CCPTP云渗透测试认证专家
越来越多的企业将数据和应用程序迁移到云中,云安全的重要性空前,其风险更是空前。面对这些日益复杂的安全风险,评价云环境安全性不能再采用单一的面向云基础设施的安全管控标准,对云环境上运行的系统和应用的渗透测试也成为检验云安全的重要技术手段。
云渗透测试是云环境、系统和服务安全保障的关键。通过渗透测试能够直观识别技术上的安全弱点,同时可以验证系统的健壮性。但是云环境基础设施控制权的转移,使得云渗透测试的范围和边界跟传统渗透测试相比产生了很大的变化。对渗透测试也提出了更高的要求,不仅要基于共享责任模型来确定渗透测试的边界,还要考虑渗透测试的授权与合规问题。企业需要具有云渗透测试专业能力的安全人员,能够在云环境中进行云渗透测试,帮助企业及时发现并修复安全问题,提高云环境的安全性和稳定性,保障云上业务与数据资产的安全。
CCPTP云渗透测试认证专家由云安全联盟大中华区发布,是全球首个云渗透测试能力培养课程及人才培养认证,弥补了国内云渗透测试认知的差距和技能型人才培养的空白。今年4月CCPTP首期班成功举办,并且于2023年5月10日部分学员完成考试获得证书,诞生首批CCPTP云渗透测试认证专家。
承制科技作为云安全联盟资深合作伙伴,并且作为CSA的理事单位,凭实力斩得CSA2022“育人奖”,充分彰显了承制与CSA的合作深度以及在网络安全培训育人方面的能力和实力。
CCPTP云渗透测试认证专家
CCPTP由国际权威组织国际云安全联盟于2023年发布的培训和认证计划,该认证课程包含了云渗透测试体系、测试流程、实践技术、法律法规、渗透测试人员道德规范、渗透测试方法论以及实操技术等内容。通过CCPTP的考试,确保从事云计算安全相关的从业人员对云渗透测试体系架构、法律法规、测试技术以及实践技术有一个全面的了解和广泛的认知,帮助云安全专业人员深入了解云上渗透测试工作,以便在客户授权的前提下合法地评估目标系统的安全状态,并为解决云安全问题提供帮助。
课程背景
传统的渗透测试方法不适用云场景;在云场景中,对传统的安全从业人员提出更高的要求,云渗透测试需要对云服务提供商的资源和配置进行模拟攻击,以评估云的安全性;云渗透安全专家需要具备深入了解云技术、云安全风险和云安全控制的能力,以及云渗透测试的技能,同时,他们还需要具备协调和沟通的能力,以确保测试过程中不会影响业务正常运行。
课程目标
通过CCPTP课程学习,要求学员系统掌握如何开展云计算下的渗透测试工作,在云上授权目标系统中寻找弱点和漏洞,并以合法的方式评估目标系统的安全状态,同时针对相关的弱点和漏洞要能提供有效的安全改进或加固建议。
熟练掌握常见云服务模型(IaaS、PaaS、SaaS)测试方法及主流云平台在租户视角的最佳安全实践、包括但不限于租户上云的安全架构设计、租户安全基线配置、安全加固知识,例如合理规划账号IAM规划设计、VPC规划、安全组设计、镜像安全、云存储安全、安全组策略等。
要求熟练掌握针对主流云平台云租户视角的渗透测试。基于攻击面的暴露程度,按照从云上资产发现与信息收集阶段开始,依照云上租户应用层至云底层基础设施层的层级顺序,学习相关的渗透测试方法、测试工具,并具备渗透测试的实操能力。
根据渗透测试的情况撰写专业的云渗透测试报告(报告内容包括但不限于漏洞证明过程、修复或安全加固建议)。
学习对象
适用于云安全渗透测试人员、云安全评估人员、信息安全管理人员和其他对云计算安全有兴趣的人员等,需具备一定的云计算、云安全和渗透测试的基础知识。
课程大纲
模块1-云计算概念和体系架构
- 云计算基本定义
- 云计算参考架构
- 共享职责模型
- CSA共享职责评估
模块2-云计算整体安全
- 云安全模型
- 云安全范围与职责
- 云计算架构参与者
- 云安全与 DevOps
- 云渗透测试技术
模块3-渗透测试安全意识培训
- 定义及法律规范解读
- 渗透测试通用框架流程
- 渗透测试服务条款制定
- 渗透测试范围确定
- 云上渗透测试边界
模块4-云计算攻击路径
- 传统攻防 vs 云攻防
- 云计算攻击路径全景
- 云纵向攻击路径
- 云横向扩展攻击路径
- 常见攻击路径与场景
模块5-云上资产发现与信息收集
- 云基础架构组件介绍
- 云上大规模侦查技术
- 针对云计算架构中不同参与角色的安全性测试
模块6-云租户业务层渗透测试
- 云租户web应用攻击面概览
- 云计算安全威胁Top11测试方式
- 传统漏洞云危害升级
模块7-云管理层渗透测试
- 云管理层攻击面概览
- 云控制台管理渗透测试技术
- 身份与访问管理渗透测试技术
- 应用程序编程接口渗透测试技术
- 云数据加密和解密攻防技术
- 云上监控、日志审计与防御绕过技术
模块8-云服务层渗透测试
- 云安全模型
- 云安全范围与职责
- 云计算架构参与者
- 云安全与 DevOps
- 云渗透测试技术
模块9-虚拟化与容器渗透测试
- 定义及法律规范解读
- 渗透测试通用框架流程
- 渗透测试服务条款制定
- 渗透测试范围确定
- 云上渗透测试边界
模块10-云基础设施层渗透测试
- 云基础设施攻击面、路径与核心目标概述
- 云计算网络下的渗透测试技巧
- 多租户环境下网络渗透技术
- 混合云及其他渗透测试方法
培训安排
类型 | 课时 | 收获 |
理论学习 | 18 | 云计算概念及体系、云安全渗透、云渗透测试安全意识、云上安全场景、传统漏洞云危害、云计算攻击路径 |
实操训练 | 12 | 云上信息探测能力、云服务环境下漏洞利用、云IAM凭证提权、临时凭据访问COS、云上容器逃逸、云镜像敏感信息搜集 |
关于考试
考试类型 | 考题类型 | 题目数量 | 通过线 | 时长 | 备注 |
理论考试 | 单选题 | 80道 | 80% | 120分钟 | 考试完成后10个工作日内出成绩 |
实操考试 | 上机操作 | 4道 | 75% | 120分钟 | 理论出成绩后预约实操考试,一般在月底 |
备注:考生同时通过理论考试及实操考试才能获得CCPTP证书。 |
考试证书
CCPTP考试完成后 10 个工作日内,考生将收到确认邮件,通知其考试分数及通过情况。如考试通过,可在CSA大中华区考试系统(https://exam.c-csa.cn)自行下载证书电子版。CCPTP证书有效期:三年
费用相关
- 培训与考试认证费用:12800元/人(其中:培训费用8800元/人;考试认证费4000元/人)
- 证书维持费用:2000元/人(证书到期后需付费重新参加考试,考试通过后重新获得证书)