- Главная
- Безопасная разработка
- Курсы
- Средства автоматизации информационной безопасности в SSDLc (Security Automation Tools in SSDLc)
Курс
Средства автоматизации информационной безопасности в SSDLc (Security Automation Tools in SSDLc)
Цели модуля:
Познакомить слушателей c процессами, архитектурой и инструментами DevSecOps. Автоматизация анализа кода, сети, событий безопасности. Настройка окружений для мониторинга инцидентов ИБ и их расследования при помощи программных средств. В качестве артефакта у участников модуля останутся отчет по уязвимостям интернет-магазина.
Код курса
S-226
Формат обучения
Виртуальный класс
Аудитория курса:
Аудиторы
ИБ инженеры
IT специалисты
Специалисты по мониторингу ИБ
Что узнают слушатели:
Dynamic Application Security Testing
Сетевые и проксирующие сканеры
Принцип работы статических анализаторов кода
Как использовать SAST решения для анализа кода
Работа SCA и её особенности
Работа с источниками определения рисков безопасности для SCA
Разница между SCA и OSA
Работа с False Positive или доказательство ее отсутствия
Системы для агрегации и обработки отчетов разных инструментов
Веб фаерволы и особенности работы инструментов от разных разработчиков
Системы управления событиями безопасности и особенности работы популярных решений
Сравнение результатов сканирования сканеров WAF и DAST
Чему научатся слушатели:
Настраивать, использовать и внедрять программные средства защиты приложений (Сканеры, анализаторы кода, фаерволы)
Настраивать окружение приложения для мониторинга инцидентов ИБ и их расследования при помощи программных средств
Расследовать инциденты ИБ и применять меры при помощи программных средств
OpenSource сканеры
Составлять отчеты по уязвимостям
Обход WAF
Программа обучения
5 занятий
20 ак. часов
Процессы и архитектура, инструменты DevOps и DevSecOps. Работа с инструментами. Плюсы и минусы
Содержание:
- Что необходимо сделать к первому занятию
- Цель курса. Введение.
- О чем этот курс
- Входные вопросы к слушателям
- Процесс DevOps
- Процесс DevSecOps
- Архитектура DevSecOps
- Инструментарий
- SAST
- Плюсы и минусы
- Требования к SAST продуктам
- SCA/OSA
- Плюсы и минусы
- DAST
- Плюсы и минусы
- WAF
- Подходы к детектированию атак
- BAS
- Основные проблемы инструментов
Упражнения:
- Отчет по уязвимостям интернет-магазина
Dynamic Application Security Testing, сетевые и проксирующие сканеры. Работа с инструментами. Плюсы и минусы
Содержание:
- Dynamic Application Security Testing
- Сетевые сканеры
- Web сканеры
- Оркестраторы DAST
- Проксирующие сканеры
- CI сканеры
- Основные проблемы при SSDLc
- Инструменты
- Коммерческие
- OpenSource
- Fuzzing
- Практические задания
Упражнения:
- Работа с Zap scan
- Практика с OpenSource сканерами
- False-Positive/Negative детекты
Статические анализаторы кода, принцип работы. Использование SAST решений для анализа кода
Содержание:
- Задачи SAST
- Плюсы и минусы SAST
- Особенности SAST продуктов
- Процесс работы SAST
- Типы статического анализа
- Сигнатурный
- Классический taint-анализ
- Анализ модели вычисления
- Типы вычисления
- Инструменты
- Коммерческие решения и знакомство с Checkmarx
- Opensource решения
- Личный опыт
- CI Fuzzing
Упражнения:
- Настройка запуска SAST инструментов в механизмах CI GitHub и GitLab
- Работа с другими сканерами
Работа SCA и её особенности. Работа с источниками определения рисков безопасности для SCA, возможные причины ложных срабатываний SCA, разница между SCA и OSA
Содержание:
- Software Composition Analysis
- Задачи
- Плюсы
- Работа SCA
- Источники информации для SCA
- Common Platform Enumeration
- Package Uniform Resource Locator
- False Positive
- Really True Positive?
- Как на счет OSA?
Упражнения:
- Сравнения результатов GitHub SCA и Dependency Check
- Сравнения результатов GitHub SCA и npm audit
- Анализ сторонних компонентов
- Работа с False Positive или доказательство ее отсутствия
Системы для агрегации и обработки отчетов разных инструментов, веб фаервы и особенности работы инструментов от разных разработчиков. Системы управления событиями безопасности и особенности работы популярных решений. Другие классы систем защиты
Содержание:
- Vulnerability management
- Web application firewall (WAF)
- Security Information and Event Management (SIEM)
- Популярные решения
- Breach and Attack Simulation (BAS)
- MITRE ATT&CK
- Другие классы продуктов
Упражнения:
- Демо стенда Syft -> Dependency-track
- Сравнение результатов сканирования сканеров WAF и DAST
- Обход WAF
Как проходит обучение
Фокус на практике. Более 70% времени обучения вы уделите развитию практических навыков.
Обновляем контент перед каждым запуском курса, снимая актуальные запросы с рынка и ориентируемся на них, создавая программы обучения.
Наши преподаватели проходят тестирование на соответствие требованиям CyberEd. Мы приглашаем лучших экспертов — практиков, которые каждый день сталкиваются с реальными задачами и решают их.
- Иметь базовые знания об информационной безопасности и безопасности программных продуктов
- Иметь опыт работы в ИТ-сфере (Разработка, администрирование, тестирование, архитектура ПО и пр.)
- Уметь работать с ОС Linux или ОС Windows на уровне продвинутого пользователя (Установка пакетов, работа с терминальной оболочкой, менеджмент прав доступа)
- Уметь работать с системами виртуализации (VirtualBox, VMWare)
FAQ — ответы на частозадаваемые вопросы
Рекомендуемые технические требования
для комфортного прохождения модуля и сохранения всех полученных материалов:
- Не менее 8 ГБ DDR3 оперативной памяти
- Процессор не менее четырех ядер с частотой не менее 2.3 Ггц
- Жесткий диск SSD со свободным местом не менее 256 ГБ
- Поддержка аппаратной виртуализации (Intel VT-x, AMD-V)
- Дополнительный — второй монитор (Диагональ от 17 дюймов, разрешением от 1280×720p c частотой обновления от 60 Гц)
- Современная операционная система (Минимально: Windows 10 x64, Linux, MacOS 10.13.6)
Все ответы
Заказать обратный звонок
Мы используем cookie
Используя наш сайт, вы соглашаетесь с использованием файлов cookie и сервисов сбора технических данных посетителей (IP-адресов, местоположения и др.) для обеспечения работоспособности и улучшения качества обслуживания.