Modernus kibernetinio saugumo kursas: Zero Trust, privatumas ir DI sauga

Modernus kibernetinis saugumas – tai aukščiausios kokybės, ~5,7 valandų trukmės kursas inžinieriams ir saugos specialistams, išsamiai ir aktualiai pristatantis Zero Trust, passkeys, privatumo inžineriją, grėsmių aptikimą, DI/LLM saugą ir programinės įrangos tiekimo grandinės apsaugą. Tai mąstymo modelis, kurį „Google“, „Microsoft“, „Apple“ ir „Cloudflare“ inžinieriai iš tikrųjų naudoja kurdami kontrolės mechanizmus, saugančius milijardus naudotojų.

2022 m. rugsėjį aštuoniolikmetis prisijungė prie „Uber“ tinklo su slaptažodžiu, kurį įsigijo už mažiau nei sumuštinio kainą. Daugiafaktorinis autentifikavimas – penkiolika metų laikytas auksiniu standartu – pasidavė vienai „WhatsApp“ žinutei. Jokio nulinės dienos pažeidžiamumo. Jokios valstybės remiamos atakos. Tik paauglys ir pavargęs rangovas.

Šis įsibrovimas yra atspirties taškas mūsų kursui, nes jis kelia klausimą, su kuriuo dabar grumiasi kiekvienas saugos architektas: jei net tobulas MFA pralaimi telefono skambučiui, kaip iš tikrųjų atrodo gera apsauga?

Tai nėra pasiruošimas sertifikavimui ir nėra pradedančiųjų teorija. Tai – kaip labiausiai puolamos pasaulio įmonės ginasi praktiškai, paaiškinta vienu lygiu giliau nei rinkodaros pristatymai, per tikrus įsilaužimus, privertusius sukurti kiekvieną gynybos priemonę.

---

Kam skirtas šis kibernetinio saugumo kursas?

Šis ciklas sukurtas programinės įrangos inžinieriams, saugos inžinieriams ir specialistams, kurie jau supranta, ką daro HTTPS ir ką reiškia MFA, ir nori įgyti vyresniojo lygio architektūros žinių, paverčiančių antraštes supratimu.

Baigę kursą, būsite tas komandos žmogus, kuris perskaitęs naują įsilaužimo atskleidimą iš karto pastebės, ko gynėjai nepastebėjo.

Šis kursas jums tinka, jei:

• Kuriate, eksploatuojate ar ginate gamybines sistemas ir norite apie saugą mąstyti kaip architektas
• Nuolat skaitote apie „Scattered Spider“, „Volt Typhoon“, užklausų įterpimą ar „XZ“ užpakalines duris ir norite jas tikrai suprasti
• Norite konkrečių, jau pirmadienio rytą pritaikomų veiksmų – ne abstrakčių sistemų

Kursas dar netinkamas, jei jums reikia visiškai pradedančiojo įvado ar pasiruošimo sertifikavimo egzaminui. Mes darome prielaidą, kad pagrindai jau žinomi, ir einame tiesiai į gilumą.

---

Ko išmoksite

Trys glaudžiai susiję vaizdo įrašai, kiekvienas pradedant tikru pavadintu incidentu, išgaunant architektūros pamoką ir baigiant konkrečiais veiksmais.

1 dalis – Tapatybės valdymas dideliu mastu: Zero Trust ir passkeys (~96 min.)

Priekinės durys: kas patenka ir kodėl visa kita apsauga remiasi tapatybe.

• Ką Zero Trust iš tikrųjų reiškia kaip architektūra, o ne šūkis (NIST 800-207, CISA ramsčiai ir kodėl tai iš tiesų reiškia nuolatinį, įrodymais pagrįstą pasitikėjimą)
• „Google BeyondCorp“ – pirmoji gamybinė Zero Trust sistema, taip pat ALTS, Binary Authorization ir gVisor
• „Microsoft Entra“ ir Saugios ateities iniciatyva – toks rimtas įsilaužimas, kad „Microsoft“ viešai pertvarkė organizaciją, ir sąlyginės prieigos modelis, tapęs atsaku
• „Cloudflare One“ – tiksli kriptografinė priežastis, kodėl FIDO2 aparatiniai raktai įveikia sukčiavimo kampaniją, palaužusią 130 kitų įmonių
• Passkeys ir WebAuthn, tinkamai paaiškinti – kilmės susiejimas, sinchronizuoti vs. įrenginiu susieti raktai ir tikroji slaptažodžių vagystės pabaiga
• „Okta“ įsilaužimai, „Scattered Spider“ ir „Snowflake“ banga – kaip šiuolaikiniai užpuolikai apeina kriptografiją ir tiesiog skambina į pagalbos tarnybą
• Federaliniai sukčiavimui atsparaus MFA reikalavimai, WebAuthn 3 lygis, OAuth 2.1 ir tapatybės ateitis DI agentų eroje

2 dalis – Milijardų gynyba: privatumo inžinerija ir grėsmių aptikimas (~122 min.)

Kas nutinka, kai užpuolikas jau viduje – ir kaip apsaugoti duomenis, kurių net nematote.

• „Apple Private Cloud Compute“ – kaip serveris gali įrodyti, kad niekada neskaitydavo jūsų DI užklausų, ir kodėl „Apple“ siūlė iki 1 mln. dolerių tam, kas įrodytų priešingai
• Diferencinis privatumas ir federacinis mokymasis – duomenų naudojimas niekada jų nematant
• Ištisinis šifravimas – signalo protokolas, išplėstinė duomenų apsauga ir užpakalinių durų politika
• Grėsmių žvalgyba – kaip „Microsoft“ įvardija ir seka daugiau nei 300 valstybių remiamų programišių grupių
• „Volt Typhoon“ ir „Salt Typhoon“ – nauja išankstinio pozicionavimosi kritinėje infrastruktūroje era
• ITDR, modernus SOC, aptikimas kaip kodas ir saugos duomenų ežeras
• „CrowdStrike“ sutrikimas – diena, kai vienas atnaujinimas išjungė 8,5 mln. įrenginių, ir ką iš tikrųjų kainuoja gynyba

3 dalis – Naujas frontas: DI sauga ir programinės įrangos tiekimo grandinė (~124 min.)

Du paviršiai, kuriuose ir užpuolikai, ir gynėjai vis dar rašo taisykles – gyvai, gamybinėje aplinkoje.

• „EchoLeak“ – pirmasis nulinio paspaudimo užklausų įterpimas prieš gamybinį DI agentą: vienas el. laiškas, nulis paspaudimų, visa jūsų „SharePoint“ aplinka
• OWASP Top 10 LLM programoms (2025) ir kodėl užklausų įterpimas yra naujasis SQL įterpimas
• Kaip pagrindinės DI laboratorijos iš tikrųjų gina savo modelius – saugos sistemos, raudonosios komandos ir MITRE ATLAS
• Agentų DI sauga – atakų paviršius, kuris padvigubėjo, kai asistentai pradėjo veikti
• Modelių vagystė ir distiliavimas
• Programinės įrangos tiekimo grandinės sauga – „SolarWinds“, „Log4Shell“ ir visa „XZ“ užpakalinių durų istorija, vos per kelias dienas nesukompromitavusi beveik visų Žemės serverių
• Tikrosios gynybos priemonės: SLSA, Sigstore, SBOM ir atkuriamos versijos

---

Kuo šis kibernetinio saugumo kursas išsiskiria

Pagrįstas tikrais incidentais, ne abstrakcijomis. Kiekviena sąvoka susieta su konkrečiu įsilaužimu, tikru CVE ir konkrečia kontrole, kuri būtų jį sustabdžiusi.

Aktualus ir šiuolaikiškas. Tai galutinis saugos būklės šiandien atspaudas – galiojantys reglamentai, platinami produktai ir šiuo metu aktyvios kampanijos.

Architektūros gilumas su pirminiais šaltiniais. Nuorodos į NIST 800-207, „BeyondCorp“ straipsnius, Kibernetinio saugumo peržiūros tarybos ataskaitas, OWASP ir MITRE – kad galėtumėte mokytis toliau ir pasibaigus vaizdo įrašui.

Veiksmai, o ne smulkmenos. Kiekviena dalis baigiasi konkrečia veiksmų seka, kurią galite pritaikyti pirmadienio rytą, nesvarbu, ar ginate „Fortune 500“ įmonę, ar vieno žmogaus SaaS.

---

Kas įtraukta

• Visi trys aukščiausios kokybės vaizdo įrašai (~5,7 val. išsamios instrukcijos)
• Vienkartinis pirkimas, prieiga visam laikui – perkate vieną kartą, turite amžinai
• Visas ciklas, sukurtas žiūrėti iš eilės, kiekvienam vaizdo įrašui remiantis ankstesniu

"Baigę kursą, raidžių sriuba – WebAuthn, FIDO2, OAuth, ZTNA, ITDR, SLSA, SBOM – taps konkreti. Žinosite, kam kiekvienas skirtas, kurioje vietoje jis yra ir kokią problemą sukelia jo nebuvimas."

---

Dažniausiai užduodami klausimai

Ar šis kibernetinio saugumo kursas skirtas pradedantiesiems? Ne. Tai pažengusiųjų kursas inžinieriams ir specialistams. Darome prielaidą, kad jau suprantate HTTPS ir MFA, tada einame lygiu giliau – kaip iš tikrųjų kuriama didelio masto apsauga.

Kokio išsilavinimo man reikia? Reikia darbinių žinių apie interneto ir autentifikavimo veikimą. Jei galite paaiškinti, ką daro HTTPS ir MFA, esate pasiruošę.

Ar medžiaga atnaujinta? Taip. Ciklas apima naujausius įsilaužimus, reglamentus ir gynybos priemones, įskaitant DI/LLM saugą ir programinės įrangos tiekimo grandinės atakas iki 2025–2026 m.

Ar gausiu prieigą visam laikui? Taip. Tai vienkartinis pirkimas su visų trijų vaizdo įrašų prieiga visam laikui.

Ar tai padės išlaikyti sertifikavimo egzaminą? Kursas nėra orientuotas į egzaminus, tačiau Zero Trust, tapatybės, privatumo inžinerijos, aptikimo ir tiekimo grandinės saugos gilumas sustiprina sąvokas, kuriomis grindžiama dauguma šiuolaikinių saugos sertifikatų.

---

Gaukite visus tris vaizdo įrašus dabar → nikandr.com/cybersecurity