Bezpieczeństwo nie kończy się na samym testowaniu. Praktyki takie jak modelowanie zagrożeń czy automatyzacja wdrożone w odpowiednich punktach SDLC zwiększają bezpieczeństwo systemowo. Pomagamy zespołom wytwórczym nabyć odpowiednie umiejętności. Poznaj szczegóły naszej oferty szkoleniowej, a potem umów darmową konsultację →.
Chcemy, aby Twój zespół nabył kompetencje, które pomogą mu w codziennej pracy. Wierzymy, że umiejętności buduje się poprzez działanie. Dlatego w każdym programie wybieramy optymalny balans pomiędzy praktyką a teorią.
Nasze programy oparte zostały o rynkowe standardy dzięki czemu Twój zespół będzie miał punkt odniesienia długo po szkoleniu. Co więcej podczas audytu jest to dodatkowy dowód spełnienia tzw. due diligence w kwestii edukacji.
Mamy bogate doświadczenie zarówno od strony ofensywnej jak i defensywnej. W naszych szkoleniach skupiamy się na tym, aby wiedza o tym “co może pójść źle” prowadziła do umiejętności uniknięcia problemów.
Testowanie ofensywne jest jedną z podstawowych praktyk zapewniania bezpieczeństwa systemów IT. Szkolenie OTWA zbudowane jest tak, aby Twój zespół wytwórczy (Dev, QA, Ops) nabył umiejętności identyfikacji oraz rozwiązywania typowych problemów bezpieczeństwa web aplikacji.
Odbiorcy: Programiści, Architekci, Testerzy, Administratorzy, DevOps, Bezpiecznicy
Forma: Warsztat (70% praktyki, 30% teorii)
Czas trwania: 2 dni
Wymagania: Laptop, środowisko VM, docker
Testowanie ofensywne jest jedną z podstawowych praktyk zapewniania bezpieczeństwa systemów IT. Szkolenie OTWA zbudowane jest tak, aby Twój zespół wytwórczy (Dev, QA, Ops) nabył umiejętności identyfikacji oraz rozwiązywania typowych problemów bezpieczeństwa web aplikacji.
1.1. Triada CIA
1.2. Sposoby oceny bezpieczeństwa systemów IT
1.3. OWASP Top 10 (2021, 2017, 2013)
1.4. OWASP Web Security Testing Guide (WSTG)
1.5. OWASP Application Security Verification Standard (ASVS)
1.6. Black-box, white-box, gray-box
1.7. Penetration Testing Execution Standard (PTES)
2.1. Kali Linux
2.2. Firefox Developer Edition
2.3. OWASP Zed Attack Proxy (ZAP)
2.4. Web 101: Podstawy HTTP
2.5. Web 101: Same Origin Policy (SOP)
2.6. Web 101: Document Object Model (DOM)
3.1. Architektura
3.2. Logika biznesowa
3.3. Kod źródłowy
3.4. Stos technologiczny
3.5. Specjalne pliki i ich wyszukiwanie
3.6. Mapowanie web aplikacji
3.7. Web Application Firewalls (WAF)
3.8. Bezpieczeństwo kanału komunikacyjnego na przykładzie HTTPS (SSL/TLS)
4.1. Kontrola dostępu
4.2. Wstrzyknięcia
4.3. Podatności wynikające z logiki aplikacji
4.4. Podatności wynikające z konfiguracji
4.5. Podatności w komponentach zewnętrznych
4.6. Uwierzytelnianie
4.7. Problemy z integralnością aplikacji i danych
4.8. Monitorowanie i logowanie
4.9. Server-Side Request Forgery
5.1. Jak pisać i jak czytać raporty z oceny bezpieczeństwa
5.2. Krytyczność podatności i ryzyko
5.3. Common Vulnerability Scoring System (CVSS)
5.4. Common Vulnerabilities and Exposures (CVE)
5.5. Vulnerability Rating Taxonomy (VRT)
5.6. Omówienie przykładowych raportów
Przewidywanie i rozwiązywanie problemów bezpieczeństwa przed ich powstaniem znacząco zmniejsza koszt związany z utrzymaniem systemu IT. Celem tego szkolenia jest nauczenie Twojego zespołu procesu modelowania zagrożeń, czyli identyfikacji problemów bezpieczeństwa na etapie projektowania po to, aby uniknąć ich na etapie implementacji oraz potwierdzić ich brak w fazie weryfikacji.
Odbiorcy: Programiści, Architekci, Projektanci, Testerzy, Administratorzy, DevOps, Bezpiecznicy
Forma: Warsztat (70% praktyki, 30% teorii)
Czas trwania: 1-2 dni
Wymagania: Laptop, tablica
Przewidywanie i rozwiązywanie problemów bezpieczeństwa przed ich powstaniem znacząco zmniejsza koszt związany z utrzymaniem systemu IT. Celem tego szkolenia jest nauczenie Twojego zespołu procesu modelowania zagrożeń, czyli identyfikacji problemów bezpieczeństwa na etapie projektowania po to, aby uniknąć ich na etapie implementacji oraz potwierdzić ich brak w fazie weryfikacji.
1.1. Zarządzanie bezpieczeństwem aplikacji
1.2. Zarządzanie podatnościami
1.3. Budowanie wymagań bezpieczeństwa
1.4. Sposoby oceny bezpieczeństwa systemów IT
2.1. Stopnie modelowania zagrożeń
2.2. Podejście oparte o Attack Trees
2.3. Podejście oparte o model STRIDE
2.4. Rozszerzenie modelu STRIDE o model TRIM
2.5. Metodyka Agile Threat Modeling
2.6. Przegląd dostępnych narzędzi (TMT, Deciduous, Elevation of Privilege & Privacy, Cornucopia i inne)
3.1. Modelowanie zagrożeń na poziomie infrastruktury - ćwiczenia
3.2. Modelowanie zagrożeń na poziomie aplikacji - ćwiczenia
3.3. Modelowanie zagrożeń na poziomie konkretnej funkcjonalności - ćwiczenia
3.4. †Modelowanie zagrożeń na przypadkach klienta - ćwiczenia
† Tylko w przypadku wariantu 2-dniowego. W tym wariancie drugi dzień poświęcony jest w większości na zajęcia praktyczne pod kątem realnych systemów, aplikacji i funkcjonalności klienta. Wypadkowe modele zagrożeń wnoszą dodatkową wartość dla klienta.
Bezpieczeństwo aplikacji to ważna część cyberbezpieczeństwa, która dotyka wielu aspektów biznesowych. Menedżerom i liderom często brakuje wiedzy na temat aktualnie dostępnych narzędzi zarówno procesowych jak i technicznych. To szkolenie przygotuje Twoich ludzi do wyzwania jakim jest wdrażanie bezpieczeństwa aplikacji w organizacji na poziomie strategicznym.
Odbiorcy: CISO, CTO, Menedżerzy, Projektanci, Architekci, Liderzy zespołów wytwórczych
Forma: Wykład
Czas trwania: 1 dzień
Wymagania: -
Bezpieczeństwo aplikacji to ważna część cyberbezpieczeństwa, która dotyka wielu aspektów biznesowych. Menedżerom i liderom często brakuje wiedzy na temat aktualnie dostępnych narzędzi zarówno procesowych jak i technicznych. To szkolenie przygotuje Twoich ludzi do wyzwania jakim jest wdrażanie bezpieczeństwa aplikacji w organizacji na poziomie strategicznym.
1.1 Zarządzanie bezpieczeństwem aplikacji
1.2. Zarządzanie podatnościami
1.3. Budowanie wymagań bezpieczeństwa
1.4. Sposoby oceny bezpieczeństwa systemów IT
2.1. Stopnie modelowania zagrożeń
2.2. STRIDE
2.3. Agile Threat Modeling
2.4. Attack Trees
2.5. Dostępne narzędzia
3.1. OWASP Top 10 (2021, 2017, 2013)
3.2. OWASP Application Security Verification Standard (ASVS)
3.3. OWASP Software Assurance Maturity Model (SAMM)
3.4. Inne projekty OWASP przydatne w bezpiecznym procesie wytwórczym
3.5. Synopsys Building Security In Maturity Model (BSIMM)
4.1. Zarządzanie zewnętrznymi bibliotekami pod kątem podatności i licencji
4.2. Analiza składu (SCA)
4.3. Software Bill of Materials (SBOM)
4.4. Dostępne narzędzia
5.1. Analiza statyczna (SAST)
5.2. Analiza wariantów (VA)
5.3. Analiza dynamiczna (DAST)
5.4 Fuzzing
5.5. Podejście Test-Driven Security (TDS)
5.6. Dostępne narzędzia
6.1. RODO (GDPR)
6.2. KSC
6.3. KNF
6.4. PCI DSS
6.5. HIPAA
Automatyzacja bezpieczeństwa w potoku CICD jest jednym z fundamentów modelu DevSecOps. Nie bez powodu, automatyzacja skraca pętlę zwrotną co ma znaczący wpływ na zmniejszenie kosztów związanych z bezpieczeństwem w całości cyklu wytwórczego. W tym szkoleniu nauczymy Twój zespół w jaki sposób wbudować narzędzia bezpieczeństwa do potoku CICD.
Odbiorcy: Programiści, Architekci, Testerzy, DevOps
Forma: Warsztat (60% praktyki, 40% teorii)
Czas trwania: 2 dni
Wymagania: Laptop, środowisko VM, docker
Automatyzacja bezpieczeństwa w potoku CICD jest jednym z fundamentów modelu DevSecOps. Nie bez powodu, automatyzacja skraca pętlę zwrotną co ma znaczący wpływ na zmniejszenie kosztów związanych z bezpieczeństwem w całości cyklu wytwórczego. W tym szkoleniu nauczymy Twój zespół w jaki sposób wbudować narzędzia bezpieczeństwa do potoku CICD.
1.1. Zarządzanie bezpieczeństwem aplikacji
1.2. Zarządzanie podatnościami
1.3. Budowanie wymagań bezpieczeństwa
1.4. Sposoby oceny bezpieczeństwa systemów IT
2.1. OWASP Top 10 (2021, 2017, 2013)
2.2. OWASP Application Security Verification Standard (ASVS)
2.3. OWASP Software Assurance Maturity Model (SAMM)
2.4. OWASP DevSecOps Maturity Model (DSOMM)
2.5. Synopsys Building Security In Maturity Model (BSIMM)
3.1. Analiza statyczna (SAST)
3.2. Analiza pod kątem sekretów
3.3. Analiza komponentów (SCA)
3.4. Analiza wariantów (VA)
3.5. Analiza dynamiczna (DAST)
3.6. Fuzzing
3.7. Podejście Test-Driven Security (TDS)
4.1. Bezpieczeństwo w GitHub
4.2. Bezpieczeństwo w GitLab
Jeżeli nie wiesz, które z powyższych szkoleń będą najlepsze dla Twojego zespołu to zamów darmową konsultację →. W trakcie spotkania zidentyfikujemy Twoje potrzeby i pomożemy dobrać odpowiednie rodzaje szkoleń pasujące do celów strategicznych. Możemy również zbudować całą ścieżkę rozwoju dla Twojego zespołu.
Prosimy o wypełnienie ankiety w celu poznania obecnego poziomu wiedzy na temat bezpieczeństwa aplikacji. Dodatkowo Twój zespół dostaje zaproszenie na Slacka oraz informacje odnośnie środowiska laboratoryjnego (jeżeli istnieje taka potrzeba). Na tym etapie zamykamy również sprawy biznesowe takie jak umowa czy harmonogram działań.
W zależności od tego czy jest to szkolenie online czy onsite spotykamy się we wcześniej umówionym miejscu i realizujemy program szkoleniowy zgodnie z uzgodnionym harmonogramem. Każde szkolenie ma przewidziany czas na przerwy oraz lunch.
Uczestnicy otrzymują certyfikaty odbycia szkolenia, dostęp do materiałów oraz dodatkowe bonusy (np. dostęp do zamkniętej społeczności na Discord). Z naszej strony prosimy uczestników o feedback w postaci wypełnienia krótkiej ankiety poszkoleniowej. Na życzenie klienta sporządzamy również raport poszkoleniowy z rekomendacjami rozwojowymi (m.in. propozycja dodatkowych działań dostosowana do celów).
Liczebność grupy zależna jest przede wszystkim od formy szkolenia (wykład czy warsztat). Najczęściej szkolenia odbywają się w grupach 8-10 osób, gdzie 6 osób to minimum, a 15 osób to maksimum.
Odradzamy upychanie. Z naszego doświadczenia wynika, że efektywniej jest przeprowadzić dwa mniejsze szkolenia niż jedno duże.
Nie ma problemu, mamy doświadczenie w pracy z grupami mieszanymi (Dev, QA, Ops).
Tak, po szkoleniu wszystkie użyte materiały zostaną udostępnione uczestnikom. Dodatkowo każdy uczestnik otrzyma zaproszenie do zamkniętej społeczności na Discord.
Wszystkich uczestników zachęcamy również do zapisu na newsletter AppSec Update →, dzięki któremu trzymanie ręki na pulsie w kwestiach bezpieczeństwa aplikacji jest łatwe i przyjemne.
Tak, przy zakupie dwóch lub więcej programów szkoleniowych przewidujemy rabaty. Klientów wracających do nas ponownie również traktujemy preferencyjnie.
Bezpieczny Kod
ul. Nowy Świat 33/13, Warszawa
NIP: 6332229233
VAT-UE: PL6332229233
REGON: 243638190
E-mail: [email protected]
Klucz: GPG/PGP