Sikkerhetstrening med OWASP Top 10



Kursarrangør: Bouvet
Sted: Bouvet avd Oslo
          Oslo, Majorstua
Kursadresse: Sørkedalsveien 8, 0369 Oslo (kart)
Type:Åpent kurs / gruppeundervisning
Studie / yrkesutdanning
Undervisningstid: kl 09:00 - 15:00
Varighet: 1 dag
Pris: 5.800

OWASP Top 10 er en globalt utarbeidet og anerkjent liste over de vanligste og mest kritiske sikkerhetssårbarhetene i moderne webapplikasjoner. Den ble laget for å øke bevissthet rundt sikkerhet og er en verdifull ressurs for utviklere, sikkerhetseksperter og organisasjoner.

Innhold:
Et bevisst forhold til datasikkerhet kan bidra til å endre holdningen i utviklingsteam og organisasjoner mot en retning som verdsetter og prioriterer sikkerhet. Da vil det skapes en kultur der sikkerhet vurderes gjennom hele livssyklusen - i stedet for å bli en kostbar ettertanke. Gjennom dette kurset vil deltakerne lære om OWASP Top 10, og samtidig få innblikk i hvordan en hacker kan oppdage og utnytte disse sårbarhetene. På denne måten vil deltakerne også utvikle et “Attacker Mindset”.

Datasikkerhet trenger ikke være et kjedelig tema forbeholdt delegerte roller eller spesielt interesserte. I kurset legger vi et nødvendig fundament av teori, og bygger kunnskap og sikkerhetsbevissthet gjennom demoer og praktiske oppgaver. Deltakerne vil få innblikk i hvordan en målrettet hacker jobber. Deretter skal de selv prøve å angripe en webapplikasjon under veiledning av kursholderne.

Denne måten å jobbe på er ikke bare en langt mer interessant måte å lære om sikkerhet - den gjør også et større inntrykk som man vil huske og forholde seg til i hverdagen. Det praktiske arbeidet vil gjennomføres på instanser av OWASP JuiceShop - en nettbutikkapp laget for å lære om nettopp sårbarhetstesting og sikkerhetsbevissthet. Oppgavene er lagt til et grunnleggende nivå, men illustrerer samtidig reelle sårbarheter funnet i moderne webapplikasjoner.

Etter kurset skal deltakerne ha:
• Kunnskap om OWASP Top 10
• Økt bevissthet rundt datasikkerhet
• Erfaring med trusselmodellering

Kursinstruktører: Fartein, Merete og Johan

Fartein er konsulent i Sikkerhetsavdelingen til Bouvet. Han er utdannet sivilingeniør i Kommunikasjonsteknologi og Digital Sikkerhet ved NTNU og engasjerer seg for datasikkerhet både på og utenfor arbeidsplassen. Gjennom utdannelse, arbeid og fritidssyssel har Fartein fått erfaring med nettverkskonfigurasjon og -administrasjon, penetrasjonstesting, sikring av kritisk infrastruktur, sikkerhetsledelse, virusanalyse, innbruddsdeteksjon og personvern. Samtidig er han scenevant og har en pedagogisk tilnærming når han presenterer.

Merete jobber som sikkerhetskonsulent i Bouvet og har en bred sikkerhetskompetanse fra studiene i Digital Infrastruktur og Cybersikkerhet ved NTNU. Hun har en lidenskap for sikkerhet og har god erfaring med programvare sikkerhet, inkludert automatiske sikkerhetstestings metodikker som SAST, DAST og SCA. Til daglig jobber Merete med logging og alarmsystemer for å kunne oppdage og agere på sikkerhetshendelser, og hun er aktiv i faggruppen for Sikkerhet som jobber med å fremme og synliggjøre sikkerhet innad i Bouvet.

Johan er en sikkerhetskonsulent i Bouvet som har hatt flere sentrale sikkerhetsleveranser innen rådgivning, teknologi og arkitektur. På den faglige fronten er sikkerhet en tematikk Johan brenner for, og han har en stor vilje til å bidra med å løse fremtidens sikkerhetsutfordringer. Han har rollen som Security Lead og har fagansvaret for sikkerhetsanalyse som fokuser på områder innen skysikkerhet og GRC.

Dette gjør at Johan kan gi et nyansert bilde på trussellandskapet, og ha en god forståelse rundt sikkerhetsprinsippene som skal til for å beskytte en organisasjon. Erfaringene og kompetansen hans fra tidligere roller gir han en dyp innsikt i tversnittet av DevSecOps, GRC og skysikkerhet. Innsikten gjør at Johan har en beriket forståelse for hvordan man ivaretar digital sikkerhet i samspillet mellom forretning og teknologi.

Målgruppe for kurset:
OWASP Top 10 og trening av sikkerhetsbevissthet er relevant for alle som har noe med utviklingsprosesser å gjøre. Dette gjelder spesielt utviklere, testere, arkitekter og prosjektledere, men også for produkteiere og andre interessenter.

Forkunnskaper:
• Kurset krever ingen forkunnskaper utover generell teknisk forståelse, men grunnleggende ferdigheter innen utvikling vil gjøre forståelsen av OWASP Top 10 og de relaterte oppgavene lettere.

Kursmateriell:
Deltakerne må stille med egen datamaskin med nettleser, fortrinnsvis Firefox eller Edge