CompTIA PenTest+ 認定試験 (PT0-002): ドメインの概要 CompTIA サイバーセキュリティ パスウェイに関して言えば、PenTest+ は高度な侵入テスト認定の 1 つです。
PenTest+ 試験コースは、侵入テストに必要なプロセス、ツール、およびテクニックに関する受験者の知識をテストするように設計されています。
CompTIA は、侵入、脆弱性評価、およびコード分析の実務経験を 3 ~ 4 年持つ受験者を推奨しています。
CompTIA PenTest+ は、侵入テストと脆弱性評価および管理を担当するサイバーセキュリティ専門家向けに設計されたエントリーレベルの侵入テスト認定です。
CompTIA PenTest+ は、侵入テストと脆弱性評価による攻撃スキルに重点を置いた、優れたサイバーセキュリティ侵入テスト認定資格の 1 つです。認定された CompTIA PenTest+ サイバーセキュリティ専門家は、次の知識とスキルを身に付けています:
侵入テストの取り組みを計画し、その範囲を定める
法的要件とコンプライアンス要件を理解する
適切なツールと手法を使用して脆弱性スキャンと侵入テストを実行し、結果を分析する
提案された修復手法を含む書面によるレポートを作成し、結果を経営陣に効果的に伝え、実用的な推奨事項を提供する
質問数 - 最大 85 問
質問の種類 - 多肢選択式およびパフォーマンスベース
テスト時間 - 165 分
推奨される経験 - 侵入テスト、脆弱性評価、コード分析の実行に関する 3~4 年の実務経験
合格点 - 750 (100~900 点満点)
PenTest+ 試験は試験時間は 165 分です。決められた時間内に、最大 85 問の多肢選択式およびパフォーマンスベースの質問に回答する必要があります。
合格点は 750 点 (100 ~ 900 点) です。
CompTIA PenTest+ サイバーセキュリティ認定コースは、次の 5 つのドメインまたはトピックに分かれています。
1.0 計画とスコープ設定 - 14% 2.0 情報収集と脆弱性スキャン - 22% 3.0 攻撃とエクスプロイト 30% 4.0 レポートとコミュニケーション - 18% 5.0 ツールとコード分析 - 16%
PenTest+ 試験の最初のドメインは、侵入テスト エンゲージメントの計画とスコープ設定です。試験の全体的なスコアについて言えば、計画とスコープ設定のドメイン自体が受験者のスコアの 14% を占めます。 さらに、ドメイン 1 は次の 3 つのセクションに分かれています: 1.1 ガバナンス、リスク、コンプライアンスの概念を比較対照します。
• 規制コンプライアンスの考慮事項 • 場所の制限 • 法的概念 • 攻撃の許可
1.2 スコープ設定と組織/顧客の要件の重要性を説明します。
• 標準と方法論 • エンゲージメントのルール • 環境に関する考慮事項 • ターゲット リスト/スコープ内の資産 • エンゲージメントの範囲を検証します
1.3 シナリオが与えられた場合、プロ意識と誠実さを維持することで、倫理的なハッキングの考え方を示します。
• 侵入テスト チームのバックグラウンド チェック • エンゲージメントの特定の範囲を遵守します • 犯罪行為を特定します • 違反/犯罪行為を直ちに報告します • ツールの使用を特定のエンゲージメントに限定します • 範囲に基づいて侵入性に制限します • データ/情報の機密性を維持します • 専門家に対するリスク
偵察は侵入テスト プロセスに大きな価値をもたらし、セキュリティの弱点を評価し、攻撃計画を設計するための貴重な情報を提供します。情報収集と脆弱性スキャンは、PenTest+ 認定試験の質問の 22% を占め、3 つの主要な部分に分かれています。
2.1 シナリオが与えられた場合、受動的な偵察を実行します。
• DNS ルックアップ • 技術担当者の連絡先を特定します • 管理者の連絡先 • クラウドとセルフホスト • ソーシャル メディア スクレイピング • 暗号の欠陥 • 会社の評判/セキュリティ体制 • データ • オープンソース インテリジェンス (OSINT)
2.2 シナリオが与えられた場合、能動的な偵察を実行します。
• 列挙 • ウェブサイトの偵察 • パケット作成 • 防御検出 • ウォードライビング • ネットワーク トラフィック • トークン • クラウド アセットの検出 • サードパーティのホスト サービス • 検出回避
2.3 シナリオが与えられた場合、偵察演習の結果を分析します。
• フィンガープリンティング • 出力を分析します
2.4 シナリオが与えられた場合、脆弱性を実行します。スキャン。
• 脆弱性スキャンの考慮事項 • Nmap • 特定されたターゲットをスキャンして脆弱性を探す • 検出を回避するためのスキャン設定 • スキャン方法 • 自動化を促進する脆弱性テスト ツール
ドメイン 3 である攻撃とエクスプロイトは、PenTest+ 認定試験で最も大きな価値をもたらし、試験の質問の 30% を占めています。このドメインに含まれるトピックは多岐にわたり、侵入専門家が侵入の過程で遭遇する可能性のあるあらゆるシステムに対する潜在的な攻撃を網羅しています。攻撃とエクスプロイトのドメインは、次の 7 つのセクションに分かれています:
3.1 シナリオが与えられた場合、攻撃ベクトルを調査し、ネットワーク攻撃を実行します。
• 可用性のストレス テスト • リソースのエクスプロイト • 攻撃 • ツール
3.2 シナリオが与えられた場合、攻撃ベクトルを調査し、ワイヤレス攻撃を実行します。
• 攻撃方法 • ツール • 攻撃
3.3 シナリオが与えられた場合、攻撃ベクトルを調査し、アプリケーションベースの攻撃を実行します。
• OWASP トップ 10 • サーバー側リクエスト フォージェリ • ビジネス ロジックの欠陥 • インジェクション攻撃 • アプリケーションの脆弱性 • アプリケーションの脆弱性 • ディレクトリ トラバーサル • ツール • リソース
3.4 シナリオが与えられた場合、攻撃ベクトルを調査し、クラウド テクノロジーに対する攻撃を実行します。
• 攻撃 • ツール
3.5 特殊なシステムに対する一般的な攻撃と脆弱性について説明します。
• モバイル • モノのインターネット (IoT) デバイス • データストレージ システムの脆弱性 • 管理インターフェースの脆弱性 • 監視制御およびデータ収集 (SCADA)/産業用 IoT (IIoT)/産業用制御システム (ICS) に関連する脆弱性 • 仮想環境に関連する脆弱性 • コンテナ化されたワークロードに関連する脆弱性
3.6 シナリオが与えられた場合、ソーシャル エンジニアリングまたは物理的攻撃を実行します。
• アプローチの口実 • ソーシャル エンジニアリング攻撃 • 物理的攻撃 • なりすまし • ツール • 影響を与える方法
3.7 シナリオが与えられた場合、エクスプロイト後の手法を実行します。
• エクスプロイト後のツール • 横方向の移動 • ネットワーク セグメンテーション テスト • 権限の昇格 • 足場/持続性の作成 • 制限シェルのアップグレード • 検出の回避 • 列挙
レポートとコミュニケーションは、侵入テストの重要な部分の 1 つですプロセス。PenTest+ 認定試験のドメイン 4 であるレポートとコミュニケーションは、PenTest+ スコアの 18% を占めます。このセクションは 4 つのセクションに分かれています: 4.1 書面によるレポートの重要なコンポーネントを比較対照します。
• レポートの対象者 • レポートの内容 (** 順不同) • レポートの保存時間 • 安全な配布 • メモの取り方 • 共通のテーマ/根本原因
4.2 シナリオが与えられた場合、レポート内で発見事項を分析し、適切な修復方法を推奨します。
• 技術的制御 • 管理的制御 • 運用的制御 • 物理的制御
4.3 侵入テスト プロセス中のコミュニケーションの重要性を説明します。
• コミュニケーション パス • コミュニケーションのトリガー • コミュニケーションの理由 • 目標の再優先順位付け • 発見事項のプレゼンテーション
4.4 レポート配信後のアクティビティを説明します。
• エンゲージメント後のクリーンアップ • クライアントの承認 • 学んだ教訓 • フォローアップ アクション/再テスト • 発見事項の証明 • データ破棄プロセス
侵入テストを実行するためプロセスでは、脆弱性を特定してツールを開発するために、コードの書き方と読み方の習熟が必要です。PenTest+ 認定試験のドメイン 5 であるツールとコード分析は、試験の質問の 16% を占めています。このドメインには、以下に示す 3 つのセクションがあります。
5.1 スクリプトとソフトウェア開発の基本概念を説明します。
• ロジック構造 • データ構造 • ライブラリ • クラス • プロシージャ • 関数
5.2 シナリオが与えられた場合、侵入テストで使用するスクリプトまたはコード サンプルを分析します。
• シェル • プログラミング言語 • エクスプロイト コードを分析して、 • 自動化の機会
5.3 侵入テストの各フェーズで次のツールの使用例を説明します。
• スキャナー • 認証情報テスト ツール • OSINT • デバッガー • ワイヤレス • Web アプリケーション ツール • ソーシャル エンジニアリング ツール • リモート アクセス ツール • ネットワーク ツール • その他 • ステガノグラフィ ツール • クラウド ツール
当社は、世界中の情報技術プロフェッショナルに多数の IT 認定を提供している、有名な代理試験センターです。
CompTIA PenTest+ 認定試験の受験をご希望の場合は、当社がお手伝いいたします。
当社および代理試験のパターンについて詳しくは、当社までお問い合わせください。当社のコンサルタントが、お客様のサポートを担当します。
著作権 © 2024 - 無断転載を禁じます。
