XS
SM
MD
LG
Державний університет телекомунікацій

Адреса:
03110, Україна
м. Київ, вул. Солом'янська, 7
Контактна інформація:
Державний університет телекомунікацій

Застосування сучасних технологій для набуття практичних навичок під час дистанційного навчання студентів кафедри УІКБ

11:34, 06-04-2020

Науково-педагогічні працівники кафедри “Управління інформаційною та кібернетичною безпекою” (УІКБ) продовжують навчання студентів у дистанційному форматі.

Однією із тем, яка вивчається студентами другого курсу спеціальності 125 Кібербезпека, є пошук та аналіз вразливостей ВЕБ-додатків, що на сьогодні є найактуальнішим питанням кібербезпеки.

З метою здобуття студентами не тільки теоретичних знань, але і практичних умінь та навичок пошукy та аналізу вразливостей ВЕБ додатків, працівники кафедри «розгорнули» в мережі Інтернет, та надали доступ студентам до спеціального ВЕБ-додатку Juice Shop (by OWASP).

Це, мабуть, найсучасніший і найскладніший «небезпечний» ВЕБ-додаток. Його можна використовувати в тренінгах з безпеки, демонстрації поінформованості, та CTF. Juice Shop охоплює вразливості з усієї першої десятки OWASP, а також безліч інших вад (проблем) безпеки, виявлених у реальних програмах, серед яких:

  1. Injection SQL (SQLi, noSQLi, command injection etc.).
  2. Broken Authentication.
  3. Sensitive Data Exposure.
  4. XML External Entities (XXE).
  5. Broken Access Control.
  6. Security Misconfiguration.
  7. Cross-Site Scripting XSS.
  8. Insecure Deserialization.
  9. Using Components with Known Vulnerabilities.
  10. Insufficient Logging & Monitoring.

Успішний пошук вразливості та її експлуатація дозволяє отримати «ключ» який підтвердить успішність студента у виконанні окремого завдання.

Juice Shop – одна із найпопулярніших лабораторій для тренування навичок тестування захищеності ВЕБ-додатків і тепер вона доступна для студентів Державного університету телекомунікацій онлайн.

Пройшовши теоретичний курс, студент може застосувати набуті знання на практиці – безпечно для учасників мережі інтернет та для себе.

Довідка

WEB-додаток — це клієнт-серверний додаток, де в якості клієнта виступає браузер, який відображає користувацький інтерфейс, формує запити до сервера і опрацьовує відповіді від нього. А серверна частина являє собою WEB-сервер, обробник запитів клієнтів. Взаємодія між клієнтом і сервером, як правило, реалізовується за допомогою протокола HTTP.

OWASP (Open Web Application Security Project) - це некомерційна організація, метою якої є підвищення обізнаності всіх фахівців галузі інформаційної безпеки в питаннях розробки, експлуатації та захисту веб-додатків. OWASP Top 10 є одним з найбільш відомих проектів організації. OWASP Top 10 - це рейтинг з десяти найбільш небезпечних ризиків інформаційної безпеки для веб-додатків, складений спільнотою експертів галузі:

  1. SQL Injections (ін'єкція - впровадження коду) — один з поширених способів злому сайтів та програм, що працюють з базами даних, заснований на впровадженні в запит довільного SQL-коду. Атаки SQL-ін'єкцією дозволяють зловмисникам нанести вразливість -підробляти ідентифікаційні дані, підробляти існуючі дані, викликати проблеми з відмовою, такі як анулювання транзакцій або зміна балансу, вирішувати повне розкриття всіх даних в системі, знищувати дані або робити їх недоступними з інших причин і ставати адміністраторами сервер бази даних.
  2. Broken Authentication (Недоліки системи аутентифікації - некоректна аутентифікація)  – вразливість, яка  досягається атаками: Brute-Force, Session Hijacking, Rainbow Tables. В результаті таких атак  отримується  доступ до облікового запису за допомогою звичайного підбору даних грубою силою, використовуючи мільйони можливих комбінацій, автоматичними інструментами і словниками.
  3. Sensitive Data Exposure (Незахищеність критичних даних, протоколів - витік чутливих даних). Багато веб-додатків не захищають конфіденційні дані, такі як кредитні карти і облікові дані для аутентифікації (передача персональних даних і даних кредитных карт по протоколу HTTP замість HTTPS; відсутність шифрування критичних даних, таких як паролі або номери кредитних карт).
  4. XML External Entities (XXE) -  Впровадження зовнішніх сутностей XML - вид ін'єкції, заснований на впровадженні в XML-запит до сервера атрибутів і сутностей, що дозволяють отримати неавторизований доступ до даних. Наприклад, коли в XML запит вказують зовнішній файл, який знаходиться на сервері.
  5. Broken Access Control (Порушення контролю доступу) – вразливість в методах авторизації, яка дозволяє порушнику отримати підвищені привілеї у додаткові. Один конкретний тип проблеми контролю доступу - це адміністративні інтерфейси, які дозволяють адміністраторам сайтів керувати сайтом через Інтернет. Такі функції часто використовуються, щоб дозволити адміністраторам сайтів ефективно керувати користувачами, даними та вмістом на своєму сайті.
  6. Security Misconfiguration (Небезпечна конфігурація) - некоректне налаштування параметрів безпеки. Безпека Web-додатку вимагає наявності безпечної конфігурації всіх компонентів інфраструктури: компонентів програми (таких як фреймворки - frameworks), веб-сервера, сервера баз даних і самої платформи. Програмне забезпечення повинно бути в актуальному стані: уразливості знаходять кожен день в самих різних програмних компонентах - операційній системі, web-серверах, серверах баз даних, поштових серверах і т.д.
  7. Cross-Site Scripting XSS (Міжсайтовий скриптинг – XSS) - міжсайтове виконання сценаріїв - помилка валідації призначених для користувача даних, яка дозволяє передати JavaScript код на виконання в браузер користувача. Через JavaScript можна змінювати дані, розташовані на сторінці, наприклад, там можуть бути реквізити для банківського переказу. Атаки такого роду часто також називають HTML - ін'єкціями, адже механізм їх впровадження дуже схожий з SQL-ін'єкціями, але на відміну від останніх, впроваджуваний код виповнюється в браузері користувача.
  8. Insecure Deserialization (Відсутність валідації даних) - небезпечна десеріалізація - це вразливість, яка виникає, коли ненадійні дані використовуються для зловживання логікою додатка, для атаки типу «відмова в обслуговуванні» (DoS) або навіть для виконання довільного коду після його десеріалізації. Серіалізація відноситься до процесу перетворення об'єкта в формат, який можна зберегти на диску (наприклад, зберегти в файл або сховище даних), відправити через потоки (наприклад, stdout) або відправити по мережі. Десеріалізація перетворює серіалізовані дані, що надходять з файлу, потоку або мережевого сокета, в об'єкт. Веб-додатки використовують серіалізацію і десеріалізацію на регулярній основі, і більшість мов програмування навіть надають вбудовані функції для серіалізації даних.
  9. Using Components with Known Vulnerabilities (Використання компонентів з відомими уразливими). Необхідна увага на web-додатки, які  написані з використанням спеціальних бібліотек або «фреймворків» (англ - framework) і  поставляються сторонніми компаніями. Їх компоненти мають відкритий вихідний код, а це означає, що вони також використовуються   мільйонами користувачів у всьому світі і можуть бути уразливі. Звичайно уразливості шукають (і знаходять) в більш низькорівневих компонентах системи, таких як сервер бази даних, web-сервер і компоненти операційної системи аж до її ядра. Тому важливо використовувати останні версії компонентів і стежити за  відомими уразливими, які з'являються на сайтах типу securityfocus.com.
  10. Insufficient Logging & Monitoring (Недостатній облік та моніторинг - відсутність журналів та моніторингу). Недостатня реєстрація та моніторинг комп'ютерних систем, додатків і мереж надають безліч шлюзів для проб і порушень, які важко або неможливо ідентифікувати і усунути без життєздатного контрольного журналу. Типова лог-архітектура  генерує як журнали безпеки, так і оперативні журнали, аналізує, зберігає і контролює ці журнали. Це важливо не тільки для боротьби з загрозами, що виникають через недостатню реєстрації та моніторингу, а й для відповідності нормативним вимогам.

*****

детальніше

Шановний абітурієнт!

До Вас звертається член приймальної комісії кафедри Управління інформаційною та кібернетичною безпекою Державного університету телекомунікацій.

Ви подали заяву для вступу на спеціальність Управління інформаційною та кібернетичною безпекою за якою здійснюється підготовка на нашій кафедрі.

Дана спеціальність є однією з найбільш затребуваних та популярних спеціальностей на ринку праці.

Ми пропонуємо якісну освіту за помірною ціною. Вартість підготовки за спеціальністю Управління інформаційною та кібернетичною безпекою складає 21800 грн. на рік, що значно нижче ніж у КПІ (26800 грн. на рік) та НАУ (24000 грн. на рік).

Якщо Вами до приймальної комісії будуть надані оригінали документів та сплачено за навчання, Ви гарантовано станете студентом нашої кафедри.

На кафедрі зроблено все можливе для того щоб збулися мрії студента та його батьків.

Кафедра Управління інформаційною та кібернетичною безпекою готує висококваліфікованих і затребуваних на ринку праці фахівців по одній із найбільш престижних спеціальностей для галузі інформаційних технологій.

Кафедрою укладено 8 договорів про співпрацю з компаніями, які є потенційними роботодавцями наших випускників.

В освітньо-професійній програмі кафедри в межах навчального процесу сплановано отримання сертифікатів компаній-партнерів ІТ-спеціаліст, Smart technologies, «Агенство активного аудиту», що надає право нашому випускнику отримати перше високооплачуване робоче місце в компанії, по якій отримано сертифікат, як в нашій країні, так і за кордоном.

Втілений на кафедрі інноваційний зміст навчання забезпечує навчання нашого студента тому, що потрібно і як потрібно, теоретично і практично, відповідно до компетенцій компаній-партнерів кафедри – потенційних роботодавців. Це дозволяє нашому студенту мати фахову перевагу на ринку праці.

Для повноцінного оволодіння теоретичними знаннями та практичними уміннями і навиками майбутньої професії, навчання по спеціальності на нашій кафедрі починається з 1-го курсу, а не з 3-го, як на аналогічних кафедрах інших університетів.

Половина навчальних занять, відповідно до вимог компаній-партнерів кафедри, проводиться практично з використанням сучасного програмного забезпечення на апаратно-програмних комплексах та обладнанні останнього покоління, які використовуються компаніями-партнерами кафедри у своїй роботі. Це дозволяє нашому студенту оволодіти сучасними практичними уміннями і навиками, які необхідні для успішної роботи в компаніях.

В компаніях ІТ галузі велика увага приділяється знанню англійської мови. Для оволодіння англійською мовою на кафедрі втілена система її поглибленого вивчення, яка забезпечує засвоєння англійської мови за час навчання на рівня міжнародного стандарту В2.

На нашій кафедрі посилено вивчається англійська мова, яка необхідна для успішної роботи за спеціальністю. На 1-му та 2-му курсах заняття по англійській мові проводяться 3 пари на тиждень з урахуванням термінології кафедри. На 3-му, 4-му, 5-му курсах по всім дисциплінам, які викладаються на кафедрі 20% занять проводяться англійською мовою, що надає конкурентну перевагу нашим випускникам.

Відповідно до вимог науково-технічного прогресу та компетенцій компаній для оволодіння практичними уміннями і навиками на кафедрі створена сучасна навчально-матеріальна база. Вона укомплектована програмним забезпеченням, апаратно-програмними комплексами та сучасним обладнанням компаній-партнерів кафедри Управління інформаційною та кібернетичною безпекою. Навчально-матеріальна база кафедри визнана однією з найкращих в Україні, про це свідчить гран-прі у номінації «Інноваційний розвиток навчально-лабораторної бази», яким нагороджена кафедра у 2019 році Міністерством освіти і науки України та Президентом Національної академії педагогічних наук України.

Навчальні класи та навчальні лабораторії укомплектовані сучасним обладнанням останнього покоління, програмно-апаратними комплексами та програмним забезпеченням компаній-партнерів кафедри. Це дозволяє нашим студентам навчатися по компетенціям компаній-партнерів кафедри – потенційних роботодавців. Всі приміщення кафедри забезпечені безкоштовним доступом до швидкісної мережі Інтернет, що дозволяє нашим студентам користуватись у навчанні ресурсом електронної бібліотеки Університету, періодичними світовими виданнями у галузі інформаційних технологій, використовувати дистанційне навчання Moodle та електронний розклад занять.

Кафедрою організовуються і проводяться навчальні практики на виробничих базах в компанія-партнерах кафедри ІТ-спеціаліст, Smart technologies, «Агенство активного аудиту» на 2-му курсі – ознайомча практика, для отримання первинних знань про професію; на 3-му курсі – виробнича практика, для набуття студентом практичних умінь виконання майбутніх службових обов’язків; на 4-му курсі переддипломна практика, для практичного застосування та удосконалення набутих теоретичних знань. Це дає можливість студенту краще зрозуміти суть спеціальності, за якою він навчається, та набути практичного досвіду роботи у компаніях і показати себе з кращого боку, щоб компанія була зацікавлена взяти його на роботу. Під час практик кращим студентам пропонується працевлаштування в цих компаніях.

Навчаючись за спеціальністю кафедри, Ви за доступною ціною отримаєте якісну вищу освіту, і що особливо важливо, отриманий під час навчання сертифікат компанії-партнера кафедри, гарантує Вам перше високооплачуване робоче місце.

Увага! Шановні абітурієнти!
В нашому університеті за зверненням студента з 1 курсу дозволяється помісячна оплата за навчання!
Читайте також

Про кафедру

Кафедра Управління інформаційною та кібернетичною безпекою

Отримати консультацію

Ваш запит на зворотній дзвінок отримає завідуючий кафедрою
Надіслати запит

Абітурієнту

Спеціалізація: Управління інформаційною безпекою

Фахівці з Управління інформаційною безпекою – це еліта інформаційної безпеки, менеджери безпеки інформації вищої ланки. Ці фахівці розуміються як з техничних питань захисту інформації, так й з питань організації роботи колективу, добре розуміють управлінські, законодавчі та економічні аспекти захисту інформації. До сфери специфічних знань та навичок спеціалізації відносяться: основні поняття кібернетичної безпеки, систем технічного захисту інформації, управління проектами, управління ризиками, нормативно-правова база діяльності, управління інцидентами, аудит інформаційної безпеки, інформаційне протиборство, менеджмент та психологія управління.

Спеціалізація: Управління інформаційною безпекою

Фахівці з Управління інформаційною безпекою – це еліта інформаційної безпеки, менеджери безпеки інформації вищої ланки. Ці фахівці розуміються як з техничних питань захисту інформації, так й з питань організації роботи колективу, добре розуміють управлінські, законодавчі та економічні аспекти захисту інформації. До сфери специфічних знань та навичок спеціалізації відносяться: основні поняття кібернетичної безпеки, систем технічного захисту інформації, управління проектами, управління ризиками, нормативно-правова база діяльності, управління інцидентами, аудит інформаційної безпеки, інформаційне протиборство, менеджмент та психологія управління.

Переглядів: 1 447