Kaasaegne küberturvalisus: nullusaldus, privaatsus ja tehisintellekti turvalisuse kursus

Kaasaegne küberturvalisus on tipptasemel, ~5,7-tunnine küberturvalisuse kursus inseneridele ja turvapraktikutele — põhjalik ja ajakohane juhend nullusalduse, pääsuvõtmete, privaatsustehnika, ohutuvastuse, tehisintellekti/LLM-i turvalisuse ja tarkvara tarneahela kaitse kohta. See on mõttemudel, mida Google'i, Microsofti, Apple'i ja Cloudflare'i insenerid tegelikult kasutavad, et ehitada kaitsemehhanisme, mis kaitsevad miljardeid kasutajaid.

2022. aasta septembris logis üks 18-aastane Uberi võrku parooliga, mille ta ostis vähem kui võileiva hinna eest. Mitmikautentimine — viisteist aastat kullastandard — kaotas ühele WhatsAppi sõnumile. Ei nullpäeva. Ei riiklikku osalejat. Teismeline ja väsinud töövõtja.

Sellest rikkumisest see kursus algab, sest see tõstatab küsimuse, millega iga turvaarhitekt nüüd maadleb: kui täiuslik mitmikautentimine kaotab ikka telefonikõnele, siis milline näeb hea turvalisus tegelikult välja?

See pole sertifitseerimiseks ettevalmistus ega algaja teooria. See on see, kuidas maailma kõige rünnatavamad ettevõtted praktikas kaitsevad — selgitatud ühe kihi võrra sügavamalt kui turundusmaterjalid, läbi tõeliste rikkumiste, mis sundisid iga kaitsemehhanismi olemasollu.

---

Kellele see küberturvalisuse kursus on mõeldud

See sari on loodud tarkvarainseneridele, turvainseneridele ja praktikutele, kes juba mõistavad, mida HTTPS teeb ja mida MFA tähendab, ning soovivad kõrgtasemel arhitektuuriteadmisi, mis muudavad pealkirjad arusaamiseks.

Lõpuks olete meeskonnas see inimene, kes suudab lugeda uut rikkumisteadet ja kohe märgata, mis kaitsjatel kahe silma vahele jäi.

See kursus on teile sobiv, kui te:

• Ehitate, käitate või kaitsete tootmissüsteeme ja soovite turvalisusest mõelda arhitektina
• Loete pidevalt Scattered Spiderist, Volt Typhoonist, prompt injectionist või XZ tagauksest ja soovite neid tõeliselt mõista
• Soovite konkreetseid, esmaspäeva hommikul tehtavaid toiminguid — mitte abstraktseid raamistikke

See pole (veel) õige valik, kui vajate täiesti algajale mõeldud sissejuhatust või sertifitseerimiseks tuupimist. Me eeldame põhiteadmisi ja läheme otse sügavusse.

---

Mida te õpite

Kolm tihedalt seotud videot, millest igaüks algab tõelise nimega intsidendiga, eraldab arhitektuurilise õppetunni ja lõpeb täpselt sellega, mida sellega teha.

1. osa — Identiteet suures mahus: nullusaldus ja pääsuvõtmed (≈96 min)

Esiuks: kes pääseb sisse ja miks kõik muud kaitsemehhanismid toetuvad identiteedile.

• Mida nullusaldus arhitektuurina tegelikult tähendab, mitte loosungina (NIST 800-207, CISA sambad ja miks see tegelikult tähendab pidevat, tõenduspõhist usaldust)
• Google BeyondCorp — esimene tootmisnullusaldus, lisaks ALTS, Binary Authorization ja gVisor
• Microsoft Entra ja Secure Future Initiative — nii tõsine rikkumine, et Microsoft reorganiseeris avalikult, ja sellele reageerimise aluseks olev tingimusliku juurdepääsu mudel
• Cloudflare One — täpne krüptograafiline põhjus, miks FIDO2 riistvaravõtmed alistasid õngitsuskampaania, mis murdis 130 teist ettevõtet
• Pääsuvõtmed ja WebAuthn, õigesti selgitatuna — lähteaadressi sidumine, sünkroonitud vs seadmega seotud ja paroolivarguse tegelik lõpp
• Okta rikkumised, Scattered Spider ja Snowflake'i laine — kuidas tänapäeva ründajad jätavad krüptograafia vahele ja helistavad lihtsalt abikeskusesse
• Föderaalsed õngitsuskindla MFA nõuded, WebAuthn 3. tase, OAuth 2.1 ja identiteedi tulevik tehisintellektiagentide ajastul

2. osa — Miljardite kaitsmine: privaatsustehnika ja ohutuvastus (≈122 min)

Mis juhtub, kui ründaja on juba sees — ja kuidas kaitsta andmeid, mida te isegi ei näe.

• Apple Private Cloud Compute — kuidas server saab tõestada, et see pole kunagi teie tehisintellekti päringuid lugenud, ja miks Apple maksis kuni miljon dollarit kellelegi, kes suudab tõestada, et nad eksivad
• Diferentsiaalne privaatsus ja föderatiivne õpe — andmete kasutamine ilma neid kunagi nägemata
• Otsast lõpuni krüpteerimine — Signal Protocol, Advanced Data Protection ja tagaukse poliitika
• Ohuluure — kuidas Microsoft nimetab ja jälgib üle 300 riiklikult toetatud häkkimisgrupi
• Volt Typhoon ja Salt Typhoon — uus ajastu eelpositsioneerimisest kriitilises taristus
• ITDR, kaasaegne SOC, tuvastus koodina ja turvalisuse andmejärv
• CrowdStrike'i katkestus — päev, mil üks uuendus viis rivist välja 8,5 miljonit masinat, ja mida kaitse tegelikult maksab

3. osa — Uus piir: tehisintellekti turvalisus ja tarkvara tarneahel (≈124 min)

Kaks pinda, kus nii ründajad kui ka kaitsjad alles kirjutavad reegleid — otse tootmises.

• EchoLeak — esimene nullkliki prompt injection tootmises oleva tehisintellektiagendi vastu: üks e-kiri, null klikki, kogu teie SharePoint
• OWASP Top 10 LLM-rakendustele (2025) ja miks prompt injection on uus SQL injection
• Kuidas suured tehisintellekti laborid oma mudeleid tegelikult kaitsevad — turvaraamistikud, punased meeskonnad ja MITRE ATLAS
• Agentse tehisintellekti turvalisus — ründepind, mis kahekordistus, kui assistendid hakkasid tegutsema
• Mudeli vargus ja destilleerimine
• Tarkvara tarneahela turvalisus — SolarWinds, Log4Shell ja kogu XZ tagaukse lugu, see napilt möödaläinud juhtum, mis oli päevade kaugusel peaaegu iga serveri kompromiteerimisest Maal
• Tegelikud kaitsemehhanismid: SLSA, Sigstore, SBOM-id ja korratavad ehitused

---

Miks see küberturvalisuse kursus on erinev

Ehitatud tõelistele intsidentidele, mitte abstraktsioonidele. Iga kontseptsioon on seotud nimega rikkumise, tõelise CVE-ga ja konkreetse kontrolliga, mis oleks selle peatanud.

Ajakohane ja asjakohane. See on kindel pilt sellest, kus turvalisus täna seisab — kehtivad regulatsioonid, tarnitavad tooted ja hetkel looduses aktiivsed kampaaniad.

Arhitektuurini ulatuv, esmaste allikatega. Viited NIST 800-207-le, BeyondCorpi artiklitele, Cyber Safety Review Boardi aruannetele, OWASP-ile ja MITRE-le — nii saate pärast video lõppu edasi õppida.

Tegu, mitte trivia. Iga osa lõpeb konkreetse tegevusjuhisega, mida saate rakendada esmaspäeva hommikul, olgu siis tegemist Fortune 500 ettevõtte või ühemehe-SaaS-iga.

---

Mis on hinna sees

• Kõik kolm tasulist videot (~5,7 tundi põhjalikku õpet)
• Ühekordne ost, eluaegne juurdepääs — osta üks kord, hoia igavesti
• Täielik sari, mis on mõeldud vaatamiseks järjekorras, kus iga video tugineb eelmisele

"Lõpuks tundub see tähesupp — WebAuthn, FIDO2, OAuth, ZTNA, ITDR, SLSA, SBOM — konkreetsena. Saate teada, milleks igaüks neist on, kus see virnas asub ja millise probleemi selle puudumine tekitab."

---

Korduma kippuvad küsimused

Kas see küberturvalisuse kursus on algajatele? Ei. See on edasijõudnute kursus inseneridele ja praktikutele. Eeldame, et te juba mõistate HTTPS-i ja MFA-d, ning läheme kihi võrra sügavamale sellesse, kuidas suuremahulisi kaitsemehhanisme tegelikult ehitatakse.

Millist tausta ma vajan? Toimivad teadmised sellest, kuidas veeb ja autentimine toimivad. Kui suudate selgitada, mida HTTPS ja MFA teevad, olete valmis.

Kas materjal on ajakohane? Jah. Sari hõlmab kõige uuemaid rikkumisi, regulatsioone ja kaitsemehhanisme, sealhulgas tehisintellekti/LLM-i turvalisust ja tarkvara tarneahela ründeid kuni aastateni 2025–2026.

Kas ma saan eluaegse juurdepääsu? Jah. See on ühekordne ost eluaegse juurdepääsuga kõigile kolmele videole.

Kas see aitab mul sertifikaati saada? See pole eksamikeskne, kuid sügavus nullusalduse, identiteedi, privaatsustehnika, tuvastuse ja tarneahela turvalisuse osas tugevdab enamiku kaasaegsete turbesertifikaatide taga olevaid kontseptsioone.

---

Hangi kõik kolm videot nüüd → nikandr.com/cybersecurity