آمادگی آزمون CISSP 2026: دوره جامع آموزشی + 40 واحد CPE - آخرین آپدیت

سرفصل ها و درس ها

مدیریت امنیت و ریسک Security and Risk Management

• معرفی دوره و مدرس Course and Trainer Intro

• کد اخلاق (ISC)2 (ISC)² Code of Ethics

• مسئولیت‌های حرفه‌ای و اخلاق سازمانی Professional Responsibilities and Organizational Ethics

• دانلود متریال دوره، راهنمای‌ها و تقلب‌نامه‌ها CISSP Course Material, Course Guides, and Cheat Sheets- Downloadable

• مثلث CIA: محرمانگی، یکپارچگی و در دسترس بودن The CIA Triad: Confidentiality, Integrity, and Availability

• شناسایی، احراز هویت، مجوزدهی و پاسخگویی (IAAA) Identification, Authentication, Authorization, and Accountability (IAAA)

• حاکمیت در برابر مدیریت و سلسله‌مراتب سیاست‌های امنیتی Governance vs. Management and Security Policy Hierarchy

• استانداردها، خطوط پایه، دستورالعمل‌ها و رویه‌ها Standards, Baselines, Guidelines, and Procedures

• اصطلاحات مدیریت ریسک: دارایی، تهدید و آسیب‌پذیری Risk Management Terminology: Asset, Threat, and Vulnerability

• فرمول‌های ریسک کمی: SLE, ARO, and ALE Quantitative Risk Formulas: SLE, ARO, and ALE

• تحلیل ریسک کیفی در برابر کمی Qualitative vs. Quantitative Risk Analysis

• پاسخ به ریسک: کاهش، واگذاری، پذیرش و اجتناب Risk Response: Mitigation, Assignment, Acceptance, and Avoidance

• گام‌های 1 تا 3 چارچوب مدیریت ریسک NIST (RMF) NIST Risk Management Framework (RMF) Steps 1–3

• گام‌های 4 تا 7 چارچوب مدیریت ریسک NIST (RMF) NIST Risk Management Framework (RMF) Steps 4–7

• مطالعه موردی: نشت داده‌های Capital One و تحلیل RMF Case Study: Capital One Breach and RMF Analysis

• دسته‌بندی کنترل‌های امنیتی: اداری، فنی و فیزیکی Security Control Categories: Administrative, Technical, and Physical

• انواع کنترل‌ها: پیشگیرانه، شناسایی و اصلاحی Control Types: Preventive, Detective, and Corrective

• انواع کنترل‌ها: بازیابی و بازدارنده Control Types: Recovery and Deterrent

• تست تمرینی: حاکمیت و مدیریت ریسک Practice Test: Governance and Risk Management

• مبانی برنامه‌ریزی تداوم کسب‌وکار (BCP) Business Continuity Planning (BCP) Foundations

• تحلیل اثرات کسب‌وکار (BIA) و شناسایی موارد حیاتی Business Impact Analysis (BIA) and Identifying Criticality

• درک مفاهیم MTD, RTO, RPO, and WRT Understanding MTD, RTO, RPO, and WRT

• مدیریت ریسک زنجیره تأمین (SCRM) و مطالعه موردی SolarWinds Supply Chain Risk Management (SCRM) and SolarWinds Case Study

• امنیت پرسنلی: پذیرش و بررسی سوابق Personnel Security: Onboarding and Background Checks

• چرخش شغلی و مرخصی‌های اجباری Job Rotation and Mandatory Vacations

• آگاهی امنیتی در برابر آموزش و یادگیری Security Awareness vs. Training vs. Education

• سیستم‌های حقوقی: حقوق عرفی در برابر حقوق مدنی Legal Systems: Common Law vs. Civil Law

• مالکیت معنوی: حق چاپ، اختراع و علائم تجاری Intellectual Property: Copyrights, Patents, and Trademarks

• مقررات حریم خصوصی: بررسی عمیق GDPR Privacy Regulations: GDPR Deep Dive

• مقررات حریم خصوصی: HIPAA, HITECH, GLBA, and COPPA Privacy Regulations: HIPAA, HITECH, GLBA, and COPPA

• محدودیت‌های صادرات/واردات و توافقنامه واسنار Export/Import Restrictions and The Wassenaar Arrangement

• مدیریت ریسک شخص ثالث: SLAها و MOUها Third-Party Risk Management: SLAs and MOUs

• چارچوب‌های ریسک: ISO 27001/27002 و COBIT 5a Risk Frameworks: ISO 27001/27002 and COBIT 5a

• مدل‌سازی تهدید: STRIDE, PASTA, and VAST Threat Modeling: STRIDE, PASTA, and VAST

• درخت‌های حمله و تحلیل کاهش ریسک Attack Trees and Reduction Analysis

• مهندسی اجتماعی: فیشینگ، ویشینگ، اسمیشینگ و طعمه‌گذاری Social Engineering: Phishing, Vishing, Smishing, and Baiting

• مهندسی اجتماعی فیزیکی: Tailgating و Piggybacking Physical Social Engineering: Tailgating and Piggybacking

• توسعه و نگهداری برنامه بازیابی از فاجعه (DRP) Disaster Recovery Plan (DRP) Development and Maintenance

• مراقبت لازم (Due Care) در برابر دقت لازم (Due Diligence) Due Care vs. Due Diligence

• کمیته‌های حاکمیت امنیتی و ریسک ادغام و تملک (M&A) Security Governance Committees and M&A Risk

• بیمه سایبری و ارزیابی کنترل‌های امنیتی (SCA) Cyber Insurance and Security Control Assessment (SCA)

• مانیتورینگ ریسک، گزارش‌دهی و مانیتورینگ مستمر (ConMon) Risk Monitoring, Reporting, and Continuous Monitoring (ConMon)

• مدیریت دفتر ثبت ریسک (Risk Register) Managing the Risk Register

• شناسایی بازیگران تهدید و زنجیره کشتار سایبری (Cyber Kill Chain) Threat Actor Identification and The Cyber Kill Chain

• مبانی چارچوب MITRE ATT&CK MITRE ATT&CK Framework Basics

• مدیریت بحران و پاسخ اضطراری Crisis Management and Emergency Response

• سیاست‌های امنیتی دورکاری و تل‌کامیوتیشن Remote Work and Telecommuting Security Policies

• ساختار و معیارهای تیم پاسخ به حوادث (IRT) Incident Response Team (IRT) Structure and Metrics

• ارزیابی اثرات حریم خصوصی (PIA) و نقش DPO Privacy Impact Assessments (PIA) and the DPO Role

• مطالعه موردی: نشت داده‌های Uber (اخلاق و گزارش‌دهی) Case Study: The Uber Breach (Ethics and Reporting)

• مطالعه موردی: باج‌افزار NotPetya و شکست BCP Case Study: NotPetya Ransomware and BCP Failure

• خلاصه دامنه 1 و آزمون تمرینی نهایی Domain 1 Summary and Final Practice Exam

• ارائه توجیهات امنیتی بر اساس ALE به مدیر مالی (CFO) Presenting ALE-Based Security Justifications to the CFO

امنیت دارایی‌ها Asset Security

• شناسایی و طبقه‌بندی اطلاعات Information Identification and Classification

• حساسیت داده‌ها در برابر حیاتی بودن داده‌ها Data Sensitivity vs. Data Criticality

• سطوح طبقه‌بندی در بخش‌های دولتی و خصوصی Government and Private Sector Classification Levels

• مطالعه موردی: ویکی‌لیکس و افشای غیرمجاز Case Study: WikiLeaks and Unauthorized Disclosure

• حالات داده‌ها: در حال استراحت، در حال انتقال و در حال استفاده Data States: At Rest, In Transit, and In Use

• نقش‌های سیاست داده: مالک، متولی و کاربر Data Policy Roles: Owner, Custodian, and User

• جلوگیری از نشت داده‌ها (DLP) و سیاست‌های نگهداری Data Loss Prevention (DLP) and Retention Policies

• امحای امن: Clearing, Purging, and Degaussing Secure Disposal: Clearing, Purging, and Degaussing

• ابزارهای مدیریت و موجودی دارایی‌ها Asset Inventory and Management Tools

• باقیمانده داده‌ها و چالش‌های پاکسازی SSD Data Remanence and SSD Sanitization Challenges

• مالکان داده در برابر کنترل‌کنندگان داده (GDPR) Data Owners vs. Data Controllers (GDPR)

• محافظت از رسانه‌های فیزیکی و استانداردهای برچسب‌گذاری Protecting Physical Media and Labeling Standards

• مدیریت چرخه عمر دارایی (ALM) Asset Lifecycle Management (ALM)

• ذخیره‌سازی داده‌های ابری و DRM Cloud Data Storage and DRM

• قطعه‌بندی پایگاه داده (Sharding) و امنیت کلان‌داده‌ها Database Sharding and Big Data Security

• شناسایی و کشف PII, PHI, and IP PII, PHI, and IP Identification and Discovery

• ناشناس‌سازی، نام مستعارسازی و توکنایزه کردن Anonymization, Pseudonymization, and Tokenization

• مبانی Legal Hold و کشف الکترونیکی (E Discovery) Legal Hold and E-Discovery Basics

• رمزنگاری ذخیره‌سازی و امنیت نسخه‌های پشتیبان نوار Storage Encryption and Tape Backup Security

• حاکمیت داده‌ها و توافق‌نامه‌های داده شخص ثالث Data Sovereignty and Third-Party Data Agreements

• تخریب سخت‌افزاری دارایی‌ها و کنترل‌های محیطی Hardware Asset Destruction and Environmental Controls

• تست تمرینی: طبقه‌بندی و نگهداری داده‌ها Practice Test: Data Classification and Retention

• مطالعه موردی: نشت داده‌های Morgan Stanley Case Study: Morgan Stanley Data Leak

• مرور دامنه 2 و آزمون تمرینی Domain 2 Review and Practice Exam

• رهبری کشف و حفاظت از دارایی‌ها در تحول دیجیتال Leading Asset Discovery and Protection During Digital Transformation

معماری و مهندسی امنیت Security Architecture and Engineering

• طراحی امن: دفاع در عمق و Fail Safe/Secure Secure Design: Defense in Depth and Fail-Safe/Secure

• مدل‌های امنیتی: Bell LaPadula و Biba Security Models: Bell-LaPadula and Biba

• مدل‌های Clark Wilson و Brewer Nash Clark-Wilson and Brewer-Nash Models

• معیارهای مشترک (ISO 15408) Common Criteria (ISO 15408)

• محافظت از حافظه: ASLR و DEP Memory Protection: ASLR and DEP

• TPM, HSM, و ریشه اعتماد سخت‌افزاری TPM, HSM, and Hardware Root of Trust

• امنیت مجازی‌سازی و آسیب‌پذیری‌های هایپروایزر Virtualization Security and Hypervisor Vulnerabilities

• رایانش ابری: IaaS, PaaS, SaaS Cloud Computing: IaaS, PaaS, SaaS

• مسئولیت مشترک ابری و چند-مستاجری (Multi-tenancy) Cloud Shared Responsibility and Multi-tenancy

• مقدمه‌ای بر رمزنگاری و تاریخچه آن Intro to Cryptography and History

• رمزنگاری متقارن: AES و DES Symmetric Encryption: AES and DES

• رمزنگاری نامتقارن: RSA و ECC Asymmetric Encryption: RSA and ECC

• الگوریتم‌های هش: MD5, SHA 1, and SHA 256 Hashing Algorithms: MD5, SHA-1, and SHA-256

• امضاهای دیجیتال و عدم انکار (Non-repudiation) Digital Signatures and Non-repudiation

• PKI: گواهینامه‌ها، CAها و RAها PKI: Certificates, CAs, and RAs

• معماری IPsec: AH و ESP IPsec Architecture: AH and ESP

• دست‌تکانی (Handshake) و چرخه عمر TLS/SSL TLS/SSL Handshake and Lifecycle

• استگانوگرافی و واترمارکینگ Steganography and Watermarking

• انتخاب سایت و امنیت محیطی Site Selection and Perimeter Security

• حصارها، دروازه‌ها، بولاردها و نورپردازی Fencing, Gates, Bollards, and Lighting

• CCTV و آشکارسازهای حرکتی CCTV and Motion Detectors

• سیستم‌های اطفای حریق: کلاس‌های A تا K Fire Suppression: Classes A–K

• سیستم‌های اطفای حریق: لوله‌های تر، خشک و پیش‌عملکرد Fire Suppression: Wet, Dry, and Pre-action Pipes

• سخت‌سازی OS و مدیریت دستگاه‌های موبایل (MDM) OS Hardening and Mobile Device Management (MDM)

• امنیت کانتینرها و میکروسرویس‌ها Container and Microservices Security

• امنیت IoT, ICS, and SCADA IoT, ICS, and SCADA Security

• امنیت رایانش Fog, Edge, and Serverless Fog, Edge, and Serverless Computing Security

• حملات کانال جانبی (Spectre/Meltdown) Side-Channel Attacks (Spectre/Meltdown)

• رمزگشایی: حملات Brute Force و Birthday Attacks Cryptanalysis: Brute Force and Birthday Attacks

• رمزهای بلوکی در برابر رمزهای جریانی Block Ciphers vs. Stream Ciphers

• حالت‌های رمز: ECB, CBC, CTR, and GCM Cipher Modes: ECB, CBC, CTR, and GCM

• مدیریت کلید و Diffie-Hellman Key Management and Diffie-Hellman

• رمزنگاری کوانتومی و Salt/Pepper Quantum Cryptography and Salts/Pepper

• ابطال گواهینامه: CRL و OCSP Certificate Revocation: CRL and OCSP

• بوت امن، UEFI و امنیت BIOS Secure Boot, UEFI, and BIOS Security

• امنیت فیزیکی: قفل‌ها، کلیدها و Mantraps Physical Security: Locks, Keys, and Mantraps

• HVAC، برق (UPS/ژنراتورها) و نوسانات HVAC, Power (UPS/Generators), and Surges

• شیلدینگ EMR و TEMPEST EMR and TEMPEST Shielding

• حسابرسی‌ها و بررسی‌های امنیت فیزیکی Physical Security Audits and Surveys

• پردازنده‌های رمزنگاری امن و CWPP Secure Crypto-processors and CWPP

• معماری API و محوریت هویت (Identity Centric) API and Identity-Centric Architecture

• معماری پایگاه داده و ذخیره‌سازی (SAN/NAS) Database and Storage Architecture (SAN/NAS)

• تأمین سخت‌افزار امن و زنجیره تأمین Secure Hardware Procurement and Supply Chain

• امنیت معماری اپلیکیشن‌های وب Web Application Architecture Security

• امنیت در چرخه عمر سیستم Security in the System Life Cycle

• طراحی باز در برابر امنیت از طریق ابهام Open Design vs. Obscurity

• اصل کمترین امتیاز و پذیرش روان‌شناختی Principle of Least Privilege and Psychological Acceptability

• طراحی برای قابلیت حسابرسی Design for Auditability

• مطالعه موردی: معماری شبکه هوشمند و اپلیکیشن‌های مالی Case Study: Smart Grid and Finance App Architecture

• حملات مجازی‌سازی و گسترش بی‌رویه VMها Virtualization Attacks and VM Sprawl

• enclaveهای امن (Intel SGX) و Key Escrow Secure Enclaves (Intel SGX) and Key Escrow

• گواهینامه‌های دیجیتال: Wildcard در برابر Multi-domain Digital Certificates: Wildcard vs. Multi-domain

• مدیریت چرخه عمر رمزنگاری Cryptographic Lifecycle Management

• چاپ سه بعدی و یکپارچگی سخت‌افزار بیومتریک 3D Printing and Biometric Hardware Integrity

• مطالعه موردی: Stuxnet (حملات SCADA) Case Study: Stuxnet (SCADA Attacks)

• مطالعه موردی: نشت RSA (به خطر افتادن مقدار Seed) Case Study: RSA Breach (Seed Value Compromise)

• مطالعه موردی: نشت Marriott (معماری پایگاه داده) Case Study: Marriott Breach (Database Architecture)

• مطالعه موردی: Colonial Pipeline (تداوم عملیاتی) Case Study: Colonial Pipeline (Operational Continuity)

• تست تمرینی: معماری و مهندسی امنیت Practice Test: Security Architecture and Engineering

• مرور دامنه 3 و آزمون تمرینی نهایی Domain 3 Review and Final Practice Exam

• ترتیب اولویت‌ها در طراحی معماری امنیت: تعادل بین امنیت و کاربرد Addressing Priorities in Security Architecture Design: Balancing Secure vs. Usable Solutions

امنیت ارتباطات و شبکه Communication and Network Security

• مدل OSI: لایه‌های فیزیکی و پیوند داده OSI Model: Physical and Data Link Layers

• مدل OSI: لایه‌های شبکه و انتقال OSI Model: Network and Transport Layers

• مدل OSI: لایه‌های نشست، نمایش و کاربرد OSI Model: Session, Presentation, and Application Layers

• مجموعه پروتکل TCP/IP در برابر OSI TCP/IP Protocol Suite vs. OSI

• مبانی آدرس‌دهی IPv4 و Subnetting IPv4 Addressing and Subnetting Basics

• بهبودهای امنیتی در IPv6 IPv6 Security Improvements

• پورت‌ها و پروتکل‌های رایج (DNS, FTP, SSH) Common Ports and Protocols (DNS, FTP, SSH)

• توپولوژی‌های شبکه: ستاره‌ای، مش و ترکیبی Network Topologies: Star, Mesh, and Hybrid

• تست تمرینی: مدل OSI و TCP/IP Practice Test: OSI Model and TCP/IP

• امنیت بی‌سیم: WPA2 در برابر WPA3 Wireless Security: WPA2 vs. WPA3

• حملات بی‌سیم: Evil Twin و Bluejacking Wireless Attacks: Evil Twin and Bluejacking

• سخت‌افزارهای شبکه: Hubs, Bridges, and Switches Network Hardware: Hubs, Bridges, and Switches

• VLANها و ریز-بخش‌بندی (Micro-segmentation) VLANs and Micro-segmentation

• فایروال‌ها: فیلترینگ بسته و بازرسی Stateful Firewalls: Packet Filtering and Stateful Inspection

• فایروال‌ها: پروکسی‌های اپلیکیشن و WAF Firewalls: Application Proxies and WAF

• IDS در برابر IPS و امنیت SDN IDS vs. IPS and SDN Security

• CDNها و حفاظت در برابر DDoS CDNs and DDoS Protection

• دسترسی از راه دور: VPNها و SSH Remote Access: VPNs and SSH

• امنیت End-point و NAC Endpoint Security and NAC

• امنیت ARP و DHCP ARP and DHCP Security

• امنیت DNS (DNSSEC) DNS Security (DNSSEC)

• ریسک‌های امنیتی ICMP ICMP Security Risks

• انتقال امن فایل (SFTP در برابر TFTP) Secure File Transfer (SFTP vs. TFTP)

• SNMPv3 و امنیت VoIP SNMPv3 and VoIP Security

• پروتکل‌های همگرا: FCoE, iSCSI, and MPLS Converged Protocols: FCoE, iSCSI, and MPLS

• توزیع بار (Load Balancing) و Honeypotها Load Balancing and Honeypots

• Darknets, Tarpits, and DMZ Zoning Darknets, Tarpits, and DMZ Zoning

• Bastion Hosts, Jump Boxes, و انواع VPN Bastion Hosts, Jump Boxes, and VPN Types

• ریسک‌های RDP و یکپارچگی RADIUS/EAP RDP Risks and RADIUS/EAP Integration

• شکستن WEP/WPA و شناسایی APهای غیرمجاز WEP/WPA Cracking and Rogue AP Detection

• امنیت بلوتوث و سلولار (4G/5G) Bluetooth and Cellular (4G/5G) Security

• امنیت NFC, RFID, and Li-Fi NFC, RFID, and Li-Fi Security

• امنیت Satcom و WAN Satcom and WAN Security

• مزایای امنیتی SD-WAN SD-WAN Security Benefits

• Network Taps و Mirroring پورت (SPAN) Network Taps and Port Mirroring (SPAN)

• فارنزیک شبکه و تحلیل PCAP Network Forensics and PCAP Analysis

• شناسایی DDoSهای حجمی و لایه اپلیکیشن Identifying Volumetric and App Layer DDoS

• ربایش BGP و معماری اعتماد صفر (ZTA) BGP Hijacking and Zero Trust Architecture (ZTA)

• محیط تعریف شده نرم‌افزاری (SDP) و وضعیت NAC Software-Defined Perimeter (SDP) and NAC Posture

• پروکسی‌های Forward در برابر Reverse Forward vs. Reverse Proxies

• امنیت شبکه IaC و DNS رمزنگاری شده IaC Network Security and Encrypted DNS

• ایمیل امن: PGP, S/MIME, SPF, DKIM, DMARC Secure Email: PGP, S/MIME, SPF, DKIM, DMARC

• امنیت Bluetooth LE و NB-IoT Bluetooth LE and NB-IoT Security

• مطالعه موردی: حمله DDoS به Dyn (بات‌نت Mirai) Case Study: Dyn DDoS Attack (Mirai Botnet)

• مرور دامنه 4 و آزمون تمرینی Domain 4 Review and Practice Exam

مدیریت هویت و دسترسی Identity and Access Management

• شناسایی: نام‌های کاربری و بیومتریک‌ها Identification: Usernames and Biometrics

• انواع احراز هویت: چیزی که می‌دانید، دارید و هستید Authentication Types: Something You Know, Have, Are

• پیاده‌سازی MFA و حملات خستگی (Fatigue Attacks) MFA Implementation and Fatigue Attacks

• ورود یکپارچه (SSO) و SAML Single Sign-On (SSO) and SAML

• OAuth و OpenID Connect OAuth and OpenID Connect

• فرآیند احراز هویت Kerberos Kerberos Authentication Process

• RADIUS, TACACS+, and LDAP RADIUS, TACACS+, and LDAP

• سرویس‌های دایرکتوری (Active Directory) و فدراسیون Directory Services (Active Directory) and Federation

• هویت به عنوان سرویس (IDaaS) Identity-as-a-Service (IDaaS)

• چرخه عمر تامین هویت (Provisioning) Identity Provisioning Lifecycle

• مدیریت دسترسی‌های ویژه (PAM) Privileged Access Management (PAM)

• RBAC در برابر ABAC در برابر MAC در برابر DAC RBAC vs. ABAC vs. MAC vs. DAC

• احراز هویت Context-aware و بدون رمز عبور Context-aware and Passwordless Authentication

• دقت بیومتریک (FAR, FRR, CER) Biometric Accuracy (FAR, FRR, CER)

• بیومتریک‌های عنبیه، شبکیه، چهره و رفتاری Iris, Retina, Face, and Behavioral Biometrics

• OTP, HMAC (HOTP/TOTP), و کارت‌های هوشمند OTP, HMAC (HOTP/TOTP), and Smart Cards

• دسترسی Just-in-Time (JIT) و تفکیک وظایف (SoD) در IAM Just-in-Time (JIT) Access and SoD in IAM

• تایید مجدد دسترسی و افزایش تدریجی مجوزها (Entitlement Creep) Access Recertification and Entitlement Creep

• حساب‌های سرویس و مدیریت Secrets Service Accounts and Secrets Management

• IAM متمرکز در برابر غیرمتمرکز Centralized vs. Decentralized IAM

• اثبات هویت و SSPR Identity Proofing and SSPR

• قفل شدن حساب و FIM Account Lockout and FIM

• هویت بین-دامنه‌ای (SCIM) و Shibboleth Cross-Domain Identity (SCIM) and Shibboleth

• دسترسی مشروط (Conditional Access) و هویت ترکیبی Conditional Access and Hybrid Identity

• حاکمیت و مدیریت هویت (IGA) Identity Governance and Administration (IGA)

• شناسایی Brute Force, Spraying, and Stuffing Detecting Brute Force, Spraying, and Stuffing

• رمزگشایی رمز عبور آفلاین در برابر آنلاین Offline vs. Online Password Cracking

• ریسک‌های هویت رسانه‌های اجتماعی و مدیریت مهمان Social Media Identity Risks and Guest Management

• مانیتورینگ کاربران ویژه و انطباق Privileged User Monitoring and Compliance

• مطالعه موردی: افشاهای اسنودن (تهدیدات داخلی) Case Study: Snowden Leaks (Insider Threats)

• تست تمرینی: احراز هویت و SSO Practice Test: Authentication and SSO

• مطالعه موردی: نشت داده‌های Equifax (تمرکز بر IAM) Case Study: Equifax Breach (IAM focus)

• تست تمرینی: مدل‌های کنترل دسترسی Practice Test: Access Control Models

• مطالعه موردی: نشت Okta (ربایش نشست) Case Study: Okta Breach (Session Hijacking)

• خلاصه دامنه 5 و آزمون تمرینی Domain 5 Summary and Practice Exam

ارزیابی و تست امنیت Security Assessment and Testing

• طراحی برنامه ارزیابی امنیتی Designing a Security Assessment Program

• ارزیابی‌های داخلی در برابر خارجی و شخص ثالث Internal vs. External and Third-Party Assessments

• تست کنترل‌های فنی، اداری و فیزیکی Testing Technical, Administrative, and Physical Controls

• ارزیابی آسیب‌پذیری: تعیین محدوده و اسکن شبکه Vulnerability Assessment: Scoping and Network Scanning

• اسکن‌های Agent-based در برابر Agentless و اسکن‌های احراز شده Agent-based vs. Agentless and Authenticated Scans

• تست نفوذ (Pentesting): برنامه‌ریزی، شناسایی و تحلیل Pentesting: Planning, Recon, and Analysis

• یکپارچگی SIEM و تولید لاگ SIEM Integration and Log Generation

• نرمال‌سازی، تحلیل و نگهداری لاگ‌ها Log Normalization, Analysis, and Retention

• مانیتورینگ عملکرد: Synthetic در برابر RUM Performance Monitoring: Synthetic vs. RUM

• تست نرم‌افزاری: واحد (Unit)، یکپارچگی و سیستمی Software Testing: Unit, Integration, and System

• تست رگرسیون و UAT Regression Testing and UAT

• توضیح SAST, DAST, and IAST SAST, DAST, and IAST Explained

• تست Misuse Case و Fuzzing Misuse Case Testing and Fuzzing

• بررسی‌های امنیتی API و UI/UX API and UI/UX Security Checks

• معیارهای KPI و KRI برای تست امنیتی KPIs and KRIs for Security Testing

• مبانی حسابرسی و انواع حسابرسی Audit Foundations and Audit Types

• تعیین محدوده حسابرسی و انتخاب تیم‌ها Defining Audit Scope and Selecting Teams

• فرآیند حسابرسی: از برنامه‌ریزی تا گزارش‌دهی The Audit Process: Planning to Reporting

• مرور مدیریت و تایید حسابرسی Management Review and Audit Approval

• گزارش‌های SOC 1, SOC 2 (Type I vs II), and SOC 3 SOC 1, SOC 2 (Type I vs. II), and SOC 3 Reports

• تست انطباق: PCI DSS و HIPAA Compliance Testing: PCI-DSS and HIPAA

• مانیتورینگ امنیتی مستمر (CSM) و اتوماسیون Continuous Security Monitoring (CSM) and Automation

• مطالعه موردی: نشت Shadow Brokers (روز-صفرها) Case Study: Shadow Brokers Leak (Zero-Days)

• تست تمرینی: آسیب‌پذیری و تست نفوذ Practice Test: Vulnerability and Pentesting

• مطالعه موردی: شکست حسابرسی Target (انطباق در برابر امنیت) Case Study: Target Audit Failure (Compliance vs. Security)

• تست تمرینی: متدولوژی‌های تست نرم‌افزار Practice Test: Software Testing Methodologies

• مطالعه موردی: Heartland Payment Systems Case Study: Heartland Payment Systems

• تست تمرینی: استانداردهای حسابرسی و SOC Practice Test: Audit Standards and SOC

• مطالعه موردی: کشف Log4j Case Study: Log4j Discovery

• خلاصه دامنه 6 و آزمون تمرینی نهایی Domain 6 Summary and Final Practice Exam

• مطالعه موردی: عملیات Colonial Pipeline و تریاژ Case Study: Colonial Pipeline Operations and Triage

• تست تمرینی: بازیابی از فاجعه و تداوم Practice Test: Disaster Recovery and Continuity

• مطالعه موردی: شکست‌های DevSecOps در Capital One Case Study: Capital One DevSecOps Failures

• نتیجه‌گیری دوره: چک‌لیست و استراتژی آزمون نهایی Course Conclusion: Final Exam Checklist and Strategy

دامنه 7: عملیات امنیت Domain 7: Security Operations

• مقدمه‌ای بر عملیات امنیت و فارنزیک دیجیتال Introduction to Security Operations and Digital Forensics

• جمع‌آوری و حفظ شواهد: ترتیب فرار (Volatility) Evidence Collection and Preservation: The Order of Volatility

• زنجیره توالی (Chain of Custody) و تکنیک‌های تصویربرداری فارنزیک Chain of Custody and Forensic Imaging Techniques

• لاگ‌گذاری و مانیتورینگ: SIEM, SOAR, and Log Management Logging and Monitoring: SIEM, SOAR, and Log Management

• بررسی حوادث امنیتی: تریاژ و تحلیل Investigating Security Incidents: Triage and Analysis

• چرخه عمر پاسخ به حوادث: از آماده‌سازی تا درس‌های آموخته شده The Incident Response Lifecycle: Preparation to Lessons Learned

• EDR در برابر XDR Endpoint Detection and Response (EDR) vs. XDR

• عملیات سیستم‌های شناسایی و پیشگیری از نفوذ (IDPS) Intrusion Detection and Prevention Systems (IDPS) Operations

• عملیات مدیریت وصله (Patch) و آسیب‌پذیری Patch and Vulnerability Management Operations

• مدیریت تغییر و پیکربندی: تضمین پایداری Change and Configuration Management: Ensuring Stability

• استراتژی‌های بک‌آپ و بازیابی: ذخیره‌سازی آف‌سایت و ابری Backup and Recovery Strategies: Offsite and Cloud Storage

• استراتژی‌های بک‌آپ و بازیابی: ذخیره‌سازی آف‌سایت و ابری Backup and Recovery Strategies: Offsite and Cloud Storage

• مدیریت تداوم کسب‌وکار (BCM) در عملیات Business Continuity Management (BCM) in Operations

• درک در دسترس بودن بالا (HA) و تحمل خطا (Fault Tolerance) Understanding High Availability (HA) and Fault Tolerance

• عملیات امنیت فیزیکی: مانیتورینگ و نظارت Physical Security Operations: Monitoring and Surveillance

• مدیریت ریسک عملیاتی شخص ثالث و زنجیره تأمین Managing Third-Party and Supply Chain Operations Risk

• عملیات مدیریت هویت و دسترسی (IAM) Identity and Access Management (IAM) Operations

• مدیریت دارایی‌ها: تامین امن و سخت‌سازی Asset Management: Secure Provisioning and Hardening

• دفاع در برابر بدافزار: Sandboxing و عملیات آنتی‌بدافزار Malware Defense: Sandboxing and Anti-Malware Operations

• Threat Hunting: تحلیل امنیتی پیش‌دستانه Threat Hunting: Proactive Security Analysis

• عملیات امنیت شبکه: مدیریت فایروال و VPN Network Security Operations: Firewall and VPN Management

• عملیات امنیت ابری: مانیتورینگ منابع مشترک Cloud Security Operations: Monitoring Shared Resources

• عملیات دورکاری امن و تل‌کامیوتیشن Secure Remote Work Operations and Telecommuting

• جریان‌های کاری عملیاتی جلوگیری از نشت داده‌ها (DLP) Data Loss Prevention (DLP) Operational Workflows

• الزامات قانونی و مقرراتی در عملیات Legal and Regulatory Requirements in Operations

• E Discovery و Legal Holds: الزامات عملیاتی E-Discovery and Legal Holds: Operational Requirements

• چرخه‌های اسکن آسیب‌پذیری و رفع آن‌ها Vulnerability Scanning and Remediation Cycles

• آموزش آگاهی امنیتی برای کارکنان عملیاتی Security Awareness Training for Operational Staff

• مدیریت بحران و برنامه‌های ارتباطات اضطراری Crisis Management and Emergency Communication Plans

• مطالعه موردی: پاسخ به حادثه SolarWinds Orion Case Study: SolarWinds Orion Incident Response

• مطالعه موردی: حمله باج‌افزاری MGM Resorts Case Study: MGM Resorts Ransomware Attack

• مطالعه موردی: سرقت ابزارهای Red Team از FireEye Case Study: FireEye Red Team Tool Theft

• کوییز: پاسخ به حوادث و فارنزیک دیجیتال Quiz: Incident Response and Digital Forensics

• کوییز: بازیابی از فاجعه و عملیات تداوم Quiz: Disaster Recovery and Continuity Operations

• مطالعه موردی: شکست سیستم Southwest Airlines Case Study: Southwest Airlines System Failure

• مطالعه موردی: حمله زنجیره تأمین Kaseya VSA Case Study: Kaseya VSA Supply Chain Attack

• کوییز: لاگ‌گذاری و مانیتورینگ امنیتی Quiz: Security Logging and Monitoring

• مطالعه موردی: اختلال زنجیره تأمین تویوتا Case Study: Toyota Supply Chain Disruption

• خلاصه دامنه 7 و آزمون تمرینی Domain 7 Summary and Practice Exam

امنیت توسعه نرم‌افزار Software Development Security

• مقدمه‌ای بر مبانی توسعه نرم‌افزار امن Introduction to Secure Software Development Foundations

• مدل‌های چرخه عمر توسعه نرم‌افزار (SDLC): از Waterfall تا Agile The Software Development Life Cycle (SDLC) Models: Waterfall to Agile

• یکپارچه‌سازی امنیت در SDLC: استراتژی «Shift Left» Integrating Security in the SDLC: "Shift-Left" Strategy

• مدیریت پیکربندی نرم‌افزار (SCM) و کنترل نسخه Software Configuration Management (SCM) and Version Control

• الزامات امنیتی و مدل‌سازی تهدید در نرم‌افزار Security Requirements and Threat Modeling in Software

• استانداردهای کدنویسی امن و بهترین تجربیات (OWASP, CERT) Secure Coding Standards and Best Practices (OWASP, CERT)

• درک ایمنی حافظه و سرریز بافر (Buffer Overflows) Understanding Memory Safety and Buffer Overflows

• آسیب‌پذیری‌های تزریق: SQLi, XSS, and CSRF Injection Vulnerabilities: SQLi, XSS, and CSRF

• توسعه و مدیریت امن API Secure API Development and Management

• احراز هویت و مجوزدهی در نرم‌افزار: OAuth و SAML Authentication and Authorization in Software: OAuth and SAML

• امنیت پایگاه داده و جابجایی امن داده‌ها در اپلیکیشن‌ها Database Security and Secure Data Handling in Apps

• فایروال‌های اپلیکیشن وب (WAF) و دفاع در سطح اپلیکیشن Web Application Firewalls (WAF) and App-Level Defense

• امنیت اپلیکیشن‌های موبایل: چالش‌های iOS در برابر اندروید Mobile Application Security: iOS vs. Android Challenges

• امنیت Cloud-Native: میکروسرویس‌ها و کانتینرها Cloud-Native Security: Microservices and Containers

• زیرساخت به عنوان کد (IaC) و امنیت Serverless Infrastructure as Code (IaC) and Serverless Security

• متدولوژی‌های تست نرم‌افزار: SAST, DAST, and IAST Software Testing Methodologies: SAST, DAST, and IAST

• مرور دستی کد در برابر اسکن امنیتی خودکار Manual Code Reviews vs. Automated Security Scanning

• تست Fuzz و تحلیل Misuse Case Fuzz Testing and Misuse Case Analysis

• تحلیل ترکیب نرم‌افزار (SCA) و ریسک‌های وابستگی (Dependency) Software Composition Analysis (SCA) and Dependency Risks

• مدیریت بدهی فنی (Technical Debt) و وصله‌های امنیتی در نرم‌افزار Managing Technical Debt and Security Patches in Software

• خرید نرم‌افزار و امنیت کتابخانه‌های شخص ثالث Software Acquisition and Third-Party Library Security

• امنیت شبکه تعریف شده نرم‌افزاری (SDN) Software-Defined Networking (SDN) Security

• استقرار امن و امنیت خط لوله CI/CD Secure Deployment and CI/CD Pipeline Security

• DevSecOps: فرهنگ، اتوماسیون و معیارها DevSecOps: Culture, Automation, and Metrics

• حفاظت از مالکیت معنوی برای نرم‌افزار و کد Intellectual Property Protection for Software and Code

• یکپارچگی نرم‌افزار و امضاهای دیجیتال Software Integrity and Digital Signatures

• خروج امن از سرویس و نرم‌افزارهای پایان عمر (EOL) Secure Decommissioning and End-of-Life (EOL) Software

• حریم خصوصی در طراحی (Privacy by Design) در توسعه نرم‌افزار Privacy by Design in Software Development

• قطعه‌بندی پایگاه داده و امنیت اپلیکیشن‌های کلان‌داده Database Sharding and Big Data Application Security

• آسیب‌پذیری‌های پیشرفته وب: SSRF و Deserialization ناامن Advanced Web Vulnerabilities: SSRF and Insecure Deserialization

• مطالعه موردی: تحلیل آسیب‌پذیری Log4Shell (Log4j) Case Study: Log4Shell (Log4j) Vulnerability Analysis

• مطالعه موردی: نشت Equifax (نرم‌افزار وب بدون وصله) Case Study: Equifax Breach (Unpatched Web Software)

• مطالعه موردی: اکسپلویت‌های ProxyLogon در Microsoft Exchange Case Study: Microsoft Exchange ProxyLogon Exploits

• کوییز: SDLC امن و DevSecOps Quiz: Secure SDLC and DevSecOps

• کوییز: آسیب‌پذیری‌های رایج نرم‌افزاری (OWASP Top 10) Quiz: Common Software Vulnerabilities (OWASP Top 10)

• مطالعه موردی: SolarWinds (محیط Build به خطر افتاده) Case Study: SolarWinds (The Compromised Build Environment)

• مطالعه موردی: نشت داده‌های T-Mobile (ناامنی API) Case Study: T-Mobile Data Breach (API Insecurity)

• مطالعه موردی: نشت کلید مخفی Slack Case Study: Slack Secret Key Leak

• خلاصه دامنه 8 و آزمون تمرینی نهایی Domain 8 Summary and Final Practice Exam

تکنولوژی‌های نوظهور و استراتژی پیشرفته امنیت Emerging Technologies and Advanced Security Strategy

• مقدمه‌ای بر امنیت AI: ریسک‌ها و فرصت‌ها Introduction to AI Security: Risks and Opportunities

• ایمن‌سازی AI مولد و مدل‌های زبانی بزرگ (LLMs) Securing Generative AI and Large Language Models (LLMs)

• یادگیری ماشین خصمانه: حملات Evasion و Poisoning Adversarial Machine Learning: Evasion and Poisoning Attacks

• تهدیدات رایانش کوانتومی برای رمزنگاری کلاسیک Quantum Computing Threats to Classical Cryptography

• برنامه‌ریزی انتقال به رمزنگاری پساکوانتوم (PQC) Post-Quantum Cryptography (PQC) Transition Planning

• امنیت بلاک‌چین و فناوری دفتر کل توزیع شده (DLT) Blockchain and Distributed Ledger Technology (DLT) Security

• امنیت شهر هوشمند و اکوسیستم‌های IoT در مقیاس بزرگ Smart City Security and Large-Scale IoT Ecosystems

• مدل‌های بلوغ اعتماد صفر: از تئوری تا پیاده‌سازی Zero Trust Maturity Models: From Theory to Implementation

• استراتژی‌های ارکستراسیون، اتوماسیون و پاسخ امنیتی (SOAR) Security Orchestration, Automation, and Response (SOAR) Strategies

• حاکمیت دیجیتال و ریسک‌های سایبری ژئوپلیتیک Digital Sovereignty and Geopolitical Cyber Risk

• تاب‌آوری سایبری در برابر امنیت سایبری: طراحی برای بقا Cyber Resilience vs. Cyber Security: Designing for Survival

• یکپارچه‌سازی و اشتراک‌گذاری پیشرفته اطلاعات تهدیدات Advanced Threat Intelligence Integration and Sharing

• مطالعه موردی: فیشینگ مبتنی بر AI و مهندسی اجتماعی Deepfake Case Study: AI-Driven Phishing and Deepfake Social Engineering

• خلاصه دامنه 9 و استراتژی نهایی دوره Domain 9 Summary and Final Capstone Strategy

• AI، کوانتوم و تکنولوژی‌های نوظهور AI, Quantum, and Emerging Tech

گواهینامه دوره و آزمون تمرینی Training Certificate & Practice Exam

• آزمون تمرینی 1 Practice Exam 1

• آزمون تمرینی سناریو-محور Scenario Based Practice Exam

• گواهینامه اتمام دوره Course Completion Certificate

• نحوه دریافت 40 واحد CPE How to Claim 40 CPE credits