Ohjelmistokehittäjien tietoturvakoulutus

Olemme pitäneet noin 100 koulutusta ohjelmistokehittäjille eri aiheista.

Koulutuksen tavoitteena on lisätä ohjelmistokehittäjien tietoturvaosaamista ja saavuttaa pysyvä tasonparannus kehitettävien sovellusten ja järjestelmien tietoturvaan. Koulutuksen jälkeen osallistujat tietävät miten tietoturva tulee ottaa huomioon sovelluskehityksen eri vaiheissa ja osaavat muun muassa paremmin soveltaa eri haavoittuvuuksien tunnistusmenetelmiä ja -tekniikoita käytännössä.

 

Koulutuksen kohderyhmä ja esitietovaatimukset

Koulutuksen kohderyhmänä on ohjelmistokehittäjät, testaajat, palvelinylläpitäjät ja projektipäälliköt. Osallistujien esitietovaatimukset voivat vaihdella, sillä koulutustapahtuma on interaktiivinen ja esimerkiksi käytännön harjoitukset tehdään pareittain osaamistason mukaan.

 

Koulutuksen rakenne ja sisältö

Koulutus pidetään yleensä joko yhden tai kahden päivän mittaisena. Sisältö, laajuus, syvyys ja kesto sovitaan ja tarkennetaan aina ennen varsinaista koulutusta.

Yleisimpiä aihealueita, joista asiakkaalle räätälöidään aina sopiva kokonaisuus, ovat:

 

Johdatus tietoturvaan

Lyhyt motivointi koulutukseen – miksi tietoturva on tärkeää ja kuka haavoittuvuuksia hyväksikäyttää. Konkreettisia esimerkkejä hyväksikäyttötapauksista.

 

OWASP Top 10

Kymmenen yleisintä / vakavinta websovellushaavoittuvuutta käytännön esimerkein. Kehittäjät saavat perusymmärryksen haavoittuvuuksista, oppivat tunnistamaan haavoittuvuuksia ja niiden syntymekanismeja sekä saavat tietoa ja oppivat ajattelua miten haavoittuvuuksien syntymisen voi estää.

 

Tietoturva sovelluskehityksessä

Tutustutaan miten tietoturva tulee huomioida sovelluskehityksen eri vaiheissa ja miten tietoturva voidaan huomioida esimerkiksi ketteriä menetelmiä käyttäen. Käydään läpi menetelmiä tietoturvavaatimusten luomisesta, uhkamallinnuksesta, hyökkäyspinta-alan minimoinnista sekä turvallisesta kehitysmenetelmistä.

Turvallisen sovelluskehitysprosessin avulla tietoturva voidaan huomioida sovelluksen elinkaaren eri vaiheissa ja käytössä olevat resurssit voidaan kohdentaa tehokkaasti tietoturvaa parantaviin asioihin.

 

Tietoturvan yleisiä periaatteita

Tietoturvan yleiset periaatteet – Mitä esimerkiksi riskillä tarkoitetaan, kuinka paljon tietoturvaan tulisi panostaa? Ymmärtämällä tietoturvan perusperiaatteet, voidaan tietoturvaan panostaa riittävästi kuitenkaan käyttämättä siihen liikaa resursseja.

 

Harjoitustehtävät

Tutustutaan tietoturvatestauksessa ja haavoittuvuuksien tunnistamisessa käytettäviin työkaluihin. Tämän jälkeen tehdään harjoitustehtäviä, joissa osallistujat pääsevät hyökkäämään haavoittuvia sovelluksia vastaan. Työkalut esiasennetaan osallistujien koneille.

 

Kouluttaja

Kouluttajana toimii 2NS:n sovellustietoturva-asiantuntija ja eettinen hakkeri (CISSP, CISA, CISM), jolla on vahva käytännön kokemus ohjelmistokehityksen tukemisesta, ohjelmistojen tietoturvatestauksista, uhkamallinnuksista ja tietoturvamäärityksistä. Kouluttaja kuuluu myös 2NS:n haavoittuvuustutkimustiimiin, joka on julkaissut haavoittuvuustiedotteita mm. A-Linkin, Buffalon, Checkpointin, IBM:n, F-Securen, HP:n, Oraclen, SAP:in, Xeroxin ja Zyxelin järjestelmistä.