Bezpečnost (nejen) webových aplikací a SSDLC (HCK4)

Bezpečnost, Bezpečnost ICT

Kybernetická bezpečnost z pohledu aplikačního a nebo mobilního vývoje je dnes velkým tématem. Tréning je určen analytikům, vývojářům, architektům a bezpečnostním specialistům a je zaměřený na základní pochopení bezpečného vývoje aplikací - Secure Software Development Life Cycle (SSDLC). Provede vás celým životním cyklem a nastíní základy automatizace a DevSecOps. Projdeme společně základní problémy v aplikacích a způsoby jejich řešení. Vyzkoušíme společně modelování bezpečnostních artefaktů. Součástí kurzu je řada praktických labů včetně příkladů typických kódu a řešení známých problémů.
Lektorem kurzu je Cybersecurity konzultant, držitel certifikací CISSP, CEH, SCF. Díky jeho každodenní praxi v oblasti Cybersecurity je každý běh školení aktualizován dle nejnovějších trendů v oblasti bezpečnosti.

Lokalita, termín kurzu



Virtuálně se můžete přidat i ke školením ve výše nabízených lokalitách. Do poznámky v objednávce prosím uveďte „Připojím se virtuálně“

Náplň kurzu:

Skrýt detaily
  • Představení SSDLC
    1. Představení trendů v IT bezpečnosti - Nové trendy a technologie objevující se na trhu.
    2. Životní cyklus bezpečného vývoje SW - SSDLC musí řešit více IT oblastí, jako je kontrola zdrojového kódu, bezpečnostní analýza, design zabezpečení a architekturu, školení a tréning, penetrační a bezpečnostní testování, podporu agilních modelů.
    3. Agilní vývoj a bezpečnost
    4. Modelování bezpečných aplikací (Archimate / UML / Modelování hrozeb) - UML modelování, Archimate a další jazyky pro popis bezpečnosti. Modelování hrozeb pomocí STRIDE a DREAD metodik.
  • DevSecOps
    1. Definice DevOps
    2. DevSecOps Toolchain - Nástroje a technologie pro DevOps a jeho aktivity.
    3. Automatizace bezpečnosti ve vývoji - Revize zdrojového kódu, Makra, OpenVAS a další.
    4. Automatizační přístupy k bezpečnosti - konfigurační management, automatizace testování, bezpečnostní audity, nasazování systémů pomocí kódu.
    5. Architektura jako kód - Bezpečnost definovaná kódem nebo pseudojazyky.
    6. Kontinuální integrace a vývoj ve spojení s bezpečností - zajištění bezpečnosti v kontinuálním vývoji a kontrolních branách nasazování Software na produkci.
  • Aplikační bezpečnost OWASP TOP 10
    1. A 1 – Injektáž - Typy injekcí a detailní pohled do injektování běžných aplikací. Přehled světa injektování nevalidovaných nebo špatně validovaných aplikačních vstupů.
    2. A 2 - Prolomená autentizace - Manipulace s relacemi, uživatelské role a zabezpečení autentizace.
    3. A 3 - Vystavení citlivých dat - První věcí je určit požadavky na ochranu dat v přenosu v uložištích.
    4. A 4 - XML externí entity (XXE) - XML bezpečnost a útoky na XML komunikaci.
    5. A 5 - Prolomení kontroly přístupu - Potvrzení totožnosti uživatele, autentizace a řízení relace jsou rozhodující pro ochranu před autentizačními útoky.
    6. A 6 - Slabá bezpečnostní konfigurace serverů - Problémy v konfiguraci webových aplikačních serverů.
    7. A 7 - Cross-Site Scripting (XSS) - Typy cross site striptingu a jak jim předcházet v běžných webových systémech.
    8. A 8 - Nebezpečná deserializace - Deserializační problémy.
    9. A 9 - Používání komponent se známými zranitelnostmi - Běžné problémy s používáním Open source řešení a knihoven se známými zranitelnostmi.
    10. A 10 - Nedostatečné Logování a monitoring - Logování a monitoring v kontextu IT bezpečnosti. Zdůraznění důležitosti ochrany logů a informací v nich.
    11. Bezpečnost API (REST a SOAP) - základy
    12. Problémy přetečení bufferu - Typy přetečení bufferu a problémy v Software plynoucí z tohoto typu zranitelnosti.
  • Security architektura
    1. Návrhové vzory (nízkoúrovňové) a knihovny řešení - secure visitor, secure factory, exception manager apod.
    2. Architekturní návrhové vzory - Návrhové vzory architekturní vrstvy, návrhové vzory spojené s infrastrukturou a také softwarově definovanými sítěmi (SDN).
  • Nástroje a metody se kterými se setkáte:
    1. OWASP Proactive Controls, BurpSuite, MobSF, apktool, Fiddler, nmap, SQLmap, Lynis, OWASP ZAP proxy, Kali Linux, OpenVAS, Wapiti, Aplication Security verification standard, OWASP testing guide, Opensource nástroje a mnohé další.
Předpokládané znalosti:
Znalost práce s OS Windows, popř. Linux. Základy síťových technologií TCP/IP.
Časový rozvrh:
2 dny (9:00hod. - 17:00hod.)
Cena za osobu:
12 200,00 Kč (14 762,00 Kč včetně 21% DPH)

Vybrané zákaznické reference

Česká správa sociálního zabezpečení, Jan K.
Bezpečnost (nejen) webových aplikací a SSDLC ( HCK4)
"Školení bylo úžasné a lektor s neuvěřitelnými vědomostmi."
Česká správa sociálního zabezpečení, Jana F.
Bezpečnost (nejen) webových aplikací a SSDLC ( HCK4)
"Velmi přínosné školení, skvělá odbornost lektora."
Česká správa sociálního zabezpečení, Martin M.
Bezpečnost (nejen) webových aplikací a SSDLC ( HCK4)
"Školení bylo perfektní. Na dané téma by se dalo mluvit a proškolit mnohem více, kdyby bylo více času. Lektor mi i za ten týden naučil opravdu spousty nových věcí a dozvěděl jsem se spousty nových informací. "
ITS akciová společnost, Jan V.
Bezpečnost (nejen) webových aplikací a SSDLC ( HCK4)
"Přátelský přístup lektora, srozumitelný výklad, hezká prezentace. Informací a materiálů je tolik, že by to vydalo klidně i na měsíční školení :) Díky"
T-Mobile Czech Republic a.s., Radomír M.
Bezpečnost (nejen) webových aplikací a SSDLC ( HCK4)
"Výborné přehledové školení na Web jak pro vývojaře webů, tak pro it security. Možnost se kdykoliv přerušit zeptat se na detaily atp."
AlbisTech s.r.o., Tomáš V.
Bezpečnost (nejen) webových aplikací a SSDLC ( HCK4)
"Můj dojem ze školení je výborný. Lektor byl profesionál s velkým množstvím znalostí a zkušeností. Bylo vidět, že problematice opravdu rozumí. Získal jsem plno informací a materiálů, které mi velmi pomohou v dalším profesním růstu. Jsem velice spokojený."
ententee s.r.o., Petr V.
Bezpečnost (nejen) webových aplikací a SSDLC ( HCK4)
"velká profesionalita pana Šottla - jak odborná, tak trenérská. Perfektně splnil obtížné zadání- do 3 hodin kondenzovat ochutnávku 2 denního kurzu, abychom mohli definovat individuální follow-upy. Velmi ochotně nad rámec tréninku dodal tipy na dlší studium problematiky... -> 5* "