Curso de Consciência Executiva em Segurança Cibernética

Este treinamento ao vivo conduzido por instrutor em Brasil (no local ou remoto) é destinado a administradores de sistemas que desejam usar 389 Directory Server para configurar e gerenciar autenticação e autorização baseadas em LDAP.

Ao final deste treinamento, os participantes serão capazes de:

• Instalar e configurar 389 Directory Server.
• Compreender as caraterísticas e a arquitetura do 389 Directory Server.
• Aprender a configurar o servidor de diretório usando o console da web e a CLI.
• Configurar e monitorar a replicação para alta disponibilidade e balanceamento de carga.
• Gerir a autenticação LDAP utilizando SSSD para um desempenho mais rápido.
• Integrar o 389 Directory Server com o Microsoft Active Diretory.

No final desta formação, os participantes serão capazes de:

• Explicar a segurança e as vulnerabilidades da aplicação
• Descrever as melhores práticas de programação ABAP e o manuseio do SY-SUBRC
• Compreender as vulnerabilidades de injeção
• Descrever as ferramentas de teste de segurança
• Explicar o ATC e o CVA

Formato do curso

• Palestra interactiva e discussão.
• Muitos exercícios e prática.
• Implementação prática num ambiente de laboratório ao vivo.

Este treinamento ao vivo conduzido por instrutor em Brasil (no local ou remoto) é destinado a administradores de sistema que desejam usar o Microsoft Active Diretory para gerenciar e proteger o acesso a dados.

No final deste treinamento, os participantes serão capazes de:

• Instalar e configurar o Active Diretory.
• Configurar um domínio e definir direitos de acesso de utilizadores e dispositivos.
• Gerir utilizadores e máquinas através de Políticas de Grupo.
• Controlar o acesso a servidores de ficheiros.
• Configurar um Serviço de Certificados e gerir certificados.
• Implementar e gerir serviços como a encriptação, os certificados e a autenticação.

A implementação de uma aplicação segura em rede pode ser difícil, mesmo para os programadores que possam ter utilizado previamente vários blocos de construção criptográficos (como a encriptação e as assinaturas digitais). Para que os participantes compreendam o papel e a utilização destas primitivas criptográficas, começa-se por dar uma base sólida sobre os principais requisitos da comunicação segura - reconhecimento seguro, integridade, confidencialidade, identificação remota e anonimato - e apresentam-se os problemas típicos que podem prejudicar estes requisitos, juntamente com soluções reais.

Como um aspeto crítico da segurança da rede é a criptografia, também são discutidos os algoritmos criptográficos mais importantes em criptografia simétrica, hashing, criptografia assimétrica e acordo de chaves. Em vez de apresentar uma base matemática aprofundada, estes elementos são discutidos na perspetiva de um programador, mostrando exemplos típicos de casos de utilização e considerações práticas relacionadas com a utilização da criptografia, tais como infra-estruturas de chaves públicas. São introduzidos protocolos de segurança em muitas áreas da comunicação segura, com uma discussão aprofundada sobre as famílias de protocolos mais utilizadas, como o IPSEC e o SSL/TLS.

São discutidas vulnerabilidades criptográficas típicas relacionadas com determinados algoritmos criptográficos e protocolos criptográficos, tais como BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE e similares, bem como o ataque de temporização RSA. Em cada caso, as considerações práticas e as potenciais consequências são descritas para cada problema, mais uma vez, sem entrar em pormenores matemáticos profundos.

Finalmente, como a tecnologia XML é fundamental para o intercâmbio de dados por aplicações em rede, são descritos os aspectos de segurança da XML. Isto inclui a utilização de XML em serviços Web e mensagens SOAP, juntamente com medidas de proteção como a assinatura XML e a encriptação XML - bem como os pontos fracos dessas medidas de proteção e questões de segurança específicas de XML, como a injeção XML, ataques de entidades externas XML (XXE), bombas XML e injeção XPath.

Os participantes neste curso irão

• Compreender os conceitos básicos de segurança, segurança informática e codificação segura
• Compreender os requisitos da comunicação segura
• Conhecer os ataques e as defesas de rede em diferentes camadas OSI
• Ter uma compreensão prática da criptografia
• Compreender os protocolos de segurança essenciais
• Compreender alguns ataques recentes contra sistemas de criptografia
• Obter informações sobre algumas vulnerabilidades recentes relacionadas
• Compreender os conceitos de segurança dos serviços Web
• Obter fontes e leituras adicionais sobre práticas de codificação seguras

Público-alvo

Programadores, profissionais

Escrever código seguro em C e C++ exige uma defesa rigorosa contra exploração maliciosa, corrupção de memória e burlas de validação de entrada. Este programa analisa padrões de vulnerabilidade, incluindo estouro de buffer, uso após liberação, estouro inteiro e confusão de tipos. Os participantes aplicam diretrizes de programação segura, ferramentas de análise estática e técnicas de programação defensiva para eliminar falhas, impor a sanitização de entradas e entregar software endurecido, resistente a ciberataques.

Até mesmo programadores experientes em Java nem sempre dominam todos os serviços de segurança oferecidos pela linguagem, além de desconhecirem as diversas vulnerabilidades relevantes para aplicações web escritas em Java.

Além de introduzir os componentes de segurança da Standard Java Edition (Java SE), este curso aborda questões de segurança do Java Enterprise Edition (JEE) e de serviços web. A discussão sobre serviços específicos é precedida pelos fundamentos da criptografia e da comunicação segura. Vários exercícios tratam de técnicas de segurança declarativa e programática no JEE, enquanto a segurança em nível de transporte e de ponta a ponta nos serviços web é discutida. O uso de todos os componentes é apresentado por meio de exercícios práticos, onde os participantes podem experimentar as APIs e ferramentas discutidas.

O curso também revisa e explica as falhas de programação mais frequentes e graves da linguagem Java e de sua plataforma, bem como as vulnerabilidades relacionadas à web. Além dos bugs típicos cometidos por programadores Java, as vulnerabilidades de segurança abordadas cobrem tanto questões específicas da linguagem quanto problemas derivados do ambiente de execução. Todas as vulnerabilidades e os ataques pertinentes são demonstrados por meio de exercícios de fácil compreensão, seguidos pelas diretrizes recomendadas de codificação e pelas possíveis técnicas de mitigação.

Os participantes que concluírem este curso serão capazes de:

• Compreender os conceitos básicos de segurança, segurança de TI e codificação segura.
• Aprender sobre vulnerabilidades web além das OWASP Top Ten e saber como evitá-las.
• Compreender os conceitos de segurança de serviços web.
• Aprender a utilizar vários recursos de segurança do ambiente de desenvolvimento Java.
• Ter um entendimento prático de criptografia.
• Compreender as soluções de segurança do Java EE.
• Aprender sobre erros de codificação típicos e como evitá-los.
• Obter informações sobre algumas vulnerabilidades recentes no framework Java.
• Adquirir conhecimento prático no uso de ferramentas de teste de segurança.
• Obter fontes e leituras complementares sobre práticas de codificação segura.

Público-alvo

Desenvolvedores

Existem diversas linguagens de programação disponíveis atualmente para compilar código para os frameworks .NET e ASP.NET. O ambiente oferece meios poderosos para o desenvolvimento seguro, mas os desenvolvedores devem saber como aplicar técnicas de programação nos níveis de arquitetura e de código para implementar a funcionalidade de segurança desejada, evitar vulnerabilidades ou limitar sua exploração.

O objetivo deste curso é ensinar os desenvolvedores, por meio de numerosos exercícios práticos, a impedir que código não confiável realize ações privilegiadas, proteger recursos por meio de autenticação e autorização fortes, fornecer chamadas de procedimento remoto, gerenciar sessões, introduzir diferentes implementações para determinadas funcionalidades, entre outros aspectos.

A introdução às diferentes vulnerabilidades começa apresentando problemas de programação típicos cometidos ao utilizar .NET, enquanto a discussão sobre vulnerabilidades do ASP.NET também aborda as diversas configurações de ambiente e seus efeitos. Finalmente, o tópico das vulnerabilidades específicas do ASP.NET não trata apenas de desafios gerais de segurança de aplicativos web, mas também de questões especiais e métodos de ataque, como ataques ao ViewState ou ataques de terminação de string.

Os participantes que cursarem este material aprenderão

• A compreender os conceitos básicos de segurança, segurança de TI e codificação segura
• A conhecer vulnerabilidades web além do OWASP Top Ten e saber como evitá-las
• A utilizar os diversos recursos de segurança do ambiente de desenvolvimento .NET
• A adquirir conhecimento prático no uso de ferramentas de teste de segurança
• A aprender sobre erros de codificação típicos e como evitá-los
• A obter informações sobre algumas vulnerabilidades recentes no .NET e no ASP.NET
• A ter acesso a fontes e leituras complementares sobre práticas de codificação segura

Público-alvo

Desenvolvedores

O curso fornece aos programadores de PHP as competências essenciais necessárias para tornar as suas aplicações resistentes aos ataques contemporâneos através da Internet. As vulnerabilidades da Web são discutidas através de exemplos baseados em PHP que vão além dos OWASP dez principais, abordando vários ataques de injeção, injecções de scripts, ataques contra o tratamento de sessões de PHP, referências diretas inseguras a objectos, problemas com o carregamento de ficheiros e muitos outros. As vulnerabilidades relacionadas com o PHP são introduzidas agrupadas nos tipos de vulnerabilidade padrão de validação de entrada inexistente ou incorrecta, tratamento incorreto de erros e excepções, utilização incorrecta de caraterísticas de segurança e problemas relacionados com o tempo e o estado. Neste último caso, são discutidos ataques como a evasão do open_basedir, a negação de serviço através do magic float ou o ataque de colisão de tabelas de hash. Em todos os casos, os participantes familiarizar-se-ão com as técnicas e funções mais importantes a utilizar para mitigar os riscos enumerados.

É dada especial atenção à segurança do lado do cliente, abordando as questões de segurança de JavaScript, Ajax e HTML5. São introduzidas várias extensões de PHP relacionadas com a segurança, como hash, mcrypt e OpenSSL para criptografia, ou Ctype, ext/filter e HTML Purifier para validação de entradas. As melhores práticas de proteção são apresentadas em relação à configuração do PHP (definição do php.ini), do Apache e do servidor em geral. Finalmente, é dada uma visão geral de várias ferramentas e técnicas de teste de segurança que os desenvolvedores e testadores podem usar, incluindo scanners de segurança, testes de penetração e pacotes de exploração, sniffers, servidores proxy, ferramentas de fuzzing e analisadores estáticos de código-fonte.

Tanto a introdução de vulnerabilidades como as práticas de configuração são apoiadas por uma série de exercícios práticos que demonstram as consequências de ataques bem sucedidos, mostrando como aplicar técnicas de mitigação e introduzindo a utilização de várias extensões e ferramentas.

Os participantes neste curso irão

• Compreender os conceitos básicos de segurança, segurança informática e codificação segura
• Conhecer as vulnerabilidades da Web para além das OWASP Top Ten e saber como evitá-las
• Conhecer as vulnerabilidades do lado do cliente e as práticas de codificação segura
• Ter um conhecimento prático de criptografia
• Aprender a utilizar várias funcionalidades de segurança do PHP
• Conhecer os erros típicos de codificação e saber como evitá-los
• Ser informado sobre as vulnerabilidades recentes da estrutura PHP
• Obter conhecimentos práticos sobre a utilização de ferramentas de teste de segurança
• Obter fontes e leituras adicionais sobre práticas de codificação seguras

Público-alvo

Programadores

O treinamento combinado de SDL core fornece uma visão sobre o design, desenvolvimento e teste de software seguro através do ciclo de vida de desenvolvimento seguro da Microsoft (SDL). Ele oferece uma visão geral de nível 100 dos elementos fundamentais do SDL, seguida por técnicas de design para detectar e corrigir falhas em estágios iniciais do processo de desenvolvimento.

Em relação à fase de desenvolvimento, o curso apresenta uma visão geral dos bugs típicos de segurança em código gerenciado e nativo. Métodos de ataque são demonstrados para as vulnerabilidades discutidas, juntamente com as técnicas de mitigação associadas, todas explicadas através de exercícios práticos que proporcionam diversão ao vivo de hacking aos participantes. A introdução de diferentes métodos de teste de segurança é seguida pela demonstração da eficácia de diversas ferramentas de teste. Os participantes podem entender o funcionamento dessas ferramentas através de vários exercícios práticos, aplicando-as ao código vulnerável já discutido.

Os participantes que frequentarem este curso

Compreenderão conceitos básicos de segurança, segurança da TI e codificação segura

Conhecerão os passos essenciais do ciclo de vida de desenvolvimento seguro da Microsoft (SDL)

Aprenderão práticas de design e desenvolvimento seguros

Conhecerão princípios de implementação segura

Compreenderão a metodologia de teste de segurança

• Obterão fontes e leituras adicionais sobre práticas de codificação segura

Público-alvo

Desenvolvedores, Gerentes

Neste curso ministrado por um instrutor e ao vivo em Brasil, os participantes aprenderão como formular a estratégia de segurança adequada para enfrentar o desafio da segurança DevOps.

EC-Council Engenheiro Certificado DevSecOps (ECDE) é um curso prático projetado para equipar profissionais com as habilidades necessárias para incorporar segurança ao longo do ciclo de vida DevOps, habilitando o desenvolvimento seguro de software desde a fase de planejamento até a implantação.

Esta formação presencial ou online, conduzida por um instrutor, destina-se a profissionais intermediários de software e DevOps que desejam integrar práticas de segurança em pipelines CI/CD, garantindo a entrega de código seguro e conforme.

No final desta formação, os participantes serão capazes de:

• Compreender os princípios e práticas do DevSecOps.
• Segurar cada etapa dos pipelines CI/CD usando ferramentas automatizadas.
• Implementar práticas de codificação segura e varreduras de vulnerabilidades.
• Preparar-se para a certificação ECDE com laboratórios práticos e revisão.

Formato do Curso

• Aula interativa e discussão.
• Uso prático de ferramentas DevSecOps em pipelines simulados.
• Exercícios guiados focados no desenvolvimento seguro e implantação.

Opções de Personalização do Curso

• Para solicitar uma formação personalizada para este curso com base nos fluxos de trabalho ou cadeia de ferramentas da sua equipe, entre em contato conosco para agendar.

Este treinamento ao vivo conduzido por instrutor em Brasil (no local ou remoto) é destinado a administradores de sistema que desejam usar FreeIPA para centralizar as informações de autenticação, autorização e conta para os usuários, grupos e máquinas de sua organização.

No final deste treinamento, os participantes serão capazes de:

• Instalar e configurar FreeIPA.
• Gerir utilizadores e clientes Linux a partir de uma única localização central.
• Utilizar a interface CLI, Web UI e RPC do FreeIPA para configurar e gerir permissões.
• Permitir a autenticação Single Sign On em todos os sistemas, serviços e aplicações.
• Integrar o FreeIPA com o Windows Active Diretory.
• Efetuar cópias de segurança, replicar e migrar um servidor FreeIPA.

Este treinamento ao vivo conduzido por instrutor em Brasil (no local ou remoto) é destinado a administradores de sistema que desejam usar Okta para gerenciamento de identidade e acesso.

Ao final deste treinamento, os participantes serão capazes de:

• Configurar, integrar e gerenciar Okta.
• Integrar Okta numa aplicação existente.
• Implementar segurança com autenticação multi-fator.

Este treinamento ao vivo conduzido por instrutor em Brasil (no local ou remoto) é destinado a administradores de sistema que desejam usar OpenAM para gerenciar controles de identidade e acesso para aplicativos da web.

No final deste treinamento, os participantes serão capazes de:

• Configurar o ambiente de servidor necessário para começar a configurar a autenticação e os controlos de acesso utilizando OpenAM.
• Implementar recursos de logon único (SSO), autenticação multifator (MFA) e autoatendimento do usuário para aplicativos da web.
• Utilizar serviços de federação (OAuth 2.0, OpenID, SAML v2.0, etc.) para alargar a gestão de identidades de forma segura a diferentes sistemas ou aplicações.
• [Gerir serviços de autenticação, autorização e identidade através de APIs REST.