmniej wiemy na czym stoimy i po ochłonięciu możemy przystąpić do planowania poprawki.

Po zalogowaniu się na nasze konto CompTIA mamy dostęp do informacji o naszym egzaminie i przydzielonym certyfikacie.

Dostęp do naszych informacji na login.comptia.org.

Po wybraniu opcji Go to My Certifications (w sekcji Access your certifications) powinniśmy ujrzeć m.in. informacje o naszych aktywnych certyfikatach oraz historię egzaminów, do których przystąpiliśmy. Należy tutaj zaznaczyć, że nie pojawią się one tutaj od razu po egzaminie. U mnie certyfikat pojawił się na drugi dzień, ale może to trwać nawet do 5 dni roboczych. W każdym razie, na pewno dostaniemy powiadomienie mailem kiedy tylko to nastąpi.

Na certyfikat w wersji papierowej musimy poczekać jeszcze dłużej (do kilku tygodniu) i najpierw musimy potwierdzić nasze dane kontaktowe. Przypomnienie dostaniemy w jednej z kolejnych wiadomości email.

Na szczęście informacje o statusie egzaminu oraz o dokładnym wyniku są dostępne od razu w sekcji Manage your exams, po kliknięciu przycisku My Exams. Mamy tutaj dostęp do raportu, który zawiera naszą punktację; listę obszarów, w których popełniliśmy błędy (niestety, bez konkretnych pytań) oraz kilka przydatnych informacji odpowiadających na pytanie: co dalej?

Mój wynik to 797, gdzie próg zdawalności do 750. Mogło być trochę lepiej, ale i tak jestem zadowolony. Przyznam szczerze, że sam egzamin okazał się ciut trudniejszy niż się spodziewałem, ale tylko odrobinę. Jeśli jednak po przyswojeniu wymaganego materiału poświęcimy odpowiednią ilość czasu na rozwiązywanie przykładowych testów z dobrego źródła, to wszystko powinno dobrze się skończyć.

Jak się uczyłem?

Z moich zapisków w Clockify wynika, że łącznie na naukę poświęciłem około 85 godzin, ale rozciągnęło się to na niecały rok :). Nie wliczyłem w to czasu poświęconego na opisywanie wybranych zagadnień egzaminacyjnych, które publikowałem m.in. na tym blogu. Muszę jednak przyznać, że takie pisanie pozwoliło mi lepiej zrozumieć i zapamiętać wybrane zagadnienia.

Poniżej lista materiałów, z których korzystałem, zaczynając od tych, które (wg mojej opinii) dały mi najwięcej wartości:

  1. Dokument zawierający listę zagadnień obowiązujących na egzaminie, czyli CompTIA Security+ SY0-601 Exam Objectives. Dokument można pobrać bezpośrednio tutaj lub po wypełnieniu formularza Get Practice Questions and Exam Objectives na oficjalnej witrynie (w tym przypadku dostaniemy również kilka przykładowych pytań egzaminacyjnych).
  2. Darmowe materiały od Professora Messera. Obejrzałem każde nagranie i przeczytałem większość opisów (transkryptów) znajdujących się pod nagraniami. Po obejrzeniu pojedynczego filmu, czytałem również dołączony opis celem utrwalenia wiedzy. Dodatkowo, przez dłuższy czas robiłem sobie elektroniczne notatki do zagadnień egzaminacyjnych opisywanych na filmikach. Pomogło mi to uzyskać głębsze zrozumienie niektórych tematów. Później te notatki stanowiły bazę do tworzenia wspomnianych już wcześniej artykułów.
  3. Książka z przykładowymi pytaniami testowymi: Comptia Security+ Practice Tests: Exam Sy0-601. Wg mnie poziom trudności z tej książki jest zbliżony do tego na prawdziwym egzaminie. Znajdziemy tutaj obszerny zestaw pytań pogrupowanych na główne moduły tematyczne (jest ich 5) oraz prawidłowe odpowiedzi z krótkim wyjaśnieniem, dlaczego akurat ta odpowiedź jest poprawna. Wadą tej pozycji jest brak przykładowych testów z wymieszanymi pytaniami, pomimo tego, że we wstępie książki jest wyraźnie napisane, że dwa ostatnie rozdziały zawierają przykładowe testy. Mnie jednak nie udało się znaleźć wspomnianych rozdziałów :). Chcę jednak zaznaczyć, że tę książkę wybrałem trochę na chybił trafił, więc trudno mi stwierdzić, czy na rynku nie ma lepszych (pewnie są).
  4. Po pewnym czasie zdecydowałem się na zakup notatek od Professora Messera wraz z przykładowymi testami w wersji elektronicznej, czyli pakiet Notes & Exams Combo za 40$. Jeśli chodzi o notatki, to lekko się zawiodłem, ponieważ to nic innego jak zbiór zawartości slajdów prezentowanych na nagraniach. Wykorzystałem to jednak do przyspieszenia nauki, ponieważ w pewnym momencie przestałem czytać transkrypty i po obejrzeniu nagrania wystarczyło m szybkie przejrzenie tych notatek w skondensowanej formie. Ebook z testami okazał się za to bardzo pomocny. Znajdują się w nim 3 przykładowe testy z pytaniami o poziomie trudności zbliżonym do prawdziwego testu oraz odpowiedzi z krótkim objaśnieniem (oraz linkiem do wybranego nagrania), dlaczego dana odpowiedź jest prawidłowa. To narzędzie wykorzystałem na końcu, kilka dni przed samym egzaminem, do próby generalnej. Ustawiłem sobie minutnik na 90 minut i próbowałem w tym czasie rozwiązać pojedynczy test (jeden dziennie).
  5. Podczas przyswajania materiału oraz rozwiązywania testów, robiłem sobie notatki na osobnych kartkach z akronimami (ich rozwinięciami), które sprawiały mi trudność oraz z numerami portów określonych protokołów sieciowych. Później te kartki trzymałem w zasięgu mojego wzroku, żeby regularnie utrwalać sobie w pamięci to co niestety trzeba było po prostu wykuć :).

Powyższa lista zadziałała u mnie, ale pamiętaj, że u Ciebie może zadziałać coś zupełnie innego. Dlatego zachęcam, żebyś jedynie zainspirował(a) się moim podejściem i wybrał(a) tylko to co przyniesie wartość Tobie.

Przydatne materiały

Poniżej znajduje się lista dodatkowych materiałów, z którymi miałem większą lub mniejszą styczność, a które mogą się Tobie przydać:

  • Jak zdać CompTIA Security+ za pierwszym razem? – natknąłem się na ten artykuł zaraz po podjęciu decyzji o zdobyciu certyfikatu. Autor opisuje swoje wrażenia z egzaminu oraz udziela przydatnych wskazówek dotyczących przygotowania.
  • Professor Messer – oprócz wspomnianego już wcześniej darmowego kursu wideo (dostępnego również na YouTube), pan profesor oferuje nam następujące bonusy (również darmowe):
    • Study Groups – raz w miesiącu Professor Messer organizuje webinar, w którym na żywo omawia wybrane pytania egzaminacyjne, a następnie odpowiada na pytania od widzów podczas sesji Q&A.
    • Warto obserwować konto Professora Messera na Twitterze, ponieważ od czasu do czasu publikuje tam przykładowe pytania testowe do egzaminów CompTIA Security+, A+ i Network+. Poza tym umieszcza tam informuje o terminach swoich webinarów.
    • CompTIA Security+ Take Ten Challenges – zestaw krótkich quizów (każdy po 10 pytań) oraz kilka pytań typu PBQ.
  • jaimelightfoot.com/blog/2018 – znajdziemy tutaj opracowania dużej części zagadnień egzaminacyjnych (w języku angielskim) w postaci krótkiej ściągi. Opracowania są jednak stosunkowo stare i prawdopodobnie powstały za czasów starszej edycji egzaminu.
  • CompTIA Security+ Exam Cram (Full Training Course – All 5 Domains) – SY0-601 – darmowe, prawie 11-godzinne, nagranie (na YouTube) omawiające w zwięzły sposób zagadnienia obowiązujące na egzaminie, po angielsku. Sam tego nie oglądałem, więc trudno mi rzetelnie ocenić materiał, ale na tę chwilę film ma 6 tysięcy like’ów i tylko 50 dislike’ów.
  • TOTAL: CompTIA Security+ Certification (SY0-601) – kurs na Udemy, również w języku angielskim. Przyznaję bez bicia, że wykupiłem go, bo był tani, ale do tej pory nie zajrzałem, więc nie jestem w stanie polecić :). Średnia ocena kursu jest jednak wysoka.
  • CompTIA Performance-Based Questions – nie jest to wiele, ale możemy zobaczyć na przykładzie, w jaki sposób wygląda pytanie PBQ na prawdziwym egzaminie.
  • Zestaw fiszek do aplikacji AnkiWeb.
  • CompTIA Security+ SY0-601 Prep – aplikacja do kompleksowej nauki, dostępna również w App Store. Aplikacja jest płatna, ale pozwala na darmowe przetestowanie dostępnych funkcjonalności. Sam nie korzystałem, ale na pierwszy rzut oka wygląda solidnie. Pozwala na przeprowadzenie wstępnego testu określającego nasz aktualny stan wiedzy (assesment test) i śledzi nasze postępy w nauce pokazując aktualny poziom gotowości (overall readiness score). Poza tym oferuje różne pytania testowe oraz fiszki.
  • Nie są to źródła ściśle powiązane z certyfikatem, ale kiedy szukałem dodatkowych informacji o wybranych zagadnieniach, to bardzo często natrafiałem na ciekawe artykuły z tych źródeł:

To nie są oczywiście wszystkie materiały i wcale nie twierdzę, że te są najlepsze. To jest jedynie lista tych, z którymi się zetknąłem. Jeśli znasz inne, to śmiało dawaj znać w komentarzu.

Dziękuję, że dotrwałeś(-aś) do końca i życzę powodzenia na egzaminie!

O autorze

Łukasz Mieczkowski

Programista, który zainteresował się cyberbezpieczeństwem.

3 komentarze

  • Hej, dzięki za obszerny artykuł, cenne informacje. Wszedłem na stronę profesora Messera w celu zakupu vouchera, odstraszył mnie jednak ten zapis:

    “Vouchers can only be used by individuals physically located in the United States, Canada, Puerto Rico, and Guam. This applies to both online and in-person exams.”

    Orientujesz się, czy coś się zmieniło w tej kwestii od Twojej wizyty, czy można wykupić ten egzamin pomimo wspomnianego zastrzeżenia? Nie chciałbym wtopić pieniędzy.

    • Hej, dziękuję za zwrócenie na to uwagi, bo ewidentnie strzeliłem gafę. Przyznam szczerze, że voucher dostałem od swojego ówczesnego pracodawcy i nie sprawdziłem dokładnie jak to wygląda u Profesora Messera – widziałem tylko informację o rabacie. Skoryguję to w artykule.

      W tym przypadku zalecam oczywiście wykupienie wejściówki na oficjalnej stronie CompTIA.

Cyberbezpieczeństwo okiem programisty

Łukasz Mieczkowski

Programista, który zainteresował się cyberbezpieczeństwem.

Kontakt

Zapraszam do kontaktu za pośrednictwem mediów społecznościowych.