Security Assessment and Testing

Audit e assessment, vulnerability management, penetration test, metriche, validazione dell’efficacia dei controlli e reporting.

Security Assessment and Testing è il dominio CISSP che riguarda la verifica dell’efficacia delle misure di sicurezza. Qui impari a testare sistemi, identificare vulnerabilità e garantire che controlli, policy e infrastrutture funzionino davvero come previsto.

🚀 Inizia quiz

Domande disponibili: 80

Cosa imparerai in questo topic

Questo argomento fa parte del percorso CISSP. In questa pagina puoi capire meglio cosa copre questo argomento, quali concetti vengono richiesti e perché è utile esercitarti con un quiz dedicato prima di passare all’esame completo o ai quiz misti.

Il quiz su Security Assessment and Testing ti aiuta a concentrarti su nozioni specifiche, definizioni, scenari pratici e concetti ricorrenti che possono comparire durante la preparazione alla certificazione.

Perché questo argomento è importante

Studiare bene Security Assessment and Testing è importante perché questo argomento contribuisce alla comprensione generale della certificazione CISSP. Una buona preparazione sui singoli topic rende più semplice affrontare sia le domande teoriche sia quelle applicative, migliorando la sicurezza e la rapidità nel rispondere.

Allenarti topic per topic ti permette anche di individuare con precisione i tuoi punti deboli, ripassare meglio e costruire una preparazione più solida nel tempo.

Cos’è Security Assessment and Testing

Questo dominio si concentra sulla valutazione continua della sicurezza di sistemi e processi. L’obiettivo è identificare vulnerabilità, verificare controlli e garantire che le difese siano efficaci nel tempo.

Vulnerability Assessment

Il vulnerability assessment consiste nell’identificare debolezze nei sistemi, nelle applicazioni o nelle reti. Utilizza strumenti automatici per rilevare vulnerabilità note, configurazioni errate o software non aggiornato.

Penetration Testing

Il penetration test simula un attacco reale per verificare quanto sia effettivamente sfruttabile una vulnerabilità. A differenza del vulnerability assessment, è più approfondito e mira a dimostrare l’impatto reale di un attacco.

Audit e controlli di sicurezza

Gli audit verificano che policy, procedure e controlli siano applicati correttamente. Possono essere interni o esterni e servono anche per la conformità normativa e certificazioni.

Logging e monitoraggio

Il monitoraggio continuo e la raccolta dei log sono fondamentali per individuare anomalie, incidenti e comportamenti sospetti. I log devono essere protetti e analizzati regolarmente.

Testing dei controlli

I controlli tecnici e organizzativi devono essere testati periodicamente per assicurarsi che funzionino correttamente e che non siano stati aggirati o compromessi.

Argomenti correlati

Security and Risk Management

Concetti fondamentali CISSP, triade CIA, risk management, governance, policy, compliance, etica e gestione del rischio residuo.

Identity and Access Management (IAM)

Autenticazione, autorizzazione, AAA, modelli di controllo accessi, RBAC/ABAC, federazione, MFA e gestione identità.

Asset Security

Classificazione delle informazioni, data handling, protezione degli asset, retention, distruzione sicura e data privacy di base.

Communication and Network Security

Sicurezza delle reti e delle comunicazioni: protocolli, segmentazione, architetture, difese, VPN, IDS/IPS e attacchi di rete.

Security Architecture and Engineering

Architettura di sicurezza, modelli (Bell-LaPadula, Biba, Clark-Wilson), crittografia, PKI, key management, hardware security e trusted computing.

Security Operations

Operazioni di sicurezza: incident handling, monitoring, logging, forensics, change/config management, BCP/DR, vulnerability remediation e gestione operativa.

Software Development Security

Sicurezza nello sviluppo: SDLC, secure coding, threat modeling, OWASP, code review, DevSecOps e gestione delle vulnerabilità applicative.