Профессия
Security Champion
Научитесь создавать безопасные продукты и организовывать защиту существующих. Погрузитесь в мир прикладной информационной безопасности и откройте путь к таким профессиям, как Application Security Expert, Security Champion, DevSecOps Engineer.
Старт
11 января 2020
Длительность
5 месяцев
Формат обучения
Виртуальный класс
По данным карьерного сервиса HackerU
на рынке большой дефицит кадров
Каждая вторая
вакансия IT-специалиста требует знания основ прикладной ИБ
1500+
вакансий специалистов по безопасности продуктов открыто вам после обучения
150 000 ₽
получает специалист с опытом от года
Почему стоит начать
прямо сейчас?
Security Champion
кто это?
Лидер безопасной разработки
Специалист из команды, разрабатывающей и поддерживающей программный продукт (веб / десктоп / мобильные приложения и пр.) и обладающий знаниями и квалификацией в сфере безопасности программных продуктов. Он досконально знает архитектуру продукта и является единой точкой входа для вопросов по обеспечению безопасности продукта.
Что он делает на практике?
Главной задачей специалиста является постоянное улучшение безопасности продукта: работа с инструментальным стеком ИБ-специалиста, проведение анализа кода, изучение новых решений в продукте на предмет их безопасности, внедрение более защищенных механизмов и подходов к построению архитектуры.
Мотивация специалиста
Security Champion никогда не останется без работы. Как в сфере разработки, так и в сфере безопасности такой специалист будет на ведущих позициях, так как он лучше, чем разработчики, знает прикладные аспекты ИБ и лучше специалистов по ИБ знает устройство и природу информационных систем, а также программных продуктов.
Вы получите навыки, которые повысят вашу стоимость на рынке IT
Проведение анализа защищенности кода и отдельных программных решений
Знание и использование лучших практик в части построения продукта и реализации различных программных механизмов с точки зрения безопасности
Применение инструментов автоматизации поиска уязвимостей и защиты приложения от атак
Проведение обучения и консультаций внутри команды по прикладным аспектам безопасности кода и решений
Умение анализировать инциденты, атаки и уязвимости появляющиеся в окружении продукта
Понимание методологии построения безопасного жизненного цикла разработки ПО
Программа обучения
5 месяцев
6 модулей
220 ак. часов
55 занятий
2-3 занятия в неделю
- Введение в информационную безопасность
- Концепты безопасной разработки
- Требования для безопасной разработки
- Принципы дизайна для безопасной разработки
- Offensive/Defensive практики по безопасной разработке
- Тестирование
- ПСИ для безопасного ПО
- Развертывание, обслуживание, интеграция
- Цепочка поставок, использование стороннего ПО в разработке
- BugBounty
Освоив модуль вы сможете:
- Выполнять задачи в рамках роли, участвующей в процессах продуктовой безопасности
- Развивать направление продуктовой безопасности в своей компании
- Реализовывать и обсуждать создание или поддержание процессов продуктовой безопасности в своем продукте
- Решения для защиты продуктов
- Проверка зависимостей
- Применение сканеров уязвимостей
- Применение статических анализаторов кода
- WAF. Расследование инцидентов и прочие программные решения
Освоив этот модуль вы сможете:
- Настраивать инструменты анализа кодовой базы и сборок продукта, а также внедрять инструменты в процесс непрерывной интеграции.
- Работать с инструментами мониторинга инцидентов и поиска уязвимостей в публичных сервисах
- Знать возможности применения различных инструментов обеспечения продуктовой безопасности и уметь их использовать
- Веб-технологии.
- Уязвимости OS Command injection
- Уязвимость SQL Injection
- Аутентификация и менеджмент сессий
- Уязвимости ограничения попыток взаимодействия
- Уязвимость Broken Access Control
- Уязвимость Server-side template injection
- Небезопасная десериализация
- Уязвимость Server Side Request Forgery и XML External Entity
- Безопасность клиентской части веб-приложений
Освоив модуль вы сможете:
- Производить поиск уязвимостей в веб-приложениях
- Проводить анализ кода и программных решений на предмет типовых уязвимостей
- Анализировать отчеты об уязвимостях, найденных сканерами и анализаторами кода веб-приложений, и рекомендовать меры по их устранению
- Исключать появление типовых уязвимостей в собственном программном продукте в ходе его разработки
- Окружение приложений
- Контейнеризация (Docker, Docker-Compose)
- Управление контейнеризацией (Kubernetes)
- Безопасность Docker-контейнеров
- Безопасность Kubernetes
- Безопасная конфигурация Apache
- Безопасная конфигурация Nginx
- Облачная архитектура и облачная безопасность AWS
- Обеспечение безопасности AWS IAM
Освоив модуль вы сможете:
- Настраивать и развертывать контейнеры Docker и системы автоматизации развертывания Kubernetes
- Настраивать и работать с сервисами облака AWS
- Обнаруживать основные уязвимости конфигурации веб-серверов Apache и Nginx
- Предотвращать появление уязвимостей, приводящих к эскалации привилегий систем Docker, Kubernetes, AWS IAM
- Применять инструменты автоматизации поиска уязвимостей в перечисленных выше системах
- Валидация данных
- Аутентификация и менеджмент паролей
- Авторизация и контроль доступа
- Управление сессиями
- Хранение и передача конфиденциальных данных
- Управление конфигурацией
- Общие практики. Ошибки и обработка исключений
- Безопасность баз данных
- Управление файлами
- Безопасность клиентской стороны
Освоив модуль вы сможете:
- Разрабатывать приложения и ПО с применением лучших практик программирования защищенных приложений
- Проводить обучение и консультации по вопросам безопасной реализации механизмов и компонент приложения
- Проводить ревью реализации и кода на предмет наличия небезопасных решений и уязвимостей приложения
- Введение в Android
- Реверс-инжиниринг Android приложений
- Типовые уязвимости Android приложений
- Android “best-practices”
- Инструменты автоматизации MobSF & Drozer
- Введение в iOS
- Jailbreaking iOS
- Типовые уязвимости приложений iOS
- iOS “best-practices”
Освоив модуль вы сможете:
- Проводить реверс-инжиниринг мобильных приложений Android и iOS
- Анализировать зловредные пакеты приложений Android и iOS
- Находить типовые уязвимости мобильных приложений
- Понимать риски, угрозы и поверхность атаки мобильных приложений и инфраструктуры, развернутой вокруг них
Как проходит обучение
Фокус на практике. Более 70% времени обучения вы уделите развитию практических навыков.
Обновляем контент перед каждым запуском курса, снимая актуальные запросы с рынка и ориентируемся на них, создавая программы обучения.
Наши преподаватели — профессионалы, рассказывающие об областях, в которых они добились успеха. Мы приглашаем лучших экспертов — практиков, которые каждый день сталкиваются с реальными задачами и решают их.
После каждого практического занятия вы получаете дополнительное задание с обязательной обратной связью от преподавателя.
Платформа для моделирования различных сценариев атаки и защиты, разработанная ведущими экспертами Израиля в области информационной безопасности.
✓ Умение читать специализированную документацию и техническую литературу на английском языке со словарем;
✓ Опыт написания кода на любом языке программирования;
✓ Иметь опыт участия в разработке программного продукта;
✓ Иметь представление о взаимодействии компьютеров в сети;
✓ Иметь начальные представления о механизмах, работающих в сети Интернет (веб-серверы, мобильные приложения).
Что вы получите
после 5 месяцев обучения?
Значительный рост вашей стоимости на рынке труда.
Расширите стек известных технологий связанных с обеспечением ИБ.
Получите навыки организации безопасной разработки продуктов.
Ваше резюме
после окончания обучения
Сергей Барсанов
Java Developer | Security Champion | Application Security Specialist
Ожидаемая зарплата
250 000 ₽
Навыки
- Ревью безопасности кода приложений внутренней разработки
- Участие в проработке защищенной архитектуры продукта
- Создание и развитие SSDLC цикла
- Пилоты и внедрение новых инструментов безопасности
- Разработка своих инструментов и скриптов автоматизации
- Консультация и обучение команды в рамках процесса безопасной разработки
- Умение воспроизводить атаки для демонстрации угрозы уязвимостей
- Умение использовать и внедрять коммерческие программные средства защиты приложений (Сканеры, анализаторы кода, фаерволы)
- Настройка окружения приложения для мониторинга инцидентов ИБ и их расследования при помощи программных средств
- Расследование инцидентов ИБ при помощи программных средств
Ожидаемая зарплата
250 000 ₽
user search complete
Остались вопросы?.
Оставьте номер телефона и мы перезвоним вам в течение нескольких минут
