EC-Council Certified DevSecOps Engineer (ECDE)

La implementación de una aplicación en red segura puede ser difícil, incluso para los desarrolladores que pueden haber utilizado varios bloques de construcción criptográficos (como el cifrado y las firmas digitales) de antemano. Con el fin de que los participantes comprendan el papel y el uso de estas primitivas criptográficas, primero se proporciona una base sólida sobre los principales requisitos de la comunicación segura (reconocimiento seguro, integridad, confidencialidad, identificación remota y anonimato), al tiempo que se presentan los problemas típicos que pueden dañar estos requisitos junto con soluciones del mundo real.

Dado que la criptografía es un aspecto crítico de la seguridad de la red, también se analizan los algoritmos criptográficos más importantes en criptografía simétrica, hashing, criptografía asimétrica y concordancia de claves. En lugar de presentar una base matemática en profundidad, estos elementos se analizan desde la perspectiva de un desarrollador, mostrando ejemplos de casos de uso típicos y consideraciones prácticas relacionadas con el uso de las criptomonedas, como las infraestructuras de clave pública. Se introducen los protocolos de seguridad en muchas áreas de la comunicación segura, con un análisis en profundidad de las familias de protocolos más utilizadas, como IPSEC y SSL/TLS.

Se discuten las vulnerabilidades típicas de las criptomonedas tanto relacionadas con ciertos algoritmos de criptografía como con protocolos criptográficos, como BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE y similares, así como el ataque de sincronización RSA. En cada caso, se describen las consideraciones prácticas y las posibles consecuencias de cada problema, de nuevo, sin entrar en detalles matemáticos profundos.

Por último, dado que la tecnología XML es fundamental para el intercambio de datos por parte de aplicaciones en red, se describen los aspectos de seguridad de XML. Esto incluye el uso de XML dentro de los servicios web y los mensajes SOAP junto con medidas de protección como la firma XML y el cifrado XML, así como las debilidades en esas medidas de protección y los problemas de seguridad específicos de XML, como la inyección XML, los ataques de entidad externa (XXE), las bombas XML y la inyección XPath.

Los participantes que asistan a este curso podrán:

• Comprender los conceptos básicos de seguridad, seguridad informática y codificación segura.
• Comprender los requisitos de la comunicación segura
• Más información sobre los ataques y defensas de red en diferentes capas de OSI
• Tener una comprensión práctica de la criptografía
• Comprender los protocolos de seguridad esenciales
• Comprender algunos ataques recientes contra criptosistemas
• Obtenga información sobre algunas vulnerabilidades relacionadas recientes
• Comprender los conceptos de seguridad de los servicios web
• Obtenga fuentes y lecturas adicionales sobre prácticas de codificación segura

Audiencia

Desarrolladores, Profesionales

Este curso de tres días abarca los fundamentos para proteger el código C/C++ contra usuarios malintencionados que pueden aprovechar muchas vulnerabilidades en el código, relacionadas con la gestión de memoria y el manejo de entradas. El curso cubre los principios de escritura de código seguro.

Incluso los programadores experimentados en Java no dominan necesariamente todos los servicios de seguridad ofrecidos por el lenguaje, ni son conscientes de las distintas vulnerabilidades relevantes para las aplicaciones web desarrolladas en Java.

Este curso, además de introducir los componentes de seguridad de Java Standard Edition, aborda los problemas de seguridad de Java Enterprise Edition (JEE) y los servicios web. El estudio de servicios específicos se precede de los fundamentos de la criptografía y la comunicación segura. Varios ejercicios tratan las técnicas de seguridad declarativa y programática en JEE, mientras que se discute tanto la seguridad a nivel de transporte como la seguridad de extremo a extremo en los servicios web. El uso de todos los componentes se presenta mediante varios ejercicios prácticos, donde los participantes pueden probar por sí mismos las APIs y herramientas tratadas.

El curso también revisa y explica las fallas de programación más frecuentes y graves del lenguaje y la plataforma Java, así como las vulnerabilidades relacionadas con la web. Además de los errores típicos cometidos por los programadores de Java, las vulnerabilidades de seguridad introducidas abarcan tanto problemas específicos del lenguaje como problemas derivados del entorno de ejecución. Todas las vulnerabilidades y los ataques relevantes se demuestran a través de ejercicios fáciles de entender, seguidos de las pautas de codificación recomendadas y las posibles técnicas de mitigación.

Los participantes que asisten a este curso

• Comprenderán los conceptos básicos de seguridad, seguridad de TI y codificación segura.
• Aprenderán sobre vulnerabilidades web más allá de los OWASP Top Ten y sabrán cómo evitarlas.
• Comprenderán los conceptos de seguridad de los servicios web.
• Aprenderán a utilizar diversas características de seguridad del entorno de desarrollo de Java.
• Tendrán una comprensión práctica de la criptografía.
• Comprenderán las soluciones de seguridad de Java EE.
• Aprenderán sobre los errores de codificación típicos y cómo evitarlos.
• Obtendrán información sobre algunas vulnerabilidades recientes en el marco de trabajo de Java.
• Adquirirán conocimientos prácticos en el uso de herramientas de pruebas de seguridad.
• Recibirán fuentes y lecturas adicionales sobre prácticas de codificación segura.

Público objetivo

Desarrolladores

Descripción

El lenguaje de Java y el Entorno de Tiempo de Ejecución (JRE) fueron diseñados para estar libres de las vulnerabilidades de seguridad comunes y más problemáticas que se experimentan en otros lenguajes, como C/C++. Sin embargo, los desarrolladores y arquitectos de software no solo deben saber cómo utilizar las diversas características de seguridad del entorno Java (seguridad positiva), sino que también deben ser conscientes de las numerosas vulnerabilidades que siguen siendo relevantes para el desarrollo en Java (seguridad negativa).

La introducción a los servicios de seguridad va precedida de una breve visión general de los fundamentos de la criptografía, proporcionando una base común para comprender el propósito y el funcionamiento de los componentes aplicables. El uso de estos componentes se presenta a través de varios ejercicios prácticos, donde los participantes pueden probar por sí mismos las APIs discutidas.

El curso también revisa y explica los defectos de programación más frecuentes y graves del lenguaje y la plataforma Java, cubriendo tanto los errores típicos cometidos por los programadores de Java como los problemas específicos del lenguaje y del entorno. Todas las vulnerabilidades y los ataques relevantes se demuestran a través de ejercicios fáciles de entender, seguidos de las guías de codificación recomendadas y las posibles técnicas de mitigación.

Los participantes que asistan a este curso

• Comprenderán los conceptos básicos de seguridad, seguridad informática y codificación segura
• Aprenderán sobre vulnerabilidades web más allá de los OWASP Top Ten y sabrán cómo evitarlas
• Aprenderán a utilizar varias características de seguridad del entorno de desarrollo de Java
• Tendrán una comprensión práctica de la criptografía
• Aprenderán sobre errores típicos de codificación y cómo evitarlos
• Obtendrán información sobre algunas vulnerabilidades recientes en el marco de trabajo Java
• Obtendrán fuentes y lecturas adicionales sobre prácticas de codificación segura

Audiencia

Desarrolladores

En la actualidad, existen diversos lenguajes de programación que permiten compilar código para los entornos .NET y ASP.NET. Este entorno ofrece potentes herramientas para el desarrollo de seguridad, pero los desarrolladores deben saber cómo aplicar las técnicas de programación a nivel de arquitectura y código para implementar la funcionalidad de seguridad deseada, evitar vulnerabilidades o limitar su explotación.

El objetivo de este curso es enseñar a los desarrolladores, mediante numerosas prácticas, a evitar que el código no confiable realice acciones privilegiadas, proteger los recursos mediante una autenticación y autorización robustas, realizar llamadas a procedimientos remotos, gestionar sesiones, implementar diferentes alternativas para ciertas funcionalidades, y mucho más.

La presentación de diversas vulnerabilidades comienza mostrando algunos problemas de programación típicos al utilizar .NET, mientras que la discusión sobre las vulnerabilidades de ASP.NET también aborda las diferentes configuraciones del entorno y sus efectos. Finalmente, el tema de las vulnerabilidades específicas de ASP.NET no solo trata algunos desafíos generales de seguridad en aplicaciones web, sino también aspectos especiales y métodos de ataque, como el ataque al ViewState o los ataques por terminación de cadenas.

Los participantes que cursen esta formación

• Comprenderán los conceptos básicos de seguridad, seguridad informática y codificación segura.
• Aprenderán sobre vulnerabilidades web más allá de las OWASP Top Ten y sabrán cómo evitarlas.
• Aprenderán a utilizar las distintas características de seguridad del entorno de desarrollo de .NET.
• Obtendrán conocimientos prácticos sobre el uso de herramientas de pruebas de seguridad.
• Aprenderán cuáles son los errores de codificación típicos y cómo evitarlos.
• Recibirán información sobre algunas vulnerabilidades recientes en .NET y ASP.NET.
• Dispondrán de fuentes y lecturas complementarias sobre prácticas de codificación segura.

Público objetivo

Desarrolladores

El curso proporciona habilidades esenciales para los desarrolladores de PHP necesarias para hacer que sus aplicaciones sean resistentes a los ataques contemporáneos a través de Internet. Se discuten las vulnerabilidades web mediante ejemplos basados en PHP, superando el Top Ten de OWASP, abordando diversos ataques de inyección, inyecciones de scripts, ataques contra la gestión de sesiones de PHP, referencias directas a objetos no seguras, problemas con el cargue de archivos y muchos otros. Se introducen las vulnerabilidades relacionadas con PHP agrupándolas en los tipos estándar de vulnerabilidades como falta o uso incorrecto de la validación de entrada, manejo incorrecto de errores y excepciones, uso inadecuado de características de seguridad y problemas relacionados con el tiempo y el estado. Para este último punto, se discuten ataques como la circunvalación de open_basedir, denegación de servicio a través del float mágico o el ataque por colisión en la tabla hash. En todos los casos, los participantes se familiarizarán con las técnicas y funciones más importantes para mitigar los riesgos enlistados.

Se da un enfoque especial a la seguridad del lado del cliente abordando problemas de seguridad de JavaScript, Ajax y HTML5. Se introducen una serie de extensiones relacionadas con la seguridad para PHP, como hash, mcrypt y OpenSSL para criptografía, o Ctype, ext/filter y HTML Purifier para validación de entrada. Se presentan las mejores prácticas de fortalecimiento en conexión con la configuración de PHP (ajuste de php.ini), Apache y el servidor en general. Finalmente, se proporciona un panorama de diversas herramientas y técnicas de pruebas de seguridad que los desarrolladores y probadores pueden usar, incluyendo escáneres de seguridad, pruebas de penetración y paquetes de explotaciones, sniffers, servidores proxy, herramientas de fuzzing y analizadores estáticos de código fuente.

Tanto la introducción de vulnerabilidades como las prácticas de configuración están respaldadas por una serie de ejercicios prácticos que demuestran las consecuencias de los ataques exitosos, mostrando cómo aplicar técnicas de mitigación e introduciendo el uso de diversas extensiones y herramientas.

Los participantes que asistan a este curso podrán

• Comprender los conceptos básicos de seguridad, seguridad informática y codificación segura
• Aprender sobre vulnerabilidades web más allá del Top Ten de OWASP y saber cómo evitarlas
• Aprender sobre vulnerabilidades del lado del cliente y prácticas de codificación segura
• Tener un entendimiento práctico de la criptografía
• Aprender a usar diversas características de seguridad de PHP
• Saber sobre errores típicos de codificación y cómo evitarlos
• Estar informados sobre vulnerabilidades recientes del marco de trabajo PHP
• Tener conocimientos prácticos en el uso de herramientas de pruebas de seguridad
• Obtener fuentes y lecturas adicionales sobre prácticas de codificación segura

Público objetivo

Desarrolladores

El entrenamiento combinado de SDL core proporciona una visión sobre el diseño, desarrollo y prueba seguros del software a través del Microsoft Secure Development Lifecycle (SDL). Ofrece un resumen de nivel 100 de los componentes fundamentales del SDL, seguido por técnicas de diseño para detectar y corregir fallos en las etapas tempranas del proceso de desarrollo.

En cuanto a la fase de desarrollo, el curso proporciona un resumen de los errores de programación típicamente relevantes para el seguridad tanto en código administrado como nativo. Se presentan métodos de ataque para las vulnerabilidades discutidas, junto con técnicas de mitigación asociadas, todo explicado a través de una serie de ejercicios prácticos que proporcionan diversión de hacking en vivo para los participantes. La introducción de diferentes métodos de prueba de seguridad se sigue demostrando la efectividad de varias herramientas de prueba. Los participantes pueden comprender el funcionamiento de estas herramientas a través de una serie de ejercicios prácticos aplicando las herramientas al código vulnerable ya discutido.

Los participantes que asistan a este curso

Comprenderán los conceptos básicos de seguridad, IT security y codificación segura

Conocerán los pasos esenciales del Microsoft Secure Development Lifecycle

Aprenderán prácticas de diseño y desarrollo seguros

Aprenderán principios de implementación segura

Comprenderán la metodología de prueba de seguridad

• Obtendrán fuentes y lecturas adicionales sobre prácticas de codificación segura

Público objetivo

Desarrolladores, Gerentes

Proteger aplicaciones accesibles a través de la web requiere profesionales de seguridad bien preparados que estén siempre al tanto de los métodos y tendencias de ataque actuales. Existen una gran variedad de tecnologías y entornos que permiten el desarrollo cómodo de aplicaciones web. No solo se debe estar consciente de los problemas de seguridad relevantes para estas plataformas, sino también de todas las vulnerabilidades generales que se aplican independientemente de las herramientas de desarrollo utilizadas.

El curso proporciona una visión general de las soluciones de seguridad aplicables en las aplicaciones web, con un enfoque especial en la comprensión de las soluciones criptográficas más importantes a implementar. Se presentan diversas vulnerabilidades de aplicaciones web tanto del lado del servidor (siguiendo el OWASP Top Ten) como del lado del cliente, demostradas a través de los ataques relevantes y seguidas por las técnicas de codificación recomendadas y métodos de mitigación para evitar los problemas asociados. El tema de la codificación segura se cierra con una discusión sobre algunos errores típicos de programación relacionados con la validación de entradas, el uso inadecuado de características de seguridad y la calidad del código.

La prueba juega un papel muy importante en garantizar la seguridad y robustez de las aplicaciones web. Se pueden aplicar diversos enfoques, desde auditorías de alto nivel hasta pruebas de penetración y hacking ético, para encontrar vulnerabilidades de diferentes tipos. Sin embargo, si se quiere ir más allá de los errores fáciles de encontrar, la prueba de seguridad debe estar bien planificada y ejecutada adecuadamente. Recuerde: los probadores de seguridad deberían encontrar idealmente todos los errores para proteger un sistema, mientras que para los adversarios es suficiente con encontrar una vulnerabilidad explotable para penetrar en él.

Los ejercicios prácticos ayudarán a comprender las vulnerabilidades de aplicaciones web, los errores de programación y, lo más importante, las técnicas de mitigación, junto con pruebas prácticas de diversas herramientas de prueba desde escáneres de seguridad, hasta sniffers, servidores proxy, herramientas de fuzzing y analizadores estáticos de código fuente. Este curso proporciona las habilidades prácticas esenciales que se pueden aplicar al día siguiente en el lugar de trabajo.

Los participantes que asistan a este curso

• Comprenderán los conceptos básicos de seguridad, IT seguridad y codificación segura
• Aprenderán vulnerabilidades web más allá del OWASP Top Ten y cómo evitarlas
• Aprenderán vulnerabilidades del lado del cliente y prácticas de codificación segura
• Tendrán una comprensión práctica de la criptografía
• Comprenderán los enfoques y metodologías de pruebas de seguridad
• Obtendrán conocimientos prácticos en el uso de técnicas y herramientas de prueba de seguridad
• Estará informados sobre vulnerabilidades recientes en diversas plataformas, marcos y bibliotecas
• Obtendrán fuentes y lecturas adicionales sobre prácticas de codificación segura

Público

Desarrolladores, probadores

En este curso dirigido por un instructor y en vivo en Panama, los participantes aprenderán cómo formular la estrategia de seguridad adecuada para enfrentar el desafío de la seguridad DevOps.

Este curso en Panama tiene como objetivo ayudar en lo siguiente:

1. Ayuda a los desarrolladores a dominar las técnicas de escritura Secure Code
2. Ayude a los probadores de software a probar la seguridad de la aplicación antes de publicarla en el entorno de producción
3. Ayudar a los arquitectos de software a comprender los riesgos que rodean a las aplicaciones
4. Ayudar a los líderes de equipo a establecer las líneas base de seguridad para los desarrolladores
5. Ayude a los Web Masters a configurar los servidores para evitar errores de configuración

Este curso cubre los conceptos y principios de codificación segura con Java a través de la metodología de prueba del Proyecto de seguridad de aplicaciones web abiertas (OWASP). El Proyecto de seguridad de aplicaciones web abiertas es una comunidad en línea que crea artículos, metodologías, documentación, herramientas y tecnologías disponibles gratuitamente en el campo de la seguridad de aplicaciones web.

Este curso cubre los conceptos y principios de codificación segura con ASP.net a través de la metodología de prueba Open Web Application Security Project (OWASP), OWASP es una comunidad en línea que crea artículos, metodologías, documentación, herramientas y tecnologías disponibles gratuitamente en el campo de la seguridad de aplicaciones web. 

Este curso explora las características de seguridad de Dot Net Framework y cómo proteger las aplicaciones web.