L’esame di certificazione Cisco SECFND – Understanding Cisco Cybersecurity Fundamentals – è associato alla certificazione Cisco CCNA Cyber Ops. L’esame SECFND verifica la conoscenza e competenze del candidato riguardo ai fondamenti della sicurezza in ambito sistemi e reti, approfondendo alcune tematiche relative a crittografia, monitoraggio e host-based analysis.
I candidati possono prepararsi per l’esame SECFND sostenendo i corsi Cisco CCNA Cyber Ops.
Argomenti dell’esame SECFND
L’esame Cisco SECFND prevede la conoscenza delle seguenti tematiche:
Networking
- Descrivere il funzionamento dei vari layer all’interno del modello OSI e TCP/IP
- Descrivere il funzionamento dei seguenti protocolli: IP, TCP, UDP, ICMP
- Descrivere il funzionamento dei seguenti servizi di rete: ARP, DNS, DHCP
- Descrivere il funzionamento di base di questi apparati: router, switch, hub, bridge, Wireless AP e LAN controller
- Descrivere le funzionalità di questi sistemi di sicurezza di rete situati a livello di host, di rete o cloud: Firewall, Cisco Intrusion Prevention System (IPS), Cisco Advanced Malware Protection (AMP), Web Security Appliance (WSA) / Cisco Cloud Web Security (CWS), Email Security Appliance (ESA) / Cisco Cloud Email Security (CES)
- Descrivere le sottoreti IP e le comunicazioni all’interno di una subnet e tra subent diverse
- Descrivere le relazioni tra VLAN e visibilità dei dati
- Descrivere il funzionamento delle ACL per il filtraggio dei pacchetti, applicate alle interfacce degli apparati di rete
- Comparare e distinguere l’ispezione approfondita dei pacchetti tra packet filtering e stateful firewall operation
- Comparare e distinguere inline traffic interrogation e taps o traffic mirroring
- Comparare e distinguere le caratteristiche dei dati ottenuti da taps o traffic mirroring e NetFlow nell’analisi del traffico di rete
- Identificare potenziali perdite di dati per profili di traffico assegnati
Sicurezza
- Descrivere i principi delle strategia Defense in Depth
- Comparare e distinguere i seguenti concetti: Risk, Threat, Vulnerability, Exploit
- Definire i seguenti termini: Threat actor, Run book automation (RBA), Chain of custody (evidentiary), Reverse engineering, Sliding window anomaly detection, PII, PHI
- Descrivere i seguenti concentti di sicurezza: Principle of least privilege, Risk scoring/risk weighting, Risk reduction, Risk assessment
- Comparare e distinguere i seguenti modelli per il controllo degli accessi: Discretionary access control, Mandatory access control, Nondiscretionary access control
- Comparare e distinguere i seguenti termini: Network e host antivirus, Agentless e agent-based protections, SIEM e log collection
- Descrivere i seguenti concetti: Asset management,Configuration management, Mobile device management, Patch management, Vulnerability management
Crittografia
- Descrivere gli usi di un algoritmo di hash
- Descrivere gli usi degli algoritmi di encryption
- Comparare e distinguere algoritmi di encryption simmetrici e asimmetrici
- Descrivere i processi di creazione e verifica della firma digitale
- Descrivere il funzionamento di una PKI
- Descrivere l’impatto a livello di sicurezza dei seguenti algoritmi di hash: MD5, SHA-1, SHA-256, SHA-512
- Descrivere l’impatto a livello di sicurezza dei seguenti algoritmi di encryption e protocolli di sicurezza: DES, 3DES, AES, AES256-CTR, RSA, DSA, SSH, SSL/TLS
- Descrivere come il successo o il fallimento di uno scambio crittografico ha impatto sull’analisi della sicurezza
- Descrivere i seguenti elementi in merito ai layer SSL/TLS: Cipher-suite, certificati X.509, Key exchange, Protocol version, PKCS
Host-based Analysis
- Definire i seguenti termini in ambito Microsoft Windows: Processes, Threads, Memory allocation, Windows Registry, WMI, Handles, Services
- Definire i seguenti termini in ambito Linux: Processes, Forks, Permissions, Symlinks, Daemon
- Descrivere le funzionalità delle seguenti tecnologie per gli endpoint rispetto al monitoraggio della sicurezza: Host-based intrusion detection: Antimalware e antivirus, Host-based firewall, Application-level whitelisting/blacklisting, Systems-based sandboxing (come ad esempio Chrome, Java, Adobe reader)
- Inepretare i dati dei log di un evento dei seguenti sistemi operativi: Windows security event logs, Unix-based syslog, Apache access logs, IIS access logs
Security Monitoring
- Identificare i tipi di dati forniti dalle seguenti tecnologie: TCP Dump, NetFlow, Next-Gen firewall, Traditional stateful firewall, Application visibility and control, Web content filtering, Email content filtering
- Descrivere i tipi di dati utilizzati nelle attività di monitoraggio: Full packet capture, Session data, Transaction data, Statistical data, Extracted content, Alert data
- Descrivere i seguenti concetti in relazione alle attività di monitoraggio: Access control list, NAT/PAT, Tunneling, TOR, Encryption, P2P, Encapsulation, Load balancing
- Descrivere le tipologie di eventi di un IPS NextGen: Connection event, Intrusion event, Host o endpoint event, Network discovery event, NetFlow event
- Desrivere le funzionalità dei seguenti protocolli in un contesto di monitoraggio: DNS, NTP, SMTP/POP/IMAP, HTTP/HTTPS
Motodi di Attacco
- Comparare e distinguere tra attack surface e vulnerability
- Descrivere i seguenti attacchi di rete: Denial of service, Distributed denial of service, Man-in-the-middle
- Descrivere i seguenti attacchi basati su applicazioni web: SQL injection, Command injections, Cross-site scripting
- Desrcivere i seguenti attacchi: Social engineering, Phishing, Evasion methods
- Descrivere i seguenti endpoint-based attacks: Buffer overflows, Command and control (C2), Malware, Rootkit, Port scanning, Host profiling
- Descrivere i seguenti evasion methods: Encryption e tunneling, Resource exhaustion, Traffic fragmentation, Protocol-level misinterpretation, Traffic substitution e insertion, Pivot
- Definire il processo di privilege escalation
- Comparare e distinguere remote e local exploit
Struttura dell’esame di certificazione
L’esame SECFND ha una durata di 90 minuti (120 per chi non è di madre-lingua inglese) con 55-60 domande.
Per vedersi riconosciuta la certificazione Cisco CCNA Cybersecurity Operations, il candidato deve sostenere con successo l’esame SECFND e l’esame Cisco SECOPS.
Il portfolio delle certificazioni Cisco ufficiale è disponibile al link