Cyber Security Body of Knowledge (CyBOK) Training Cursus

Deze live training onder leiding van een instructeur in Nederland (online of ter plaatse) is bedoeld voor systeembeheerders die 389 Directory Server willen gebruiken om verificatie en autorisatie op basis van LDAP te configureren en te beheren.

Aan het einde van deze training zijn de deelnemers in staat om:

• Installeer en configureer 389 Directory Server.
• Begrijp de functies en architectuur van 389 Directory Server.
• Meer informatie over het configureren van de adreslijstserver met behulp van de webconsole en CLI.
• Stel replicatie in en bewaak deze voor hoge beschikbaarheid en taakverdeling.
• Beheer LDAP authenticatie met behulp van SSSD voor snellere prestaties.
• Integreer 389 Directory Server met Microsoft Active Directory.

Deze live training onder leiding van een instructeur in Nederland (online of ter plaatse) is bedoeld voor systeembeheerders die Microsoft Active Directory willen gebruiken om gegevenstoegang te beheren en te beveiligen.

Aan het einde van deze training zijn de deelnemers in staat om:

• Active Directory instellen en configureren.
• Stel een domein in en definieer toegangsrechten van gebruikers en apparaten.
• Beheer gebruikers en machines via Groepsbeleid.
• Beheer de toegang tot bestandsservers.
• Stel een certificaatservice in en beheer certificaten.
• Implementeer en beheer services zoals versleuteling, certificaten en authenticatie.

Deze driedaagse cursus behandelt de basisprincipes van het beveiligen van C/C++-code tegen kwaadwillige gebruikers die vele kwetsbaarheden in de code kunnen misbruiken met betrekking tot geheugenbeheer en invoerverwerking. De cursus behandelt de principes van het schrijven van veilige code.

Zelfs ervaren Java programmeurs beheersen de verschillende beveiligingsdiensten die door Java worden aangeboden niet op alle mogelijke manieren, en zijn zich evenmin bewust van de verschillende kwetsbaarheden die relevant zijn voor webapplicaties die in Java zijn geschreven.

De cursus behandelt – naast de introductie van beveiligingscomponenten van Standard Java Edition – beveiligingskwesties van Java Enterprise Edition (JEE) en webservices. De bespreking van specifieke diensten wordt voorafgegaan door de grondslagen van cryptografie en veilige communicatie. Verschillende oefeningen gaan over declaratieve en programmatische beveiligingstechnieken in JEE, terwijl zowel transport-layer als end-to-end beveiliging van webservices aan bod komen. Het gebruik van alle componenten wordt gepresenteerd door middel van verschillende praktische oefeningen, waarbij deelnemers de besproken API's en tools zelf kunnen uitproberen.

De cursus gaat ook in op de meest voorkomende en ernstige programmeerfouten van de Java taal en platform en webgerelateerde kwetsbaarheden. Naast de typische bugs die door Java programmeurs worden begaan, omvatten de geïntroduceerde beveiligingsproblemen zowel taalspecifieke problemen als problemen die voortkomen uit de runtime-omgeving. Alle kwetsbaarheden en de relevante aanvallen worden gedemonstreerd door middel van gemakkelijk te begrijpen oefeningen, gevolgd door de aanbevolen coderingsrichtlijnen en de mogelijke mitigatietechnieken.

Deelnemers aan deze cursus zullen

• Begrijp de basisconcepten van beveiliging, IT-beveiliging en veilige codering
• Leer webkwetsbaarheden verder dan OWASP Top Tien en weet hoe u ze kunt vermijden
• Inzicht in beveiligingsconcepten van webservices
• Leer verschillende beveiligingsfuncties van de Java ontwikkelomgeving te gebruiken
• Een praktisch begrip hebben van cryptografie
• Inzicht in de beveiligingsoplossingen van Java EE
• Lees meer over typische codeerfouten en hoe u ze kunt vermijden
• Krijg informatie over enkele recente kwetsbaarheden in het Java framework
• Praktische kennis opdoen in het gebruik van tools voor het testen van beveiliging
• Krijg bronnen en meer informatie over veilige coderingspraktijken

Audiëntie

Ontwikkelaars

Beschrijving

De Java-taal en de Runtime Environment (JRE) zijn ontworpen om vrij te zijn van de meest problematische veelvoorkomende beveiligingszwaktes die in andere talen, zoals C/C++, worden ervaren. Toch moeten softwareontwikkelaars en architecten niet alleen weten hoe ze de verschillende beveiligingsfuncties van de Java-omgeving kunnen gebruiken (positieve beveiliging), maar ook bewust zijn van de vele nog steeds relevante beveiligingszwaktes voor Java-ontwikkeling (negatieve beveiliging).

Voordat er ingegaan wordt op veiligheidsdiensten, wordt er eerst een beknopt overzicht gegeven van de grondbeginselen van cryptografie. Dit geeft een gemeenschappelijke basis voor het begrijpen van het doel en de werking van de toepasbare componenten. Het gebruik van deze componenten wordt aangeboden door middel van verschillende praktische oefeningen, waarbij deelnemers de besproken APIs zelf kunnen uitproberen.

De cursus gaat ook door de meest frequente en ernstige programmeringsfouten van de Java-taal en -platform, waaronder zowel de typische bugs die Java-programmeurs maken als de taal- en omgevingsspecifieke problemen. Alle beveiligingszwaktes en bijbehorende aanvallen worden gedemonstreerd middels eenvoudige oefeningen, gevolgd door de aanbevolen coderingsrichtlijnen en mogelijke mitigatiemethoden.

Deelnemers die deze cursus volgen zullen

• Begrijpen van basisconcepten van beveiliging, IT-beveiliging en veilig programmeren
• Leren over webkwetsbaarheden buiten de OWASP Top Tien en hoe ze te voorkomen zijn
• Leren om de verschillende beveiligingsfuncties van de Java-ontwikkelomgeving te gebruiken
• Een praktische kennis hebben over cryptografie
• Leren over typische coderingsfouten en hoe ze te voorkomen zijn
• Informatie krijgen over recente beveiligingszwaktes in de Java-framework
• Bronnen en verdere leesmateriaal over veilig programmeren krijgen

Doelgroep

Ontwikkelaars

Een aantal programmeertalen is vandaag de dag beschikbaar om code te compileren naar .NET en ASP.NET-frameworks. De omgeving biedt krachtige middelen voor veiligheidsontwikkeling, maar ontwikkelaars moeten weten hoe ze architectuur- en coderingsniveau-programmeertechnieken moeten toepassen om de gewenste beveiligingsfunctionaliteit te implementeren en kwetsbaarheden te voorkomen of hun exploitatie te beperken.

Het doel van deze cursus is om ontwikkelaars middels talrijke praktische oefeningen bij te brengen hoe ze niet-vertrouwde code kunnen verhinderen om privilegiëerde acties uit te voeren, bronnen kunnen beschermen door sterke authenticatie en autorisatie, remote procedure calls kunnen bieden, sessies kunnen beheren, verschillende implementaties voor bepaalde functionaliteit kunnen introduceren, en nog veel meer.

De introductie van verschillende kwetsbaarheden begint met het presenteren van typische programmeerproblemen die zich voordoen bij het gebruik van .NET, terwijl de bespreking van ASP.NET-gerelateerde kwetsbaarheden ook gaat over verschillende omgevingsinstellingen en hun effecten. Ten slotte gaat het onderwerp van ASP.NET-specifieke kwetsbaarheden niet alleen over algemene webtoepassingsveiligheidsuitdagingen, maar ook over speciale problemen en aanvalsmethoden zoals de aanval op ViewState of string termination attacks.

Deelnemers aan deze cursus zullen

• Basisconcepten van veiligheid, IT-veiligheid en beveiligd coderen begrijpen
• Webs kwetsbaarheden leren die verder gaan dan de OWASP Top Tien en weten hoe ze deze kunnen voorkomen
• Leren om de verschillende veiligheidsfuncties van de .NET-ontwikkelomgeving te gebruiken
• Praaktische kennis krijgen in het gebruik van veiligheidstesttools
• Begrijpen welke typische coderingsfouten voorkomen en hoe ze deze kunnen voorkomen
• Informatie krijgen over recente kwetsbaarheden in .NET en ASP.NET
• Bronnen en verdere leesstof over beveiligde coderingspraktijken ontvangen

Publiek

Ontwikkelaars

De combinatie van de SDL core training geeft inzicht in veilige softwareontwerp, -ontwikkeling en -testen via het Microsoft Secure Development Lifecycle (SDL). Het biedt een overzicht op niveau 100 van de fundamentele bouwblokken van SDL, gevolgd door ontwerptechnieken om te detecteren en te corrigeren naar aanleiding van fouten in vroege fasen van het ontwikkelingsproces.

In de fase van de ontwikkeling geeft de cursus een overzicht van de typische veiligheidsrelevante programmeerfouten van zowel beheerde als native code. Aanvalsmethoden worden voorgesteld voor de besproken kwetsbaarheden, samen met de bijbehorende mitigatiemethoden, alles uitgelegd door middel van een aantal praktijkopdrachten die live hacking plezier bieden aan de deelnemers. Een introductie tot verschillende veiligheidstestmethoden wordt gevolgd door het demonstreren van de effectiviteit van diverse testtools. Deelnemers kunnen de werking van deze tools begrijpen door middel van een aantal praktische opdrachten waarbij ze de tools toepassen op de al besproken kwetsbare code.

Deelnemers die aan deze cursus deelnemen, zullen

Basisconcepten van veiligheid, IT-veiligheid en veilig programmeren begrijpen

Kennis maken met de essentiële stappen van het Microsoft Secure Development Lifecycle

Veilige ontwerppraktijken leren

Veilige implementatieprincipes leren kennen

De veiligheidstestmethodologie begrijpen

• Bronnen en verdere leeswijzers over veilige coderingspraktijken krijgen

Doelgroep

Ontwikkelaars, Managers

Na vertrouwd te zijn geraakt met de kwetsbaarheden en de aanvalsmethoden, leren de deelnemers over de algemene aanpak en de methodologie voor beveiligingstests, en de technieken die kunnen worden toegepast om specifieke kwetsbaarheden aan het licht te brengen. Beveiligingstests moeten beginnen met het verzamelen van informatie over het systeem (ToC, d.w.z. Target of Evaluation), vervolgens moet een grondige dreigingsmodellering alle bedreigingen onthullen en beoordelen, om te komen tot het meest geschikte testplan op basis van risicoanalyse.

Beveiligingsevaluaties kunnen plaatsvinden in verschillende stappen van de SDLC, en daarom bespreken we ontwerpbeoordeling, codebeoordeling, verkenning en informatieverzameling over het systeem, het testen van de implementatie en het testen en versterken van de omgeving voor veilige implementatie. Veel beveiligingstesttechnieken worden in detail geïntroduceerd, zoals taint-analyse en op heuristieken gebaseerde codebeoordeling, statische code-analyse, dynamische webkwetsbaarheidstests of fuzzing. Er worden verschillende soorten tools geïntroduceerd die kunnen worden toegepast om de beveiligingsevaluatie van softwareproducten te automatiseren, wat ook wordt ondersteund door een aantal oefeningen, waarbij we deze tools uitvoeren om de reeds besproken kwetsbare code te analyseren. Veel casestudy's uit het echte leven ondersteunen een beter begrip van verschillende kwetsbaarheden.

Deze cursus bereidt testers en QA-personeel voor op het adequaat plannen en nauwkeurig uitvoeren van beveiligingstests, het selecteren en gebruiken van de meest geschikte tools en technieken om zelfs verborgen beveiligingsfouten te vinden, en geeft zo essentiële praktische vaardigheden die de volgende werkdag kunnen worden toegepast.

Deelnemers aan deze cursus zullen

• Begrijp de basisconcepten van beveiliging, IT-beveiliging en veilige codering
• Leer webkwetsbaarheden verder dan OWASP Top Tien en weet hoe u ze kunt vermijden
• Leer kwetsbaarheden aan de clientzijde en veilige coderingspraktijken
• Inzicht in de aanpak en methodologieën van beveiligingstests
• Praktische kennis opdoen in het gebruik van beveiligingstesttechnieken en -tools
• Krijg bronnen en meer informatie over veilige coderingspraktijken

Audiëntie

Ontwikkelaars, testers

Het beschermen van toepassingen die via het web toegankelijk zijn, vereist goed voorbereide beveiligingsexperts die altijd op de hoogte zijn van huidige aanvalsmethoden en trends. Er bestaan talrijke technologieën en omgevingen waarmee comfortabel ontwikkeld kan worden voor webtoepassingen. Men moet niet alleen bewust zijn van de beveiligingsproblemen die relevant zijn voor deze platforms, maar ook van alle algemene kwetsbaarheden die van toepassing zijn, onafhankelijk van de gebruikte ontwikkeltools.

De cursus geeft een overzicht van de toepasbare beveiligingsoplossingen in webtoepassingen, met bijzondere aandacht voor het begrijpen van de belangrijkste cryptografische oplossingen die moeten worden toegepast. De verschillende kwetsbaarheden in webtoepassingen worden zowel aan de serverkant (volgens de OWASP Top Ten) als aan de clientkant besproken, gedemonstreerd door de relevante aanvallen en gevolgd door de aanbevolen coderingstechnieken en mitigatiemethoden om de bijbehorende problemen te voorkomen. Het onderwerp veilig programmeren wordt afgerond met een discussie over typische programmeerfouten in het domein van invoervalidatie, verkeerd gebruik van beveiligingsfuncties en codekwaliteit.

Testen speelt een zeer belangrijke rol bij het waarborgen van de beveiliging en robuustheid van webtoepassingen. Er kunnen verschillende benaderingen worden toegepast – van hoge-niveau audits tot penetratietesten en ethisch hacken – om kwetsbaarheden van verschillende soorten te vinden. Als je echter verder wilt gaan dan de makkelijk te vinden, lage-hangende vruchten, moet beveiligingstesten goed gepland en adequaat uitgevoerd worden. Onthoud: beveiligingstesters moeten ideale alle fouten vinden om een systeem te beschermen, terwijl voor belagers het voldoende is om één exploitabel kwetsbaarheid te vinden om erin door te dringen.

Praktische oefeningen helpen bij het begrijpen van de kwetsbaarheden in webtoepassingen, programmeringsfouten en vooral de mitigatiemethoden, samen met handson trials van verschillende testtools, van beveiligingsscanners tot snifferprogramma's, proxy-servers, fuzzing tools en statische broncodeanalyseprogramma's. Deze cursus geeft de essentiële praktische vaardigheden die op de volgende werkdag op het werk kunnen worden toegepast.

Deelnemers aan deze cursus zullen

• Basisconcepten van beveiliging, IT-beveiliging en veilig coderen begrijpen
• Webkwetsbaarheden leren kennen die verder gaan dan de OWASP Top Ten en weten hoe je ze kunt voorkomen
• Kwetsbaarheden aan de clientkant en veilige coderingspraktijken leren kennen
• Een praktisch begrip krijgen van cryptografie
• Beveiligingstestbenaderingen en -methodologieën begrijpen
• PRACTISCH WETEN over het gebruik van beveiligingstesttechnieken en -tools opdoen
• Bericht blijven over recente kwetsbaarheden in diverse platforms, frameworks en libraries
• Bronnen en verdere leeswijzigingen over veilig coderen ontvangen

Doelgroep

Ontwikkelaars, Testers

Deze live training onder leiding van een instructeur in Nederland (online of ter plaatse) is bedoeld voor systeembeheerders die FreeIPA willen gebruiken om de verificatie, autorisatie en accountinformatie voor de gebruikers, groepen en machines van hun organisatie te centraliseren.

Aan het einde van deze training zijn de deelnemers in staat om:

• Installeer en configureer FreeIPA.
• Beheer Linux gebruikers en clients vanaf één centrale locatie.
• Gebruik de CLI-, webinterface en RPC-interface van FreeIPA om machtigingen in te stellen en te beheren.
• Schakel Single Sign On-verificatie in voor alle systemen, services en applicaties.
• Integreer FreeIPA met Windows Active Directory.
• Back-up, repliceer en migreer een FreeIPA server.

Deze live training onder leiding van een instructeur in Nederland (online of ter plaatse) is bedoeld voor systeembeheerders die Okta willen gebruiken voor identiteits- en toegangsbeheer.

Aan het einde van deze training zijn de deelnemers in staat om:

• Configureer, integreer en beheer Okta.
• Integreer Okta in een bestaande toepassing.
• Implementeer beveiliging met multi-factor authenticatie.

Dit door een instructeur geleide live training in Nederland (online of op locatie) is gericht op systeembeheerders en IT-professionals met middelmatige kennis die LDAP directories willen installeren, configureren, beheren en beveiligen met behulp van OpenLDAP.

Na afloop van deze training zullen de deelnemers in staat zijn:

• Het structuur- en werkmethode van LDAP directories te begrijpen.
• OpenLDAP te installeren en te configureren voor verschillende implementatieomgevingen.
• Toegangscontrole, authenticatie en replicatiemechanismen te implementeren.
• OpenLDAP te gebruiken met derde-partijdiensten en -toepassingen.

Deze live training onder leiding van een instructeur in Nederland (online of ter plaatse) is bedoeld voor systeembeheerders die OpenAM willen gebruiken om identiteits- en toegangscontroles voor webtoepassingen te beheren.

Aan het einde van deze training zijn de deelnemers in staat om:

• Stel de benodigde serveromgeving in om te beginnen met het configureren van authenticatie en toegangsbeheer met behulp van OpenAM.
• Implementeer single sign-on (SSO), multi-factor authenticatie (MFA) en selfservicefuncties voor gebruikers voor webtoepassingen.
• Gebruik federatieservices (OAuth 2.0, OpenID, SAML v2.0, enz.) om identiteitsbeheer veilig uit te breiden naar verschillende systemen of applicaties.
• Access en beheer verificatie-, autorisatie- en identiteitsservices via REST API's.

Deze live training onder leiding van een instructeur in Nederland (online of op locatie) is bedoeld voor systeembeheerders die OpenDJ willen gebruiken om de gebruikersreferenties van hun organisatie in een productieomgeving te beheren.

Aan het einde van deze training zijn de deelnemers in staat om:

• Installeer en configureer OpenDJ.
• Onderhoud een OpenDJ server, inclusief bewaking, probleemoplossing en optimalisatie voor prestaties.
• Creëer en beheer meerdere OpenDJ databases.
• Maak een back-up en migreer een OpenDJ server.