CompTIA 网络安全分析师 (CySA+) 认证考试目标 (CS0-002)

CompTIA 以提供许多与供应商无关的认证而闻名，包括入门级和高级认证。CompTIA CySA+ 认证考试就是其中之一。

本文将讨论 CySA+ 考试 的五个领域以及您在 CS0-002 考试中可以期待的内容。

什么是 CompTIA CySA+ 认证考试？

CompTIA CySA+ 认证（考试代码 CS0-002）于 2020 年 4 月推出，取代了 CS0-001 考试。新的 CompTIA 网络安全分析师认证侧重于提高组织安全性所需的最新核心安全分析师技能和知识。

CompTIA CySA+ 符合 ISO 17024 标准，并经美国国防部批准满足指令 8570.01-M 的要求。此外，新的 CompTIA CySA+ 认证考试符合联邦信息安全管理法案 (FISMA) 下的政府法规。

经过认证的 CompTIA CySA+ 专业人员将具备以下技能和知识：

• 利用情报和威胁检测技术
• 分析和解释数据
• 识别和解决漏洞
• 建议预防措施
• 有效应对事件并从中恢复

CompTIA CySA+ 考试详情

必考考试：CS0-002 问题数量：最多 85 个 问题类型：多项选择题和基于绩效的题 考试时长：165 分钟 推荐经验：• 4 年技术网络安全工作岗位实践经验 • Security+ 和 Network+，或同等知识和经验 及格分数：750（100-900 分制）

CompTIA CySA+ 考试目标（领域）

CompTIA CySA+ 考试目标分为五大类：

1.0 威胁和漏洞管理 - 22% 2.0 软件和系统安全 - 18%  3.0 安全运营和监控 - 25% 4.0 事件响应 - 22% 5.0 合规性和评估 - 13%

领域 - 1.0 威胁和漏洞管理

1.1 解释威胁数据和情报的重要性。

情报来源 置信度 指标管理 威胁分类 威胁行为者 情报周期 商品恶意软件 信息共享和分析社区

1.2 给定一个场景，利用威胁情报来支持组织安全。

• 攻击框架  • 威胁研究  • 威胁建模方法  • 具有支持功能的威胁情报共享

1.3 给定一个场景，执行漏洞管理活动。

• 漏洞识别  • 验证 • 补救/缓解  • 扫描参数和标准  • 补救的抑制因素 

1.4 给定一个场景，分析输出常见的漏洞评估工具。

• Web 应用程序扫描器

• 基础设施漏洞扫描器

• 软件评估工具和技术

• 枚举

• 无线评估工具

• 云基础设施评估工具

1.5 解释与专门技术相关的威胁和漏洞。

• 移动

• 物联网 (IoT)

• 嵌入式

• 实时操作系统 (RTOS)

• 片上系统 (SoC)

• 现场可编程门阵列 (FPGA) • 物理访问控制

• 楼宇自动化系统

• 车辆和无人机 • 工作流和过程自动化系统

• 工业控制系统

• 监控和数据采集 (SCADA)

1.6 解释与在云中操作相关的威胁和漏洞。

• 云服务模型

• 云部署模型

• 功能即服务 (FaaS)/无服务器架构

• 基础设施即代码 (IaC)

• 不安全的应用程序编程接口 (API) • 密钥管理不当

• 不受保护存储  • 日志记录和监控

1.7 给定一个场景，实施控制以减轻攻击和软件漏洞。

• 攻击类型  • 漏洞 

2.0 软件和系统安全

2.1 给定一个场景，应用安全解决方案进行基础设施管理。

云与本地 资产管理 分段 网络架构 变更管理 虚拟化 容器化 身份和访问管理 云访问安全代理 (CASB) 蜜罐 监控和日志记录 加密 证书管理 主动防御 2.2 解释软件保证最佳实践

平台 软件开发生命周期 (SDLC) 集成 DevSecOps 软件评估方法 安全编码最佳实践 静态分析工具 动态分析工具 关键软件验证的正式方法 面向服务的架构 2.3 解释硬件保证最佳实践

硬件信任根 eFuse 统一可扩展固件接口 (UEFI) 可信代工厂 安全处理 防篡改 自加密驱动器 可信固件更新 测量启动和认证 总线加密

3.0 安全操作和监控

3.1 给定一个场景，分析数据作为安全监控活动的一部分。

启发式 趋势分析 端点 网络 日志审查 影响分析 安全信息和事件 管理 (SIEM) 审查 查询编写 电子邮件分析 3.2 给定一个场景，对现有控件实施配置更改以提高安全性。

权限 白名单 黑名单 防火墙 入侵防御系统 (IPS) 规则 数据丢失防护 (DLP) 端点检测和响应 (EDR) 网络访问控制 (NAC) Sinkholing 恶意软件签名 沙盒 端口安全 3.3 解释主动威胁搜寻的重要性。

建立假设 分析威胁行为者和活动 威胁搜寻策略 减少攻击面 捆绑关键资产 攻击媒介 综合情报 提高检测能力 3.4 比较和对比自动化概念和技术。

工作流编排 脚本 应用程序编程接口 (API) 集成 自动恶意软件签名创建 数据丰富 威胁源组合 机器学习 使用自动化协议和标准 持续集成 持续部署/交付 ##4.0 事件响应

4.1 解释事件响应过程的重要性。

沟通计划 与相关实体的响应协调 导致数据关键性的因素 4.2 给定一个场景，应用适当的事件响应程序。

准备 检测和分析 遏制 根除和恢复 事件后活动 4.3 给定一个事件，分析潜在的妥协指标。

与网络相关 与主机相关 与应用程序相关 4.4 给定一个场景，利用基本的数字取证技术。

网络 端点 移动 云 虚拟化 法律保留 程序 哈希 雕刻 数据采集

5.0 合规性和评估

5.1 了解数据隐私和保护的重要性。

隐私与安全 非技术控制 技术控制 5.2 给定一个场景，应用安全概念来支持组织风险缓解。

业务影响分析 风险识别过程 风险计算 风险因素沟通 风险优先级 系统评估 记录补偿控制 培训和练习 供应链评估 5.3 解释框架、政策、程序和控制的重要性。

• 框架  • 政策和程序  • 控制类型  • 审计和评估