Capture the Flag (CTF)培训

描述：

本课程旨在为 ISACA 的注册信息系统审计师 （CRISC） 考试准备紧张而硬核的考试。ISACA CRISC 教学大纲的最新四 （4） 个领域将重点放在考试上。参加会议时还将提供官方 ISACA CRISC 复习手册和问答和解释 （Q，A&E） 补充。Q，A&E在帮助代表们理解ISACA风格的问题，ISACA正在寻找的答案类型方面非常出色，它有助于快速记忆同化材料。

ISACA 在 CRISC 认证中推广和评估的技术技能和实践是该领域成功的基石。拥有 CRISC 认证证明了您在该行业的技能。随着对具有风险和控制专业知识的专业人员的需求不断增长，ISACA 的 CRISC 已将自己定位为全球个人和企业的首选认证计划。CRISC 认证表示致力于为企业和所选专业提供卓越的服务。

目标：

• 帮助您第一次通过 CRISC 考试。
• 拥有此认证将意味着您致力于为企业提供卓越的服务。
• 对具有风险和控制技能的专业人员的需求不断增长，将使该认证的持有者能够获得更好的职位和薪水。

您将学习：

• 通过设计、实施、监控和维护基于风险、高效和有效的信息系统控制，帮助企业实现业务目标。
• CRISC 提倡的技术技能和实践，是该领域成功的基石。

这种以讲师为主导的 中国（在线或现场）现场培训面向希望提高识别和管理 IT 风险和实施信息系统控制的技能并准备 CRISC 认证考试的中级 IT 专业人员。

在培训结束时，参与者将能够：

• 了解 IT 的治理和风险管理方面。
• 进行IT风险评估并实施风险响应。
• 设计和实施信息系统控制。
• 有效准备 CRISC 认证考试。

这种以讲师为主导的中国现场培训（现场或远程）面向希望使用IBM Qradar SIEM解决紧迫安全用例的安全工程师。

在培训结束时，参与者将能够：

• 跨本地和云环境获得对企业数据的可见性。
• 自动执行安全情报，以搜寻威胁并控制风险。
• 检测、识别威胁并确定其优先级。

这种以讲师为主导的中国现场培训（现场或远程）针对的是希望在保护自己免受类似影响的同时对第三方进行研究的人。

在培训结束时，参与者将能够：

• 安装和配置用于执行 OSINT 的高级工具。
• 使用高级技术收集与调查相关的公开可用数据。
• 高效分析大量数据。
• 生成有关调查结果的情报报告。
• 利用 AI 工具进行面部识别和情绪分析。
• 制定战略，定义目标，并将工作引向最相关和可操作的数据。

本开放源智能入门（OSINT）课程将为代表们提供技能，使他们能够更有效地在互联网和万维网上找到关键的智能部分。该课程非常实用，使代表们有时间探索和理解可用的数百种工具和网站。
下一级别深入使用对隐蔽的互联网调查和情报收集至关重要的高级工具。该课程非常实用，让代表们有时间探索和理解所涵盖的工具和资源。“

这种以讲师为主导的中国现场培训（现场或远程）涵盖了企业安全的不同方面，从AI到数据库安全。它还涵盖了抵御攻击所需的最新工具、流程和思维方式。 

描述：

这个为期 2 天的 CCSK Plus 课程包括 CCSK 基础课程的所有内容，并在第二天的培训中通过广泛的动手实验对其进行扩展。学生将通过执行一系列练习来学习应用他们的知识，这些练习涉及将虚构组织安全地引入云的场景。完成此培训后，学生将为由 Cloud Security Alliance 赞助的 CCSK 认证考试做好充分准备。第二天的培训包括额外的讲座，尽管学生将在练习期间花费大部分时间评估、构建和保护云基础设施。

目标：

这是一个为期两天的课程，从 CCSK- 基础培训开始，然后是第二天的额外内容和实践活动

目标受众：

本课程面向安全专业人员，但对于任何希望扩展云安全知识的人也很有用。

本课程将帮助专业人员了解应用程序安全性的价值和限制。虽然应用程序安全主体提供了有关当今应用程序中某些主要风险的宝贵意识，但本课程将突出显示好的和不太好的。

该课程至关重要，因为开发人员越来越需要以安全的方式进行编码。将安全性作为质量组件引入开发周期至关重要。本课程旨在通过使用我们专门开发的不安全Web应用程序的实践练习，向开发人员介绍各种安全漏洞。

Android是一款面向移动设备（如手机和平板电脑）的开放平台。它具有多种安全功能，可以更轻松地开发安全软件;但是，它也缺少其他手持平台中存在的某些安全方面。本课程全面概述了这些功能，并指出了与底层Linux ，文件系统和环境相关的最重要的缺点，以及使用权限和其他Android软件开发组件。

本机代码和Java应用程序都描述了典型的安全隐患和漏洞，以及避免和减轻它们的建议和最佳实践。在许多情况下，现实生活中的例子和案例研究都支持讨论过的问题。最后，我们简要概述了如何使用安全测试工具来揭示任何与安全相关的编程错误。

参加此课程的学员将

• 了解安全性，IT安全性和安全编码的基本概念
• 了解Android上的安全解决方案
• 学习使用Android平台的各种安全功能
• 获取有关Android Java最近一些漏洞的信息
• 了解典型的编码错误以及如何避免错误
• 了解Android上的本机代码漏洞
• 实现本机代码中不安全缓冲区处理的严重后果
• 了解架构保护技术及其弱点
• 获取有关安全编码实践的资料和进一步阅读材料

听众

专业人士

现在有许多编程语言可以将代码编译到.NET和ASP.NET框架中。环境提供了强大的安全开发手段，但开发人员应该知道如何应用体系结构和编码级编程技术，以实现所需的安全功能，避免漏洞或限制其利用。

本课程的目的是通过大量实践练习教授开发人员如何防止不受信任的代码执行特权操作，通过强身份验证和授权保护资源，提供远程过程调用，处理会话，为某些功能引入不同的实现，以及许多更多。一个特殊部分专门用于配置和强化.NET和ASP.NET环境以确保安全性。

对密码学基础的简要介绍为理解各种算法的目的和操作提供了一个通用的实用基础，基于该基础，该课程提供了可在.NET中使用的加密功能。随后引入了一些最近的加密漏洞，这些漏洞既与某些加密算法和加密协议有关，也与旁道攻击有关。

引入不同的漏洞首先要介绍使用.NET时提交的一些典型编程问题，包括输入验证，错误处理或竞争条件的错误类别。特别关注XML安全性，而ASP.NET特定漏洞的主题解决了一些特殊问题和攻击方法：如攻击ViewState或字符串终止攻击。

参加此课程的学员将

• 了解安全性，IT安全性和安全编码的基本概念
• 学习使用.NET开发环境的各种安全功能
• 对密码学有实际的了解
• 了解最近针对密码系统的一些攻击
• 获取有关.NET和ASP.NET中最近一些漏洞的信息
• 了解典型的编码错误以及如何避免错误
• 获得使用安全测试工具的实用知识
• 获取有关安全编码实践的资料和进一步阅读材料

听众

开发商

实施安全的网络应用程序可能很困难,即使是开发人员可能已经提前使用了各种加密构建区块(如加密和数字签名)。 为了让参与者了解这些加密原始物的作用和使用,首先,对安全通信的主要要求 - 安全认可、完整性、隐私性、远程识别和匿名性 - 提供了一个坚实的基础,同时还介绍了可能损害这些要求的典型问题以及现实世界解决方案。

作为网络安全的关键方面是加密,在同步加密,哈希,无形加密和关键协议中,最重要的加密算法也被讨论。 而不是提出深入的数学背景,这些元素从开发者的角度讨论,展示典型的使用案例和与加密货币的使用相关的实际考虑,如公共关键基础设施。 安全协议在许多安全通信领域被引入,对最广泛使用的协议家庭,如IPSEC和SSL/TLS进行了深入的讨论。

典型的加密漏洞都被讨论与某些加密算法和加密协议有关,如 BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE 等,以及 RSA 时间攻击。 在每個情況下,實際考慮和可能的後果都被描述為每個問題,再次,不進入深度數學細節。

最后,由于 XML 技术是网络应用数据交换的核心,则描述了 XML 的安全方面。 这包括使用 XML 在网页服务和 SOAP 消息以及保护措施,如 XML 签名和 XML 加密 - 以及这些保护措施的弱点和 XML 特定的安全问题,如 XML 注射, XML 外部实体(XXE)攻击, XML 炸弹,和 XPath 注射。

參加這項課程的參與者將

• 了解安全、IT安全和安全编码的基本概念
• 了解安全通讯的要求
• 了解不同 OSI 层的网络攻击和防御
• 了解加密的实用知识
• 了解基本安全协议
• 了解一些最近对加密系统的攻击
• 获取有关最近的一些相关漏洞的信息
• 了解网络服务的安全概念
• 获取安全编码实践的来源和更多阅读

观众

开发人员、专业人士

为了以最好的方式服务于在日常工作中同时使用各种平台的异构开发团队，我们将各种主题合并为一个综合课程，在单个培训活动中以教学方式呈现各种安全编码主题。本课程结合了C / C ++和Java平台安全性，提供了广泛的跨平台安全编码专业知识。 关于C / C ++，讨论了常见安全漏洞，并讨论了利用这些漏洞的攻击方法的实践练习，重点讨论了可用于防止这些危险漏洞发生的缓解技术，在市场推出之前检测它们或防止他们的剥削。 Java的安全组件和服务通过一系列实践练习介绍不同的API和工具进行讨论，参与者可以在这些练习中获得使用经验。该课程还涵盖了Web服务和相关Java服务的安全问题，这些服务可用于防止基于Internet的服务出现最严重的威胁。最后，易于理解的练习演示了Web和Java相关的安全漏洞，这些漏洞不仅显示了问题的根源，还演示了攻击方法以及推荐的缓解和编码技术，以避免相关的安全问题。 参加本课程的学员将会理解安全性，IT安全性和安全编码的基本概念了解OWASP Top Ten之外的Web漏洞并了解如何避免它们了解客户端漏洞和安全编码实践学习使用Java开发环境的各种安全特性对密码学有实际的理解实现不安全缓冲区处理的严重后果了解建筑保护技术及其弱点了解典型的编码错误以及如何避免它们了解各种平台，框架和库中最近的漏洞获取有关安全编码实践的资料和更多资料听众开发商

移民到云带来了企业和个人在效率和成本方面巨大的好处。 至于安全性,影响是相当多样的,但这是一个常见的观念,使用云服务会以积极的方式影响安全。 然而,观点甚至在确定谁负责确保云资源的安全方面有许多差异。

覆盖 IaaS、PaaS 和 SaaS,首先讨论了基础设施的安全性:硬化和配置问题以及认证和授权的各种解决方案以及身份管理应该是所有安全架构的核心。 这跟随了一些关于法律和合同问题的基本原则,即信任如何建立和管理在云中。

通过云安全的旅程继续了解云特定的威胁以及攻击者的目标和动机以及针对云解决方案的典型攻击步骤。 专注于云审计,并在所有层面提供云解决方案的安全评估,包括渗透测试和漏洞分析。

该课程的重点是应用安全问题,处理数据安全和应用程序本身的安全。 从应用安全的角度来看,云计算安全与一般软件安全并不大大不同,因此基本上所有列出的漏洞在这个领域也是相关的。 它是威胁和风险的组合,使差异,因此培训结束了各种云特定的攻击引擎的列表,连接到预先讨论的弱点。

參加這項課程的參與者將

• 了解安全、IT安全和安全编码的基本概念
• 了解云域中的重大威胁和风险
• 了解基本云安全解决方案
• 获取关于云的信任和治理的信息
• 了解加密的实用知识
• 在云中的应用安全方面获得广泛的知识
• 了解超越网页的漏洞 OWASP 十大,并知道如何避免它们
• 了解对云系统安全审计和评估的挑战
• 了解如何保护云环境和基础设施
• 获取安全编码实践的来源和更多阅读

观众

开发人员、管理人员、专业人士

这个为期三天的课程涵盖了保护C / C++代码以防止可能利用内存管理和输入处理利用代码中的许多漏洞的恶意用户的基础知识，该课程涵盖了编写安全代码的原则。

即使是经验丰富的Java程序员也并不掌握Java提供的各种安全服务，同样也不知道与使用Java编写的Web应用程序相关的不同漏洞。 该课程除了引入标准Java版的安全组件外，还涉及Java企业版（JEE）和Web服务的安全问题。在密码学和安全通信的基础之前，讨论具体的服务。各种练习涉及JEE中的声明性和程序化安全技术，同时讨论了传输层和端到端Web服务的安全性。所有组件的使用都通过几个实践练习来呈现，参与者可以在其中尝试所讨论的API和工具。 本课程还介绍了Java语言和平台以及与Web相关的漏洞的最常见和最严重的编程缺陷。除了Java程序员犯下的典型错误之外，引入的安全漏洞还涵盖了源自运行时环境的语言特定问题和问题。所有漏洞和相关攻击都通过简单易懂的练习来演示，然后是推荐的编码指南和可能的缓解技术。 参加本课程的学员将会理解安全性，IT安全性和安全编码的基本概念了解OWASP Top Ten之外的Web漏洞并了解如何避免它们了解Web服务的安全性概念学习使用Java开发环境的各种安全特性对密码学有实际的理解了解Java EE的安全解决方案了解典型的编码错误以及如何避免它们获取关于Java框架中最近的一些漏洞的信息获得使用安全测试工具的实用知识获取有关安全编码实践的资料和更多资料听众开发商