Cyber Security Body of Knowledge (CyBOK) Training Course

Khóa đào tạo trực tiếp, do giảng viên hướng dẫn này (trực tuyến hoặc tại chỗ) dành cho các quản trị viên hệ thống muốn sử dụng 389 Directory Server để cấu hình và quản lý xác thực và ủy quyền dựa trên LDAP.

Khi kết thúc khóa đào tạo này, người tham gia sẽ có thể:

• Cài đặt và cấu hình 389 Directory Server.
• Hiểu các tính năng và kiến trúc của 389 Directory Server.
• Tìm hiểu cách cấu hình máy chủ thư mục bằng giao diện web và CLI.
• Thiết lập và giám sát sao chép để đảm bảo tính khả dụng cao và cân bằng tải.
• Quản lý xác thực LDAP bằng SSSD để cải thiện hiệu suất.
• Tích hợp 389 Directory Server với Microsoft Active Directory.

Khóa đào tạo trực tiếp, do giảng viên hướng dẫn này (trực tuyến hoặc tại chỗ) dành cho các quản trị viên hệ thống muốn sử dụng Microsoft Active Directory để quản lý và bảo mật quyền truy cập dữ liệu.

Khi kết thúc khóa đào tạo này, người tham gia sẽ có thể:

• Thiết lập và cấu hình Active Directory.
• Thiết lập miền và xác định quyền truy cập của người dùng và thiết bị.
• Quản lý người dùng và máy tính thông qua Chính sách nhóm (Group Policies).
• Kiểm soát quyền truy cập vào máy chủ tệp.
• Thiết lập Dịch vụ chứng chỉ (Certificate Service) và quản lý chứng chỉ.
• Triển khai và quản lý các dịch vụ như mã hóa, chứng chỉ và xác thực.

Android là một nền tảng mở cho các thiết bị di động như điện thoại và máy tính bảng. Nó có nhiều tính năng bảo mật để giúp việc phát triển phần mềm an toàn dễ dàng hơn; tuy nhiên, nó cũng thiếu một số khía cạnh bảo mật có trên các nền tảng cầm tay khác. Khóa học này cung cấp một cái nhìn tổng quan toàn diện về các tính năng này và chỉ ra những thiếu sót quan trọng nhất cần lưu ý liên quan đến Linux cơ bản, hệ thống tệp và môi trường nói chung, cũng như liên quan đến việc sử dụng quyền và các thành phần phát triển phần mềm Android khác.

Các lỗi và lỗ hổng bảo mật điển hình được mô tả cả đối với mã gốc và ứng dụng Java, cùng với các khuyến nghị và các phương pháp hay nhất để tránh và giảm thiểu chúng. Trong nhiều trường hợp, các vấn đề được thảo luận được hỗ trợ bằng các ví dụ và nghiên cứu điển hình thực tế. Cuối cùng, chúng tôi cung cấp một cái nhìn tổng quan ngắn gọn về cách sử dụng các công cụ kiểm tra bảo mật để phát hiện bất kỳ lỗi lập trình liên quan đến bảo mật nào.

Những người tham gia khóa học này sẽ

• Hiểu các khái niệm cơ bản về bảo mật, bảo mật IT và mã hóa an toàn
• Tìm hiểu các giải pháp bảo mật trên Android
• Tìm hiểu cách sử dụng các tính năng bảo mật khác nhau của nền tảng Android
• Tìm hiểu thông tin về một số lỗ hổng bảo mật gần đây trong Java trên Android
• Tìm hiểu về các lỗi lập trình điển hình và cách tránh chúng
• Hiểu về các lỗ hổng mã gốc trên Android
• Nhận thức được những hậu quả nghiêm trọng của việc xử lý bộ đệm không an toàn trong mã gốc
• Hiểu các kỹ thuật bảo vệ kiến trúc và điểm yếu của chúng
• Nhận được các nguồn và tài liệu đọc thêm về các phương pháp mã hóa an toàn

Đối tượng

Chuyên gia

Việc triển khai một ứng dụng mạng an toàn có thể khó khăn, ngay cả đối với các nhà phát triển đã từng sử dụng nhiều khối xây dựng mật mã (như mã hóa và chữ ký số). Để giúp người tham gia hiểu rõ vai trò và cách sử dụng của các nguyên thủy mật mã này, trước tiên, chúng tôi sẽ cung cấp một nền tảng vững chắc về các yêu cầu chính của giao tiếp an toàn – xác nhận an toàn, tính toàn vẹn, bảo mật, nhận dạng từ xa và ẩn danh – đồng thời trình bày các vấn đề điển hình có thể làm tổn hại đến các yêu cầu này cùng với các giải pháp thực tế.

Vì mật mã là một khía cạnh quan trọng của bảo mật mạng, các thuật toán mật mã quan trọng nhất trong mật mã đối xứng, băm, mật mã bất đối xứng và thỏa thuận khóa cũng được thảo luận. Thay vì trình bày một nền tảng toán học chuyên sâu, các yếu tố này được thảo luận từ góc độ của nhà phát triển, trình bày các ví dụ điển hình về trường hợp sử dụng và các cân nhắc thực tế liên quan đến việc sử dụng mật mã, chẳng hạn như cơ sở hạ tầng khóa công khai. Các giao thức bảo mật trong nhiều lĩnh vực của giao tiếp an toàn được giới thiệu, với một cuộc thảo luận chuyên sâu về các họ giao thức được sử dụng rộng rãi nhất như IPSec và SSL/TLS.

Các lỗ hổng mật mã điển hình được thảo luận, liên quan đến cả các thuật toán mật mã cụ thể và các giao thức mật mã, chẳng hạn như BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE và các lỗ hổng tương tự, cũng như cuộc tấn công thời gian RSA. Trong mỗi trường hợp, các cân nhắc thực tế và hậu quả tiềm ẩn được mô tả cho từng vấn đề, một lần nữa, không đi sâu vào các chi tiết toán học phức tạp.

Cuối cùng, vì XML là công nghệ trung tâm cho việc trao đổi dữ liệu bởi các ứng dụng mạng, các khía cạnh bảo mật của XML được mô tả. Điều này bao gồm việc sử dụng XML trong các dịch vụ web và thông báo SOAP cùng với các biện pháp bảo vệ như chữ ký XML và mã hóa XML – cũng như các điểm yếu trong các biện pháp bảo vệ đó và các vấn đề bảo mật cụ thể của XML như XML injection, XML external entity (XXE) attacks, XML bombs, và XPath injection.

Những người tham gia khóa học này sẽ

• Hiểu các khái niệm cơ bản về bảo mật, bảo mật IT và mã hóa an toàn
• Hiểu các yêu cầu của giao tiếp an toàn
• Tìm hiểu về các cuộc tấn công và phòng thủ mạng ở các lớp OSI khác nhau
• Có hiểu biết thực tế về mật mã
• Hiểu các giao thức bảo mật thiết yếu
• Hiểu một số cuộc tấn công gần đây chống lại các hệ thống mật mã
• Nhận thông tin về một số lỗ hổng liên quan gần đây
• Hiểu các khái niệm bảo mật của Web services
• Nhận các nguồn và tài liệu đọc thêm về các thực hành mã hóa an toàn

Đối tượng

Developers, Professionals

Khóa học kéo dài ba ngày này bao gồm các kiến thức cơ bản về bảo mật mã C/C++ trước những người dùng độc hại có thể khai thác nhiều lỗ hổng trong mã liên quan đến quản lý bộ nhớ và xử lý đầu vào. Khóa học đề cập đến các nguyên tắc viết mã bảo mật.

Ngay cả những lập trình viên Java giàu kinh nghiệm cũng không nắm vững tất cả các dịch vụ bảo mật do Java cung cấp, và cũng không nhận thức được các lỗ hổng khác nhau liên quan đến các ứng dụng web được viết bằng Java.

Khóa học – bên cạnh việc giới thiệu các thành phần bảo mật của Standard Java Edition – còn đề cập đến các vấn đề bảo mật của Java Enterprise Edition (JEE) và dịch vụ web. Thảo luận về các dịch vụ cụ thể được bắt đầu bằng nền tảng của mật mã học và giao tiếp an toàn. Nhiều bài tập thực hành tập trung vào các kỹ thuật bảo mật khai báo và lập trình trong JEE, đồng thời bảo mật lớp truyền tải và bảo mật đầu cuối của dịch vụ web cũng được thảo luận. Việc sử dụng tất cả các thành phần được trình bày thông qua nhiều bài tập thực hành, nơi người tham gia có thể tự mình thử nghiệm các API và công cụ đã thảo luận.

Khóa học cũng đi sâu vào và giải thích các lỗi lập trình thường gặp và nghiêm trọng nhất của ngôn ngữ và nền tảng Java cũng như các lỗ hổng liên quan đến web. Ngoài các lỗi điển hình do các lập trình viên Java mắc phải, các lỗ hổng bảo mật được giới thiệu bao gồm cả các vấn đề đặc thù của ngôn ngữ và các vấn đề phát sinh từ môi trường runtime. Tất cả các lỗ hổng và các cuộc tấn công liên quan đều được minh họa thông qua các bài tập dễ hiểu, sau đó là các hướng dẫn mã hóa được đề xuất và các kỹ thuật giảm thiểu có thể.

Người tham gia khóa học sẽ

• Hiểu các khái niệm cơ bản về bảo mật, bảo mật IT và mã hóa an toàn
• Tìm hiểu về các lỗ hổng Web vượt ra ngoài OWASP Top Ten và biết cách tránh chúng
• Hiểu các khái niệm bảo mật của Dịch vụ Web
• Học cách sử dụng các tính năng bảo mật khác nhau của môi trường phát triển Java
• Có hiểu biết thực tế về mật mã học
• Hiểu các giải pháp bảo mật của Java EE
• Tìm hiểu về các lỗi mã hóa điển hình và cách tránh chúng
• Cập nhật thông tin về một số lỗ hổng gần đây trong framework Java
• Có kiến thức thực tế trong việc sử dụng các công cụ kiểm tra bảo mật
• Có nguồn tài liệu tham khảo và đọc thêm về các phương pháp mã hóa an toàn

Đối tượng

Các nhà phát triển

Mô tả

Ngôn ngữ Java và Môi trường Chạy (JRE) được thiết kế để loại bỏ những lỗ hổng bảo mật phổ biến và nghiêm trọng nhất thường gặp trong các ngôn ngữ khác, như C/C++. Tuy nhiên, các nhà phát triển và kiến trúc sư phần mềm không chỉ nên biết cách sử dụng các tính năng bảo mật khác nhau của môi trường Java (bảo mật tích cực), mà còn phải nhận thức được nhiều lỗ hổng vẫn còn liên quan đến phát triển Java (bảo mật tiêu cực).

Việc giới thiệu các dịch vụ bảo mật được bắt đầu bằng một cái nhìn tổng quan ngắn gọn về nền tảng của mật mã học, cung cấp một cơ sở chung để hiểu mục đích và hoạt động của các thành phần áp dụng. Việc sử dụng các thành phần này được trình bày thông qua một số bài tập thực hành, nơi người tham gia có thể tự mình thử nghiệm các API đã thảo luận.

Khóa học cũng đi qua và giải thích những lỗi lập trình thường gặp và nghiêm trọng nhất của ngôn ngữ và nền tảng Java, bao gồm cả những lỗi phổ biến mà các lập trình viên Java mắc phải, cũng như các vấn đề đặc thù của ngôn ngữ và môi trường. Tất cả các lỗ hổng và các cuộc tấn công liên quan đều được minh họa thông qua các bài tập dễ hiểu, sau đó là các hướng dẫn mã hóa được đề xuất và các kỹ thuật giảm thiểu có thể.

Người tham gia khóa học này sẽ

• Hiểu các khái niệm cơ bản về bảo mật, bảo mật IT và mã hóa an toàn
• Học về các lỗ hổng Web vượt ra ngoài OWASP Top Ten và biết cách tránh chúng
• Học cách sử dụng các tính năng bảo mật khác nhau của môi trường phát triển Java
• Có hiểu biết thực tế về mật mã học
• Học về các lỗi lập trình điển hình và cách tránh chúng
• Có được thông tin về một số lỗ hổng gần đây trong khung Java
• Có được nguồn và tài liệu đọc thêm về các thực hành mã hóa an toàn

Đối tượng

Nhà phát triển

Khóa đào tạo trực tiếp, do giảng viên hướng dẫn này (trực tuyến hoặc tại chỗ) dành cho các quản trị viên hệ thống muốn sử dụng FreeIPA để tập trung xác thực, ủy quyền và thông tin tài khoản cho người dùng, nhóm và máy của tổ chức.

Khi kết thúc khóa đào tạo này, người tham gia sẽ có thể:

• Cài đặt và cấu hình FreeIPA.
• Quản lý người dùng và máy khách Linux từ một vị trí trung tâm duy nhất.
• Sử dụng CLI, Giao diện Web và Giao diện RPC của FreeIPA để thiết lập và quản lý quyền.
• Kích hoạt xác thực Đăng nhập một lần (Single Sign On) trên tất cả các hệ thống, dịch vụ và ứng dụng.
• Tích hợp FreeIPA với Windows Active Directory.
• Sao lưu, sao chép và di chuyển một máy chủ FreeIPA.

Khóa đào tạo trực tiếp, do giảng viên hướng dẫn này (trực tuyến hoặc tại chỗ) dành cho các quản trị viên hệ thống muốn sử dụng Okta để quản lý danh tính và quyền truy cập.

Khi kết thúc khóa đào tạo này, người tham gia sẽ có thể:

• Cấu hình, tích hợp và quản lý Okta.
• Tích hợp Okta vào một ứng dụng hiện có.
• Triển khai bảo mật bằng xác thực đa yếu tố.

OpenLDAP là phần mềm mã nguồn mở được sử dụng để triển khai giao thức LDAP (Lightweight Directory Access Protocol), cho phép quản lý và truy cập vào các thư mục thông tin. Jest là một máy chủ danh bạ phổ biến có thể được sử dụng để lưu trữ và chia sẻ dữ liệu về người dùng, nhóm, tài nguyên mạng và các đối tượng khác trong mạng.

Buổi đào tạo trực tiếp dưới sự hướng dẫn của giảng viên tại Việt Nam (trực tuyến hoặc trực tiếp) dành cho các quản trị hệ thống và chuyên gia CNTT có trình độ trung cấp muốn cài đặt, cấu hình, quản lý và bảo mật LDAP directories sử dụng OpenLDAP.

Tại kết thúc buổi đào tạo này, người tham dự sẽ có thể:

• Nắm vững cấu trúc và hoạt động của LDAP directories.
• Cài đặt và cấu hình OpenLDAP cho các môi trường triển khai khác nhau.
• Thực hiện cơ chế kiểm soát truy cập, xác thực và sao chép.
• Sử dụng OpenLDAP với các dịch vụ và ứng dụng của bên thứ ba.

Khóa đào tạo trực tiếp, do giảng viên hướng dẫn này (trực tuyến hoặc tại chỗ) dành cho các quản trị viên hệ thống muốn sử dụng OpenAM để quản lý nhận dạng và kiểm soát truy cập cho các ứng dụng web.

Khi kết thúc khóa đào tạo này, người tham gia sẽ có thể:

• Thiết lập môi trường máy chủ cần thiết để bắt đầu cấu hình xác thực và kiểm soát truy cập bằng OpenAM.
• Triển khai đăng nhập một lần (SSO), xác thực đa yếu tố (MFA) và các tính năng tự phục vụ người dùng cho các ứng dụng web.
• Sử dụng các dịch vụ liên kết (OAuth 2.0, OpenID, SAML v2.0, v.v.) để mở rộng quản lý nhận dạng một cách an toàn trên các hệ thống hoặc ứng dụng khác nhau.
• Access và quản lý xác thực, ủy quyền và các dịch vụ nhận dạng thông qua REST APIs.

Khóa đào tạo trực tiếp, do giảng viên hướng dẫn này tại Việt Nam (trực tuyến hoặc tại chỗ) dành cho các quản trị viên hệ thống muốn sử dụng OpenDJ để quản lý thông tin đăng nhập của người dùng trong tổ chức của họ trong môi trường sản xuất.

Khi kết thúc khóa đào tạo này, người tham gia sẽ có thể:

• Cài đặt và cấu hình OpenDJ.
• Duy trì máy chủ OpenDJ, bao gồm giám sát, khắc phục sự cố và tối ưu hóa hiệu suất.
• Tạo và quản lý nhiều cơ sở dữ liệu OpenDJ.
• Sao lưu và di chuyển máy chủ OpenDJ.