Curso de Corpo de Conhecimento em Segurança Cibernética (CyBOK)

Este treinamento ao vivo conduzido por instrutor em Portugal (no local ou remoto) é destinado a administradores de sistemas que desejam usar 389 Directory Server para configurar e gerenciar autenticação e autorização baseadas em LDAP.

Ao final deste treinamento, os participantes serão capazes de:

• Instalar e configurar 389 Directory Server.
• Compreender as caraterísticas e a arquitetura do 389 Directory Server.
• Aprender a configurar o servidor de diretório usando o console da web e a CLI.
• Configurar e monitorar a replicação para alta disponibilidade e balanceamento de carga.
• Gerir a autenticação LDAP utilizando SSSD para um desempenho mais rápido.
• Integrar o 389 Directory Server com o Microsoft Active Diretory.

Este treinamento ao vivo conduzido por instrutor em Portugal (no local ou remoto) é destinado a administradores de sistema que desejam usar o Microsoft Active Diretory para gerenciar e proteger o acesso a dados.

No final deste treinamento, os participantes serão capazes de:

• Instalar e configurar o Active Diretory.
• Configurar um domínio e definir direitos de acesso de utilizadores e dispositivos.
• Gerir utilizadores e máquinas através de Políticas de Grupo.
• Controlar o acesso a servidores de ficheiros.
• Configurar um Serviço de Certificados e gerir certificados.
• Implementar e gerir serviços como a encriptação, os certificados e a autenticação.

Android é uma plataforma aberta para dispositivos móveis como telefones e tablets. Possui uma grande variedade de características de segurança para facilitar o desenvolvimento de software seguro; no entanto, também falta certos aspectos de segurança presentes em outras plataformas portáteis. O curso fornece um overview abrangente dessas características e destaca as principais deficiências a serem observadas relacionadas ao Linux, ao sistema de arquivos e ao ambiente geral, bem como quanto ao uso de permissões e outros componentes de desenvolvimento de software do Android.

Pitfalls de segurança comuns e vulnerabilidades são descritos tanto para código nativo quanto para aplicativos Java, juntamente com recomendações e melhores práticas para evitá-los e mitigá-los. Em muitos casos discutidos, os problemas são apoiados por exemplos da vida real e estudos de caso. Finalmente, fornecemos uma breve visão geral sobre como usar ferramentas de teste de segurança para revelar quaisquer bugs de programação relacionados à segurança.

Os participantes deste curso irão

• Compreender conceitos básicos de segurança, segurança da TI e codificação segura
• Aprender as soluções de segurança do Android
• Aprender a usar várias características de segurança da plataforma Android
• Obter informações sobre algumas vulnerabilidades recentes em Java no Android
• Aprender sobre erros de codificação típicos e como evitá-los
• Compreender as vulnerabilidades do código nativo no Android
• Realizar as graves consequências do tratamento inseguro dos buffers em código nativo
• Compreender as técnicas de proteção arquitetural e suas fraquezas
• Obter fontes e leituras adicionais sobre práticas de codificação segura

Público-alvo

Profissionais

A implementação de uma aplicação segura em rede pode ser difícil, mesmo para os programadores que possam ter utilizado previamente vários blocos de construção criptográficos (como a encriptação e as assinaturas digitais). Para que os participantes compreendam o papel e a utilização destas primitivas criptográficas, começa-se por dar uma base sólida sobre os principais requisitos da comunicação segura - reconhecimento seguro, integridade, confidencialidade, identificação remota e anonimato - e apresentam-se os problemas típicos que podem prejudicar estes requisitos, juntamente com soluções reais.

Como um aspeto crítico da segurança da rede é a criptografia, também são discutidos os algoritmos criptográficos mais importantes em criptografia simétrica, hashing, criptografia assimétrica e acordo de chaves. Em vez de apresentar uma base matemática aprofundada, estes elementos são discutidos na perspetiva de um programador, mostrando exemplos típicos de casos de utilização e considerações práticas relacionadas com a utilização da criptografia, tais como infra-estruturas de chaves públicas. São introduzidos protocolos de segurança em muitas áreas da comunicação segura, com uma discussão aprofundada sobre as famílias de protocolos mais utilizadas, como o IPSEC e o SSL/TLS.

São discutidas vulnerabilidades criptográficas típicas relacionadas com determinados algoritmos criptográficos e protocolos criptográficos, tais como BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE e similares, bem como o ataque de temporização RSA. Em cada caso, as considerações práticas e as potenciais consequências são descritas para cada problema, mais uma vez, sem entrar em pormenores matemáticos profundos.

Finalmente, como a tecnologia XML é fundamental para o intercâmbio de dados por aplicações em rede, são descritos os aspectos de segurança da XML. Isto inclui a utilização de XML em serviços Web e mensagens SOAP, juntamente com medidas de proteção como a assinatura XML e a encriptação XML - bem como os pontos fracos dessas medidas de proteção e questões de segurança específicas de XML, como a injeção XML, ataques de entidades externas XML (XXE), bombas XML e injeção XPath.

Os participantes neste curso irão

• Compreender os conceitos básicos de segurança, segurança informática e codificação segura
• Compreender os requisitos da comunicação segura
• Conhecer os ataques e as defesas de rede em diferentes camadas OSI
• Ter uma compreensão prática da criptografia
• Compreender os protocolos de segurança essenciais
• Compreender alguns ataques recentes contra sistemas de criptografia
• Obter informações sobre algumas vulnerabilidades recentes relacionadas
• Compreender os conceitos de segurança dos serviços Web
• Obter fontes e leituras adicionais sobre práticas de codificação seguras

Público-alvo

Programadores, profissionais

Este curso de três dias aborda os fundamentos da segurança do código C/C++ contra usuários mal-intencionados que podem explorar muitas vulnerabilidades no código, relacionadas à gestão de memória e tratamento de entrada. O curso cobre os princípios de escrita de código seguro.

Mesmo os programadores experientes da Java não dominam de todo os vários serviços de segurança oferecidos pela Java e não estão igualmente conscientes das diferentes vulnerabilidades que são relevantes para as aplicações Web escritas em Java.

O curso - para além de introduzir os componentes de segurança da Edição Standard Java - aborda as questões de segurança da Edição Empresarial Java (JEE) e dos serviços Web. A discussão de serviços específicos é precedida dos fundamentos da criptografia e da comunicação segura. Vários exercícios tratam de técnicas de segurança declarativas e programáticas em JEE, enquanto a segurança da camada de transporte e de ponta a ponta dos serviços Web é discutida. A utilização de todos os componentes é apresentada através de vários exercícios práticos, onde os participantes podem experimentar as APIs e ferramentas discutidas.

O curso também analisa e explica as falhas de programação mais frequentes e graves da linguagem Java e as vulnerabilidades relacionadas com a plataforma e a Web. Para além dos erros típicos cometidos pelos programadores de Java, as vulnerabilidades de segurança introduzidas abrangem questões específicas da linguagem e problemas decorrentes do ambiente de execução. Todas as vulnerabilidades e os ataques relevantes são demonstrados através de exercícios fáceis de compreender, seguidos das diretrizes de codificação recomendadas e das possíveis técnicas de mitigação.

Os participantes neste curso irão

• Compreender os conceitos básicos de segurança, segurança informática e codificação segura
• Conhecer as vulnerabilidades da Web para além das OWASP Top Ten e saber como evitá-las
• Compreender os conceitos de segurança dos serviços Web
• Aprender a usar vários recursos de segurança do ambiente de desenvolvimento Java
• Ter uma compreensão prática da criptografia
• Compreender as soluções de segurança do Java EE
• Conhecer os erros típicos de codificação e saber como evitá-los
• Obter informações sobre algumas vulnerabilidades recentes na estrutura Java
• Obter conhecimentos práticos sobre a utilização de ferramentas de teste de segurança
• Obter fontes e leituras adicionais sobre práticas de codificação seguras

Público-alvo

Programadores

Descrição

A linguagem Java e o Ambiente de Tempo de Execução (JRE) foram projetados para serem livres das vulnerabilidades de segurança mais problemáticas encontradas em outras linguagens, como C/C++. No entanto, desenvolvedores de software e arquitetos não devem apenas saber como usar os diversos recursos de segurança do ambiente Java (segurança positiva), mas também devem estar cientes das numerosas vulnerabilidades que ainda são relevantes para o desenvolvimento em Java (segurança negativa).

A introdução dos serviços de segurança é precedida por uma breve visão geral dos fundamentos da criptografia, fornecendo uma base comum para entender a finalidade e o funcionamento dos componentes aplicáveis. O uso desses componentes é apresentado através de vários exercícios práticos, onde os participantes podem experimentar as APIs discutidas por si mesmos.

O curso também aborda e explica as falhas de programação mais frequentes e graves da linguagem Java e plataforma, cobrindo tanto os erros típicos cometidos pelos programadores Java quanto os problemas específicos da linguagem e do ambiente. Todas as vulnerabilidades e os ataques relevantes são demonstrados através de exercícios fáceis de entender, seguidos pelas diretrizes de codificação recomendadas e pelas técnicas de mitigação possíveis.

Os participantes que frequentarem este curso irão

• Entender conceitos básicos de segurança, segurança da TI e codificação segura
• Aprender sobre vulnerabilidades Web além do OWASP Top Ten e saber como evitá-las
• Aprender a usar vários recursos de segurança do ambiente de desenvolvimento Java
• Ter uma compreensão prática da criptografia
• Aprender sobre erros de codificação típicos e como evitá-los
• Obter informações sobre algumas vulnerabilidades recentes no framework Java
• Obter fontes e leituras adicionais sobre práticas de codificação segura

Público-alvo

Desenvolvedores

Há várias linguagens de programação disponíveis hoje para compilar código para os frameworks .NET e ASP.NET. O ambiente fornece meios poderosos para o desenvolvimento de segurança, mas os desenvolvedores devem saber como aplicar as técnicas de programação nos níveis de arquitetura e codificação para implementar a funcionalidade de segurança desejada, evitar vulnerabilidades ou limitar sua exploração.

O objetivo deste curso é ensinar aos desenvolvedores, através de numerosos exercícios práticos, como prevenir que o código não confiável execute ações privilegiadas, proteger recursos por meio de autenticação e autorização fortes, fornecer chamadas de procedimento remoto, lidar com sessões, introduzir diferentes implementações para certa funcionalidade, entre muitos outros aspectos.

A introdução a diferentes vulnerabilidades começa apresentando alguns problemas de programação típicos quando se usa .NET, enquanto a discussão sobre as vulnerabilidades do ASP.NET também aborda várias configurações de ambiente e seus efeitos. Finalmente, o tópico de vulnerabilidades específicas do ASP.NET não apenas trata de desafios gerais de segurança de aplicativos web, mas também de questões especiais e métodos de ataque como o ataque ao ViewState ou os ataques de terminação de strings.

Os participantes que frequentarem este curso irão

• Compreender conceitos básicos de segurança, segurança da TI e codificação segura
• Aprender sobre vulnerabilidades web além do OWASP Top Ten e saber como evitá-las
• Aprender a usar várias funcionalidades de segurança do ambiente de desenvolvimento .NET
• Obter conhecimento prático no uso de ferramentas de testes de segurança
• Aprender sobre erros de codificação típicos e como evitá-los
• Obter informações sobre vulnerabilidades recentes no .NET e ASP.NET
• Obter fontes e leituras adicionais sobre práticas de codificação segura

Público-alvo

Desenvolvedores

O curso introduz alguns conceitos de segurança comuns, fornece uma visão geral sobre a natureza das vulnerabilidades independentemente das linguagens de programação e plataformas utilizadas, e explica como lidar com os riscos relacionados à segurança do software em todas as fases do ciclo de vida de desenvolvimento de software. Sem entrar em detalhes técnicos profundos, destaca algumas das vulnerabilidades mais interessantes e dolorosas em diversas tecnologias de desenvolvimento de software, e apresenta os desafios do teste de segurança, juntamente com algumas técnicas e ferramentas que podem ser aplicadas para encontrar problemas existentes no código.

Os participantes deste curso irão

• Compreender conceitos básicos de segurança, segurança da TI e codificação segura
• Entender vulnerabilidades web tanto no lado do servidor quanto do cliente
• Reconhecer as sérias consequências de um tratamento inadequado de buffers
• Ficar informados sobre algumas vulnerabilidades recentes em ambientes e frameworks de desenvolvimento
• Aprender sobre erros de codificação típicos e como evitá-los
• Compreender abordagens e metodologias de teste de segurança

Público-alvo

Gerentes

Este treinamento ao vivo conduzido por instrutor em Portugal (no local ou remoto) é destinado a administradores de sistema que desejam usar FreeIPA para centralizar as informações de autenticação, autorização e conta para os usuários, grupos e máquinas de sua organização.

No final deste treinamento, os participantes serão capazes de:

• Instalar e configurar FreeIPA.
• Gerir utilizadores e clientes Linux a partir de uma única localização central.
• Utilizar a interface CLI, Web UI e RPC do FreeIPA para configurar e gerir permissões.
• Permitir a autenticação Single Sign On em todos os sistemas, serviços e aplicações.
• Integrar o FreeIPA com o Windows Active Diretory.
• Efetuar cópias de segurança, replicar e migrar um servidor FreeIPA.

Este treinamento ao vivo conduzido por instrutor em Portugal (no local ou remoto) é destinado a administradores de sistema que desejam usar Okta para gerenciamento de identidade e acesso.

Ao final deste treinamento, os participantes serão capazes de:

• Configurar, integrar e gerenciar Okta.
• Integrar Okta numa aplicação existente.
• Implementar segurança com autenticação multi-fator.

Esta formação ao vivo, ministrada por um instrutor em Portugal (online ou presencial), é direcionada a administradores de sistemas e profissionais de TI intermediários que desejam instalar, configurar, gerenciar e proteger diretórios LDAP usando OpenLDAP.

No final desta formação, os participantes serão capazes de:

• Compreender a estrutura e o funcionamento dos diretórios LDAP.
• Instalar e configurar OpenLDAP para diversos ambientes de implantação.
• Implementar mecanismos de controle de acesso, autenticação e replicação.
• Usar OpenLDAP com serviços e aplicativos de terceiros.

Este treinamento ao vivo conduzido por instrutor em Portugal (no local ou remoto) é destinado a administradores de sistema que desejam usar OpenAM para gerenciar controles de identidade e acesso para aplicativos da web.

No final deste treinamento, os participantes serão capazes de:

• Configurar o ambiente de servidor necessário para começar a configurar a autenticação e os controlos de acesso utilizando OpenAM.
• Implementar recursos de logon único (SSO), autenticação multifator (MFA) e autoatendimento do usuário para aplicativos da web.
• Utilizar serviços de federação (OAuth 2.0, OpenID, SAML v2.0, etc.) para alargar a gestão de identidades de forma segura a diferentes sistemas ou aplicações.
• [Gerir serviços de autenticação, autorização e identidade através de APIs REST.

Este treinamento ao vivo conduzido por instrutor em Portugal (no local ou remoto) é destinado a administradores de sistema que desejam usar OpenDJ para gerenciar as credenciais de usuário de sua organização em um ambiente de produção.

No final deste treinamento, os participantes serão capazes de:

• Instalar e configurar OpenDJ.
• Manter um servidor OpenDJ, incluindo monitorização, resolução de problemas e otimização do desempenho.
• Criar e gerenciar vários bancos de dados OpenDJ.
• Fazer backup e migrar um servidor OpenDJ.