امتحان شهادة CompTIA CASP+ هو شهادة متقدمة في مجال الأمن السيبراني، تغطي المهارات الفنية المطلوبة في هندسة الأمن ووظائف هندسة الأمن العليا.
سيغطي هذا الدليل مجالات المعرفة الأربعة لامتحان شهادة CASP+، والموضوعات الفرعية التي يمكنك توقعها في امتحان CAS-004.
شهادة CompTIA Advanced Security Practitioner (CASP+) هي شهادة متقدمة في مجال الأمن السيبراني لمهندسي الأمن وكبار مهندسي الأمن، وتثبت مهارات المخاطر والامتثال لتقييم جاهزية الأمن السيبراني للمؤسسة.
شهادة CASP+ معتمدة من وزارة الدفاع الأمريكية، وتفي بمتطلبات التوجيه 8140/8570.01-M، وتتوافق مع معايير ISO 17024.
بصفتك محترفًا معتمدًا في CASP+، يجب عليك تنفيذ مهاراتك الفنية والتفكير النقدي لاقتراح وتطبيق حلول الأمان المناسبة، بما في ذلك الاستراتيجيات التشغيلية للمنظمات، وتقييم تأثيرات المخاطر والاستجابة لحوادث الأمن.
سيكون لدى المحترف الناجح الحاصل على شهادة CompTIA CASP+ المهارات التالية المطلوبة:
الامتحان المطلوب: CAS-004 عدد الأسئلة: بحد أقصى 90 أنواع الأسئلة: اختيار من متعدد ومبني على الأداء طول الاختبار: 165 دقيقة الخبرة الموصى بها: ما لا يقل عن عشر سنوات من الخبرة العملية العامة في مجال تكنولوجيا المعلومات، مع خمس سنوات على الأقل من تلك السنوات خبرة عملية واسعة في مجال أمن تكنولوجيا المعلومات. Network+ وSecurity+ وCySA+ وCloud+ وPenTest+ أو الشهادات/المعرفة المعادلة.
درجة النجاح: النجاح/الرسوب فقط — لا توجد درجة مقياسية
فيما يلي تفصيل لكل مجال مع درجة الامتحان. ألق نظرة سريعة على أهداف امتحان CompTIA CASP+، المقسمة إلى أربعة أجزاء رئيسية:
1.0 هندسة الأمان - 29% 2.0 عمليات الأمان - 30%
3.0 هندسة الأمان والتشفير - 26% 4.0 الحوكمة والمخاطر والامتثال - 15%
1.1 في سيناريو معين، قم بتحليل متطلبات وأهداف الأمان لضمان بنية شبكة مناسبة وآمنة لشبكة جديدة أو موجودة.
• الخدمات • التجزئة • إزالة الحدود/عدم الثقة • دمج الشبكات من مختلف المنظمات • الشبكات المحددة بالبرمجيات (SDN)
1.2 في حالة وجود سيناريو، قم بتحليل المتطلبات التنظيمية لتحديد تصميم أمان البنية الأساسية المناسب.
• قابلية التوسع • المرونة • الأتمتة • الأداء • الحاويات • المحاكاة الافتراضية • شبكة توصيل المحتوى • التخزين المؤقت
1.3 في حالة وجود سيناريو، قم بدمج تطبيقات البرامج بشكل آمن في بنية المؤسسة.
• خط الأساس والقوالب • ضمان البرنامج • اعتبارات دمج تطبيقات المؤسسة • دمج الأمان في دورة حياة التطوير
1.4 في حالة وجود سيناريو، قم بتنفيذ تقنيات أمان البيانات لتأمين بنية المؤسسة. • منع فقدان البيانات • اكتشاف فقدان البيانات • تصنيف البيانات ووضع العلامات عليها • التعتيم • إخفاء الهوية • التشفير مقابل عدم التشفير • دورة حياة البيانات • جرد البيانات وتعيينها • إدارة سلامة البيانات • تخزين البيانات والنسخ الاحتياطي والاسترداد
1.5. في حالة وجود سيناريو معين، قم بتحليل متطلبات وأهداف الأمان لتوفير عناصر التحكم المناسبة في المصادقة والتفويض.
• إدارة بيانات الاعتماد • سياسات كلمات المرور • الاتحاد • التحكم في الوصول • البروتوكولات • المصادقة متعددة العوامل (MFA) • كلمة مرور لمرة واحدة (OTP) • جذر الثقة للأجهزة • تسجيل الدخول الفردي (SSO) • رمز الويب الخاص بتدوين كائنات JavaScript (JSON) (JWT) • الإثبات وإثبات الهوية
1.6. في حالة وجود مجموعة من المتطلبات، قم بتنفيذ حلول آمنة للسحابة والافتراضية.
• استراتيجيات المحاكاة الافتراضية • التجهيز وإلغاء التجهيز • البرامج الوسيطة • البيانات الوصفية والعلامات • نماذج النشر والاعتبارات • نماذج الاستضافة • نماذج الخدمة
• قيود مزود الخدمة السحابية
• توسيع عناصر التحكم المحلية المناسبة
• نماذج التخزين
1.7. اشرح كيف تدعم التشفير والبنية الأساسية للمفتاح العام (PKI) أهداف ومتطلبات الأمان.
• متطلبات الخصوصية والسرية • متطلبات النزاهة • عدم التنصل • متطلبات الامتثال والسياسة • حالات استخدام التشفير الشائعة • حالات استخدام PKI الشائعة
1.8. اشرح تأثير التقنيات الناشئة على أمان وخصوصية المؤسسة.
• الذكاء الاصطناعي • التعلم الآلي • الحوسبة الكمومية • تقنية البلوك تشين • التشفير المتجانس • البيانات الضخمة • الواقع الافتراضي/المعزز • الطباعة ثلاثية الأبعاد • المصادقة بدون كلمة مرور • تقنية النانو • التعلم العميق • الحوسبة الآمنة متعددة الأطراف • الإجماع الموزع • انتحال الهوية البيومترية
2.1. في ظل سيناريو معين، قم بإجراء أنشطة إدارة التهديدات.
• أنواع الاستخبارات • أنواع الجهات الفاعلة • خصائص الجهات الفاعلة المهددة • الأطر
2.2. في ظل سيناريو معين، قم بتحليل مؤشرات الاختراق وصِغ استجابة مناسبة.
• مؤشرات الاختراق • الاستجابة
2.3. في ظل سيناريو معين، قم بإجراء أنشطة إدارة الثغرات الأمنية.
• عمليات مسح الثغرات الأمنية • التقييم الذاتي مقابل تقييم البائعين من جهات خارجية • إدارة التصحيحات • مصادر المعلومات • بروتوكول أتمتة محتوى الأمان (SCAP)
2.4. في حالة وجود سيناريو، استخدم طرق وأدوات تقييم الثغرات الأمنية واختبار الاختراق المناسبة.
• الطرق
• الأدوات
• إدارة التبعيات • المتطلبات
2.5. في حالة وجود سيناريو، قم بتحليل الثغرات الأمنية والتوصية بإجراءات تخفيف المخاطر.
• الثغرات الأمنية
• النظام/التطبيق المعرض للخطر بطبيعته • الهجمات
2.6. في حالة وجود سيناريو، استخدم العمليات لتقليل المخاطر.
• الاستباقية والكشف
• تحليل بيانات الأمان
• الوقائية • التحكم في التطبيق
• أتمتة الأمان • الأمان المادي
2.7. في حالة وقوع حادث، قم بتنفيذ الاستجابة المناسبة.
• تصنيفات الأحداث
• فرز الأحداث
• مهام ما قبل التصعيد
• عملية الاستجابة للحوادث • كتيبات/عمليات الاستجابة المحددة
• خطة الاتصال
• إدارة أصحاب المصلحة
2.8. شرح أهمية المفاهيم الجنائية.
• الأغراض القانونية مقابل الأغراض الداخلية للشركة
• عملية جنائية • الحفاظ على النزاهة
• تحليل الشفرات • تحليل التخفي
2.9. في حالة السيناريو، استخدم أدوات التحليل الجنائي.
• أدوات نحت الملفات
• أدوات التحليل الثنائي
• أدوات التحليل
• أدوات التصوير
• أدوات التجزئة
• التجميع المباشر مقابل أدوات ما بعد الوفاة
3.1. في حالة السيناريو، قم بتطبيق التكوينات الآمنة على الأجهزة المحمولة في المؤسسة.
• التكوينات المُدارة
• سيناريوهات النشر
• الاعتبارات الأمنية
3.2. في حالة السيناريو، قم بتكوين عناصر التحكم في أمان نقطة النهاية وتنفيذها.
• تقنيات التحصين • العمليات • التحكم الإلزامي في الوصول • الحوسبة الجديرة بالثقة • عناصر التحكم التعويضية
3.3. شرح الاعتبارات الأمنية التي تؤثر على قطاعات وتقنيات تشغيلية محددة.
• مضمن • أنظمة التحكم الصناعي/الرقابة الإشرافية واكتساب البيانات (SCADA) • البروتوكولات • القطاعات
3.4. شرح كيفية تأثير تبني تقنية السحابة على أمان المؤسسة.
• الأتمتة والتنسيق • تكوين التشفير • السجلات • تكوينات المراقبة • ملكية المفتاح وموقعه • إدارة دورة حياة المفتاح • طرق النسخ الاحتياطي والاسترداد
• البنية الأساسية مقابل الحوسبة بدون خادم
• محاكاة التطبيقات • الشبكات المحددة بالبرمجيات
• التكوينات الخاطئة • أدوات التعاون
• تكوينات التخزين
• وسيط أمان الوصول إلى السحابة (CASB)
3.5. بناءً على متطلبات العمل، قم بتنفيذ حل PKI المناسب.
• تسلسل PKI • أنواع الشهادات • استخدامات الشهادات/الملفات التعريفية/القوالب • الامتدادات • مقدمو الخدمات الموثوق بهم • نموذج الثقة • التصديق المتبادل • تكوين الملفات التعريفية • إدارة دورة الحياة • المفاتيح العامة والخاصة • التوقيع الرقمي • تثبيت الشهادات • تدبيس الشهادات • طلبات توقيع الشهادات (CSRs) • بروتوكول حالة الشهادة عبر الإنترنت (OCSP) مقابل قائمة إلغاء الشهادات (CRL) • أمان النقل الصارم لـ HTTP (HSTS)
3.6. بناءً على متطلبات العمل، قم بتنفيذ البروتوكولات والخوارزميات التشفيرية المناسبة.
• التجزئة • الخوارزميات المتماثلة • الخوارزميات غير المتماثلة • البروتوكولات • تشفير المنحنى الإهليلجي • السرية الأمامية • التشفير الموثق بالبيانات المرتبطة • تمديد المفتاح
3.7. بناءً على سيناريو ما، قم باستكشاف الأخطاء وإصلاحها فيما يتعلق بالتطبيقات التشفيرية.
• مشكلات التنفيذ والتكوين
• المفاتيح
4.1. بناءً على مجموعة من المتطلبات، طبِّق استراتيجيات المخاطر المناسبة.
• تقييم المخاطر
• تقنيات التعامل مع المخاطر
• أنواع المخاطر
• دورة حياة إدارة المخاطر
• تتبع المخاطر • الرغبة في المخاطرة مقابل تحمل المخاطر
• السياسات وممارسات الأمان
4.2. اشرح أهمية إدارة مخاطر البائعين والتخفيف منها.
• نموذج المسؤولية المشتركة (الأدوار/المسؤوليات) • حبس البائعين وحظر البائعين
• قابلية البائعين للاستمرار • تلبية متطلبات العميل
• توفر الدعم
• الاعتبارات الجغرافية
• رؤية سلسلة التوريد
• متطلبات الإبلاغ عن الحوادث
• ضمانات كود المصدر
• أدوات تقييم البائعين المستمرة
• تبعيات الجهات الخارجية
• الاعتبارات الفنية
4.3. اشرح أطر الامتثال والاعتبارات القانونية وتأثيرها التنظيمي.
• المخاوف الأمنية المتعلقة بدمج الصناعات المتنوعة
• اعتبارات البيانات • شهادة الامتثال من قبل طرف ثالث
• اللوائح والاعتمادات والمعايير
• الاعتبارات القانونية • أنواع العقود والاتفاقيات
• الاعتبارات الجغرافية
4.4. شرح أهمية استمرارية الأعمال ومفاهيم التعافي من الكوارث.
• تحليل تأثير الأعمال
• تقييم تأثير الخصوصية
• خطة التعافي من الكوارث (DRP)/ خطة استمرارية الأعمال (BCP) • خطة الاستجابة للحوادث
• خطط الاختبار
جميع الحقوق محفوظة © 2024.
