Robot
Складчик
- #1
[Нетология] Специалист по информационной безопасности - 2020 [Анонимный Автор]
- Ссылка на картинку
- Научим предвосхищать кибератаки и минимизировать их последствия
- Знания отработаете на проектах, приближенных к реальным рабочим ситуациям
Чем больше компаний переходит в онлайн, тем больше информации нужно защищать. Специалисты, которые могут настраивать защиту и сохранять её, становятся всё более востребованы. Компании готовы за это платить — средняя зарплата у таких специалистов по данным «Хабр Карьеры» около 125 тысяч рублей.
Мы разработали курс, пройдя который, вы сможете претендовать на должность junior-специалиста по информационной безопасности. Сделали упор на практику: будем проводить аудит существующей защиты, писать код, тестировать сетевые сервисы на уязвимость, настраивать инструменты и администрировать средства защиты информации.
Как сейчас учат этой профессии
«Бумажные безопасники»
Изучают законы, регламенты. Из практики — настройка некоторых инструментов по инструкции (очень минимальная)
Админские курсы
Изучают конкретные приложения и настройку сети, но не изучают законы и не понимают, как то, что они настроили, будет взламываться
Курсы для хакеров
Не изучают законы, не изучают настройку — учатся сразу взламывать
Мы разработали комплексную программу:
1. Научим предвосхищать кибератаки и минимизировать их последствия
2. Знания отработаете на проектах, приближенных к реальным рабочим ситуациям
3. Учим информационной безопасности полностью, а не по частям
1. Новичкам без опыта в программировании
Если хотите сменить работу, иметь возможность работать удалённо и не зависеть от внешних обстоятельств, но не знаете, с чего начать.
Погрузитесь
В новую востребованную высокооплачиваемую профессию и получите углубленные знания.
2. Junior-системным администраторам
Если вам нужно обеспечивать безопасность, но вы не знаете, как это правильно делать, и действуете наугад.
Если хотите сменить работу, иметь возможность работать удалённо и не зависеть от внешних обстоятельств, но не знаете, с чего начать.
Погрузитесь
В новую востребованную высокооплачиваемую профессию и получите углубленные знания.
2. Junior-системным администраторам
Если вам нужно обеспечивать безопасность, но вы не знаете, как это правильно делать, и действуете наугад.
Получите
Структурированную теоретическую информацию и отработаете навыки на практике. Сможете расти вверх по карьерной лестнице.
3. Начинающим разработчикам
Если вы хотите расти в разработке и находитесь в поиске направления для развития.
Освоите
Профессию, отличающуюся стабильностью и понятным развитием. Углубите знания и избавитесь от синдрома самозванца.
1. Основы информационной безопасности
Разберёмся с тем, что такое информационная безопасность, а именно: что, от кого и зачем нужно защищать. Посмотрим на законодательство, отраслевые стандарты и поймём, как происходит регулирование отрасли. Вы будете чётко понимать, на базе каких основных принципов всё строится, какие организации, структуры и органы за что отвечают, какие есть стандарты и законы и для чего они.
Практика:
Атакуем пароли — посмотрим, какие атаки на хэши паролей существуют и как быстро можно подобрать пароль из топа самых популярных и пароль, захэшированный с помощью небезопасного алгоритма.
Рассмотрим организацию сетей передачи данных, ключевые сетевые протоколы и оборудование, существующие на данном уровне атаки и механизмы защиты. Разберётесь в сетевых протоколах, их слабостях и механизмах защиты. Сами настроите несколько сетевых окружений, научитесь настраивать защиту как по периметру, так и внутри сети, анализировать трафик (а также перехватывать его) и попробуете себя в роли атакующего «чужой сети».
Практика:
Wireshark — научимся анализировать сетевой трафик, выявляя в нём, интересующие нас данные.
Flooder — научимся «флудить» на протоколах разных уровней и посмотрим, к чему это приводит и как от этого защищаться.
Изучим устройство операционных систем Windows и Linux, разберём основы их администрирования. Поговорим про системное программирование и выясним, что такое Buffer overflow и другие уязвимости. Будете разбираться, какие механизмы безопасности предоставляют самые популярные ОС: Windows и Linux, и как их настраивать.
Рассмотрим одну из самых «ярких» проблем в мире ИБ — misconfiguration (неправильное конфигурирование). Вы приобретёте базовые навыки программирования на языке С и поймёте, откуда берутся ключевые уязвимости, к чему они могут привести, а также как можно разбирать приложение по кусочкам и внедрять туда свой код.
Практика:
Настроим аудит доступа к важным файлам и их контроль целостности в ОС Windows и ОС Linux.
Научимся эксплуатировать бинарные уязвимости через аргументы командной строки и специальным образом сформированные сетевые пакеты.
В компании Х есть корпоративное сетевое приложение, позволяющее «безопасно» обмениваться корпоративной информацией (в том числе хранить персональные данные клиентов и пересылать информацию, отнесённую к коммерческой тайне). Вам предстоит проанализировать само приложение на уязвимости, а также настройки ОС на серверах, где это приложение функционирует и внутреннюю сетевую инфраструктуру.
Вы подготовите отчёт о найденных «слабостях» системы и предложение по необходимым мерам для их устранения.
5. Современная разработка ПО
Рассмотрим, как устроены процессы современной разработки ПО, какие ключевые компоненты используются при построении систем, их развёртывании и функционировании. Посмотрим на практике на «встраивание» безопасности в процессы разработки, развёртывания и функционирования приложений. Поймёте, как устроена современная разработка ПО, а самое главное: на каком этапе мы, как специалисты по информационной безопасности, можем помочь.
Получите практические навыки работы со статическими и динамическими анализаторами кода, сканерами безопасности, анализаторами зависимостей и открытыми базами уязвимостей. Узнаете о слабых и сильных сторонах инструментов, в каких случаях их стоит использовать и сколько ресурсов потребуется для эффективного внедрения.
Практика:
Static Analyzer — попробуем в работе несколько статических анализаторов, позволяющих выявлять уязвимости. Разберёмся с ложными и не ложными срабатываниями.
Побудем в роли злоумышленника — научимся атаковать системы для выявления слабостей в системе безопасности. Детально рассмотрим уязвимости веб-сервисов — как серверной части, так и клиентской части.
Узнаете, как строятся различные подходы к аутентификации и авторизации, как работают OAuth, JWT, что такое Single Sign On и где стоит идти на уступки в угоду масштабируемости, отказоустойчивости и доступности. В деталях разберём OWASP и попрактикуем пентестинг.
Практика:
Попробуем себя в роли атакующего: «взломаем» уязвимый сервис с помощью SQL Injection и посмотрим, к чему это может привести (от внедрения кода до кражи БД и выполнения произвольных команд на сервере). А потом посмотрим, как можно защититься.
Authentication — попробуем себя в роли атакующего: подстроим кражу аутентификационных данных и используем их для неправомерного доступа к системе от лица пользователя.
Компания Y предоставляет комплексное веб-приложение в сфере электронной коммерции. И недавно столкнулась с массовой утечкой данных о своих пользователях и их покупках. «Брешь», через которую произошла утечка, вроде как устранили, но компания хочет провести комплексное тестирование на проникновение и анализ процесса разработки.
Вам предстоит провести тестирование на проникновение и анализ процесса разработки. Подготовить отчёт о найденных «слабостях» системы и процессов и дать рекомендации по необходимым мерам для их устранения и предложения по улучшению процесса разработки.
8. Организация безопасности
Разберёмся, как организовать безопасность: от настройки средств защиты информации (СЗИ) до регламентации процесса. Научимся организовывать мониторинг событий безопасности, реагировать на инциденты и расследовать их. Научитесь целиком выстраивать процесс: от установки средств защиты информации до оповещения заинтересованных лиц и разбора инцидентов.
Нельзя построить «совершенную защиту», но можно правильно оценить риски, расставить приоритеты и выработать чёткие планы реагирования. Как раз эти навыки вы и приобретёте.
Результатом обучения станет дипломный проект — масштабное практическое задание, которое вы сможете добавить в своё портфолио.
Проект выполняется под руководством эксперта курса.
Разберёмся с тем, что такое информационная безопасность, а именно: что, от кого и зачем нужно защищать. Посмотрим на законодательство, отраслевые стандарты и поймём, как происходит регулирование отрасли. Вы будете чётко понимать, на базе каких основных принципов всё строится, какие организации, структуры и органы за что отвечают, какие есть стандарты и законы и для чего они.
Практика:
Атакуем пароли — посмотрим, какие атаки на хэши паролей существуют и как быстро можно подобрать пароль из топа самых популярных и пароль, захэшированный с помощью небезопасного алгоритма.
- Основы информационной безопасности и защиты информации
- Нормативно-правовое обеспечение
- Техническая защита информации, криптография
- Отраслевые стандарты и регуляторы
Рассмотрим организацию сетей передачи данных, ключевые сетевые протоколы и оборудование, существующие на данном уровне атаки и механизмы защиты. Разберётесь в сетевых протоколах, их слабостях и механизмах защиты. Сами настроите несколько сетевых окружений, научитесь настраивать защиту как по периметру, так и внутри сети, анализировать трафик (а также перехватывать его) и попробуете себя в роли атакующего «чужой сети».
Практика:
Wireshark — научимся анализировать сетевой трафик, выявляя в нём, интересующие нас данные.
Flooder — научимся «флудить» на протоколах разных уровней и посмотрим, к чему это приводит и как от этого защищаться.
- Основы построения сетей передачи данных
- Сетевые протоколы
- Механизмы обеспечения сетевой безопасности
Изучим устройство операционных систем Windows и Linux, разберём основы их администрирования. Поговорим про системное программирование и выясним, что такое Buffer overflow и другие уязвимости. Будете разбираться, какие механизмы безопасности предоставляют самые популярные ОС: Windows и Linux, и как их настраивать.
Рассмотрим одну из самых «ярких» проблем в мире ИБ — misconfiguration (неправильное конфигурирование). Вы приобретёте базовые навыки программирования на языке С и поймёте, откуда берутся ключевые уязвимости, к чему они могут привести, а также как можно разбирать приложение по кусочкам и внедрять туда свой код.
Практика:
Настроим аудит доступа к важным файлам и их контроль целостности в ОС Windows и ОС Linux.
Научимся эксплуатировать бинарные уязвимости через аргументы командной строки и специальным образом сформированные сетевые пакеты.
- ОС Windows
- ОС Linux
- Системное программирование (язык C)
- Механизмы безопасности ОС
В компании Х есть корпоративное сетевое приложение, позволяющее «безопасно» обмениваться корпоративной информацией (в том числе хранить персональные данные клиентов и пересылать информацию, отнесённую к коммерческой тайне). Вам предстоит проанализировать само приложение на уязвимости, а также настройки ОС на серверах, где это приложение функционирует и внутреннюю сетевую инфраструктуру.
Вы подготовите отчёт о найденных «слабостях» системы и предложение по необходимым мерам для их устранения.
5. Современная разработка ПО
Рассмотрим, как устроены процессы современной разработки ПО, какие ключевые компоненты используются при построении систем, их развёртывании и функционировании. Посмотрим на практике на «встраивание» безопасности в процессы разработки, развёртывания и функционирования приложений. Поймёте, как устроена современная разработка ПО, а самое главное: на каком этапе мы, как специалисты по информационной безопасности, можем помочь.
Получите практические навыки работы со статическими и динамическими анализаторами кода, сканерами безопасности, анализаторами зависимостей и открытыми базами уязвимостей. Узнаете о слабых и сильных сторонах инструментов, в каких случаях их стоит использовать и сколько ресурсов потребуется для эффективного внедрения.
Практика:
Static Analyzer — попробуем в работе несколько статических анализаторов, позволяющих выявлять уязвимости. Разберёмся с ложными и не ложными срабатываниями.
- Популярные языки, системы сборки, управления зависимостями
- Системы хранения данных
- Развёртывание приложений
- DevSecOps и AppSec
Побудем в роли злоумышленника — научимся атаковать системы для выявления слабостей в системе безопасности. Детально рассмотрим уязвимости веб-сервисов — как серверной части, так и клиентской части.
Узнаете, как строятся различные подходы к аутентификации и авторизации, как работают OAuth, JWT, что такое Single Sign On и где стоит идти на уступки в угоду масштабируемости, отказоустойчивости и доступности. В деталях разберём OWASP и попрактикуем пентестинг.
Практика:
Попробуем себя в роли атакующего: «взломаем» уязвимый сервис с помощью SQL Injection и посмотрим, к чему это может привести (от внедрения кода до кражи БД и выполнения произвольных команд на сервере). А потом посмотрим, как можно защититься.
Authentication — попробуем себя в роли атакующего: подстроим кражу аутентификационных данных и используем их для неправомерного доступа к системе от лица пользователя.
- Архитектура современных веб-сервисов
- Уязвимости веб-сервисов
- OWASP
- Тестирование на проникновение
Компания Y предоставляет комплексное веб-приложение в сфере электронной коммерции. И недавно столкнулась с массовой утечкой данных о своих пользователях и их покупках. «Брешь», через которую произошла утечка, вроде как устранили, но компания хочет провести комплексное тестирование на проникновение и анализ процесса разработки.
Вам предстоит провести тестирование на проникновение и анализ процесса разработки. Подготовить отчёт о найденных «слабостях» системы и процессов и дать рекомендации по необходимым мерам для их устранения и предложения по улучшению процесса разработки.
8. Организация безопасности
Разберёмся, как организовать безопасность: от настройки средств защиты информации (СЗИ) до регламентации процесса. Научимся организовывать мониторинг событий безопасности, реагировать на инциденты и расследовать их. Научитесь целиком выстраивать процесс: от установки средств защиты информации до оповещения заинтересованных лиц и разбора инцидентов.
Нельзя построить «совершенную защиту», но можно правильно оценить риски, расставить приоритеты и выработать чёткие планы реагирования. Как раз эти навыки вы и приобретёте.
- Настройка и администрирование СЗИ
- Мониторинг событий безопасности
- Реагирование на инциденты и расследование
- Регламентация процесса
Результатом обучения станет дипломный проект — масштабное практическое задание, которое вы сможете добавить в своё портфолио.
Проект выполняется под руководством эксперта курса.
Зарегистрируйтесь
, чтобы посмотреть скрытый авторский контент.
