ISTQB CT-SEC

ISTQB® CT - Security Tester

Mô tả

Chứng chỉ ISTQB® CT - Security Tester dành cho các chuyên gia phần mềm đã có chứng chỉ ISTQB® Foundation và mong muốn có cái nhìn sâu hơn về kiểm thử phần mềm để trở thành Chuyên gia Kiểm thử An ninh (Security Tester).

Chứng chỉ Security Tester nhắm đến những người đã đạt đến một mức độ nâng cao trong sự nghiệp kiểm thử phần mềm và muốn phát triển thêm chuyên môn trong kiểm thử an ninh.

Chương 1: Cơ sở của kiểm thử an ninh

Chương 2: Mục đích, Mục tiêu và chiến lược kiểm thử an ninh

Chương 3: Quy trình kiểm thử an ninh

Chương 4: Kiểm thử an ninh trong suốt vòng đời phần mềm

Chương 5: Kiểm thử các cơ chế an ninh

Chương 6: Các yếu tố con người trong kiểm thử an ninh

Chương 7: Đánh giá và báo cáo kiểm thử an ninh

Chương 8: Công cụ kiểm thử an ninh

Chương 9: Tiêu chuẩn và xu hướng ngành

 

Mục tiêu đạt được sau khi học

Vượt qua cấp độ này chứng tỏ ứng viên có khả năng:

  • Hiểu vai trò của đánh giá rủi ro trong việc cung cấp thông tin cho việc lập kế hoạch và thiết kế kiểm thử an ninh, cũng như việc đồng bộ kiểm thử an ninh với nhu cầu của doanh nghiệp.
  • Xác định tài sản quan trọng cần bảo vệ, giá trị của từng tài sản và dữ liệu cần thiết để đánh giá mức độ bảo mật cần thiết cho mỗi tài sản.
  • Phân tích việc sử dụng hiệu quả các kỹ thuật đánh giá rủi ro trong một tình huống cụ thể để xác định các mối đe dọa an ninh hiện tại và tương lai.
  • Hiểu khái niệm về các chính sách và quy trình an ninh và cách chúng được áp dụng trong hệ thống thông tin.
  • Phân tích một bộ các chính sách và quy trình an ninh cùng với kết quả kiểm thử an ninh để xác định tính hiệu quả.
  • Hiểu mục đích của một cuộc kiểm toán an ninh.
  • Hiểu tại sao kiểm thử an ninh lại cần thiết trong một tổ chức, bao gồm các lợi ích như giảm rủi ro và tăng cường sự tự tin và uy tín.
  • Hiểu cách các yếu tố thực tế của dự án, các ràng buộc kinh doanh, vòng đời phát triển phần mềm và các yếu tố khác ảnh hưởng đến sứ mệnh của đội ngũ kiểm thử an ninh.
  • Giải thích tại sao các mục tiêu và mục đích của kiểm thử an ninh phải phù hợp với chính sách an ninh của tổ chức và các mục tiêu kiểm thử khác trong tổ chức.
  • Đối với một tình huống dự án cụ thể, thể hiện khả năng xác định mục tiêu kiểm thử an ninh dựa trên tính năng, thuộc tính công nghệ và các lỗ hổng đã biết.
  • Hiểu mối quan hệ giữa bảo mật thông tin và kiểm thử an ninh.
  • Đối với một dự án cụ thể, thể hiện khả năng xác định mối quan hệ giữa mục tiêu kiểm thử an ninh và yêu cầu độ mạnh của tính toàn vẹn của các tài sản kỹ thuật số và vật lý nhạy cảm.
  • Phân tích một tình huống cụ thể và xác định các phương pháp kiểm thử an ninh nào có khả năng thành công nhất.
  • Phân tích một tình huống trong đó một phương pháp kiểm thử an ninh đã thất bại, xác định nguyên nhân có thể gây ra sự thất bại.
  • Đối với một tình huống cụ thể, thể hiện khả năng xác định các bên liên quan khác nhau và minh họa lợi ích của kiểm thử an ninh đối với từng nhóm bên liên quan.
  • Phân tích KPIs (chỉ số hiệu suất chính) để xác định các thực hành kiểm thử an ninh cần cải thiện và các yếu tố không cần cải thiện.
  • Đối với một dự án cụ thể, thể hiện khả năng xác định các yếu tố của một quy trình kiểm thử an ninh hiệu quả.
  • Phân tích một kế hoạch kiểm thử an ninh cụ thể, đưa ra phản hồi về điểm mạnh và điểm yếu của kế hoạch.
  • Đối với một dự án cụ thể, triển khai các bài kiểm thử an ninh khái niệm (trừu tượng), dựa trên phương pháp kiểm thử an ninh đã cho, cùng với các rủi ro an ninh chức năng và cấu trúc đã xác định.
  • Triển khai các trường hợp kiểm thử để xác thực các chính sách và quy trình an ninh.
  • Hiểu các yếu tố và đặc điểm chính của một môi trường kiểm thử an ninh hiệu quả.
  • Hiểu tầm quan trọng của việc lập kế hoạch và nhận sự phê duyệt trước khi thực hiện bất kỳ kiểm thử an ninh nào.
  • Phân tích kết quả kiểm thử an ninh để xác định:
    • Tính chất của lỗ hổng bảo mật
    • Phạm vi của lỗ hổng bảo mật
    • Tác động tiềm tàng của lỗ hổng bảo mật
    • Đề xuất biện pháp khắc phục
  • Hiểu tầm quan trọng của việc duy trì quy trình kiểm thử an ninh khi công nghệ và mối đe dọa thay đổi.
  • Giải thích tại sao bảo mật được thực hiện tốt nhất trong một quy trình vòng đời.
  • Triển khai các hoạt động liên quan đến bảo mật phù hợp cho một vòng đời phần mềm cụ thể (ví dụ: lặp đi lặp lại, tuần tự).
  • Phân tích một bộ yêu cầu từ góc độ bảo mật để xác định các thiếu sót.
  • Phân tích một tài liệu thiết kế từ góc độ bảo mật để xác định các thiếu sót.
  • Hiểu vai trò của kiểm thử an ninh trong khi kiểm thử thành phần.
  • Triển khai kiểm thử an ninh cấp thành phần (trừu tượng) dựa trên đặc tả mã hóa đã định nghĩa.
  • Phân tích kết quả từ một bài kiểm thử cấp thành phần để xác định sự đầy đủ của mã từ góc độ bảo mật.
  • Hiểu vai trò của kiểm thử an ninh trong khi kiểm thử tích hợp thành phần.
  • Triển khai kiểm thử an ninh tích hợp thành phần (trừu tượng) dựa trên đặc tả hệ thống đã định nghĩa.
  • Triển khai một kịch bản kiểm thử đầu cuối cho kiểm thử an ninh, xác minh một hoặc nhiều yêu cầu an ninh đã cho và kiểm thử một quy trình chức năng đã mô tả.
  • Thể hiện khả năng xác định một bộ tiêu chí chấp nhận cho các khía cạnh bảo mật của một bài kiểm thử chấp nhận cụ thể.
  • Triển khai một phương pháp kiểm thử lại/kiểm thử hồi quy an ninh đầu cuối dựa trên một kịch bản đã cho.
  • Hiểu khái niệm của việc cứng hóa hệ thống và vai trò của nó trong việc nâng cao bảo mật AS-5.1.2 (K3). Thể hiện cách kiểm thử hiệu quả của các cơ chế cứng hóa hệ thống phổ biến.
  • Hiểu mối quan hệ giữa xác thực và ủy quyền và cách chúng được áp dụng trong việc bảo mật các hệ thống thông tin.
  • Thể hiện cách kiểm thử hiệu quả của các cơ chế xác thực và ủy quyền phổ biến.
  • Hiểu khái niệm mã hóa và cách nó được áp dụng trong việc bảo mật các hệ thống thông tin.
  • Thể hiện cách kiểm thử hiệu quả của các cơ chế mã hóa phổ biến.
  • Hiểu khái niệm tường lửa và sử dụng các khu vực mạng và cách chúng được áp dụng trong việc bảo mật các hệ thống thông tin.
  • Thể hiện cách kiểm thử hiệu quả của các triển khai tường lửa và khu vực mạng hiện có.
  • Hiểu khái niệm công cụ phát hiện xâm nhập và cách chúng được áp dụng trong việc bảo mật các hệ thống thông tin.
  • Thể hiện cách kiểm thử hiệu quả của các triển khai công cụ phát hiện xâm nhập hiện có.
  • Hiểu khái niệm công cụ quét phần mềm độc hại và cách chúng được áp dụng trong việc bảo mật các hệ thống thông tin.
  • Thể hiện cách kiểm thử hiệu quả của các triển khai công cụ quét phần mềm độc hại hiện có.
  • Hiểu khái niệm công cụ làm mờ dữ liệu và cách chúng được áp dụng trong việc bảo mật các hệ thống thông tin.
  • Thể hiện cách kiểm thử hiệu quả của các phương pháp làm mờ dữ liệu.
  • Hiểu khái niệm đào tạo bảo mật như một hoạt động vòng đời phần mềm và tại sao nó cần thiết trong việc bảo mật các hệ thống thông tin.
  • Thể hiện cách kiểm thử hiệu quả của đào tạo bảo mật.
  • Giải thích cách hành vi con người có thể dẫn đến các rủi ro bảo mật và cách nó ảnh hưởng đến hiệu quả của kiểm thử an ninh.
  • Đối với một tình huống cụ thể, thể hiện khả năng xác định các cách mà kẻ tấn công có thể phát hiện thông tin quan trọng về một mục tiêu và áp dụng các biện pháp bảo vệ môi trường.
  • Giải thích các động cơ và nguồn gốc phổ biến để thực hiện các cuộc tấn công hệ thống máy tính (K4). Phân tích một tình huống tấn công (cuộc tấn công được thực hiện và phát hiện) và xác định các nguồn và động cơ có thể của cuộc tấn công.
  • Giải thích cách các biện pháp phòng thủ bảo mật có thể bị tấn công thông qua kỹ thuật tấn công xã hội.
  • Hiểu tầm quan trọng của nhận thức bảo mật trong toàn tổ chức.
  • Đưa ra các hành động thích hợp để tăng cường nhận thức bảo mật dựa trên kết quả kiểm thử.
  • Hiểu sự cần thiết phải sửa đổi kỳ vọng và tiêu chí chấp nhận bảo mật khi phạm vi và mục tiêu của một dự án thay đổi.
  • Hiểu tầm quan trọng của việc giữ kết quả kiểm thử bảo mật bí mật và an toàn.
  • Hiểu sự cần thiết phải tạo ra các kiểm soát thích hợp và cơ chế thu thập dữ liệu để cung cấp dữ liệu nguồn cho báo cáo tình trạng kiểm thử bảo mật một cách kịp thời, chính xác và rõ ràng (ví dụ: bảng điều khiển kiểm thử bảo mật).
  • Phân tích một báo cáo tình trạng kiểm thử bảo mật tạm thời để xác định mức độ chính xác, khả năng hiểu và phù hợp với các bên liên quan.
  • Giải thích vai trò của công cụ phân tích tĩnh và động trong kiểm thử bảo mật.
  • Phân tích và tài liệu hóa nhu cầu kiểm thử bảo mật cần được giải quyết bởi một hoặc nhiều công cụ (K2). Hiểu các vấn đề với công cụ mã nguồn mở.
  • Hiểu sự cần thiết phải đánh giá khả năng của nhà cung cấp để cập nhật công cụ thường xuyên để bắt kịp với các mối đe dọa bảo mật.

 

Đối tượng mục tiêu

Những người kiểm thử, nhà phân tích kiểm thử, kỹ sư kiểm thử, tư vấn viên kiểm thử, và lập trình viên phần mềm.

Yêu cầu

  • Đã vượt qua kỳ thi chứng chỉ ISTQB® CTFL Certification thành công và sở hữu chứng chỉ.
  • Kinh nghiệm làm việc liên quan đủ trong ngành kiểm thử phần mềm, ít nhất 18 tháng.

Tải xuống giáo trình cho chứng nhận này hoặc xem các bài kiểm tra mẫu.

Đi đến tài liệu

The global exam price vary depending on the certification and your geographical location.

Book your Certification Exam

brightest private exams

Brightest Private

Exam

Electronic exams for individuals administered by a Pearson VUE expert in real time via webcam (now also available for ISTQB).

brightest-center-exam

Brightest Center

Exam

Electronic exam for individuals at any of the 5200+ Test Centres with easy registration via the Pearson VUE website.

Register now!
brightest green exam

Brightest Green

Exam

Electronic group exams of at least 6 participants in six different languages, anywhere in the world.

brightest paper exam

Brightest Paper

Exam

The classic exam experience for groups of at least 6 participants in a growing number of languages.

Contact us