Tweet
Chào anh em,
Mình đang học CCNP Security SCOR 350-701 và quyết định viết lại từng chương theo cách dễ hiểu nhất — vừa để ôn thi, vừa để chia sẻ với cộng đồng. Đây là Phần 1/6, bao gồm Chương 1 của cuốn Official Cert Guide 2nd Edition của Omar Santos.
🎯 Tại sao học SCOR?
SCOR 350-701 là **core exam** bắt buộc cho cả CCNP Security lẫn CCIE Security. Nó cover 6 domain lớn:
1. Security Concepts (~25%)
2. Network Security (~20%)
3. Securing the Cloud (~15%)
4. Content Security (~15%)
5. Endpoint Protection & Detection (~15%)
6. Secure Network Access, Visibility, Automation (~10%)
Không có prerequisite chính thức, nhưng kiến thức CCNA là cần thiết trước khi tackle cái này.
1. NIST Framework & Tiêu chuẩn quốc tế
NIST Cybersecurity Framework (CSF)** là bộ guidelines được phát triển bởi National Institute of Standards and Technology. 5 core functions:
Identify → Protect → Detect → Respond → Recover
Ngoài NIST, hai tiêu chuẩn quan trọng khác:
- ISO 27001/27002:** Information Security Management System (ISMS) — chuẩn quốc tế, nhiều tổ chức lấy chứng chỉ ISO 27001.
- NIST SP 800-53:** Security controls cho federal information systems.
2. Threat, Vulnerability, Exploit — Phân biệt dứt khoát
Đây là bộ ba hay bị dùng lẫn nhau nhất trong field:
| Khái niệm | Định nghĩa | Ví dụ |
|-----------|-----------|-------|
| **Threat** | Bất kỳ điều gì có khả năng gây hại | Hacker, thiên tai, nhân viên bất mãn |
| **Vulnerability** | Điểm yếu có thể bị khai thác | Apache Log4j RCE, SQL injection |
| **Exploit** | Code/tool khai thác vulnerability | Metasploit module, PoC script |
**CVE (Common Vulnerabilities and Exposures): ID chuẩn cho mỗi vulnerability.
Format: `CVE-YYYY-NNNNN` (ví dụ: `CVE-2021-44228` là Log4Shell)
CVSS (Common Vulnerability Scoring System): Thang điểm 0–10 đánh giá mức độ nghiêm trọng.
- 0.1–3.9: Low
- 4.0–6.9: Medium
- 7.0–8.9: High
- 9.0–10.0: Critical
Threat Intelligence:
Là kiến thức actionable về existing/emerging threats. Sources:
- Cisco Talos (talos-intelligence.com) — top tier
- MITRE ATT&CK (attack.mitre.org)
- US-CERT, FIRST.org
- VirusTotal, Shodan
3. Threat Actors
| Loại | Mục tiêu | Kỹ năng | Ví dụ |
|------|---------|---------|-------|
| Script Kiddies | Nổi tiếng, nghịch ngợm | Thấp | Dùng tools sẵn có |
| Cybercriminals | Tài chính | Trung bình–cao | Ransomware gangs |
| Hacktivists | Chính trị/xã hội | Trung bình | Anonymous |
| Nation-state APT | Gián điệp, sabotage | Rất cao | APT41, Lazarus |
| Insider Threats | Phụ thuộc | Biết hệ thống | Nhân viên bất mãn |
4. Malware — Phân loại chi tiết
Virus: Attach vào file hợp lệ. Lây lan khi file được execute. Cần user action.
Worm: Tự lây lan qua mạng, không cần file host. WannaCry (2017) là worm ransomware.
Trojan: Giả danh phần mềm hữu ích. Chứa payload độc hại ẩn. Types:
- Remote Access Trojan (RAT): kiểm soát từ xa
- Backdoor Trojan: tạo persistent access
- Banking Trojan: đánh cắp thông tin tài chính
Ransomware: Mã hóa dữ liệu + đòi tiền chuộc (thường Bitcoin). Double extortion: vừa mã hóa vừa đe dọa leak dữ liệu.
Keylogger: Ghi lại mọi keystroke. Một số chạy ở kernel level (rất khó phát hiện).
Spyware: Thu thập thông tin user và gửi về C2 server.
Malware Analysis Techniques:
- Static Analysis: Không chạy malware. Dùng: IDA Pro, Ghidra (disassembly), strings command, hash checking.
- Dynamic Analysis: Chạy trong sandbox (Cuckoo Sandbox, Any.run). Quan sát network connections, registry changes, file system changes.
5. Common Software Vulnerabilities (OWASP Top 10)
SQL Injection:
Payload: ' OR '1'='1'
URL: https://example.com/login?user=admin'--&pass=anything
Cách fix: Parameterized queries/Prepared statements. Không bao giờ concat user input vào SQL string.
Cross-Site Scripting (XSS):
- Reflected XSS: Payload trong URL, reflect về browser.
- Stored XSS: Payload lưu trong database, ảnh hưởng tất cả visitors.
- DOM XSS: Xảy ra phía client trong JavaScript.
Cách fix: Input validation + Output encoding. Content Security Policy (CSP) headers.
CSRF: Lừa browser gửi request đến trusted site. Fix: CSRF tokens.
Buffer Overflow: Ghi vượt boundary của buffer → overwrite return address → redirect execution. Fix: Stack canaries, ASLR, DEP/NX.
OWASP Top 10 (2021):
1. Broken Access Control
2. Cryptographic Failures
3. Injection
4. Insecure Design
5. Security Misconfiguration
6. Vulnerable/Outdated Components
7. Identification & Authentication Failures
8. Software & Data Integrity Failures
9. Security Logging & Monitoring Failures
10. Server-Side Request Forgery (SSRF)
6. CIA Triad
Confidentiality: Kiểm soát ai được đọc dữ liệu.
Kỹ thuật: Encryption, Access Control Lists, Need-to-Know principle, Data Classification.
Integrity: Đảm bảo dữ liệu không bị thay đổi trái phép.
Kỹ thuật: Hashing (SHA-256), Digital Signatures, Version Control, Checksums.
Threats: Man-in-the-middle, data tampering, ransomware.
Availability: Đảm bảo dữ liệu/hệ thống sẵn sàng khi cần.
Kỹ thuật: Redundancy, Load Balancing, Anti-DDoS, Backups (3-2-1 rule).
Threats: DDoS, hardware failure, ransomware, natural disasters.
7. Cloud Security Threats
Shared Responsibility Model (quan trọng trong thi !):
| Layer | IaaS | PaaS | SaaS |
|-------|------|------|------|
| Data | Bạn | Bạn | Bạn |
| Applications | Bạn | Bạn | Provider |
| Runtime | Bạn | Provider | Provider |
| OS | Bạn | Provider | Provider |
| Virtualization | Provider | Provider | Provider |
| Hardware | Provider | Provider | Provider |
Top Cloud Threats:
- Data Breaches: Misconfigured S3 buckets (Capital One breach 2019 — 100M records).
- Insecure APIs: API without authentication, rate limiting, input validation.
- Compromised Credentials: Credential stuffing, phishing.
- Insecure Interfaces: Cloud console access không có MFA.
8. IoT Security
IoT devices thường có:
- Default credentials không được đổi.
- Không có update mechanism.
- Limited resources → không chạy được heavy security agents.
Mirai Botnet (2016): Compromise 600,000+ IoT devices (cameras, DVRs) → DDoS 1.1 Tbps → down Dyn DNS → Netflix, Twitter, Reddit sập.
IoT Protocols cần biết:
- MQTT: Lightweight pub/sub. Port 1883 (plain), 8883 (TLS).
- CoAP: HTTP-like nhưng cho constrained devices. UDP-based.
- Zigbee/Z-Wave: Wireless PAN protocols.
9. Digital Forensics & Incident Response (DFIR)
NIST SP 800-61 Incident Response Lifecycle:
Preparation → Detection & Analysis → Containment → Eradication → Recovery → Lessons Learned
Key Concepts:
- False Positive: Normal event bị classified là malicious. Tốn thời gian điều tra nhầm.
- False Negative: Malicious event không bị phát hiện. Nguy hiểm hơn nhiều!
- True Positive: Attack thực sự được phát hiện đúng.
- True Negative: Normal activity được classified đúng là normal.
CVSS v3.1 Base Metrics: Attack Vector, Attack Complexity, Privileges Required, User Interaction, Scope, Confidentiality/Integrity/Availability Impact.
Chain of Custody: Quy trình bảo toàn evidence. Mọi người tiếp xúc evidence đều phải documented.
Resources thêm
- Cisco Learning Network: learningnetwork.cisco.com
- Omar Santos' GitHub: github.com/The-Art-of-Hacking
- MITRE ATT&CK: attack.mitre.org
- Cisco Talos: talosintelligence.com
- CVSS Calculator: nvd.nist.gov/vuln-metrics/cvss
---
Phần tiếp theo: Cryptography — Symmetric/Asymmetric/Hashing/PKI.
Drop một comment nếu có câu hỏi hoặc muốn mình đào sâu phần nào!
Mình đang học CCNP Security SCOR 350-701 và quyết định viết lại từng chương theo cách dễ hiểu nhất — vừa để ôn thi, vừa để chia sẻ với cộng đồng. Đây là Phần 1/6, bao gồm Chương 1 của cuốn Official Cert Guide 2nd Edition của Omar Santos.
🎯 Tại sao học SCOR?
SCOR 350-701 là **core exam** bắt buộc cho cả CCNP Security lẫn CCIE Security. Nó cover 6 domain lớn:
1. Security Concepts (~25%)
2. Network Security (~20%)
3. Securing the Cloud (~15%)
4. Content Security (~15%)
5. Endpoint Protection & Detection (~15%)
6. Secure Network Access, Visibility, Automation (~10%)
Không có prerequisite chính thức, nhưng kiến thức CCNA là cần thiết trước khi tackle cái này.
1. NIST Framework & Tiêu chuẩn quốc tế
NIST Cybersecurity Framework (CSF)** là bộ guidelines được phát triển bởi National Institute of Standards and Technology. 5 core functions:
Identify → Protect → Detect → Respond → Recover
Ngoài NIST, hai tiêu chuẩn quan trọng khác:
- ISO 27001/27002:** Information Security Management System (ISMS) — chuẩn quốc tế, nhiều tổ chức lấy chứng chỉ ISO 27001.
- NIST SP 800-53:** Security controls cho federal information systems.
2. Threat, Vulnerability, Exploit — Phân biệt dứt khoát
Đây là bộ ba hay bị dùng lẫn nhau nhất trong field:
| Khái niệm | Định nghĩa | Ví dụ |
|-----------|-----------|-------|
| **Threat** | Bất kỳ điều gì có khả năng gây hại | Hacker, thiên tai, nhân viên bất mãn |
| **Vulnerability** | Điểm yếu có thể bị khai thác | Apache Log4j RCE, SQL injection |
| **Exploit** | Code/tool khai thác vulnerability | Metasploit module, PoC script |
**CVE (Common Vulnerabilities and Exposures): ID chuẩn cho mỗi vulnerability.
Format: `CVE-YYYY-NNNNN` (ví dụ: `CVE-2021-44228` là Log4Shell)
CVSS (Common Vulnerability Scoring System): Thang điểm 0–10 đánh giá mức độ nghiêm trọng.
- 0.1–3.9: Low
- 4.0–6.9: Medium
- 7.0–8.9: High
- 9.0–10.0: Critical
Threat Intelligence:
Là kiến thức actionable về existing/emerging threats. Sources:
- Cisco Talos (talos-intelligence.com) — top tier
- MITRE ATT&CK (attack.mitre.org)
- US-CERT, FIRST.org
- VirusTotal, Shodan
3. Threat Actors
| Loại | Mục tiêu | Kỹ năng | Ví dụ |
|------|---------|---------|-------|
| Script Kiddies | Nổi tiếng, nghịch ngợm | Thấp | Dùng tools sẵn có |
| Cybercriminals | Tài chính | Trung bình–cao | Ransomware gangs |
| Hacktivists | Chính trị/xã hội | Trung bình | Anonymous |
| Nation-state APT | Gián điệp, sabotage | Rất cao | APT41, Lazarus |
| Insider Threats | Phụ thuộc | Biết hệ thống | Nhân viên bất mãn |
4. Malware — Phân loại chi tiết
Virus: Attach vào file hợp lệ. Lây lan khi file được execute. Cần user action.
Worm: Tự lây lan qua mạng, không cần file host. WannaCry (2017) là worm ransomware.
Trojan: Giả danh phần mềm hữu ích. Chứa payload độc hại ẩn. Types:
- Remote Access Trojan (RAT): kiểm soát từ xa
- Backdoor Trojan: tạo persistent access
- Banking Trojan: đánh cắp thông tin tài chính
Ransomware: Mã hóa dữ liệu + đòi tiền chuộc (thường Bitcoin). Double extortion: vừa mã hóa vừa đe dọa leak dữ liệu.
Keylogger: Ghi lại mọi keystroke. Một số chạy ở kernel level (rất khó phát hiện).
Spyware: Thu thập thông tin user và gửi về C2 server.
Malware Analysis Techniques:
- Static Analysis: Không chạy malware. Dùng: IDA Pro, Ghidra (disassembly), strings command, hash checking.
- Dynamic Analysis: Chạy trong sandbox (Cuckoo Sandbox, Any.run). Quan sát network connections, registry changes, file system changes.
5. Common Software Vulnerabilities (OWASP Top 10)
SQL Injection:
Payload: ' OR '1'='1'
URL: https://example.com/login?user=admin'--&pass=anything
Cách fix: Parameterized queries/Prepared statements. Không bao giờ concat user input vào SQL string.
Cross-Site Scripting (XSS):
- Reflected XSS: Payload trong URL, reflect về browser.
- Stored XSS: Payload lưu trong database, ảnh hưởng tất cả visitors.
- DOM XSS: Xảy ra phía client trong JavaScript.
Cách fix: Input validation + Output encoding. Content Security Policy (CSP) headers.
CSRF: Lừa browser gửi request đến trusted site. Fix: CSRF tokens.
Buffer Overflow: Ghi vượt boundary của buffer → overwrite return address → redirect execution. Fix: Stack canaries, ASLR, DEP/NX.
OWASP Top 10 (2021):
1. Broken Access Control
2. Cryptographic Failures
3. Injection
4. Insecure Design
5. Security Misconfiguration
6. Vulnerable/Outdated Components
7. Identification & Authentication Failures
8. Software & Data Integrity Failures
9. Security Logging & Monitoring Failures
10. Server-Side Request Forgery (SSRF)
6. CIA Triad
Confidentiality: Kiểm soát ai được đọc dữ liệu.
Kỹ thuật: Encryption, Access Control Lists, Need-to-Know principle, Data Classification.
Integrity: Đảm bảo dữ liệu không bị thay đổi trái phép.
Kỹ thuật: Hashing (SHA-256), Digital Signatures, Version Control, Checksums.
Threats: Man-in-the-middle, data tampering, ransomware.
Availability: Đảm bảo dữ liệu/hệ thống sẵn sàng khi cần.
Kỹ thuật: Redundancy, Load Balancing, Anti-DDoS, Backups (3-2-1 rule).
Threats: DDoS, hardware failure, ransomware, natural disasters.
7. Cloud Security Threats
Shared Responsibility Model (quan trọng trong thi !):
| Layer | IaaS | PaaS | SaaS |
|-------|------|------|------|
| Data | Bạn | Bạn | Bạn |
| Applications | Bạn | Bạn | Provider |
| Runtime | Bạn | Provider | Provider |
| OS | Bạn | Provider | Provider |
| Virtualization | Provider | Provider | Provider |
| Hardware | Provider | Provider | Provider |
Top Cloud Threats:
- Data Breaches: Misconfigured S3 buckets (Capital One breach 2019 — 100M records).
- Insecure APIs: API without authentication, rate limiting, input validation.
- Compromised Credentials: Credential stuffing, phishing.
- Insecure Interfaces: Cloud console access không có MFA.
8. IoT Security
IoT devices thường có:
- Default credentials không được đổi.
- Không có update mechanism.
- Limited resources → không chạy được heavy security agents.
Mirai Botnet (2016): Compromise 600,000+ IoT devices (cameras, DVRs) → DDoS 1.1 Tbps → down Dyn DNS → Netflix, Twitter, Reddit sập.
IoT Protocols cần biết:
- MQTT: Lightweight pub/sub. Port 1883 (plain), 8883 (TLS).
- CoAP: HTTP-like nhưng cho constrained devices. UDP-based.
- Zigbee/Z-Wave: Wireless PAN protocols.
9. Digital Forensics & Incident Response (DFIR)
NIST SP 800-61 Incident Response Lifecycle:
Preparation → Detection & Analysis → Containment → Eradication → Recovery → Lessons Learned
Key Concepts:
- False Positive: Normal event bị classified là malicious. Tốn thời gian điều tra nhầm.
- False Negative: Malicious event không bị phát hiện. Nguy hiểm hơn nhiều!
- True Positive: Attack thực sự được phát hiện đúng.
- True Negative: Normal activity được classified đúng là normal.
CVSS v3.1 Base Metrics: Attack Vector, Attack Complexity, Privileges Required, User Interaction, Scope, Confidentiality/Integrity/Availability Impact.
Chain of Custody: Quy trình bảo toàn evidence. Mọi người tiếp xúc evidence đều phải documented.
Resources thêm
- Cisco Learning Network: learningnetwork.cisco.com
- Omar Santos' GitHub: github.com/The-Art-of-Hacking
- MITRE ATT&CK: attack.mitre.org
- Cisco Talos: talosintelligence.com
- CVSS Calculator: nvd.nist.gov/vuln-metrics/cvss
---
Phần tiếp theo: Cryptography — Symmetric/Asymmetric/Hashing/PKI.
Drop một comment nếu có câu hỏi hoặc muốn mình đào sâu phần nào!