iSAQB CPSA-A WEBSEC

Descrizione

La partecipazione al corso iSAQB® CPSA-A “Web Security (WEBSEC)” consente ai partecipanti di ottenere 20 crediti nella Competenza Tecnica (TC) e 10 crediti nella Competenza Metodologica (MC), validi per il raggiungimento dei 70 crediti richiesti per l’ammissibilità all’esame CPSA-A con Brightest. È importante ricordare che, per sostenere l’esame CPSA-A con Brightest, è necessario ottenere almeno dieci crediti in ciascuna delle seguenti aree di competenza:

• Competenza Tecnica (TC)
• Competenza Metodologica (MC)
• Competenza Comunicativa (CC)

Il corso accreditato iSAQB® WEBSEC – Web Security (CPSA-A) si basa sull’attuale curriculum iSAQB®:

Parte 1 – Analisi della sicurezza web

• Rischi e modelli
• Obiettivi fondamentali della sicurezza
• Identificazione degli asset e concetti di accesso
• Definire criteri per accettazione e audit
• Compromessi tra sicurezza e altre qualità
• Comprendere la sicurezza come processo, non come misura isolata
• Comprendere che la sicurezza è responsabilità di tutte le parti interessate
• Conoscere linee guida, standard e raccomandazioni comuni
• Conoscere i principali sistemi di classificazione per i problemi di sicurezza
• Categorizzare le certificazioni più diffuse

Parte 2 – Progettazione e sviluppo sicuro

• Il concetto di “validare tutti gli input ed eseguire escape su tutti gli output”
• Il principio di gate di sicurezza, revisione e “non fidarti di nessuno”
• Indicatori di progettazione sicura delle applicazioni
• Pattern di base per linee guida di codifica sicura
• Contenuti di un processo di sviluppo sicuro e framework di esempio
• Concetti di accesso per landscape di sistema, artefatti e codice sorgente
• Strumenti e componenti infrastrutturali a supporto dello sviluppo sicuro
• Distinzione dai metodi analitici
• Gestione degli incidenti

Parte 3 – Crittografia

• Fondamenti della crittografia
• Hashing
• Metodi di cifratura
• Concetti di fiducia
• Uso pratico

Parte 4 – Web: Fondamenti tecnici

• Buone pratiche comuni
• Tipi di autenticazione
• Misure di sicurezza “through obscurity”
• Protocolli legati alla sicurezza (es. TLS)
• Concetti comuni di autorizzazione e relative implementazioni
• Strumenti di supporto

Parte 5 – Web: Attacchi noti e vettori d’attacco

• Vettori d’attacco e classificazione
• Rischi specifici dell’ingegneria sociale nelle applicazioni web
• Attacchi di tipo injection
• Significato e funzionamento di attacchi DoS e DDoS
• Attacchi tramite runtime o piattaforma applicativa
• Identificazione delle vulnerabilità tramite fuzzing
• Attacchi man-in-the-middle
• Fonti affidabili per minacce e attacchi aggiornati

Parte 6 – Web: Sicurezza e infrastruttura

• Funzionamento e processi dei firewall
• Web Application Firewall
• Sistemi di Intrusion Detection / Prevention
• Validazione tramite feedback operativo
• Uso di TLS (Transport Layer Security)