Trainings

Auf Basis unserer Erfahrung aus über 13 Jahren bieten wir verschiedene Trainings- und Workshopmodule an, die wir gerne auch auf die Wünsche und Erfordernisse unserer Kunden anpassen. So mag eine solche Veranstaltung in einem Fall eher als Workshop, in einem anderen als Schulung über mehere Tage durchgeführt werden.

Unser Fokus ist dabei stets der Nutzen einer solchen Veranstaltung. Wir sind daher nicht nur bestrebt die Teilnehmer aktiv einzubinden, sondern beraten Sie natürlich auch gerne im Vorhinein bei Planung und Ausgesaltung. Neben Trainings bieten wir auch weitere Qualifizierungsmaßnahmen (z.B. CBTs oder Guidelines) für Entwickler an, die sich häufig sehr sinnvoll kombinieren lassen.


Web Security Awareness und Secure Coding (Hands-On)

Unser flexibles Schulungsangebot richtet sich speziell an die Qualifikation von Entwicklern in Bezug auf Angriffe und Abwehr von Angriffen in Web-basierten Anwendungen.

Mögliche Inhalte sind:

  • Darstellung von häufigen Schwachstellen in Webanwendungen und deren Auswirkungen (inkl. der OWASP Top 10), z.B.
    • Manipulation der Geschäftslogik
    • Cross-Site Scripting (XSS)
    • Cross-Site Request Forgery (CSRF)
    • Session Hijacking
    • Privilege Escalation
    • Brute Forcing und Directory Attacks
    • Interpreter Injection (SQL, HQL, NoSQL)
    • Unsichere Deserialisierung
    • XML External Entity (XXE)
    • Application DoS
    • Unsichere Kryptographie
  • Einführung in Vorgehensweisen von Hackern
  • In einer zweitägigen Veranstaltung können wir zudem auf folgende Themen eingehen
    • Diskussion von Gegenmaßnahmen (Data Validation, Session Management, Authentifizierung, Autorisierung, etc.) mit zahlreichen Codebeispielen
    • Absicherung von Web- und Applikationsserver
    • Sicherer Einsatz von Docker
    • Vorstellung von Tools und Techniken zum Selbsttest und Integration in den Build (CI/CD-Toolkette)
    • Threat Modelling (verschiedene Vorgehensweisen möglich)
    • Einbeziehung aktueller Projektthemen des Kunden
  • Hands-on Übungen (aktives Ausnutzen von Schwachstellen durch die Teilnehmerin unserer Trainings-Applikation)

Das Training ist modular aufgebaut, wodurch es je nach dem Bedarf des Kunden individuell zusammengestellt werden kann. Möglich ist etwa, einen stärkeren Bezug auf die Umsetzung in bestimmten Programmiersprachen oder Frameworks (z.B. Java EE, Spring, JSF, Angular oder Node.JS) oder auch eine stärkere inhaltliche Vertiefung verschiedener Inhalte.

Neben zahlreichen Demos und Codebeispielen haben die Teilnehmer die Möglichkeit verschiedene Angriffe selbst anhand einer Demo-Anwendung direkt nachzuvollziehen. Diese Hands-On-Übungen lassen sich ebenfalls in Bezug auf Anzahl und Niveau an die Teilnehmer und die Wünsche des Kunden anpassen.

Dadurch lässt sich das Training sowohl innerhalb eines Tages (z.B. in Form eines Awareness-Workshops für unterschiedliche Teilnehmer mit Fokus auf Hands-On-Übungen) als auch von zwei Tagen (als Entwickler-Intensivtraining) durchführen.

Dauer: 1 Tag (Awareness Training), 2 Tage (Awareness & Secure Coding Training)


Workshop Agile Security & DevSecOps

Dieses Seminar richtet sich an alle Mitarbeiter in agilen Entwicklungsprojekten (Product Owner, Scrum Master, Entwickler, Tester und natürlich Security Professionals). Es werden hierbei generelle Probleme und entsprechende Lösungsansätze für agile Projekte anschaulich vermittelt.

Inhalte sind u.a.:

  • Grundlagen von Web & Agile Security
  • Best Practices für Scrum- und Kanban-basierte Projekten (Rollen, Tools, Vorgaben, etc.)
  • Sicherheitsanforderungen und -aktivitäten in agilen Projekten (Security Stories, Evil Stories, Security Refinements, Threat Modeling, Pentests etc.)
  • Einsatz von JIRA als Planungs- und Auswertungstool für Sicherheitsaktivitäten und -Risiken
  • Agile Security Testing (Security-Testautomatisierung, Pentests, etc.)
  • Security bei Continuous Delivery / Deployment (DevSecOps)

Dauer: 4 Stunden


Tool-basierte Sicherheitsanalysen

In diesem Seminar werden die Teilnehmer in der der Durchführung tool-basierter Sicherheitsanalysen ausgebildet.

Inhalte sind u.a.:

  • Grundlagen der Web Security
  • Grundlagen der Security-Testautomatisierung
  • Statische und dynamische Codeanalysen (SAST, IAST)
  • Websecurity-Scanner (DAST)
  • Software Composition Analysis (SCA)
  • Vorstellung von gängigen Enterprise- sowie Opensource-Tools
  • Kritische Diskussion gängiger Tools im OpenSource und Kommerziellen Bereich und ihre Limitationen
  • Best Practices bzgl. Integration Build bzw. CI-/CD-Toolkette (z.B. durch Integration in Jenkins)
  • Management und Bewertung von Security Findings (inkl. Diskussion entsprechender Metriken wie CVSS)

Es werden Grundlagen, Best Practices, Ansätze und Tools sowie ihrer jeweiligen Vor- und Nachteile erläutert und teilweise auch mit Hand-On-Übungen von den Schulungsteilnehmern nachvollzogen.

Auf Wunsch kann in diesem Seminar auf bestimmte Tools eingegangen werden (bzw. sich hierauf fokussieren), welche der Kunde etwa gerade im Einsatz hat oder deren Anschaffung er plant.

Dauer: 3-4 Stunden


Threat Modelling
In diesem Seminar lernen die Teilnehmer, wie sich mittels Bedrohungsmodellierung (Threat Modeling), Sicherheitsprobleme frühzeitig (bzw. im Design und der Architektur einer Anwendung) identifizieren, bewerten und entsprechende Maßnahmen ableiten können.

Inhalte:

  • Allgemeine Hintergründe und Ziele
  • Darstellung unterschiedlicher Varianten (asset- vs. systemzentrisch), existierende Vorgehensweisen (u.a. OWASP und Microsoft) und Tools (z.B. MS Threat Modeling Tool)
  • Vorstellung der allgemeinen Vorgehensweise der Secodis
  • Diskussion unterschiedlicher Methodiken zur Bedrohungsidentifikation, inkl. Threat-Mapping, DfD/STRIDE und Abuse Cases.
  • Diskussing von Varianten zur Bewertung von Bedrohungen (DREAD, CVSS/CWSS, Risiken)
  • Praktische Durchführung einer konkreten Bedrohungsanalyse (idealerweise auf Basis eines konkreten Projektes des Kunden und gemeinsam mit den Teilnehmern).

Die Durchführung kann sowohl vor Ort in den Räumlichkeiten des Kunden, als auch bei der Secodis in Hamburg, oder per Remote erfolgen.

Zielgruppe: Security Experten sowie Entwickler und Architekten (idealerweise bereits mit Grundkenntnissen im Bereich IT-Sicherheit).

Dauer: ca. 4 Stunden


Individuelles Coaching

Die sicherlich effektivste Form von Ausbildung besteht im gezielten Coaching einzelner Personen bzw. Rollen  (z.B. Entwickler, Projektleiter, Security Tester, Security Manager, etc.). Die Inhalte werden hierzu individuell an den Zielen und Vorkenntnissen der Teilnehmer abgestimmt.

Natürlich lassen sich im Rahmen eines Coachings auch gezielt die Anwendung von Security Tools (Installation, Bedienung, Regelerstellung, Reporting) vermitteln.