Web Security Testing - Bezpieczeństwo i testowanie WebAplikacji przy wykorzystaniu OWASP - Plan Szkolenia

Opis:

Zajęcia te mają na celu intensywne i solidne przygotowanie do egzaminu na certyfikowanego audytora systemów informatycznych ISACA (CRISC). Najnowsze cztery (4) domeny sylabusa CRISC ISACA’ zostaną omówione z dużym naciskiem na egzamin. Oficjalny podręcznik ISACA CRISC Review Manual oraz suplementy z pytaniami, odpowiedziami i wyjaśnieniami (Q,A&E) zostaną również dostarczone podczas szkolenia. Q,A&E wyjątkowo pomaga uczestnikom w zrozumieniu stylu pytań ISACA, rodzaju odpowiedzi, których poszukuje ISACA i pomaga w szybkim przyswojeniu materiału.

Umiejętności techniczne i praktyki, które ISACA promuje i ocenia w ramach certyfikacji CRISC, są podstawą sukcesu w tej dziedzinie. Posiadanie certyfikatu CRISC świadczy o umiejętnościach w zawodzie. Wraz z rosnącym zapotrzebowaniem na profesjonalistów posiadających wiedzę z zakresu ryzyka i kontroli, certyfikat CRISC ISACA stał się preferowanym programem certyfikacji przez osoby fizyczne i przedsiębiorstwa na całym świecie. Certyfikat CRISC oznacza zaangażowanie w służenie przedsiębiorstwu i wybranemu zawodowi z wyróżnieniem.

Cele:

• Aby pomóc Ci zdać egzamin CRISC za pierwszym razem.
• Posiadanie tego certyfikatu będzie oznaczać zaangażowanie w obsługę przedsiębiorstwa z wyróżnieniem.
• Rosnące zapotrzebowanie na profesjonalistów z umiejętnościami w zakresie ryzyka i kontroli pozwoli posiadaczom tego certyfikatu zarządzać lepszymi stanowiskami i wynagrodzeniem.

Dowiesz się:

• Pomoc przedsiębiorstwom w osiąganiu celów biznesowych poprzez projektowanie, wdrażanie, monitorowanie i utrzymywanie opartych na ryzyku, wydajnych i skutecznych kontroli IS.
• Umiejętności techniczne i praktyki promowane przez CRISC, które są podstawą sukcesu w tej dziedzinie.

CRISC is a globally recognized certification for IT risk management and control professionals.

This instructor-led, live training (online or onsite) is aimed at intermediate-level IT professionals who wish to enhance their skills in identifying and managing IT risk and implementing information systems controls, and prepare for the CRISC certification exam.

By the end of this training, participants will be able to:

• Understand the governance and risk management aspects of IT.
• Conduct IT risk assessments and implement risk responses.
• Design and implement information systems controls.
• Prepare effectively for the CRISC certification exam.

Format of the Course

• Interactive lecture and discussion.
• Lots of exercises and practice.
• Hands-on implementation in a live-lab environment.

Course Customization Options

• To request a customized training for this course, please contact us to arrange.

To prowadzone przez instruktora szkolenie na żywo w Polsce (online lub na miejscu) jest przeznaczone dla inżynierów bezpieczeństwa, którzy chcą używać IBM Qradar SIEM do rozwiązywania pilnych przypadków użycia zabezpieczeń.

Po zakończeniu tego szkolenia uczestnicy będą w stanie

• Uzyskanie wglądu w dane przedsiębiorstwa w środowiskach lokalnych i chmurowych.
• Automatyzacja analizy bezpieczeństwa w celu polowania na zagrożenia i ograniczania ryzyka.
• Wykrywanie, identyfikacja i priorytetyzacja zagrożeń.

To prowadzone przez instruktora szkolenie na żywo w Polsce (online lub na miejscu) jest skierowane do osób, które chcą przeprowadzać badania na osobach trzecich, jednocześnie chroniąc się przed podobnymi działaniami.

Pod koniec tego szkolenia uczestnicy będą mogli

• Zainstalować i skonfigurować zaawansowane narzędzia do prowadzenia OSINT.
• Używać zaawansowanych technik do zbierania publicznie dostępnych danych istotnych dla śledztwa.
• Efektywnie analizować duże ilości danych.
• Generować raporty wywiadowcze na temat ustaleń.
• Wykorzystanie narzędzi AI do rozpoznawania twarzy i analizy nastrojów.
• Mapowanie strategii definiowania celu i kierowania wysiłków na najbardziej istotne i przydatne dane.

Ten kurs wprowadzający do Open Source Intelligence (OSINT) zapewni uczestnikom umiejętności, dzięki którym staną się bardziej wydajni i skuteczni w znajdowaniu kluczowych informacji w Internecie i sieci WWW. Kurs jest bardzo praktyczny, dając uczestnikom czas na poznanie i zrozumienie setek dostępnych narzędzi i stron internetowych. Następny poziom z dogłębnym wykorzystaniem zaawansowanych narzędzi, które są niezbędne do tajnych dochodzeń internetowych i gromadzenia danych wywiadowczych. Kurs jest wysoce praktyczny, dając uczestnikom czas na zbadanie i zrozumienie narzędzi i zasobów objętych kursem;  

To prowadzone przez instruktora szkolenie na żywo (online lub na miejscu) obejmuje różne aspekty bezpieczeństwa przedsiębiorstwa, od sztucznej inteligencji po bezpieczeństwo baz danych. Obejmuje również najnowsze narzędzia, procesy i sposób myślenia potrzebne do ochrony przed atakami;

Opis:

Ten 2-dniowy kurs CCSK Plus zawiera wszystkie treści z kursu CCSK Foundation i rozszerza je o obszerne praktyczne laboratoria w drugim dniu szkolenia. Studenci nauczą się stosować swoją wiedzę, wykonując serię ćwiczeń obejmujących scenariusz, który bezpiecznie przenosi fikcyjną organizację do chmury. Po ukończeniu tego szkolenia studenci będą dobrze przygotowani do egzaminu certyfikacyjnego CCSK, sponsorowanego przez Cloud Security Alliance. Drugi dzień szkolenia obejmuje dodatkowy wykład, chociaż większość czasu studenci spędzą na ocenie, budowaniu i zabezpieczaniu infrastruktury chmury podczas ćwiczeń.

Cele:

Są to dwudniowe zajęcia, które rozpoczynają się od CCSK- szkolenia podstawowego, po którym następuje drugi dzień dodatkowych treści i zajęć praktycznych

Docelowi odbiorcy:

Ta klasa jest skierowana do specjalistów ds. bezpieczeństwa, ale jest również przydatna dla każdego, kto chce poszerzyć swoją wiedzę na temat bezpieczeństwa w chmurze.

Autoryzowane szkolenie CCSK Foundation rozpoczyna się od podstaw, a następnie zwiększa poziom trudności, przechodząc przez wszystkie 16 domen CSA Security Guidance, zalecenia Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA) oraz przegląd Cloud Controls Matrix.

Jest to autoryzowany kurs Cloud Security Alliance (CSA), NobleProg jest oficjalnym partnerem szkoleniowym CSA.

Kurs jest prowadzony przez autoryzowanych instruktorów CSA CCSK.

Wszyscy uczestnicy otrzymują:

• oficjalne certyfikaty kursu CSA CCSK Foundation
• oficjalne podręczniki dla studentów CCSK Foundation
• 1 voucher na egzamin CCSK i 1 voucher na ponowne podejście do egzaminu

Kurs obejmuje najnowszą wersję egzaminu CCSK - aktualnie 4.1.

Klasa CCSK Plus opiera się na klasie podstawowej z rozszerzonym materiałem i oferuje obszerne zajęcia praktyczne, które wzmacniają instrukcje w klasie. Studenci angażują się w scenariusz bezpiecznego przeniesienia fikcyjnej organizacji do chmury, co daje im możliwość zastosowania zdobytej wiedzy poprzez wykonanie szeregu czynności, które byłyby wymagane w rzeczywistym środowisku.

Kurs CCSK Plus obejmuje wszystkie moduły kursu CCSK Foundation wraz z dodatkowymi materiałami.

Jest to autoryzowany kurs Cloud Security Alliance (CSA), a NobleProg jest oficjalnym partnerem szkoleniowym CSA.

Ten kurs jest prowadzony przez autoryzowanych CCSK instruktorów CSA;

Wszyscy uczestnicy otrzymują:

• oficjalne certyfikaty kursów CSA CCSK Plus
• oficjalne podręczniki dla studentów CCSK
• 1 CCSK voucher na egzamin i1 voucher na ponowne podejście do egzaminu

Kurs obejmuje najnowszą wersję egzaminu CCSK - obecnie jest to wersja 4.1.

Ten kurs pomoże profesjonalistom zrozumieć wartość i ograniczenia bezpieczeństwa aplikacji. Podczas gdy Application Security Principals zapewnia cenną świadomość na temat niektórych głównych zagrożeń w dzisiejszych aplikacjach, ten kurs podkreśli zarówno to, co dobre, jak i nie tak dobre.

Kurs ten ma kluczowe znaczenie ze względu na rosnącą potrzebę programistów do kodowania w bezpieczny sposób. Kluczowe znaczenie ma wprowadzenie bezpieczeństwa jako elementu jakości do cyklu rozwoju. Kurs ten ma na celu edukację programistów na temat różnych luk w zabezpieczeniach poprzez praktyczną praktykę przy użyciu naszej celowo opracowanej niezabezpieczonej aplikacji internetowej.

Android to otwarta platforma dla urządzeń mobilnych, takich jak telefony i tablety. Posiada wiele różnych funkcji bezpieczeństwa, które ułatwiają tworzenie bezpiecznego oprogramowania; jednak brakuje mu również pewnych aspektów bezpieczeństwa, które są obecne na innych platformach przenośnych. Kurs zawiera kompleksowy przegląd tych funkcji i wskazuje na najbardziej krytyczne niedociągnięcia, których należy być świadomym, związane z bazowym Linux, systemem plików i środowiskiem w ogóle, a także dotyczące korzystania z uprawnień i innych komponentów rozwoju oprogramowania Android.

Typowe pułapki i luki w zabezpieczeniach opisano zarówno dla kodu natywnego, jak i aplikacji Java, wraz z zaleceniami i najlepszymi praktykami, aby ich uniknąć i złagodzić. W wielu przypadkach omawiane kwestie są poparte rzeczywistymi przykładami i studiami przypadków. Na koniec przedstawiamy krótki przegląd sposobów korzystania z narzędzi do testowania bezpieczeństwa w celu ujawnienia wszelkich błędów programistycznych związanych z bezpieczeństwem.

Uczestnicy biorący udział w tym kursie będą mogli

• Zrozumienie podstawowych koncepcji bezpieczeństwa, bezpieczeństwa IT i bezpiecznego kodowania
• Poznanie rozwiązań bezpieczeństwa w systemie Android
• Nauka korzystania z różnych funkcji zabezpieczeń platformy Android
• Uzyskać informacje o niektórych ostatnich lukach w zabezpieczeniach Java na Androida
• Poznanie typowych błędów w kodowaniu i sposobów ich unikania
• Zrozumienie luk w natywnym kodzie na Androida
• Uświadomienie sobie poważnych konsekwencji niezabezpieczonej obsługi bufora w kodzie natywnym
• Zrozumienie technik ochrony architektury i ich słabości
• Uzyskaj źródła i dalsze lektury na temat bezpiecznych praktyk kodowania

Publiczność

Profesjonaliści

Obecnie dostępnych jest wiele języków programowania umożliwiających kompilację kodu do frameworków .NET i ASP.NET. Środowisko to zapewnia potężne środki do rozwoju zabezpieczeń, ale programiści powinni wiedzieć, jak zastosować techniki programowania na poziomie architektury i kodowania, aby wdrożyć pożądaną funkcjonalność zabezpieczeń i uniknąć luk w zabezpieczeniach lub ograniczyć ich wykorzystanie.

Celem tego kursu jest nauczenie programistów poprzez liczne ćwiczenia praktyczne, jak zapobiegać wykonywaniu uprzywilejowanych działań przez niezaufany kod, chronić zasoby poprzez silne uwierzytelnianie i autoryzację, zapewniać zdalne wywołania procedur, obsługiwać sesje, wprowadzać różne implementacje dla określonych funkcji i wiele innych. Specjalna sekcja poświęcona jest konfiguracji i wzmocnieniu środowiska .NET i ASP.NET pod kątem bezpieczeństwa.

Krótkie wprowadzenie do podstaw kryptografii zapewnia wspólną praktyczną podstawę do zrozumienia celu i działania różnych algorytmów, na podstawie których kurs przedstawia funkcje kryptograficzne, które można wykorzystać w .NET. Po tym następuje wprowadzenie niektórych ostatnich luk w zabezpieczeniach kryptograficznych, zarówno związanych z niektórymi algorytmami kryptograficznymi i protokołami kryptograficznymi, jak i atakami bocznymi.

Wprowadzenie różnych podatności rozpoczyna się od przedstawienia niektórych typowych problemów programistycznych popełnianych podczas korzystania z .NET, w tym kategorii błędów związanych z walidacją danych wejściowych, obsługą błędów lub warunkami wyścigu. Szczególny nacisk położono na bezpieczeństwo XML, podczas gdy temat podatności specyficznych dla ASP.NET porusza pewne szczególne kwestie i metody ataku: takie jak atakowanie ViewState lub ataki na zakończenie ciągu znaków.

Uczestnicy biorący udział w tym kursie

• Zrozumienie podstawowych koncepcji bezpieczeństwa, bezpieczeństwa IT i bezpiecznego kodowania
• Nauczyć się korzystać z różnych funkcji zabezpieczeń środowiska programistycznego .NET
• Praktyczne zrozumienie kryptografii
• Zrozumienie niektórych ostatnich ataków na kryptosystemy
• Uzyskanie informacji na temat niektórych ostatnich luk w zabezpieczeniach .NET i ASP.NET
• Poznanie typowych błędów w kodowaniu i sposobów ich unikania
• Zdobądź praktyczną wiedzę na temat korzystania z narzędzi do testowania bezpieczeństwa
• Uzyskaj źródła i dalsze lektury na temat praktyk bezpiecznego kodowania

Publiczność

Deweloperzy

Wdrożenie bezpiecznej aplikacji sieciowej może być trudne, nawet dla programistów, którzy wcześniej korzystali z różnych kryptograficznych bloków konstrukcyjnych (takich jak szyfrowanie i podpisy cyfrowe). Aby uczestnicy zrozumieli rolę i zastosowanie tych prymitywów kryptograficznych, najpierw podano solidne podstawy dotyczące głównych wymagań bezpiecznej komunikacji - bezpiecznego potwierdzenia, integralności, poufności, zdalnej identyfikacji i anonimowości - a także przedstawiono typowe problemy, które mogą naruszać te wymagania wraz z rzeczywistymi rozwiązaniami.

Ponieważ krytycznym aspektem bezpieczeństwa sieci jest kryptografia, omówiono również najważniejsze algorytmy kryptograficzne w kryptografii symetrycznej, haszowaniu, kryptografii asymetrycznej i uzgadnianiu kluczy. Zamiast przedstawiać dogłębne podstawy matematyczne, elementy te są omawiane z perspektywy programisty, pokazując typowe przykłady przypadków użycia i praktyczne rozważania związane z wykorzystaniem kryptografii, takie jak infrastruktura klucza publicznego. Wprowadzono protokoły bezpieczeństwa w wielu obszarach bezpiecznej komunikacji, z dogłębną dyskusją na temat najczęściej używanych rodzin protokołów, takich jak IPSEC i SSL/TLS.

Omówiono typowe podatności kryptograficzne związane z określonymi algorytmami kryptograficznymi i protokołami kryptograficznymi, takie jak BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE i podobne, a także atak czasowy RSA. W każdym przypadku, praktyczne rozważania i potencjalne konsekwencje są opisane dla każdego problemu, ponownie, bez zagłębiania się w szczegóły matematyczne.

Wreszcie, ponieważ technologia XML ma kluczowe znaczenie dla wymiany danych przez aplikacje sieciowe, opisano aspekty bezpieczeństwa XML. Obejmuje to wykorzystanie XML w usługach sieciowych i komunikatach SOAP wraz ze środkami ochrony, takimi jak podpis XML i szyfrowanie XML - a także słabości tych środków ochrony i kwestie bezpieczeństwa specyficzne dla XML, takie jak wstrzykiwanie XML, ataki na zewnętrzne encje XML (XXE), bomby XML i wstrzykiwanie XPath.

Uczestnicy biorący udział w tym kursie

• Rozumienie podstawowych koncepcji bezpieczeństwa, bezpieczeństwa IT i bezpiecznego kodowania
• Zrozumienie wymagań bezpiecznej komunikacji
• Poznanie ataków sieciowych i mechanizmów obrony w różnych warstwach OSI
• Praktyczne zrozumienie kryptografii
• Zrozumienie podstawowych protokołów bezpieczeństwa
• Zrozumienie niektórych ostatnich ataków na kryptosystemy
• Uzyskać informacje na temat niektórych niedawnych luk w zabezpieczeniach
• Zrozumienie koncepcji bezpieczeństwa usług sieciowych
• Uzyskać źródła i dalsze lektury na temat praktyk bezpiecznego kodowania

Publiczność

Deweloperzy, profesjonaliści

Aby jak najlepiej służyć heterogenicznym grupom programistów, którzy używają różnych platform jednocześnie podczas codziennej pracy, połączyliśmy różne tematy w połączony kurs, który przedstawia różne tematy bezpiecznego kodowania w sposób dydaktyczny podczas jednego szkolenia. Kurs ten łączy C/C++ i Java bezpieczeństwo platformy, aby zapewnić obszerną, wieloplatformową wiedzę na temat bezpiecznego kodowania.

W odniesieniu do C/C++ omówiono typowe luki w zabezpieczeniach, poparte praktycznymi ćwiczeniami dotyczącymi metod ataku wykorzystujących te luki, z naciskiem na techniki łagodzenia skutków, które można zastosować, aby zapobiec wystąpieniu tych niebezpiecznych błędów, wykryć je przed wprowadzeniem na rynek lub zapobiec ich wykorzystaniu.

Komponenty bezpieczeństwa i usługi Java są omawiane poprzez prezentację różnych interfejsów API i narzędzi poprzez szereg praktycznych ćwiczeń, w których uczestnicy mogą zdobyć praktyczne doświadczenie w ich używaniu. Kurs obejmuje również kwestie bezpieczeństwa usług internetowych i powiązanych usług Java, które można zastosować w celu zapobiegania najbardziej dotkliwym zagrożeniom związanym z usługami internetowymi. Wreszcie, luki w zabezpieczeniach związane z usługami internetowymi i Java są demonstrowane za pomocą łatwych do zrozumienia ćwiczeń, które nie tylko pokazują podstawową przyczynę problemów, ale także demonstrują metody ataku wraz z zalecanymi technikami łagodzenia i kodowania w celu uniknięcia związanych z nimi problemów bezpieczeństwa.

Uczestnicy biorący udział w tym kursie

• Zrozumienie podstawowych pojęć bezpieczeństwa, bezpieczeństwa IT i bezpiecznego kodowania
• Poznanie luk w zabezpieczeniach sieciowych wykraczających poza OWASP Top Ten i wiedza, jak ich unikać
• Poznanie luk w zabezpieczeniach po stronie klienta i praktyk bezpiecznego kodowania
• Nauczyć się korzystać z różnych funkcji bezpieczeństwa środowiska programistycznego Java
• Praktyczne zrozumienie kryptografii
• Uświadomienie sobie poważnych konsekwencji niezabezpieczonej obsługi bufora
• Zrozumieć architektoniczne techniki ochrony i ich słabości
• Poznanie typowych błędów w kodowaniu i sposobów ich unikania
• Uzyskać informacje na temat najnowszych luk w zabezpieczeniach różnych platform, frameworków i bibliotek
• Uzyskaj źródła i dalsze lektury na temat praktyk bezpiecznego kodowania

Publiczność

Deweloperzy

Migracja do chmury przynosi ogromne korzyści dla firm i osób prywatnych pod względem wydajności i kosztów. Jeśli chodzi o bezpieczeństwo, skutki są dość zróżnicowane, ale powszechne jest przekonanie, że korzystanie z usług w chmurze wpływa na bezpieczeństwo w pozytywny sposób. Opinie są jednak rozbieżne nawet w kwestii określenia, kto jest odpowiedzialny za zapewnienie bezpieczeństwa zasobów w chmurze.

Obejmując IaaS, PaaS i SaaS, najpierw omówiono bezpieczeństwo infrastruktury: kwestie hartowania i konfiguracji, a także różne rozwiązania do uwierzytelniania i autoryzacji wraz z zarządzaniem tożsamością, które powinny stanowić rdzeń całej architektury bezpieczeństwa. Następnie przedstawiono podstawy dotyczące kwestii prawnych i umownych, a mianowicie sposobu ustanawiania i zarządzania zaufaniem w chmurze.

Podróż przez bezpieczeństwo w chmurze jest kontynuowana wraz ze zrozumieniem zagrożeń specyficznych dla chmury oraz celów i motywacji atakujących, a także typowych kroków ataku podejmowanych przeciwko rozwiązaniom chmurowym. Szczególny nacisk położono również na audyt chmury i zapewnienie oceny bezpieczeństwa rozwiązań chmurowych na wszystkich poziomach, w tym testów penetracyjnych i analizy podatności.

Kurs koncentruje się na kwestiach bezpieczeństwa aplikacji, zajmując się zarówno bezpieczeństwem danych, jak i bezpieczeństwem samych aplikacji. Z punktu widzenia bezpieczeństwa aplikacji, bezpieczeństwo przetwarzania w chmurze nie różni się zasadniczo od ogólnego bezpieczeństwa oprogramowania, a zatem zasadniczo wszystkie podatności wymienione w OWASP są istotne również w tej domenie. Różnica polega na zestawie zagrożeń i ryzyk, a zatem szkolenie kończy się wyliczeniem różnych wektorów ataków specyficznych dla chmury, związanych z omówionymi wcześniej słabościami.

Uczestnicy biorący udział w tym kursie

• Zrozumienie podstawowych koncepcji bezpieczeństwa, bezpieczeństwa IT i bezpiecznego kodowania
• Poznanie głównych zagrożeń i ryzyka w domenie chmury
• Poznanie podstawowych rozwiązań bezpieczeństwa w chmurze
• Uzyskać informacje na temat zaufania i zarządzania w chmurze
• Praktyczne zrozumienie kryptografii
• Zdobądź rozległą wiedzę na temat bezpieczeństwa aplikacji w chmurze
• Poznasz luki w zabezpieczeniach sieci Web wykraczające poza OWASP Top Ten i dowiesz się, jak ich unikać.
• zrozumienie wyzwań związanych z audytem i oceną systemów chmurowych pod kątem bezpieczeństwa
• Dowiedz się, jak zabezpieczyć środowisko i infrastrukturę chmury
• Uzyskaj źródła i dalsze lektury na temat bezpiecznych praktyk kodowania

Publiczność

Programiści, menedżerowie, specjaliści