Sikkerhetstrening med OWASP Top 10
OWASP Top 10 er en globalt utarbeidet og anerkjent liste over de vanligste og mest
kritiske sikkerhetssårbarhetene i moderne webapplikasjoner. Den ble laget for å øke
bevissthet rundt sikkerhet og er en verdifull ressurs for utviklere, sikkerhetseksperter
og organisasjoner.
Kursdatoer er ikke helt avklart ennå, men kontakt [email protected] for påmelding!
Et bevisst forhold til datasikkerhet kan bidra til å endre holdningen i utviklingsteam og organisasjoner mot en retning som verdsetter og prioriterer sikkerhet. Da vil det skapes en kultur der sikkerhet vurderes gjennom hele livssyklusen i stedet for å bli en kostbar ettertanke. Gjennom dette kurset vil deltakerne lære om OWASP Top 10, og samtidig få innblikk i hvordan en hacker kan oppdage og utnytte disse sårbarhetene. I tillegg skal vi introdusere trusselmodellering – et konkret sikkerhetsverktøy som kan og bør tas i bruk i de aller fleste utviklingsprosjekter.
Datasikkerhet trenger ikke være et kjedelig tema forbeholdt delegerte roller eller spesielt
interesserte. I kurset legger vi et fundament av teori, og bygger kunnskap og sikkerhetsbevissthet gjennom demoer og praktiske oppgaver. Deltakerne vil få innblikk i hvordan en målrettet hacker jobber. Deretter skal de selv prøve å angripe en webapplikasjon under veiledning av kursholderne. Denne måten å jobbe på er ikke bare en langt mer interessant måte å lære om sikkerhet – den gjør også et større inntrykk som man vil huske og forholde seg til i hverdagen.
Det praktiske arbeidet vil gjennomføres på instanser av OWASP JuiceShop - en nettbutikkapp laget for å lære om nettopp sårbarhetstesting og sikkerhetsbevissthet. Oppgavene er lagt til et grunnleggende nivå, men illustrerer samtidig reelle sårbarheter funnet i moderne webapplikasjoner.
Målgruppe og forutsetninger
• Bevissthet rundt sikkerhet er viktig for alle som har noe med utviklingsprosesser å gjøre. Dette gjelder spesielt utviklere, testere, arkitekter og prosjektledere, men også for produkteiere og andre interessenter.
• Kurset krever ingen forkunnskaper utover generell teknisk forståelse, men grunnleggende ferdigheter innen utvikling vil gjøre forståelsen av OWASP Top 10 og de relaterte oppgavene lettere.
• Deltakerne må stille med egen datamaskin med nettleser, fortrinnsvis Firefox eller Edge.
Etter kurset skal deltakerne ha
• Kunnskap om OWASP Top 10
• Økt bevissthet rundt datasikkerhet
• Erfaring med trusselmodellering
Kursdatoer er ikke helt avklart ennå, men kontakt [email protected] for påmelding!
Kursinstruktør
Fartein er konsulent i Sikkerhetsavdelingen til Bouvet. Han er utdannet sivilingeniør i Kommunikasjonsteknologi og Digital Sikkerhet ved NTNU og engasjerer seg for datasikkerhet både på og utenfor arbeidsplassen. Gjennom utdannelse, arbeid og fritidssyssel har Fartein fått erfaring med nettverkskonfigurasjon og -administrasjon, penetrasjonstesting, sikring av kritisk infrastruktur, sikkerhetsledelse, virusanalyse, innbruddsdeteksjon og personvern. Samtidig er han scenevant og har en pedagogisk tilnærming når han presenterer.
Merete jobber som sikkerhetskonsulent i Bouvet og har en bred sikkerhetskompetanse fra studiene i Digital Infrastruktur og Cybersikkerhet ved NTNU. Hun har en lidenskap for sikkerhet og har god erfaring med programvare sikkerhet, inkludert automatiske sikkerhetstestings metodikker som SAST, DAST og SCA. Til daglig jobber Merete med logging og alarmsystemer for å kunne oppdage og agere på sikkerhetshendelser, og hun er aktiv i faggruppen for Sikkerhet som jobber med å fremme og synliggjøre sikkerhet innad i Bouvet.
Johan er en sikkerhetskonsulent i Bouvet som har hatt flere sentrale sikkerhetsleveranser innen rådgivning, teknologi og arkitektur. På den faglige fronten er sikkerhet en tematikk Johan brenner for, og han har en stor vilje til å bidra med å løse fremtidens sikkerhetsutfordringer. Han har rollen som Security Lead og har fagansvaret for sikkerhetsanalyse som fokuser på områder innen skysikkerhet og GRC. Dette gjør at Johan kan gi et nyansert bilde på trussellandskapet, og ha en god forståelse rundt sikkerhetsprinsippene som skal til for å beskytte en organisasjon. Erfaringene og kompetansen hans fra tidligere roller gir han en dyp innsikt i tversnittet av DevSecOps, GRC og skysikkerhet. Innsikten gjør at Johan har en beriket forståelse for hvordan man ivaretar digital sikkerhet i samspillet mellom forretning og teknologi.
Ønsker du å samle flere ansatte til et bedriftsinternt kurs?
Finner du ikke det helt optimale kurset eller kombinasjonen av kurs? Da ordner vi det - sammen. Vi kan tilrettelegge kurs slik at de inneholder akkurat det dere har behov for. Vi kan sette opp et helt nytt kurs, eller tilpasse eksisterende kurs og materiell. Flere medarbeidere kan selvfølgelig også samles til et eget felles kurs, for maksimal effektivitet. Ta kontakt med meg for et forslag til gjennomføring og et tilbud basert på deres behov.
