Obiettivi dell'esame di certificazione CompTIA Advanced Security Practitioner (CASP+) (CAS-004)

L'esame di certificazione CompTIA CASP+ è una credenziale di sicurezza informatica di livello avanzato, che copre le competenze tecniche richieste per le posizioni di architettura di sicurezza e di ingegneria della sicurezza senior.

Questa guida tratterà i quattro domini di conoscenza dell'esame di certificazione CASP+ e i sottoargomenti che puoi aspettarti nell'esame CAS-004.

Cos'è l'esame di certificazione CompTIA CASP+?

CompTIA Advanced Security Practitioner (CASP+) è una certificazione di sicurezza informatica di livello avanzato per architetti della sicurezza e ingegneri della sicurezza senior, che convalida le competenze in materia di rischio e conformità, valutando la preparazione di un'azienda in materia di sicurezza informatica.

La certificazione CASP+ è approvata dal Dipartimento della Difesa degli Stati Uniti, soddisfa i requisiti della direttiva 8140/8570.01-M ed è conforme agli standard ISO 17024.

In qualità di professionista certificato CASP+, devi implementare le tue competenze tecniche e il tuo pensiero critico per proporre e applicare le soluzioni di sicurezza appropriate, incluse le strategie operative delle organizzazioni, valutare l'impatto dei rischi e rispondere agli incidenti di sicurezza. 

Un professionista certificato CompTIA CASP+ di successo dovrà possedere le seguenti competenze necessarie per:

• Progettare, progettare, integrare e implementare soluzioni sicure in ambienti complessi per supportare un'azienda resiliente.
• Utilizzare monitoraggio, rilevamento, risposta agli incidenti e automazione per supportare in modo proattivo le operazioni di sicurezza in corso in un ambiente aziendale.
• Applicare pratiche di sicurezza a infrastrutture cloud, on-premise, endpoint e mobile, tenendo conto delle tecnologie e delle tecniche crittografiche.
• Considerare l'impatto dei requisiti di governance, rischio e conformità in tutta l'azienda.

Dettagli dell'esame CompTIA CASP+

Esame richiesto: CAS-004 Numero di domande: Massimo 90 Tipi di domande: A risposta multipla e basate sulle prestazioni Durata del test: 165 minuti Esperienza consigliata: Almeno dieci anni di esperienza pratica generale in ambito IT, di cui almeno cinque anni di esperienza pratica in ambito di sicurezza IT. Certificazioni/conoscenze Network+, Security+, CySA+, Cloud+ e PenTest+ o equivalenti. Punteggio di superamento: solo Superato/Non superato - nessun punteggio scalare

Obiettivi dell'esame CompTIA CASP+ (domini)

Ecco la ripartizione di ciascun dominio con la percentuale di esame. Diamo un'occhiata agli obiettivi dell'esame CompTIA CASP+, suddivisi in quattro parti principali:

1.0 Architettura di sicurezza - 29% 2.0 Operazioni di sicurezza - 30% 3.0 Ingegneria della sicurezza e crittografia - 26% 4.0 Governance, rischio e conformità - 15%

Dominio - 1.0 Architettura di sicurezza 29%

1.1 Dato uno scenario, analizzare i requisiti e gli obiettivi di sicurezza per garantire un'architettura di rete appropriata e sicura per una rete nuova o esistente.

• Servizi • Segmentazione • Deperimeterizzazione/zero trust • Fusione di reti di diverse organizzazioni • Software-defined networking (SDN)

1.2 Dato uno scenario, analizzare i requisiti organizzativi per determinare la corretta progettazione della sicurezza dell'infrastruttura. 

• Scalabilità  • Resilienza  • Automazione  • Prestazioni  • Containerizzazione  • Virtualizzazione  • Rete di distribuzione dei contenuti  • Caching

1.3 Dato uno scenario, integrare le applicazioni software in modo sicuro in un'architettura aziendale.

• Baseline e modelli • Garanzia del software • Considerazioni sull'integrazione delle applicazioni aziendali • Integrazione della sicurezza nel ciclo di vita dello sviluppo

1.4 Dato uno scenario, implementare tecniche di sicurezza dei dati per proteggere l'architettura aziendale.

• Prevenzione della perdita di dati • Rilevamento della perdita di dati • Classificazione, etichettatura e tagging dei dati • Offuscamento • Anonimizzazione • Crittografato vs. non crittografato • Ciclo di vita dei dati • Inventario e mappatura dei dati • Gestione dell'integrità dei dati • Archiviazione, backup e ripristino dei dati

1.5. Dato uno scenario, analizzare i requisiti e gli obiettivi di sicurezza per fornire i controlli di autenticazione e autorizzazione appropriati.

• Gestione delle credenziali • Criteri per le password • Federazione • Controllo degli accessi • Protocolli • Autenticazione a più fattori (MFA) • Password monouso (OTP) • Root of Trust hardware • Single Sign-On (SSO) • Token web JavaScript Object Notation (JSON) (JWT) • Attestazione e verifica dell'identità

1.6. Dato un insieme di requisiti, implementare soluzioni cloud e di virtualizzazione sicure.

• Strategie di virtualizzazione • Provisioning e deprovisioning • Middleware • Metadati e tag • Modelli di distribuzione e considerazioni • Modelli di hosting • Modelli di servizio • Limitazioni del provider cloud • Estensione dei controlli on-premise appropriati • Modelli di storage

1.7. Spiegare in che modo la crittografia e l'infrastruttura a chiave pubblica (PKI) supportano gli obiettivi e i requisiti di sicurezza.

• Requisiti di privacy e riservatezza • Requisiti di integrità • Non ripudio • Requisiti di conformità e policy • Casi d'uso comuni della crittografia • Casi d'uso comuni della PKI

1.8. Spiegare l'impatto delle tecnologie emergenti sulla sicurezza e la privacy aziendale.

• Intelligenza artificiale • Apprendimento automatico • Calcolo quantistico • Blockchain • Crittografia omomorfica • Big Data • Realtà virtuale/aumentata • Stampa 3D • Autenticazione senza password • Nanotecnologia • Deep learning • Calcolo multipartitico sicuro • Consenso distribuito • Impersonificazione biometrica

Dominio - 2.0 Operazioni di sicurezza

2.1. Dato uno scenario, eseguire attività di gestione delle minacce.

• Tipi di intelligence • Tipi di attori • Proprietà degli attori delle minacce • Framework

2.2. Dato uno scenario, analizzare gli indicatori di compromissione e formulare una risposta appropriata.

• Indicatori di compromissione • Risposta

2.3. Dato uno scenario, eseguire attività di gestione delle vulnerabilità.

• Scansioni delle vulnerabilità • Autovalutazione vs. valutazione di fornitori terzi • Gestione delle patch • Fonti di informazione • Security Content Automation Protocol (SCAP)

2.4. Dato uno scenario, utilizzare metodi e strumenti appropriati per la valutazione delle vulnerabilità e i penetration test.

• Metodi • Strumenti • Gestione delle dipendenze • Requisiti

2.5. Dato uno scenario, analizzare le vulnerabilità e raccomandare misure di mitigazione del rischio.

• Vulnerabilità • Sistema/applicazione intrinsecamente vulnerabile • Attacchi

2.6. Dato uno scenario, utilizzare processi per ridurre il rischio.

• Proattivo e rilevamento • Analisi dei dati di sicurezza • Preventivo • Controllo delle applicazioni • Automazione della sicurezza • Sicurezza fisica

2.7. Dato un incidente, implementare la risposta appropriata.

• Classificazione degli eventi • Triage degli eventi • Attività di pre-escalation • Processo di risposta agli incidenti • Playbook/processi di risposta specifici • Piano di comunicazione • Gestione delle parti interessate

2.8. Spiegare l'importanza dei concetti forensi.

• Scopi legali vs. scopi aziendali interni • Processo forense • Preservazione dell'integrità • Crittoanalisi • Steganalisi

2.9. Dato uno scenario, utilizzare strumenti di analisi forense.

• Strumenti di file carving • Strumenti di analisi binaria • Strumenti di analisi • Strumenti di imaging • Utilità di hashing • Strumenti di raccolta dati live vs. strumenti post-mortem

Dominio - 3.0 Ingegneria della sicurezza e crittografia

3.1. Dato uno scenario, applicare configurazioni sicure alla mobilità aziendale.

• Configurazioni gestite • Scenari di distribuzione • Considerazioni sulla sicurezza

3.2. Dato uno scenario, configurare e implementare controlli di sicurezza degli endpoint.

• Tecniche di rafforzamento della sicurezza • Processi • Controllo di accesso obbligatorio • Trustworthy computing • Controlli di compensazione

3.3. Spiegare le considerazioni sulla sicurezza che hanno un impatto su settori e tecnologie operative specifici.

• Embedded • ICS/controllo di supervisione e acquisizione dati (SCADA) • Protocolli • Settori

3.4. Spiegare come l'adozione della tecnologia cloud influisce sulla sicurezza aziendale.

• Automazione e orchestrazione • Configurazione della crittografia • Log • Configurazioni di monitoraggio • Proprietà e posizione delle chiavi • Gestione del ciclo di vita delle chiavi • Metodi di backup e ripristino • Infrastruttura vs. elaborazione serverless • Virtualizzazione delle applicazioni • Reti definite dal software • Errori di configurazione • Strumenti di collaborazione • Configurazioni di storage • Cloud Access Security Broker (CASB)

3.5. In base a un requisito aziendale, implementare la soluzione PKI appropriata.

• Gerarchia PKI • Tipi di certificato • Utilizzi/profili/modelli dei certificati • Estensioni • Provider attendibili • Modello di trust • Certificazione incrociata • Configurazione dei profili • Gestione del ciclo di vita • Chiavi pubbliche e private • Firma digitale • Pinning dei certificati • Stapling dei certificati • Richieste di firma dei certificati (CSR) • Protocollo di stato dei certificati online (OCSP) vs. elenco di revoche dei certificati (CRL) • HTTP Strict Transport Security (HSTS)

3.6. Dato un requisito aziendale, implementare i protocolli e gli algoritmi crittografici appropriati.

• Hashing • Algoritmi simmetrici • Algoritmi asimmetrici • Protocolli • Crittografia a curva ellittica • Segretezza in avanti • Crittografia autenticata con dati associati • Key stretching

3.7. Dato uno scenario, risolvere i problemi con le implementazioni crittografiche.

• Problemi di implementazione e configurazione • Chiavi

Dominio - 4.0 Governance, Rischio e Conformità

4.1. Dato un insieme di requisiti, applicare le strategie di rischio appropriate.

• Valutazione del rischio • Tecniche di gestione del rischio • Tipi di rischio • Ciclo di vita della gestione del rischio • Monitoraggio del rischio • Propensione al rischio vs. tolleranza al rischio • Policy e pratiche di sicurezza

4.2. Spiegare l'importanza di gestire e mitigare il rischio del fornitore.

• Modello di responsabilità condivisa (ruoli/responsabilità) • Blocco e blocco del fornitore • Sostenibilità del fornitore • Soddisfazione dei requisiti del cliente • Disponibilità del supporto • Considerazioni geografiche • Visibilità della supply chain • Requisiti di segnalazione degli incidenti • Depositi a garanzia del codice sorgente • Strumenti di valutazione continua dei fornitori • Dipendenze da terze parti • Considerazioni tecniche

4.3. Spiegare i quadri normativi di conformità e le considerazioni legali, nonché il loro impatto organizzativo.

• Problemi di sicurezza derivanti dall'integrazione di settori diversi • Considerazioni sui dati • Attestazione di conformità di terze parti • Regolamentazioni, accreditamenti e standard • Considerazioni legali • Tipi di contratto e accordo • Considerazioni geografiche

4.4. Spiegare l'importanza dei concetti di continuità operativa e disaster recovery.

• Analisi dell'impatto aziendale • Valutazione dell'impatto sulla privacy • Piano di disaster recovery (DRP)/piano di continuità operativa (BCP) • Piano di risposta agli incidenti • Piani di test