Cursuri de pregatire Corpul de Cunoștințe în Securitate Cibernetică (CyBOK)

Acest training condus de un instructor, live în România (online sau la fața locului) este destinat administratorilor de sistem care doresc să utilizeze 389 Directory Server pentru a configura și gestiona autentificarea și autorizarea bazate pe LDAP.

La finalul acestui training, participanții vor putea:

• Instala și configura 389 Directory Server.
• Înțelege caracteristicile și arhitectura 389 Directory Server.
• Învăța cum să configureze serverul de director folosind consola web și CLI.
• Să configureze și să monitorizeze replicarea pentru disponibilitate ridicată și echilibrarea sarcinii.
• Gestiona autentificarea LDAP folosind SSSD pentru o performanță mai rapidă.
• Integra 389 Directory Server cu Microsoft Active Directory.

Acest training condus de un instructor, live în România (online sau la fața locului) este destinat administratorilor de sistem care doresc să utilizeze Microsoft Active Directory pentru a gestiona și securiza accesul la date.

La finalul acestui training, participanții vor putea:

• Să configureze și să pună în funcțiune Active Directory.
• Să configureze un domeniu și să definească drepturile de acces ale utilizatorilor și dispozitivelor.
• Să gestioneze utilizatorii și mașinile prin Politici de Grup.
• Să controleze accesul la serverele de fișiere.
• Să configureze un serviciu de certificate și să gestioneze certificatele.
• Să implementeze și să gestioneze servicii precum criptarea, certificatele și autentificarea.

Acest curs de trei zile acoperă elementele de bază ale securizării codului C/C++ împotriva utilizatorilor rău intenționați care ar putea exploata numeroase vulnerabilități din cod, legate de gestionarea memoriei și manipularea intrărilor. Cursul acoperă principiile scrierii unui cod sigur.

Chiar și programatorii Java experimentați nu stăpânesc în totalitate diversele servicii de securitate oferite de Java și, de asemenea, nu sunt conștienți de diferitele vulnerabilități relevante pentru aplicațiile web scrise în Java.

Cursul – pe lângă introducerea componentelor de securitate ale Standard Java Edition – abordează problemele de securitate ale Java Enterprise Edition (JEE) și ale serviciilor web. Discuția despre serviciile specifice este precedată de fundamentele criptografiei și ale comunicării sigure. Diverse exerciții abordează tehnicile de securitate declarativă și programatică în JEE, în timp ce se discută atât securitatea la nivelul transportului, cât și securitatea end-to-end a serviciilor web. Utilizarea tuturor componentelor este prezentată prin mai multe exerciții practice, unde participanții pot încerca API-urile și instrumentele discutate pe cont propriu.

Cursul trece de asemenea în revistă și explică cele mai frecvente și grave defecte de programare ale limbajului Java și platformei, precum și vulnerabilitățile legate de web. Pe lângă greșelile tipice comise de programatorii Java, vulnerabilitățile de securitate introduse acoperă atât probleme specifice limbajului, cât și probleme care provin din mediul de execuție. Toate vulnerabilitățile și atacurile relevante sunt demonstrate prin exerciții ușor de înțeles, urmate de recomandările de codare și de tehnicile posibile de atenuare.

Participanții care participă la acest curs vor

• Înțelege conceptele de bază ale securității, securității IT și ale codării sigure
• Învață despre vulnerabilitățile web dincolo de OWASP Top Ten și cum să le evite
• Înțelege conceptele de securitate ale serviciilor web
• Învață să utilizeze diverse funcții de securitate ale mediului de dezvoltare Java
• Dobândește o înțelegere practică a criptografiei
• Înțelege soluțiile de securitate ale Java EE
• Învață despre greșelile tipice de codare și cum să le evite
• Obține informații despre unele vulnerabilități recente din cadrul Java
• Dobândește cunoștințe practice în utilizarea instrumentelor de testare a securității
• Obține surse și lecturi suplimentare despre practicile de codare sigură

Public țintă

Dezvoltatori

Descriere

Limbajul Java și Mediul de Execuție (JRE) au fost proiectate pentru a fi libere de cele mai problematice vulnerabilități de securitate comune întâlnite în alte limbaje, cum ar fi C/C++. Cu toate acestea, dezvoltatorii de software și arhitecții nu ar trebui doar să știe cum să utilizeze diversele caracteristici de securitate ale mediului Java (securitate pozitivă), ci ar trebui să fie, de asemenea, conștienți de numeroasele vulnerabilități care sunt încă relevante pentru dezvoltarea Java (securitate negativă).

Introducerea serviciilor de securitate este precedată de o scurtă prezentare generală a fundamentelor criptografiei, oferind o bază comună pentru înțelegerea scopului și funcționării componentelor aplicabile. Utilizarea acestor componente este prezentată prin mai multe exerciții practice, unde participanții pot încerca singuri API-urile discutate.

Cursul trece, de asemenea, prin cele mai frecvente și severe greșeli de programare ale limbajului și platformei Java, acoperind atât bug-urile tipice comise de programatorii Java, cât și problemele specifice limbajului și mediului. Toate vulnerabilitățile și atacurile relevante sunt demonstrate prin exerciții ușor de înțeles, urmate de recomandările de codare și tehnicile posibile de atenuare.

Participanții care participă la acest curs vor

• Înțelege conceptele de bază ale securității, securității IT și ale codificării sigure
• Învață despre vulnerabilitățile web dincolo de OWASP Top Ten și știe cum să le evite
• Învață să utilizeze diverse caracteristici de securitate ale mediului de dezvoltare Java
• Dobândească o înțelegere practică a criptografiei
• Învață despre greșelile tipice de codare și cum să le evite
• Obține informații despre unele vulnerabilități recente în cadrul Java
• Obține surse și lecturi suplimentare despre practicile de codare sigură

Public țintă

Dezvoltatori

Astăzi sunt disponibile numeroase limbaje de programare pentru a compila cod pentru cadrele .NET și ASP.NET. Mediul oferă instrumente puternice pentru dezvoltarea securizată, dar dezvoltatorii trebuie să știe cum să aplice tehnicile de programare la nivel de arhitectură și cod pentru a implementa funcționalitățile de securitate dorite și pentru a evita vulnerabilitățile sau a le limita exploatarea.

Scopul acestui curs este să îi învețe pe dezvoltatori, prin numeroase exerciții practice, cum să prevină executarea de acțiuni privilegiate de către cod neîncredințat, să protejeze resursele prin autentificare și autorizare puternică, să ofere apeluri de procedură la distanță, să gestioneze sesiunile, să introducă diferite implementări pentru anumite funcționalități și multe altele.

Introducerea diferitelor vulnerabilități începe cu prezentarea unor probleme tipice de programare comise atunci când se utilizează .NET, în timp ce discuția despre vulnerabilitățile ASP.NET abordează, de asemenea, diverse setări de mediu și efectele acestora. În cele din urmă, subiectul vulnerabilităților specifice ASP.NET nu abordează doar unele provocări generale de securitate a aplicațiilor web, ci și probleme speciale și metode de atac, cum ar fi atacarea ViewState-ului sau atacurile de terminare a șirurilor.

Participanții la acest curs vor

• Înțelege conceptele de bază ale securității, securității IT și ale programării securizate
• Învață despre vulnerabilitățile web dincolo de OWASP Top Ten și cum să le evite
• Învață să folosească diverse caracteristici de securitate ale mediului de dezvoltare .NET
• Dobândește cunoștințe practice în utilizarea instrumentelor de testare a securității
• Învață despre greșelile tipice de codare și cum să le evite
• Obține informații despre unele vulnerabilități recente în .NET și ASP.NET
• Obține surse și lecturi suplimentare despre practicile de programare securizată

Publicul țintă

Dezvoltatori

Cursul combinat de bază SDL oferă o perspectivă asupra proiectării, dezvoltării și testării sigure a software-ului prin intermediul Microsoft Secure Development Lifecycle (SDL). Acesta oferă o prezentare de nivel 100 a elementelor fundamentale ale SDL, urmată de tehnici de proiectare pentru a detecta și repara defecte în etapele timpurii ale procesului de dezvoltare.

Acoperind faza de dezvoltare, cursul oferă o prezentare generală a bug-urilor de programare relevante pentru securitate, atât pentru codul gestionat, cât și pentru cel nativ. Sunt prezentate metode de atac pentru vulnerabilitățile discutate, împreună cu tehnicile asociate de atenuare, toate explicate prin numeroase exerciții practice care oferă participanților distracție prin hacking live. Introducerea diferitelor metode de testare a securității este urmată de demonstrarea eficacității diverselor instrumente de testare. Participanții pot înțelege funcționarea acestor instrumente prin numeroase exerciții practice, aplicând instrumentele pe codul vulnerabil deja discutat.

Participanții care urmează acest curs vor

Înțelege conceptele de bază ale securității, securității IT și codificării sigure

Se familiarizează cu pașii esențiali ai Microsoft Secure Development Lifecycle

Învață practici de proiectare și dezvoltare sigură

Învață despre principiile de implementare sigură

Înțelege metodologia de testare a securității

• Obține surse și lecturi suplimentare despre practicile de codificare sigură

Publicul țintă

Dezvoltatori, Manageri

După ce se familiarizează cu vulnerabilitățile și metodele de atac, participanții învață despre abordarea generală și metodologia de testare a securității, precum și despre tehnicile care pot fi aplicate pentru a evidenția vulnerabilitățile specifice. Testarea de securitate ar trebui să înceapă cu colectarea de informații despre sistem (ToC, adică Obiectul de Evaluare), apoi o modelare amănunțită a amenințărilor ar trebui să dezvăluie și să evalueze toate amenințările, ajungând la cel mai potrivit plan de testare bazat pe analiza riscurilor.

Evaluările de securitate pot avea loc în diverse etape ale SDLC, așa că discutăm despre revizuirea designului, revizuirea codului, recunoașterea și colectarea de informații despre sistem, testarea implementării și testarea și consolidarea mediului pentru o implementare sigură. Multe tehnici de testare a securității sunt prezentate în detaliu, cum ar fi analiza de contaminare și revizuirea codului bazată pe euristică, analiza statică a codului, testarea dinamică a vulnerabilităților web sau fuzzing. Sunt introduse diverse tipuri de instrumente care pot fi aplicate pentru a automatiza evaluarea securității produselor software, ceea ce este susținut și de o serie de exerciții, în care executăm aceste instrumente pentru a analiza codul vulnerabil deja discutat. Multe studii de caz din viața reală sprijină o înțelegere mai bună a diferitelor vulnerabilități.

Acest curs pregătește testerii și personalul QA să planifice adecvat și să execute cu precizie teste de securitate, să selecteze și să utilizeze cele mai potrivite instrumente și tehnici pentru a găsi chiar și defecte de securitate ascunse, oferind astfel abilități practice esențiale care pot fi aplicate imediat în ziua următoare de lucru.

Participanții care participă la acest curs vor

• Înțelege conceptele de bază ale securității, securității IT și codificării sigure
• Învață despre vulnerabilitățile web dincolo de Top Ten OWASP și știe cum să le evite
• Învață despre vulnerabilitățile de pe partea clientului și practicile de codificare sigură
• Înțelege abordările și metodologiile de testare a securității
• Dobândește cunoștințe practice în utilizarea tehnicilor și instrumentelor de testare a securității
• Obține surse și lecturi suplimentare despre practicile de codificare sigură

Publicul țintă

Dezvoltatori, Testeri

Protejarea aplicațiilor accesibile prin intermediul web necesită profesioniști în securitate bine pregătiți, care sunt întotdeauna conștienți de metodele și tendințele actuale de atac. Există o multitudine de tehnologii și medii care permit dezvoltarea confortabilă a aplicațiilor web. Nu trebuie să fii doar conștient de problemele de securitate relevante pentru aceste platforme, ci și de toate vulnerabilitățile generale care se aplică indiferent de instrumentele de dezvoltare utilizate.

Cursul oferă o privire de ansamblu asupra soluțiilor de securitate aplicabile în aplicațiile web, cu un accent special pe înțelegerea celor mai importante soluții criptografice care trebuie aplicate. Diversele vulnerabilități ale aplicațiilor web sunt prezentate atât pe partea de server (urmărind Topul Zece OWASP), cât și pe partea de client, demonstrate prin atacurile relevante și urmate de tehnicile de codare recomandate și metodele de atenuare pentru a evita problemele asociate. Subiectul codării sigure este încheiat prin discutarea unor greșeli de programare tipice legate de securitate în domeniul validării intrărilor, utilizării improprii a caracteristicilor de securitate și calității codului.

Testarea joacă un rol foarte important în asigurarea securității și robusteții aplicațiilor web. Diverse abordări – de la auditul de nivel înalt, prin testarea de penetrare până la hackingul etic – pot fi aplicate pentru a găsi vulnerabilități de diferite tipuri. Cu toate acestea, dacă doriți să depășiți fructele ușor accesibile, testarea de securitate trebuie planificată bine și executată corespunzător. Amintiți-vă: testerii de securitate ar trebui, în mod ideal, să găsească toate bug-urile pentru a proteja un sistem, în timp ce pentru adversari este suficient să găsească o singură vulnerabilitate exploatabilă pentru a pătrunde în el.

Exercițiile practice vor ajuta la înțelegerea vulnerabilităților aplicațiilor web, a greșelilor de programare și, cel mai important, a tehnicilor de atenuare, împreună cu încercări practice ale diverselor instrumente de testare, de la scanere de securitate, prin snifere, servere proxy, instrumente de fuzzing până la analizoare statice de cod sursă. Acest curs oferă abilitățile practice esențiale care pot fi aplicate imediat la locul de muncă.

Participanții care participă la acest curs vor

• Înțelege conceptele de bază ale securității, securității IT și codării sigure
• Aflați despre vulnerabilitățile web dincolo de Topul Zece OWASP și cum să le evitați
• Aflați despre vulnerabilitățile pe partea de client și practicile de codare sigură
• Dobândiți o înțelegere practică a criptografiei
• Înțelegeți abordările și metodologiile de testare a securității
• Dobândiți cunoștințe practice în utilizarea tehnicilor și instrumentelor de testare a securității
• Fiți informați despre vulnerabilitățile recente din diverse platforme, framework-uri și biblioteci
• Obțineți surse și lecturi suplimentare despre practicile de codare sigură

Public țintă

Dezvoltatori, Testeri

Acest training condus de un instructor, live în România (online sau la fața locului), este destinat administratorilor de sistem care doresc să utilizeze FreeIPA pentru a centraliza autentificarea, autorizarea și informațiile de cont pentru utilizatorii, grupurile și mașinile organizației lor.

La sfârșitul acestui training, participanții vor putea:

• Instala și configura FreeIPA.
• Gestiona utilizatorii și clienții Linux dintr-o singură locație centrală.
• Utiliza CLI, Web UI și interfața RPC a FreeIPA pentru a configura și gestiona permisiunile.
• Activa autentificarea Single Sign On pe toate sistemele, serviciile și aplicațiile.
• Integra FreeIPA cu Windows Active Directory.
• Efectua backup, replica și migrarea unui server FreeIPA.

Acest training condus de un instructor, live în România (online sau la fața locului) este destinat administratorilor de sistem care doresc să folosească Okta pentru gestionarea identităților și accesului.

La finalul acestui training, participanții vor putea:

• Configura, integra și gestiona Okta.
• Integra Okta într-o aplicație existentă.
• Implementa securitate prin autentificare multi-factor.

Acest training condus de un instructor, live în România (online sau la fața locului) este destinat administratorilor de sistem de nivel intermediar și profesioniștilor IT care doresc să instaleze, configureze, gestioneze și securizeze directoare LDAP folosind OpenLDAP.

La finalul acestui training, participanții vor putea:

• Să înțeleagă structura și funcționarea directoarelor LDAP.
• Să instaleze și să configureze OpenLDAP pentru diverse medii de implementare.
• Să implementeze mecanisme de control al accesului, autentificare și replicare.
• Să utilizeze OpenLDAP cu servicii și aplicații terțe.

Acest training condus de un instructor, live în România (online sau la fața locului), este destinat administratorilor de sistem care doresc să folosească OpenAM pentru a gestiona identitatea și controalele de acces pentru aplicații web.

La sfârșitul acestui training, participanții vor putea:

• Să configureze mediul de server necesar pentru a începe configurarea autentificării și controalelor de acces folosind OpenAM.
• Să implementeze single sign-on (SSO), autentificarea multi-factor (MFA) și funcții de self-service pentru utilizatori în aplicații web.
• Să folosească servicii de federare (OAuth 2.0, OpenID, SAML v2.0, etc.) pentru a extinde gestionarea identității în siguranță pe diferite sisteme sau aplicații.
• Să acceseze și să gestioneze servicii de autentificare, autorizare și gestionare a identității prin API-uri REST.

Acest training condus de un instructor, live în România (online sau la fața locului) este destinat administratorilor de sistem care doresc să folosească OpenDJ pentru a gestiona credențialele utilizatorilor din organizația lor într-un mediu de producție.

La finalul acestui training, participanții vor putea:

• Instala și configura OpenDJ.
• Administra un server OpenDJ, inclusiv monitorizare, depanare și optimizare pentru performanță.
• Crea și gestiona mai multe baze de date OpenDJ.
• Efectua backup și migrare a unui server OpenDJ.