Sikkerhetskunnskap i Cyber (CyBOK) Treningskurs

Denne instruktørledede, direkteopplæringen i Norge (online eller på stedet) er rettet mot systemadministratorer som ønsker å bruke 389 Directory Server til å konfigurere og administrere LDAP-basert autentisering og autorisasjon.

Ved slutten av denne opplæringen vil deltakerne kunne:

• Installer og konfigurer 389 Directory Server.
• Forstå funksjonene og arkitekturen til 389 Directory Server.
• Lær hvordan du konfigurerer katalogserveren ved hjelp av nettkonsollen og CLI.
• Sett opp og overvåk replikering for høy tilgjengelighet og lastbalansering.
• Administrer LDAP autentisering ved hjelp av SSSD for raskere ytelse.
• Integrer 389 Directory Server med Microsoft Active Directory.

Denne instruktørledede, liveopplæringen i Norge (online eller på stedet) er rettet mot systemadministratorer som ønsker å bruke Microsoft Active Directory for å administrere og sikre datatilgang.

Ved slutten av denne opplæringen vil deltakerne kunne:

• Sett opp og konfigurer Active Directory.
• Sett opp et domene og definer tilgangsrettigheter for brukere og enheter.
• Administrer brukere og maskiner gjennom gruppepolicyer.
• Kontroller tilgang til filservere.
• Sett opp en sertifikattjeneste og administrer sertifikater.
• Implementer og administrer tjenester som kryptering, sertifikater og autentisering.

Denne tre-dagers kurset dekker grunnleggende sikkerhet for C/C++ kode mot skadelige brukere som kan utnytte mange svakheter i koden vedrørende minnehåndtering og innhenting av inndata. Kurset dekker prinsippene for å skrive sikker kode.

Engang erfarne Java-programmerer mestrer ikke nødvendigvis alle de ulike sikkerhetstjenestene som tilbys av Java, og er heller ikke klar over de forskjellige sårbarhetene som er relevante for webapplikasjoner skrevet i Java.

Kurset – i tillegg til å introdusere sikkerhetskomponentene i Standard Java Edition – behandler sikkerhetsproblemer i Java Enterprise Edition (JEE) og webtjenester. Diskusjon av spesifikke tjenester forutgås av grunnleggende kryptografi og sikker kommunikasjon. Ulike øvelser omhandler deklarativ og programmerbar sikkerhetsteknikk i JEE, mens både transportlag- og ende-til-ende-sikkerheten til webtjenester diskuteres. Bruk av alle komponenter presenteres gjennom flere praktiske øvelser, hvor deltakerne kan prøve ut de diskuterte APIene og verktøyene selv.

Kurset går også gjennom og forklarer de vanligste og alvorligste programmeringsfeilene i Java-språket og plattformen og web-relaterte sårbarheter. I tillegg til typiske feil som Java-programmerer gjør, dekker de introduserte sikkerhetssårbarhetene både språkspesifikke problemer og problemer som stammer fra køringsmiljøet. Alle sårbarheter og relevante angrep demonstreres gjennom lettforståelige øvelser, fulgt av anbefalte kodeveiledninger og mulige metoder for å redusere risikoen.

Deltakere som følger dette kurset vil

• Forstå grunnleggende sikkerhetsbegreper, IT-sikkerhet og sikker kodeteknikk
• Lære om web-sårbarheter utenfor OWASP Topp Ti og hvordan unngå dem
• Forstå sikkerhetsbegreper for webtjenester
• Lære å bruke ulike sikkerhetsfunksjoner i Java-utviklingsmiljøet
• Ha en praktisk forståelse av kryptografi
• Forstå sikkerhetsløsninger i Java EE
• Lære om typiske kodefeil og hvordan unngå dem
• Få informasjon om noen nylige sårbarheter i Java-rammeverket
• Få praktisk kunnskap i bruk av sikkerhetstestverktøy
• Få kilder og videre lesning om sikker kodeteknikk

Målgruppe

Utviklere

Beskrivelse

Java-språket og Runtime Environment (JRE) ble designet for å være fri for de mest problematiske vanlige sikkerhets-svikt som oppleves i andre språk, som C/C++. Likevel bør softwareutviklere og arkitekter ikke bare kjenne til hvordan man bruker de ulike sikkerhetsfunksjonene i Java-miljøet (positiv sikkerhet), men de bør også være klar over de mange svikt som fremdeles er relevante for Java-utvikling (negativ sikkerhet).

Innføringen av sikkerhetstjenester forutsetter en kort oversikt over grunnleggende kryptering, som gir en felles basis for å forstå hensikten og funksjonen til de relevante komponentene. Bruken av disse komponentene presenteres gjennom flere praktiske øvelser, hvor deltakerne kan prøve ut de diskuterte APIene selv.

Kurset går også gjennom og forklarer de vanligste og alvorligste programmeringsfeilene i Java-språket og -plattformen, og dekker både typiske feil som Java-programmerere gjør og språk- og miljøspesifikke problemer. Alle svikt og relevante angrep demonstreres gjennom lett-forståelige øvelser, fulgt av anbefalte kodingsretningslinjer og mulige dempningsmetoder.

Deltakere på dette kurset vil

• Forstå grunnleggende sikkerhetskonsepter, IT-sikkerhet og sikker kodering
• Lære om web-svikt utenfor OWASP Topp Ti og hvordan unngå dem
• Lære å bruke ulike sikkerhetsfunksjoner i Java-utviklingsmiljøet
• Ha en praktisk forståelse av kryptering
• Lære om typiske kodingsfeil og hvordan unngå dem
• Få informasjon om noen nylige svikt i Java-rammeverket
• Få kilder og videre lesing om sikker kodering

Målgruppe

Utviklere

Det finnes flere programmeringsspråk tilgjengelig i dag for å kompilere kode til .NET- og ASP.NET-rammeverkene. Miljøet gir kraftfulle midler for sikkerhetsutvikling, men utviklere bør kjenne til hvordan de kan anvende arkitektur- og kodningsnivåprogrammeringsteknikker for å implementere den ønskede sikkerhetsfunksjonaliteten og unngå sårbarheter eller begrense deres utnyttelse.

Målet med dette kurset er å lære utviklere gjennom mange praktiske øvelser hvordan de kan forhindre ikke-tiltrodd kode fra å utføre privilegerte handlinger, beskytte ressurser gjennom sterk autentisering og autorisering, gi fjernprosedurkall, håndtere sesjoner, introdusere forskjellige implementasjoner for bestemte funksjoner, og mye mer.

Introduksjon av ulike sårbarheter begynner med å presentere noen typiske programmeringsutfordringer som oppstår når man bruker .NET, mens diskusjonen om ASP.NET-sårbarheter også tar for seg forskjellige miljøinnstillinger og deres effekter. Til slutt, emnet om ASP.NET-spesifikke sårbarheter tar ikke bare for seg noen generelle sikkerhetshensyn ved webapplikasjoner, men også spesielle problemstillinger og angrepmetoder som angrep på ViewState eller strengavslutningsangrep.

Deltakerne i dette kurset vil

• Få en forståelse av grunnleggende konsepter vedrørende sikkerhet, IT-sikkerhet og sikkert koding
• Lære om webvulnerabiliteter over og utover OWASP Top Ten og hvordan man unngår dem
• Lære å bruke ulike sikkerhetsfunksjoner i .NET-utviklingsmiljøet
• Få praktisk kunnskap om bruk av sikkerhetstestverktøy
• Lære om typiske kodingfeil og hvordan man unngår dem
• Få informasjon om noen nylige sårbarheter i .NET og ASP.NET
• Få kildeforklaringer og videre lesing om sikre kodingspraksiser

Målgruppe

Utviklere

Det kombinerte SDL-kjernen gir innblikk i sikker programvareutforming, -utvikling og -testing gjennom Microsoft Secure Development Lifecycle (SDL). Den gir en nivå 100-oversikt over de grunnleggende byggesteinene til SDL, fulgt av designmetoder for å oppdage og rette opp i feil på tidlige stadier av utviklingsprosessen.

Når det gjelder utviklingsfasen, gir kurset en oversikt over de typiske sikkerhetsrelevant programmeringsfeilene for både managed og native kode. Angrepsmetoder blir presentert for de diskuterte sårbarhetene, sammen med tilhørende mitigeringsteknikker, alt forklart gjennom et antall praktiske øvelser som gir deltakerne leveleg hacking-fun. Introduksjon av ulike sikkerhetstestingsmetoder følges opp av demonstrasjonen av effektiviteten til ulike testverktøy. Deltakerne kan forstå hvordan disse verktøyene fungerer gjennom et antall praktiske øvelser ved å bruke verktøyene på den allerede diskuterte sårbar kode.

Deltakere som tar dette kurset vil

Forstå grunnleggende konsepter om sikkerhet, IT-sikkerhet og sikker kodning

Lære de viktigste trinnene i Microsoft Secure Development Lifecycle

Lære sikre design- og utviklingspraksiser

Lære om prinsipper for sikker implementering

Forstå metode for sikkerhetstesting

• Få kildeverk og videre læsestoff om sikre kodningspraksiser

Målgruppe

Utviklere, Lederer

Etter å ha blitt kjent med sårbarhetene og angrepsmetodene, lærer deltakerne om den generelle tilnærmingen og metodologien for sikkerhetstesting, samt teknikker som kan brukes for å avdekke spesifikke sårbarheter. Sikkerhetstesting bør starte med informasjonsinnsamling om systemet (ToC, det vil si mål for evaluering), deretter bør en grundig trusselmodellering avdekke og vurdere alle trusler, og til slutt komme frem til den mest hensiktsmessige risikoanalyse-drevne testplanen.

Sikkerhetsvurderinger kan skje i ulike trinn i SDLC, og vi diskuterer derfor designgransking, kodegransking, oppdagelse og informasjonsinnsamling om systemet, testing av implementering, og testing og herding av miljøet for sikker distribusjon. Mange sikkerhetstestingsteknikker introduseres i detalj, som smitteanalyse og heuristikkbasert kodegransking, statisk kodeanalyse, dynamisk web-sårbarhetstesting eller fuzzing. Ulike typer verktøy introduseres som kan brukes for å automatisere sikkerhetsvurdering av programvareprodukter, noe som også støttes av en rekke øvelser der vi utfører disse verktøyene for å analysere den allerede diskutert sårbare koden. Mange virkelige case studies støtter bedre forståelse av ulike sårbarheter.

Dette kurset forbereder testere og QA-personell på å planlegge og nøyaktig utføre sikkerhetstester, velge og bruke de mest hensiktsmessige verktøyene og teknikkene for å finne selv skjulte sikkerhetsfeil, og gir dermed essensielle praktiske ferdigheter som kan brukes på arbeidsdagen etter kurset.

Deltakere som deltar på dette kurset vil

• Forstå grunnleggende konsepter om sikkerhet, IT-sikkerhet og sikker kodeutvikling
• Lære web-sårbarheter utover OWASP Topp Ti og vite hvordan man unngår dem
• Lære klient-side sårbarheter og sikre kodeutviklingspraksis
• Forstå tilnærminger og metodologier for sikkerhetstesting
• Få praktisk kunnskap i bruk av sikkerhetstestingsteknikker og verktøy
• Få kilder og videre lesestoff om sikker kodeutvikling

Målgruppe

Utviklere, Testere

Å sikre applikasjoner som er tilgjengelige via nettet krever velforberedte sikkerhetseksperter som hele tiden er oppdatert på gjeldende angrepsmetoder og trender. Det finnes mange teknologier og miljøer som gjør det komfortabelt å utvikle webapplikasjoner. Man må ikke bare være oppmerksom på sikkerhetsproblemene som er relevante for disse plattformene, men også på alle generelle sårbarheter som gjelder uansett hvilke utviklingverktøy som brukes.

Kurset gir en oversikt over de relevante sikkerhetsløsningene i webapplikasjoner, med særlig fokus på å forstå de viktigste krypteringsløsningene som skal brukes. De ulike webapplikasjonssårbarhetene blir presentert både på serversiden (i henhold til OWASP Top Ten) og på klientsiden, demonstrert gjennom relevante angrep, og fulgt av anbefalte kodeteknikker og metoder for å unngå de forbundne problemene. Emnet trygt koding avsluttes med å diskutere noen typiske sikkerhetsrelevante programmeringsfeil innenfor inputvalidering, feil bruk av sikkerhetsfunksjoner og kodekvalitet.

Testing spiller en veldig viktig rolle for å sikre sikkerhet og robusthet i webapplikasjoner. Ulike tilnærminger – fra høy nivå auditering gjennom penetrasjonstesting til etisk hacking – kan brukes for å finne sårbarheter av ulike typer. Men hvis du vil gå videre enn de enkelt å finne lavhengende fruktene, bør sikkerhetstesting være godt planlagt og riktig utført. Husk: sikkerhetstestere bør ideelt sett finne alle feil for å beskytte et system, mens det er nok for motstandere å finne en utnyttbar sårbarhet for å trenge inn i det.

Praktiske øvelser vil bidra til å forstå webapplikasjonssårbarheter, programmeringsfeil og – mest viktig – metoder for å unngå disse, sammen med hånd på praktiske prøver av ulike testverktøy fra sikkerhetsskannere, gjennom sniffere, proxy-servere, fuzzing-verktøy til statiske kildekodeanalysatorer. Dette kurset gir de essensielle praktiske ferdigheter som kan brukes på arbeidsplassen neste dag.

Deltakere som tar dette kurset vil

• Forstå grunnleggende konsepter innen sikkerhet, IT-sikkerhet og trygt koding
• Lære web-sårbarheter utenfor OWASP Top Ten og hvordan man unngår dem
• Lære klientsidens sårbarheter og trygge kodingspraksis
• Ha en praktisk forståelse av kryptering
• Forstå sikkerhetstestingstilnærminger og metodologier
• Få praktisk kunnskap om bruk av sikkerhetstestingsteknikker og verktøy
• Få informasjon om nye sårbarheter i ulike plattformer, rammeverk og biblioteker
• Få kilder og videre lesing om trygt koding

Målgruppe

Utviklere, Testere

Denne instruktørledede, direkteopplæringen i Norge (online eller på stedet) er rettet mot systemadministratorer som ønsker å bruke FreeIPA til å sentralisere autentisering, autorisasjon og kontoinformasjon for organisasjonens brukere, grupper og maskiner.

Ved slutten av denne opplæringen vil deltakerne kunne:

• Installer og konfigurer FreeIPA.
• Administrer Linux brukere og klienter fra en enkelt sentral plassering.
• Bruk FreeIPAs CLI, Web UI og RPC-grensesnitt for å sette opp og administrere tillatelser.
• Aktiver Single Sign On-autentisering på tvers av alle systemer, tjenester og applikasjoner.
• Integrer FreeIPA med Windows Active Directory.
• Sikkerhetskopier, repliker og migrer en FreeIPA server.

Denne instruktørledede, direkteopplæringen i Norge (online eller på stedet) er rettet mot systemadministratorer som ønsker å bruke Okta for identitets- og tilgangsadministrasjon.

Ved slutten av denne opplæringen vil deltakerne kunne:

• Konfigurer, integrer og administrer Okta.
• Integrer Okta i en eksisterende applikasjon.
• Implementer sikkerhet med multifaktorautentisering.

Dette instructorledede, live-oppsettet i Norge (online eller på sted) er rettet mot mellomtrinnsnivås systemadministratører og IT-profesjonelle som ønsker å installere, konfigurere, administrere og sikre LDAP-kataloger ved hjelp av OpenLDAP.

Ved slutten av dette kurset vil deltakerne kunne:

• Forklare strukturen og funksjonen av LDAP-kataloger.
• Installere og konfigurere OpenLDAP for ulike distribusjonsmiljøer.
• Implementere tilgangskontroll, autentisering og replikasjonmekanismer.
• Bruk OpenLDAP sammen med tredjeparts-tjenester og applikasjoner.

Denne instruktørledede, direkteopplæringen i Norge (online eller på stedet) er rettet mot systemadministratorer som ønsker å bruke OpenAM til å administrere identitets- og tilgangskontroller for nettapplikasjoner.

Ved slutten av denne opplæringen vil deltakerne kunne:

• Sett opp det nødvendige servermiljøet for å begynne å konfigurere autentisering og tilgangskontroller ved å bruke OpenAM.
• Implementer enkel pålogging (SSO), multifaktorautentisering (MFA) og brukerselvbetjeningsfunksjoner for nettapplikasjoner.
• Bruk føderasjonstjenester (OAuth 2.0, OpenID, SAML v2.0 osv.) for å utvide identitetsadministrasjonen på en sikker måte på tvers av forskjellige systemer eller applikasjoner.
• Access og administrer autentiserings-, autorisasjons- og identitetstjenester gjennom REST APIer.

Denne instruktørledede, direkteopplæringen i Norge (online eller på stedet) er rettet mot systemadministratorer som ønsker å bruke OpenDJ til å administrere organisasjonens brukerlegitimasjon i et produksjonsmiljø.

Ved slutten av denne opplæringen vil deltakerne kunne:

• Installer og konfigurer OpenDJ.
• Oppretthold en OpenDJ server, inkludert overvåking, feilsøking og optimalisering for ytelse.
• Opprett og administrer flere OpenDJ databaser.
• Sikkerhetskopier og migrer en OpenDJ server.