El programa de capacitación certificado CASE fue desarrollado para preparar a los profesionales del software con las capacidades que esperan los empleadores y la academia a nivel mundial. Está diseñado para ser un curso práctico y completo de capacitación en seguridad de aplicaciones para enseñar a los profesionales del software a crear aplicaciones seguras.

El programa de capacitación abarca las actividades de seguridad involucradas en todas las fases del SDLC seguro: planificación, creación, prueba e implementación de una aplicación.

Objectives

• Comprensión profunda de SDLC seguro y modelos de SDLC seguros.
• Conocimiento de OWASP Top 10, modelado de amenazas, SAST y DAST.
• Captura de los requisitos de seguridad de una aplicación en desarrollo.
• Definir, mantener y aplicar las mejores prácticas de seguridad de las aplicaciones.
• Realizar la revisión manual y automatizada del código de la aplicación.
• Realización de pruebas de seguridad de aplicaciones web para evaluar las vulnerabilidades.
• Impulsar el desarrollo de un programa integral de seguridad de aplicaciones.
• Calificar la gravedad de los defectos y publicar informes completos, detallando los riesgos asociados y las mitigaciones.
• Trabajar en equipo para mejorar la postura de seguridad.
• Tecnologías de escaneo de seguridad de aplicaciones como AppScan, Fortify, WebInspect, pruebas de seguridad de aplicaciones estáticas (SAST), pruebas dinámicas de seguridad de aplicaciones (DAST), inicio de sesión único y cifrado.
• Seguir los estándares de codificación segura que se basan en las mejores prácticas aceptadas por la industria, como la Guía OWASP o la Codificación segura CERT para abordar las vulnerabilidades comunes de codificación.
• Creación de un proceso de revisión del código fuente del software que forma parte de los ciclos de desarrollo (SDLC, Agile, CI/CD).

Personas involucradas en la función de desarrollar, probar, administrar o proteger aplicaciones.

• ¿Qué es una aplicación segura?
• Necesidad de seguridad de las aplicaciones
• Ataques a nivel de aplicación más comunes
• Por qué las aplicaciones se vuelven vulnerables a los ataques
• ¿En qué consiste una seguridad integral de las aplicaciones?
• Aplicación insegura: un problema de desarrollo de software
• Estándares, modelos y marcos de seguridad de software

Módulo 2: Recopilación de requisitos de seguridad

• Importancia de reunir los requisitos de seguridad
• Ingeniería de requisitos de seguridad (SRE)
• Modelado de casos de abuso y casos de uso de seguridad
• Historias de abusadores y seguridad
• Ingeniería de requisitos de calidad de seguridad (SQUARE)
• Evaluación de amenazas, activos y vulnerabilidades críticas desde el punto de vista operativo (OCTAVE)

Módulo 3: Diseño y arquitectura de aplicaciones seguras

• Costo relativo de la corrección de vulnerabilidades en diferentes fases del SDLC
• Diseño y arquitectura de aplicaciones seguras
• Objetivo del proceso de diseño seguro
• Acciones de diseño seguras
• Principios de diseño seguro
• Modelado de amenazas
• Aplicación de descomposición
• Arquitectura de aplicaciones segura

Módulo 4: Prácticas de codificación segura para la validación de entradas

• Validación de entrada
• ¿Por qué la validación de entradas?
• Especificación de validación de entrada
• Enfoques de validación de entrada
• Filtrado de entrada
• Prácticas de codificación segura para la validación de entradas: formularios web
• Prácticas de codificación seguras para la validación de entradas: ASP.NET Core
• Prácticas de codificación segura para la validación de entradas: MVC
• Autenticación y autorización: ASP.NET Core
• Autenticación y autorización: MVC
• Técnicas Defensivas de Autenticación y Autorización: Formularios Web
• Técnicas defensivas de autenticación y autorización: ASP.NET Core
• Técnicas Defensivas de Autenticación y Autorización: MVC

Módulo 5: Prácticas de codificación segura para la autenticación y la autorización

• Autenticación y autorización
• Amenazas comunes en la autenticación y autorización de usuarios
• Autenticación y autorización: formularios web

Módulo 6: Prácticas de codificación segura para criptografía

• Criptográfico
• Cifras
• Modos de cifrado de bloques
• Claves de cifrado simétricas
• Claves de cifrado asimétricas
• Funciones de la criptografía
• Uso de la criptografía para mitigar las amenazas comunes a la seguridad de las aplicaciones
• Ataques criptográficos
• Técnicas que utilizan los atacantes para robar claves criptográficas
• ¿Qué debe hacer para proteger las aplicaciones .NET de los ataques criptográficos?
• Espacios de nombres de criptografía de .NET
• Jerarquía de clases criptográficas de .NET
• Cifrado simétrico
• Encriptación simétrica: técnicas de codificación defensiva
• Cifrado asimétrico
• Encriptación asimétrica: técnicas de codificación defensiva
• Hash
• Firmas digitales
• Certificados Digitales
• Firmas XML
• NET Principales Prácticas Específicas de Criptografía Segura

Módulo 7: Prácticas de codificación segura para la gestión de sesiones

• Gestión de sesiones
• NET Técnicas de gestión de sesiones
• Prácticas de codificación defensiva contra la gestión de sesiones interrumpidas
• Gestión de sesiones basada en cookies
• Administración de sesiones basada en ViewState
• NET CORE: Prácticas de gestión de sesiones seguras

Módulo 8: Prácticas de codificación segura para el manejo de errores

• ¿Qué son las excepciones/errores de tiempo de ejecución?
• Necesidad de un control seguro de errores/excepciones
• Consecuencias de un mensaje de error detallado
• Exposición de mensajes de error detallados
• Consideraciones: Diseño de mensajes de error seguros
• Manejo seguro de excepciones
• Control de excepciones en una aplicación
• Prácticas de codificación defensiva contra la divulgación de información
• Prácticas de codificación defensiva contra el manejo inadecuado de errores
• NET Core: Prácticas seguras de manejo de errores
• Auditoría y registro seguros
• Seguimiento en .NET
• Listas de comprobación de seguridad de auditoría y registro

Módulo 9: Pruebas de seguridad de aplicaciones estáticas y dinámicas (SAST y DAST)

• Pruebas estáticas de seguridad de aplicaciones
• Revisión manual del código seguro para las vulnerabilidades más comunes
• Revisión de código: enfoque de lista de verificación
• Hallazgo de SAST
• Informe SAST
• Pruebas dinámicas de seguridad de aplicaciones
• Herramientas automatizadas de análisis de vulnerabilidades de aplicaciones
• Herramientas de pruebas de seguridad basadas en proxy
• Elegir entre SAST y DAST

Módulo 10: Implementación y mantenimiento seguros

• Implementación segura
• Actividad de implementación previa
• Actividades de implementación: garantizar la seguridad en varios niveles
• Garantizar la seguridad a nivel de host
• Garantizar la seguridad a nivel de red
• Garantizar la seguridad a nivel de aplicación
• Firewall de aplicaciones web (WAF)
• Seguridad resultante a nivel de IIS
• Sitios y Directorios Virtuales
• Filtros ISAPI
• Garantizar la seguridad en el nivel de .NET
• Garantizar la seguridad en el nivel de SQL Server
• Mantenimiento y Monitoreo de Seguridad

• Los participantes que deseen participar en CASE .NET deben contar con habilidades básicas de programación.

• Certified Application Security Engineer (CASE) .NET

Detalles del examen