Warsztaty z modelowania zagrożeń
Modelowanie zagrożeń pomaga przyjąć szerszą perspektywę i zrozumieć, w jakich okolicznościach należy chronić najważniejsze zasoby. Zalecamy przeprowadzenie sesji modelowania zagrożeń nie tylko przed rozpoczęciem testów bezpieczeństwa, ale także podczas rozważania nowej funkcjonalności dla już istniejącej aplikacji lub przed wprowadzeniem jakichkolwiek zmian w infrastrukturze.
Zadając sobie pytanie “co może pójść nie tak” na samym początku cyklu życia oprogramowania, możesz szybciej i łatwiej zabezpieczyć swoje zasoby i dane. Podczas tych warsztatów podzielimy się najlepszymi praktykami dotyczącymi wdrażania modelowania zagrożeń w Twojej organizacji.
Zaufali nam
Cele warsztatów
- Stworzenie solidnych podstaw dla zrozumienia różnych metodologii modelowania zagrożeń.
- Zapoznanie się z uproszczonym procesem modelowania zagrożeń za pomocą 3 kluczowych pytań: Co? Kto? Jak?
- Zdobycie praktycznego doświadczenia na rzeczywistych przykładach.
- Możliwość przeprowadzenia modelowania zagrożeń na większą skalę i wdrożenie go w różnych przypadkach testowych.
Zero teorii – tylko praktyczne zastosowanie
Stawiamy na praktyczne zastosowanie zdobytej wiedzy, więc podczas warsztatów będziesz uczestniczył w ćwiczeniach opartych na rzeczywistych przykładach. Każda firma jest inna– dlatego dobieramy takie przykładowe scenariusze, które z dużym prawdopodobieństwem mogą się zdarzyć w Twoim przypadku. Podczas warsztatów Twój zespół będzie wystawiony na nowe wyzwania i sytuacje – w ten sposób zachęcamy do nieszablonowego myślenia i zrozumienia perspektywy atakującego.
Zmierzymy się z szerokim spektrum najczęstszych ataków i podatności, które wyłapujemy w naszej codziennej pracy jako specjaliści od bezpieczeństwa. Poszerzymy Twoje horyzonty na temat cyberbezpieczeństwa, ale co ważniejsze, skupimy się na odpowiedniej ocenie i priorytetyzacji wdrożonych zabezpieczeń.
Przygotowując takie warsztaty, dokładamy wszelkich starań, aby zrozumieć aktualną sytuację w Twojej organizacji i dopasować optymalny program.
Przebieg warsztatów
Każde szkolenie jest szyte na miarę i dostosowywane do potrzeb Twojej organizacji.
Dostosowujemy warsztaty do Twoich przyszłych projektów, dzięki czemu będziesz mógł samodzielnie wykonać sesje modelowania zagrożeń, jak tylko będziesz tego potrzebował. Niezależnie czy jest to aplikacja, infrastruktura, czy kluczowa decyzja biznesowa.
Aby to zapewnić, kierujemy się wypracowanym schematem kursu:
- Wprowadzenie do modelowania zagrożeń – podczas tego etapu uczestnicy poznają zagrożenia związane z tworzeniem aplikacji i systemów, które nie spełniają wymogów bezpieczeństwa. Doświadczą wpływu modelowania zagrożeń oraz odkryją różne podejścia do modelowania zagrożeń (Attack Tree, STRIDE, Who? What? How?).
- Dodanie bezpieczeństwa do cyklu życia oprogramowania (SDLC) – uczestnicy zrozumieją, jak optymalnie wdrożyć modelowanie zagrożeń w organizacji. Znajdą miejsce na kwestie bezpieczeństwa w metodologii Agile, Scrum jak i Sprint. Uczestnicy dowiedzą się jak modelować zagrożenia przed i w trakcie pracy deweloperów nad projektem. Nasi specjaliści podzielą się również tym, co modelowanie zagrożeń wnosi do procesów biznesowych.
- Planowanie skutecznej sesji – w tej części uczestnicy dowiedzą się, jak przygotować skuteczną sesję modelowania zagrożeń: role uczestniczących, kogo zaprosić i jaki powinien być przebieg sesji.
- Przykładowa sesja modelowania zagrożeń – ten etap polega na określeniu potencjalnych atakujących, zdefiniowaniu kluczowych zasobów, stworzeniu wymagań bezpieczeństwa w oparciu o potencjalne zagrożenia, opracowaniu przypadków testowych w odniesieniu do wymagań organizacji.
- Analiza wyników sesji – na tym etapie uczestnicy zapoznają się ze standardem CVSS oraz nauczą się podejmować decyzje w oparciu o zagrożenia.
- Najlepsze praktyki – W tej części dzielimy się naszym doświadczeniem w podstawowych modelach zagrożeń w projektach na dużą skalę. Wykonujemy ćwiczenie definiujące podstawowy model zagrożeń dla Twojej organizacji oraz przedstawiające diagram skuteczności modelowania zagrożeń.
Aby sesja modelowania zagrożeń była jak najbardziej skuteczna, w Twoim zespole powinien znaleźć się przynajmniej jeden specjalista od bezpieczeństwa – ekspert, który wie, jak atakować konkretne technologie poddawane analizie. Najlepiej, gdyby była to osoba z Twojej organizacji, aczkolwiek możemy również wspomóc Twój zespół naszymi specjalistami.
Nasi trenerzy
Mateusz Olejarka
Principal Security Consultant | Head of Web Security
Do jego kluczowych obowiązków należą testy penetracyjne aplikacji webowych i mobilnych, modelowanie zagrożeń oraz przegląd kodu źródłowego. Konsultant, pomagający zespołom programistów rozwiązywać problemy związane z bezpieczeństwem aplikacji. Dorywczo zajmuje się bug bounty, znalazł się w Halls of Fame takich firm jak Adobe, Algolia, GM, Jet, Netflix, Tesla, Twitter, Uber i Yahoo.
Prelegent na konferencjach: 4Developers, Black Hat Asia, Code Europe, CONFidence, Hacktivity, NGSec, Security Case Study, Secure, SEMAFOR, Testing Cup, TestWarez, TestWell, OWASP i spotkanich KraQA.
Sebastian Obara
IT Security Consultant
Specjalista ds. bezpieczeństwa IT w SecuRing od czerwca 2022 roku. Do jego kluczowych obowiązków należy modelowanie zagrożeń i testowanie bezpieczeństwa aplikacji internetowych i powiązanych z nimi komponentów. Wcześniej pracował po drugiej stronie barykady jako Team Leader/Senior Developer (PHP/Python) oraz Team Leader DevOps. Był odpowiedzialny za rozwój i utrzymanie środowiska CI/CD oraz sieci/serwerów – Infrastructure as Code. Pracował również jako Team Leader/Koordynator projektu AI SendGuard – rozwiązania AI do walki ze spamem i phishingiem. Wymieniony w Hall of Fame na Grafana.
Certyfikaty: eLearn Web Penetration Tester Extreme (eWPTXv2)
Feedback od uczestników
Od czego zacząć?
Jeśli jesteś zainteresowany modelowaniem zagrożeń w swojej organizacji, wypełnij nasz formularz kontaktowy, a my odezwiemy się do Ciebie z naszą pełną ofertą.
Możesz również umówić się z nami na krótkie spotkanie, wybierając dogodną dla Ciebie godzinę w poniższym kalendarzu:
W międzyczasie polecamy artykuł o modelowaniu zagrożeń z naszej Bazy wiedzy:
Thinking what can go wrong? Introduction to Threat Modeling
Threat Modeling – how to start doing it?