Личный кабинет
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты
Заказать звонок
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты
Vulnerability management
Получите навыки, необходимые для обнаружения и управления уязвимостями
Online
Практический курс по управлению уязвимостями
Старт группы
15 ноября
15 ноября
Длительность
5 недель
5 недель
Партнер курса
После успешного прохождения курса выдается удостоверение о повышении квалификации и электронный сертификат
находить уязвимости в системе и определять их критичность;
строить процесс управления уязвимостями в организации совместно с ИТ-отделом.
использовать инструменты для сканирования уязвимостей и интерпретировать полученные результаты;
приоритизировать уязвимости на основе критичности, трендов, информации об их активной эксплуатации;
После освоения курса вы научитесь:
Metasploit
Nessus
CVE
Acunetix
MetaScan
Python
Nmap
CVSS
OWASP TOP10
BugBounty
Vulners
CISA KEV
Технологии и инструменты, которые будете использовать:
Начните бесплатно
В бесплатной части вы узнаете больше о курсе, сможете пройти несколько уроков и убедиться, что это вам точно подходит. Бесплатный доступ активен 3 дня.
30
часов практики с наставником
30
часов теории
На курсе вас ждёт 14 практических работ, каждая симулирует рабочие обязанности специалиста по управлению уязвимостями
обновили материалы в феврале 2025 года, чтобы вы были в курсе самых последних киберугроз и атак, а также методов обеспечения безопасности
*
Кому будет полезно пройти курс
Специалистам с опытом в IT/ИБ от 1 года, которые хотят развиваться в управлении уязвимостями
Начинающим специалистам по пентесту/редтимерам
Аналитикам SOC, желающим понимать принципы обнаружения и классификации уязвимостей и их устранения
Программа повышения квалификации
Рекомендуем выделять на курс 10-12 часов в неделю
📄 1.1 Понятие уязвимостей и их классификация
📄 1.2 Оценка уязвимостей по шкале CVSS
▶️ Скринкаст. Расчёт уязвимости по шкале CVSSv3.1
⚙️ Практическая работа. Расчёт критичности уязвимости по CVSSv3.1
📄 1.3 Процесс управления уязвимостями
✅ Тест
📄 1.4 Резонансные уязвимости и их влияние на компании
▶️ Скринкаст. Эксплуатация уязвимости CVE-2017-0144
⚙️ Практическая работа. Эксплуатация уязвимости CVE-2017-0144
⚙️ Практическая работа. Эксплуатация уязвимости повышения привилегий CVE-2017-0213
📄 1.2 Оценка уязвимостей по шкале CVSS
▶️ Скринкаст. Расчёт уязвимости по шкале CVSSv3.1
⚙️ Практическая работа. Расчёт критичности уязвимости по CVSSv3.1
📄 1.3 Процесс управления уязвимостями
✅ Тест
📄 1.4 Резонансные уязвимости и их влияние на компании
▶️ Скринкаст. Эксплуатация уязвимости CVE-2017-0144
⚙️ Практическая работа. Эксплуатация уязвимости CVE-2017-0144
⚙️ Практическая работа. Эксплуатация уязвимости повышения привилегий CVE-2017-0213
📄 2.1 Способы обнаружения уязвимостей
📄 2.2 Внешние источники информации об уязвимостях
▶️ Скринкаст. Поиск информации об уязвимостях в открытых источниках
⚙️ Практическая работа. Поиск информации об уязвимостях в открытых источниках
📄 2.3 Тестирование на проникновение
📄 2.4 Программа Bug Bounty
📄 2.5 Обнаружение уязвимостей с помощью сканера
⚙️ Практическая работа. Разворачивание сканера Nessus Essentials
🗣️ Вебинар. Динамика роста уязвимостей за последние 10 лет и актуальность процесса управления уязвимостями
📄 2.2 Внешние источники информации об уязвимостях
▶️ Скринкаст. Поиск информации об уязвимостях в открытых источниках
⚙️ Практическая работа. Поиск информации об уязвимостях в открытых источниках
📄 2.3 Тестирование на проникновение
📄 2.4 Программа Bug Bounty
📄 2.5 Обнаружение уязвимостей с помощью сканера
⚙️ Практическая работа. Разворачивание сканера Nessus Essentials
🗣️ Вебинар. Динамика роста уязвимостей за последние 10 лет и актуальность процесса управления уязвимостями
📄 3.1 Типы сканирований
⚙️ Практическая работа. Проведение сканирования в режиме "чёрного ящика"
📄 3.2 Подготовка к сканированию
▶️ Скринкаст. Создание учетных записей на Linux и Windows
📄 3.3 Настройка политик сканирования
▶️ Скринкаст. Настройка политики сканирования
📄 3.4 Проведение сканирования
⚙️ Практическая работа. Настройка и запуск сканирования в режиме "белого ящика"
📄 3.5 Особенности сканирования внешнего периметра
⚙️ Практическая работа. Сканирование веб-приложения
🗣️ Вебинар. Примеры эксплуатации веб-уязвимостей
⚙️ Практическая работа. Эксплуатация веб-уязвимостей в DVWA
⚙️ Практическая работа. Проведение сканирования в режиме "чёрного ящика"
📄 3.2 Подготовка к сканированию
▶️ Скринкаст. Создание учетных записей на Linux и Windows
📄 3.3 Настройка политик сканирования
▶️ Скринкаст. Настройка политики сканирования
📄 3.4 Проведение сканирования
⚙️ Практическая работа. Настройка и запуск сканирования в режиме "белого ящика"
📄 3.5 Особенности сканирования внешнего периметра
⚙️ Практическая работа. Сканирование веб-приложения
🗣️ Вебинар. Примеры эксплуатации веб-уязвимостей
⚙️ Практическая работа. Эксплуатация веб-уязвимостей в DVWA
📄 4.1 Выгрузка отчетов об уязвимостях
📄 4.2 Форматы отчетов и их преобразование
▶️ Скринкаст. Выгрузка отчета из Nessus Essentials
⚙️ Практическая работа. Визуализация результатов сканирование в Faraday
⚙️ Практическая работа. Выгрузка отчетов с помощью API
📄 4.3 Обогащение информации об уязвимостях из внешних источников
▶️ Скринкаст. Обогащение информации об уязвимостях из vulners.com по API
⚙️ Практическая работа. Обогащение информации об уязвимостях с портала vulners.com
🗣️ Вебинар. Что не так с контролем защищенности внешнего периметра
⚙️ Практическая работа. Поиск информации о поддоменах организации с использованием открытых источников
📄 4.2 Форматы отчетов и их преобразование
▶️ Скринкаст. Выгрузка отчета из Nessus Essentials
⚙️ Практическая работа. Визуализация результатов сканирование в Faraday
⚙️ Практическая работа. Выгрузка отчетов с помощью API
📄 4.3 Обогащение информации об уязвимостях из внешних источников
▶️ Скринкаст. Обогащение информации об уязвимостях из vulners.com по API
⚙️ Практическая работа. Обогащение информации об уязвимостях с портала vulners.com
🗣️ Вебинар. Что не так с контролем защищенности внешнего периметра
⚙️ Практическая работа. Поиск информации о поддоменах организации с использованием открытых источников
📄 5.1 Приоритизация устранения на основе критичности уязвимости
📄 5.2 Метрика EPSS
📄 5.3 CISA KEV и анализ трендов уязвимостей
▶️ Скринкаст. Отслеживание трендовых уязвимостей
📄 5.4 Приоритизация устранения на основе критичности актива
🗣️ Вебинар. Обзор подходов и инструментов приоритизации уязвимостей
⚙️ Практическая работа. Автоматизация отслеживания информации об уязвимостях
📄 5.5 Методика оценки уровня критичности уязвимостей ФСТЭК
📄 5.6 Методы устранения уязвимостей
⚙️ Практическая работа. Устранение уязвимости
📄 5.2 Метрика EPSS
📄 5.3 CISA KEV и анализ трендов уязвимостей
▶️ Скринкаст. Отслеживание трендовых уязвимостей
📄 5.4 Приоритизация устранения на основе критичности актива
🗣️ Вебинар. Обзор подходов и инструментов приоритизации уязвимостей
⚙️ Практическая работа. Автоматизация отслеживания информации об уязвимостях
📄 5.5 Методика оценки уровня критичности уязвимостей ФСТЭК
📄 5.6 Методы устранения уязвимостей
⚙️ Практическая работа. Устранение уязвимости
📄 6.1 Инвентаризация активов и планирование скоупа сканирования на уязвимости
📄 6.2 Сканирование на уязвимости и определение стратегии сканирования
📄 6.3 Анализ уязвимостей и заведение заявок на устранение
📄 6.4 Устранение уязвимостей. Контроль процесса
📄 6.5 Приоритизация устранения с учетом контекста инфраструктуры организации и риск ориентированным подходом
⚙️ Практическая работа. Приоритизация и построение плана устранения уязвимостей на примере отчёта выявленных уязвимостей в типовой организации
✅ Итоговый тест
🗣️ Вебинар. Обзор руководства по устранению уязвимостями ФСТЭК. Поделимся практическим опытом построения процесса управления уязвимостями
🎁 Toolbox
📄 6.2 Сканирование на уязвимости и определение стратегии сканирования
📄 6.3 Анализ уязвимостей и заведение заявок на устранение
📄 6.4 Устранение уязвимостей. Контроль процесса
📄 6.5 Приоритизация устранения с учетом контекста инфраструктуры организации и риск ориентированным подходом
⚙️ Практическая работа. Приоритизация и построение плана устранения уязвимостей на примере отчёта выявленных уязвимостей в типовой организации
✅ Итоговый тест
🗣️ Вебинар. Обзор руководства по устранению уязвимостями ФСТЭК. Поделимся практическим опытом построения процесса управления уязвимостями
🎁 Toolbox
Начните бесплатно
В бесплатной части вы узнаете больше о курсе, сможете пройти несколько уроков и убедиться, что это вам точно подходит. Бесплатный доступ активен 3 дня.
Примеры практических заданий
Эксплуатировать уязвимость CVE-2017-0144
Найти информацию об уязвимостях в открытых источниках
Настройка и запуск сканирования в режиме "белого ящика"
Сканирование веб-приложения
Что ещё важно
-
Учим тому, что точно пригодится в работе
После завершения курса вы сможете работать с инструментами обнаружения уязвимостей и самостоятельно выстраивать процесс управления уязвимостями в компании. - Нет битых ссылок
Приводим только актуальные инструменты в качестве примеров. - Доступ к курсу на 6 месяцев
Возвращайтесь к материалам и повторяйте изученное. - Вечный доступ в закрытый чат телеграм INSECA CLUB
Обменивайтесь опытом с коллегами и экспертами.
Дмитрий Топорков
Security assessment Team Lead
Security assessment Team Lead
Автор курса
Более 7 лет работает в сфере кибербезопасности, 5 лет из которых связан с процессом управления уязвимостями. Возглавляет отдел, который отвечает за контроль защищенности инфраструктуры, в задачи которого входит выявление и мониторинг устранения уязвимостей.
Сертификаты
- Certified Ethical Hacker
- Qualys Vulnerability Manager
- Tenable Vulnerability Management Expert
Ключевые навыки
- Vulnerability Management
- OWASP Top10
- Security Assessment
- Администрирование Windows и Linux
Давид Ордян
Сооснователь Metascan
Сооснователь Metascan
Сооснователь Metascan — корпоративная система для обнаружения и управления уязвимостями сетевого периметра.
Начал свою карьеру в 2012 году сервисным инженером в Группе МТС. В том же году занял должность инженера по кибербезопасности в AT Consulting. В 2014 году перешел в «Ростелеком», где занимал должности руководителя отдела веб-безопасности и старшего инженера по безопасности инфраструктуры. В 2017 году стал генеральным директором VULNSPACE.
Начал свою карьеру в 2012 году сервисным инженером в Группе МТС. В том же году занял должность инженера по кибербезопасности в AT Consulting. В 2014 году перешел в «Ростелеком», где занимал должности руководителя отдела веб-безопасности и старшего инженера по безопасности инфраструктуры. В 2017 году стал генеральным директором VULNSPACE.
Более 12 лет в сфере кибербезопасности: работал в организациях сферы ИТ, медиа-отрасли, ТЭК и государственного сектора. Занимается внедрением и развитием процессов кибербезопасности, в том числе vulnerability management.
Автор telegram-канала AlexRedSec.
Ключевые навыки
Автор telegram-канала AlexRedSec.
Ключевые навыки
- Vulnerability Management
- Risk Management
- Security Awareness
- Data Security
Александр Редчиц
Cybersecurity Methodology & Control Team Lead
Cybersecurity Methodology & Control Team Lead
Эксперты курса
Как проходит курс
В процессе освоения программы ученики примерят на себя роль специалиста по управлению уязвимостями. Вместе с наставником курса решите задачи, с которыми сталкиваются в реальной жизни ИБ-команды большинства компаний.
Чтобы выполнить задачи и обеспечить безопасность, вам нужно столкнуться с такими форматами:
Лекции и скринкасты
30 часов информации изложено в формате лекций, скринкастов и проверочных заданий— это выжимка из теории, необходимая для структурирования ваших знаний перед практикой.
Онлайн-вебинары с наставниками
Практические онлайн лекции 1 раз в неделю с наставниками:
● разбор кейсов из практики наставника или приглашенного эксперта;
● постановка задачи для самостоятельного решения;
● разбор ошибок.
Практические задания
До 50% от объёма курса — боевые задачи, с которыми сталкиваются специалисты каждый день. При решении задач обучающиеся используют реальные инструменты и платформы.
30 часов информации изложено в формате лекций, скринкастов и проверочных заданий— это выжимка из теории, необходимая для структурирования ваших знаний перед практикой.
Онлайн-вебинары с наставниками
Практические онлайн лекции 1 раз в неделю с наставниками:
● разбор кейсов из практики наставника или приглашенного эксперта;
● постановка задачи для самостоятельного решения;
● разбор ошибок.
Практические задания
До 50% от объёма курса — боевые задачи, с которыми сталкиваются специалисты каждый день. При решении задач обучающиеся используют реальные инструменты и платформы.
Начните бесплатно
В бесплатной части вы узнаете больше о курсе, сможете пройти несколько уроков и убедиться, что это вам точно подходит. Бесплатный доступ активен 3 дня.
Необходимые знания для освоения программы курса
- Понимание основ архитектуры современных корпоративных инфраструктур
- Понимание основ работы сетевых протоколов
- Базовый опыт администрирования Linux и Windows
- Умение читать техническую литературу на английском. Например: https://nvd.nist.gov/, https://www.exploit-db.com/
Технические рекомендации для прохождения курса
Процессор: 4 ядра
- ОЗУ: 8 Гб
- Жесткий диск: 50 Гб
- Доступ в интернет
- Python 3.x
- VirtualBox
Вступительное тестирование
Пройдите бесплатное тестирование для оценки знаний перед поступлением на курс
Вам необходимо провести сканирование сети и обнаружить живые хосты и открытые порты. Каким инструментом вы бы воспользовались?
Не верно
Верно
Не верно
Не верно
Какова последовательность трехстороннего рукопожатия при установлении TCP соединения?
Верно
Не верно
Не верно
Не верно
Вам необходимо подключиться удаленно к серверу на базе ОС Linux для его администрирования. По какому протоколу вы бы могли это сделать?
Не верно
Не верно
Не верно
Верно!
Какой порт используется по умолчанию протоколом SMB?
Не верно
Не верно
Верно!
Не верно
На каком уровне OSI работают веб-приложения?
Не верно
Верно
Не верно
Не верно
Вам необходимо запустить программу в Linux с максимальными привилегиями. Какую команду необходимо использовать для запуска приложения от имени суперпользователя?
Верно!
Не верно
Не верно
Не верно
Какова основная роль контроллера домена (DC)?
Не верно
Не верно
Верно!
Не верно
Вам необходимо узнать список все портов, которые слушает ваш сервер. Какой командой вы можете локально получить список открытых портов на Windows и Linux устройствах?
Не верно
Верно!
Не верно
Не верно
Недостаточно знаний для уровня Junior
Возможно, для прохождения курса вам потребуется больше времени, чем специалистам с опытом. Выделяйте на курс не менее 10 часов еженедельно, чтобы не отставать от темпа группы.
Недостаточно знаний для уровня Junior
Возможно, для прохождения курса вам потребуется больше времени, чем специалистам с опытом. Выделяйте на курс не менее 10 часов еженедельно, чтобы не отставать от темпа группы.
Вы новичок в vulnerability management
Вероятно, вы только начали свой путь в управлении уязвимостями. Особенно внимательно изучите Модуль 1, он поможет закрыть пробелы в базовых знаниях.
Вы новичок в vulnerability management
Вероятно, вы только начали свой путь в управлении уязвимостями. Особенно внимательно изучите Модуль 1, он поможет закрыть пробелы в базовых знаниях.
Вы тот, кто нам нужен!
У вас отличная теоретическая подготовка, это позволит нам говорить на одном языке! Надеемся, что и практические задания будут вам по плечу!
Отзыв о курсе от Александра Леонова
У нас учатся
О компании
ИНСЕКА — это команда опытных экспертов в сфере информационной безопасности, которым небезразлична судьба отрасли. Мы знаем, с чем ежедневно приходится сталкиваться специалистам: много рутинной работы, отсутствие автоматизации процессов, несогласованность подразделений, недостаточность финансирования, бюрократия, нет доступа к иностранному ПО, информация быстро устаревает, а искать достоверную и актуальную — долго и сложно.
5+ лет мы собираем базу знаний для решения собственных задач, добавили к этому 10+ лет рабочей практики экспертов и опыт зарубежных коллег. В результате появилась компания ИНСЕКА, которая создает образовательные продукты в сфере кибербезопасности. Мы убеждены, что обмен опытом и практико-ориентированная подготовка кадров поможет отрасли решить любые проблемы.
Наши эксперты — это «играющие тренеры». Знают теорию, применяют в своей работе всё, о чем рассказывают на курсах, и что самое главное — готовы делиться своим практическим опытом.
Мы с вами на одной стороне!
5+ лет мы собираем базу знаний для решения собственных задач, добавили к этому 10+ лет рабочей практики экспертов и опыт зарубежных коллег. В результате появилась компания ИНСЕКА, которая создает образовательные продукты в сфере кибербезопасности. Мы убеждены, что обмен опытом и практико-ориентированная подготовка кадров поможет отрасли решить любые проблемы.
Наши эксперты — это «играющие тренеры». Знают теорию, применяют в своей работе всё, о чем рассказывают на курсах, и что самое главное — готовы делиться своим практическим опытом.
Мы с вами на одной стороне!
Внедряем лучший зарубежный опыт и адаптируем его под наши реалии
В команде только практикующие эксперты
Учим тому, что точно пригодится в работе
Объединяем специалистов в ИБ для обмена опытом
Записаться на курс
Длительность 5 недель
Старт 15 ноября
Старт 15 ноября
72 000 ₽
97 000 ₽
Рассрочка 0% без переплат
12 000 ₽/месяц
на 6 месяцев
6 000 ₽/месяц
на 12 месяцев
для физических лиц, гос. компаний и ВУЗов
Стоимость курса %
Стоимость курса
Получить бесплатный доступ на 3 дня
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты
Заказать звонок
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты
Оставить заявку
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты
Записаться на курс
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты