Pentesting Cloud – AWS

Este curso está disponible en las siguientes fechas

INSCRIBIR CURSO

Contexto

Este curso proporcionará las competencias y habilidades para realizar un Pentest en infraestructura Cloud, especialmente orientado a tecnologías Amazon Web Services (AWS). El propósito principal del curso es formar al participante con las capacidades necesarias para que luego de entender las diferencias y limitantes entre un Pentest Tradicional y un Pentest Cloud, pueda aplicar la metodología correcta y con esto detectar y explotar de manera exitosa malas configuraciones en este tipo de entornos. El curso cubre desde aspectos básicos de la nube, manejo de la AWS CLI, modelos de responsabilidad compartida, comparativas entre las 3 nubes más populares, hasta enumeración y explotación en IAM, S3, EC2, Lambda, entre otras.

Estas son sugerencias basadas en el nivel de dificultad y área de conocimiento que podrían interesarle.

Este curso es flexible para:


Perfil de Egreso

El estudiante al finalizar el curso será capaz de:

  • Aplicar la metodología de Pentesting Cloud para una eficiente detección y explotación de malas configuraciones y fallos de seguridad en ambientes cloud, especialmente enfocados en Amazon Web Services (AWS).
  • Conocer las diferencias entre un Pentest Tradicional y un Pentest Cloud y aplicar la metodología correcta a cada escenario.
  • Conocer las limitantes que se presentan en un Pentest Cloud y el modelo de responsabilidad compartida.
  • Enumerar recursos cloud, detectando y explotando puntos débiles, vulnerabilidades y malas configuraciones para con esto escalar privilegios sobre una infraestructura AWS.
  1.  

Insignia de certificación otorgada por Credly

Equipo Docente

Galoget Jontze Latorre Cheng

Correo: [email protected], [email protected]

Profesional con amplia experiencia adquirida principalmente en el área de Ethical Hacking, Penetration Testing, Ciberseguridad, Seguridad de la Información y Ciberinteligencia en el sector bancario, financiero y de Telecomunicaciones (ISPs). Tiene una extensa trayectoria como Conferencista Magistral en distintos Eventos Internacionales, Comunidades y Foros de Ciberseguridad, Fundador & CEO del Grupo de Investigación “Hackem Cybersecurity Research Group”. Se desempeña como Consultor Especialista en Ciberseguridad, Penetration Testing, Ethical Hacking e Informática Forense, entre otras áreas afines. Es Docente en el Centro de Educación Continua de la Escuela Politécnica Nacional (CEC-EPN), además imparte Cursos de Ciberseguridad en Hackem Cybersecurity Research Group y otras Academias Internacionales. Participa como Investigador y colaborador en Proyectos Internet of Things (IoT) con Technische Universiteit Delft (TU Delft) (Países Bajos) y Technische Universität München (TUM) (Alemania). Ex-Docente en la Universidad de las Fuerzas Armadas ESPE. Ex-Presidente IEEE Computer Society [EPN], Líder OWASP Ecuador [EPN], Embajador del Proyecto Fedora & Mozilla en Ecuador. Miembro de Criptored. Organizador de múltiples eventos tecnológicos de alto renombre como: Festival Latinoamericano de Instalación de Software Libre (FLISoL), Software Freedom Day (SFD), Cryptoparty, Gira Antivirus, Fedora Release Party, PyDay, PythonQuito, Django Girls, etc.).Cuenta con múltiples Certificaciones Internacionales en Ciberseguridad especialmente en lo que a Seguridad Ofensiva y Red Teaming se refiere, entre las más relevantes estan:

              Offensive Security Certified Professional (OSCP), Offensive Security Wireless Professional (OSWP), Certified Ethical Hacker (CEH Practical), Certified Network Security Specialist (ICSI | CNSS), GIAC Foundational Cybersecurity Technologies (GFACT), (ISC)² Certified in Cybersecurity (CC), Cybersecurity MicroMasters Program, Cybersecurity Leadership and Strategy Executive Certificate Program, Cybersecurity Certificate Program, Fortinet – Network Security Associate (NSE1 y NSE2), Nessus Certificate of Proficiency, Acunetix User Test.

Ha obtenido el 1er lugar al destacar en múltiples competencias de Ciberseguridad y Hacking a nivel internacional, donde algunas de las más relevantes son:

              Schneider Electric CTF (2022), Google Mini CTF (2022), Ekoparty Github Security Lab Workshop CTF 2021, Resolución de retos planteados por GitHub para la detección de vulnerabilidades en bibliotecas reales a través de técnicas de Fuzzing Avanzado (2021), DragonJAR Security Conference CTF 2021, (2021), F-Secure CTF (2021), DojoConf CTF, (2021), HackMex Hacking Competition, (2020), Concurso de Hacking – Capture the Flag Campus Party Latam (2020), Mejor Rendimiento y Puntaje General del 1er Campeonato Nacional de Ciberseguridad en Ecuador (2020), Tercer Concurso Nacional de Seguridad TIC’s y Programación – EPN (2017), Primer Concurso Nacional de Seguridad TIC’s y Programación – EPN (2015), Kaspersky CyberSecurity for the Next Generation South American Round (2013), Concurso de Ciberseguridad y Análisis de Malware Capture The Flag ESET, Campus Party Ecuador (2012).

Estructura de Contenidos

  • Introducción al Curso
  • Modelos en Cloud
  • Introducción a AWS, Azure y Google Cloud Platform (GCP)
  • Comparativa de AWS, Azure y GCP
  • Metodología de un Pentest Cloud
  • Diferencias entre Pentest Tradicional vs. Pentest Cloud
  • Modelo de Responsabilidad Compartida
  • Limitaciones de un Pentest en Cloud
  • Ejercicios y/o Retos Prácticos
  1. ¿Qué es la AWS CLI?
  2. Procesos de Autenticación en AWS CLI
  3. Creación de perfiles con nombre
  4. Comandos communes de AWS CLI
  5. Credenciales en texto claro
  6. Administración de Identidades y Accesos (IAM)
  7. Gestión de Usuarios, Grupos, Roles y Políticas
  8. AWS Security Token Service (STS)
  9. Pentesting a IAM
  10. Enumeración Manual de Usuarios, Grupos, Roles y Políticas
  11. Enumeración Automatizada de Usuarios, Grupos, Roles y Políticas
  12. Escalamiento de Privilegios en IAM
  13. Abuso de Permisos
  14. Permisos en otros usuarios
  15. Permisos sobre políticas
  16. Ejercicios y/o Retos Prácticos
  1. Conceptos básicos
  2. Buckets, Objetos, Políticas
  3. Pentesting sobre S3
  4. Enumeración manual de buckets
  5. Detección y Explotación de malas configuraciones
  1. Definiciones base
  2. Funciones Lambda
  3. Lenguajes admitidos por Lambda
  4. Código ejecutable en Lambda
  5. API Gateway
  6. Pentesting Lambda
  7. Enumeración Manual de Lambda y API Gateway
  8. Post-Explotación RCE sobre Lambda
  9. Escalamiento de Privilegios con Lambda
  10. Ejercicios y/o Retos Prácticos
  1. Conceptos Base
  2. Instancias, AMI, Grupos de Seguridad, Metadatos de Instancias
  3. Pentesting sobre EC2
  4. Enumeración y Explotación de Instancias
  5. Ejercicios y/o Retos Prácticos

Evaluación: Resolución de Retos de Hacking en entornos controlados.

Certificación Pentesting Cloud – AWS


Quienes han alcanzado esta Certificación han demostrado sus habilidades y competencias para aplicar de manera práctica técnicas de Pentesting en ambientes Cloud de Amazon Web Services (AWS). El portador de esta credencial conoce la metodología ideal para realizar pruebas de seguridad en ambientes de nube, además, está en capacidad de detectar y explotar malas configuraciones, aprovechar problemas en IAM, enumerar recursos Cloud tales como: Buckets S3, Instancias EC2, AWS Lambda, etc., Escalar privilegios en ambientes mal asegurados y aprovechar las condiciones del escenario para maximizar el impacto de compromiso.

VER certificación EN CREDLY

INSCRIPCIÓN

Este curso está disponible en las siguientes fechas:

INSCRIBIR CURSO

Opciones de pago al contado


  • Un Curso: $250.000 ($350 USD)
  • Un Diplomado - conformado por cuatro cursos + inscripción:
  • $1.000.000 ($1300 USD)

Opciones de pago flexible


  • Un Diplomado - conformado por cuatro cursos + inscripción 
  •  (paga cada curso sólo cuando quieras cursarlo):
    • Inscripción + un curso: $400.000 ($450 USD)
    • Tres cursos restantes: $250.000 c/u ($350 USD c/u)

¿Necesitas más información de nuestros diplomados?

¡AGENDA UNA REUNIÓN CON CAPACITACIÓN USACH!

Contáctanos a nuestro Whatsapp o correo electrónico ([email protected]) para resolver todas tus dudas y obtener más información sobre fechas, beneficios o futuros programas.

agendar reunión enviar correo enviar whatsapp