Mūsdienu kiberdrošība: Zero Trust, privātuma un AI drošības kurss

Mūsdienu kiberdrošība ir augstākā līmeņa, aptuveni 5,7 stundu kiberdrošības kurss inženieriem un drošības speciālistiem — padziļināts, mūsdienīgs ceļvedis par Zero Trust, passkeys, privātuma inženieriju, draudu noteikšanu, AI/LLM drošību un programmatūras piegādes ķēdes aizsardzību. Tas ir mentālais modelis, ko inženieri tādos uzņēmumos kā Google, Microsoft, Apple un Cloudflare faktiski izmanto, lai veidotu kontroles, kas aizsargā miljardus lietotāju.

2022. gada septembrī 18 gadus vecs jaunietis pieslēdzās Uber tīklam ar paroli, ko viņš nopirka par mazāku summu nekā sviestmaizes cena. Daudzfaktoru autentifikācija — piecpadsmit gadus ilgi zelta standarts — piekāpās vienam WhatsApp ziņojumam. Nekādu zero-day. Nekādu nacionālu valstu uzbrukumu. Pusaudzis un noguris darbuzņēmējs.

Šis pārkāpums ir vieta, kur sākas šis kurss, jo tas uzdod jautājumu, ar kuru tagad cīnās katrs drošības arhitekts: ja pat perfekta MFA piekāpjas vienam telefona zvanam, kā tad īsti izskatās laba drošība?

Šis nav sertifikācijas sagatavošanās kurss, un tā nav iesācēju teorija. Tā ir prakse, kā pasaules visvairāk uzbrukušie uzņēmumi aizsargājas praksē — izskaidrots vienu līmeni dziļāk nekā mārketinga bukletos, caur reāliem pārkāpumiem, kas piespieda katru aizsardzību pastāvēt.

---

Kam šis kiberdrošības kurss ir paredzēts

Šī sērija veidota programmatūras inženieriem, drošības inženieriem un praktiķiem, kuri jau saprot, ko dara HTTPS un nozīmē MFA, un vēlas iegūt vecākā līmeņa arhitektūras zināšanas, kas pārvērš virsrakstus izpratnē.

Beigās tu būsi tas cilvēks savā komandā, kurš, izlasot svaigu pārkāpuma paziņojumu, uzreiz pamanīs, ko aizsargi palaida garām.

Šis kurss ir tev piemērots, ja:

• Veido, darbini vai aizsargā produkcijas sistēmas un vēlies par drošību spriest kā arhitekts
• Turpini lasīt par Scattered Spider, Volt Typhoon, prompt injection vai XZ aizmugures durvīm un vēlies tās patiešām izprast
• Vēlies konkrētas, pirmdienas rītā veicamas darbības — nevis abstraktus ietvarus

Tas nav piemērots (vēl), ja tev nepieciešams pilnīgs iesācēja ievads vai sertifikācijas eksāmena sagatavošanās kurss. Mēs pieņemam, ka pamati ir zināmi, un uzreiz iedziļināmies.

---

Ko tu iemācīsies

Trīs cieši saistīti video, katrs sākas ar reāla nosaukta incidenta aprakstu, izvelk arhitektūras mācību un beidzas ar konkrētiem soļiem, ko darīt tālāk.

1. daļa — Identitāte plašā mērogā: Zero Trust un passkeys (≈96 min)

Galvenā ieeja: kas iekļūst iekšā un kāpēc katra cita aizsardzība balstās uz identitāti.

• Ko Zero Trust patiesībā nozīmē kā arhitektūra, nevis sauklis (NIST 800-207, CISA pīlāri un kāpēc tā nozīmē pastāvīgu, uz pierādījumiem balstītu uzticēšanos)
• Google BeyondCorp — pirmā produkcijas Zero Trust, kā arī ALTS, Binary Authorization un gVisor
• Microsoft Entra & Secure Future Initiative — pārkāpums, kas bija tik smags, ka Microsoft publiski reorganizējās, un nosacītās piekļuves modelis, kas ir atbildes pamatā
• Cloudflare One — precīzs kriptogrāfiskais iemesls, kāpēc FIDO2 aparatūras atslēgas pārspēja pikšķerēšanas kampaņu, kas salauza 130 citus uzņēmumus
• Passkeys un WebAuthn, pienācīgi izskaidroti — izcelsmes piesaiste, sinhronizēts pret ierīcei piesaistītu, un patiesais paroļu zādzības beigas
• Okta pārkāpumi, Scattered Spider un Snowflake vilnis — kā mūsdienu uzbrucēji izlaiž kriptogrāfiju un vienkārši zvana palīdzības dienestam
• Federālās pikšķerēšanas izturīgas MFA prasības, WebAuthn 3. līmenis, OAuth 2.1, un identitātes nākotne mākslīgā intelekta aģentu laikmetā

2. daļa — Miljardu aizsardzība: Privātuma inženierija un draudu noteikšana (≈122 min)

Kas notiek, kad uzbrucējs jau ir iekšā — un kā aizsargāt datus, kurus pat neredzi.

• Apple Private Cloud Compute — kā serveris var pierādīt, ka tas nekad nav lasījis tavus AI pieprasījumus, un kāpēc Apple maksāja līdz pat 1 miljonam ASV dolāru ikvienam, kas varētu pierādīt pretējo
• Diferenciālā privātums un federatīvā mācīšanās — datu izmantošana, tos nekad neredzot
• Galīgā šifrēšana — Signal protokols, uzlabotā datu aizsardzība un aizmugures durvju politika
• Draudu izlūkošana — kā Microsoft nosauc un izseko 300+ valsts atbalstītas hakeru grupas
• Volt Typhoon un Salt Typhoon — jaunais pozīciju ieņemšanas laikmets kritiskajā infrastruktūrā
• ITDR, modernais SOC, detektēšana kā kods un drošības datu ezers
• CrowdStrike pārtraukums — diena, kad viens atjauninājums izsita no ierindas 8,5 miljonus iekārtu, un ko patiesībā maksā aizsardzība

3. daļa — Jaunā robeža: AI drošība un programmatūras piegādes ķēde (≈124 min)

Divas virsmas, kurās uzbrucēji un aizsargi joprojām raksta noteikumus — tiešraidē, produkcijā.

• EchoLeak — pirmā bezklikšķa prompt injection pret produkcijas AI aģentu: viens e-pasts, nulle klikšķu, viss jūsu SharePoint
• OWASP Top 10 LLM lietotnēm (2025) un kāpēc prompt injection ir jaunais SQL injekcija
• Kā lielās AI laboratorijas patiesībā aizsargā savus modeļus — drošības ietvari, sarkanās komandas un MITRE ATLAS
• Aģentiskā AI drošība — uzbrukuma virsma, kas dubultojās, tiklīdz palīgi sāka darboties
• Modeļu zādzība un destilācija
• Programmatūras piegādes ķēdes drošība — SolarWinds, Log4Shell un pilnais stāsts par XZ aizmugures durvīm, gandrīz notikušais, kas bija dažu dienu attālumā no gandrīz visu Zemes serveru kompromitēšanas
• Reālās aizsardzības: SLSA, Sigstore, SBOM un reproducējamās būves

---

Kāpēc šis kiberdrošības kurss ir atšķirīgs

Balstīts uz reāliem incidentiem, nevis abstrakcijām. Katrs koncepts ir piesaistīts nosauktam pārkāpumam, reālam CVE un konkrētai kontrolei, kas to būtu apturējusi.

Aktuāls un atbilstošs. Šis ir galīgs pašreizējā drošības stāvokļa momentuzņēmums — spēkā esošie noteikumi, piegādātie produkti un šobrīd aktīvās kampaņas.

Arhitektūras dziļumā, ar primārajiem avotiem. Citējumi uz NIST 800-207, BeyondCorp rakstiem, Kiberdrošības pārskata padomes ziņojumiem, OWASP un MITRE — lai tu varētu turpināt mācīties pēc video noskatīšanās.

Rīcība, nevis sīkumi. Katra daļa beidzas ar konkrētu darbību secību, ko vari piemērot pirmdienas rītā, neatkarīgi no tā, vai aizsargā Fortune 500 uzņēmumu vai viena cilvēka SaaS.

---

Kas iekļauts

• Visi trīs augstākā līmeņa video (aptuveni 5,7 stundas padziļinātas apmācības)
• Vienreizējs pirkums, mūžīga piekļuve — pērc vienreiz, paturi uz mūžu
• Pilna sērija, kas veidota tā, lai skatītos secīgi, katram videoklipam balstoties uz iepriekšējo

"Beigās burtu jūklis — WebAuthn, FIDO2, OAuth, ZTNA, ITDR, SLSA, SBOM — kļūs konkrēts. Tu zināsi, kam katrs no tiem paredzēts, kur tas atrodas stekā, un kādu problēmu rada tā trūkums."

---

Bieži uzdotie jautājumi

Vai šis ir kurss iesācējiem? Nē. Tas ir padziļināts kurss inženieriem un praktiķiem. Mēs pieņemam, ka jūs jau saprotat HTTPS un MFA, un tad ejam vienu līmeni dziļāk, kā patiesībā tiek veidotas liela mēroga aizsardzības.

Kādas priekšzināšanas man ir nepieciešamas? Darba zināšanas par to, kā darbojas tīmeklis un autentifikācija. Ja varat izskaidrot, ko dara HTTPS un MFA, esat gatavs.

Vai materiāls ir aktuāls? Jā. Sērija aptver jaunākos pārkāpumus, noteikumus un aizsardzības, ieskaitot AI/LLM drošību un programmatūras piegādes ķēdes uzbrukumus līdz 2025.–2026. gadam.

Vai man ir mūžīga piekļuve? Jā. Šis ir vienreizējs pirkums ar mūžīgu piekļuvi visiem trim video.

Vai tas man palīdzēs nokārtot sertifikāciju? Tas nav orientēts uz eksāmenu, bet dziļums par Zero Trust, identitāti, privātuma inženieriju, draudu noteikšanu un piegādes ķēdes drošību nostiprina konceptus, kas ir pamatā lielākajai daļai mūsdienu drošības sertifikātu.

---

Iegūsti visus trīs video tagad → nikandr.com/cybersecurity