Deutschland & Österreich. Kursprogramm

Transkript

1 Deutschland & Österreich Kursprogramm 2015

2 SEC consult academy portfolio Application security Management Application Security Management Kurzlehrgang CIOs, CISOs, IT-Leiter, Mitarbeiter der (Konzern-)Revision, IT-Projektcontroller, IT-Strategen, Entwicklungsleiter, Software-Architekten 3 Tage Technologie Prozesse Inhouse Schulungen Windows Security Administratoren 1 Tag Hack it to Defend it Hacking and Secure Coding Training Generic JAVA PHP.NET (Software-)Entwickler, (Software-)Architekten 2 Tage/Training Sichere Webanwendungen in der öffentlichen Verwaltung Auftraggeber, potenzielle Auftragnehmer, Projekt-, Fach- und IT-Sicherheitsverantwortliche 1,5 Tage T.E.S.S. Sichere Systeme dank System Security Engineering Sicherheitsbeauftragte, Entwickler, Produkt- und Systemingenieure 4 Tage ISSECO Certified Professional for Secure Software Engineering (CPSSE) Alle Beteiligten im Softwareentwicklungsprozess: Engineers, (Software-)Architekten, (Software-) Entwickler, Projektmanager 3 Tage Maßgeschneiderte Trainings auf Anfrage Ethical Hacking Writing Secure Code for C/C++ Linux/Unix Security Reverse Engineering IT-Forensik Security Awareness Training Informationssicherheitsrisiken effektiv managen Threat Modeling Mitarbeiter aller Unternehmensbereiche auf Anfrage

3 SEC Consult als Trainingspartner SEC Consult ist der führende Berater im Bereich Informations- und Applikationssicherheit und unterstützt führende Unternehmen und Organisationen durch Beratung und spezifische High-End-Services wie Security Quality Gates, Secure Software as a Service (SSaaS) oder Managed Vulnerability Information Services (MVIS). Mit Niederlassungen in Europa, Asien und Nordamerika zählt SEC Consult zu den Big Playern der Branche. Durchführung von mehr als 350 Security Audits pro Jahr eigenes internes Security Labor zur Erforschung von Sicherheitsrisiken (SEC Consult Vulnerability Lab) laufende Identifizierung von Zero-Day-Schwachstellen zertifiziert nach ISO für höchste Sicherheit und Vertraulichkeit Mitarbeit bei der Entwicklung bekannter Standards wie OWASP, ÖNORM A 7700 und des BSI-Leitfadens Veröffentlichung von innovativen, prämierten Forschungspublikationen völlige Unabhängigkeit von Produktherstellern SEC Consult s Experten & Trainer sind aktive Security Spezialisten mit einschlägiger, praktischer Erfahrung sind akkreditierte Auditoren wirken bei der Erstellung nationaler und internationaler (Sicherheits-)Standards mit sind renommierte Speaker bei internationalen Konferenzen besitzen umfassende Tool-Erfahrung und ausgeprägte Softwareentwicklungsskills sind Preisträger internationaler Auszeichnungen Was hinter unserem Angebot steckt interaktives Arbeiten Break-Out-Sessions Live-Hacking-Sessions interaktive Demonstrationen von Security Tools ausgewogener Medienmix interaktives Arbeiten in Kleingruppen Möglichkeit zum Networking und Informationsaustausch über Branchengrenzen hinweg Kontakt Headquarter sec Consult SEC Technologies GmbH Unternehmensberatung GmbH Friedrichstraße 140 Mooslackengasse Berlin 1190 Wien Deutschland Österreich T +49 (69) T F +49 (69) F Anmeldungen Beratung & Verkauf Magdalena Jünger mag. (FH) Theresa Mosing Mooslackengasse 17, 1190 Wien Mooslackengasse 17, 1190 Wien T T F F academy@sec-consult.com academy@sec-consult.com

4 KURZLEHRGANG APPLICATION SECURITY MANAGEMENT Application Security Management (ASM) beschreibt die notwendigen Prozesse und Richtlinien um sicherzustellen, dass alle Anwendungen und die zugehörigen IT-Systeme innerhalb einer Organisation entsprechend ihrer Wichtigkeit und der Kritikalität der involvierten Geschäftsprozesse beschafft, entwickelt und betrieben werden. Im Lehrgang werden ein Managementsystem und dessen entsprechende Vorbedingungen erarbeitet, die sich nahtlos in ein bestehendes Information Security Management System (ISMS) nach ISO integrieren lassen. Dadurch wird sichergestellt, dass Sicherheitsinvestitionen zielgerichtet und angemessen erfolgen. Neben den Grundlagen zur sicheren Softwareentwicklung und zum sicheren Betrieb wird auch Hintergrundwissen zu Untersuchungsmethoden und möglichen zusätzlichen Sicherheitsmaßnahmen vermittelt. Nutzen Die erlernten Methoden und Werkzeuge zur Analyse Ihres Applikationsportfolios liefern eine genaue Standortbestimmung. Sie erhalten einen Überblick über die bereits durchgeführten Aktivitäten und Maßnahmen, die die Sicherheit noch erhöhen können. Inhalt Introduction SEC Consult Overview ASM Roadmap Why security matters Management Processes 99Strategy 99Application Portfolio Management 99Human Resources 99Process Management 99Quality Management 99Security Management / ISMS Project Processes 99Make Requirements Architecture and Design Secure Development Verification Deployment 99Buy/Procurement Operation Processes 99Security Operations 99Continuous Assessment 99Patch Management 99Incident Management Methods to implement ASM Erstellung und Analyse eines eigenen Applikationsportfolios inkl. Schutzbedarfslandkarte Beschaffung, Entwicklung und Betrieb von Applikationen entsprechend Ihres Schutzbedarfs Erreichung eines angemessenen Sicherheitsniveaus bei der Softwareentwicklung Kennenlernen der verfügbaren Sicherheitskontrollen und deren Anwendung Führungskräfte mit Applikationsverantwortung, CIOs, CISOs, IT-Leiter, Mitarbeiter der (Konzern-)Revision, IT-Projektcontroller, Entwicklungsleiter, (Software-)Architekten Teilnehmer Teilnehmer 3 Tage Kosten 1.850,00 pro Person exkl. USt. (In Deutschland findet der Kurzlehrgang in Kooperation mit unserem Partner qskills statt.)

5 Windows Security Malware zielt vor allem auf Windows-Systeme ab. Nahezu jedes Unternehmen speichert wertvolle und vertrauliche Daten auf einem oder mehreren Windows-File-Servern. Weniger offensichtlich ist, ob und in welchem Ausmaß diese Server angemessen gehärtet wurden, um die Daten vor unautorisiertem Zugriff zu sichern. Das Seminar geht besonders auf die Defense-in-Depth-Methode ein, die in der Praxis häufig angewendet wird, um sich vor zahlreichen Bedrohungen zu schützen. Diese schließt auch die sinnvolle Kombination unterschiedlicher Sicherheitsfunktionen ein. Bekannte Best Practices, wie eine strenge Passwort-Policy oder das Deaktivieren von nicht benötigten Diensten, bilden jedoch lediglich die Basis eines sicheren Serverbetriebs. Microsofts aktuelle Server-Betriebssysteme beinhalten bereits eine Vielzahl möglicher Einstellungen, um ein Betriebssystem abzusichern. Nutzen Das Training ermöglicht Ihnen im Austausch mit erfahrenen Sicherheitsspezialisten, Ihr Know-how im Bereich der sicheren Administration zu erweitern. Mit gezielten Maßnahmen der Härtung schützen Sie die Assets Ihres Unternehmens aktiv vor potenziellen Angreifern. Inhalt Major Security Threats for Windows World Best Practices Secure Administration General Hardening Principles Patch Management Access Control (GPOs (Group Policies), UAC (User Access Control)) Monitoring and Logging Service Hardening and Service Accounts Windows Security Features and Tools Network Authentication (NTLM, Kerberos) and Credential Caching (Pass the Hash) Kennenlernen der häufigsten Schwachstellen der aktuellen Windows Betriebssysteme und der Methoden, um diese Fehler im eigenen Unternehmen beheben zu können Erlernen der Methoden zur Systemhärtung und zum sicheren Betrieb von Windows-Servern, insbesondere der Windows-Server 2008 R2 und Windows-Server 2012 Administratoren Teilnehmer 8 12 Teilnehmer 1 Tag Kosten 690,00 pro Person exkl. USt.

6 HACK IT TO DEFEND IT HACKING UND SECURE CODING TRAINING Jede Technologie und Programmiersprache hat spezifische Eigenschaften und ist unterschiedlich gefährlichen Schwachstellen ausgesetzt. Je nach Training können Ihre Mitarbeiter entweder erste Einblicke in das Thema Angriffs- und Secure-Coding-Techniken gewinnen oder im Zuge unserer technologie- und sprachenspezifischen Awareness-Trainings ihr Wissen vertiefen. In konkreten Fallbeispielen werden Top-Angriffsvektoren und -klassen sowie entsprechende Exploits zu jeder Technologie und Programmiersprache demonstriert. Die Trainings fördern mit ihren spezifischen und realistischen Demos von eigens entwickelten Beispielanwendungen die Verknüpfung von theoretischem Wissen und praktischer Umsetzung. Die Teilnehmer erhalten dadurch das Rüstzeug, um die erlernten Methoden in das eigene Arbeitsumfeld und damit in Ihre Organisation zu transferieren. Nutzen Bewusstseinsschärfung Ihrer Mitarbeiter in Hinblick auf Präventivmaßnahmen & Security Awareness Ihre Mitarbeiter sind in der Lage, Schwachstellen in Applikationen selbstständig zu identifizieren und diese weitgehend zu vermeiden Secure Coding als Schlüsselkomponente in der Entwicklung hochqualitativer Software und Webapplikationen Aus dem Inhalt Allgemeine Awareness 99Vorgehensweise von Angreifern 99Aktuelle Bedrohungen 99War Stories Grundlagen des Secure Codings Top-Angriffstechniken und wie man diese vermeiden/beheben kann Input validation 99Streamlining output 99SQL queries 99Running external programs 99Authentication & Authorization 99Password management 99File upload 99Cross-site request forgery 99Cryptography 99Error handling 99Secure download and updates 99Integer overflow (Buffer overflow) Technologiespezifische Security Concerns (Beispiele für Java, PHP,.NET) Fallbeispiele Kennenlernen der bekanntesten Sicherheitsbedrohungen und Angriffsszenarien, deren Auswirkungen und Prävention sowie Angriffsvermeidung Kennenlernen technologiespezifischer Aspekte und Security Concerns Einstieg ins Thema Secure Coding für ausgewählte Technologien und Programmiersprachen, Vor- und Nachteile, Angriffsvermeidung Learning by Doing mit konkreten Fallbeispielen

7 Die Schulung Hack IT to Defend IT wird in unterschiedlichen Varianten angeboten: hack it to defend it generic Das Secure Coding Training Generic ist technologie- und sprachenunabhängig. Die Inhalte finden Sie auf Seite 6. hack it to defend it PHP In den Trainings werden neben generischen Schwachstellen spezifische Problemstellungen in der jeweiligen Programmiersprache behandelt und in Live-Hacking-Challenges vertieft. Equal and identity operator Object injection Random functions in PHP File inclusion hack it to defend it JAVA In den Trainings werden neben generischen Schwachstellen spezifische Problemstellungen in der jeweiligen Programmiersprache behandelt und in Live-Hacking-Challenges vertieft. Jar Signing Applets Classloader Java Security Manager Java Authentication and Authorization Services RMI (Remote Method Invocation) Takeaway Messages hack it to defend it.net In den Trainings werden neben generischen Schwachstellen spezifische Problemstellungen in der jeweiligen Programmiersprache behandelt und in Live-Hacking-Challenges vertieft. Code signing (strong names vs. signatures) AppDomains Silverlight.NET Membership API Software-Architekten, IT-Management bzw. QA-Mitarbeiter mit technischem Know-how, JAVA-, PHP- und.net-entwickler Teilnehmer 8 12 Teilnehmer 2 Tage pro Training Kosten 1.280,00 pro Person & Modul exkl. USt.

8 Sichere Webanwendungen in der öffentlichen Verwaltung Vergabe, Entwicklung und Abnahme Dieses Seminar zeigt mögliche Sicherheitslücken in Webanwendungen auf und gibt Empfehlungen zu entsprechenden IT-Sicherheitsanforderungen, die bei der Ausschreibung und Entwicklung berücksichtigt werden sollten. Außerdem wird beschrieben, wie ein entsprechender Softwareentwicklungsprozess aussehen sollte und wie die Einhaltung von IT-Sicherheitsanforderungen überprüft werden kann. Die Seminarinhalte orientieren sich dabei an den beiden Leitfäden zur Entwicklung sicherer Webanwendungen, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegeben hat. Nutzen Anhand von Praxisbeispielen werden die Grundlagen für die Beauftragung, Projektierung, Entwicklung und Abnahme sicherer Webanwendungen vermittelt. Die erworbenen Kenntnisse helfen den Teilnehmern dabei: IT-Sicherheitsanforderungen nach dem Stand der Technik in Projektplanungen und Vergabeunterlagen für Webanwendungen zu integrieren, die Eignung potenzieller Auftragnehmer anhand von Leistungskriterien bereits vor dem Projektstart zu bewerten, die Leistungserbringung von Auftragnehmern während einer Vergabe und bei Projektumsetzung anhand von Quality Gates zu bewerten, IT-Sicherheitsanforderungen im Entwicklungsprozess zu implementieren und umzusetzen, den Reifegrad eines Entwicklungsprozesses zu bestimmen und zu erhöhen, den Abnahmeprozess für sichere Webanwendungen erfolgreich durchzuführen. Inhalt Einleitung 99Rückblick auf erfolgreiche Hacks 99Mit Mythen aufräumen 99Kategorisierung von Angreifern 99Demonstration von Vorgehensweisen von Angreifern 99Definition von Sicherheit Sichere Softwareentwicklung 99Bewertung eines sicheren Entwicklungsprozesses (Secure Development Lifecycle SDL) 99Umsetzung eines SDLs in einem Unternehmen 99Unterstützung durch Roadmaps bei der Umsetzung 99Definition angemessener Sicherheit 99Identifikation naheliegender Aktionsmöglichkeiten ( Low Hanging Fruits ) 99Erstellen von Sicherheitsrichtlinien Vergabephase 99Ausschreibungsverfahren von Webanwendungen 99Leistungskriterien und Quality Gates 99Bewertung von Auftragnehmern 99Bewertung anhand von Reifegraden 99Bestimmung des Schutzbedarfs einer Webanwendung

9 SDL-Aktivitäten und -Umsetzung sowie Abnahmekriterien 99Durchführen einer Anforderungsanalyse 99Erstellen eines Sicherheitsprojektplans 99Erstellen einer Datenbehandlungsstrategie 99Erstellen von Abuse Cases 99Erstellen einer Sicherheitsarchitektur 99Durchführen einer Bedrohungsmodellierung 99Software-Sicherheits-Metriken 99Sicherer Umgang mit Source Code 99Secure Coding Standards 99Überblick über Testverfahren (Design Review, Code Review, Penetrationstest etc.) 99Sichere Auslieferung von Software 99Plattformhärtung 99Änderungsmanagement 99Security Response Vorgaben zur Implementierung 99Design-Prinzipien 99Datenvalidierung 99Kryptografie 99Authentisierung und Sessions 99Datenhaltung und -transport Abschlussdiskussion und individuelle Fragestellungen Vermeidung bzw. frühzeitige Beseitigung von Sicherheitslücken Erkennen der umzusetzenden Aktivitäten in den einzelnen Phasen der sicheren Softwareentwicklung Lernen, den eigenen Softwareprozess zu bewerten und zu verbessern Aufbau von Fachwissen, um Sicherheitsvorgaben in Ausschreibungen aufzunehmen und die entsprechende Anforderungsumsetzung durch die Auftragnehmer überprüfen zu können Erhöhung des Sicherheitsniveaus, Verbesserung der Softwarequalität und nachhaltige Vermeidung von Sicherheitslücken Auftraggeber in der öffentlichen Verwaltung (technischer Einkauf, Projektmanager, QS), Projekt-, Fach- und IT-Sicherheitsverantwortliche in Behörden und Unternehmen, die selbst sichere Webanwendungen entwickeln bzw. die Sicherheit von Webanwendungen bewerten sollen. Auftragnehmer (Hersteller, Dienstleister etc.), die sich an Ausschreibungen beteiligen. Teilnehmer Teilnehmer 1,5 Tage Kosten 890,00 pro Person exkl. USt. (Die Schulung findet in Kooperation mit der Cyber Akademie statt.)

10 ZERTIFIKAT T.E.S.S. SICHERE SYSTEME DANK SYSTEM SECURITY ENGINEERING Mit dem unabhängigen Expertenzertifikat TeleTrust Engineer for System Security (T.E.S.S.) erweitern Sie Ihre Expertise auf dem Gebiet der Informationssicherheit um eine entscheidende Qualifikationskomponente. Die Absolvierung der T.E.S.S.-Zertifizierung ermöglicht es Ihnen, Informationssicherheit auch im Bereich Entwicklung und Entwicklungsprozesse kompetent zu vertreten. Der T.E.S.S. ist ein aktiver Beitrag zur Qualitätsverbesserung von Produkten, IT-Lösungen und Dienstleistungen Ihres Unternehmens. Als Inhaber des T.E.S.S. entsprechen Ihre Kenntnisse dem Wunsch von Unternehmen und Institutionen nach standardisierten, nachvollziehbaren Qualifikationsnachweisen. Nutzen Mit dem T.E.S.S. belegen Sie, dass Sie in der Lage sind, das Konzept Security by Design auf die Entwicklung unterschiedlichster Systeme anzuwenden und damit Sicherheit angemessen und erfolgreich implementieren zu können. Das Zertifikat betont die universelle Einsetzbarkeit dieser Qualifikation, unabhängig davon, ob es sich um Produkte, IT-Lösungen, IT-Services oder komplexe Großsysteme handelt. Inhalt Allgemeine Einführung Why security matters 99Betrachtung der aktuellen Bedrohungslandschaft 99Diskussion bekannter Sicherheitsvorfälle 99Identifikation potenzieller Angreifer und deren Vorgehensweisen 99Durchspielen fiktiver Angriffsszenarien Applikationssicherheit 99Bedeutung von Sicherheit in Bezug auf die Entwicklung und den Betrieb von Applikationen 99Vorstellung ausgewählter relevanter Angriffstechniken 99Live-Hacks 99Application Security Management Prozesse Management-Prozesse 99Strategie 99Application Portfolio Management 99Human Resources Rollen, Verantwortlichkeiten, Auswahlverfahren, Weiterbildung und Zertifizierungen 99Prozess- und Qualitätsmanagement 99Security Management/ISMS Begriffsdefinitionen Sichere Applikationen durch ISMS und Risikomanagement ROSI (Return on Security Investment): Kosten/Nutzen von Sicherheit Schutzbedarfsbestimmung Rechtliche Anforderungen und Vorgaben durch diverse Standards Make or Buy -Entscheidungen Software-Lifecycle 99Requirements Definition von Sicherheitsanforderungen Misuse- and Abuse-Cases 4 Tage 99Architecture and Design Design Principles Design Patterns Bedrohungsmodellierung Sicherheitsbeauftragte, Entwickler, Produktund Systemingenieure Teilnehmer 8 12 Teilnehmer Kosten 2.675,00 pro Person exkl. USt.

11 99Secure Development Secure Coding Integrated Testing Code Quality Metriken Live-Hacks: Vorstellung typischer sicherheitsrelevanter Programmierfehler 99Verification Statische Sicherheitstests (manuell und automatisiert) Dynamische Sicherheitstests (manuell und automatisiert) Abnahmekriterien Zertifizierungen und Standards für Tests und Abnahme 99Deployment Code-Signing-Prozess Sicherer Umgang mit Source Code 99Operation Processes Ausgewählte Themen zum sicheren Betrieb Patch, Incident und Vulnerability Management Zusammenfassung der einzelnen Kapitel Diskussion offener Fragen Informationen zur Prüfung Alle T.E.S.S.-Prüfungen finden unter der Leitung eines unabhängigen Prüfers von PersCert TÜV, einem Tochterunternehmen des TÜV Rheinland, statt. Dieser prüft die Zulassungsvoraussetzungen, führt die Prüfung durch, wertet sie aus und stellt nach bestandener Prüfung das T.E.S.S.-Zertifikat aus. Prüfungszulassung und Anmeldung Zulassungsvoraussetzung ist die Teilnahme an der viertägigen Schulung T.E.S.S. Sichere Systeme dank System Security Engineering. SEC Consult ist dabei ein anerkannter Schulungsanbieter in Deutschland und Österreich. Mit der Anmeldebestätigung für die Schulung erhalten Sie auch gleichzeitig das Anmeldeformular für die Prüfung von SEC Consult zugeschickt. Die Anmeldung zur Prüfung müssen Sie gesondert beim PersCert TÜV tätigen, da Ihnen die Prüfungskosten von PersCert TÜV gesondert in Rechnung gestellt werden. Prüfungsablauf und -inhalte Die Prüfung findet am Nachmittag des letzten Schulungstages statt. Das Ablegen der Prüfung zu einem späteren Termin ist ebenfalls möglich. Die Prüfung dauert 90 Minuten. In Form eines Multiple-Choice-Tests werden insgesamt 60 Fragen gestellt. Hilfsmittel sind nicht zugelassen. Es werden ausschließlich Themen der Schulung abgefragt.

12 ISSECO - Certified Professional for Secure Software Engineering Eine Vielzahl an Schwachstellen und Angriffen ist auf Sicherheitslücken zurückzuführen, die bei der Softwareentwicklung entstanden sind. Durch die verstärkte Integration des Sicherheitsaspekts in den Software Development Lifecycle lassen sich viele Lücken und Schwachstellen vermeiden. Nutzen Nach der Schulung sind Sie in der Lage, typische Fehler bei der Softwareentwicklung, die im Betrieb der Software zu Angriffen führen können, rechtzeitig als solche zu erkennen und zu beseitigen. Dadurch wird das Sicherheitsniveau Ihrer entwickelten Produkte nachhaltig erhöht. Mit der Absolvierung einer unabhängigen Prüfung (isqi) zum ISSECO Certified Professional for Secure Software Engineering erhalten Sie als Qualifikationsnachweis ein international standardisiertes Zertifikat. Die Prüfung ist nicht Teil des Trainings. Inhalt Einführung in das Thema Softwaresicherheit Gängige Angriffsmöglichkeiten Software Development Lifecycle Messbarkeit des Sicherheitsniveaus Praxiserprobte Mechanismen zum Schutz vor internen und externen Angreifern Kennenlernen der Prozesse bei der sicheren Softwareentwicklung Erlernen der wichtigsten Tools zur Vermeidung von typischen Fehlern bei der Softwareentwicklung Nachhaltige Verbesserung der Entwicklungs- und Sicherheitsprozesse im eigenen Unternehmen Zertifikatsschulung Alle Beteiligten im Softwareentwicklungsprozess wie Requirements Engineers, (Software-) Architekten, (Software-)Entwickler, Projektmanager u. a. Teilnehmer 8 12 Teilnehmer 3 Tage Kosten 1.850,00 pro Person exkl. USt.

13 Inhouse Schulungen Ethical Hacking Das SEC Consult Ethical Hacking Training ist als 5-Tages - Training konzipiert. Ziel ist, den Teilnehmern einen umfassenden Einblick in die volle Bandbreite des Ethical Hackings zu geben. Diese reicht von Low-Level- Angriffstechniken wie Buffer Overflows über Mobile Security bis hin zu High-Level-Angriffstechniken auf Webseiten. Nach jedem Themenabschnitt werden die gelernten Inhalte anhand eines Praxisbeispiels vertieft. Im Training erlernen die Teilnehmer die Basistechniken des Ethical Hackings und verfügen damit über alle Grundlagen, die ein Penetrationtester aus technischer Sicht kennen muss. Inhalt Awareness Building & War Stories Introduction to Ethical Hacking Ethical Hacking Techniques for High Level Languages (Web Application/Server Hacking) Ethical Hacking Techniques for Low Level Languages (Application Hacking) Ethical Hacking Techniques for Mobile Platforms Network Hacking Advanced Persistent Threats Best Practices on How to Write Secure Code Entwickler IT-Interessierte mit Entwickler-Background Nach Kundenwunsch Writing Secure Code for C/C++ Im Rahmen der Writing Secure Code for C/C++ Schulung erhalten die Teilnehmer einen Überblick der Top- Schwachstellen und lernen die entsprechenden Angriffstechniken kennen. Nach Kursabschluss sind die Teilnehmer in der Lage, sicheren Code zu schreiben und Schwachstellen in existierenden Codes zu identifizieren sowie zu beheben. Inhalt Basics in Assembler Umgang mit Debuggern CWE Top 25 mit für C/C++ relevanten Beispielen Häufige, für C/C++ spezifische Schwachstellen Gängige Angriffstechniken (Buffer Overflow, Format String, Use After Free, ROP) Allgemeine Schutzmechanismen von Betriebssystemen (ASLR, DEP, Stack Cookies, EMET,...) Analyse von Real World C/C++ Schwachstellen Umgang mit den wichtigsten Debuggern Erkennen der relevantesten Angriffstechniken Identifizieren der häufigsten sicherheitskritischen Schwachstellen in C/C++ und der Methoden, um diese zu vermeiden C/C++ Entwickler Forensiker IT-Interessierte mit Entwickler-Background Nach Kundenwunsch

14 Inhouse Schulungen Reverse Engineering IT-Forensik In der Schulung werden die Grundlagen von Assembler besprochen, der Umgang mit Debuggern (GDB, ImmunityDbg und WinDbg) geübt sowie der Einsatz von IDA Pro als Disassembler gezeigt. Anhand zahlreicher Praxisbeispiele wird der Umgang mit den Tools gemeinsam vertieft. Inhalt Calling Conventions Allgemeine Schutzmechanismen von Betriebssystemen Ausnutzen von Schwachstellen in der Kategorie Memory Corruptions Erläuterung dynamischer Analysemethoden, um das Verhalten einer Software analysieren und bewerten zu können Umgang mit den wichtigsten Reversing-Programmen Identifikation von schadhafter Software Auffinden sicherheitskritischer Schwachstellen und deren Ausnutzung Forensiker Personen, die Schwachstellen in lokalen Applikationen suchen Nach Kundenwunsch Security Awareness Training DU bist die wichtigste Sicherheitsmaßnahme DU hast was angeklickt? Mein Unternehmen wurde gehackt! Ja, und? Unternehmen investieren viel Geld in Technik. Technik allein löst jedoch keine Probleme. Mindestens genauso wichtig ist die Investition in den Faktor Mensch. Ein sensibilisierter und geschulter Mitarbeiter weiß, wie er sich in bestimmten Situationen zu verhalten hat und ist somit die beste Sicherheitsmaßnahme. Dieses Seminar wird genau auf Ihre Unternehmensanforderungen zugeschnitten und generiert damit maximalen Nutzen für die gesamte Organisation. Die Lernziele können beliebig angepasst und erweitert werden. Mögliche Inhalte Überblick über erfolgreiche Hacker-Angriffe erhalten Auswirkungen von Hacker-Angriffen verstehen Erläutern der Vorgehensweise von Hackern der Informationssicherheit verstehen Die eigenen Unternehmensregelungen kennenlernen und verstehen Phishing Mails, Spam Mails Advanced Persistent Threats Grundlegende Sicherheitsmaßnahmen Umgang mit Externen Mobile Device Security Mitarbeiter aller Unternehmensbereiche Nach Kundenwunsch

15 Inhouse Schulungen Informationssicherheitsrisiken effektiv managen Organisationen stehen vor der Herausforderung, dass über die Jahre gewachsene Unternehmensstrukturen immer komplexer werden. Um Informationssicherheitsrisiken in dieser Komplexität zu erkennen, bedarf es eines umfassenden IS-Risikomanagements. Dieses Seminar stellt eine einfache und vielfach in der Praxis erprobte Vorgehensweise vor und erläutert die notwendigen Hintergründe. Verstehen der Vorteile eines effektiven IS-Risikomanagements Kennenlernen methodischer Grundlagen Kennenlernen der Vorgehensweise, wie eine komplexe Unternehmensstruktur in ein einfaches Risikomodell gegossen werden kann Verstehen der Vorgehensweise zur Identifizierung und Behandlung von IS-Risiken Aufbereiten von IS-Risiken, um der Führungsebene ein effektives Managen von IS-Risiken zu ermöglichen CSO, CISO, ISO, Security Manager Risk Manager Mitarbeiter mit Schwerpunkt Security Risikomanagement-Interessierte Nach Kundenwunsch Threat Modeling Bedrohungsmodellierung ist ein Prozess, der das frühzeitige Erkennen und Bewerten von Sicherheitsproblemen ermöglicht. So wird Problemen vorgebeugt und die Kosten für eine Behebung werden stark reduziert. Dieses Seminar beinhaltet eine Einführung in die Entwicklung sicherer Software und soll den Teilnehmern anhand praktischer Beispiele unterschiedliche Methoden zur Bedrohungsmodellierung vorstellen. Das Schulungsmodul wird individuell erstellt. Die Inhalte werden mit realistischen Beispielen aus der eigenen Organisation trainiert, wodurch ein zusätzlicher Lerneffekt generiert wird. Die Lernziele können beliebig angepasst und erweitert werden. Mögliche Inhalte Überblick über Application Security Management und Vorteile einer Bedrohungsmodellierung Bedrohungsmodellierung als Prozess Kennenlernen unterschiedlicher Methoden und Ansätze zur Bedrohungsmodellierung Modellierung anhand konkreter Beispiele Requirements-Engineers Architekten Qualitätsmanager Pentester Personen mit Interesse an sicherer Softwareentwicklung Nach Kundenwunsch Weitere Schulungsthemen aus dem SEC Consult Repertoire: Writing Secure Code for Android, ios etc., Externe Sicherheitsüberprüfung und Training des Entwicklerteams, Incident Management, Linux/Unix Security, Secure Software Engineering

16 Vienna Berlin Frankfurt/Main Montreal Singapore Vilnius