SEC522: Segurança de aplicativos: protegendo aplicativos da Web, APIs e microsserviços (36 CPEs)

Os aplicativos da Web são cada vez mais distribuídos. O que costumava ser um aplicativo monolítico complexo hospedado no local tornou-se um conjunto distribuído de serviços que incorporam aplicativos legados no local junto com interfaces para componentes hospedados na nuvem e nativos da nuvem. Por causa disso, juntamente com a falta de conhecimento de segurança, os aplicativos da Web estão expondo dados corporativos confidenciais. Os profissionais de segurança são solicitados a fornecer soluções validadas e escaláveis para proteger esse conteúdo de acordo com as melhores práticas do setor usando estruturas modernas de aplicativos da Web. Participar desta aula não apenas aumentará a conscientização sobre falhas de segurança comuns em aplicativos da Web modernos, mas também ensinará aos alunos como reconhecer e mitigar essas falhas com antecedência e eficiência.

Não é uma questão de “se”, mas de “quando”. Esteja preparado para um ataque na web. Nós vamos te ensinar como.

Durante o curso, demonstramos os riscos dos aplicativos da web e a extensão dos dados confidenciais que podem ser expostos ou comprometidos. A partir daí, oferecemos soluções do mundo real sobre como mitigar esses riscos e avaliar e comunicar efetivamente os riscos residuais.

Depois de assistir à aula, os alunos poderão aplicar o que aprenderam rapidamente e trazer de volta técnicas não apenas para proteger melhor seus aplicativos, mas também com eficiência, adicionando segurança no início do ciclo de vida de desenvolvimento de software, “deslocando à esquerda” as decisões de segurança e testes, economizando tempo, dinheiro e recursos para a organização.

“Se você quer saber tudo sobre aplicativos da web e segurança de aplicativos da web, este é o curso perfeito!” – Chris Kansas, ThreatX

PRINCIPAIS PONTOS COBERTOS PELO CURSO:

• Cumprir com os requisitos do PCI DSS 6.5
• Reduzir os riscos gerais de segurança de aplicativos, proteja a reputação da empresa
• Adotar a mentalidade de “mudança para a esquerda” onde os problemas de segurança são resolvidos com antecedência e rapidez. Isso evita o dispendioso retrabalho.
• Capacidade de adotar aplicativos modernos com API e microsserviços de maneira segura

?

TREINAMENTO PRÁTICO:

O ambiente de laboratório de VM fornecido contém um ambiente de aplicativo realista para explorar os ataques e os efeitos dos mecanismos de defesa. O exercício está estruturado em um formato de desafio com dicas disponíveis ao longo do caminho. Os exercícios práticos ajudam os alunos a ganhar experiência para voltar ao escritório. Existem 20 laboratórios na seção 1 a seção 5 da aula e na última seção, há um exercício fundamental chamado Defending the Flag, onde há 3-4 horas de tempo de exercício competitivo dedicado.

O QUE VOCÊ VAI RECEBER:

• Material didático impresso e eletrônico
• Livro de exercícios com mais de 100 páginas de instruções detalhadas passo a passo
• Uma máquina virtual com sistema operacional Linux e vários ambientes de contêiner simulando várias condições vulneráveis para os alunos explorarem durante o exercício da aula
• Um pôster contendo o resumo das técnicas defensivas mais importantes abordadas no curso em um formato de lista de verificação que pode ser usado como uma estrutura/padrão de defesa da Web de linha de base para sua organização.
• Arquivos de áudio MP3 da palestra completa do curso

Requisitos do computador

Importante! Configura o seu equipamento de acordo com estas instruções!

É necessário um sistema devidamente configurado para participar plenamente deste curso. Se você não ler atentamente e seguir estas instruções, provavelmente sairá da aula insatisfeito porque não poderá participar de exercícios práticos essenciais para este curso. Portanto, recomendamos fortemente que você chegue com um sistema que atenda a todos os requisitos especificados para o curso.

NOTA CRÍTICA: Os sistemas Apple que usam o processador M1 não podem realizar a virtualização necessária neste momento e não podem ser usados ??para este curso.

É imperativo que você faça backup de seu sistema antes da aula e também é altamente recomendável que você não traga um sistema que armazene dados confidenciais.

Requisitos de hardware do sistema

CPU: O processador do seu sistema deve ser um processador Intel i5 ou i7 de 2,0 GHz de 64 bits ou superior. Sua CPU e sistema operacional devem oferecer suporte a uma máquina virtual de busca de 64 bits.

• Os usuários do Windows podem usar este artigo para saber mais sobre seus recursos de CPU e SO.
• Os usuários da Apple devem validar a versão do sistema operacional pelo menos 11.6+

BIOS: A tecnologia de virtualização de hardware VT (VT-x) da Intel deve ser habilitada nas configurações de BIOS ou UEFI do seu sistema. Você deve ser capaz de acessar o BIOS do seu sistema durante toda a aula. Se o seu BIOS estiver protegido por senha, você deve ter a senha.

USB: Se estiver fazendo o curso pessoalmente, pelo menos uma porta USB 3.0 Tipo A disponível é necessária para copiar grandes arquivos de dados das unidades USB 3.0 que fornecemos em sala de aula. A porta USB não deve ser bloqueada em hardware ou software. Alguns laptops mais novos podem ter apenas as portas Type-C menores. Nesse caso, você precisará trazer um adaptador USB Type-C para Type-A.

RAM: 8 GB de RAM são necessários para a melhor experiência. Para verificar no Windows 10, pressione a tecla Windows + “I” para abrir Configurações, clique em “Sistema” e depois em “Sobre”. Suas informações de RAM estarão na parte inferior da página. Para verificar em um Mac, clique no logotipo da Apple no canto superior esquerdo da tela e clique em “Sobre este Mac”.

Espaço Livre no Disco Rígido: 60 GB de espaço LIVRE no disco rígido são essenciais para distribuir as VMs e arquivos adicionais que distribuímos. As unidades SSD também são altamente recomendadas, pois permitem que as máquinas virtuais funcionem muito mais rápido que os discos rígidos mecânicos.

Sistema operacional: versão mais recente do Windows 10, macOS 11.6.x ou posterior ou Linux que também pode instalar e executar os produtos de virtualização VMware descritos abaixo.

Para mais informações sobre os requisitos de hardware ou sofware, clique aqui.

GIAC Certified Web Application Defender

A certificação GIAC Web Application Defender permite que os candidatos demonstrem domínio dos conhecimentos e habilidades de segurança necessários para lidar com erros comuns de aplicativos da Web que levam à maioria dos problemas de segurança. O candidato selecionado terá experiência prática no uso de ferramentas atuais para detectar e prevenir falhas de validação de entrada, cross-site scripting (XSS) e injeção de SQL, bem como um entendimento profundo de autenticação, controle de acesso e gerenciamento de sessão, fraquezas e como elas são melhor defendidas. Os Defensores de Aplicativos da Web (GWEB) certificados pelo GIAC têm o conhecimento, as habilidades e as habilidades para proteger aplicativos da Web e reconhecer e mitigar os pontos fracos de segurança nos aplicativos da Web existentes.

• Controle de acesso, tecnologias AJAX e estratégias de segurança, testes de segurança e autenticação
• Ataques e mitigação de políticas de origem cruzada, CSRF e criptografia e proteção de dados confidenciais
• Upload de arquivo, prontidão de resposta, defesa proativa, falhas relacionadas à entrada e validação de entrada
• Problemas e serialização da estrutura de aplicativos modernos, segurança de sessão e lógica de negócios, Web
• Noções básicas de aplicativos e HTTP, arquitetura da Web, configuração e segurança

Para mais informações sobre a certificação GIAC Web Application Defender, clique aqui

• Seção 1 – Compreender a arquitetura de aplicativos web, vulnerabilidade e gerenciamento de configuração.
• Noções básicas de HTTP, inspeção e falsificação de tráfego HTTP/2, isolamento de ambiente, SSRF e roubo de credenciais

• Seção 2 – Detectar, mitigar e defender as ameaças relacionadas à entrada.
• Injeção de SQL, falsificação de solicitação entre sites, script entre sites, Unicode e upload de arquivos

• Seção 3 – Autenticação, Autorização e Criptografia
• Vulnerabilidades de autenticação e defesa, Autenticação multifator, Vulnerabilidades e testes de sessão, Vulnerabilidades e defesa de autorização, Vulnerabilidades e testes SSL, Uso adequado de criptografia em aplicativos da web

• Seção 4 – Segurança de front-end com mecanismos de script modernos
• Enumerações WSDL, Cross Domain AJAX, Recursos Front-End e CSP (Content Security Policy), Clickjacking

• Seção 5 – API REST e GraphQL com arquitetura de microsserviço
• Desserialização e religação de DNS, GraphQL, gateways de API e JSON, SRI e revisão de log
• Seção 6 – Exercício de defesa da bandeira

Este curso requer uma compreensão básica da tecnologia de aplicativos da Web e conceitos como HTML e JavaScript. Para maximizar o benefício para uma ampla gama de públicos, as discussões neste curso serão independentes da linguagem de programação. Os participantes devem ter alguma compreensão de conceitos como bancos de dados (SQL) e linguagens de script usadas em aplicativos da web modernos.

• Defender-se contra os ataques especificados no OWASP Top 10
• Segurança de infraestrutura e gerenciamento de configuração
• Integração com segurança os componentes da nuvem em um aplicativo da web
• Mecanismos de autenticação e autorização, incluindo padrões de logon único
• Segurança de solicitação da Web entre domínios
• Cabeçalhos HTTP de proteção
• Defender APIs SOAP, REST e GraphQL
• Implementar com segurança a arquitetura de microsserviços
• Defender-se contra falhas relacionadas à entrada, como injeção de SQL, XSS e CSRF