Deutschland & Österreich. Kursprogramm

Transkript

1 Deutschland & Österreich Kursprogramm 2014

2 SEC consult academy portfolio Application security Management Application Security Management Kurzlehrgang CIOs, CISOs, IT-Leiter, Mitarbeiter der (Konzern)-Revision, IT-Projektcontroller, IT-Strategen, Leiter Entwicklung, Software-Architekten 4 Tage Applikation Technologie Infrastruktur Prozesse Mitarbeiter Awareness Hack it to Defend it (Software-)Entwickler, (Software-)Architekten 2 Tage Server Security für Windows Administratoren Secure Coding C/C++ 1 Tag Secure Software Development (Basic) Information Security Awareness Secure Coding für PHP Secure Coding für Android Secure Coding für.net Server Security für Linux/Unix (Software-)Entwickler, (Software-)Architekten, Experten im Bereich Qualitätssicherung 3 Tage Alle Mitarbeiter aller Unternehmensbereiche auf Anfrage Secure Coding für JAVA (Software-)Entwickler 2 Tage Administratoren 1 Tag Gültig für alle Secure-Coding-Schulungen Schulungen in Kooperation Entwicklung sicherer Webanwendungen nach BSI-Leitfäden für Auftraggeber und Auftragnehmer der öffentlichen Verwaltung Auftraggeber & Auftragnehmer der öffentlichen Verwaltung 2 Tage ISSECO certified professional for secure software engineering (CPSSE) Requirements Engineers, (Software-)Architekten, (Software-)Entwickler, Projektmanager 3 Tage ÖNORM A 7700 Informationsveranstaltung Requirements Engineers, (Software-)Architekten, (Software-)Entwickler, Projektmanager 3-4 Stunden

3 SEC Consult als Trainingspartner SEC Consult ist der führende Berater im Bereich Informations- und Applikationssicherheit. SEC Consult unterstützt führende Unternehmen und Organisationen durch Beratung und spezifische High-end-Services wie Security Quality Gates, Secure Software as a Services (SSaaS) oder Managed Vulnerability Information Services (MVIS). Mit Niederlassungen in Europa, Asien und Nordamerika zählt SEC Consult zu den Big Playern der Branche. Durchführung von 350+ Security Audits pro Jahr eigenes internes Security Labor zur Erforschung von Sicherheitsrisiken (SEC Consult Vulnerability Lab) laufende Identifizierung von 0-day -Schwachstellen zertifiziert nach ISO für höchste Sicherheit und Vertraulichkeit Mitarbeit bei der Entwicklung bekannter Standards wie OWASP, ÖNORM A 7700 und BSI-Leitfaden Veröffentlichung von innovativen, prämierten Forschungspublikationen völlige Unabhängigkeit von Produktherstellern SEC Consult Experten & Trainer sind aktive Security Spezialisten mit einschlägiger, praktischer Erfahrung sind akkreditierte Auditoren wirken bei der Erstellung nationaler und internationaler (Sicherheits-)Standards mit sind Vortragende bei internationalen Konferenzen besitzen umfassende Tool-Erfahrung und ausgeprägte Software-Entwicklungs-Skills sind Gewinner internationaler Auszeichnungen Was hinter unserem Angebot steckt interaktives Arbeiten Break-Out-Sessions Live-Hacking-Sessions interaktive Demonstrationen von Security Tools ausgewogener Medienmix aktive Erarbeitung in Kleingruppen Möglichkeit zum Networking und Informationsaustausch über Branchengrenzen hinaus Kontakt für Deutschland und Österreich SEC Consult Deutschland sec Consult Unternehmensberatung GmbH Unternehmensberatung GmbH Bockenheimer Landstraße Mooslackengasse Frankfurt/Main 1190 Wien Deutschland Österreich T T F F Anmeldungen Beratung & Verkauf Magdalena Jünger mag. (FH) Theresa Mosing Mooslackengasse 17, 1190 Wien Mooslackengasse 17, 1190 Wien T T F F academy@sec-consult.com academy@sec-consult.com

4 KURZLEHRGANG APPLICATION SECURITY MANAGEMENT In Ihrer Rolle als Führungskraft tragen Sie Verantwortung für eine oder mehrere Applikationen in Ihrer Organisation. Application Security Management umfasst die Analyse des eigenen Applikationsportfolios hinsichtlich relevanter Sicherheitsaspekte und der Entwicklung einer Schutzbedarfslandkarte. Das Anwendungsfeld reicht von aktuellen Gefährdungssituationen über die Auswahl und Weiterbildung von Mitarbeitern im Security Umfeld, sichere Software-Entwicklung bis hin zu Mobile Devices, Apps und etablierten Sicherheitsstandards. Die erlernten Methoden und Werkzeuge zur Analyse Ihres Applikationsportfolios liefern eine genaue Standortbestimmung. Sie erhalten einen Überblick der bereits gesetzten Aktivitäten und Maßnahmen, die die Sicherheit noch erhöhen könnten. IT-Governance Aktuelle Gefährdungslage, Erfahrungswerte und War Stories Auszüge aus dem Risikomanagement im Applikationsumfeld Secure Software Development Secure Software Development Process Security Requirements Security Architecture & Design Implementierungsphase Testphase Deployment & Operations Beschaffung/Procurement Apps für Mobile Devices Etablierte Security Standards und deren Anwendungsbereiche Erstellung und Analyse eines eigenen Applikationsportfolios inkl. Schutzbedarfslandkarte Applikationen entsprechend Ihres Schutzbedarfs zu beschaffen, zu entwickeln und zu betreiben Erreichung eines angemessenen Sicherheitsniveaus bei der Software-Entwicklung Kennenlernen der verfügbaren Sicherheitskontrollen und deren Anwendung Führungskräfte mit Applikationsverantwortung, CIOs, CISOs, IT-Leiter, Mitarbeiter der (Konzern-)Revision, IT-Projektcontroller, Entwicklungsleiter, (Software-)Architekten Tage Frühbucher 3.200,00 pro Person exkl. USt ,00 pro Person exkl. USt.

5 Secure Software Development Als wichtigster Treiber für Innovationen steht Software und ihre Qualität mehr denn je im Mittelpunkt des globalen Interesses. Eine Vielzahl von Sicherheitsschwachstellen und Angriffen sind auf Sicherheitslücken in Anwendungen zurückzuführen. So spielt der Sicherheitsaspekt bereits bei der Entwicklung aber auch bei der Integration von Software eine bedeutende Rolle. Die dieses Trainings erfahren, welche praktisch umsetzbaren Methoden existieren, um Entwicklungs- und Sicherheitsprozesse zu verbessern. Denn Security by Design ist für Unternehmen jeder Branche von strategischer Bedeutung und hat zunehmend Einfluss auf deren mittel- und langfristige Wettbewerbsfähigkeit. Die verstärkte Integration von Sicherheitsprozessen und -fragen in der Entwicklung und Anschaffung von Software beugt kritischen Sicherheitslücken vor. Als Projektmanager mit Applikationsverantwortung, Software-Architekt oder -entwickler kommen Sie somit dem steigenden Bedarf an verbesserter Anwendungssicherheit nach. Aktuelle Gefährdungslage, Erfahrungswerte und War Stories Threat Modeling Secure Software Development Prozess Security Requirements Security Architecture & Design Implementierungsphase Testphase Deployment & Operations Beschaffung Kennenlernen der notwendigen Aktivitäten, die in den einzelnen Phasen der sicheren Software-Entwicklung umzusetzen sind Erlernen der Entwicklungs- und Sicherheitsprozesse bei der Entwicklung sicherer Software (Software-)Entwickler, (Software-)Architekten, Qualitätssicherung Tage Frühbucher 2.070,00 pro Person exkl. USt ,00 pro Person exkl. USt. Information Security Awareness Training Inhalt und Umfang von Awareness-Trainings variieren nach Zielpublikum und werden kundenindividuell entwickelt und gestaltet. Idealerweise werden unternehmensspezifische Prozesse und Anforderungen in Betracht gezogen. Trainings zum Thema Informationssicherheit und Awareness werden auf die Anforderungen des Kunden individuell zugeschnitten und sind ausschließlich als Inhouse-Schulungen buchbar. Anfragen richten Sie bitte an: academy@sec-consult.com oder

6 Hack IT to Defend IT Awareness Der Basiskurs Hack IT to Defend IT verschafft Ihnen einen Einblick in die Methoden der sicheren Programmierung. Damit erhöhen Sie nicht nur das Sicherheitsniveau Ihrer Applikationen, sondern gleichzeitig den Schutz Ihres Unternehmens. Der Einstieg in das Thema Secure Coding schärft Ihr Bewusstsein und Ihre Wachsamkeit für die technische Sicherheit Ihrer Applikationen. Die Integration des Themas Sicherheit bereits bei der Software-Entwicklung erspart Ihnen die Mehrkosten einer nachträglichen Behebung von Sicherheitsproblemen. Einleitung Definition von Webapplikationen Systemdesign Input-Validierung Einfache Sicherheitskontrollen Verwendung vertrauenswürdiger Komponenten Fokus auf das schwächste Glied Berechtigungen Sichere Arbeitsumgebung für Webapplikationen Die sicherheitskritischen Themenbereiche Authentisierung Benutzerbasierte Authentisierung Dateneinheit-basierte Authentisierung Client Side Scripting Cross Site Scripting Attacken Datenbanken und SQL Abfragen SQL Injection Attacken File- und Information-Disclosure Metazeichen und Nullbytes Datei-Uploads und -Erzeugung Backup-Dateien Default-Passwörter Logische Fehler Kryptografie Kennenlernen der häufigsten Schwachstellen und unterschiedlicher Angriffstechniken Erlernen der Basis der sicheren Software-Programmierung, unabhängig davon, welche Technologie in Ihrem Unternehmen verwendet wird Erfahren Sie, welche Schutzmechanismen wirksam und welche weniger hilfreich sind (Software-)Architekten, (Software-)Entwickler, Experten im Bereich Qualitätssicherung Tage Frühbucher 1.380,00 pro Person exkl. USt ,00 pro Person exkl. USt.

7 SECure Coding Java, PHP,.NET oder Android Jede Technologie hat ihre Besonderheiten und somit auch typische und gefährliche Schwachstellen. Im Rahmen der technologiespezifischen Trainings werden anhand von konkreten Beispielen die CWE Top-25-Schwachstellen für die jeweilige Technologie erläutert und interaktiv ausgenutzt. Durch gezielte, realitätsgetreue Aufgabenstellungen in eigens entwickelten Beispielanwendungen werden theoretisches Know-how und praktische Umsetzung verknüpft, um den Transfer in die Organisation zu erleichtern. Durch das Training erlernen Sie Schwachstellen selbstständig ausfindig zu machen und Schwachstellen in Ihren Applikationen künftig zu vermeiden. Secure Coding ist dabei ein wesentlicher Bestandteil in der Entwicklung von Software und Web-Applikationen. Secure Coding schärft Ihr Bewusstsein und Ihre Sinne für die Sicherheit Ihrer selbstentwickelten Applikationen und/oder jene, die Sie betreuen. Grundlagen und Theorie des Secure Coding Sprachenspezifische Sicherheitsüberlegungen Input-Validierung Bereinigung von Ausgaben SQL Abfragen Aufruf externer Programme Authentisierung Autorisierung Passwort-Management Datei Upload Cross-Site Request-Forgery Kryptographie Fehler-Behandlung Sicherer Download und Updates Integer Overflow Buffer Overflow Kennenlernen der häufigsten Schwachstellen der einzelnen Technologien, unterschiedlicher Angriffstechniken und deren Abwehr Aufbau von Know-how rund um die Vor- und Nachteile der sicheren Software- Entwicklung sowie der Prävention von Angriffen Learning by doing anhand konkreter Fallbeispiele (Software-)Entwickler, (Software-)Architekten Tage Frühbucher 1.380,00 pro Person exkl. USt ,00 pro Person exkl. USt.

8 Windows Server Security 99,4 % von Malware zielt auf Windows-Systeme ab. Nahezu jedes Unternehmen speichert wertvolle und vertrauliche Daten auf einem oder mehreren Windows-File-Servern. Weniger offensichtlich ist, in welchem Maße diese Server angemessen gehärtet wurden, um die Daten vor unautorisiertem Zugriff zu sichern. Das Seminar geht besonders auf die Defense-in-Depth-Methode ein, die in der Praxis häufig angewendet wird, um sich vor zahlreichen Bedrohungen zu schützen. Diese schließt auch die sinnvolle Kombination unterschiedlicher Sicherheitsfunktionen ein. Bekannte Best Practices, wie eine strenge Passwort-Policy oder das Deaktivieren von nicht benötigten Diensten, bilden jedoch lediglich den Grundstock eines sicheren Serverbetriebs. Microsofts aktuelle Server-Betriebssysteme beinhalten bereits eine Vielzahl an möglichen Einstellungen, um ein Betriebssystem abzusichern. Das Training ermöglicht Ihnen im Austausch mit erfahrenen Sicherheitsspezialisten, Ihr Know-how im Bereich der sicheren Administration zu erweitern. Mit gezielten Maßnahmen der Härtung schützen Sie aktiv die Assets Ihres Unternehmens vor potenziellen Angreifern. Major Security Threats for Windows World Best Practices Secure Administration General Hardening Principles Patch Management Access Control (GPOs (Group Policies), UAC (User Access Control)) Monitoring and Logging Service Hardening and Service Accounts Windows Security Features and Tools Network Authentication (NTLM, Kerberos) and Credential Caching (Pass the Hash) IIS Security Einführung einer angemessenen Security-Baseline im eigenen Unternehmen Kennenlernen der häufigsten Schwachstellen der aktuellen Windows Betriebssysteme und der Methoden, um diese Fehler im eigenen Unternehmen beheben zu können Erlernen der Methoden zur Systemhärtung und dem sicheren Betrieb von Windows-Servern, insbesondere der Windows-Server 2008 R2 und Windows-Server 2012 Administratoren Tag Frühbucher 690,00 pro Person exkl. USt. 990,00 pro Person exkl. USt.

9 Linux/Unix Server Security Aufgrund der Offenheit und Flexibilität von Linux, bietet das Betriebssystem eine nahezu unendliche Auswahl an Anwendungen, Systemen, Diensten etc. Doch gerade diese Konfigurierbarkeit birgt Tücken: Jeder Parameter ist eine potenzielle Fehlerquelle und bedarf sorgfältiger Behandlung und somit angepasster Härtung. Das Seminar geht besonders auf die Defense-in-Depth-Methode ein, die in der Praxis häufig angewendet wird, um sich vor zahlreichen Bedrohungen zu schützen. Diese schließt auch die sinnvolle Kombination unterschiedlicher Sicherheitsfunktionen ein. Bekannte Best Practices, wie eine strenge Passwort-Policy oder das Deaktivieren von nicht benötigten Diensten, bilden jedoch lediglich den Grundstock eines sicheren Serverbetriebs. Das Training ermöglicht Ihnen im Austausch mit erfahrenen Sicherheitsspezialisten, Ihr Wissen im Bereich der sicheren Administration von Linux-/Unix-Servern zu erweitern. Mit gezielten Maßnahmen der Härtung schützen Sie aktiv die Assets Ihres Unternehmens vor potenziellen Angreifern. Major Security Threats in der Linux/Unix Welt Best Practices Secure Administration General Hardening Principles Absicherung des File-Systems und Verbesserung der Zugriffskontrollmechanismen Local Network Security Themen Verbreitete Security-Fallen bei der Konfiguration von typischen Linux Services (z.b. SSH, NFS, X11 und SNMP) Patch Management Einführung einer angemessenen Security-Baseline im eigenen Unternehmen Kennenlernen der häufigsten und schwerwiegendsten Sicherheitsbedrohungen in der Linux-/Unix-Welt und der Methoden, die den bestmöglichen Schutz davor bieten Erlernen der Methoden zur Systemhärtung und dem sicheren Betrieb von Linux-/Unix-Servern Administratoren Tag Frühbucher 690,00 pro Person exkl. USt. 990,00 pro Person exkl. USt.

10 Kooperationsschulungen Entwicklung sicherer Webanwendungen nach BSI-Leitfaden für Auftraggeber der öffentlichen Verwaltung Dieses Seminar behandelt den im Jahr 2013 vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammen mit SEC Consult herausgegebenen Leitfaden zur Entwicklung sicherer Webanwendungen Empfehlungen und Anforderungen an Auftraggeber aus der öffentlichen Verwaltung. Da Dienstleistungen der öffentlichen Verwaltungen zunehmend auf Webanwendungen basieren, ist die Integration von Sicherheitsthemen in den Ausschreibungsprozess von großer Bedeutung. Denn sicherheitsspezifische Vorgaben hinsichtlich der Konzeption, der Umsetzung und des Betriebs werden teilweise erst im Rahmen des Projektes erarbeitet. Als Folge sind Webanwendungen häufig mit Sicherheitslücken behaftet, die Angreifern entsprechende Zugriffsmöglichkeiten bieten. Der Leitfaden vermittelt Ihnen das notwendige Fachwissen, um Sicherheitsanforderungen in Ausschreibungen aufzunehmen und die entsprechende Umsetzung durch Auftragnehmer einzufordern. Die Schulung vermittelt Ihnen das nötige Rüstzeug, (potenzielle) Auftrag- nehmer anhand von Leistungskriterien vor, während und nach dem Projektstart objektiv zu bewerten. Gefährdungspotenzial und Ursachen unsicherer Software Vergabephase Ermittlung des Schutzbedarfs Erläuterung des Ausschreibungsverfahrens Überprüfung der Vorgaben an den Entwicklungsprozess Kennenlernen der Inhalte des BSI-Leifadens Fachwissen aufbauen, um Sicherheitsvorgaben in Ausschreibungen aufnehmen und die entsprechende Anforderungs-Umsetzung durch die Auftragnehmer überprüfen zu können Erhöhung des Sicherheitsniveaus, Verbesserung der Softwarequalität und nachhaltige Vermeidung von Sicherheitslücken Auftraggeberseite der öffentlichen Verwaltung. Projekt-, Fach- und IT-Sicherheitsverantwortliche und Verantwortliche von Behörden (technischer Einkauf, Projekt- Manager, Qualitätssicherung) Ab 8 2 Tage 990,00 pro Person exkl. USt. Entwicklung sicherer Webanwendungen nach BSI-Leitfaden für Auftragnehmer der öffentlichen Verwaltung Dieses Seminar behandelt den im Jahr 2013 vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammen mit SEC Consult herausgegebenen Leitfaden zur Entwicklung sicherer Webanwendungen Empfehlungen und Anforderungen an die Auftragnehmer. Bereits im Zuge der Ausschreibung können Auftraggeber von potenziellen Auftragnehmern sicherheitsrelevante Aktivitäten in Bezug auf die Software-Entwicklung einfordern. Das Training behandelt die Inhalte des Leitfadens und unterstützt Sie in (öffentlichen) Ausschreibungsprozessen, die Sicherheit der von Ihnen entwickelten Webanwendungen nach Vorgaben des Auftraggebers effizient zu erhöhen. Die Erkenntnisse aus dem Seminar helfen Ihnen, schrittweise einen neuen Entwicklungsprozess in Ihrer Organisation einzuführen. Durch die im Seminar vermittelten Inhalte sind Sie in der Lage, den Ausschreibungs- und Abnahmeprozess für sicherheitsrelevante Software erfolgreich zu meistern. Gefährdungspotenzial und Ursachen unsicherer Software Abgrenzung zu bestehenden Security Standards und Best Practices Vorgaben an den sicheren Entwicklungsprozess Kennenlernen der Inhalte des BSI-Leitfadens Vermeidung sowie frühzeitige Beseitigung von Sicherheitslücken Erkennen der umzusetzenden Aktivitäten in den einzelnen Phasen der sicheren Software-Entwicklung Erlernen, den eigenen Software-Entwicklungsprozess zu bewerten und zu verbessern Potenzielle Auftragnehmer und Projekt-, Fachund IT-Sicherheitsverantwortliche Ab 8 2 Tage 990,00 pro Person exkl. USt.

11 Kooperationsschulungen Zertifikatsschulung ISSECO Certified Professional for Secure Software Engineering (CPSSE) Eine Vielzahl an Sicherheitsschwachstellen und Angriffen ist auf Sicherheitslücken, die bei der Software-Entwicklung entstehen, zurückzuführen. Durch die verstärkte Integration des Sicherheitsaspekts in den Software Development Lifecycle lassen sich bereits viele Lücken und Schwachstellen vermeiden. Nach der Schulung sind Sie in der Lage, typische Fehler bei der Software-Entwicklung, die im Betrieb der Software potenziell zu Angriffen führen, rechtzeitig als solche zu erkennen und zu beseitigen. Dadurch wird das Sicherheitsniveau Ihrer entwickelten Produkte nachhaltig erhöht. Mit Absolvierung einer unabhängigen Prüfung (isqi) zum ISSECO Certified Professional for Secure Software Engineering erhalten Sie als Qualifikationsnachweis ein international standardisiertes Zertifikat (Die Prüfung ist nicht Teil des Trainings). Einführung in das Thema Software-Sicherheit Gängige Angriffsmöglichkeiten Software Development Lifecycle Messbarkeit des Sicherheitsniveaus Praxiserprobte Mechanismen zum Schutz vor internen und externen Angreifern Kennenlernen der Prozesse bei der sicheren Software-Entwicklung Erlernen der wichtigsten Tools zur Vermeidung von typischen Fehlern bei der Software-Entwicklung Entwicklungs- und Sicherheitsprozesse im eigenen Unternehmen nachhaltig verbessern Alle Beteiligten im Software-Entwicklungsprozess wie Requirements Engineers, (Software-)Architekten, (Software-)Entwickler, Projektmanager u. a Tage Frühbucher 2.500,00 pro Person exkl. USt ,00 pro Person exkl. USt. ÖNORM A 7700 Informationsveranstaltung In dieser ganzheitlichen Einführung in die ÖNORM A 7700 werden den n die wesentlichen Inhalte sowie die Anwendungsmöglichkeiten der Norm vermittelt. Des Weiteren wird im Training die Abgrenzung zu anderen etablierten Standards gezogen, wodurch die in der Lage sind, Synergieeffekte bei der Kombination der ÖNORM A 7700 und anderen Standards wie z.b. ISO oder PCI-DSS zu nutzen. Nach absolviertem Training sind die im Stande, die ÖNORM A 7700 bestmöglich für ihre individuellen einzusetzen und den optimalen daraus zu ziehen. Guter Einblick in die Inhalte der ÖNORM A 7700 Sie erfahren, welche Vorkehrungen bereits in der Entwicklung getroffen werden können. Sicherheitsprobleme bei Webanwendungen Geschichte der ÖNORM A 7700 Positionierung der ÖNORM A 7700 Integrationsvarianten für unterschiedliche Anwendungsgebiete Synergie-Effekte mit ISO Synergie-Effekte mit PCI-DSS Synergie-Effekte mit BSI Grundschutz Sichere Software-Entwicklung mit ÖNORM A 7700 Beschaffung von sicheren Webanwendungen Checkliste für die Einführung der ÖNORM A 7700 Ablauf einer Zertifizierung Einblick in den Prüfkatalog Kennenlernen jenen Standards, anhand derer Webapplikationen gemessen werden können Erfahrungen aus der Praxis mit einem akkreditierten Auditor diskutieren Die ÖNORM A 7700 für die Entwicklung und Beschaffung von Webanwendungen sinnvoll einsetzen Alle Beteiligten im Software-Entwicklungsprozess wie Requirements Engineers, (Software-)Architekten, (Software-)Entwickler, Projektmanager u. a. Ab Stunden 75,00 pro Person exkl. USt.

12 Vienna Frankfurt/Main Montreal Singapore Vilnius