Chứng chỉ kỹ thuật dịch ngược mã độc (GIAC Reverse Engineering Malware - GREM) được thiết kế dành cho các nhà nghiên cứu để bảo vệ tổ chức khỏi mã độc. Để đạt được chứng chỉ này, các nhà nghiên cứu phải có kiến thức và kỹ năng trong việc dịch ngược các phần mềm độc hại trên các nền tảng phổ biến như Microsoft Windows, trình duyệt web… Song song, các nhà nghiên cứu phải biết cách kiểm tra các hoạt động bên trong của phần mềm độc hại, trong bối cảnh điều tra số, ứng cứu sự cố, quản trị hệ thống windows. Đây là một chứng chỉ khó, có độ uy tín cao của học viện SANS.

Nội dung của GREM

Đối tượng của GREM bao gồm: Quản trị viên hệ thống và mạng; Kiểm toán viên; Tư vấn bảo mật; Người quản lý bảo mật; Các cá nhân đã xử lý các sự cố liên quan đến phần mềm độc hại; Các nhà công nghệ đang tìm cách chính thức hóa và mở rộng chuyên môn; Các nhà điều tra số và các học viên an ninh mạng đang tìm cách mở rộng bộ kỹ năng.

Nội dung chứng chỉ GREM bao gồm 9 phần:

Thứ nhất: Phân tích tệp tài liệu độc hại (Analysis of Malicious Document Files). Người dự thi sẽ chứng minh sự hiểu biết của mình trong việc sử dụng các công cụ và kỹ thuật để phân tích các tệp tài liệu độc hại.

Thứ hai: Phân tích các tệp thực thi được bảo vệ (Analyzing Protected Executables). Tại nội dung này, người dự thi sẽ thể hiện sự hiểu biết về các kỹ thuật mà tác giả phần mềm độc hại sử dụng để bảo vệ phần mềm, trước sự phân tích và các kỹ thuật phân tích phần mềm độc hại tương ứng.

Thứ ba: Phân tích mã độc trên nền web (Analyzing Web-Based Malware). Người dự thi sẽ chứng minh sự hiểu biết của mình trong việc sử dụng các công cụ và kỹ thuật để phân tích các mã độc trên web.

Thứ tư: Nhận dạng mã độc trên windows trong assembly (Common Windows Malware Characteristics in Assembly). Ngoài việc chứng minh sự hiểu biết về các đặc điểm nhận dạng phổ biến của mã độc, người dự thi phải có sự hiểu biết về các mã assembly trên các kiến trúc 32-bit (x86) và 64-bit (x64).

Thứ năm: Phân tích sâu các tập lệnh của mã độc trên web (In-Depth Analysis of Malicious Browser Scripts).

Thứ sáu: Phân tích sâu các tệp thực thi được bảo vệ (In-Depth Analysis of Malicious Executables).

Thứ bảy: Phân tích phần mềm độc hại bằng việc điều tra bộ nhớ (Malware Analysis Using Memory Forensics). Người dự thi chứng minh sự hiểu biết của mình bằng cách sử dụng các kỹ thuật điều tra số trên bộ nhớ của windows để phân tích mã độc.

Thứ tám: Các nguyên tắc cơ bản về mã nguồn và phân tích hành vi mã độc (Malware Code and Behavioral Analysis Fundamentals). Người dự thi thể hiện sự hiểu biết về các công cụ và kỹ thuật được sử dụng để tiến hành phân tích mã và hành vi của phần mềm độc hại, bao gồm cả việc xây dựng môi trường thí nghiệm, sử dụng trình gỡ lỗi, trình tháo gỡ, trình đánh giá và các công cụ hữu ích khác.

Thứ chín: Các khái niệm hợp ngữ Windows cho kỹ thuật dịch ngược (Windows Assembly Code Concepts for Reverse-Engineering). Tại đậy, người dự thi sẽ thể hiện sự hiểu biết về các khái niệm cốt lõi liên quan đến dịch ngược phần mềm độc hại mức mã Assembly trên các kiến ​​trúc x86 và x64.

Một trong những chuyên gia người Việt đạt chứng chỉ bảo mật GREM.

Làm thế nào để thi GREM?

Để đạt được chứng chỉ GREM, người dự thi cần thực hiện một bài kiểm tra dưới sự giám sát trong thời gian 2 tiếng và trả lời đúng 54/75 câu hỏi (tương đương với 70,7%). Việc giám sát trong quá trình thi chứng chỉ được triển khai bắt buộc với toàn bộ các đối tượng với hai lựa chọn: ProctorU và PearsonVUE.

ProctorU là hình thức được thực hiện từ xa. Người dự thi sẽ đăng ký lịch và remote tới hệ thống của SANS để thực hiện bài kiểm tra. Các yếu tố về môi trường, kỹ thuật, máy tính của người dự thi phải tuân thủ các yêu cầu của SANS.

Với PearsonVUE, người dự thi có thể thi tại khu vực địa lý gần nơi mình sinh sống, qua các trung tâm chứng chỉ được SANS uỷ nhiệm. Với hình thức này, người dự thi sẽ không cần lưu tâm đến hạ tầng kỹ thuật. Tuy nhiên, thời gian dự thi sẽ phải tuân thủ theo lịch của trung tâm uỷ nhiệm.

Tại Việt Nam đã có nhiều trung tâm uỷ nhiệm của SANS được cấp phép tổ chức thi chứng chỉ như: Công ty Cổ phần tư vấn và đào tạo Smartpro, Viện công nghệ kỹ thuật Sài Gòn, Trung tâm Công nghệ và Đào tạo Robusta…

Sau khi đăng ký và thanh toán lệ phí, SANS sẽ cho phép người dự thi thực hiện bài thi trong 120 ngày. Để làm quen với bài thi, 2 bài kiểm tra thử nghiệm sẽ được gửi tới người đăng ký.

GREM là chứng chỉ có thời hạn, trong vòng 4 năm nếu các chuyên gia không tiến hành gia hạn, SANS sẽ thông báo trên bảng xếp hạng của mình.

Hiện nay, Việt Nam đã có phần nhỏ các chuyên gia đạt các chứng chỉ uy tín và ghi dấu ấn trong lĩnh vực an toàn thông tin trên trường quốc tế. Các chứng chỉ phần nào là một lợi thế nhỏ về trình độ chuyên môn trong ngành. Vì vậy, việc tham khảo và học tập theo các chứng chỉ quốc tế cũng là một cơ sở để phát triển nghề nghiệp an toàn thông tin trong tương lai.