ISTQB CT-STE

Mô tả

ISTQB® Certified Security Test Engineer (Kỹ Sư Kiểm Thử Bảo Mật) Được Chứng Nhận ISTQB® có thể

• Hiểu các mô hình bảo mật cơ bản và tác động của chúng đối với kiểm thử bảo mật.
• Áp dụng các kỹ thuật kiểm thử bảo mật phù hợp, nhận diện các ưu điểm và hạn chế của chúng.
• Đóng góp vào việc lập kế hoạch, thiết kế và thực hiện các bài kiểm thử bảo mật.
• Sử dụng hiệu quả các tiêu chuẩn và phương pháp tốt nhất trong kiểm thử bảo mật.
• Điều chỉnh các hoạt động kiểm thử bảo mật theo bối cảnh tổ chức cụ thể.
• Điều chỉnh kiểm thử bảo mật với các phương pháp phát triển phần mềm khác nhau và chu kỳ phát triển phần mềm.
• Tích hợp kết quả kiểm thử bảo mật vào Hệ Thống Quản Lý Bảo Mật Thông Tin (ISMS) để quản lý rủi ro chủ động.
• Thu thập, đánh giá và tổng hợp kết quả kiểm thử, tạo báo cáo chi tiết với tất cả các phát hiện và bằng chứng.
• Xác định yêu cầu công cụ cho kiểm thử bảo mật và hỗ trợ chọn các công cụ phù hợp dựa trên phương pháp yêu cầu.

Chương 1: Các Mô Hình Bảo Mật

• Mức Độ Bảo Mật
  • Giải thích các mức độ bảo mật của tài sản và mức độ bảo vệ tương ứng.
  • Giải thích mối quan hệ giữa độ nhạy cảm của thông tin và kiểm thử bảo mật.
• Kiểm Toán Bảo Mật
  • Mô tả vai trò của kiểm thử bảo mật trong bối cảnh kiểm toán bảo mật.
• Khái Niệm Zero Trust
  • Giải thích khái niệm Zero Trust.
  • Áp dụng khái niệm Zero Trust trong kiểm thử bảo mật.
• Phần Mềm Mã Nguồn Mở
  • Ví dụ về khái niệm sử dụng lại Phần Mềm Mã Nguồn Mở (OSS) trong phát triển phần mềm và tác động của nó đối với kiểm thử bảo mật.

Chương 2: Kỹ Thuật Kiểm Thử Bảo Mật

• Áp Dụng Các Loại Kiểm Thử Bảo Mật Theo Bối Cảnh Kiểm Thử
  • Đưa ra ví dụ về các loại kiểm thử bảo mật theo bối cảnh kiểm thử black-box, grey-box hoặc white-box.
  • Đưa ra ví dụ về các loại kiểm thử bảo mật theo kiểm thử bảo mật động hoặc tĩnh.
• Áp Dụng Các Loại Kiểm Thử Bảo Mật Theo Bối Cảnh Dự Án và Kỹ Thuật
  • Áp dụng các trường hợp kiểm thử bảo mật, dựa trên một phương pháp kiểm thử bảo mật đã xác định, cùng với các rủi ro bảo mật chức năng và cấu trúc đã được nhận diện.
  • Mô tả cách thực hiện kiểm thử tái chứng nhận và kiểm thử đối chiếu cho các quyền và quyền truy cập.
  • Mô tả cách kiểm tra kiểm soát quản lý danh tính và quyền truy cập.
  • Mô tả cách kiểm tra kiểm soát bảo vệ dữ liệu.
  • Mô tả cách kiểm tra công nghệ bảo vệ.

Chương 3: Quá Trình Kiểm Thử Bảo Mật

• Quá Trình Kiểm Thử Bảo Mật
  • Giải thích các hoạt động, nhiệm vụ và trách nhiệm khác nhau trong quá trình kiểm thử bảo mật.
  • Hiểu các yếu tố và đặc điểm chính của một môi trường kiểm thử bảo mật hiệu quả.
• Thiết Kế Kiểm Thử Bảo Mật
  • Đưa ra ví dụ về các bài kiểm thử bảo mật dựa trên mã nguồn của một cấp độ kiểm thử thành phần.
  • Đưa ra ví dụ về các bài kiểm thử bảo mật dựa trên các đặc tả thiết kế ở cấp độ tích hợp thành phần.
  • Thực hiện một bài kiểm thử bảo mật toàn diện kiểm tra một hoặc nhiều yêu cầu bảo mật liên quan đến một hoặc nhiều quy trình kinh doanh.

Chương 4: Tiêu Chuẩn và Thực Hành Tốt Nhất

• Giới Thiệu về Tiêu Chuẩn và Thực Hành Tốt Nhất
  • Giải thích các nguồn tiêu chuẩn kiểm thử và thực hành tốt nhất và sự áp dụng của chúng.
• Áp Dụng Các Tiêu Chuẩn và Thực Hành Tốt Nhất cho Kiểm Thử Bảo Mật
  • Áp dụng các khái niệm của OWASP, CVE, và CVSS và học cách tận dụng chúng cho kiểm thử bảo mật.
• Tận Dụng Tiêu Chuẩn và Thực Hành Tốt Nhất
  • Giải thích các ưu và nhược điểm của việc sử dụng oracle kiểm thử trong kiểm thử bảo mật.
  • Hiểu các ưu và nhược điểm khi sử dụng các thực hành và tiêu chuẩn bảo mật tốt nhất.

Chương 5: Điều Chỉnh Theo Bối Cảnh Tổ Chức

• Tác Động Của Cấu Trúc Tổ Chức trong Kiểm Thử Bảo Mật
  • Phân tích một bối cảnh tổ chức và xác định những yếu tố cần xem xét cho kiểm thử bảo mật.
• Tác Động của Quy Định Đối Với Chính Sách Bảo Mật và Cách Kiểm Thử Chúng
  • Phân tích tác động của các quy định đối với chính sách bảo mật và cách kiểm thử chúng.
• Phân Tích Kịch Bản Tấn Công
  • Phân tích một kịch bản tấn công (tấn công đã thực hiện và phát hiện) và xác định các nguồn và động cơ có thể có của cuộc tấn công.

Chương 6: Điều Chỉnh Theo Các Mô Hình Quá Trình Phát Triển Phần Mềm

• Tác Động Của Các Mô Hình Quá Trình Phát Triển Phần Mềm Khác Nhau
  • Tóm tắt lý do tại sao các hoạt động kiểm thử bảo mật cần bao phủ toàn bộ chu trình phát triển phần mềm.
  • Phân tích cách các mô hình phát triển hệ thống khác nhau ảnh hưởng đến các hoạt động kiểm thử bảo mật.
• Kiểm Thử Bảo Mật Trong Bảo Trì
  • Định nghĩa và thực hiện kiểm thử bảo mật hồi quy và kiểm thử xác nhận dựa trên thay đổi của hệ thống.
  • Phân tích kết quả kiểm thử bảo mật để xác định bản chất của lỗ hổng bảo mật và tác động kỹ thuật tiềm ẩn của nó.

Chương 7: Kiểm Thử Bảo Mật như Một Phần Của Hệ Thống Quản Lý Bảo Mật Thông Tin (ISMS)

• Tiêu Chí Chấp Nhận Kiểm Thử Bảo Mật
  • Hiểu các tiêu chí chấp nhận kiểm thử bảo mật và cách chúng ảnh hưởng đến việc chọn lựa các phương pháp và kỹ thuật kiểm thử bảo mật.
• Hệ Thống Quản Lý Bảo Mật Thông Tin
  • Hiểu vai trò của kiểm thử bảo mật trong một hệ thống quản lý bảo mật thông tin hiệu quả.
• Cải Thiện ISMS Thông Qua Kiểm Thử Bảo Mật Điều Chỉnh
  • Đánh giá mức độ trưởng thành của ISMS thông qua việc áp dụng các phương pháp kiểm thử khác nhau, các đối tượng kiểm thử mới, hoặc cải thiện độ bao phủ.
  • Hiểu khả năng đo lường trong một ISMS.

Chương 8: Báo Cáo Kết Quả Kiểm Thử

• Báo Cáo Kiểm Thử Bảo Mật
  • Hiểu tính quan trọng của kết quả kiểm thử bảo mật và cách điều này ảnh hưởng đến việc xử lý và truyền đạt chúng.
• Xác Định và Phân Tích Lỗ Hổng
  • Đánh giá kết quả từ một bài kiểm thử bảo mật để xác định các lỗ hổng bảo mật.
• Đóng Các Lỗ Hổng
  • Đánh giá các kỹ thuật khác nhau để đóng các lỗ hổng bảo mật đã xác định.

Chương 9: Công Cụ Kiểm Thử Bảo Mật

• Phân Loại Các Công Cụ Kiểm Thử Bảo Mật
  • Phân tích các tình huống sử dụng khác nhau và áp dụng phân loại cho các công cụ kiểm thử bảo mật.
• Chọn Lựa Công Cụ Kiểm Thử Bảo Mật
• Hiểu cách sử dụng và khái niệm về công cụ kiểm thử bảo mật động.
• Hiểu cách sử dụng và khái niệm về công cụ kiểm thử bảo mật tĩnh.