Beschreibung
SecurityX ist eine fortgeschrittene Cybersicherheitszertifizierung für Sicherheitsarchitekten und leitende Sicherheitsingenieure. Sie belegt Ihre Kompetenz, sichere Lösungen in komplexen Umgebungen zu konzipieren, zu entwickeln und zu implementieren. Darüber hinaus zeigen Sie, dass Sie ein resilientes Unternehmen unterstützen und gleichzeitig Anforderungen in den Bereichen Governance, Risikomanagement und Compliance erfüllen können.
Agenda Governance, Risikomanagement und Compliance (GRC)
-Dokumentation des Sicherheitsprogramms: Richtlinien, Verfahren, Standards und Leitlinien.
-Programmmanagement: Schulungen (Phishing, Sicherheit, Datenschutz), Kommunikation, Berichterstattung und RACI-Matrix.
-Frameworks: COBIT, ITIL usw.
-Konfigurationsmanagement: Asset-Lebenszyklus, CMDB und Inventar.
-GRC-Tools: Mapping, Automatisierung und Compliance-Tracking.
-GRC-Tools: Mapping, Automatisierung und Compliance-Tracking.
-GRC tools: Mapping, automation and compliance tracking.
-Daten-Governance: Produktion, Entwicklung, Test und Qualitätssicherung.
-Risikomanagement: Folgenabschätzung, Risikobewertung (quantitativ vs. qualitativ), Drittparteienrisiko, Vertraulichkeit, Integrität und Verfügbarkeit.
-Bedrohungsmodellierung: Akteurscharakteristika, Angriffsmuster und Frameworks (ATT&CK, CAPEC, STRIDE).
-Angriffsfläche: Architekturprüfungen, Datenflüsse und Vertrauensgrenzen.
-Compliance-Strategien: Branchenspezifische Standards (PCI DSS, ISO/IEC 27000).
-Sicherheitsframeworks: NIST, CSF, CSA und andere.
Sicherheitsarchitektur
-Cloud-Funktionen: CASB (API-basiert, Proxy-basiert), Schatten-IT-Erkennung, Modell der geteilten Verantwortung, CI/CD-Pipeline, Terraform, Ansible, Containersicherheit, Orchestrierung und serverlose Workloads.
-Cloud-Datensicherheit: Datenexposition, Datenlecks, Datenreste, unsichere Speicherung und Verschlüsselungsschlüssel.
-Cloud-Kontrollstrategien: proaktive, detektive und präventive Kontrollen; Kunden-Cloud-Konnektivität, Serviceintegration und kontinuierliche Autorisierung.
-Netzwerkarchitektur: Segmentierung, Mikrosegmentierung, VPN, Always-On-VPN und API-Integration.
-Sicherheitsgrenzen: Asset-Identifizierung, -Management, -Attestierung, Datenperimeter und sichere Zonen.
-Entperimeterisierung: SASE, SD-WAN und Software-Defined Networking.
-Zero-Trust-Konzepte: Definition von Subjekt-Objekt-Beziehungen.
Sicherheitsentwicklung
-Automatisierung: Skripterstellung (PowerShell, Bash, Python), Ereignisauslöser, IaC, Cloud-APIs, generative KI, Containerisierung, Patching, SOAR und Workflow-Automatisierung.
-Schwachstellenmanagement: Scannen, Berichterstellung und SCAP (OVAL, XCCDF, CPE, CVE, CVSS).
-Fortgeschrittene Kryptografie: PQC, Key Stretching, homomorphe Verschlüsselung, Forward Secrecy und Hardwarebeschleunigung.
-Kryptografische Anwendungsfälle: Daten im Ruhezustand, während der Übertragung und in der Nutzung; sichere E-Mail, Blockchain, Datenschutz, Compliance und zertifikatsbasierte Authentifizierung.
-Kryptografische Verfahren: Tokenisierung, Codesignierung, kryptografisches Löschen, digitale Signaturen, Hashing und symmetrische/asymmetrische Kryptografie.
Sicherheitsbetrieb
-Überwachung und Datenanalyse: SIEM (Ereignisanalyse, Aufbewahrung, Fehlalarme), aggregierte Analyse (Korrelation, Priorisierung, Trends) und Verhaltensbaselines (Netzwerk, Systeme, Benutzer).
-Schwachstellen und Angriffsfläche: Injection, XSS, unsichere Konfigurationen, veraltete Software und schwache Verschlüsselungsverfahren; Gegenmaßnahmen umfassen Eingabevalidierung, Patches, Verschlüsselung und mehrschichtige Sicherheitsarchitektur.
-Bedrohungsanalyse: Interne Informationen (Honeypots, UBA), externe Informationen (OSINT, Darknet, ISACs), TIPs, IoC-Austausch (STIX, TAXII) und regelbasierte Sprachen (Sigma, YARA, Snort).
-Reaktion auf Sicherheitsvorfälle: Malware-Analyse (Sandboxing, IoC-Extraktion, Code-Stilometrie), Reverse Engineering, Metadatenanalyse, Datenwiederherstellung und Ursachenanalyse.
Direktlink zum Seminar