Рассрочка

Внедрение и работа в DevSecOps

Научитесь обеспечивать безопасность в непрерывном процессе разработки и продакшена.
Выбирайте и интегрируйте инструменты ИБ под свои процессы.

Длительность обучения:

5 месяцев

4 ак. часа в нед.

Формат:

Online

Начало занятий:

31 May

Дни занятий:

Пн 20:00, Ср 20:00

Что даст вам этот курс

Сегодня мы постоянно сталкиваемся с хакерскими атаками, электронным мошенничеством и утечками данных. Online работа стала требованием бизнеса и новой реальностью. Разработка и сопровождение кода и защита инфраструктуры с учетом обеспечения безопасности становится первостепенным требованием к IT специалистам. Безопасность данных стала основной метрикой успешного бизнес – приложения и способом снижения репутационных рисков.

Именно такие специалисты являются самыми высокооплачиваемыми и востребованными у крупных работодателей: Microsoft, Google, Amazon Web Services, Mail.Ru Group, Yandex, Сбербанк и других.

Для кого этот курс

Разработка инфраструктуры и стека приложений в непрерывном потоке изменений Agile DevOps требует непрерывной работы с инструментами ИБ. Традиционная модель безопасности с фокусом на защиту периметра больше не работает. В DevOps ответственность за обеспечение безопасности ложится на всех участников Dev[Sec]Ops процесса.

Курс предназначен для специалистов следующих профилей:

- Разработчиков
- DevOps инженеров и Администраторов
- Тестировщиков
- Архитекторов
- Специалистов по информационной безопасности
- Специалисты, которые хотят научиться разрабатывать и обслуживать приложения и инфраструктуру с высокой степенью защиты от внешних и внутренних атак в автоматизированном DevSecOps процессе.

Цель Курса

Успешное внедрение DevSecOps возможно только при комплексном подходе к Инструментам, Бизнес-процессам и Людям (Ролям участников). Курс дает знания по всех трем элементам и изначально был разработан для сопровождения проекта трансформации CI/CD тулчейн и рабочего процесса DevOps до полноценной DevSecOps практики с использованием новейших автоматизированных инструментов обеспечения безопасности.

В рамках курса будут рассмотрены особенности защиты следующих видов приложений:

- Традиционные монолитные 2/3-Tier приложения
- Kubernetes приложения - в собственном ДЦ, Public Cloud (EKS, AKS, GKE)
- Мобильные iOS и Android приложения
- Приложения c REST API back-end

Будут рассмотрена интеграция и использование наиболее популярных open source и коммерческих инструментов ИБ.

В курсе делается упор на практику Scrum / Kanban, но подходы и инструменты могут также использоваться в традиционной Waterfall модели ведения проектов. В ходе онлайн уроков и в групповой работе в чате имеется возможность поделиться своей экспертизой или перенять компетенции экспертов. Курс разработан в парадигме постоянного обмена опытом между слушателями и преподавателями.

Знания и навыки которые вы приобретете

- Переход от модели безопасности “защита периметра” к модели “построение безопасности процесса разработки”
- Словарь, термины и объекты используемые в инструментах ИБ - CWE, CVE, Exploit и др.
- Основные стандарты, методики, источники информации - OWASP, NIST, PCI DSS, CIS и др.
- Выявление и устранение уязвимостей на всех этапах от проектирования архитектуры до вывода в production

А также научатся интегрировать в CI/CD и использовать инструменты ИБ из следующих категорий:

- Анализ возможных атак (Threat Modelling)
- Статический анализ исходного кода на безопасность (SAST)
- Динамический анализ приложений на безопасность (IAST/DAST)
- Анализ использования стороннего и открытого программного обеспечения (SCA)
- Тестирование конфигурации на соответствие стандартам безопасности (CIS, NIST, итп)
- Усиление конфигурации и патчинг (Configuration Hardening, Patching)
- Применение менеджмента секретов и сертификатов (Secrets and Certificates Management)
- Применение защиты для REST-API внутри микро-сервисных приложений и на back-end
- Применение Web-Application Firewall (WAF)
- Межсетевые экраны нового поколения (NGFW)
- Ручное и автоматизированное тестирование на проникновение (Penetration Testing)
- Мониторинг безопасности и реакция на события в ИБ (SIEM)
- Криминалистическая экспертиза (Forensic Analysis)

Кроме того, тим-лидеры получат рекомендации о практике успешного внедрения DevSecOps:

- Как подготовить и успешно провести мини-тендер и PoC по выбору инструментов
- Как изменить роли, структуру и зоны ответственности команд разработки, поддержки, ИБ
- Как адаптировать бизнес-процессы продакт менеджмента, разработки, обслуживания, ИБ

Преподаватели

Сергей Терешин

руководитель проектов облачных и цифровых решений в МТС

Сертифицированный специалист по решениям информационной безопасности от компании Check Point, McAfee, Group -IB, Microsoft.
Опыт в отрасли телеком/ИТ/ИБ более 14 лет.

10 лет проработал в телеком- операторе системы Транснефть в качестве инженера по ИТ, руководителя Регионального Центра Управления.
Спроектировал, внедрил концепцию централизованного управления сетью связи, обеспечил безопасность предложенного решения.

Участвовал в организации и проведении Чемпионата мира по футболу 2018 в Самаре в качестве руководителя группы технической поддержки.
Проектирует и внедряет комплексные архитектурные решения по ИБ для предприятий различных отраслей деятельности.

Закончил Поволжский Государственный Университет Телекоммуникаций и Информатики, 2007, Инженер по сетям связи и системам коммутации.

Руководитель программы

Сергей
Терешин

Антон
Лукашов

Даниил
Носенко

Андрей
Бирюков

Анастасия
Порхун

Филипп
Игнатенко

Иван
Понуровский

Преподаватели

Сергей Терешин

руководитель проектов облачных и цифровых решений в МТС

Антон Лукашов

Vulnerability Management Analyst в Совкомбанк-Технологии

Опыт в информационной безопасности с 2018 года

Специализация:
- Контроль защищенности инфраструктуры
- Построение процессов управления уязвимостями для различных платформ (микросервисы и DevOps, Хостовые ОС, ОС сетевого оборудования, Mobile, DB, Virtualisation)
- Управление политиками и требованиями ИБ в рамках инфраструктуры и проектов разработки.

Преподаватель

Даниил Носенко

Сертифицированный специалист этичного хакинга CEH.
Дипломированный специалист информационной безопасности.

5 лет опыта работы в области разработки ПО, в частности, для сетевых архитектур и инструментов пентеста.

Наставник

Андрей Бирюков

Работаю в области Информационной Безопасности более 15 лет.

Основные направления деятельности это внедрение комплексных проектов по защите корпоративных и промышленных сетей.
В настоящий момент работаю архитектором комплексных проектов в крупном российском разработчике решений ИБ.

Также являюсь автором четырех книг и более 200 статей по информационной безопасности.

Преподаватель

Анастасия Порхун

В индустрии с 2012 года.

Имеет опыт работы в телеком- и аутсорс- компаниях, с государственными структурами. Занимается проектированием и разработкой ПО, выстраиванием процессов CI/CD, а также исследованиями в сфере информационной безопасности.

Считаю, что программировать стоит с использованием языка, стек технологий необходимо продумывать под задачу, а безопасность должна обеспечиваться на всех этапах жизненного цикла ПО.

Преподаватель

Филипп Игнатенко

Руководитель блока развития российской облачной платформы

За 12 лет работы в ИТ успел поработать разработчиком, тестировщиком, devops и devsecops инженером в таких компаниях как НСПК (разработчик карты МИР), Лаборатория Касперского, Сибур и Ростелеком.
На данный момент я руководитель блока развития российской облачной платформы в компании Digital Energy (группа компаний Ростелеком).

Мой практический опыт базируется на знании языков C#, F#, dotnet core, python, разработке и интеграции различных инструментов DevOps и DevSecOps практик (SAST/SCA, DAST/IAST, сканирование веб-приложений, инфраструктурный анализ, сканирование мобильных приложений).

Имею обширный опыт разворачивания и поддержки k8s-кластеров, работаю с облачными провайдерами.

Автор обучающих программ и курсов для Министерства образования. Преподаватель онлайн-курсов по Linux, Docker, Kubernetes, DevOps, DevSecOps.
Спикер международных конференций.

Преподаватель

Иван Понуровский

Закончил Пермский государственный национальный исследовательский университет по специальности компьютерная безопасность в 2012 году. Опыт работы в сфере ИТ/ИБ около 10 лет.

Занимаюсь анализом безопасности и реверсингом приложений (в основном под iOS), участвую в разработке приложений для извлечения и расшифровки данных с iOS-устройств.

Также имею опыт в пентесте и разработке на С, C++, Objective-C, Swift.

Опубликовал несколько статьей на русско- и англоязычных ресурсах, посвященных вопросам ИБ.

Преподаватель

Отзывы

Артем

Выражаю благодарность Сергею за организацию такого курса. Тема не развита в у нас в стране, и он один из первопроходцев в сфере обучения в этой специфики, это огромная работа. Также хочу отметить Филиппа Игнатенко, как профессионала своего дела и компетентного специалиста, который знает о чем говорит. Платил за курс из своего кармана и не жалею. Конечно курс сыроват, но надо понимать, что это первые шаги в истории обучения DevSecOps в РФ. Зачем делать занятие по SQLI и кидать в ДЗ чит лист по инъекциям - типо делай сам, я не понимаю такой подход. Однако я понимаю реалии и не вчера родился. Сам хотел помочь бы Вам в развитие, так как сам с командой веду сайт itsecforu.ru полностью на некоммерческой основе для развития ИБ у нас в стране. Я всегда на связи и могу помочь и посодействовать Вам в чем смогу, друзья! Респект

Денис
Ивохин

Добрый день уважаемы Otus!
Спасибо большое за курс, за подачу, за очень обширную базу, информацию по курсу, которe. вы предоставили, за профессиональных преподавателей!

Позвольте попросить Вас рассмотреть, подобные курсы, но уже с более глубоким погружением, например в SAST/DAST/IAST; WAF; SIEM; именно инструментов opensource!

Спасибо!

Станислав

До обучения работал системным администратором в государственной организации. Параллельно проходил курсы по этичному хаккингу в учебном центре "Специалист", а также регулярно решал задачки на платформах Hack The Box и TryHackMe
Меня заинтересовало направление безопасной разработки. С процессом тестирования приложений на уязвимости я уже был знаком, а вот о том, как обеспечивается безопасность в процессе разработки приложений, представления не имел.
В процессе обучения понравилась открытость преподавателей, их готовность в ведению дискуссии, высокий уровень профессионализма преподавательского коллектива. Также в положительную сторону я бы отметил актуальность большей части материала и доступность его изложения. Гибкий сроки сдачи отчётностей и возможность получить доступ к материалам в любой момент времени позволили более качественно планировать свое время. Очень хотелось бы, чтобы появилось продолжение курса с материалом более высокого уровня - с удовольствием записался бы на занятия
Самое основное, что я приобрёл по итогам обучения- это базовые знания и навыки в этой области, знакомых со схожими интересами и дальнейшее направление развития.

Михаил

Отличный курс, опытные преподаватели-практики и хорошо подобранная программа. Получил огромное удовольствие от курса и увлекательных упражнений. Спасибо всем причастным!

Дмитрий
Харламов

Я работаю Release Engineer в компании Exness и в моем багаже 16 лет стажа в ИТ от сисадмина до Team Leader DevOps team
Всегда так или иначе сталкивался с безопасностью (статик анализаторы, защита периметра, PSI DSS и HIPA compliance). Хотел упорядочить знания и исследовать темную сторону. В компании Exness всех массово отправляли учится и дали на выбор список курсов. Я сомневался между devsecops, python разработчик и что-то про эффективных менеджеров. Выбрал то, с чем чаще сталкивался.
Курс очень специфический и требует не мало базовых знаний, а порой даже расширенных в различных областях. Тема сложная и довольно объемная, так как безопасность требует погружения во многие аспекты, но времени для погружения во все не хватает.

Мне не хватило каких-нибудь тренировочных стендов, заданий со звездочкой, реальных примеров (в виду специфики курса, потому что нельзя о многих вещах рассказывать, чтобы не скомпроментировать безопасность). Но курс дает очень хорошую базу, обзор типовых инструментов и методов, что помогает в дальнейшем развитие и показывает векторы, в которых можно развиваться.

Еще, к сожалению, не удалось поработать с более сложными штуками, такими как например SIEM системы, сетевым оборудованием или возможно подготовленными стендами для попыток атак/защиты. Также на курсе довольно высокий порог вхождения, а обучение проходит по вечерам (после целого рабочего дня + когда дети дома) было тоже весьма утомительно. Спасало только то, что преподаватели действительно увлечены этой темой и рассказывали интересно, порой задерживаясь сверх запланированного времени. Огромный респект всем преподавателям, которые могут адаптироваться к текущим условиям (санкции и уход различных фирм), способны простыми словами рассказывать о сложном и подбадривать на протяжении всего курса! Это правда титанический труд.

Обучение помогло упорядочить мои знания, понять боль безопасников, взглянув на проблемы безопасности их глазами. Ну и дало возможность изучить то, на что у самого не хватало сил и времени. За новой должностью не гнался, хотя после получения сертификата появилось несколько предложений, да и в целом я уже мог свободно двигаться в этом направлении. Просто у меня были другие цели

Алексей

На курсе "Внедрение и работа в DevSecOps" меня заинтересовала программа обучения. Ранее мне не приходилось работать с инструментами и процессами ИБ для проверки приложений.
Поэтому уже с первых дней занятий стало понятно, что есть что изучать. Создатель курса и весь преподавательский состав помогли разобраться с программой и выполнить итоговый проект.
В итоге я научился работать с новыми инструментами для анализа уязвимостей web-приложений, тестированием образов, открыл для себя новую терминологию
Курс был мне полезен. Сейчас я применяю практики DevSecOps в компании улучшая уже существующие процессы CI/CD.

Артем

Денис
Ивохин

Станислав

Михаил

Дмитрий
Харламов

Алексей

Опыт работы с Git (GitHub, GitLab, и т.п.), обслуживания приложений в CI/CD (GitLab, Jenkins, и т.п.), работы с инструментами автоматизации конфигурации (Ansible, Chef, и т.п.).

Корпоративное обучение для ваших сотрудников

Подробнее

Программа обучения

В процессе обучения вы получите комплексные знания и навыки.

Модуль 1 Базис знаний информационной безопасности

C 31 May

Тема 1. Вводная лекция. Правила, целеполагание и рекомендации

Тема 2. Словарь, термины, стандарты, методики, источники информации, используемые в инструментах информационной безопасности

Тема 3. Основные принципы обеспечения информационной безопасности стека приложений и инфраструктуры

Модуль 2 Обзор уязвимостей OWASP

C 19 June

Тема 4. Разбор уязвимостей OWASP Top 10 Web // ДЗ

Тема 5. Разбор уязвимостей OWASP Top 10 - REST API // ДЗ

Модуль 3 Особенности разработки безопасного кода и использования фреймворков

C 26 June

Тема 6. Безопасная разработка в HTML/CSS и PHP // ДЗ

Тема 7. Безопасная разработка в Java/Node.js // ДЗ

Тема 8. Безопасная разработка в .NET

Тема 9. Безопасная разработка в Python // ДЗ

Тема 10. Безопасная разработка и уязвимости программного кода // ДЗ

Тема 11. Q&A. Сессия вопросов и ответов

Модуль 4 Разработка безопасных контейнерных и serverless приложений

C 17 July

Тема 12. Введение в Docker

Тема 13. Работа с данными и сетями в Docker

Тема 14. Сборка и оптимизация Docker-образов

Тема 15. Обеспечение безопасности в Docker контейнерах // ДЗ

Тема 16. Обеспечение безопасности в Kubernetes // ДЗ

Тема 17. Обеспечение безопасности в ОС Linux

Тема 18. Обеспечение безопасности ОС Windows

Модуль 5 Интеграция и работа с инструментами ИБ в рамках DevSecOps

C 16 August

Тема 19. Обеспечение безопасности CI/CD тулчейна и DevOps процесса // ДЗ

Тема 20. Обзор DevSecOps инструментария // ДЗ

Тема 21. Анализ исходного кода на безопасность (SAST/ DAST/IAST) // ДЗ

Тема 22. Применение защиты для REST-API внутри микро-сервисных приложений и на back-end // ДЗ

Тема 23. Применение Web-Application Firewall (WAF) для защиты Web, REST API, Bot protection // ДЗ

Тема 24. Q&A. Сессия вопросов и ответов

Тема 25. Современные средства периметральной безопасности сети (NGFW/Sandbox) // ДЗ

Тема 26. Средства обнаружения действий внутреннего нарушителя (PAM и другие решения)

Тема 27. Мониторинг безопасности и реакция на события в ИБ (SIEM/SOAR) // ДЗ

Тема 28. Моделирование угроз и тестирование на проникновение // ДЗ

Тема 29. План проекта и методика трансформации организации в DevSecOps

Модуль 6 Проектный модуль

C 25 September

Тема 30. Выбор темы

Тема 31. Консультации и обсуждения проектной работы

Тема 32. Защита проектов

Процесс обучения

Курс длится 4 месяца, или 16 недель. Ориентировочные затраты времени - 6 часов в неделю. Каждую неделю: - проводится два 2-х часовых онлайн вебинара - теория / демо (всего 32 вебинара) - выдается слайд-дек с вебинара и видео-запись вебинара - выдается одно домашнее задание - изучить технологию, выполнить лабораторную работу По всем практическим заданиям преподаватели дают развернутый фидбек. Преподаватели постоянно находятся в едином коммуникационном пространстве с группой на протяжении всего курса, т. е. в процессе обучения слушатель может задавать уточняющие вопросы по материалам лекций и домашних заданий, взаимодействовать с преподавателями.

Получить консультацию

Наш специалист свяжется с вами в ближайшее время. Если у вас возникли трудности в выборе курса или проблемы технического плана, то мы с радостью поможем вам.

После обучения вы

заберете с собой материалы по всем занятиям (презентации, записи вебинаров, примеры практических задач);

получите сертификат о прохождении курса;

научитесь интегрировать в CI/CD и использовать инструменты ИБ

приобретете знания, необходимые для успешного использования ИБ инструментария;

Дата выдачи сертификата: 5 December 2023 года

Ваш сертификат

Сертификат №0001

Константин Константинопольский

Успешно закончил курс «Внедрение и работа в DevSecOps»
Выполнено практических заданий: 16 из 16

Общество с ограниченной ответственностью “Отус Онлайн-Образование”

Город:
Москва

Директор департамента образования
ООО “Отус Онлайн-Образование”
Анна Фирсова

Лицензия на осуществление образовательной деятельности
№ 039825 от 28 декабря 2018 года.

Сертификат №0001

Константин Константинопольский

Успешно закончил курс «Внедрение и работа в DevSecOps»
Выполнено практических заданий: 16 из 16

Общество с ограниченной ответственностью “Отус Онлайн-Образование”

Город:
Москва

Директор департамента образования
ООО “Отус Онлайн-Образование”
Анна Фирсова

Лицензия на осуществление образовательной деятельности
№ 039825 от 28 декабря 2018 года.

Прошедшие открытые вебинары

Открытый вебинар — это настоящее занятие в режиме он-лайн с преподавателем курса, которое позволяет посмотреть, как проходит процесс обучения. В ходе занятия слушатели имеют возможность задать вопросы и получить знания по реальным практическим кейсам.

Сергей Терешин

15 September 2021 года в 20:00

Для доступа к прошедшим мероприятиям необходимо пройти входное тестирование

Возможность пройти вступительное тестирование повторно появится только через 2 недели

Результаты тестирования будут отправлены вам на email, указанный при регистрации.

Тест рассчитан на 30 минут, после начала тестирования отложить тестирование не получится!