A Security Tester (CT-SEC) fortalece sua capacidade de identificar riscos de segurança com método e integrar segurança ao ciclo de desenvolvimento. Você aprende princípios, estratégias e técnicas que ajudam a prevenir vulnerabilidades, reduzir superfície de ataque e proteger dados e sistemas. O impacto profissional é atuar em uma competência escassa e crítica, valorizada por compliance e pelo risco financeiro e reputacional de incidentes.
Benefícios diretos: linguagem comum com times de segurança, maior capacidade de priorizar riscos, melhoria da robustez do produto e ampliação de oportunidades em setores regulados e ambientes com dados sensíveis.
Valores da Certificação
É esperado que a pessoa com esta certificação esteja apta a:
- Planejar, executar e avaliar testes de segurança baseada em uma variedade de perspectivas (políticas, riscos, padrões, requisitos e em vulnerabilidade);
- Analisar o uso eficaz de técnicas de avaliação de risco em uma determinada situação para identificar ameaças à segurança atuais e futuras;
- Avaliar o conjunto de testes de segurança existentes e identificar quaisquer testes de segurança adicionais;
- Determinar a eficácia dos testes de segurança;
- Determinar quais abordagens de testes de segurança têm maior probabilidade de sucesso conforme a situação;
- Identificar a necessidade de testes de segurança adicionais ou aprimorados; avaliar a eficácia dos mecanismos de segurança;
- Ajudar a organização a construir a conscientização da segurança da informação;
- Analisar um determinado relatório provisório de status do teste de segurança para determinar o nível de precisão, compreensibilidade e adequação dos stakeholders;
- Analisar e documentar o teste de segurança precisa ser tratado por uma ou mais ferramentas;
- Analisar e selecionar ferramentas de teste de segurança candidatas para uma determinada pesquisa de ferramenta com base em requisitos específicos;
- Compreender os benefícios do uso de padrões de teste de segurança e onde encontrá-los.
CT-SEC Syllabus v1.0 (2016)
Glossário de Termos de TesteFicha do Exame
Pré-requisitos: Qualificação para Exames CTAL
Idioma: Português-BR
Número de questões: 45
Tipo de questões: múltipla escolha
Tempo de Exame*: 120 min (estrangeiros: +25%)
Pontuação: 80 pontos (1 a 3 pontos por questão pela complexidade)
Aprovação: mínimo de 52 pontos (65%)
Distribuição das questões e pontuações:
| Capítulo | Questões | Pontuação |
| 1 | 4 | 8 |
| 2 | 6 | 11 |
| 3 | 6 | 12 |
| 4 | 8 | 16 |
| 5 | 8 | 12 |
| 6 | 5 | 9 |
| 7 | 3 | 5 |
| 8 | 3 | 5 |
| 9 | 2 | 2 |
(*) Ao final da prova, o candidato terá 10 minutos para transferir suas respostas para o gabarito.
Exemplo de Exame
Objetivos de Aprendizagem (LO)
Cada capítulo necessita de um tempo mínimo de dedicação ao estudo ou treinamento. Este tempo está expresso em minutos e apresentado entre parênteses após cada capítulo abaixo.
- A base do teste de segurança
- Riscos de segurança: AS-1.1.1 (K2) Compreender o papel da avaliação de risco no fornecimento de informações para o planejamento de testes de segurança e modelagem, e alinhamento de testes de segurança com as necessidades do negócio. AS-1.1.2 (K4) Identificar os ativos significativos a serem protegidos, o valor de cada ativo e os dados necessários para avaliar o nível de segurança necessário para cada ativo. AS-1.1.3 (K4) Analisar a utilização eficaz das técnicas de avaliação de riscos numa dada situação para identificar as ameaças atuais e futuras à segurança.
- Políticas e procedimentos de segurança da informação: AS-1.2.1 (K2) Compreender o conceito de políticas e procedimentos de segurança e como eles são aplicados em sistemas de informação. AS-1.2.2 (K4) Analisar um determinado conjunto de políticas e procedimentos de segurança, juntamente com os resultados dos testes de segurança para determinar a eficácia.
- A auditoria de segurança e seu papel no teste de segurança: AS-1.3.1 (K2) Compreender a finalidade de uma auditoria de segurança.
- Testes de segurança, objetivos, metas e estratégias
- O Propósito dos testes de segurança: AS-2.2.1 (K2) Entenda por que os testes de segurança são necessários em uma organização, incluindo benefícios como redução de risco e níveis mais altos de confiança.
- O Contexto organizacional: AS-2.3.1 (K2) Entender como a realidade do projeto, as restrições de negócio, o ciclo de vida de desenvolvimento e outras considerações afetam a missão da equipe de testes de segurança.
- Objetivos do teste de segurança: AS-2.4.1 (K2) Explicar por que os objetivos dos testes de segurança devem estar alinhados com a política de segurança da organização e com outros objetivos de teste na organização. AS-2.4.2 (K3) Demonstrar a capacidade de identificar os objetivos de teste de segurança com base na funcionalidade, atributos de tecnologia e vulnerabilidades conhecidas para um projeto. AS-2.4.3 (K2) Compreender a relação entre a garantia de informação e os testes de segurança.
- Âmbito e cobertura dos objetivos de testes de segurança: AS-2.5.1 (K3) Para um determinado projeto, demonstrar a capacidade de definir a relação entre os objetivos do teste de segurança e a necessidade de resistência da integridade de ativos digitais e físicos sigilosos.
- Abordagens de testes de segurança: AS-2.6.1 (K4) Analisar uma situação e determinar quais abordagens de teste de segurança têm maior probabilidade de sucesso. AS-2.6.2 (K4) Analisar uma situação em que uma tentativa de teste de segurança falhou, identificando as prováveis causas da falha. AS-2.6.3 (K3) Para um determinado cenário, demonstrar a capacidade de identificar os vários stakeholders e ilustrar os benefícios dos testes de segurança para cada grupo de stakeholders.
- Processos de teste de segurança
- Definição do processo de teste de segurança: AS-3.1.1 (K3) Para um determinado projeto, demonstrar a capacidade de definir os elementos de um processo de teste de segurança eficaz.
- Planejamento do teste de segurança: AS-3.2.1 (K4) Analisar um determinado plano de teste de segurança, dando feedback sobre os pontos fortes e fracos do plano.
- Projeto de teste de segurança: AS-3.3.1 (K3) Para um dado projeto, implementar testes de segurança conceituais (abstratos), com base numa determinada abordagem de teste de segurança, juntamente com riscos de segurança funcionais e estruturais identificados. AS-3.3.2 (K3) Implementar casos de teste para validar políticas e procedimentos de segurança.
- Execução do teste de segurança: AS-3.4.1 (K2) Compreender os elementos-chave e as características de um ambiente de teste de segurança eficaz. AS-3.4.2 (K2) Compreender a importância de planejar e obter aprovações antes de realizar qualquer teste de segurança.
- Avaliação do teste de segurança: AS-3.5.1 (K4) Analisar os resultados dos testes de segurança para determinar: a natureza da vulnerabilidade da segurança; a extensão da vulnerabilidade de segurança; potencial impacto da vulnerabilidade de segurança; as sugestões de mitigaçao; os métodos de relatório de teste.
- Manutenção do teste de segurança: AS-3.6.1 (K2) Compreender a importância de manter os processos de testes de segurança, dada a natureza evolutiva da tecnologia e das ameaças.
- Teste de segurança durante o ciclo de vida do software
- O papel dos testes de segurança no ciclo de vida do software: AS-4.1.1 (K2) Explicar por que a segurança é melhor alcançada dentro de um processo de ciclo de vida. AS-4.1.2 (K3) Implementar as atividades relacionadas à segurança, apropriadas para um determinado ciclo de vida do software (p. ex., iterativo, sequencial)
- O papel dos testes de segurança em requisitos: AS-4.2.1 (K4) Analisar um determinado conjunto de requisitos na perspectiva da segurança para identificar deficiências.
- O papel dos testes de segurança na modelagem: AS-4.3.1 (K4) Analisar um determinado documento de projeto do ponto de vista da segurança para identificar deficiências.
- O papel dos testes de segurança nas atividades de implementação: AS-4.4.1 (K2) Compreender o papel dos testes de segurança durante o teste de componentes. AS-4.4.2 (K3) Implementar testes de segurança no nível de componente (resumo) dados uma especificação de codificação definida. AS-4.4.3 (K4) Analisar os resultados de um determinado teste no nível de componente para determinar a adequação do código a partir da perspectiva de segurança. AS-4.4.4 (K2) Compreender o papel dos testes de segurança durante os testes de integração de componentes. AS-4.4.5 (K3) Implementar testes de segurança de integração de componentes (resumo) dados uma especificação de sistema definida.
- O papel dos testes de segurança nos testes de sistema e aceite: AS-4.5.1 (K3) Implementar um cenário de teste de ponta a ponta para testes de segurança que verificam um ou mais requisitos de segurança, testando um processo funcional descrito. AS-4.5.2 (K3) Demonstrar a capacidade de definir um conjunto de critérios de aceite para os aspectos de segurança de um dado teste de aceite.
- Mecanismos de teste de segurança
- Fortalecimento de sistema: AS-5.1.1 (K2) Compreender o conceito de fortalecimento do sistema e seu papel no aprimoramento da segurança. AS-5.1.2 (K3) Demonstrar como testar a eficácia dos mecanismos comuns de fortalecimento do sistema.
- Autenticação e autorização: AS-5.2.1 (K2) Compreender a relação entre autenticação e autorização e como elas são aplicadas na proteção de sistemas de informação. AS-5.2.2 (K3) Demonstrar como testar a eficácia dos mecanismos comuns de autenticação e autorização.
- Criptografia: AS-5.3.1 (K2) Compreender o conceito de criptografia e como ele é aplicado na proteção de sistemas de informação. AS-5.3.2 (K3) Demonstrar como testar a eficácia de mecanismos comuns de criptografia.
- Firewalls e zonas de rede: AS-5.4.1 (K2) Compreender o conceito de firewalls e o uso de zonas de rede e como elas são aplicadas na proteção de sistemas de informação. AS-5.4.2 (K3) Demonstrar como testar a eficácia de implementações de firewall e zonas de rede existentes.
- Detecção de intrusão: AS-5.5.1 (K2) Compreender o conceito de ferramentas de detecção de intrusão e como elas são aplicadas na proteção de sistemas de informação. AS-5.5.2 (K3) Demonstrar como testar a eficácia das implementações de ferramentas de detecção de intrusão existentes.
- Varredura de malware: AS-5.6.1 (K2) Compreender o conceito de ferramentas de varredura de malware e como elas são aplicadas na proteção de sistemas de informação. AS-5.6.2 (K3) Demonstrar como testar a eficácia das implementações de ferramentas de verificação de malware existentes.
- Mascaramento de dados: AS-5.7.1 (K2) Compreender o conceito de ferramentas de mascaramento de dados e como elas são aplicadas na proteção de sistemas de informação. AS-5.7.2 (K3) Demonstrar como testar a eficácia das abordagens de mascaramento de dados.
- Formação: AS-5.8.1 (K2) Compreender o conceito de treinamento de segurança como atividade de ciclo de vida do software e por que é necessário para proteger sistemas de informação. As-5.8.2 (K3) Demonstrar como testar a eficácia do treinamento em segurança.
- Fatores humanos em teste de segurança
- Compreendendo os atacantes: AS-6.1.1 (K2) Explicar como o comportamento humano pode levar a riscos de segurança e como ele afeta a eficácia dos testes de segurança. AS-6.1.2 (K3) Para um determinado cenário, demonstre a capacidade de identificar formas pelas quais um invasor pode descobrir informações-chave sobre um alvo e aplicar medidas para proteger o ambiente. AS-6.1.3 (K2) Explicar as motivações e origens comuns para a execução de ataques de sistemas informáticos. AS-6.1.4 (K4) Analisar um cenário de ataque (ataque executado e descoberto) e identificar possíveis fontes e motivação para o ataque.
- Engenharia social: AS-6.2.1 (K2) Explicar como as defesas de segurança podem ser comprometidas pela engenharia social.
- Consciência de segurança: AS-6.3.1 (K2) Compreender a importância da sensibilização para a segurança em toda a organização. AS-6.3.2 (K3) Tendo em conta determinados resultados de teste, aplicar medidas adequadas para aumentar a sensibilização para a segurança.
- Avaliação e relatórios de testes de segurança
- Avaliação do teste de segurança: AS-7.1.1 (K2) Compreender a necessidade de rever as expectativas de segurança e os critérios de aceite à medida que o escopo e as metas de um projeto evoluem.
- Relatórios de teste de segurança: AS-7.2.1 (K2) Compreender a importância de manter os resultados dos testes de segurança confidenciais e seguros. AS-7.2.2 (K2) Entenda a necessidade de criar controles adequados e mecanismos de coleta de dados para fornecer os dados de origem dos relatórios de status do teste de segurança de forma oportuna e precisa (p. ex., um painel de teste de segurança). AS-7.2.3 (K4) Analisar um determinado relatório de status de teste de segurança provisório para determinar o nível de exatidão, compreensão e apropriação de stakeholders.
- Ferramentas de teste de segurança
- Tipos e objetivos das ferramentas de teste de segurança: AS-8.1.1 (K2) Explicar o papel das ferramentas de análise estática e dinâmica nos testes de segurança.
- Seleção da ferramenta: AS-8.2.1 (K4) Analisar e documentar como os testes de segurança devem ser abordados por uma ou mais ferramentas. AS-8.2.2 (K2) Compreender os problemas com as ferramentas de código aberto. AS-8.2.3 (K2) Compreender a necessidade de avaliar os recursos do fornecedor para atualizar com frequência as ferramentas em uma base para se manter, adequado contra novas ameaças de segurança.
- Padrões e tendências da indústria
- Compreendendo os padrões de testes de segurança: AS-9.1.1 (K2) Compreender os benefícios do uso de padrões de testes de segurança e onde encontrá-los. AS-9.1.2 (K2) Compreender a diferença na aplicabilidade das normas em situações regulatórias versus contratuais.
- Aplicação de padrões de segurança: AS-9.2.1 (K2) Compreender a diferença entre as cláusulas obrigatória (normativa) e opcional (informativa) dentro de qualquer norma.
- Tendências da indústria: AS-9.3.1 (K2) Entender onde aprender das tendências da indústria em matéria de segurança da informação..
