Zibersegurtasun Modernoa: Zero Trust, Pribatutasuna eta AI Segurtasun Ikastaroa

Zibersegurtasun Modernoa goi-mailako ~5.7 orduko zibersegurtasun ikastaro bat da, ingeniari eta segurtasun profesionalentzat — Zero Trust, pasahitz-gakoak, pribatutasun ingeniaritza, mehatxu detekzioa, AI/LLM segurtasuna eta software hornidura-katearen defentsari buruzko gida sakon eta eguneratua. Google, Microsoft, Apple eta Cloudflareko ingeniariek milaka milioi erabiltzaile babesten dituzten kontrolak eraikitzeko erabiltzen duten pentsamendu-eredua da.

2022ko irailean, 18 urteko gazte bat Uberren sarean sartu zen ogitarteko bat baino gutxiago kostatzen zen pasahitz batekin. Faktore anitzeko autentifikazioak — hamabost urtez urrezko estandarra — WhatsApp mezu bakar baten aurrean amore eman zuen. Zero eguneko erasorik ez. Nazio-estaturik ez. Nerabe bat eta kontratista nekatua.

Segurtasun-hauste horretan hasten da ikastaro hau, segurtasun-arkitekto guztiak orain borrokan daukaten galdera planteatzen duelako: MFA perfektuak telefono dei baten aurrean ere egiten badu por, zer itxura du benetan segurtasun onak?

Hau ez da ziurtagiri prestaketa, eta ez da hasiberrientzako teoria. Munduko enpresa erasotuenek praktikan nola defendatzen duten da — marketinaren azaleko aurkezpenak baino sakonago azaldua, defentsa bakoitza existitzera behartu zuten benetako segurtasun-hausteen bitartez.

---

Norentzat den zibersegurtasun ikastaro hau

Serie hau software ingeniariei, segurtasun ingeniariei eta profesionalentzat eraikia dago, HTTPSek zer egiten duen eta MFAk zer esan nahi duen jada ulertzen dutenentzat, eta titularrak ulermen bihurtzen dituen maila altuko arkitektura-ezagutza nahi dutenentzat.

Amaitzean, zure taldean segurtasun-hauste berri baten oharra irakurri eta berehala defendatzaileek zer galdu zuten antzeman dezakeen pertsona izango zara.

Ikastaro hau zuretzat egokia da baldin eta:

• Ekoizpen sistemak eraiki, operatu edo defendatzen dituzu eta segurtasunari buruz arkitekto bezala arrazoitu nahi duzu
• Scattered Spider, Volt Typhoon, prompt injection edo XZ backdoor-i buruz irakurtzen jarraitzen duzu eta benetan ulertu nahi dituzu
• Astelehen goizean bertan gauzatu daitezkeen ekintza zehatzak nahi dituzu — ez marko abstraktuak

Ez da egokia (oraindik) hasiberri absolutuentzako sarrera edo ziurtagiri azterketa bat behar baduzu. Oinarrizkoak jakintzat ematen ditugu eta zuzenean sakontasunera goaz.

---

Zer ikasiko duzun

Elkarri ondo lotutako hiru bideo, bakoitza benetako izendun gertakari batekin irekitzen da, arkitektura-ikasketa ateraz eta zer egin behar den zehatz-mehatz azalduz amaitzen da.

1. zatia — Identitatea Eskala Handian: Zero Trust eta Pasahitz-gakoak (≈96 min)

Aurreko atea: nor sartzen den, eta zergatik gainerako defentsa guztiak identitatearen gainean oinarritzen diren.

• Zero Trust arkitektura gisa benetan zer esan nahi duen, ez lelo bezala (NIST 800-207, CISAren zutabeak, eta zergatik benetan etengabeko, ebidentzian oinarritutako konfiantza esan nahi duen)
• Google BeyondCorp — ekoizpenean lehen Zero Trust, gehi ALTS, Binary Authorization eta gVisor
• Microsoft Entra & Secure Future Initiative — hain larria izan zen segurtasun-haustea non Microsoft publikoki berrantolatu zen, eta erantzunaren atzean dagoen Baldintzapeko Sarbide eredua
• Cloudflare One — FIDO2 hardware gakoek 130 enpresa hautsi zituen phishing kanpainari irabaztearen arrazoi kriptografiko zehatza
• Pasahitz-gakoak eta WebAuthn, behar bezala azalduak — jatorri-lotura, sinkronizatuak vs. gailuari lotuak, eta pasahitzen lapurretaren benetako amaiera
• Okta segurtasun-hausteak, Scattered Spider eta Snowflake olatua — erasotzaile modernoek kriptografia saltatu eta laguntza-zentrora deitzen duten modua
• Phishing-aren aurkako MFAren agindu federalak, WebAuthn 3. Maila, OAuth 2.1, eta identitatearen etorkizuna AI agenteen aroan

2. zatia — Milaka Milioi Defendatzen: Pribatutasun Ingeniaritza eta Mehatxu Detekzioa (≈122 min)

Zer gertatzen den erasotzailea jada barruan dagoenean — eta ikusi ere ezin duzun datua nola babestu.

• Apple Private Cloud Compute — zerbitzari batek zure AI eskaerak inoiz irakurri ez dituela frogatu dezakeen modua, eta zergatik Applek 1 milioi dolar arte ordaindu zion kontrakoa frogatu zezakeen edonori
• Pribatutasun diferentziala eta ikasketa federatua — datuak inoiz ikusi gabe erabiltzea
• Muturretik muturrerako enkriptatzea — Signal Protokoloa, Datuen Babes Aurreratua, eta atzeko atearen politika
• Mehatxu inteligentzia — Microsoftek estatuaren babespeko 300+ hacking talde nola izendatzen eta jarraitzen dituen
• Volt Typhoon eta Salt Typhoon — azpiegitura kritikoen barruan aurrez kokatzeko aro berria
• ITDR, SOC modernoa, detekzioa-kode-gisa, eta segurtasun datuen aintzira
• CrowdStrike etenaldia — egun batean eguneratze batek 8.5 milioi makina erori zitueneko eguna, eta defentsak benetan zer kostatzen duen

3. zatia — Muga Berria: AI Segurtasuna eta Software Hornidura-katea (≈124 min)

Erasotzaileek eta defendatzaileek arauak oraindik idazten ari diren bi azalerak — zuzenekoan, ekoizpenean.

• EchoLeak — ekoizpenean dagoen AI agente baten aurka klik gabeko lehen prompt injekzioa: mezu bat, zero klik, zure SharePoint osoa
• OWASP Top 10 LLM Aplikazioentzat (2025) eta zergatik prompt injekzioa SQL injekzio berria den
• AI laborategi nagusiek beren ereduak nola defendatzen dituzten — segurtasun esparruak, talde gorriak, eta MITRE ATLAS
• AI agentikoaren segurtasuna — laguntzaileak jarduten hasi zirenean bikoiztu zen eraso-azalera
• Eredu lapurreta eta destilazioa
• Software hornidura-katearen segurtasuna — SolarWinds, Log4Shell, eta XZ backdoor-aren istorio osoa, ia munduko zerbitzari ia guztiak arriskuan jartzetik egun gutxira egon zen ia-gertakaria
• Benetako defentsak: SLSA, Sigstore, SBOMak, eta eraikuntza erreproduzigarriak

---

Zergatik den desberdina zibersegurtasun ikastaro hau

Benetako gertakarietan oinarritua, ez abstrakzioetan. Kontzeptu bakoitza izendun segurtasun-hauste bati, benetako CVE bati, eta hura geldituko zuen kontrol zehatz bati lotua dago.

Egungoa eta garrantzitsua. Hau da segurtasuna gaur egun dagoen lekuaren argazki zehatza — indarrean dauden araudiak, merkaturatzen ari diren produktuak, eta oraintxe bertan aktibo dauden kanpainak.

Arkitektura-sakontasuna, iturri primarioekin. NIST 800-207, BeyondCorp dokumentuak, Cyber Safety Review Board txostenak, OWASP eta MITRE aipamenak — bideoa amaitu ondoren ikasten jarraitu ahal izateko.

Ekintza bitxikeriaren gainetik. Zati bakoitza astelehen goizean aplikatu dezakezun eragiketa-orden zehatz batekin amaitzen da, Fortune 500 bat edo pertsona bakarreko SaaS bat defendatu.

---

Zer dagoen barne

• Hiru goi-mailako bideo guztiak (~5.7 orduko instrukzio sakona)
• Erosketa bakarra, betiko sarbidea — behin erosi, betiko gorde
• Serie osoa, ordenan ikusteko diseinatua, bideo bakoitza aurrekoan oinarrituz

"Amaitzean, letren zopa — WebAuthn, FIDO2, OAuth, ZTNA, ITDR, SLSA, SBOM — zehatz sentituko da. Bakoitza zertarako den, pila barruan non kokatzen den, eta haren faltak zer arazo sortzen duen jakingo duzu."

---

Maiz egiten diren galderak

Zibersegurtasun ikastaro hau hasiberrientzat da? Ez. Ingeniari eta profesionalentzako ikastaro aurreratua da. HTTPS eta MFA jada ulertzen dituzula suposatzen dugu, eta gero sakonago aztertzen dugu eskala handiko defentsak benetan nola eraikitzen diren.

Zer aurrekari behar dut? Weba eta autentifikazioa nola funtzionatzen duten jakitea. HTTPS eta MFA zer egiten duten azaldu badezakezu, prest zaude.

Materiala eguneratua al dago? Bai. Serieak segurtasun-hauste, araudi eta defentsa berrienak hartzen ditu barne, AI/LLM segurtasuna eta software hornidura-katearen erasoak barne 2025-2026 bitarte.

Betiko sarbidea lortzen al dut? Bai. Hau behin egin beharreko erosketada, hiru bideoetarako betiko sarbidearekin.

Ziurtagiri bat lortzen lagunduko al dit? Ez dago azterketara bideratua, baina Zero Trust, identitate, pribatutasun ingeniaritza, detekzio eta hornidura-kate segurtasunaren sakontasunak segurtasun ziurtagiri moderno gehienen atzean dauden kontzeptuak indartzen ditu.

---

Lortu hiru bideoak orain → nikandr.com/cybersecurity