Awareness về An toàn Thông tin cho Lãnh đạo Khóa Học Đào Tạo

Khóa đào tạo trực tiếp, do giảng viên hướng dẫn này (trực tuyến hoặc tại chỗ) dành cho các quản trị viên hệ thống muốn sử dụng 389 Directory Server để cấu hình và quản lý xác thực và ủy quyền dựa trên LDAP.

Khi kết thúc khóa đào tạo này, người tham gia sẽ có thể:

• Cài đặt và cấu hình 389 Directory Server.
• Hiểu các tính năng và kiến trúc của 389 Directory Server.
• Tìm hiểu cách cấu hình máy chủ thư mục bằng giao diện web và CLI.
• Thiết lập và giám sát sao chép để đảm bảo tính khả dụng cao và cân bằng tải.
• Quản lý xác thực LDAP bằng SSSD để cải thiện hiệu suất.
• Tích hợp 389 Directory Server với Microsoft Active Directory.

Khóa đào tạo trực tiếp, do giảng viên hướng dẫn này (trực tuyến hoặc tại chỗ) dành cho các quản trị viên hệ thống muốn sử dụng Microsoft Active Directory để quản lý và bảo mật quyền truy cập dữ liệu.

Khi kết thúc khóa đào tạo này, người tham gia sẽ có thể:

• Thiết lập và cấu hình Active Directory.
• Thiết lập miền và xác định quyền truy cập của người dùng và thiết bị.
• Quản lý người dùng và máy tính thông qua Chính sách nhóm (Group Policies).
• Kiểm soát quyền truy cập vào máy chủ tệp.
• Thiết lập Dịch vụ chứng chỉ (Certificate Service) và quản lý chứng chỉ.
• Triển khai và quản lý các dịch vụ như mã hóa, chứng chỉ và xác thực.

Khóa học kéo dài ba ngày này bao gồm các kiến thức cơ bản về bảo mật mã C/C++ trước những người dùng độc hại có thể khai thác nhiều lỗ hổng trong mã liên quan đến quản lý bộ nhớ và xử lý đầu vào. Khóa học đề cập đến các nguyên tắc viết mã bảo mật.

Ngay cả những lập trình viên Java giàu kinh nghiệm cũng không nắm vững tất cả các dịch vụ bảo mật do Java cung cấp, và cũng không nhận thức được các lỗ hổng khác nhau liên quan đến các ứng dụng web được viết bằng Java.

Khóa học – bên cạnh việc giới thiệu các thành phần bảo mật của Standard Java Edition – còn đề cập đến các vấn đề bảo mật của Java Enterprise Edition (JEE) và dịch vụ web. Thảo luận về các dịch vụ cụ thể được bắt đầu bằng nền tảng của mật mã học và giao tiếp an toàn. Nhiều bài tập thực hành tập trung vào các kỹ thuật bảo mật khai báo và lập trình trong JEE, đồng thời bảo mật lớp truyền tải và bảo mật đầu cuối của dịch vụ web cũng được thảo luận. Việc sử dụng tất cả các thành phần được trình bày thông qua nhiều bài tập thực hành, nơi người tham gia có thể tự mình thử nghiệm các API và công cụ đã thảo luận.

Khóa học cũng đi sâu vào và giải thích các lỗi lập trình thường gặp và nghiêm trọng nhất của ngôn ngữ và nền tảng Java cũng như các lỗ hổng liên quan đến web. Ngoài các lỗi điển hình do các lập trình viên Java mắc phải, các lỗ hổng bảo mật được giới thiệu bao gồm cả các vấn đề đặc thù của ngôn ngữ và các vấn đề phát sinh từ môi trường runtime. Tất cả các lỗ hổng và các cuộc tấn công liên quan đều được minh họa thông qua các bài tập dễ hiểu, sau đó là các hướng dẫn mã hóa được đề xuất và các kỹ thuật giảm thiểu có thể.

Người tham gia khóa học sẽ

• Hiểu các khái niệm cơ bản về bảo mật, bảo mật IT và mã hóa an toàn
• Tìm hiểu về các lỗ hổng Web vượt ra ngoài OWASP Top Ten và biết cách tránh chúng
• Hiểu các khái niệm bảo mật của Dịch vụ Web
• Học cách sử dụng các tính năng bảo mật khác nhau của môi trường phát triển Java
• Có hiểu biết thực tế về mật mã học
• Hiểu các giải pháp bảo mật của Java EE
• Tìm hiểu về các lỗi mã hóa điển hình và cách tránh chúng
• Cập nhật thông tin về một số lỗ hổng gần đây trong framework Java
• Có kiến thức thực tế trong việc sử dụng các công cụ kiểm tra bảo mật
• Có nguồn tài liệu tham khảo và đọc thêm về các phương pháp mã hóa an toàn

Đối tượng

Các nhà phát triển

Mô tả

Ngôn ngữ Java và Môi trường Chạy (JRE) được thiết kế để loại bỏ những lỗ hổng bảo mật phổ biến và nghiêm trọng nhất thường gặp trong các ngôn ngữ khác, như C/C++. Tuy nhiên, các nhà phát triển và kiến trúc sư phần mềm không chỉ nên biết cách sử dụng các tính năng bảo mật khác nhau của môi trường Java (bảo mật tích cực), mà còn phải nhận thức được nhiều lỗ hổng vẫn còn liên quan đến phát triển Java (bảo mật tiêu cực).

Việc giới thiệu các dịch vụ bảo mật được bắt đầu bằng một cái nhìn tổng quan ngắn gọn về nền tảng của mật mã học, cung cấp một cơ sở chung để hiểu mục đích và hoạt động của các thành phần áp dụng. Việc sử dụng các thành phần này được trình bày thông qua một số bài tập thực hành, nơi người tham gia có thể tự mình thử nghiệm các API đã thảo luận.

Khóa học cũng đi qua và giải thích những lỗi lập trình thường gặp và nghiêm trọng nhất của ngôn ngữ và nền tảng Java, bao gồm cả những lỗi phổ biến mà các lập trình viên Java mắc phải, cũng như các vấn đề đặc thù của ngôn ngữ và môi trường. Tất cả các lỗ hổng và các cuộc tấn công liên quan đều được minh họa thông qua các bài tập dễ hiểu, sau đó là các hướng dẫn mã hóa được đề xuất và các kỹ thuật giảm thiểu có thể.

Người tham gia khóa học này sẽ

• Hiểu các khái niệm cơ bản về bảo mật, bảo mật IT và mã hóa an toàn
• Học về các lỗ hổng Web vượt ra ngoài OWASP Top Ten và biết cách tránh chúng
• Học cách sử dụng các tính năng bảo mật khác nhau của môi trường phát triển Java
• Có hiểu biết thực tế về mật mã học
• Học về các lỗi lập trình điển hình và cách tránh chúng
• Có được thông tin về một số lỗ hổng gần đây trong khung Java
• Có được nguồn và tài liệu đọc thêm về các thực hành mã hóa an toàn

Đối tượng

Nhà phát triển

Hiện nay có một số ngôn ngữ lập trình khả dụng để biên dịch mã cho các framework .NET và ASP.NET. Môi trường này cung cấp các phương tiện mạnh mẽ cho phát triển bảo mật, nhưng các nhà phát triển nên biết cách áp dụng các kỹ thuật lập trình ở cấp kiến trúc và mã hóa để triển khai chức năng bảo mật mong muốn và tránh các lỗ hổng hoặc hạn chế việc khai thác chúng.

Mục tiêu của khóa học này là hướng dẫn các nhà phát triển thông qua nhiều bài tập thực hành cách ngăn chặn mã không đáng tin cậy thực hiện các hành động đặc quyền, bảo vệ tài nguyên thông qua xác thực và ủy quyền mạnh mẽ, cung cấp các cuộc gọi thủ tục từ xa, xử lý phiên, giới thiệu các triển khai khác nhau cho một số chức năng nhất định và nhiều hơn nữa.

Giới thiệu về các lỗ hổng khác nhau bắt đầu với việc trình bày một số vấn đề lập trình điển hình thường gặp khi sử dụng .NET, trong khi thảo luận về các lỗ hổng của ASP.NET cũng đề cập đến các cài đặt môi trường khác nhau và tác động của chúng. Cuối cùng, chủ đề về các lỗ hổng cụ thể của ASP.NET không chỉ đề cập đến một số thách thức bảo mật ứng dụng web chung, mà còn cả các vấn đề và phương pháp tấn công đặc biệt như tấn công ViewState hoặc các cuộc tấn công chấm dứt chuỗi.

Những người tham gia khóa học này sẽ

• Hiểu các khái niệm cơ bản về bảo mật, bảo mật IT và mã hóa an toàn
• Học các lỗ hổng Web vượt ra ngoài OWASP Top Ten và biết cách tránh chúng
• Học cách sử dụng các tính năng bảo mật khác nhau của môi trường phát triển .NET
• Có kiến thức thực tế trong việc sử dụng các công cụ kiểm tra bảo mật
• Học về các lỗi lập trình điển hình và cách tránh chúng
• Có thông tin về một số lỗ hổng gần đây trong .NET và ASP.NET
• Có nguồn tài liệu và các bài đọc thêm về các thực hành mã hóa an toàn

Đối tượng

Developers

Khóa học kết hợp SDL core cung cấp cái nhìn về thiết kế, phát triển và kiểm thử phần mềm an toàn thông qua chu trình phát triển phần mềm an toàn của Microsoft (SDL). Nó cung cấp tổng quan cấp độ 100 về các yếu tố cơ bản của SDL, tiếp theo là các kỹ thuật thiết kế để áp dụng nhằm phát hiện và sửa lỗi trong giai đoạn đầu của quá trình phát triển.

Đối với giai đoạn phát triển, khóa học cung cấp tổng quan về các lỗi lập trình liên quan đến bảo mật phổ biến của cả mã quản lý và mã gốc. Các phương pháp tấn công được trình bày cho các lỗ hổng được thảo luận cùng với các kỹ thuật giảm thiểu tương ứng, tất cả đều được giải thích thông qua một số bài tập thực hành cung cấp niềm vui hack trực tiếp cho người tham gia. Giới thiệu về các phương pháp kiểm thử bảo mật khác nhau sau đó là việc thể hiện hiệu quả của các công cụ kiểm thử khác nhau. Người tham gia có thể hiểu cách hoạt động của những công cụ này thông qua một số bài tập thực hành bằng cách áp dụng các công cụ vào mã lỗ hổng đã được thảo luận.

Những người tham dự khóa học này sẽ

Hiểu các khái niệm cơ bản về an toàn, bảo mật IT và lập trình an toàn

Hiểu biết về các bước quan trọng của chu trình phát triển phần mềm an toàn của Microsoft (SDL)

Học cách thiết kế và phát triển an toàn

Hiểu về nguyên tắc thực hiện an toàn

Hiểu phương pháp kiểm thử bảo mật

• Nhận nguồn và tài liệu tham khảo thêm về các kỹ thuật lập trình an toàn

Đối tượng

Lập trình viên, Quản lý

Sau khi làm quen với các lỗ hổng và phương pháp tấn công, người tham gia sẽ tìm hiểu về phương pháp tiếp cận chung và phương pháp luận để kiểm tra bảo mật, cũng như các kỹ thuật có thể được áp dụng để phát hiện các lỗ hổng cụ thể. Kiểm tra bảo mật nên bắt đầu bằng việc thu thập thông tin về hệ thống (ToC, tức là Mục tiêu Đánh giá), sau đó mô hình hóa mối đe dọa kỹ lưỡng sẽ tiết lộ và đánh giá tất cả các mối đe dọa, dẫn đến kế hoạch kiểm tra phù hợp nhất dựa trên phân tích rủi ro.

Đánh giá bảo mật có thể xảy ra ở nhiều bước khác nhau của SDLC (Vòng đời phát triển phần mềm), vì vậy chúng tôi thảo luận về đánh giá thiết kế, đánh giá mã nguồn, trinh sát và thu thập thông tin về hệ thống, kiểm tra việc triển khai và kiểm tra và tăng cường môi trường để triển khai an toàn. Nhiều kỹ thuật kiểm tra bảo mật được giới thiệu chi tiết, chẳng hạn như phân tích ô nhiễm và đánh giá mã nguồn dựa trên heuristic, phân tích mã tĩnh, kiểm tra lỗ hổng web động hoặc fuzzing. Các loại công cụ khác nhau được giới thiệu có thể được áp dụng để tự động hóa đánh giá bảo mật của sản phẩm phần mềm, điều này cũng được hỗ trợ bởi một số bài tập, trong đó chúng tôi thực thi các công cụ này để phân tích mã dễ bị tấn công đã được thảo luận. Nhiều nghiên cứu điển hình thực tế hỗ trợ hiểu rõ hơn về các lỗ hổng khác nhau.

Khóa học này chuẩn bị cho người kiểm tra và nhân viên QA lập kế hoạch đầy đủ và thực hiện chính xác các bài kiểm tra bảo mật, chọn và sử dụng các công cụ và kỹ thuật phù hợp nhất để tìm ra ngay cả những lỗ hổng bảo mật ẩn, và do đó cung cấp các kỹ năng thực tế cần thiết có thể được áp dụng vào ngày làm việc tiếp theo.

Người tham gia khóa học sẽ

• Hiểu các khái niệm cơ bản về bảo mật, bảo mật IT và mã hóa an toàn
• Tìm hiểu các lỗ hổng Web vượt ra ngoài OWASP Top Ten và biết cách tránh chúng
• Tìm hiểu các lỗ hổng phía máy khách và các phương pháp mã hóa an toàn
• Hiểu các phương pháp và phương pháp luận kiểm tra bảo mật
• Có được kiến thức thực tế trong việc sử dụng các kỹ thuật và công cụ kiểm tra bảo mật
• Có được nguồn và tài liệu đọc thêm về các phương pháp mã hóa an toàn

Đối tượng

Nhà phát triển, Người kiểm tra

Bảo vệ các ứng dụng có thể truy cập qua web đòi hỏi các chuyên gia bảo mật được chuẩn bị kỹ lưỡng, luôn cập nhật các phương pháp và xu hướng tấn công hiện tại. Có vô số công nghệ và môi trường cho phép phát triển ứng dụng web một cách thuận tiện. Người học không chỉ cần nhận thức được các vấn đề bảo mật liên quan đến các nền tảng này mà còn cả các lỗ hổng bảo mật chung áp dụng bất kể công cụ phát triển được sử dụng.

Khóa học này cung cấp tổng quan về các giải pháp bảo mật có thể áp dụng trong ứng dụng web, với trọng tâm đặc biệt là hiểu các giải pháp mật mã quan trọng nhất cần áp dụng. Các lỗ hổng bảo mật ứng dụng web khác nhau được trình bày cả ở phía máy chủ (theo OWASP Top Ten) và phía máy khách, được minh họa thông qua các cuộc tấn công liên quan, sau đó là các kỹ thuật và phương pháp giảm thiểu được khuyến nghị để tránh các vấn đề liên quan. Chủ đề về mã hóa an toàn được kết thúc bằng cách thảo luận về một số lỗi lập trình thường gặp liên quan đến bảo mật trong lĩnh vực xác thực đầu vào, sử dụng không đúng các tính năng bảo mật và chất lượng mã.

Kiểm thử đóng vai trò rất quan trọng trong việc đảm bảo bảo mật và độ tin cậy của ứng dụng web. Có nhiều phương pháp tiếp cận khác nhau – từ kiểm tra cấp cao đến kiểm tra xâm nhập và hack đạo đức – có thể được áp dụng để tìm các lỗ hổng khác nhau. Tuy nhiên, nếu bạn muốn vượt ra ngoài những "trái chín thấp" dễ tìm, kiểm tra bảo mật nên được lên kế hoạch tốt và thực hiện đúng cách. Hãy nhớ: người kiểm tra bảo mật lý tưởng nên tìm thấy tất cả các lỗi để bảo vệ một hệ thống, trong khi đối thủ chỉ cần tìm thấy một lỗ hổng có thể khai thác để xâm nhập vào hệ thống.

Các bài tập thực hành sẽ giúp hiểu các lỗ hổng ứng dụng web, lỗi lập trình và quan trọng nhất là các kỹ thuật giảm thiểu, cùng với các thử nghiệm thực tế với nhiều công cụ kiểm thử khác nhau từ trình quét bảo mật, thông qua trình đánh hơi, máy chủ proxy, công cụ fuzzing đến trình phân tích mã nguồn tĩnh, khóa học này cung cấp các kỹ năng thực tế cần thiết có thể áp dụng ngay vào ngày mai tại nơi làm việc.

Những người tham gia khóa học này sẽ

• Hiểu các khái niệm cơ bản về bảo mật, bảo mật IT và mã hóa an toàn
• Tìm hiểu các lỗ hổng Web vượt ra ngoài OWASP Top Ten và biết cách tránh chúng
• Tìm hiểu các lỗ hổng phía máy khách và các phương pháp mã hóa an toàn
• Có hiểu biết thực tế về mật mã
• Hiểu các phương pháp và phương pháp kiểm tra bảo mật
• Có kiến thức thực tế trong việc sử dụng các kỹ thuật và công cụ kiểm tra bảo mật
• Được thông báo về các lỗ hổng gần đây trong các nền tảng, khung và thư viện khác nhau
• Nhận các nguồn và tài liệu đọc thêm về các phương pháp mã hóa an toàn

Đối tượng

Nhà phát triển, Người kiểm thử

Khóa đào tạo trực tiếp, do giảng viên hướng dẫn này (trực tuyến hoặc tại chỗ) dành cho các quản trị viên hệ thống muốn sử dụng FreeIPA để tập trung xác thực, ủy quyền và thông tin tài khoản cho người dùng, nhóm và máy của tổ chức.

Khi kết thúc khóa đào tạo này, người tham gia sẽ có thể:

• Cài đặt và cấu hình FreeIPA.
• Quản lý người dùng và máy khách Linux từ một vị trí trung tâm duy nhất.
• Sử dụng CLI, Giao diện Web và Giao diện RPC của FreeIPA để thiết lập và quản lý quyền.
• Kích hoạt xác thực Đăng nhập một lần (Single Sign On) trên tất cả các hệ thống, dịch vụ và ứng dụng.
• Tích hợp FreeIPA với Windows Active Directory.
• Sao lưu, sao chép và di chuyển một máy chủ FreeIPA.

Khóa đào tạo trực tiếp, do giảng viên hướng dẫn này (trực tuyến hoặc tại chỗ) dành cho các quản trị viên hệ thống muốn sử dụng Okta để quản lý danh tính và quyền truy cập.

Khi kết thúc khóa đào tạo này, người tham gia sẽ có thể:

• Cấu hình, tích hợp và quản lý Okta.
• Tích hợp Okta vào một ứng dụng hiện có.
• Triển khai bảo mật bằng xác thực đa yếu tố.

Buổi đào tạo trực tiếp dưới sự hướng dẫn của giảng viên tại Việt Nam (trực tuyến hoặc trực tiếp) dành cho các quản trị hệ thống và chuyên gia CNTT có trình độ trung cấp muốn cài đặt, cấu hình, quản lý và bảo mật LDAP directories sử dụng OpenLDAP.

Tại kết thúc buổi đào tạo này, người tham dự sẽ có thể:

• Nắm vững cấu trúc và hoạt động của LDAP directories.
• Cài đặt và cấu hình OpenLDAP cho các môi trường triển khai khác nhau.
• Thực hiện cơ chế kiểm soát truy cập, xác thực và sao chép.
• Sử dụng OpenLDAP với các dịch vụ và ứng dụng của bên thứ ba.

Khóa đào tạo trực tiếp, do giảng viên hướng dẫn này (trực tuyến hoặc tại chỗ) dành cho các quản trị viên hệ thống muốn sử dụng OpenAM để quản lý nhận dạng và kiểm soát truy cập cho các ứng dụng web.

Khi kết thúc khóa đào tạo này, người tham gia sẽ có thể:

• Thiết lập môi trường máy chủ cần thiết để bắt đầu cấu hình xác thực và kiểm soát truy cập bằng OpenAM.
• Triển khai đăng nhập một lần (SSO), xác thực đa yếu tố (MFA) và các tính năng tự phục vụ người dùng cho các ứng dụng web.
• Sử dụng các dịch vụ liên kết (OAuth 2.0, OpenID, SAML v2.0, v.v.) để mở rộng quản lý nhận dạng một cách an toàn trên các hệ thống hoặc ứng dụng khác nhau.
• Access và quản lý xác thực, ủy quyền và các dịch vụ nhận dạng thông qua REST APIs.

Khóa đào tạo trực tiếp, do giảng viên hướng dẫn này tại Việt Nam (trực tuyến hoặc tại chỗ) dành cho các quản trị viên hệ thống muốn sử dụng OpenDJ để quản lý thông tin đăng nhập của người dùng trong tổ chức của họ trong môi trường sản xuất.

Khi kết thúc khóa đào tạo này, người tham gia sẽ có thể:

• Cài đặt và cấu hình OpenDJ.
• Duy trì máy chủ OpenDJ, bao gồm giám sát, khắc phục sự cố và tối ưu hóa hiệu suất.
• Tạo và quản lý nhiều cơ sở dữ liệu OpenDJ.
• Sao lưu và di chuyển máy chủ OpenDJ.