Курсы Cyber Security Specialist - информационная безопасность

На курсі опануєте OSINT як конкурентну перевагу - навчитеся знаходити дані, які недоступні конкурентам, і використовувати їх для стратегічних бізнес-рішень. Інструменти, які заощаджують час - опануєте Google Dorks, спеціалізовані пошукові системи, Telegram-боти, аналітичні сервіси. Глибокий аналіз конкурентів - навчитеся відстежувати стратегії, репутацію та маркетингову активність. Візуалізацію даних - навчитеся структурувати та візуалізувати результати досліджень у зручній формі для топменеджменту й комунікацій.

Програма курсу

Вступ до OSINT

• Що таке OSINT: ключові принципи та поняття
• Переваги OSINT у порівнянні з іншими методами аналізу
• Роль OSINT в ухваленні стратегічних рішень
• Різниця класичного й технічного OSINT
• Основні сфери застосування OSINT у бізнесі
• Цілі та завдання OSINT-аналізу для різних спеціалістів
• Безпечна робота в мережі та з інструментами OSINT

Практика на занятті: брейншторм на тему можливих шляхів використання OSINT у різних сферах: студенти діляться власними кейсами, гіпотезами та потенційними планами.

Домашнє завдання: скласти список інструментів, які студенти використовують у своїй роботі для розв'язання повсякденних OSINT-завдань.

Дисципліни та методики розвідки з відкритих джерел

• Фреймворки OSINT Framework та Awesome-OSINT
• Розвідка з відкритих джерел: HUMINT, FININT, GEOINT, WEBINT та SOCMINT
• Огляд основних OSINT-методик для бізнесу
• Військово-аналітичні методики в темі OSINT: F3EAD, OODA Loop, D3A, CARVER
• Основні кіберрозвідувальні фреймворки

Практика на занятті: визначити метод і дисципліну розвідки, що застосовується в наданому викладачем кейсі, та запропонувати інструменти, які можна використати для розв'язання кожного описаного завдання.

Домашнє завдання: виконати завдання, використовуючи OSINT Framework та інші вивчені фреймворки. Визначити, які методи було використано для побудови наданого лектором розслідування, а також які інструменти потенційно могли бути застосовані. Письмово зафіксувати свої спостереження.

Загальні OSINT-інструменти

• Основні типи відкритих джерел: публічні реєстри, соціальні мережі, медіа, форуми
• Основні та другорядні пошукові мережі: Google, Yandex, DuckDuckGo, Baidu
• Розширені пошукові оператори Google (Google Dorking) та Яндекс
• Інструменти для пошуку інформації: Telegram-боти, Hunter, OSINT Industries та інші
• Аналіз зображень: Google Reverse Image Search, TinEye, PimEyes та інші
• Приклад застосування деяких інструментів у найвідоміших розслідуваннях/розвідках

Домашнє завдання: студенти в групах збирають максимальну кількість інформації, використовуючи знання та інструменти, опановані в цьому блоці.

Аналіз репутації та конкурентного середовища

• Роль OSINT у визначенні репутації бренду й пошуку конкурентів
• Алгоритм аналізу репутації бренду
• Як шукати й аналізувати конкурентів

Домашнє завдання: студенти в групах збирають згадки про себе або свій бренд, використовуючи запропоновані інструменти.

OSINT у соціальних мережах (SOCMINT)

• Алгоритм аналізу інформації в соцмережах
• Пошук і перевірка профілів людей, активностей та інтересів
• Інструменти для моніторингу соціальних мереж
• Робота з витоками паролів, електронних пошт і телефонів
• Пошук та перевірка інформації про кандидатів з відкритих джерел
• Аналіз вакансій конкурентів для визначення ринкових тенденцій

Практика на занятті: в групах на основі двох наданих профілів людей в соцмережах скласти приблизні портрети - інтереси, минуле, характер тощо.

Домашнє завдання: знайти певну інформацію в соцмережах у рамках наданого кейса.

Юридичні та етичні аспекти OSINT

• Законодавчі рамки роботи з відкритими даними в різних країнах
• Межа між легальним аналізом і вторгненням у приватність
• Етичні принципи використання OSINT у бізнесі
• Як працювати в законодавчих рамках
• Захист особистих даних та конфіденційної інформації
• Рекомендації для побудови прозорих OSINT-процесів

OSINT у міжнародному середовищі. Запрошений лектор Деніз Микола Дірісу

• Особливості роботи з відкритими джерелами на міжнародному рівні
• OSINT для моніторингу політичних, економічних та соціальних подій в США та ЄС
• Дотримання законодавчих вимог та етичних стандартів під час збору та використання даних
• Ризики та можливості в міжнародному OSINT з урахуванням вимог GDPR

Практика на занятті: провести розслідування щодо міжнародних компаній/інфлюенсерів та виконати надані лектором OSINT-завдання.

Розбір домашніх робіт студентів

• Розбір виконаних домашніх завдань студентів із заняття №5
• Зворотний зв'язок та рекомендації від лектора

Домашнє завдання: завершення створення порівняльної таблиці різних способів залучення фахівців.

Кібербезпека

• Виявлення та аналіз кіберзагроз через відкриті джерела
• Використання публічних даних для моніторингу безпеки мереж
• Інструменти для аналізу кіберзлочинності й відстеження атак
• Оцінка репутації вебресурсів та доменів для запобігання загрозам
• OSINT-аудит особистих даних
• Як прибрати особисту інформацію та уникнути розповсюдження такої в майбутньому

Домашнє завдання: надіслати скриншоти результатів перевірки своїх імейлів, номерів телефонів та паролів з сайту HaveIBeenPwned, замінити скомпрометовані паролі.

Штучний інтелект в OSINT-дослідженнях. Запрошений лектор Деніз Микола Дірісу

• Моніторинг джерел інформації в режимі реального часу за допомогою AI
• AI-аналіз великих масивів даних
• Платформи для створення АІ-агентів
• AI-інструменти для аналізу зображень, відео й текстів
• Етичні й технічні обмеження щодо використання АІ в дослідженнях

Практика на занятті: практичний розбір використання AI для визначення геолокації.

Домашнє завдання: за допомогою AI-інструментів зібрати інформацію про конкурентне середовище для свого бренду або сфери загалом, проаналізувати його та доповнити власними спостереженнями.

OSINT у військових дослідженнях

• Використання OSINT для моніторингу збройних конфліктів
• Оцінка збройних загроз на основі відкритих джерел
• Джерела OSINT-даних у військовій сфері: соцмережі, новини, спеціалізовані ресурси
• Виявлення стратегічних тенденцій через аналіз публічних заяв, документів та риторики

Практика на занятті: в умовах обмеженого часу провести мінідослідження про військових найманців, застосовуючи розглянуті інструменти й фреймворки.

Домашнє завдання: встановити зв'язок заданої компанії/особи з мілітарною сферою.

Аналіз та візуалізація даних OSINT-досліджень

• Використання візуалізації даних для ефективного представлення результатів аналізу
• Програми для візуалізації OSINT-даних: Obsidian, Blender, Gephi, Maltego, Graph Commons
• Автоматизований аналіз великих обсягів даних: інтеграція vs самостійна розробка
• Як візуалізація допомагає в ухваленні рішень на основі OSINT
• Логіка викладу розвідок/розслідувань для ухвалення рішень та публічного презентування.

Домашнє завдання: візуалізувати власні знахідки з курсу, зібрані в попередніх блоках, з використанням розглянутих інструментів; сформувати портфоліо досліджень курсу.

Q&A-сесія

• Можливості розвитку в OSINT
• Побудова портфоліо
• Майбутнє OSINT

Особливості курсу

• Допомога ментора
• Практика
• Домашні завдання
• Сертифікат про проходження курсу

Викладачі курсу

• Богдан Косохатько - Head of the Investigation Department у Truth Hounds
• Деніз Микола Дірісу - Експерт з OSINT та міжнародного права

Програма курсу

Tier 1

• Python Programming: Foundations and Best Practices
• Mathematics for Computer Science and Introduction to Problem-Solving Techniques
• Basic Algorithms and Data Structures

Tier 2

• Numerical Programming in Python
• Relational Databases: Concepts and Techniques
• Machine Learning: Fundamentals and Applications
• Visual Analytics
• Introduction to Deep Learning
• Generative and Agentic AI
• Cryptography and Data Protection
• Network Security and Communication Protocols

Tier 3

• Identity and Access Management in Cybersecurity
• Security Operations and Incident Response
• Security Assessment and Testing in Cybersecurity

Дипломний проєкт (8 тижнів)

• Applied Computer Science: Capstone Project
  • Розробка власного стартапу в команді
  • Ви проходите всі стадії до пітчингу проєкту
  • Можливість отримати інвестиції

Особливості курсу

• Регулярні живі лекції та практика з викладачами
• Soft Skills
• Гнучкий графік без сесій
• Англійська для працевлаштування
• Автоперевірка коду та ШІ
• Підтримка кар'єрного консультанта
• Розробка резюме та мотиваційного листа
• Професійний профіль LinkedIn та зіркове портфоліо GitHub
• Тестові інтерв'ю
• Індивідуальні консультації та всебічна підтримка до випуску
• Студенський квиток
• Необхідність диплому бакалавра (будь-якої спеціальності) для вступу на магістратуру

Викладачі курсу

• Богдан Коваль - Senior Software Engineer at Netflix
• Нік Білогорський - Ex-Director Security Google
• Віталій Нужний - Head of Ukraine
• Роман Прокоф'єв - Засновник Jooble
• Дмитро Лисицький - Співзасновник укр.філії GlobalLogic та стартапу Influ2
• Євген Сисоєв - Керівний партнер інвесткомпанії AVentures Capital
• Юлія Грущинська - Керівник відділу HR-партнерів в Ciklum
• Robert Potter - Co-Founder at Internet 2.0
• Костянтин Магалецький - Екс-партнер Horizon Capital
• Василь Тофан - Старший партнер Horizon Capital
• Марина Євдокименко - Президентка асоціації Women4Cyber Ukraine
• Сергій Борона - Head of Information Security at Ciklum
• Олексій Барановський - Senior Application Security Engineer at Intellias
• Олег Осадчук - Python Software Engineer at EPAM
• Олег Сінькевич - Machine Learning engineer at EngenAI
• Максим Лизогуб - ML Engineer at Everymatrix
• Володимир Голомб - Lead Data Scientist & ML Engineer at RBC Group
• Катерина Коцюбівська - Співзасновниця ГО "Агенція сталого розвитку та освітніх ініціатив"
• Антон Чорний - Agile product management lecturer / CEO of GoIT
• Юрій Кучма - Basic Algorithms Lecturer
• Андрій Білик - COO at WEBGORILLA Studio
• Олексій Репін - Frontend Developer at GoIT
• Максим Алієв-Ломач - Full Stack Engineer at AIWEB Solutions
• Руслана Ковальчук - Head of Career Center, GoIT
• Юлія Мельник - Head of Study at GoIT
• Юлія Олійник - Scrum Master & Project Manager at GoIT
• Ярослав Косиця - Frontend Developer at SoftRyzen
• Олег Андрус - Python Programming Lecturer
• Олексій Кудін - Data Scientist/ML Engineer at Upwork
• Тетяна Філімонова - Associate Professor at the Faculty of Information Technology
• Артур Гіль - Security Engineering Lead at Cossack Labs
• Ольга Караіван - SOC Engineer at Pharmbills
• Ярослав Малоокий - Cybersecurity Engineer at Kavitech
• Максим Плахтій - Засновник Karabas.com
• Едуард Рубін - Ексректор ХНУРЕ
• Вячеслав Поліновський - Кандидат технічних наук
• Владислава Магалецька - Головна консультантка Президента Enterra Solutions
• Прокопенко Юрій - Директор з інформаційної безпеки Банку Кредит Дніпро (BCD)

Використовуйте AI, щоб автоматизувати рутинні OSINT-задачі, швидше аналізувати відкриті дані та вивести розвідку й аналітику на новий рівень.

Програма курсу

AI в OSINT‑дослідженнях

• Опануєте повний OSINT-workflow від збору та верифікації до створення фінального звіту
• Розберете переваги та обмеження AI для уникнення критичних помилок у дослідженнях
• Налаштуєте робоче середовище з базовим набором інструментів та чек-листами якості
• Закріпите навички тріажу джерел та формування першої таблиці доказів

Генеративний AI: промптинг, якість і RAG

• Навчитеся формулювати запити для отримання перевірюваних відповідей з посиланнями на джерела
• Опануєте структурований витяг даних для перетворення масивів тексту в таблиці або JSON
• Зрозумієте принципи пошуку у великих масивах через токенізацію та RAG-підхід
• Сформуєте перелік гіпотез для подальшої автоматизованої перевірки

Верифікація та протидія маніпуляціям із контентом

• Навчитеся підтверджувати факти й перевіряти контекст джерел для уникнення чуток
• Виявите ознаки deepfake та маніпуляцій в текстах, зображеннях та відеоматеріалах
• Побудуєте ланцюжок доказів (evidence chain) для забезпечення прозорості звіту
• Складете список перевірок на прикладі реального медійного кейса

Збір та моніторинг медіапростору

• Опануєте пошук та систематизацію матеріалів через запити, оператори, архіви та канали
• Виявите сигнали неавтентичності акаунтів та ознаки координації поведінки в мережі
• Отримаєте практичні навички з геолокації та прив'язки знайдених подій до місцевості
• Закріпите матеріал через домашнє завдання з пошуку та верифікації реальних об'єктів

Entity resolution та графи зв'язків

• Навчитеся нормалізувати сутності та усувати дублікати з різних джерел для точного аналізу
• Побудуєте зв'язки між об'єктами для візуалізації взаємодії людей, організацій та подій
• Опануєте роботу з графами для виявлення ключових вузлів впливу та прихованих кластерів
• Сформулюєте перевірювані гіпотези на основі структурованих мереж взаємозв'язків

Автоматизація збору та пайплайни даних

• Оберете оптимальний спосіб збору між API, скрапінгом та ручним пошуком згідно з ToS
• Побудуєте автоматизований пайплайн для регулярного оновлення та чистки датасетів
• Підготуєте дані до AI-аналізу через коректний чанкінг, метадані та контроль версій
• Налаштуєте індексацію власної бази даних для миттєвого пошуку релевантних доказів

Проміжний воркшоп

• Застосуєте повний OSINT-workflow під час розбору реального кейса разом із лектором
• Відпрацюєте командну роботу над окремими етапами розслідування від збору до висновків
• Виявите типові аналітичні помилки та навчитеся їх виправляти на ранніх стадіях
• Перевірите власні результати за допомогою професійного чек-листа якості

Патерни, тренди й кластеризація

• Навчитеся виявляти аномалії в інформаційних потоках та відстежувати динаміку хвиль
• Згрупуєте джерела та акаунти за допомогою кластеризації для аналізу груп впливу
• Інтерпретуєте результати аналізу без хибних кореляцій, спираючись на математичну логіку
• Обґрунтуєте аналітичні висновки посиланнями на виявлені поведінкові патерни

Моніторинг у реальному часі та алерти

• Налаштуєте систему моніторингу за допомогою RSS, Google Alerts та публічних агрегаторів
• Впровадите автоматичну фільтрацію та пріоритизацію сигналів за ключовими темами
• Забезпечите відтворюваність аналізу через логування та документування логіки рішень
• Отримаєте навички створення дайджестів для оперативного інформування про зміни

Інтеграція AI у звіти й візуалізацію

• Створите структуровані OSINT-звіти з використанням evidence tables та чітких висновків
• Опануєте професійні шаблони для різних типів досліджень (CTI, Due Diligence, Risk)
• Візуалізуєте результати аналізу через таймлайни, графи та інтерактивні дашборди
• Сформулюєте фінальну оцінку з визначенням рівнів упевненості для кожного твердження

Етика, безпека та правові рамки

• Орієнтуватиметесь у правових обмеженнях щодо авторського права та захисту персональних даних
• Мінімізуєте цифрові ризики через налаштування ізольованого середовища та OPSEC
• Розпізнаватимете етичні дилеми та навчитеся використовувати AI без шкоди для розслідування
• Забезпечите комплаєнс дослідження відповідно до міжнародних стандартів (GDPR)

Теорія графів та Knowledge Graphs

• Застосуєте графові метрики для пошуку найкоротших шляхів та центральних вузлів у мережі
• Побудуєте Knowledge Graph із чітким відстеженням походження кожного зв'язку
• Використаєте GraphRAG для отримання пояснюваного контексту під час запитів до AI
• Проаналізуєте мережі впливу та ланцюжки власності на основі реальних OSINT-кейсів

Упередження аналітика і контроль помилок AI

• Розпізнаєте когнітивні упередження та автоматизаційні помилки (automation bias)
• Застосуєте техніки зниження bias через метод альтернативних гіпотез та peer-review
• Проведете структурований промпт-контроль для перевірки AI-висновків на валідність
• Оціните ризики помилок та зафіксуєте рівень упевненості у фінальному висновку

Юридичні аспекти й безпечна робота

• Розмежуєте публічні та приватні дані для безпечного проведення розслідувань
• Оціните юридичні ризики скрапінгу та републікації контенту з різних юрисдикцій
• Впровадите правила безпечного використання AI для захисту від витоку внутрішніх промптів
• Складете legal checklist для оформлення звітів відповідно до стандартів доказової бази

Захист курсових робіт

• Презентуєте власне розслідування з повною доказовою базою та описом методології
• Аргументуєте обрані AI-інструменти та логіку побудови аналітичних висновків
• Отримаєте індивідуальний фідбек щодо покращення візуалізації та структури звіту
• Завершите навчання з готовим кейсом для професійного портфоліо

Особливості курсу

• Допомога ментора
• Практика
• Курсовий проєкт
• Кейс в портфоліо
• Сертифікат про проходження курсу

Викладачі курсу

Василь Попов - Co-founder, Software Engineer, Director of R&D at Osint for Ukraine

Протягом 20 занять навчання з кібербезпеки ви дізнаєтесь, як побудувати системний кіберзахист бізнесу: від інвентаризації активів та захисту персональних даних - до управління ризиками, реагування на інциденти й впровадження міжнародних стандартів.

Програма курсу

Кібербезпека для бізнесу: роль, цінність, вигоди

• Дізнаєтесь, як буде проходити навчання
• Дізнаєтесь, які є стандарти інформаційної та кібербезпеки для створення системи кібербезпеки та захисту персональних даних

Управління інформаційними цінностями компанії

• З зрозумієте, які є цінності в кіберпросторі
• Дізнаєтеся про різницю в захисті між ІТ- та ОТ-інфраструктурами

Класифікація та обробка корпоративних і персональних даних

• Зрозумієте, з чого варто починати впровадження системи захисту інформації
• Дізнаєтеся, що таке екосистема кіберпростору

Захист кінцевих пристроїв та облікових даних співробітників

• Дізнаєтеся про основи персональної ІТ-безпеки
• Навчитеся застосовувати їх до своїх облікових записів, зберігання даних, пристроїв
• Дізнаєтеся, що таке правила чистого екрана й чистого робочого столу

Особливості кіберзахисту IoT та виробничих систем

• Зрозумієте складові системи кіберзахисту ОТ-систем
• Дізнаєтеся про ролі обслуговування та підтримки Third-level support

Основні види кібератак на бізнес і методи протидії

• Дізнаєтеся про основний перелік найбільш розповсюджених атак на бізнес
• Вивчите готові механізми/системи захисту від типових атак
• Дізнаєтесь, як протидіяти загальним технологіям соціальної інженерії

Ризики та збитки: методи оцінки загроз для компанії

• Зрозумієте, що таке ризик, вразливість і загроза - і чим вони відрізняються
• Дізнаєтесь, як проводити оцінку ризиків

Реагування на інциденти й управління наслідками

• Зрозумієте етапи обробки інцидентів
• Дізнаєтеся, звідки береться інформація про інцидент
• Зрозумієте, як відокремити інцидент від підозрілої події

Моніторинг безпеки та контроль ІТ-середовища

• Зрозумієте важливість перевірок та розслідувань безпеки
• Дізнаєтесь, що таке перевірка інформації та обробка запитів

Захист персональних даних та клієнтської інформації

• Зрозумієте, що таке персональні дані та клієнтська інформація
• Знатимете свої права та обов'язки щодо захисту власних персональних даних

Навчання працівників та обізнаність з питань безпеки

• Дізнаєтесь, яку роль відіграє програма обізнаності з питань інформаційної та кібербезпеки
• Дізнаєтеся про варіанти використання й розташування системи навчання та обізнаності LMS

Планування безперервності бізнесу та кризовий менеджмент

• Дізнаєтесь, що таке безперервність бізнесу та її основні складові
• Визначите місце Value Stream Management у циклі обробки інцидентів та кризового менеджменту

Комплаєнс та відповідність корпоративним і законодавчим вимогам

• Зрозумієте необхідність підтримки безпеки бізнесу
• Дізнаєтеся про особливості акредитації юридичних та фізичних осіб

Системне керування кіберзахистом: від стратегії до операцій

• З зрозумієте складові системи кіберзахисту на управлінському рівні
• Дізнаєтеся про стандарти й фреймворки кіберзахисту

Робота з персоналом, фізична та екологічна безпека

• Дізнаєтесь про елементи захисту інформації поза межами кіберпростору
• Зрозумієте, як забезпечити захист інформації для своєї компанії
• Дізнаєтесь про свої права та обов'язки на роботі

Ідентифікація, аутентифікація та управління доступами

• Дізнаєтесь про основи контролю доступу, правила надання доступів та цикл життя доступів до інформації
• Дізнаєтесь, що таке матриця доступу

Захист корпоративних мереж і хмарних інфраструктур

• Зрозумієте основні складові мережі компанії
• Дізнаєтесь, що таке Internet of Things та прилади виробничих систем у компанії

Управління кіберзагрозами та інформаційною розвідкою

• Дізнаєтесь про основні загрози, які можуть негативно впливати на бізнес вашої компанії
• Складете перелік загроз на вашому підприємстві

Управління третіми сторонами та обслуговування

• Дізнаєтесь про правила, яких варто дотримуватися для безпечної розробки ПЗ і захисту даних при розробці й тестуванні
• Дізнаєтесь, що таке особливості доступу Third-level support

Побудова периметра кібербезпеки компанії

• Зрозумієте основні складові периметра кібербезпеки
• Навчитеся виконувати адаптацію контролів та процесів/ресурсів на підприємстві

Особливості курсу

• Допомога ментора
• Практика
• Фінальний проєкт
• Проєкт в портфоліо
• Сертифікат про проходження курсу

Викладачі курсу

Андрей Дереча - Security Officer у міжнародній організації

Програма курсу

Вступ до кібербезпеки та Penetration Testing

• Зрозумієте основи кібербезпеки, принципи CIA та важливість пентестингу
• Розглянете основні ролі та напрями розвитку кар'єри у сфері кібербезпеки
• Ознайомитесь з основними інструментами, які будуть використовуватися під час курсу

Основи мереж

• Зрозумієте принципи роботи мереж та їхні основні типи (LAN, WAN, WLAN, VPN)
• Ознайомитесь із моделями OSI та TCP/IP та ключовими мережевими протоколами
• Навчитеся працювати з IP-адресацією та підмережами
• Отримаєте практичні навички використання інструментів (Wireshark, Nmap, TCPdump) для сканування та аналізу трафіку
• Зможете виявляти типові мережеві вразливості (DNS/DHCP, MITM, відкриті порти) й оцінювати пов'язані ризики

Налаштування середовища

• Налаштуєте середовище для тестування на проникнення та зможете працювати з основними інструментами Kali Linux
• Отримаєте розуміння життєвого циклу тестування на проникнення та навички підготовки технічних звітів

Основи роботи з ОС, серверами та хмарними провайдерами для пентесту

• Зрозумієте основи роботи різних операційних систем
• Дізнаєтеся основи Bash та Python для автоматизації задач пентестингу
• Напишете базовий скрипт для пентесту
• Зрозумієте хмарні сервіси та адміністрування віддалених серверів
• Навчитесь автоматично розгортати інструменти на віддаленому сервері

Open Source Intelligence (OSINT): розвідка на основі відкритих джерел

• Зрозумієте методології пошуку інформації з відкритих джерел для розширення поверхні атаки
• Навчитеся користуватися основними інструментами OSINT

Фішинг та соціальна інженерія

• Зрозумієте різні методології фішингових атак
• Розробите й проведете фішингову кампанію

Вступ до експлуатації вебзастосунків

• Зрозумієте основи вебзастосунків та їхньої архітектури
• Дізнаєтеся про роль тестування на проникнення в Secure SDLC
• Зрозумієте різницю між SAST, DAST та IAST
• Зрозумієте значення CWE та CVE у безпеці

Налаштування Burp-Suite і знайомство з Nuclei

• Встановите й налаштуєте Burp Suite для роботи з вебтрафіком
• Ознайомитесь з основними модулями програми (Proxy, Scanner, Intruder, Repeater, Sequencer) та їхнім призначенням
• Навчитеся перехоплювати й змінювати HTTP/HTTPS-запити за допомогою Burp Proxy
• Зможете налаштувати проксі у браузері для інтеграції з Burp Suite
• Отримаєте практичні навички захоплення та аналізу вебтрафіку для подальшого виявлення вразливостей

Client Side Vulnerabilities: XSS, CSRF

• Зрозумієте принципи виникнення клієнтських вразливостей (XSS, CSRF)
• Навчитесь ідентифікувати місця потенційних XSS у вебзастосунках та проводити успішні атаки для тестування
• Зможете імітувати CSRF-атаки та розуміти механізми обходу автентифікації користувачів
• Дізнаєтеся, як пропонувати й впроваджувати основні заходи захисту від XSS і CSRF (вихідне кодування, CSP, CSRF-токени)
• Зможете пояснити розробникам кращі практики щодо безпеки на боці клієнта

SSRF, XXE attacks

• Зрозумієте принципи SSRF- та XXE-вразливостей
• Навчитесь ідентифікувати й експлуатувати SSRF- та XXE-вразливості
• Дізнаєтеся про методи запобігання та пом'якшення ризиків цих вразливостей

SSTi, вразливості включення файлів

• Зрозумієте принципи SSTi й вразливості включення файлів
• Навчитеся виявляти й експлуатувати SSTi, LFI та RFI
• Дізнаєтеся про заходи безпеки для запобігання цим вразливостям

Вразливості обходу директорій, SQL/NoSQL Injection

• Зрозумієте суть SQL- та NoSQL-ін'єкцій
• Отримаєте навички виявлення та експлуатації SQLi та NoSQLi
• Дізнаєтеся про ефективні методи захисту баз даних від ін'єкцій
• Попрацюєте з інструментами автоматизованого виявлення та постексплуатації SQL/NoSQL injection

RCE, ACE, Command Injection

• Зрозумієте вразливості RCE, ACE та ін'єкції команд
• Навчитесь експлуатувати ці вразливості в контрольованому середовищі
• Дізнаєтеся про заходи безпеки для запобігання виконанню довільного коду й команд

Вразливості при завантаженні файлів

• Зрозумієте ризики та вразливості, пов'язані з завантаженням файлів у вебзастосунках
• Навчитеся виявляти й експлуатувати вразливості при завантаженні файлів
• Дізнаєтеся про ефективні методи захисту вебзастосунків від небезпечного завантаження файлів
• Ознайомитеся з інструментами й методиками для тестування завантаження файлів

Експлуатація вразливостей десеріалізації

• Отримаєте глибоке розуміння процесів серіалізації та десеріалізації
• Навчитеся виявляти й експлуатувати вразливості десеріалізації в різних мовах програмування
• Здобудете знання ефективних методів захисту застосунків від небезпечної десеріалізації
• Ознайомитеся з інструментами для аналізу та експлуатації вразливостей десеріалізації

Вразливості порушення контролю доступу, вразливості бізнес-логіки

• Зрозумієте концепції контролю доступу та як їх можна порушити
• Навчитеся виявляти й експлуатувати вразливості IDOR та бізнес-логіки
• Дізнаєтеся про методи захисту від порушення контролю доступу та вразливостей бізнес-логіки

Атаки на JWT. OAuth і неправильні налаштування API

• Зрозумієте принципи роботи JWT (структура, використання в автентифікації та авторизації) та основні вразливості токенів
• Навчитеся проводити типові атаки на JWT: підробка токенів, маніпуляція заявами, повторне використання
• Засвоїте методи захисту від атак на JWT: використання безпечних алгоритмів, валідація цілісності, контроль терміну дії токенів
• Ознайомитесь із фреймворком OAuth 2.0, його потоками авторизації та ризиками неправильних налаштувань
• Отримаєте практичні навички виявлення та експлуатації вразливостей в API, а також застосування стратегій їхнього пом'якшення (безпечний дизайн, обмеження доступу, регулярні аудити)

Q&A-сесія

Отримаєте відповіді на свої запитання від лектора.

Мобільна безпека. Part 1

• Отримаєте навички аналізу мобільних застосунків
• Дізнаєтеся про методи атак на мобільні пристрої та застосунки
• Зрозумієте методи захисту мобільних екосистем

Мобільна безпека. Part 2

• Зрозумієте, як влаштована архітектура безпеки iOS-застосунків
• Зрозумієте, в яких випадках доцільно застосовувати іOS Jailbreak
• Дізнаєтеся про етапи перевірки вразливостей застосунків на iOS
• Опануєте інструменти пентесту iOS-застосунків

Хмарне тестування на проникнення

• Дізнаєтеся про методи та інструменти тестування безпеки хмар
• Отримаєте навички пошуку вразливостей в хмарних середовищах
• Зрозумієте основи захисту хмарних платформ

Тестування Wi-Fi мереж

• Зрозумієте основні принципи роботи й стандарти бездротових мереж Wi-Fi
• Зможете ідентифікувати найпоширеніші типи атак на Wi-Fi мережі та вразливості
• Налаштуєте інструментарій (aircrack-ng suite, інші утиліти) для проведення тестів на проникнення у Wi-Fi
• Виконаєте перехоплення та аналіз трафіку, деавтентифікаційні атаки, атаки на слабкі паролі
• Зможете формувати базові рекомендації щодо підвищення безпеки бездротових мереж

AI-безпека

• Зрозумієте, як працює LLM у контексті кібербезпеки
• Зрозумієте, на що варто звертати увагу з точки зору тестувальника безпеки при роботі з LLM
• Отримаєте навички тестування LLM на вразливості, розуміння процесу

Експлуатація ОС: Linux

• Зрозумієте різноманітні вектори підвищення привілеїв у Linux
• Отримаєте навички зловживання налаштуваннями системи, привілейованими групами та вразливими службами
• Дізнаєтеся про методи захисту й аудиту Linux-систем для запобігання експлуатації

Експлуатація ОС: Windows

• Зрозумієте основні техніки підвищення привілеїв у Windows
• Засвоїте навички зловживання налаштуваннями прав доступу, групових привілеїв та вразливих служб
• Дізнаєтеся про методи захисту Windows від експлуатації привілеїв

Docker Container Penetration Testing

• Отримаєте розуміння загроз безпеці контейнерів
• Засвоїте навички аналізу та експлуатації вразливостей Docker
• Дізнаєтеся про методи закріплення контейнерних середовищ

Пентест мереж і мережевих сервісів, тунелювання та обхід захистів

• Отримаєте розуміння процесу мережевого сканування та збору інформації
• Отримаєте навички експлуатації мережевих вразливостей
• Дізнаєтеся про техніки тунелювання та обходу захистів
• Отримаєте навички з латерального переміщення для розширення доступу

Написання звіту

• Зрозумієте повний життєвий цикл пентесту - від первинного контакту з клієнтом до верифікації усунених вразливостей
• Засвоїте структуру професійного звіту з пентесту (Executive Summary, Findings, Recommendations, Scope, Caveats, Appendix) та їхнє призначення
• Навчитеся формулювати знахідки та рекомендації так, щоб вони були зрозумілими як для технічної, так і для бізнес-аудиторії
• Отримаєте навички написання звіту з урахуванням вимог до чіткості, лаконічності, технічної точності й граматики
• Ознайомитесь із прикладами реальних пентест-звітів та дізнаєтесь, як AI-інструменти можуть допомогти у створенні якісних структурованих репортів

Розбір запитань на співбесіді

• Підготуєтесь до типових технічних і практичних запитань, які ставлять пентестерам на співбесідах
• Засвоїте, як правильно формулювати відповіді, демонструючи не лише знання теорії, але й практичний досвід
• Ознайомитесь із прикладами складних кейсів та дізнаєтесь, як їх ефективно презентувати рекрутеру або технічному інтерв'юеру

Презентація проєктів

• Навчитесь ефективно передавати інформацію клієнту
• Впевнитеся, що клієнт розуміє знайдені проблеми та шляхи їхнього розв'язання
• Дізнаєтесь, як формувати довіру між клієнтом і пентестером

Q&A-сесія

Отримаєте відповіді на свої запитання від лектора.

Особливості курсу

• Допомога ментора
• Практика
• Кейс у портфоліо
• Курсовий проєкт
• Сертифікат про проходження курсу
• Підготовка до співбесіди

Викладачі курсу

Максим Либа - Senior Security Testing Engineer at EPAM Systems

На цьому курсі ми спочатку вивчимо основи кібербезпеки та роботи з мережами, розберемо вразливості на практиці й навчимося протистояти атакам. Опануємо не тільки технічні скіли зламу, а й зможемо обґрунтувати доцільність виправлення помилок і демонструвати потенційний вплив на систему.

Програма курсу

Знайомство з напрямом кібербезпеки

• Зрозумієте основні визначення та підходи у сфері кібербезпеки
• Ознайомитеся з базовими інструментами для проходження курсу
• Дізнаєтесь, які напрями професійного розвитку існують у сфері кібербезпеки

Процес роботи Application Security

• Ознайомитесь із завданнями, які виконує Application Security Engineer
• Розглянете фреймворки, якими керуються Application Security Engineers
• Дізнаєтеся категорії вразливостей за списком OWASP Top 10
• Зрозумієте, з чого складається звіт вразливостей і який він має вигляд

Воркшоп №1 - Огляд інструментів для роботи

• Дізнаєтесь, як працювати з Burp Suite Proxy і ZAP
• Навчитеся запускати сканери вразливостей

Кібербезпека мереж

• Зрозумієте загальні принципи роботи мережі, модель OSI
• Зможете встановлювати, налаштовувати й працювати з мережними утилітами
• Дізнаєтесь, які напрями атак на мережу існують
• Навчитеся сканувати мережу та перехоплювати трафік зі свого комп'ютера

Побудова карти застосунку

• Дізнаєтеся способи пошуку всіх можливих компонентів застосунку
• Зрозумієте, як працювати з Burp Suite Proxy

Основи криптографії

• Зрозумієте відмінність між шифруванням, хешуванням та кодуванням
• Вивчите принципи синхронної та асинхронної криптографії
• Дізнаєтесь, як відбувається шифрування інформації
• Ознайомитеся з криптографічним алгоритмом RSA
• Розглянете основні атаки на криптографію

Атаки на серверну частину вебзастосунків (Частина 1)

• Ознайомитеся з різними типами вразливостей: XXE, File Upload
• Навчитеся запускати сканери вразливостей

Воркшоп №2 - SQL injections, sqlmap

• Дізнаєтеся, що таке SQL-ін'єкція
• Зможете продемонструвати вразливість та її вплив на систему
• Ознайомитеся з інструментами пошуку вразливості
• Навчитеся виправляти вразливу систему

Атаки на серверну частину вебзастосунків (Частина 2)

Дізнаєтеся типові вразливості, що стосуються контролю доступу.

Атаки на серверну частину вебзастосунків (Частина 3)

• Зможете ідентифікувати й експлуатувати атаки на шаблони
• Зрозумієте принцип перевірки безпеки API
• Дізнаєтеся вектори й розвиток SSRF-атак

Воркшоп №3 - SSRF, SSTI, API attacks

Зрозумієте, як здійснювати пошук, розвивати та експлуатувати вразливості на серверну частину вебзастосунків.

Атаки на клієнтську частину вебзастосунків

• Ознайомитеся з пошуком, експлуатацією та рекомендаціями щодо захисту вразливостей: XSS, CSRF, Clickjacking
• Розглянете вразливості, що стосуються JWT

Підготовка звіту вразливостей

• Дізнаєтесь, як написати звіт з виконаного проєкту пошуку вразливостей у вебзастосунку
• Зрозумієте структуру звіту і роль його основних частин
• Навчитеся представляти звіт для технічних і менеджмент-ролей

Воркшоп №4 - Пошук та експлуатація вразливостей на клієнтську частину вебзастосунків

• Дізнаєтесь, як виявляти й розгортати атаки на клієнтську частину вебзастосунків
• Опануєте способи обходу захисту на клієнтській стороні

Вразливості, пов'язані з людським фактором. Напрями розвитку в сфері кібербезпеки

• Ознайомитеся із вразливостями, що стосуються бізнес-логіки
• Зрозумієте напрями розвитку в сфері кібербезпеки
• Дізнаєтесь, як підготуватися до практичної частини співбесіди

Презентація курсового проєкту

Особливості курсу

• Теорія
• Практика
• Проєкт в портфоліо
• Кар'єра

Викладачі курсу

Богдан Середницький - Cyber Security Engineer at Ciklum