Cyber Security Body of Knowledge (CyBOK) Képzés

Ez az oktató által vezetett, élő képzés a Magyarország-ban (online vagy helyszíni) azoknak a rendszergazdáknak szól, akik a 389 Directory Server segítségével szeretnék konfigurálni és kezelni az LDAP alapú hitelesítést és engedélyezést.

A képzés végére a résztvevők képesek lesznek:

• Telepítse és konfigurálja a 389 Directory Server-t.
• Ismerje meg a 389 Directory Server szolgáltatásait és architektúráját.
• Ismerje meg, hogyan konfigurálhatja a címtárkiszolgálót a webkonzol és a CLI használatával.
• A replikáció beállítása és figyelése a magas rendelkezésre állás és a terheléselosztás érdekében.
• Az LDAP hitelesítés kezelése SSSD használatával a gyorsabb teljesítmény érdekében.
• Integrálja a 389 Directory Server-t a Microsoft Active Directory-val.

Ez az oktató által vezetett, élő képzés a Magyarország-ban (online vagy helyszíni) azoknak a rendszergazdáknak szól, akik a Microsoft Active Directory segítségével kezelik és biztonságossá szeretnék tenni az adatok elérését.

A képzés végére a résztvevők képesek lesznek:

• Az Active Directory beállítása és konfigurálása.
• Állítson be egy tartományt, és határozza meg a felhasználók és eszközök hozzáférési jogait.
• Kezelje a felhasználókat és a gépeket a csoportházirendeken keresztül.
• A fájlszerverekhez való hozzáférés szabályozása.
• Tanúsítványszolgáltatás beállítása és tanúsítványok kezelése.
• Olyan szolgáltatásokat valósítson meg és kezeljen, mint a titkosítás, a tanúsítványok és a hitelesítés.

Ez a háromnapos kurzus a C/C++ kód alapvető biztonsági megoldásait mutatja be, amelyek a rosszindulatú felhasználók által kihasználható memóriakezelési és bemeneti kezelési hibákkal szemben védnek. A kurzus a biztonságos kódírás elvei köré épül.

Még a tapasztalt Java programozók sem ismerik minden eszközzel a Java által kínált különféle biztonsági szolgáltatásokat, és szintén nincsenek tisztában a Java-ban írt webalkalmazásokkal kapcsolatos különféle sebezhetőségekkel.

A kurzus – a Standard Java Edition biztonsági összetevőinek bemutatása mellett – a Java Enterprise Edition (JEE) és a webszolgáltatások biztonsági kérdéseivel foglalkozik. A konkrét szolgáltatások megbeszélését a kriptográfia és a biztonságos kommunikáció alapjai előzik meg. Különféle gyakorlatok foglalkoznak a deklaratív és programozott biztonsági technikákkal a JEE-ben, miközben a webszolgáltatások szállítási rétegű és végpontok közötti biztonságát is tárgyalják. Az összes komponens használatát több gyakorlati gyakorlaton keresztül mutatják be, ahol a résztvevők maguk is kipróbálhatják a tárgyalt API-kat és eszközöket.

A kurzus a Java nyelv és platform leggyakrabban előforduló és legsúlyosabb programozási hibáit, valamint a webes sérülékenységeket is áttekinti és elmagyarázza. A Java programozók által elkövetett tipikus hibákon kívül a bevezetett biztonsági rések nyelvspecifikus problémákat és a futási környezetből adódó problémákat egyaránt lefedik. Az összes sebezhetőséget és a vonatkozó támadásokat könnyen érthető gyakorlatok mutatják be, amelyeket az ajánlott kódolási irányelvek és a lehetséges enyhítési technikák követnek.

A tanfolyamon részt vevő résztvevők

• Ismerje meg a biztonság, az informatikai biztonság és a biztonságos kódolás alapvető fogalmait
• Ismerje meg a OWASP Top Tenen túlmutató webes sebezhetőségeket, és tudja, hogyan kerülheti el őket
• Ismerje meg a webszolgáltatások biztonsági fogalmait
• Ismerje meg a Java fejlesztői környezet különféle biztonsági funkcióinak használatát
• Gyakorlati ismeretekkel rendelkezzen a kriptográfiáról
• Ismerje meg a Java EE biztonsági megoldásait
• Ismerje meg a tipikus kódolási hibákat és azok elkerülését
• Információkat szerezhet a Java keretrendszer néhány közelmúltbeli sebezhetőségéről
• Gyakorlati ismereteket szerezhet a biztonsági tesztelő eszközök használatáról
• Szerezzen forrásokat és további olvasmányokat a biztonságos kódolási gyakorlatokról

Közönség

Fejlesztők

Leírás

A Java nyelvet és a futásidejű környezet (JRE) olyan módon terveztek, hogy szabad legyen a C/C++-ban tapasztalható leggyakoribb biztonsági résektől. Mindazonáltal a szoftverfejlesztők és architektúrák nem csak abban kellene megismerni, hogyan lehet használni a Java környezet biztonsági funkcióit (pozitív biztonság), hanem figyelniük kell a számos továbbra is releváns rést (negatív biztonság).

A biztonsági szolgáltatások bevezetésének előterjedt egy rövid kriptográfia alapjainak áttekintése, ami közös alapot nyújt a használt komponensek céljának és működésének megértéséhez. Ezeket a komponenseket több praktikus gyakorlaton keresztül mutatják be, ahol a résztvevők saját maguk is kipróbálhatják az API-kat.

A kurzus átismétli és megmagyarázza a Java nyelv és platform leggyakoribb és súlyosabb programozási hibáit, beleértve mind a Java programozók által elkövetett tipikus bugokat, mind a nyelvi és környezeti specifikus problémákat. Minden rést és kapcsolódó támadást könnyen érthető gyakorlatokon bemutatnak, melyek után a javasolt programozási irányelveket és lehetséges enyhítési technikákat is átnéznek.

A kurzusra részt vevők

• Megértenek a biztonság, az IT-biztonság és a biztonságos programozás alapvető fogalmainak
• Megtanulják a Web réseit az OWASP Top Ten mellett és tudniuk kell, hogyan kerülhetik el őket
• Megismerni fogják a Java fejlesztési környezet különböző biztonsági funkcióit
• Műszeres alapokon állóan megértenek a kriptográfia alapjait
• Megtudják a tipikus programozási hibákat és hogyan kerülhetik el őket
• Információt kapnak néhány legutóbbi Java keretrendszer biztonsági réseiről
• Információt kapnak a biztonságos programozási gyakorlatok forrásairól és további olvasnivalókról

Célcsoport

Fejlesztők

Napjainkban számos programozási nyelvet lehet használni a .NET és ASP.NET keretrendszerekre kód lefordításához. A környezet erőteljes eszközöket biztosít a biztonságos fejlesztéshez, de a fejlesztőknek tudniuk kell, hogyan alkalmazzák az architektúra- és kódolási szintű programozási technikákat annak érdekében, hogy megvalósítsák a kívánt biztonsági funkciókat, elkerüljék a hibákat vagy korlátozzák azok kihasználását.

Az oktatás célja, hogy számos gyakorlati feladat segítségével megtanítsa a fejlesztőket, hogyan kerülhetik el, hogy a megbízhatatlan kód rendszerműveleteket végezzen, hogyan védelmezhessék az erőforrásokat erős hitelesítéssel és engedéllyekkel, hogyan biztosítsanak távoli eljárás-hívásokat, milyen módokon kezelhetnek a munkameneteket, valamint milyen különböző implementációs megoldásokkal rendelkeznek az adott funkciókhoz.

A különböző sebezélyek bemutatása egyes tipikus programozási problémák bemutatásával kezdődik, amelyeket a .NET használata során elkövethetnek, míg az ASP.NET sebezélyei kapcsán szintén különböző környezeti beállítások és hatásukra is utalunk. Végül az ASP.NET-specifikus sebezélyek nem csak általános webalkalmazás-biztonsági kihívásokat, hanem speciális problémákat és támadási módszereket is bemutatnak, például a ViewState támadását vagy a karakterlánc befejezési támadásokat.

Az oktatást megkövetők ezt megtanulják:

• Értik a biztonság, az IT-biztonság és a biztonságos programozás alapfogaslait
• Megtanulják a Web sebezélyeket az OWASP Top Ten mellett, valamint hogyan kerülhetik el őket
• Megtanulják használni a .NET fejlesztési környezet különböző biztonsági funkcióit
• Együttműködési ismereteket szereznek a biztonsági tesztelési eszközök használatában
• Megtanulják a tipikus programozási hibákról és hogyan kerülhetik el őket
• Információt szereznek néhány friss .NET és ASP.NET sebezélyről
• További olvasmányokat kapnak a biztonságos programozási gyakorlatokról

Célcsoport

Fejlesztők

A kombinált SDL core képzés bemutatja a biztonságos szoftvertervezés, fejlesztés és tesztelés alapjait Microsoft Secure Development Lifecycle (SDL) keretében. Egy 100-as szintű áttekintést nyújt az SDL alaptárolóinak, majd tervezési technikákat ismertet a korai fejlesztési fázisokban előforduló hibák felérzékelésére és javítására.

A fejlesztési fázis kezelését illetően a képzés áttekintést ad az irányított és natív kód programozási hibáinak tipikus biztonságosan relevant elemeire. Megmutatja az oktatók beszámolóival a támadási módszereket, valamint a megoldásokat, amelyeket interaktív gyakorlatokban élvezhetnek életben a résztvevők. Különböző biztonságos tesztelési módszerek bemutatása után demonstrálja az eszközök hatékonyságát, és a gyakorlati gyakorlatokban segíti megérteni a résztvevőket ezek működését a már elemezett hibás kódra alkalmazva.

A képzést látogatók a következőt fogják megtanulni

Alapvető biztonsági, IT-biztonsági és biztonságos kódolási fogalmak megértése

Microsoft Secure Development Lifecycle (SDL) alapvető lépéseinak ismerete

Biztonságos tervezési és fejlesztési gyakorlatok tanulása

Biztonságos implementációs elvek megismerése

Biztonsági tesztelési módszeriség megértése

• Biztonságos kódolási gyakorlatok forrásai és további olvasmányok

Célcsoport

Fejlesztők, Managerialak

A sebezhetőségek és a támadási módszerek megismerése után a résztvevők megismerkednek a biztonsági tesztelés általános megközelítésével és módszertanával, valamint a konkrét sérülékenységek feltárására alkalmazható technikákkal. A biztonsági tesztelést a rendszerről szóló információgyűjtéssel (ToC, azaz Target of Evaluation) kell kezdeni, majd egy alapos fenyegetettségi modellezéssel fel kell tárni és minősíteni az összes fenyegetést, el kell érni a legmegfelelőbb kockázatelemzés-vezérelt teszttervhez.

A biztonsági értékelések az SDLC különböző lépéseiben történhetnek, ezért megvitatjuk a tervezési áttekintést, a kódellenőrzést, a felderítést és a rendszerrel kapcsolatos információgyűjtést, a megvalósítás tesztelését és a tesztelést, valamint a biztonságos telepítéshez szükséges környezet keményítését. Számos biztonsági tesztelési technikát mutatunk be részletesen, például a szennyeződéselemzést és a heurisztika alapú kódellenőrzést, a statikus kódelemzést, a dinamikus webes sebezhetőség tesztelését vagy a fuzzingot. Különféle eszközöket mutatunk be, amelyek segítségével automatizálható a szoftvertermékek biztonsági értékelése, amit számos gyakorlat is alátámaszt, ahol ezeket az eszközöket végrehajtva elemezzük a már tárgyalt sebezhető kódot. Számos valós esettanulmány támogatja a különféle sebezhetőségek jobb megértését.

Ez a kurzus felkészíti a tesztelőket és a minőségellenőrző munkatársakat a biztonsági tesztek megfelelő megtervezésére és precíz végrehajtására, a legmegfelelőbb eszközök és technikák kiválasztására és használatára a rejtett biztonsági hibák felkutatására is, így alapvető gyakorlati ismereteket ad, amelyeket a következő munkanapon is alkalmazni lehet.

A tanfolyamon részt vevő résztvevők

• Ismerje meg a biztonság, az informatikai biztonság és a biztonságos kódolás alapvető fogalmait
• Ismerje meg a OWASP Top Tízen túlmutató webes sebezhetőségeket, és tudja, hogyan kerülheti el őket
• Ismerje meg az ügyféloldali sebezhetőségeket és a biztonságos kódolási gyakorlatokat
• Ismerje meg a biztonsági tesztelési megközelítéseket és módszertanokat
• Gyakorlati ismereteket szerezhet a biztonsági tesztelési technikák és eszközök használatáról
• Szerezzen forrásokat és további olvasmányokat a biztonságos kódolási gyakorlatokról

Közönség

Fejlesztők, tesztelők

A webes alkalmazások védelme jól felkészült biztonsági szakembert igényel, aki mindig naprakész az aktuális támadási módszerekkel és trendekkel. Sokféle technológia és környezet áll rendelkezésre, amelyek lehetővé teszik a webalkalmazások komfortos fejlesztését. Nem csak ezek platformokhoz kapcsolódó biztonsági kérdésekkel kell ismerősnek lenni, hanem az összes általános veszélyforrással is, amelyek függetlenül a használt fejlesztői eszközektől érvényesek.

A kurzus bemutatja a webalkalmazásokban alkalmazható biztonsági megoldásokat, külön figyelemmel a legfontosabb kriptográfiai megoldások megértésére. A különböző webalkalmazási veszélyforrásokat mind a szerver oldalon (a OWASP Top Ten után) és az ügyfél oldalon mutatják be, támadásokkal illusztrálva, és ajánlott kódolási technikákkal és problémák elkerülésére irányuló módokkal. A biztonságos kódolás témája a bemeneti validáció, biztonsági funkciók helytelen használata és a kód minőségével kapcsolatos tipikus programozási hibák megvitatásával folytatódik.

A tesztelés nagyon fontos szerepet játszik a webalkalmazások biztonságának és megbízhatóságának garantálásában. Sokféle megközelítést lehet alkalmazni – mint például a magas szintű felülvizsgálat, a behatolási tesztelés és az etikus hackerzés – a különböző típusú hibák felderítése érdekében. Azonban ha szeretnénk túlni a könnyen felfedhető alacsony-hanging gyümölcsök felett, a biztonsági tesztelést jól kell tervezni és megfelelően végrehajtanunk. Emlékezz: a biztonság-tesztelők ideális esetben minden hibát felfednek, hogy egy rendszert megvédjenek, míg az ellenségek számára elég egy kihasználható hiba felismertetése, hogy belejutjanak a rendszerbe.

A gyakorlati gyakorlatok segítenek megérteni a webalkalmazások veszélyforrásait, a programozási hibákat és legfontosabb részletben a problémák elkerülésére irányuló technikákat. Különböző tesztelési eszközök – mint biztonság-ellenőrzők, tűzfalak, proxy szerverek, fuzzing eszközök és statikus forráskód-analizátort adnak a kurzushoz, ami a munkahelyre közvetlenül alkalmazható gyakorlati készségeket nyújtja.

A kurzusra jelentkezők ezt tanulják meg

• Megértenek a biztonság, az IT-biztonság és a biztonságos programozás alapvető fogalmait
• Tanulnak webes veszélyforrásokat a OWASP Top Ten mellett és tudnak elkerülni őket
• Tanulnak ügyfél-oldali veszélyforrásokat és biztonságos programozási gyakorlatokat
• Biztosíthatnak a kriptográfia gyakorlati megértését
• Megértenek a biztonsági tesztelés megközelítéseit és módszertanát
• Elősegítik a biztonsági tesztelési technikák és eszközök gyakorlati ismeretét
• Informáltak lesznek a különböző platformok, keretrendszerek és könyvtárak legújabb veszélyforrásairól
• Megértenek a biztonságos programozási gyakorlatok forrásait és további olvasmányokat

Célközönség

Fejlesztők, Tesztelők

Ez az oktató által vezetett, élő képzés a Magyarország-ban (online vagy helyszíni) azoknak a rendszergazdáknak szól, akik a FreeIPA segítségével szeretnék központosítani szervezetük felhasználóinak, csoportjainak és gépeinek hitelesítési, engedélyezési és fiókinformációit.

A képzés végére a résztvevők képesek lesznek:

• Telepítse és konfigurálja a FreeIPA-t.
• Kezelje Linux felhasználókat és ügyfeleket egyetlen központi helyről.
• Használja a FreeIPA CLI-jét, webes felhasználói felületét és RPC felületét az engedélyek beállításához és kezeléséhez.
• Az egyszeri bejelentkezési hitelesítés engedélyezése minden rendszerben, szolgáltatásban és alkalmazásban.
• Integrálja a FreeIPA-t a Windows Active Directoryval.
• Mentsen biztonsági másolatot, replikáljon és migráljon egy FreeIPA szervert.

Ez az oktató által vezetett, élő képzés a Magyarország-ban (online vagy helyszíni) azoknak a rendszergazdáknak szól, akik a Okta-t identitás- és hozzáférés-kezelésre szeretnék használni.

A képzés végére a résztvevők képesek lesznek:

• Konfigurálás, integrálás és kezelés Okta.
• Integrálja a Okta-t egy meglévő alkalmazásba.
• A biztonság megvalósítása többtényezős hitelesítéssel.

Ez a tanári vezetésű, élő oktatás (Magyarország-ban, online vagy helyszíni) középső szintű rendszeradminisztrátoroknak és IT-professionálknak készült, akik szeretnének telepíteni, konfigurálni, kezelni és biztonságosan felügyelni LDAP könyvtárakat a OpenLDAP használatával.

A tanfolyam végén a résztvevők képesek lesznek:

• Felismerni a LDAP könyvtárak struktúráját és működését.
• Telepíteni és konfigurálni a OpenLDAP-t különböző üzemeltetési környezetekben.
• Hozzáférés-vezérlő mechanizmusokat, hitelesítést és replikációt implementálni.
• A OpenLDAP használatát harmadik fél szolgáltatásokkal és alkalmazásokkal együtt.

Ez az oktató által vezetett, élő képzés a Magyarország-ban (online vagy helyszíni) azoknak a rendszergazdáknak szól, akik az OpenAM segítségével kívánják kezelni a webalkalmazások identitását és hozzáférés-szabályozását.

A képzés végére a résztvevők képesek lesznek:

• Állítsa be a szükséges szerverkörnyezetet a hitelesítés és a hozzáférés-vezérlés konfigurálásához az OpenAM segítségével.
• Valósítsa meg az egyszeri bejelentkezést (SSO), a többtényezős hitelesítést (MFA) és a felhasználói önkiszolgáló funkciókat a webalkalmazásokhoz.
• Használjon összevonási szolgáltatásokat (OAuth 2.0, OpenID, SAML v2.0 stb.) az identitáskezelés biztonságos kiterjesztéséhez a különböző rendszereken vagy alkalmazásokban.
• Access és kezelheti a hitelesítési, engedélyezési és azonosítási szolgáltatásokat a REST API-kon keresztül.

Ez az oktató által vezetett, élő képzés a Magyarország-ban (online vagy helyszíni) azoknak a rendszergazdáknak szól, akik a OpenDJ segítségével kívánják kezelni szervezetük felhasználói hitelesítő adatait éles környezetben.

A képzés végére a résztvevők képesek lesznek:

• Telepítse és konfigurálja a OpenDJ-t.
• Egy OpenDJ szerver karbantartása, beleértve a megfigyelést, a hibaelhárítást és a teljesítmény optimalizálását.
• Több OpenDJ adatbázis létrehozása és kezelése.
• Biztonsági mentés és áttelepítés egy OpenDJ szerverről.