Powrót

Warsztaty z modelowania zagrożeń 

Modelowanie zagrożeń pomaga przyjąć szerszą perspektywę i zrozumieć, w jakich okolicznościach należy chronić najważniejsze zasoby. Zalecamy przeprowadzenie sesji modelowania zagrożeń nie tylko przed rozpoczęciem testów bezpieczeństwa, ale także podczas rozważania nowej funkcjonalności dla już istniejącej aplikacji lub przed wprowadzeniem jakichkolwiek zmian w infrastrukturze.   

Zadając sobie pytanie “co może pójść nie tak” na samym początku cyklu życia oprogramowania, możesz szybciej i łatwiej zabezpieczyć swoje zasoby i dane. Podczas tych warsztatów podzielimy się najlepszymi praktykami dotyczącymi wdrażania modelowania zagrożeń w Twojej organizacji.    

Zaufali nam

Cele warsztatów   

  1. Stworzenie solidnych podstaw dla zrozumienia różnych metodologii modelowania zagrożeń. 
  2. Zapoznanie się z uproszczonym procesem modelowania zagrożeń za pomocą 3 kluczowych pytań: Co? Kto? Jak? 
  3. Zdobycie praktycznego doświadczenia na rzeczywistych przykładach.
  4. Możliwość przeprowadzenia modelowania zagrożeń na większą skalę i wdrożenie go w różnych przypadkach testowych. 

Zero teorii – tylko praktyczne zastosowanie 

Stawiamy na praktyczne zastosowanie zdobytej wiedzy, więc podczas warsztatów będziesz uczestniczył w ćwiczeniach opartych na rzeczywistych przykładach. Każda firma jest inna– dlatego dobieramy takie przykładowe scenariusze, które z dużym prawdopodobieństwem mogą się zdarzyć w Twoim przypadku. Podczas warsztatów Twój zespół będzie wystawiony na nowe wyzwania i sytuacje – w ten sposób zachęcamy do nieszablonowego myślenia i zrozumienia perspektywy atakującego.     

Zmierzymy się z szerokim spektrum najczęstszych ataków i podatności, które wyłapujemy w naszej codziennej pracy jako specjaliści od bezpieczeństwa. Poszerzymy Twoje horyzonty na temat cyberbezpieczeństwa, ale co ważniejsze, skupimy się na odpowiedniej ocenie i priorytetyzacji wdrożonych zabezpieczeń. 

Przygotowując takie warsztaty, dokładamy wszelkich starań, aby zrozumieć aktualną sytuację w Twojej organizacji i dopasować optymalny program.

Przebieg warsztatów 

Każde szkolenie jest szyte na miarę i dostosowywane do potrzeb Twojej organizacji.

Dostosowujemy warsztaty do Twoich przyszłych projektów, dzięki czemu będziesz mógł samodzielnie wykonać sesje modelowania zagrożeń, jak tylko będziesz tego potrzebował. Niezależnie czy jest to aplikacja, infrastruktura, czy kluczowa decyzja biznesowa. 

Aby to zapewnić, kierujemy się wypracowanym schematem kursu: 

  1. Wprowadzenie do modelowania zagrożeń – podczas tego etapu uczestnicy poznają zagrożenia związane z tworzeniem aplikacji i systemów, które nie spełniają wymogów bezpieczeństwa. Doświadczą wpływu modelowania zagrożeń oraz odkryją różne podejścia do modelowania zagrożeń (Attack Tree, STRIDE, Who? What? How?).  
  2. Dodanie bezpieczeństwa do cyklu życia oprogramowania (SDLC) – uczestnicy zrozumieją, jak optymalnie wdrożyć modelowanie zagrożeń w organizacji. Znajdą miejsce na kwestie bezpieczeństwa w metodologii Agile, Scrum jak i Sprint. Uczestnicy dowiedzą się jak modelować zagrożenia przed i w trakcie pracy deweloperów nad projektem. Nasi specjaliści podzielą się również tym, co modelowanie zagrożeń wnosi do procesów biznesowych. 
  3. Planowanie skutecznej sesji – w tej części uczestnicy dowiedzą się, jak przygotować skuteczną sesję modelowania zagrożeń: role uczestniczących, kogo zaprosić i jaki powinien być przebieg sesji. 
  4. Przykładowa sesja modelowania zagrożeń – ten etap polega na określeniu potencjalnych atakujących, zdefiniowaniu kluczowych zasobów, stworzeniu wymagań bezpieczeństwa w oparciu o potencjalne zagrożenia, opracowaniu przypadków testowych w odniesieniu do wymagań organizacji. 
  5. Analiza wyników sesji – na tym etapie uczestnicy zapoznają się ze standardem CVSS oraz nauczą się podejmować decyzje w oparciu o zagrożenia. 
  6. Najlepsze praktyki – W tej części dzielimy się naszym doświadczeniem w podstawowych modelach zagrożeń w projektach na dużą skalę. Wykonujemy ćwiczenie definiujące podstawowy model zagrożeń dla Twojej organizacji oraz przedstawiające diagram skuteczności modelowania zagrożeń.  

Aby sesja modelowania zagrożeń była jak najbardziej skuteczna, w Twoim zespole powinien znaleźć się przynajmniej jeden specjalista od bezpieczeństwa – ekspert, który wie, jak atakować konkretne technologie poddawane analizie. Najlepiej, gdyby była to osoba z Twojej organizacji, aczkolwiek możemy również wspomóc Twój zespół naszymi specjalistami.   

Nasi trenerzy

Mateusz Olejarka
Principal Security Consultant | Head of Web Security

Do jego kluczowych obowiązków należą testy penetracyjne aplikacji webowych i mobilnych, modelowanie zagrożeń oraz przegląd kodu źródłowego. Konsultant, pomagający zespołom programistów rozwiązywać problemy związane z bezpieczeństwem aplikacji. Dorywczo zajmuje się bug bounty, znalazł się w Halls of Fame takich firm jak Adobe, Algolia, GM, Jet, Netflix, Tesla, Twitter, Uber i Yahoo.

Prelegent na konferencjach: 4Developers, Black Hat Asia, Code Europe, CONFidence, Hacktivity, NGSec, Security Case Study, Secure, SEMAFOR, Testing Cup, TestWarez, TestWell, OWASP i spotkanich KraQA.

Sebastian Obara
IT Security Consultant

Specjalista ds. bezpieczeństwa IT w SecuRing od czerwca 2022 roku. Do jego kluczowych obowiązków należy modelowanie zagrożeń i testowanie bezpieczeństwa aplikacji internetowych i powiązanych z nimi komponentów. Wcześniej pracował po drugiej stronie barykady jako Team Leader/Senior Developer (PHP/Python) oraz Team Leader DevOps. Był odpowiedzialny za rozwój i utrzymanie środowiska CI/CD oraz sieci/serwerów – Infrastructure as Code. Pracował również jako Team Leader/Koordynator projektu AI SendGuard – rozwiązania AI do walki ze spamem i phishingiem. Wymieniony w Hall of Fame na Grafana.

Certyfikaty: eLearn Web Penetration Tester Extreme (eWPTXv2)

Feedback od uczestników

Od czego zacząć?  

Jeśli jesteś zainteresowany modelowaniem zagrożeń w swojej organizacji, wypełnij nasz formularz kontaktowy, a my odezwiemy się do Ciebie z naszą pełną ofertą.   

Możesz również umówić się z nami na krótkie spotkanie, wybierając dogodną dla Ciebie godzinę w poniższym kalendarzu: 

ZAREZERWUJ SPOTKANIE

W międzyczasie polecamy artykuł o modelowaniu zagrożeń z naszej Bazy wiedzy:  

Thinking what can go wrong? Introduction to Threat Modeling

Threat Modeling – how to start doing it?

Why threat modeling is important

How to prepare an effective threat modeling session

Case study

How did we increase the security of online banking applications?

The client was one of the leading banks with a website for individual and business entities. The scope tests covered transaction website security, payment management services, financial exchange and loan products.

More soon…
They trusted us

You may also like

Hackflix & Skill – szkolenie z bezpieczeństwa dla deweloperów

Hackflix&Skill to interaktywny i fabularny kurs bezpieczeństwa, w którym wraz z Buggym poprowadzimy Twoich programistów przez najczęściej napotykane przez nas luki bezpieczeństwa.
Czytaj więcej

Purple Teaming

3 intensywne dni, 2 trenerów i 2 drużyny: red team oraz blue team – stoczą bój o Twoją aplikację. Warsztaty są przeznaczone zarówno żeby podnieść ofensywne jak i defensywne umiejętności dotyczące bezpieczeństwa.
Czytaj więcej

Become a Client

and let’s build your safe future together

Book a Call

or leave a message