iscrizioni aperte

Master in Sicurezza Informatica

Un percorso pratico e operativo per acquisire competenze avanzate nella protezione di dati, reti e sistemi informatici, affrontando le sfide della cybersecurity moderna.
RICHIEDI INFORMAZIONI su questo corso

Verrai ricontattato da un nostro consulente

Cosa imparerai

Durante il Master in Sicurezza Informatica, acquisirai una comprensione approfondita dei principi fondamentali di sicurezza informatica, delle tecniche di difesa e attacco.

Apprenderai come identificare e mitigare le vulnerabilità, configurare sistemi sicuri e proteggere reti, dati e applicazioni. Attraverso esercitazioni pratiche e simulazioni, svilupperai competenze operative per condurre penetration test e implementare strategie di sicurezza difensiva, preparandoti a ricoprire ruoli chiave nel settore della cybersecurity.

Certificazioni

Oltre al nostro Attestato di partecipazione, scopri tutte le Certificazioni Internazionali che puoi ottenere da noi seguendo questo percorso.
CompTIA Security+
FINALITà FORMATIVA

Il Master ha l’obiettivo di formare professionisti altamente qualificati nel campo della sicurezza informatica.

Diventare un esperto nella sicurezza informatica, capace di proteggere infrastrutture aziendali e dati sensibili da minacce cyber.

Il corso ha l’obiettivo di formare professionisti della sicurezza informatica, fornendo competenze pratiche e teoriche necessarie per proteggere reti e sistemi aziendali. Durante il percorso imparerai a testare la sicurezza dei sistemi attraverso attacchi mirati e a gestire le difese contro minacce informatiche.

Obiettivi del corso

Sbocchi professionali

per te

Cosa è incluso

Certificazione internazionale

Simulazioni esame certificazione

Videocorsi online disponibili per 4 mesi dall'iscrizione

Dispense online

Forum dedicato e diretto con il corpo docente sinervis, disponibile direttamente sulla piattaforma dei videocorsi

Attestato di partecipazione che potrai allegare nelle tue candidature professionali o in Linkeding

Lezioni in streaming registrate (in caso di assenza potrai rivedere la lezione in un secondo momento)

SYLLABUS

Programma Didattico

Modulo 1 - Information Security
  • La sicurezza informatica nel business digitale contemporaneo
  • Enti e istituzioni a rischio: case study di rilievo
  • Profiling dell’attaccante: riconoscere le diverse tipologie di “hacker”
  • Figure professionali coinvolte nell’information security
  • Comprendere le strategie generali di difesa e attacco
  • Modelli di sicurezza: concetto di riservatezza, integrità e disponibilità
  • Criteri di valutazione: vulnerabilità, rischio e impatto
  • La strategia Defence In Depth: difendersi nei diversi livelli di sicurezza
  • Sistemi di controllo fisico, logico e amministrativo
  • Software e dispositivi non aggiornati, obsoleti o non mantenuti
  • Configurazioni di default, improprie o deboli
  • Gestione impropria dell’autenticazione e dell’input utente
  • Connessioni e sistemi di crittografia insicuri
  • Errata gestione dei certificati e delle chiavi
  • Architettura informatica debole e insicura
  • Utenti inesperti e procedure vulnerabili o assenti
  • Presenza di software e dispositivi non autorizzati
  • Minacce interne e mancati controlli sul personale
  • Nuovi attacchi e Zero Day
  • Esercitazione Pratica: Attacco guidato verso rete, software o dispositivo malconfigurato
  • Attaccare le reti informatiche: Man-in-The-Middle, Spoofing, DDos, Amplification, Replay
  • Attaccare le applicazioni e il sistema operativo: Buffer Overlow, Zero Day, Privilege Escalation
  • Attaccare i siti e le applicazioni web: SQL Injection, Cross-site Scripting, Session Hijacking
  • Attaccare le password e i sistemi crittografici: Bruteforce, Dictonary, Rainbow Tables, Collision, Downgrade
  • Attaccare gli utenti attraverso ingegneria sociale: Phisting, Vishing, Tailgating, Impersonation
  • Attacchi attraverso malware: Virus, Worm, Trojan, Ransomware, etc
  • Fasi e dinamiche di un attacco informatico mirato
  • Esercitazione Pratica: Simulazione di semplici attacchi e utilizzo di malware
  • Proteggere la rete e le connessioni riservate: VLAN, DMZ, VPN, SSL, Firewall, Antivirus
  • Proteggere i software e il sistema operativo: Hardening, Logs e aggiornamenti, Sandboxing
  • Proteggere i dati sensibili e la postazione di lavoro: Crittografia, Shredding, Hardening Firmware, TPM
  • Garantire la continuità del servizio: Backup, Disaster Recovery, Mirroring e ridondanza
  • Garantire la corretta autenticazione e il controllo d’accesso: Autenticazione multi-fattore, biometrica, password e chiavi
  • Sistemi e dispositivi per la sicurezza fisica
  • Tecniche e strategie di prevenzione: IDS/IPS, Log analysis e monitoring, scansione vulnerabilità
  • Analisi e Gestione del rischio e degli incidenti
  • Formulare procedure formali e sensibilizzare gli utenti
  • Esercitazione Pratica: Progettazione di un micro-sistema informatico sicuro
  • Strumenti fondamentali a linea di comando e linguaggi di scripting
  • Sistemi operativi e distribuzioni dedicate alla sicurezza informatica
  • Fonti di consultazione e strumenti utili nel web
  • Analizzatori di traffico e mappatura della rete
  • Scansionatori di vulnerabilità e Framework per l’exploitazione
  • Database di malware, exploit e vulnerabilità note
  • Utilizzo di proxy e connessioni anonime
  • Honeypot e ambienti di simulazione
  • Esercitazione Pratica: Utilizzo base degli strumenti di sicurezza e di sistemi operativi dedicati quali Kali Linux
  • Stato attuale della legislazione nazionale e comunitaria su sicurezza informatica e privacy
  • D.lgs 196/2003 e GDPR: Normativa sulla privacy e tutela dei dati personali
  • ISO/IEC 27001: Certificare il livello di sicurezza del proprio sistema informativo
  • ISO/IEC 27002: Certificare la qualità delle procedure di controllo del proprio sistema informativo
  • ISO/IEC 27005: Certificare la qualità della gestione del rischio del proprio sistema informativo
  • Provvedimento del Garante sulla Privacy per gli amministratori di sistema del 27 novembre 2008
  • Direttiva 16/1/2002: Sicurezza informatica e delle telecomunicazioni nelle pubbliche amministrazioni
  • Circolare AgID n. 1/2017: Misure minime di sicurezza ICT per le pubbliche amministrazioni
  • Limitazioni legali e vincoli associati alla figura del Penetration Tester e del Security Analyst
Modulo 2 - Sicurezza Offensiva: Penetration Tester
  • Ruolo del Penetration Tester, metodologie e raggio d’azione
  • Aspetti etici, accordi contrattuali e limitazioni legali
  • Documentazione e modulistica formale
  • Attività preliminari e individuazione del target
  • Tipi di valutazione e modellizzazione delle minacce
  • Esecuzione di un PenTest: le diverse fasi
  • Conclusione e stesura del PenTest Report
  • Importanza della fase di information gathering
  • Strumenti di raccolta attiva e raccolta passiva
  • Tecniche avanzate per la ricerca nel web e i motori di ricerca
  • Raccogliere dati corporativi e personali
  • Sfruttare account e reportistica dei server di posta
  • Enumerazione DNS e record WHOIS
  • Enumerazione della rete e dei servizi
  • Estrazione informazioni da metadati e banner
  • Utilizzo di framework e tecniche avanzate di data mining
  • Esercitazione Pratica: Simulazione di indagine e raccolta informazioni verso un target di specifico
  • Tecniche di scansione attiva e passiva
  • Database pubblici (es: CVE) e ricerca dei servizi a rischio
  • Accorgimenti e precauzioni prima della scansione
  • Framework e strumenti completi per la scansione delle vulnerabilità
  • Monitoraggio e scansione delle attività delle rete
  • Scansioni delle vulnerabilità dedicate al web
  • Test del sistema di autenticazione e scansione delle password
  • Scansioni mirate a servizi di rete specifici
  • Ricerca vulnerabilità nelle procedure e utenti deboli
  • Esercitazione Pratica: Individuare le vulnerabilità di un insieme di sistemi target   con falle di sicurezza nascoste
  • Tecniche attive e passive per lo sfruttamento delle vulnerabilità
  • Dove rimediare exploit e codice malevolo
  • Scrivere i propri exploit e adattare il comportamento di quelli esistenti
  • Offuscare il codice sorgente di malware e exploit
  • Cryptare e rendere i propri malware non riconoscibili dagli antivirus
  • Creare e configurare Trojan Horse e Backdoors
  • Inserire i propri malware all’interno di file e connessioni di rete
  • Generare email di phishing mirato per l’apertura di file e link pericolosi
  • Iniettare i propri malware attraverso le vulnerabilità dei servizi
  • Framework e database per l’exploitazione automatica e mirata
  • Esercitazione Pratica: Violare una postazione utente attraverso un attacco di phising mirato e non rilevabile attraverso exploit con backdoor
  • Aprire una connessione diretta o inversa verso il sistema violato
  • Strumenti e shell a linea di comando per il controllo della vittima
  • Analisi non invasiva dell’ambiente violato e raccolta dati
  • Disattivare le protezioni del sistema operativo
  • Manipolazione dei file di log e copertura delle tracce
  • Migrare codice malevolo all’interno di processi arbitrari
  • Escalation dei privilegi e controllo completo della macchina infettata
  • Sistemi di persistenza e controllo permanente
  • Recuperare credenziali d’accesso ai sistemi di rete e internet
  • Crack delle password ed exploitation dei servizi locali
  • Identificare file sensibili e informazioni utili per il successivo attacco
  • Utilizzare la vittima come ponte per la violazione di altri servizi
  • Esercitazione Pratica: Ottenere il controllo completo e permanente del sistema vittima coprendo correttamente le proprie tracce
  • Identificare sistemi di protezione e rilevamento intrusione
  • Tecniche per rendere inosservabili gli attacchi alla rete
  • Attacchi storici attraverso stack di rete TCP/IP (es: Smurf)
  • Intercettare dati e i flussi di rete attraverso ARP Poisoning
  • Tecniche per la forgiatura e la manipolazione dei pacchetti
  • Eludere le cifrature SSL e decifrare informazioni sensibili
  • Creare servizi fittizi e dirottare la vittima attraverso DNS Spoofing
  • Attacchi alle VLAN e allo Spanning Tree Protocol
  • Simulazioni di attacchi Dos, DDos e Amplification Attack
  • Attacchi a cartelle SMB, NFS e FTP
  • Come violare una rete WiFi WEP o WPA2
  • Esercitazione Pratica: Ottenere credenziali di accesso del sistema target attraverso un attacco mirato basato sulla rete
  • Tipologie di attacco server-side e client-sde
  • Sfruttare le configurazioni deboli e improprie
  • Sfruttare le errate validazioni dell’input delle applicazioni web
  • Dove rimediare exploit specifici per le applicazioni web
  • Attacchi al database e SQL Injection
  • Estrarre informazioni utili e ottenere il controllo remoto
  • Iniettare codice sorgente e tecniche di staging
  • Attacchi di Cross-Site Scripting, Request Forgery e Clickjacking
  • Manipolare le vittime attraverso il controllo del portale web
  • Mantenimento del controllo e copertura tracce nei sistemi server
  • Esercitazione Pratica: Ottenere il controllo completo e permanente dell’applicazione web della vittima coprendo correttamente le proprie tracce
  • Tecniche generali per ottenere accesso fisico all’interno di una sede
  • Clonazione di smart card e token di accesso
  • Tecniche per l’apertura di semplici lucchetti di PC e armardi RACK
  • Bypassare l’autenticazione della postazione e accedere ai dati sensibili
  • Attacchi Cold Boot e al sistema BIOS/UEFI
  • Attacchi fisici alla memoria RAM e al sistema TPM
  • Installazione di keylogger fisici e dispositivi rogue
  • Ottenere informazioni riservate attraverso le tecniche di ingegneria sociale
  • Esercitazione Pratica: Simulare la violazione fisica di una postazione vulnerabile e stendere un esempio di rapporto PenTest completo
Modulo 3 - Sicurezza Difensiva: Security Analyst
  • Ruolo del Security Analyst, attività svolte e contesto operativo
  • Framework di sicurezza, politiche, controlli e procedure
  • Documentazione e modulistica formale
  • Approccio white box per l’indagine dell’infrastruttura informatica
  • Tipologie di analisi e valutazioni di sicurezza
  • Stesura di un nuovo piano procedurale per utenti e manutentori
  • Piano di mitigazione delle vulnerabilità e contromisure
  • Norme precauzionali per intervenire nell’infrastruttura
  • Mappatura della rete, dei servizi e delle utenze
  • Esamina delle postazioni utente e delle configurazioni software
  • Strumenti per esaminare file di log e anomalie riscontrate
  • Scansioni e ricerche rapide di file e informazioni pericolose
  • Esamina dei servizi interni e dei sistemi di autenticazione
  • Scansione rapida delle vulnerabilità e penetration testing
  • Analisi delle procedure utente e dei flussi di informazione
  • Valutazione formale del livello di rischio e delle minacce
  • Esercitazione Pratica: Effettuare un’indagine completa con approccio white box di un’infrastruttura informatica con servizi vulnerabili nascosti
  • Generazione e archiviazione di password sicure
  • Configurazioni di dominio e group policy
  • Rafforzare i servizi di autenticazione (es: RADIUS)
  • Implementazioni di autenticazione biometrica e multifattore
  • Cifratura delle credenziali e sistemi TPM
  • Chiavi USB, firme e token digitali
  • Generazione di password OTP e sistemi SSO
  • Servizi trusted e gestione dei certificati digitali
  • Tecniche di autenticazione per reti locali e geografiche
  • Tecniche di autenticazione per servizi amministrativi e server
  • Esercitazione Pratica: Sviluppare un sistema di autenticazione multifattore altamente sicuro per l’accesso a delle postazioni con servizi critici
  • Configurare correttamente i sistemi di sicurezza IDS e IPS
  • Applicazione di diverse tipologie di analisi in-band e out-of-band
  • Configurazione avanzata dei firewall di rete e tecniche mirate
  • Antivirus di rete e rilevamento di signature malevole
  • Segregazione delle reti e ridondanza dei collegamenti
  • Hardening dei dispositivi e dei servizi di rete
  • Mascheramento dei servizi e della topologia della rete
  • Configurazione corretta di protocolli e connessioni sicure
  • Protezione delle reti WiFi WEP e WPA2
  • Come proteggersi da un attacco DDoS
  • Esercitazione Pratica: Progettare una rete informatica sicura implementandone parte dei servizi
  • Sistemi per il controllo degli aggiornamenti e patch di sicurezza
  • Configurazione avanzati di Firewall applicativi
  • Protezioni per attacchi specifici orientati al web
  • Chiusura e mitigazione manuale delle falle di sicurezza
  • Hardening del sistema operativo e delle applicazioni di sistema
  • Sistemi di sandboxing e controllo di macchine virtuali
  • Software antivirus e controlli di integrità periodici
  • Sistemi euristici per il rilevamento di backdoor e attività sospette
  • Auditing degli eventi e sistemi per il logging centralizzato
  • Newsletter di sicurezza e prevenzione di attacchi zero day
  • Esercitazione Pratica: Configurare un sistema server sicuro con sistema operativo e servizi rafforzati con metodologie di sicurezza avanzate
  • Verifica della sicurezza fisica essenziale e dell’ambiente operativo
  • Tecniche e strumenti di crittografia per file e dischi di archiviazione
  • Proteggere efficacemente il case o l’armadio rack
  • Hardening del sistema BIOS/UEFI
  • Policy di dominio per la protezione della postazione
  • Sistemi di ripristino periodico e controllo di sicurezza remoto
  • Corretta distruzione di dati sensibili e dispositivi dismessi
  • Norme per la protezione di dispositivi mobile e gestione remota
  • Formulazione delle procedure utente per l’utilizzo della postazione
  • Esercitazione Pratica: Configurare un sistema server sicuro con sistema operativo e servizi rafforzati con metodologie di sicurezza avanzate
  • Sistemi avanzati per il backup locale e geografico
  • Sistemi di distribuzione dei dati e mirroring via rete
  • Ridondanza dell’insfrastruttura di rete e degli apparati
  • Ridondanza dei dischi e sistemi RAID
  • Bilanciamento di carico e clustering dei servizi
  • Tecniche e meccanismi di Switchover e Failover
  • Dispositivi di generazione e continuità elettrica
  • Formulazione delle procedure di gestione del disastro
  • Esercitazione Pratica: Progettazione di un sistema di backup geografico e ridondanza distribuita in ambiente virtuale
  • Strumenti per verificare la presenza di un attacco
  • Classificazione degli incidenti e preparazione dei piani di risposta
  • Processo di comunicazione interno ed esterno
  • Identificazione della minaccia e pianificazione dell’intervento
  • Tecniche correttive, di contenimento e di eradicazione
  • Affrontare la mitigazione e fase di ricovero
  • Ricostruire le dinamiche dell’attacco
  • Metodologie avanzate di Digital Forensics
  • Comunicazioni legali e reportistica legali
  • Esercitazione Pratica: Simulazione di attacco informatico improvviso con simulazione di intervento di risposta immediata all’incidente
MODULO: HTML5, CSS3, BOOTSTRAP 28H
  • Sintassi dell’HTML e principali elementi di markup (tag)
PROFESSIONE

Security Analyst

Essere un Security Analyst offre numerose possibilità di carriera. È una professione in costante crescita, grazie all’importanza crescente della sicurezza digitale. Gli analisti possono lavorare in diversi settori, dall’IT al finance, dalla sanità al governo, con ruoli che spaziano dalla gestione delle operazioni di sicurezza all’analisi delle minacce. Con l’evoluzione tecnologica e le nuove sfide di sicurezza, questa figura professionale gode di grande richiesta e stabilità nel mondo del lavoro.
FAQ

Domande e Risposte

Facciamo sia corsi in streaming sia corsi in Aula presso il nostro polo didattico principale a Milano o presso la sede aziendale, ovunque  si trovi, in tutta Italia. Per la gran parte dei corsi è comunque preferibile l’erogazione in streaming, sia per questioni legate a comodità “logistiche” sia perché con lo streaming, oltre a seguire benissimo ogni tipo di corso, esiste la possibilità di registrare ogni singola lezione per un utilizzo futuro.

SinerVis non solo rilascia un attestato di frequenza per ogni corso, ma è ente accreditato presso tutti i più grandi provider di certificazione. Quasi per ogni percorso è quindi disponibile una o più certificazioni internazionali rilasciate direttamente da SinerVis Academy

Se hai acquistato un esame di certificazione internazionale in SinerVis, hai a disposizione 1 anno dall’acquisto per sostenere l’esame.

Per i corsisti privati e i liberi professionisti abbiamo a disposizione tutte le modalità di pagamento (Assegno, bonifico, Finanziamento a tasso Zero…). Per le aziende le modalità vengono concordate di volta in volta e variano a seconda del piano formativo.

Offriamo un catalogo di oltre 100 diversi percorsi legati al mondo IT, che coprono tutte le più importanti aree dell’informatica: dallo sviluppo alla sistemistica, dalla Cyber Security all’AI.

Assolutamente sì. Sempre. Siamo abituati ad adattare il contenuto, oltre che gli esercizi proposti durante i percorsi, in base al livello di conoscenza dei vostri dipendenti, agli obiettivi aziendali e ai settori di applicazione specifici.

La durata dipende dal tipo di corso e dal livello di approfondimento richiesto. In generale, i corsi variano da un minimo di 16 ore fino ad academy annuali che possono arrivare anche a 900 ore, distribuite su calendari completamente liberi.

Ci distinguiamo per la nostra flessibilità, l’esperienza pluriennale nel settore e l’approccio pratico. Abbiamo inoltre uno dei più vasti e controllati team di docenti presenti in Italia, con oltre 600 professionisti accreditati e certificati su tutti i più importanti temi del mondo IT.

Forniamo formazione personalizzata da ogni punto di vista, fornendo l’esperienza necessaria a formare sia singole classi su tematiche specifiche e con pochissimi partecipanti, sia grandi platee con un numero adeguato di partecipanti per ogni sessione.

Sinervis Consulting mette a disposizione, gratuitamente, una piattaforma di smistamento classi brandizzata con logo del cliente sulla maggior parte dei temi formativi presenti sul mercato. Abbiamo nel tempo utilizzato questo strumento con decine di migliaia di partecipanti, aiutando i nostri clienti nel difficile compito di progettazione delle aule suddivise per livelli omogenee.

Le quotazioni dei percorsi variano tantissimo in base al tipo di corso, la lunghezza, il livello e, nel caso delle aziende, il numero di partecipanti e il numero di sessioni. Per avere una offerta precisa è sufficiente fare una richiesta di informazioni o chiamare il nostro numero verde: 800.44.77.17.

Richiedi informazioni

Compila il modulo di richiesta informazioni e verrai ricontattato da un
nostro consulente. Saremo felici di rispondere a tutte le tue domande.

Scarica Corso

Compila i campi sottostanti e riceverai una mail con il programma in allegato