Riepilogo degli obiettivi dell’esame Security+ (V7)

Concetti generali di sicurezza (12%)

• Controlli di sicurezza: confronto tra controlli tecnici, preventivi, gestionali, deterrenti, operativi, detective, fisici, correttivi, compensatori e direttivi.
• Concetti fondamentali: riassunto della riservatezza, integrità e disponibilità (CIA); la non ripudiazione; autenticazione, autorizzazione e contabilità (AAA); zero fiducia; e tecnologia di inganno/disgregazione.
• Gestione del cambiamento: spiegazione dei processi aziendali, delle implicazioni tecniche, della documentazione e del controllo delle versioni.
• Soluzioni crittografiche: utilizzo di infrastruttura a chiave pubblica (PKI), crittografia, offuscamento, hashing, firme digitali e blockchain.

Minacce, vulnerabilità e mitigazioni (22%)

• Attori minacciosi e motivazioni: confronto tra stati-nazione, attaccanti non qualificati, hacktivisti, minacce interne, criminalità organizzata, shadow IT e motivazioni come l’esfiltrazione di dati, lo spionaggio e il guadagno finanziario.
• Vettori di minaccia e superfici di attacco: spiegazione di reti basate su messaggi, non sicure, ingegneria sociale, file basate, chiamate vocali, catena di approvvigionamento e vettori software vulnerabili.
• Vulnerabilità: spiegazione delle vulnerabilità di applicazioni, hardware, dispositivi mobili, virtualizzazione, sistemi operativi (OS), specifiche cloud, web-based e supply chain.
• Attività malevole: analisi di attacchi malware, attacchi con password, attacchi di applicazioni, attacchi fisici, attacchi di rete e attacchi crittografici.
• Tecniche di mitigazione: utilizzo di segmentazione, controllo degli accessi, applicazione della configurazione, indurirezza, isolamento e patch.

Architettura della sicurezza (18%)

• Modelli architettonici: confronto on-premises, cloud, virtualizzazione, Internet delle Cose (IoT), sistemi di controllo industriale (ICS) e infrastruttura come codice (IaC).
• Infrastruttura aziendale: applicare principi di sicurezza alle considerazioni infrastrutturali, alla selezione dei controlli e alla comunicazione/accesso sicuro.
• Protezione dei dati: confronto tra tipi di dati, metodi di sicurezza, considerazioni generali e classificazioni.
• Resilienza e recupero: spiegazione dell’alta disponibilità, considerazioni sul sito, test, potenza, diversità della piattaforma, backup e continuità operativa

Operazioni di sicurezza (28%)

• Risorse informatiche: applicazione di linee di base sicure, soluzioni mobili, rafforzamento, sicurezza wireless, sicurezza delle applicazioni, sandboxing e monitoraggio.
• Gestione degli asset: spiegazione dell’acquisizione, smaltimento, assegnazione e monitoraggio/tracciamento di hardware, software e asset dati.
• Gestione delle vulnerabilità: identificare, analizzare, correggere, validare e segnalare le vulnerabilità.
• Allerta e monitoraggio: spiegazione degli strumenti di monitoraggio e delle attività delle risorse di calcolo.
• Sicurezza aziendale: modifica firewall, IDS/IPS, DNS filtering, DLP (data loss prevention), NAC (network access control) ed EDR/XDR (endpoint/rilevamento e risposta estesa).
• Gestione di identità e accessi: implementazione di provisioning, SSO (single sign-on), MFA (autenticazione multifattore) e strumenti di accesso privilegiato.
• Automazione e orchestrazione: spiegazione dei casi d’uso dell’automazione, dei benefici e delle considerazioni dello scripting.
• Risposta agli incidenti: implementazione di processi, formazione, test, analisi delle cause profonde, ricerca di minacce e forensi digitale.
• Fonti dati: utilizzo di dati di registro e altre fonti per supportare le indagini.

• Governance della sicurezza: riassumendo linee guida, politiche, standard, procedure, considerazioni esterne, monitoraggio, strutture di governance e ruoli/responsabilità.
• Gestione del rischio: spiegazione dell’identificazione, valutazione, analisi, registro, tolleranza, appetito, strategie, reportistica e analisi dell’impatto aziendale (BIA).
• Rischio di terze parti: gestione della valutazione, selezione, accordi, monitoraggio, questionari e regole di coinvolgimento dei fornitori.
• Conformità alla sicurezza: riassumendo la reportistica di conformità, le conseguenze della non conformità, il monitoraggio e la privacy.
• Audit e valutazioni: spiegazione dell’attestazione, audit interni/esterni e test di penetrazione.
• Consapevolezza della sicurezza: implementazione di formazione sul phishing, riconoscimento di comportamenti anomali, guida utente, segnalazione e monitoraggio.