EC-Council Certified Security Analyst (ECSA) + Examen

Categoría:
Tecnología de la Información /
Autoestudio: 365 días
Online EN VIVO: 40 horas
En este curso, los estudiantes aprenderán el Probador de Penetraciones Autorizado (LPT) de EC-Council, una evolución natural y una adición de valor extendido a la serie de certificaciones profesionales relacionadas con la seguridad. El curso de pruebas de penetración de ECSA te brinda una experiencia práctica de pruebas de penetración en el mundo real y es una clase de pruebas de hacking y penetración aceptada a nivel mundial que cubre las pruebas de infraestructuras modernas, sistemas operativos y entornos de aplicaciones mientras enseña a los estudiantes cómo documentar y escribir un informe de prueba de penetración.

El programa ECSA pentest toma las herramientas y técnicas aprendidas en el curso Certified Ethical Hacker (CEH) y mejora tu capacidad de explotación al enseñarte como aplicar las habilidades aprendidas en CEH utilizando la metodología de prueba de penetración publicada por EC-Council, dicha metodología pone énfasis en el aprendizaje práctico.

  • Hackers éticos
  • Penetration Testers
  • Administradores de servidores de red
  • Administradores de firewall
  • Testers de seguridad
  • Administradores de sistemas y profesionales de evaluación de riesgos

Conceptos Esenciales de Pruebas de Penetración (Autoestudio)

  • Fundamentos de redes informáticas
  • Conjunto de protocolos TCP/IP
  • Direcciones IP y números de puerto
  • Terminología de red
  • Controles de seguridad de la red
  • Dispositivos de seguridad de red
  • Sistema de archivos de red (NFS)
  • Seguridad de Windows
  • Seguridad Unix/Linux
  • Virtualización
  • Servidor web
  • Aplicación web
  • Lenguajes de programación y marcado web
  • Marcos de desarrollo de aplicaciones y sus vulnerabilidades
  • API web
  • Subcomponentes web
  • Mecanismos de seguridad de aplicaciones web
  • Funcionamiento de los ataques de seguridad de la información más comunes
  • Normas, leyes y regulaciones de seguridad de la información

 

Módulo 1: Introducción a Pruebas de Penetración y Metodologías

  • ¿Qué son las pruebas de penetración?
  • Beneficios de realizar una prueba de penetración
  • ROI para pruebas de penetración
  • ¿En qué se diferencian las pruebas de penetración del hacking ético?
  • Comparación de auditorías de seguridad, evaluación de vulnerabilidades y pruebas de penetración
  • Tipos de pruebas de penetración
  • Pruebas de penetración: costo y exhaustividad
  • Seleccionar un tipo de prueba apropiado
  • Diferentes formas de pruebas de penetración
  • Selección de la forma adecuada de prueba de penetración
  • Áreas comunes de pruebas de penetración
  • Proceso de prueba de penetración
  • Fases de prueba de penetración
  • Metodologías de prueba de penetración
  • Necesidad de una metodología
  • Metodología de prueba de penetración de LPT
  • Fundamentos de las pruebas de penetración

 

Módulo 2: Alcance de las Pruebas de Penetración y Metodología de Ejecución

  • Prueba de penetración: actividades de pre-ejecución
  • Actividades de pre-ejecución
  • Solicitud de propuesta (RFP)
  • Preparación de los requisitos de respuesta para la presentación de propuestas
  • Establecer las reglas de ejecución (ROE)
  • Establecer líneas de comunicación: identificar los detalles del contacto clave
  • Línea de tiempo
  • Hora/Ubicación
  • Frecuencia de reuniones
  • Hora del día
  • ¿Identificas quién puede ayudarte?
  • Documento ROE
  • Manejo de problemas legales en la ejecución de pruebas de penetración
  • Contrato de prueba de penetración
  • Preparación para la prueba
  • Manipulación del alcance que se arrastra durante la prueba de penetración

 

Módulo 3: Metodología de Inteligencia de Código Abierto (OSINT)

  • Pasos de recopilación de OSINT
  • OSINT a través de la World Wide Web (WWW)
  • OSINT a través del análisis de sitios web
  • OSINT mediante interrogación de DNS
  • Automatizar su esfuerzo de OSINT usando herramientas/marcos de referencia/scripts

 

Módulo 4: Metodología de Prueba de Penetración de Ingeniería Social 

  • Pruebas de penetración de ingeniería social
  • Habilidades necesarias para realizar pentest de ingeniería social
  • Objetivos comunes de pentest de ingeniería social
  • Recuerda: antes de la prueba de ingeniería social
  • ¿Caja negra o caja blanca?
  • Pasos de prueba de penetración de ingeniería social
  • Pruebas de penetración de ingeniería social utilizando el vector de ataque de E-mail
  • Pruebas de penetración de ingeniería social utilizando el vector de ataque telefónico
  • Pruebas de penetración de ingeniería social utilizando vector de ataque físico

 

Módulo 5: Metodología de Prueba de Penetración de Red – Externa

  • Prueba de penetración de red
  • Pruebas de penetración externa vs. interna
  • Prueba de penetración de red externa
  • Prueba de penetración de red interna
  • Proceso de prueba de penetración de red
  • ¿Pruebas de penetración de red en caja blanca, negra o gris?
  • Pasos de prueba de penetración de red externa
  • Escaneo de puertos
  • Huellas digitales del sistema operativo y del servicio
  • Investigación de vulnerabilidad
  • Verificación de exploits

 

Módulo 6: Metodología de Prueba de Penetración de Red – Interna

  • Prueba de penetración de red interna
  • ¿Por qué realizar pruebas de penetración de redes internas?
  • Pasos de prueba de penetración de red interna
  • Huella
  • Escaneo en red
  • Huellas digitales del sistema operativo y del servicio
  • Enumeración
  • Evaluación de vulnerabilidad
  • Explotación de Windows
  • Explotación de Unix/Linux
  • Otras técnicas de explotación de redes internas
  • Automatización del esfuerzo de prueba de penetración de la red interna
  • Post explotación

 

Módulo 7: Metodología de Prueba de Penetración de Red – Dispositivos Perimetrales

  • Pasos para las pruebas de penetración de cortafuegos
  • Pasos para las pruebas de penetración de IDS
  • Pasos para la prueba de penetración de enrutadores
  • Pasos para la prueba de penetración de los conmutadores
  • Evaluación de la implementación de seguridad de firewall
  • Evaluación de la implementación de seguridad de IDS
  • Evaluación de la seguridad de los enrutadores
  • Evaluación de la seguridad de los conmutadores

 

Módulo 8: Metodología de Prueba de Penetración de Aplicaciones Web

  • ¿Caja blanca o caja negra?
  • Prueba de penetración de aplicaciones web
  • Marco de seguridad de aplicaciones web
  • Marco de seguridad frente a vulnerabilidades ante ataques
  • Pasos de prueba de penetración de aplicaciones web
  • Descubre el contenido predeterminado de la aplicación web
  • Descubre el contenido oculto de la aplicación web
  • Realizar análisis de vulnerabilidades web
  • Identificar el área de superficie de ataque
  • Pruebas de vulnerabilidades de inyección SQL
  • Pruebas de vulnerabilidades XSS
  • Pruebas de manipulación de parámetros
  • Pruebas de vulnerabilidades de criptografía débil
  • Pruebas de vulnerabilidades de configuración incorrecta de seguridad
  • Pruebas para el ataque de secuencias de comandos del lado del cliente
  • Pruebas para detectar vulnerabilidades de autenticación y autorización rotas
  • Pruebas de vulnerabilidades de administración de sesiones rotas
  • Prueba de seguridad de servicios web
  • Pruebas de defectos de lógica empresarial
  • Pruebas de vulnerabilidades del servidor web
  • Pruebas de vulnerabilidades de clientes importantes

 

Módulo 9: Metodología de Prueba de Penetración de Bases de Datos

  • Pasos de prueba de penetración de la base de datos
  • Reconocimiento de información
  • Enumeración de base de datos: Oracle
  • Enumeración de base de datos: MS SQL Server
  • Enumeración de base de datos: MySQL
  • Investigación de vulnerabilidades y exploits
  • Explotación de bases de datos: Oracle
  • Explotación de base de datos: MS SQL SERVER
  • Explotación de bases de datos: MySQL

 

Módulo 10: Metodología de Prueba de Penetración Inalámbrica

  • Prueba de penetración inalámbrica
  • Pasos de prueba de penetración de WLAN
  • Pasos de prueba de penetración RFID
  • Pasos de prueba de penetración de NFC
  • Pasos para la prueba de penetración de dispositivos móviles
  • Pasos de prueba de penetración de IoT
  • Prueba de penetración de la red de área local inalámbrica (WLAN)
  • Prueba de penetración RFID
  • Prueba de penetración de NFC
  • Prueba de penetración de dispositivos móviles
  • Pruebas de penetración de IoT

 

Módulo 11: Metodología de Prueba de Penetración de Nubes

  • Distribución de servicios de nube pública: AWS, Azure, Google Clouds están en el TOP entre otros
  • Preocupaciones y seguridad de la informática en la nube
  • Riesgos de seguridad relacionados con la informática en la nube
  • Papel de las pruebas de penetración en la informática en la nube
  • Recuerda: pruebas de penetración de nubes
  • Alcance de las pruebas de Cloud Pen
  • Limitaciones de la penetración de nubes
  • Pruebas de penetración específicas de la nube
  • Reconocimiento de la nube
  • Identificar el tipo de nube que se probará
  • Identificar qué se probará en el entorno de nube
  • Identificar las herramientas para la prueba de penetración
  • Identificar qué se permite probar en un entorno de nube
  • Identificar qué pruebas están prohibidas
  • Provisión de AWS para pruebas de penetración
  • Provisión de Azure para pruebas de penetración
  • Provisión de Google Cloud para pruebas de penetración
  • Identificar la fecha y la hora de la prueba de penetración
  • Pruebas de penetración específicas de la nube
  • Recomendaciones para pruebas en la nube

 

Módulo 12: Redacción de Informes y Acciones Posteriores a la Prueba

  • Entregables de pruebas de penetración
  • Objetivo del informe de pruebas de penetración
  • Tipos de informes de pentest
  • Características de un buen informe de pentest
  • Redacción del informe final
  • Propiedades del documento/historial de versiones
  • Tabla de contenido/informe final
  • Resumen de ejecución
  • Alcance del proyecto
  • Propósito de la evaluación/descripción del sistema
  • Supuestos/línea de tiempo
  • Resumen de evaluación, hallazgos y recomendaciones
  • Metodologías
  • Planificación
  • Explotación
  • Informes
  • Informe técnico completo
  • Análisis de resultados
  • Recomendaciones
  • Apéndices
  • Apéndice de muestra
  • Análisis del informe de pruebas de penetración
  • Informe sobre pruebas de penetración
  • Reunión del equipo de prueba de penetración
  • Análisis de investigación
  • Resultados del pentest
  • Resultados de la calificación
  • Analizar
  • Priorizar recomendaciones
  • Entrega de informe de pruebas de penetración
  • Limpieza y restauración
  • Retención de informes
  • Plantilla de documento de aprobación
  • Acciones posteriores a la prueba para organizaciones

  • Habilidades básicas de hacking ético.
  • No se requiere la certificación Certified Ethical Hacker (CEH), pero se recomienda como requisito previo para asistir a este curso.

  • EC-Council Certified Security Analyst (ECSA) v10 (Exam 412-79)

Detalles del examen

Entrega Online (Basado en la web)
Formato Libro cerrado
Supervisión Presencial
Duración 4 Horas
# de preguntas 150
Aprobación 70%

Escanea el código