ISTQB® CT - Security Test Engineer

Descrizione

Un ISTQB® Certified Security Test Engineer può:

• Comprendere i paradigmi fondamentali della sicurezza e il loro impatto sul security testing.
• Applicare tecniche di security testing appropriate, riconoscendone punti di forza e limitazioni.
• Contribuire alla pianificazione, progettazione ed esecuzione dei test di sicurezza.
• Utilizzare efficacemente gli standard e le best practice di security testing.
• Adattare le attività di security testing al contesto organizzativo specifico.
• Allineare il security testing ai diversi metodi di sviluppo e ai cicli di vita del software.
• Integrare i risultati del security testing in un Information Security Management System (ISMS) per una gestione attiva del rischio.
• Raccogliere, valutare e consolidare i risultati dei test, producendo un report dettagliato con tutti i risultati e le evidenze.
• Identificare i requisiti degli strumenti per il security testing e supportare la selezione degli strumenti più appropriati in base all'approccio richiesto.

Capitolo 1: Paradigmi di Sicurezza

• Livelli di sicurezza degli Asset
  • Spiegare i diversi livelli di sicurezza degli asset e il corrispondente livello di protezione.
  • Spiegare la relazione tra la sensibilità delle informazioni e il security testing.
• Audit di sicurezza
  • Descrivere il ruolo del security testing nel contesto degli audit di sicurezza.
• Il concetto di Zero Trust
  • Spiegare il concetto di Zero Trust.
  • Applicare il concetto di Zero Trust nel security testing.
• Software Open-Source
  • Esemplificare il concetto di riutilizzo del Software Open Source (OSS) nello sviluppo software e i suoi impatti sul security testing.

Capitolo 2: Tecniche di Security Testing

• Applicazione dei tipi di test di sicurezza in base al contesto di test
  • Fornire esempi di tipi di test di sicurezza secondo i contesti black-box, grey-box o white-box.
  • Fornire esempi di tipi di test di sicurezza secondo il security testing dinamico o statico.
• Applicazione dei tipi di test di sicurezza in base al contesto di progetto e tecnico
  • Applicare i test case di sicurezza, basandosi su un determinato approccio al security testing, insieme ai rischi di sicurezza funzionali e strutturali identificati.
  • Descrivere come eseguire test di ricertificazione e test di riconciliazione per identità e permessi.
  • Descrivere come testare il controllo di gestione delle identità e degli accessi.
  • Descrivere come testare il controllo della protezione dei dati.
  • Descrivere come testare la tecnologia di protezione.

Capitolo 3: Il processo di Security Testing

• Il processo di Security Testing
  • Spiegare le diverse attività, compiti e responsabilità all'interno di un processo di security testing.
  • Comprendere gli elementi chiave e le caratteristiche di un ambiente di security testing efficace.
• Progettazione dei test di sicurezza
  • Fornire esempi di test di sicurezza basati su una determinata base di codice a livello di test dei componenti.
  • Fornire esempi di test di sicurezza basati su specifiche di progettazione a livello di integrazione dei componenti.
  • Implementare un test di sicurezza end-to-end che validi uno o più requisiti di sicurezza relativi a uno o più processi aziendali.

Capitolo 4: Standard e Best Practice

• Introduzione agli standard e alle best practice
  • Spiegare le diverse fonti di standard di test e best practice e la loro applicabilità.
• Applicazione degli standard e delle best practice necessari per il security testing
  • Applicare i concetti di OWASP, CVE e CVSS e imparare a sfruttarli nel security testing.
• Sfruttare gli standard e le best practice
  • Spiegare i pro e i contro degli oracoli di test utilizzati per il security testing.
  • Comprendere i pro e i contro dell'uso delle best practice e degli standard di sicurezza.

Capitolo 5: Adattamento al Contesto Organizzativo

• L'impatto delle strutture organizzative nel contesto del security testing
  • Analizzare un determinato contesto organizzativo e determinare quali aspetti specifici considerare per il security testing.
• L'impatto delle normative sulle politiche di sicurezza e come testarle.
  • Analizzare l'impatto delle normative sulle politiche di sicurezza e come testarle.
• Analisi di uno scenario di attacco
  • Analizzare uno scenario di attacco (attacco eseguito e rilevato) e identificare possibili fonti e motivazioni dell'attacco.

Capitolo 6: Adattamento ai Modelli di Ciclo di Vita dello Sviluppo Software

• Gli effetti dei diversi modelli di ciclo di vita dello sviluppo software
  • Riassumere perché le attività di security testing dovrebbero coprire l'intero ciclo di vita del software.
  • Analizzare come i diversi modelli di sviluppo software influenzano le attività di security testing.
• Security Testing durante la manutenzione
  • Definire ed eseguire test di regressione e test di conferma della sicurezza in base a una modifica del sistema.
  • Analizzare i risultati del security testing per determinare la natura di una vulnerabilità di sicurezza e il suo potenziale impatto tecnico.

Capitolo 7: Security Testing come Parte di un Information Security Management System

• Criteri di accettazione per il security testing
  • Comprendere i criteri di accettazione del security testing e come influenzano la selezione degli approcci e delle tecniche di test.
• Input per un Information Security Management System (ISMS)
  • Comprendere il ruolo del security testing per un sistema efficace di gestione della sicurezza delle informazioni.
• Miglioramento di un ISMS mediante security testing adattato
  • Valutare la maturità di un ISMS introducendo diversi approcci di test, nuovi oggetti di test o una copertura migliorata.
  • Comprendere la misurabilità all'interno di un ISMS.

Chapter 8: Reporting dei Risultati dei Test

• Reporting dei test di sicurezza
  • Comprendere la criticità dei risultati del security testing e come questo influisce sulla loro gestione e comunicazione.
• Identificazione e analisi delle vulnerabilità
  • Valutare i risultati di un determinato test di sicurezza per identificare le vulnerabilità di sicurezza.
• Chiusura delle vulnerabilità
  • Valutare diverse tecniche per la chiusura delle vulnerabilità identificate.

Capitolo 9: Strumenti di Security Testing

• Categorizzazione degli strumenti di security testing
  • Analizzare diversi casi d'uso e applicare categorizzazioni per gli strumenti di security testing.
• Selezione degli strumenti di security testing
• Comprendere l'uso e i concetti degli strumenti di security testing dinamico.
• Comprendere l'uso e i concetti degli strumenti di security testing statico.