фахівець з інформаційної безпеки-одна з найбільш затребуваних професій
У 9 випадках з 10 в компанії відсутні фахівці з інформаційної безпеки. Згідно з дослідженням компанії Intel Security, 33% респондентів усвідомлюють, що є мішенями для хакерів, у 25% вже був витік важливих даних, а у 22% були негативні Репутаційні наслідки через компрометацію мережі.
Сайт продажник:
У 9 випадках з 10 в компанії відсутні фахівці з інформаційної безпеки. Згідно з дослідженням компанії Intel Security, 33% респондентів усвідомлюють, що є мішенями для хакерів, у 25% вже був витік важливих даних, а у 22% були негативні Репутаційні наслідки через компрометацію мережі.
Частина 1. Думай як хакер
Модуль 1
Мета і психологія атак
Промислове шпигунство
Виведення з ладу інфраструктури
Витік і крадіжка даних
— Packet sniffing
Проект 1
Атака на лабораторний сайт e-commerce
Модуль 5
Моніторинг, аналіз, розслідування та пост-аналіз подій
Адміністрування засобів інформаційної безпеки
Модуль 7
Підготовка пропозицій щодо запобігання інцидентів
Цар гори
безпечного коду
Модуль 8
Security Development Lifecycle (SDLC)
Аналізатори коду
Безпека веб-додатків
— Content security policy. Використання політики захисту контенту від XSS і SQL-ін'єкцій
— Cross-origin resource sharing
Модуль 11
Безпека мобільних додатків
Шифрування та хешування даних
Аудит веб-додатки
- Розробка рекомендації щодо поліпшення безпеки
Модуль 1
Мета і психологія атак
- Атаки для отримання особистої вигоди: крадіжка, редагування даних, використання ресурсів.
- Атаки як форма конкурентної боротьби: промислове шпигунство, виведення з ладу сервісів, компрометуючі атаки.
Промислове шпигунство
- Проникнення в мережу через злом WEP/WPA/WPA2 паролів WiFi і створення фейкових оновлень для client-side атаки
- Створення backdoor
- Розбір відомих кейсів
Виведення з ладу інфраструктури
- DOS-і DDoS-атаки
- Volume-based, protocol-based, application layer атаки
- Розбір відомих кейсів
Витік і крадіжка даних
— Packet sniffing
- SQL-ін'єкції
- Man-in-the-middle (MITM) атаки
Проект 1
Атака на лабораторний сайт e-commerce
- Установка backdoor на одному з серверів і викачування документів
- DDoS-атака сайту під час кіберпонеділок
- Крадіжка та оприлюднення персональних даних клієнтів магазину
Модуль 5
Моніторинг, аналіз, розслідування та пост-аналіз подій
- Пошук індикаторів компрометації в мережі. Виявлення троянів
- Виявлення прихованих атак з використанням WireShark
- ARP-spoofing і методи боротьби з ним. OWASP ZAP
Адміністрування засобів інформаційної безпеки
- Оптимізація налаштувань, політик
- Робота з правами користувачів
- Створення та управління Honeypot
Модуль 7
Підготовка пропозицій щодо запобігання інцидентів
- Створення playbooks, що автоматизують алгоритми дій з реагування на інциденти
- Розбір відомих кейсів
Цар гори
- Захоплення контролю над кластером
- Утримання контролю від інших учасників
безпечного коду
Модуль 8
Security Development Lifecycle (SDLC)
- Процес безпечної розробки ПЗ
- Захист від розкриття та зміни інформації, аутентифікація, права та привілеї
- Обробка помилок і винятків
Аналізатори коду
- Автоматизація виявлення потенційних загроз
- Динамічні і статичні аналізатори коду (DAST і SAST)
Безпека веб-додатків
— Content security policy. Використання політики захисту контенту від XSS і SQL-ін'єкцій
— Cross-origin resource sharing
Модуль 11
Безпека мобільних додатків
- Захист файлів від декомпіляції для iOS і Android
- Виявлення рутованого доступу на мобільному пристрої
- Обробка дат обнулення сесій
Шифрування та хешування даних
- HTTP і HTTPS. SSL. OAuth
- Алгоритми шифрування і їх режими роботи
- KeyChain і хешування призначених для користувача даних
Аудит веб-додатки
- Розробка рекомендації щодо поліпшення безпеки
Сайт продажник:
https://privatelink.de/?https://skillfactory.ru/cyber_security-syllabus-thankyou#syllabus