CompTIA 网络安全分析师 (CySA+) 认证考试目标 (CS0-002)

CompTIA 以提供众多厂商中立的认证而闻名，涵盖入门级和高级认证。CompTIA CySA+ 认证考试便是其中之一。

本文将探讨 CySA+ 考试 的五大领域，以及 CS0-002 考试的内容。

什么是 CompTIA CySA+ 认证考试？

CompTIA CySA+ 认证（考试代码 CS0-002）于 2020 年 4 月推出，取代了 CS0-001 考试。这项全新的 CompTIA 网络安全分析师认证专注于提升组织安全性所需的最新核心安全分析师技能和知识。

CompTIA CySA+ 符合 ISO 17024 标准，并获得美国国防部批准，满足 8570.01-M 指令的要求。此外，新的 CompTIA CySA+ 认证考试符合联邦信息安全管理法案 (FISMA) 的相关政府法规。

获得 CompTIA CySA+ 认证的专业人员应具备以下技能和知识：

• 运用情报和威胁检测技术

• 分析和解读数据

• 识别和解决漏洞

• 提出预防措施

• 有效应对和恢复安全事件

CompTIA CySA+ 考试详情

必考科目：CS0-002

题数：最多 85 道

题型：选择题和情景题

考试时长：165 分钟

建议经验：• 4 年网络安全技术岗位实践经验 • 持有 Security+ 和 Network+ 认证，或具备同等知识和经验

及格分数：750 分（满分 900 分）

CompTIA CySA+ 考试目标（领域）

CompTIA CySA+ 考试目标分为五大类：

1.0 威胁和漏洞管理 - 22%

2.0 软件和系统安全 - 18%

3.0 安全运营与监控 - 25%

4.0 事件响应 - 22%

5.0 合规性与评估 - 13%

领域 - 1.0 威胁与漏洞管理

1.1 解释威胁数据和情报的重要性。

情报来源

置信度

指标管理

威胁分类

威胁行为者

情报周期 通用恶意软件

信息共享与分析社区

1.2 根据给定场景，利用威胁情报支持组织安全。

• 攻击框架

• 威胁研究

• 威胁建模方法

• 与支持职能部门共享威胁情报

1.3 根据给定场景，执行漏洞管理活动。

• 漏洞识别

• 验证

• 修复/缓解

• 扫描参数和标准

• 修复障碍

1.4 根据给定场景，分析以下输出：常用漏洞评估工具。

• Web 应用扫描器

• 基础设施漏洞扫描器

• 软件评估工具和技术

• 枚举

• 无线评估工具

• 云基础设施评估工具

1.5 解释与特定技术相关的威胁和漏洞。

• 移动设备

• 物联网 (IoT)

• 嵌入式系统

• 实时操作系统 (RTOS)

• 片上系统 (SoC)

• 现场可编程门阵列 (FPGA)

• 物理访问控制

• 楼宇自动化系统

• 车辆和无人机

• 工作流和过程自动化系统

• 工业控制系统

• 监控与数据采集 (SCADA)

1.6 解释与云环境相关的威胁和漏洞。

• 云服务模型

• 云部署模型

• 函数即服务 (FaaS)/无服务器架构

• 基础设施即代码 (IaC)

• 不安全的应用程序编程接口 (API)

• 密钥管理不当

• 未受保护存储

• 日志记录和监控

1.7 根据给定场景，实施控制措施以缓解攻击和软件漏洞。

• 攻击类型

• 漏洞

2.0 软件和系统安全

2.1 根据给定场景，应用安全解决方案进行基础设施管理。

云端与本地部署

资产管理

分段

网络架构

变更管理

虚拟化

容器化

身份和访问管理

云访问安全代理 (CASB)

蜜罐

监控和日志记录

加密

证书管理

主动防御

2.2 解释软件保障最佳实践

平台 软件开发生命周期 (SDLC) 集成

DevSecOps

软件评估方法

安全编码最佳实践

静态分析工具

动态分析工具

关键软件验证的形式化方法

面向服务的架构

2.3 解释硬件保障最佳实践

硬件信任根

eFuse

统一可扩展固件接口 (UEFI)

可信代工厂

安全处理 防篡改 自加密驱动器 可信固件更新 测量启动和认证

总线加密

3.0 安全运维与监控

3.1 根据给定场景，分析数据以开展安全监控活动。

启发式方法

趋势分析

端点

网络 日志审查

影响分析

安全信息和事件管理 (SIEM)

安全信息和事件管理 (SIEM) 审查

查询编写

电子邮件分析

3.2 根据给定场景，对现有控制措施进行配置更改以提高安全性。

权限

白名单

黑名单

防火墙 入侵防御系统 (IPS) 规则

数据丢失防护 (DLP)

端点检测与响应 (EDR)

网络访问控制 (NAC)

黑洞

恶意软件签名

沙箱 端口安全

3.3 解释主动威胁搜寻的重要性。

建立假设

分析威胁行为者活动

威胁狩猎策略

缩小攻击面

捆绑关键资产

攻击向量

集成情报

提升检测能力

3.4 比较和对比自动化概念和技术。

工作流编排

脚本编写

应用程序编程接口 (API) 集成

自动恶意软件签名创建

数据增强

威胁情报源组合

机器学习

自动化协议和标准的使用

持续集成

持续部署/交付

##4.0 事件响应

4.1 解释事件响应流程的重要性。

沟通计划

与相关实体协调响应

导致数据关键性的因素

4.2 根据具体场景，应用相应的事件响应程序。

准备

检测和分析

遏制

根除和恢复

事件后活动

4.3 根据事件，分析潜在的入侵指标。

网络相关

主机相关

应用程序相关 **4.4 根据具体场景，运用基本的数字取证技术。技术。

网络

终端

移动 云 虚拟化 法律保留 程序 哈希 数据雕刻

数据采集

5.0 合规性和评估

5.1 理解数据隐私和保护的重要性。

隐私与安全

非技术控制

技术控制

5.2 根据具体场景，应用安全概念来支持组织风险缓解。

业务影响分析

风险识别流程

风险计算

风险因素沟通

风险优先级排序

系统评估

已记录的补偿控制

培训和演练

供应链评估

5.3 解释框架、政策、程序和控制的重要性。

• 框架

• 政策和程序

• 控制类型

• 审计和评估