آموزش CompTIA Advanced Security Practitioner (CASP+) (CAS-004) Cert Prep

سرفصل ها و درس ها

معرفی Introduction

• خوش آمدی Welcome

• در مورد امتحان About the exam

1. ایمن سازی شبکه ها 1. Securing Networks

• فایروال ها Firewalls

• ارتباطات یکپارچه Unified communication

• بی سیم و مشبک Wireless and mesh

• Cloud در مقابل داخل محل Cloud vs. on-premises

• دروازه ها Gateways

• پروکسی ها Proxies

• روترها Routers

• IDS و IPS IDS and IPS

• کنترل دسترسی به شبکه Network access control

• سوئیچ ها Switches

• دسترسی از راه دور Remote access

• متعادل کننده بار Load balancer

• ایمن سازی شبکه ها Securing networks

• DNSSEC DNSSEC

2. ایمن سازی معماری ها 2. Securing Architectures

• تقسیم بندی سرور Server segmentation

• آینه سازی ترافیک Traffic mirroring

• ایمن سازی معماری ها Securing architectures

• اعتماد صفر Zero trust

• حسگرهای شبکه Network sensors

• تقسیم بندی شبکه Network segmentation

• تقسیم بندی لایه 2 Layer 2 segmentation

• شبکه های نرم افزاری تعریف شده Software-defined networking

• ادغام شبکه ها Merging networks

• سنسورهای میزبان Host sensors

3. طراحی زیرساخت 3. Infrastructure Design

• کانتینرسازی Containerization

• مسائل تاب آوری Resiliency issues

• طراحی عملکرد Performance design

• اتوماسیون Automation

• مقیاس پذیری Scalability

• طراحی زیرساخت Infrastructure design

• مجازی سازی Virtualization

4. ابر و مجازی سازی 4. Cloud and Virtualization

• گسترش کنترل ها Extending controls

• فضای ابری و مجازی سازی Cloud and virtualization

• ملاحظات استقرار Deployment considerations

• مدل های ذخیره سازی Storage models

• مدل های خدمات ابری Cloud service models

• تامین و محرومیت Provisioning and deprovision

• محدودیت های ارائه دهنده Provider limitations

• مجازی سازی Virtualization

• مدل های استقرار ابری Cloud deployment models

5. نرم افزارهای کاربردی 5. Software Applications

• خطوط پایه و الگوها Baselines and templates

• چرخه عمر توسعه نرم افزار Software development lifecycle

• بیمه نرم افزار Software assurance

• بهترین شیوه ها Best practices

• نرم افزارهای کاربردی Software applications

• یکپارچه سازی برنامه های کاربردی Integrating applications

• چرخه عمر توسعه سیستم ها Systems development lifecycle

• رویکردهای توسعه Development approaches

6. امنیت داده ها 6. Data Security

• طبقه بندی داده ها Data classification

• پیشگیری از از دست دادن داده ها (DLP) Data loss prevention (DLP)

• شناسایی هویت Deidentification

• رمزگذاری داده ها Data encryption

• برچسب گذاری و برچسب گذاری Labeling and tagging

• تشخیص DLP DLP detection

• چرخه عمر داده Data lifecycle

• تشخیص از دست دادن داده ها Data loss detection

• امنیت داده ها Data security

7. احراز هویت و مجوز 7. Authentication and Authorization

• پروتکل های احراز هویت Authentication protocols

• احراز هویت و مجوز Authentication and authorization

• ریشه اعتماد Root of trust

• فدراسیون Federation

• تصدیق Attestation

• کنترل دسترسی Access control

• احراز هویت چند عاملی Multifactor authentication

• اثبات هویت Identity proofing

• سیاست های رمز عبور Password policies

• مدیریت اعتبار Credential management

8. رمزنگاری 8. Cryptography

• رمزنگاری Cryptography

• تمامیت Integrity

• موارد استفاده از PKI PKI use cases

• حریم خصوصی و محرمانه بودن Privacy and confidentiality

• انطباق و سیاست Compliance and policy

• حالت های داده Data states

• موارد استفاده رمزنگاری Cryptographic use cases

9. فناوری نوظهور 9. Emerging Technology

• یادگیری عمیق Deep learning

• تکنولوژی در حال ظهور Emerging technology

• پرینت سه بعدی 3D printing

• اطلاعات بزرگ Big data

• هوش مصنوعی و یادگیری ماشینی Artificial intelligence and machine learning

• اجماع توزیع شده توسط بلاک چین Blockchain distributed consensus

• واقعیت مجازی و افزوده Virtual and augmented reality

• احراز هویت بدون رمز عبور Passwordless authentication

• محاسبات کوانتومی Quantum computing

• رمزگذاری هممورفیک Homomorphic encryption

10. مدیریت تهدید و آسیب پذیری 10. Threat and Vulnerability Management

• هوش تهدید Threat intelligence

• تهدید بازیگران Threat actors

• شکار تهدید Threat hunting

• پروتکل اتوماسیون محتوای امنیتی Security Content Automation Protocol

• فعالیت های مدیریت آسیب پذیری Vulnerability management activities

• مجموعه اطلاعات Intelligence collection

• مدیریت تهدید و آسیب پذیری Threat and vulnerability management

• چارچوب های مدیریت تهدید Threat management frameworks

11. ارزیابی آسیب پذیری 11. Vulnerability Assessments

• تجزیه و تحلیل کد Code analysis

• تجزیه و تحلیل پروتکل Protocol analysis

• تست نفوذ Penetration test

• ارزیابی های آسیب پذیری Vulnerability assessments

• الزامات آزمون قلم Pen test requirements

• مراحل تست قلم Pen test steps

• ابزارهای تجزیه و تحلیل Analysis utilities

12. کاهش ریسک 12. Risk Reduction

• تجزیه و تحلیل داده های امنیتی Security data analytics

• کنترل های پیشگیرانه Preventative controls

• کنترل های برنامه Application controls

• اتوماسیون امنیتی Security automation

• کاهش خطر Risk reduction

• فناوری های فریبنده Deceptive technologies

• امنیت فیزیکی Physical security

13. تجزیه و تحلیل آسیب پذیری ها 13. Analyzing Vulnerabilities

• شرایط مسابقه Race conditions

• احراز هویت و مراجع Authentication and references

• ترکیب نرم افزار Software composition

• بافر سرریز می شود Buffer overflows

• رمزها و گواهینامه ها Ciphers and certificates

• تجزیه و تحلیل آسیب پذیری ها Analyzing vulnerabilities

• هدرهای نامناسب Improper headers

• برنامه های وب آسیب پذیر Vulnerable web applications

14. حمله به آسیب پذیری ها 14. Attacking Vulnerabilities

• حمله به نقاط ضعف Attacking vulnerabilities

• جعل درخواست بین سایتی (CSRF) Cross-site request forgery (CSRF)

• اسکریپت بین سایتی (XSS) Cross-Site Scripting (XSS)

• سایر حملات تزریقی Other injection attacks

• حملات VM VM attacks

• دور زدن احراز هویت Authentication bypass

• پیمایش دایرکتوری Directory traversals

• مهندسی اجتماعی Social engineering

• تزریق XML XML injections

• تزریق SQL SQL injections

• حملات شبکه Network Attacks

15. شاخص های سازش 15. Indicators of Compromise

• شاخص های سازش Indicators of compromise

• سیاههها Logs

• انواع IoC Types of IoCs

• NetFlow NetFlow

• پاسخ به IoC ها Response to IoCs

• فایل های PCAP PCAP files

• اعلان های IoC IoC notifications

16. واکنش به حادثه 16. Incident Response

• طرح ارتباطی Communication plan

• فرآیند واکنش به حادثه Incident response process

• تریاژ Triage

• مدیریت ذینفعان Stakeholder management

• کتاب های بازی Playbooks

• پاسخ حادثه Incident response

17. پزشکی قانونی دیجیتال 17. Digital Forensics

• پزشکی قانونی دیجیتال Digital forensics

• زنجیره ای از بازداشت Chain of custody

• ترتیب نوسانات Order of volatility

• روند پزشکی قانونی Forensic process

• تجزیه و تحلیل پزشکی قانونی Forensic analysis

18. ابزارهای پزشکی قانونی دیجیتال 18. Digital Forensic Tools

• ابزارهای تصویربرداری Imaging tools

• ابزار حکاکی فایل File carving tools

• ابزارهای دیجیتال پزشکی قانونی Digital forensic tools

• ابزار جمع آوری Collection tools

• ایستگاه های کاری پزشکی قانونی Forensic workstations

• ابزارهای تجزیه و تحلیل پزشکی قانونی Forensic analysis tools

• ابزارهای تجزیه و تحلیل باینری Binary analysis tools

19. تحرک سازمانی 19. Enterprise Mobility

• تنظیمات امنیتی Security configurations

• تحرک سازمانی Enterprise mobility

• گزینه های اتصال Connectivity options

• مدیریت تحرک سازمانی Enterprise mobility management

• حفاظت از DNS DNS protection

• WPA3 WPA3

• گزینه های استقرار Deployment options

• امنیت موبایل Mobile security

• نگرانی های شناسایی Reconnaissance concerns

20. کنترل های امنیتی نقطه پایانی 20. Endpoint Security Controls

• محافظت از نقطه پایانی Endpoint protections

• سخت شدن دستگاه Device hardening

• کنترل های امنیتی نقطه پایانی Endpoint security controls

• تنظیمات امنیتی Security settings

• رمزگذاری سخت افزاری Hardware encryption

• بوت ایمن Secure boot

• ثبت و نظارت Logging and monitoring

• کنترل های دسترسی اجباری (MAC) Mandatory access controls (MAC)

• وصله زدن Patching

• تاب آوری Resiliency

21. فناوری های ابری 21. Cloud Technologies

• تداوم کسب و کار و بازیابی فاجعه Business continuity and disaster recovery

• محاسبات بدون سرور Serverless computing

• شبکه های نرم افزاری تعریف شده (SDN) Software-defined networking (SDN)

• رمزگذاری ابری Cloud encryption

• کارگزار امنیت برنامه های ابری Cloud application security broker

• تنظیمات نادرست ابر Cloud misconfigurations

• فناوری های ابری Cloud technologies

• جمع آوری و تجزیه و تحلیل گزارش Log collection and analysis

22. فن آوری های عملیاتی 22. Operational Technologies

• فناوری های عملیاتی Operational technologies

• ICS و SCADA ICS and SCADA

• پروتکل های ICS ICS protocols

• صنایع و بخش ها Industries and sectors

• سیستم های جاسازی شده Embedded systems

23. الگوریتم های هش و متقارن 23. Hashing and Symmetric Algorithms

• مسدود کردن رمزها Block ciphers

• الگوریتم های متقارن Symmetric algorithms

• رمزهای جریانی Stream ciphers

• هش کردن Hashing

• الگوریتم های هش و متقارن Hashing and symmetric algorithms

• احراز هویت پیام Message authentication

24. الگوریتم های نامتقارن 24. Asymmetric Algorithms

• کشش کلید Key stretching

• EAP EAP

• الگوریتم های نامتقارن Asymmetric algorithms

• مجموعه های SSL، TLS و رمزگذاری SSL, TLS, and cipher suites

• استفاده از الگوریتم های نامتقارن Using asymmetric algorithms

• S/MIME و SSH S/MIME and SSH

• رمزگذاری تأیید شده با داده های مرتبط (AEAD) Authenticated encryption with associated data (AEAD)

• IPSec IPSec

• رمزنگاری منحنی بیضوی (ECC) Elliptic curve cryptography (ECC)

• محرمانه جلو Forward secrecy

25. زیرساخت کلید عمومی 25. Public Key Infrastructure

• گواهی های دیجیتال Digital certificates

• مدل های اعتماد Trust models

• زیرساخت کلید عمومی Public key infrastructure

• استفاده از گواهینامه های دیجیتال Using digital certificates

• مدیریت گواهی Certificate management

• کلیدهای عیب یابی Troubleshooting keys

• اعتبار گواهی: CRL و OCSP Certificate validity: CRL and OCSP

• اجزای PKI PKI components

• گواهی عیب یابی Troubleshooting certificates

• محافظت از ترافیک وب Protecting web traffic

26. ملاحظات داده 26. Data Considerations

• حاکمیت داده ها Data sovereignty

• طبقه بندی داده ها Data classification

• انواع داده ها Data types

• تخریب داده ها Data destruction

• امنیت داده ها Data security

• ملاحظات داده Data considerations

• مالکیت داده ها Data ownership

• نگهداری داده ها Data retention

27. مدیریت ریسک 27. Risk Management

• ردیابی ریسک Risk tracking

• انواع ریسک Risk types

• زمانی که مدیریت ریسک شکست می خورد When risk management fails

• مدیریت ریسک Risk management

• ارزیابی ریسک Risk assessment

• مدیریت ریسک Risk handling

• استراتژی های ریسک Risk strategies

• چرخه حیات مدیریت ریسک Risk management lifecycle

28. سیاست ها و چارچوب ها 28. Policies and Frameworks

• ملاحظات حقوقی Legal considerations

• سیاست های Policies

• چارچوب ها Frameworks

• آئین نامه Regulations

• قراردادها و قراردادها Contracts and agreements

• یکپارچه سازی صنایع Integrating industries

• استانداردها Standards

• سیاست ها و چارچوب ها Policies and frameworks

29. تداوم کسب و کار 29. Business Continuity

• تداوم کسب و کار Business continuity

• تحلیل تاثیر کسب و کار Business impact analysis

• طرح واکنش به حوادث Incident response plan

• تجزیه و تحلیل تأثیر حریم خصوصی Privacy impact analysis

• طرح تداوم کسب و کار Business continuity plan

• طرح های تست Testing plans

30. استراتژی های ریسک 30. Risk Strategies

• استراتژی های ریسک Risk strategies

• برنامه ریزی سناریو Scenario planning

• ارزش دارایی Asset value

• تجمیع ریسک Aggregating risk

• هزینه نقض داده ها Cost of a data breach

• کنترل های امنیتی Security controls

• کنترل دسترسی Access control

• راه حل های امنیتی Security solutions

31. ریسک فروشنده 31. Vendor Risk

• تغییرات سازمانی Organizational changes

• ملاحظات Considerations

• وابستگی ها Dependencies

• مدل های کسب و کار Business models

• مدل مسئولیت مشترک Shared responsibility model

• ریسک فروشنده Vendor risk

• دوام و پشتیبانی Viability and support

• زنجیره تامین Supply chain

• تأثیر می گذارد Influences