CCPTP即将开班 | 云渗透测试服务与普通渗透测试的区别

2024年03月01日 新闻动态 作者: 阅读:1 views
weibo weixin Mail

2月29日,阿里云重磅宣布启动新一轮降价政策,核心产品价格全面下调,平均降幅高达20%,最大降幅更是达到惊人的55%。这次降价旨在推动更多企业和开发者采用先进的公共云服务,加速云计算在中国各行各业的广泛应用和深入发展。作为阿里云历史上降价力度最大的一次行动,此次优惠涵盖100多款产品、500多个产品规格,覆盖计算、存储、数据库等全线核心产品。

在阿里云宣布这一重大降价策略后,京东云迅速响应,于2月29日晚间发布消息,宣布启动比价活动,正式拉开云服务降价序幕。这一举措不仅彰显了云服务市场竞争的激烈,更是为广大用户带来了实实在在的利益。

两大云服务商价格下调直接降低了用户迁移到云服务器的经济门槛。对于许多中小企业和个人用户来说,云服务器的成本可能是他们考虑迁移的重要因素之一。云服务产品的价格下调使得云服务器变得更加经济实惠,这将吸引更多的用户考虑将他们的服务器迁移到云上。

这种趋势也将间接促使企业和组织更加重视云服务商的安全性。随着越来越多的数据和业务逻辑迁移到云端,云安全的重要性日益凸显。企业和组织将不得不投入更多资源来确保云环境的安全性,包括进行云渗透测试等安全服务。云渗透测试服务的发展将因此得到推动,以确保其数据业务免受潜在的安全威胁。

云渗透测试和普通渗透测试的区别:

  • 测试范围:普通渗透测试主要关注特定的系统或网络,而云渗透测试的范围则更为广泛。云渗透测试还需要考虑云服务的特性和配置,如虚拟机、容器等。云渗透测试的范围可能包括与基础托管服务提供商的协调。如果测试识别出基础托管提供商中的漏洞,可能需要阻止该提供商以防止攻击者横向移动。这样可以最大程度地减少对其他客户的潜在影响,并将发现的结果通知给提供商。而普通渗透测试通常不涉及与基础托管服务提供商的协调。
  • 复杂性:云环境的复杂性远高于传统的IT环境,因此云渗透测试需要更高级的技能和更深入的了解。云渗透测试人员需要了解云服务的配置、安全性以及潜在的安全漏洞,同时还需要考虑云环境中数据的流动和存储方式。

总的来说,云渗透测试比普通渗透测试更全面、更复杂,需要测试人员具备更高的技能和更深入的了解。同时,由于云环境的复杂性和动态性,云渗透测试也需要更频繁地进行,以确保云环境的安全性。

在这样的现实背景下,2023年由云安全联盟大中华区发布的CCPTP云渗透测试认证专家受到了各大企业的高度关注,该认证是全球首个云渗透测试能力培养课程及人才培养认证,弥补了国内云渗透测试认知的差距和技能型人才培养的空白。

承制新一期CCPTP课程将于3月16日正式启动,所有课程安排已由教务老师精心策划并落实到位。此外,我们还为大家准备了丰厚的福利活动。如果您对这门课程感兴趣,欢迎随时与承制的任何一位工作人员联系,我们将竭诚为您服务。

CCPTP——云渗透测试认证专家

集训时间24年3月16日、17日24年3月23日、24日

CCPTP由国际权威组织国际云安全联盟于2023年发布的培训和认证计划,该认证课程包含了云渗透测试体系、测试流程、实践技术、法律法规、渗透测试人员道德规范、渗透测试方法论以及实操技术等内容。通过CCPTP的考试,确保从事云计算安全相关的从业人员对云渗透测试体系架构、法律法规、测试技术以及实践技术有一个全面的了解和广泛的认知,帮助云安全专业人员深入了解云上渗透测试工作,以便在客户授权的前提下合法地评估目标系统的安全状态,并为解决云安全问题提供帮助。

课程背景

传统的渗透测试方法不适用云场景;在云场景中,对传统的安全从业人员提出更高的要求,云渗透测试需要对云服务提供商的资源和配置进行模拟攻击,以评估云的安全性;云渗透安全专家需要具备深入了解云技术、云安全风险和云安全控制的能力,以及云渗透测试的技能,同时,他们还需要具备协调和沟通的能力,以确保测试过程中不会影响业务正常运行。

课程目标

通过CCPTP课程学习,要求学员系统掌握如何开展云计算下的渗透测试工作,在云上授权目标系统中寻找弱点和漏洞,并以合法的方式评估目标系统的安全状态,同时针对相关的弱点和漏洞要能提供有效的安全改进或加固建议。

熟练掌握常见云服务模型(IaaS、PaaS、SaaS)测试方法及主流云平台在租户视角的最佳安全实践、包括但不限于租户上云的安全架构设计、租户安全基线配置、安全加固知识,例如合理规划账号IAM规划设计、VPC规划、安全组设计、镜像安全、云存储安全、安全组策略等。

要求熟练掌握针对主流云平台云租户视角的渗透测试。基于攻击面的暴露程度,按照从云上资产发现与信息收集阶段开始,依照云上租户应用层至云底层基础设施层的层级顺序,学习相关的渗透测试方法、测试工具,并具备渗透测试的实操能力。

根据渗透测试的情况撰写专业的云渗透测试报告(报告内容包括但不限于漏洞证明过程、修复或安全加固建议)。

学习对象

适用于云安全渗透测试人员、云安全评估人员、信息安全管理人员和其他对云计算安全有兴趣的人员等,需具备一定的云计算、云安全和渗透测试的基础知识。

课程大纲

模块1-云计算概念和体系架构

  • 云计算基本定义
  • 云计算参考架构
  • 共享职责模型
  • CSA共享职责评估

模块2-云计算整体安全

  • 云安全模型
  • 云安全范围与职责
  • 云计算架构参与者
  • 云安全与 DevOps
  • 云渗透测试技术

模块3-渗透测试安全意识培训

  • 定义及法律规范解读
  • 渗透测试通用框架流程
  • 渗透测试服务条款制定
  • 渗透测试范围确定
  • 云上渗透测试边界

模块4-云计算攻击路径

  • 传统攻防 vs 云攻防
  • 云计算攻击路径全景
  • 云纵向攻击路径
  • 云横向扩展攻击路径
  • 常见攻击路径与场景

模块5-云上资产发现与信息收集

  • 云基础架构组件介绍
  • 云上大规模侦查技术
  • 针对云计算架构中不同参与角色的安全性测试

模块6-云租户业务层渗透测试

  • 云租户web应用攻击面概览
  • 云计算安全威胁Top11测试方式
  • 传统漏洞云危害升级

模块7-云管理层渗透测试

  • 云管理层攻击面概览
  • 云控制台管理渗透测试技术
  • 身份与访问管理渗透测试技术
  • 应用程序编程接口渗透测试技术
  • 云数据加密和解密攻防技术
  • 云上监控、日志审计与防御绕过技术

模块8-云服务层渗透测试

  • 云安全模型
  • 云安全范围与职责
  • 云计算架构参与者
  • 云安全与 DevOps
  • 云渗透测试技术

模块9-虚拟化与容器渗透测试

  • 定义及法律规范解读
  • 渗透测试通用框架流程
  • 渗透测试服务条款制定
  • 渗透测试范围确定
  • 云上渗透测试边界

模块10-云基础设施层渗透测试

  • 云基础设施攻击面、路径与核心目标概述
  • 云计算网络下的渗透测试技巧
  • 多租户环境下网络渗透技术
  • 混合云及其他渗透测试方法

课程讲师

北京老李 

中国首批CSA CCSK/CCPTP/ACSE认证师 (前五名)

中国首批CSA CDSP数据安全认证讲师 (前六名) 

中国首批CSA 区块链基础级/专家级认证讲师(前六名) 

中国首批EXIN云安全管理认证讲师(前五名)

中国首批EXIN云服务管理讲师(前五名)

中国首批APMGISO27001/ISO200000全系列讲师(前十名)

中国首批DevOps Master讲师 (前十名)

中国首批Product owner讲师 (前十名)

中国首批EXIN Scrum Master讲师

中国首批EXIN Lean IT精益看板讲师

中国首批PMI-ACP“黄埔一期”TTT讲师

中国首批EXIN数据驱动世界课程TTT讲师

中国首批ITIL Expert、ITIL4全系列讲师

EXIN 数字化转型VeriSM、人工智能、业务敏捷推广者APMG 

IT治理Cobit5/2019讲师、CISP认证讲师

等保2.0-云等保课件编写参与者

白皮书

CSA 微服务架构安全

CSA 云计算的顶级威胁: 深度分析

CSA 云计算11类顶级威胁

CSA Dapp安全指南

CSA 用区块链技术保障物联网安全

CSA 云安全现状年度报告

出版物

《敏捷项目管理全景》 (2022年3月)

《网络服务安全与监控》 (2021年出版)

《云途·云图》 (2021年出版)

《零信任-SDP》(2021年出版)

《CSA数据安全领域指南》(2022年底)

《5G安全》(2022年底)

专家工作组

参与CSA CCSK4.0本土化专家工作组 (2018年始)

参与CSA CDSP1.0本土化化专家工作组 (2019年始)

参与CSA CBP1.0本土化化专家工作组 (2020年始)

参与CSA CCPTP本土化化专家工作组 (2022年始)

参与CSA ACSE本土化化专家工作组 (2022年始)

参与CSA CDSP2.0本土化化专家组长 (2023年始)

培训安排

类型课时收获
理论学习18云计算概念及体系、云安全渗透、云渗透测试安全意识、云上安全场景、传统漏洞云危害、云计算攻击路径
实操训练12云上信息探测能力、云服务环境下漏洞利用、云IAM凭证提权、临时凭据访问COS、云上容器逃逸、云镜像敏感信息搜集

关于考试

考试类型考题类型题目数量通过线时长备注
理论考试单选题80道80%120分钟考试完成后10个工作日内出成绩
实操考试上机操作4道75%120分钟理论出成绩后预约实操考试,一般在月底
备注:考生同时通过理论考试及实操考试才能获得CCPTP证书。

考试证书

CCPTP考试完成后 10 个工作日内,考生将收到确认邮件,通知其考试分数及通过情况。如考试通过,可在CSA大中华区考试系统(https://exam.c-csa.cn)自行下载证书电子版。CCPTP证书有效期:三年

费用相关

  • 培训与考试认证费用12800元/人(其中:培训费用8800元/人;考试认证费4000元/人)
  • 证书维持费用:2000元/人(证书到期后需付费重新参加考试,考试通过后重新获得证书)
上一篇
下一篇