DevSecOps Hackathon
Ohjelmistokehityksen tietoturva
DevSecOps Hackathon lyhyesti
Hackathon on päivän mittainen intensiivinen hyppäys sovelluskehityksen tietoturvallisuuteen. Päivän aikana tutustutaan sovelluksia koskeviin uhkiin sekä teoriassa että käytännössä. Koulutus soveltuu kaikille ohjelmistokehityksen parissa työskenteleville. Päivän tärkein anti on uhkien sekä hyökkääjien motiivien syvempi ymmärtäminen.
Kenelle tämä on tarkoitettu?
Tämä hackathon sopii kaikille sovelluskehityksessä työskenteleville henkilöille. Päivän aikana pyritään tarjoamaan jotain tietoturvasta kiinnostuneille senioridevaajille aina sovelluksen omistajalle tai sovelluskehityksestä vastaavalle asti. Päivän suunnittelussa huomioidaan osallistujien kiinnostukset, osaamistasot ja sitä kautta rakennetaan päivän painotukset. Osallistujat jaetaan päivän aikana kahteen ryhmään (hakkerointi ja uhkamallinnus) – kuitenkin siten, että kaikille on vähintän yksi yhteinen hakkerointisessio.
Mitä opitaan
Päivän aikana käydään läpi muun muassa seuraavia asioita
- mikä meitä voisi uhata ja kuinka uhkia voidaan kartoittaa
- tietoturvan rooli sovelluskehityksessä
- mikä on turvallinen sovelluskehitysprosessi
- turvallisen sovelluskehitysprosessin viitekehykset (SAMM, BSIMM)
- sovelluskehitykseen vaikuttavat muut viitekehykset (ISO 27002)
- turvallisen sovelluskehitysprosessin roolit ja tehtävät erityisesti ketterässä kehityksessä
- miten hakkeri ajattelee
- miten hakkeri selvittää juuri sinun heikot kohtasi puolustuksessa
- mikä on hakkerille mielenkiintoinen kohde
- mitä työkaluja hakkerilla on ja miten hän soveltaa niitä
- miten käytetään Kali Linuxin valittuja työkaluja
- onko minusta hakkeriksi
- OWASP top-10 ja valitut testitapaukset käytännön harjoituksiin
Lisäksi kuullaan ja analysoidaan joitain ajankohtaisia esimerkkitapauksia.
Työkalut
Hackathonin työkaluina käytetään Kali Linuxia ja erityisesti työkaluina Burpia, sqlmapia ja nmapia. Työkalujen käyttö ja intensiivisyys sovitellaan osallistujien mielenkiinnon ja ennakko-osaamisen perusteella. Päivän aikana tehdään myös uhkamallinnusharjoituksia, joissa käytetään Microsoftin ja OWASPin pelikortteja. Uhkamallinnuksessa käytetään lähtökohtaisesti kuvitteellista kohdejärjestelmää, mutta halutessa voidaan soveltaa myös organisaation omia tietojärjestelmäkuvauksia.
Kouluttajat
Kouluttajina toimii ammattihakkerit, sekä sovelluskehitysturvallisuuden ja kehitysprosessien ammattilainen. Hackathonin oppimateriaalit ovat englanninkielisiä mutta itse koulutuspäivä toteutetaan sekä englanniksi että suomeksi.
Toteutus
Hackathon voidaan toteuttaa asiakkaan tiloissa tai asiakkaan kustannuksella jossakin koulutustiloissa. Koulutustilalta ei edellytetä muuta kuin internet-yhteys, hyvä ilmastointi ja projektori (iso näyttö). Koulutuspäivä soveltuu parhaiten noin 10 hengen ryhmälle, mutta erikseen sovittaessa voidaan nostaa osallistujien lukumäärää aina 20 asti.
Onnistunut Hackathon edellyttää aina yhtä 1-2 tunnin suunnittelupalaveria, johon asiakas osallistuu.
Koulutuksen tekninen osuus on rakennettu siten, että osallistujat pystyvät jälkikäteen omavaraisesti jatkamaan ja syventämään opiskeluaan samankaltaisessa ympäristössä.
Päivän sisältö ylätasolla
- Definition of a secure SDLC
- Hack Session
- Food & Break
- Custom slot
- Hack Session
- Threat modelling
- Cases, takeaways, lessons learned & wrapup
Kouluta, motivoi, varmista tiimin osaaminen
Jokainen tiimi kaipaa joskus jotain erilaista. Hackathonissa yhdistyy hauskuus, pelillisyys sekä uuden oppiminen. Hackathon sopii myös hyvin kasvattamaan tietoturvatietoisuutta.
Uuden oppiminen ja oman mukavuusalueen ulkopuolelle siirtyminen motivoi moderneja tiimejä. Ehkä on jo tunnistettu Security Championin tarve – mutta ollaan epävarmoja siitä, mitä se pitää sisällään ja kuka se voisi olla. Hackathonin jälkeen voidaan tätäkin keskustelua käydä.
Ole meihin yhteydessä niin rakennetaan valmiista palikoista teille sopiva kokonaisuus.
DevSecOps Hackathon sopii kaikille sovelluskehityksessä työskenteleville henkilöille.
Osallistujat pääsevät harjoittelemaan Kali Linuxin käyttöä – erityisesti Burp Suitea, sqlmapia ja nmapia.
Uhkamallinnuksessa pelataan Microsoftin Elevation of Privilege sekä OWASPin Cornucopia -pelikorteilla.
Osallistujat tutustuvat ja oppivat ymmärtämään, mistä tietoturvallinen sovelluskehitysprosessi rakentuu.