Профессия
Security Champion

Научитесь создавать безопасные продукты и организовывать защиту существующих. Погрузитесь в мир прикладной информационной безопасности и откройте путь к таким профессиям, как Application Security Expert, Security Champion, DevSecOps Engineer.

 

Записаться на обучение

Старт

11 января 2020

Длительность

5 месяцев

Формат обучения

Виртуальный класс

По данным карьерного сервиса HackerU
на рынке большой дефицит кадров

Каждая вторая

вакансия IT-специалиста требует знания основ прикладной ИБ

1500+

вакансий специалистов по безопасности продуктов открыто вам после обучения

150 000 ₽

получает специалист с опытом от года

Почему стоит начать
прямо сейчас?

Важная роль

Грамотный Security Champion нужен в каждую развивающуюся команду разработки, абсолютно любого программного продукта.

Вам доступны сотни вакансий

Прямо сейчас крупнейшие компании России в области разработки испытывают острую потребность в специалистах по продуктовой безопасности.

Прощай «блокеры»

Команда разработки, в которой есть Security Champion, до минимума снижает допущение уязвимостей при выпуске новых релизов.

Развитие IT-специалиста

Программа обучения позволит заглянуть в новую область, получить знания и навыки и применить их в своей работе, повысив квалификацию.

Отсутствие специалистов

Рынок специалистов продуктовой безопасности абсолютно пуст. Пока еще нет ни одного института подготавливающего подобного рода специалистов. Станьте первыми.

«Прокачайте» резюме

С момента входа на курс, отразив это в своем резюме, вы начнете получать десятки предложений о работе Application Security экспертом, DevSecOps’ом или Security Champion’ом в команды разработки.

Security Champion
кто это?

Лидер безопасной разработки

Специалист из команды, разрабатывающей и поддерживающей программный продукт (веб / десктоп / мобильные приложения и пр.) и обладающий знаниями и квалификацией в сфере безопасности программных продуктов. Он досконально знает архитектуру продукта и является единой точкой входа для вопросов по обеспечению безопасности продукта.

Что он делает на практике?

Главной задачей специалиста является постоянное улучшение безопасности продукта: работа с инструментальным стеком ИБ-специалиста, проведение анализа кода, изучение новых решений в продукте на предмет их безопасности, внедрение более защищенных механизмов и подходов к построению архитектуры.

Мотивация специалиста

Security Champion никогда не останется без работы. Как в сфере разработки, так и в сфере безопасности такой специалист будет на ведущих позициях, так как он лучше, чем разработчики, знает прикладные аспекты ИБ и лучше специалистов по ИБ знает устройство и природу информационных систем, а также программных продуктов.

Вы получите навыки, которые повысят вашу стоимость на рынке IT

Проведение анализа защищенности кода и отдельных программных решений

Знание и использование лучших практик в части построения продукта и реализации различных программных механизмов с точки зрения безопасности

Применение инструментов автоматизации поиска уязвимостей и защиты приложения от атак

Проведение обучения и консультаций внутри команды по прикладным аспектам безопасности кода и решений

Умение анализировать инциденты, атаки и уязвимости появляющиеся в окружении продукта

Понимание методологии построения безопасного жизненного цикла разработки ПО

Программа обучения

5 месяцев

6 модулей

220 ак. часов

55 занятий

2-3 занятия в неделю

Модуль 1. Введение в продуктовую безопасность
3 недели
10 занятий
  • Введение в информационную безопасность
  • Концепты безопасной разработки
  • Требования для безопасной разработки
  • Принципы дизайна для безопасной разработки
  • Offensive/Defensive практики по безопасной разработке
  • Тестирование
  • ПСИ для безопасного ПО
  • Развертывание, обслуживание, интеграция
  • Цепочка поставок, использование стороннего ПО в разработке
  • BugBounty

 

 

Освоив модуль вы сможете:

  • Выполнять задачи в рамках роли, участвующей в процессах продуктовой безопасности
  • Развивать направление продуктовой безопасности в своей компании
  • Реализовывать и обсуждать создание или поддержание процессов продуктовой безопасности в своем продукте
Модуль 2. Программные средства защиты
2 недели
5 занятий
  • Решения для защиты продуктов
  • Проверка зависимостей
  • Применение сканеров уязвимостей
  • Применение статических анализаторов кода
  • WAF. Расследование инцидентов и прочие программные решения

 

 

Освоив этот модуль вы сможете:

  • Настраивать инструменты анализа кодовой базы и сборок продукта, а также внедрять инструменты в процесс непрерывной интеграции.
  • Работать с инструментами мониторинга инцидентов и поиска уязвимостей в публичных сервисах
  • Знать возможности применения различных инструментов обеспечения продуктовой безопасности и уметь их использовать
Модуль 3. Уязвимости веб-приложений
3 недели
10 занятий
  • Веб-технологии.
  • Уязвимости OS Command injection
  • Уязвимость SQL Injection
  • Аутентификация и менеджмент сессий
  • Уязвимости ограничения попыток взаимодействия
  • Уязвимость Broken Access Control
  • Уязвимость Server-side template injection
  • Небезопасная десериализация
  • Уязвимость Server Side Request Forgery и XML External Entity
  • Безопасность клиентской части веб-приложений

 

 

Освоив модуль вы сможете:

  • Производить поиск уязвимостей в веб-приложениях
  • Проводить анализ кода и программных решений на предмет типовых уязвимостей
  • Анализировать отчеты об уязвимостях, найденных сканерами и анализаторами кода веб-приложений, и рекомендовать меры по их устранению
  • Исключать появление типовых уязвимостей в собственном программном продукте в ходе его разработки
Модуль 4. Безопасность и уязвимости окружения
3 недели
10 занятий
  • Окружение приложений
  • Контейнеризация (Docker, Docker-Compose)
  • Управление контейнеризацией (Kubernetes)
  • Безопасность Docker-контейнеров
  • Безопасность Kubernetes
  • Безопасная конфигурация Apache
  • Безопасная конфигурация Nginx
  • Облачная архитектура и облачная безопасность AWS
  • Обеспечение безопасности AWS IAM

 

 

Освоив модуль вы сможете:

  • Настраивать и развертывать контейнеры Docker и системы автоматизации развертывания Kubernetes
  • Настраивать и работать с сервисами облака AWS
  • Обнаруживать основные уязвимости конфигурации веб-серверов Apache и Nginx
  • Предотвращать появление уязвимостей, приводящих к эскалации привилегий систем Docker, Kubernetes, AWS IAM
  • Применять инструменты автоматизации поиска уязвимостей в перечисленных выше системах
Модуль 5. Разработка защищенных веб-приложений
3 недели
10 занятий
  • Валидация данных
  • Аутентификация и менеджмент паролей
  • Авторизация и контроль доступа
  • Управление сессиями
  • Хранение и передача конфиденциальных данных
  • Управление конфигурацией
  • Общие практики. Ошибки и обработка исключений
  • Безопасность баз данных
  • Управление файлами
  • Безопасность клиентской стороны

 

 

Освоив модуль вы сможете:

  • Разрабатывать приложения и ПО с применением лучших практик программирования защищенных приложений
  • Проводить обучение и консультации по вопросам безопасной реализации механизмов и компонент приложения
  • Проводить ревью реализации и кода на предмет наличия небезопасных решений и уязвимостей приложения
Модуль 6. Безопасность мобильных приложений
3 недели
10 занятий
  • Введение в Android
  • Реверс-инжиниринг Android приложений
  • Типовые уязвимости Android приложений
  • Android “best-practices”
  • Инструменты автоматизации MobSF & Drozer
  • Введение в iOS
  • Jailbreaking iOS
  • Типовые уязвимости приложений iOS
  • iOS “best-practices”

 

 

Освоив модуль вы сможете:

  • Проводить реверс-инжиниринг мобильных приложений Android и iOS
  • Анализировать зловредные пакеты приложений Android и iOS
  • Находить типовые уязвимости мобильных приложений
  • Понимать риски, угрозы и поверхность атаки мобильных приложений и инфраструктуры, развернутой вокруг них
Записаться на обучение

Как проходит обучение

  • Иммерсивный подход
  • Фокус на практике. Более 70% времени обучения вы уделите развитию практических навыков.

  • Никаких записей с прошлых потоков
  • Обновляем контент перед каждым запуском курса, снимая актуальные запросы с рынка и ориентируемся на них, создавая программы обучения.

  • Эксперты — реальные практики
  • Наши преподаватели — профессионалы, рассказывающие об областях, в которых они добились успеха. Мы приглашаем лучших экспертов — практиков, которые каждый день сталкиваются с реальными задачами и решают их.

  • Дополнительные задания с поддержкой эксперта
  • После каждого практического занятия вы получаете дополнительное задание с обязательной обратной связью от преподавателя.

  • Доступ к платформе CyWar: Cyber Arena
  • Платформа для моделирования различных сценариев атаки и защиты, разработанная ведущими экспертами Израиля в области информационной безопасности.

  • Порог входа в программу
  • ✓ Умение читать специализированную  документацию и техническую литературу на английском языке со словарем;

     

    ✓ Опыт написания кода на любом языке программирования;

     

    ✓ Иметь опыт участия в разработке программного продукта;

     

    ✓ Иметь представление о взаимодействии компьютеров в сети;

     

    ✓ Иметь начальные представления  о механизмах, работающих в сети Интернет (веб-серверы, мобильные приложения).

    01   / 05

    Что вы получите
    после 5 месяцев обучения?

    Значительный рост вашей стоимости на рынке труда.
    Расширите стек известных технологий связанных с обеспечением ИБ.
    Получите навыки организации безопасной разработки продуктов.

    Ваше резюме
    после окончания обучения

    Сергей Барсанов

    Java Developer | Security Champion | Application Security Specialist

    Ожидаемая зарплата

    250 000 ₽

    Навыки

    • Ревью безопасности кода приложений внутренней разработки
    • Участие в проработке защищенной архитектуры продукта
    • Создание и развитие SSDLC цикла
    • Пилоты и внедрение новых инструментов безопасности
    • Разработка своих инструментов и скриптов автоматизации
    • Консультация и обучение команды в рамках процесса безопасной разработки
    • Умение воспроизводить атаки для демонстрации угрозы уязвимостей
    • Умение использовать и внедрять коммерческие программные средства защиты приложений (Сканеры, анализаторы кода, фаерволы)
    • Настройка окружения приложения для мониторинга инцидентов ИБ и их расследования при помощи программных средств
    • Расследование инцидентов ИБ при помощи программных средств

    Ожидаемая зарплата

    250 000 ₽

    Записаться на обучение

    Стоимость (возможна рассрочка без %)

    132 000 ₽

    !
    !

    user search complete

    Преподаватели — эксперты-практики, работающие в ТОП-компаниях

    Все преподаватели
    Назад

    Остались вопросы?.

    Оставьте номер телефона и мы перезвоним вам в течение нескольких минут

    !
    !
    Получить консультацию
    !
    !

    Спасибо,
    менеджер свяжется с вами в ближайшее время

    Спасибо,
    за регистрацию на вебинар

    Заказать обратный звонок

    !
    Заполните это поле
    !
    Заполните это поле