Szkolenia
Bezpieczeństwo nie kończy się na samym testowaniu. Praktyki takie jak modelowanie zagrożeń czy automatyzacja wdrożone w odpowiednich punktach SDLC zwiększają bezpieczeństwo systemowo. Pomagamy zespołom wytwórczym nabyć odpowiednie umiejętności. Poznaj szczegóły naszej oferty szkoleniowej, a potem umów darmową konsultację →.
Łączymy teorię z praktyką
Chcemy, aby Twój zespół nabył kompetencje, które pomogą mu w codziennej pracy. Wierzymy, że umiejętności buduje się poprzez działanie. Dlatego w każdym programie wybieramy optymalny balans pomiędzy praktyką a teorią.
Uczymy w oparciu o standardy
Nasze programy oparte zostały o rynkowe standardy dzięki czemu Twój zespół będzie miał punkt odniesienia długo po szkoleniu. Co więcej podczas audytu jest to dodatkowy dowód spełnienia tzw. due diligence w kwestii edukacji.
Wiedza przekazywana przez praktyków
Mamy bogate doświadczenie zarówno od strony ofensywnej jak i defensywnej. W naszych szkoleniach skupiamy się na tym, aby wiedza o tym “co może pójść źle” prowadziła do umiejętności uniknięcia problemów.
Ofensywne Testowanie Web Aplikacji
Testowanie ofensywne jest jedną z podstawowych praktyk zapewniania bezpieczeństwa systemów IT. Szkolenie OTWA zbudowane jest tak, aby Twój zespół wytwórczy (Dev, QA, Ops) nabył umiejętności identyfikacji oraz rozwiązywania typowych problemów bezpieczeństwa web aplikacji.
Ofensywne Testowanie Web Aplikacji
Odbiorcy: Programiści, Architekci, Testerzy, Administratorzy, DevOps, Bezpiecznicy
Forma: Warsztat (70% praktyki, 30% teorii)
Czas trwania: 2 dni
Wymagania: Laptop, środowisko VM, docker
Testowanie ofensywne jest jedną z podstawowych praktyk zapewniania bezpieczeństwa systemów IT. Szkolenie OTWA zbudowane jest tak, aby Twój zespół wytwórczy (Dev, QA, Ops) nabył umiejętności identyfikacji oraz rozwiązywania typowych problemów bezpieczeństwa web aplikacji.
1. Fundamenty teoretyczne
1.1. Triada CIA
1.2. Sposoby oceny bezpieczeństwa systemów IT
1.3. OWASP Top 10 (2021, 2017, 2013)
1.4. OWASP Web Security Testing Guide (WSTG)
1.5. OWASP Application Security Verification Standard (ASVS)
1.6. Black-box, white-box, gray-box
1.7. Penetration Testing Execution Standard (PTES)
2. Fundamenty praktyczne
2.1. Kali Linux
2.2. Firefox Developer Edition
2.3. OWASP Zed Attack Proxy (ZAP)
2.4. Web 101: Podstawy HTTP
2.5. Web 101: Same Origin Policy (SOP)
2.6. Web 101: Document Object Model (DOM)
3. Rekonesans i enumeracja web aplikacji
3.1. Architektura
3.2. Logika biznesowa
3.3. Kod źródłowy
3.4. Stos technologiczny
3.5. Specjalne pliki i ich wyszukiwanie
3.6. Mapowanie web aplikacji
3.7. Web Application Firewalls (WAF)
3.8. Bezpieczeństwo kanału komunikacyjnego na przykładzie HTTPS (SSL/TLS)
4. OWASP Top 10 2021
4.1. Kontrola dostępu
4.2. Wstrzyknięcia
4.3. Podatności wynikające z logiki aplikacji
4.4. Podatności wynikające z konfiguracji
4.5. Podatności w komponentach zewnętrznych
4.6. Uwierzytelnianie
4.7. Problemy z integralnością aplikacji i danych
4.8. Monitorowanie i logowanie
4.9. Server-Side Request Forgery
5. Raportowanie
5.1. Jak pisać i jak czytać raporty z oceny bezpieczeństwa
5.2. Krytyczność podatności i ryzyko
5.3. Common Vulnerability Scoring System (CVSS)
5.4. Common Vulnerabilities and Exposures (CVE)
5.5. Vulnerability Rating Taxonomy (VRT)
5.6. Omówienie przykładowych raportów
Modelowanie Zagrożeń w Praktyce
Przewidywanie i rozwiązywanie problemów bezpieczeństwa przed ich powstaniem znacząco zmniejsza koszt związany z utrzymaniem systemu IT. Celem tego szkolenia jest nauczenie Twojego zespołu procesu modelowania zagrożeń, czyli identyfikacji problemów bezpieczeństwa na etapie projektowania po to, aby uniknąć ich na etapie implementacji oraz potwierdzić ich brak w fazie weryfikacji.
Modelowanie Zagrożeń w Praktyce
Odbiorcy: Programiści, Architekci, Projektanci, Testerzy, Administratorzy, DevOps, Bezpiecznicy
Forma: Warsztat (70% praktyki, 30% teorii)
Czas trwania: 1-2 dni
Wymagania: Laptop, tablica
Przewidywanie i rozwiązywanie problemów bezpieczeństwa przed ich powstaniem znacząco zmniejsza koszt związany z utrzymaniem systemu IT. Celem tego szkolenia jest nauczenie Twojego zespołu procesu modelowania zagrożeń, czyli identyfikacji problemów bezpieczeństwa na etapie projektowania po to, aby uniknąć ich na etapie implementacji oraz potwierdzić ich brak w fazie weryfikacji.
1. Bezpieczeństwo w procesie wytwórczym (Secure SDLC, SSDLC)
1.1. Zarządzanie bezpieczeństwem aplikacji
1.2. Zarządzanie podatnościami
1.3. Budowanie wymagań bezpieczeństwa
1.4. Sposoby oceny bezpieczeństwa systemów IT
2. Modelowanie zagrożeń: teoria
2.1. Stopnie modelowania zagrożeń
2.2. Podejście oparte o Attack Trees
2.3. Podejście oparte o model STRIDE
2.4. Rozszerzenie modelu STRIDE o model TRIM
2.5. Metodyka Agile Threat Modeling
2.6. Przegląd dostępnych narzędzi (TMT, Deciduous, Elevation of Privilege & Privacy, Cornucopia i inne)
3. Modelowanie zagrożeń: praktyka
3.1. Modelowanie zagrożeń na poziomie infrastruktury - ćwiczenia
3.2. Modelowanie zagrożeń na poziomie aplikacji - ćwiczenia
3.3. Modelowanie zagrożeń na poziomie konkretnej funkcjonalności - ćwiczenia
3.4. †Modelowanie zagrożeń na przypadkach klienta - ćwiczenia
† Tylko w przypadku wariantu 2-dniowego. W tym wariancie drugi dzień poświęcony jest w większości na zajęcia praktyczne pod kątem realnych systemów, aplikacji i funkcjonalności klienta. Wypadkowe modele zagrożeń wnoszą dodatkową wartość dla klienta.
Bezpieczeństwo Aplikacji dla Menedżerów i Liderów
Bezpieczeństwo aplikacji to ważna część cyberbezpieczeństwa, która dotyka wielu aspektów biznesowych. Menedżerom i liderom często brakuje wiedzy na temat aktualnie dostępnych narzędzi zarówno procesowych jak i technicznych. To szkolenie przygotuje Twoich ludzi do wyzwania jakim jest wdrażanie bezpieczeństwa aplikacji w organizacji na poziomie strategicznym.
Bezpieczeństwo Aplikacji dla Menedżerów i Liderów
Odbiorcy: CISO, CTO, Menedżerzy, Projektanci, Architekci, Liderzy zespołów wytwórczych
Forma: Wykład
Czas trwania: 1 dzień
Wymagania: -
Bezpieczeństwo aplikacji to ważna część cyberbezpieczeństwa, która dotyka wielu aspektów biznesowych. Menedżerom i liderom często brakuje wiedzy na temat aktualnie dostępnych narzędzi zarówno procesowych jak i technicznych. To szkolenie przygotuje Twoich ludzi do wyzwania jakim jest wdrażanie bezpieczeństwa aplikacji w organizacji na poziomie strategicznym.
1. Bezpieczeństwo w procesie wytwórczym (S-SDLC)
1.1 Zarządzanie bezpieczeństwem aplikacji
1.2. Zarządzanie podatnościami
1.3. Budowanie wymagań bezpieczeństwa
1.4. Sposoby oceny bezpieczeństwa systemów IT
2. Modelowanie zagrożeń
2.1. Stopnie modelowania zagrożeń
2.2. STRIDE
2.3. Agile Threat Modeling
2.4. Attack Trees
2.5. Dostępne narzędzia
3. Przydatne standardy i metodologie
3.1. OWASP Top 10 (2021, 2017, 2013)
3.2. OWASP Application Security Verification Standard (ASVS)
3.3. OWASP Software Assurance Maturity Model (SAMM)
3.4. Inne projekty OWASP przydatne w bezpiecznym procesie wytwórczym
3.5. Synopsys Building Security In Maturity Model (BSIMM)
4. Bezpieczeństwo łańcucha dostawczego
4.1. Zarządzanie zewnętrznymi bibliotekami pod kątem podatności i licencji
4.2. Analiza składu (SCA)
4.3. Software Bill of Materials (SBOM)
4.4. Dostępne narzędzia
5. DevSecOps i automatyzacja bezpieczeństwa w potoku CICD
5.1. Analiza statyczna (SAST)
5.2. Analiza wariantów (VA)
5.3. Analiza dynamiczna (DAST)
5.4 Fuzzing
5.5. Podejście Test-Driven Security (TDS)
5.6. Dostępne narzędzia
6. Zewnętrzny compliance
6.1. RODO (GDPR)
6.2. KSC
6.3. KNF
6.4. PCI DSS
6.5. HIPAA
Automatyzacja Bezpieczeństwa w Potoku CICD
Automatyzacja bezpieczeństwa w potoku CICD jest jednym z fundamentów modelu DevSecOps. Nie bez powodu, automatyzacja skraca pętlę zwrotną co ma znaczący wpływ na zmniejszenie kosztów związanych z bezpieczeństwem w całości cyklu wytwórczego. W tym szkoleniu nauczymy Twój zespół w jaki sposób wbudować narzędzia bezpieczeństwa do potoku CICD.
Automatyzacja Bezpieczeństwa w Potoku CICD
Odbiorcy: Programiści, Architekci, Testerzy, DevOps
Forma: Warsztat (60% praktyki, 40% teorii)
Czas trwania: 2 dni
Wymagania: Laptop, środowisko VM, docker
Automatyzacja bezpieczeństwa w potoku CICD jest jednym z fundamentów modelu DevSecOps. Nie bez powodu, automatyzacja skraca pętlę zwrotną co ma znaczący wpływ na zmniejszenie kosztów związanych z bezpieczeństwem w całości cyklu wytwórczego. W tym szkoleniu nauczymy Twój zespół w jaki sposób wbudować narzędzia bezpieczeństwa do potoku CICD.
1. Bezpieczeństwo w procesie wytwórczym (Secure SDLC, SSDLC)
1.1. Zarządzanie bezpieczeństwem aplikacji
1.2. Zarządzanie podatnościami
1.3. Budowanie wymagań bezpieczeństwa
1.4. Sposoby oceny bezpieczeństwa systemów IT
2. Przydatne standardy i metodologie
2.1. OWASP Top 10 (2021, 2017, 2013)
2.2. OWASP Application Security Verification Standard (ASVS)
2.3. OWASP Software Assurance Maturity Model (SAMM)
2.4. OWASP DevSecOps Maturity Model (DSOMM)
2.5. Synopsys Building Security In Maturity Model (BSIMM)
3. Dostępne praktyki bezpieczeństwa
3.1. Analiza statyczna (SAST)
3.2. Analiza pod kątem sekretów
3.3. Analiza komponentów (SCA)
3.4. Analiza wariantów (VA)
3.5. Analiza dynamiczna (DAST)
3.6. Fuzzing
3.7. Podejście Test-Driven Security (TDS)
4. Funkcjonalności bezpieczeństwa dostępne u innych
4.1. Bezpieczeństwo w GitHub
4.2. Bezpieczeństwo w GitLab
Jak wygląda typowe szkolenie?
Wybór programu szkoleniowego
Jeżeli nie wiesz, które z powyższych szkoleń będą najlepsze dla Twojego zespołu to zamów darmową konsultację →. W trakcie spotkania zidentyfikujemy Twoje potrzeby i pomożemy dobrać odpowiednie rodzaje szkoleń pasujące do celów strategicznych. Możemy również zbudować całą ścieżkę rozwoju dla Twojego zespołu.
Przygotowania do szkolenia
Prosimy o wypełnienie ankiety w celu poznania obecnego poziomu wiedzy na temat bezpieczeństwa aplikacji. Dodatkowo Twój zespół dostaje zaproszenie na Slacka oraz informacje odnośnie środowiska laboratoryjnego (jeżeli istnieje taka potrzeba). Na tym etapie zamykamy również sprawy biznesowe takie jak umowa czy harmonogram działań.
Przeprowadzamy szkolenie
W zależności od tego czy jest to szkolenie online czy onsite spotykamy się we wcześniej umówionym miejscu i realizujemy program szkoleniowy zgodnie z uzgodnionym harmonogramem. Każde szkolenie ma przewidziany czas na przerwy oraz lunch.
Zakończenie projektu
Uczestnicy otrzymują certyfikaty odbycia szkolenia, dostęp do materiałów oraz dodatkowe bonusy (np. dostęp do zamkniętej społeczności na Discord). Z naszej strony prosimy uczestników o feedback w postaci wypełnienia krótkiej ankiety poszkoleniowej. Na życzenie klienta sporządzamy również raport poszkoleniowy z rekomendacjami rozwojowymi (m.in. propozycja dodatkowych działań dostosowana do celów).
Często zadawane pytania
Jaka jest minimalna/maksymalna liczebność grupy?
Liczebność grupy zależna jest przede wszystkim od formy szkolenia (wykład czy warsztat). Najczęściej szkolenia odbywają się w grupach 8-10 osób, gdzie 6 osób to minimum, a 15 osób to maksimum.
Odradzamy upychanie. Z naszego doświadczenia wynika, że efektywniej jest przeprowadzić dwa mniejsze szkolenia niż jedno duże.
Co w przypadku, gdy grupa jest mieszana?
Nie ma problemu, mamy doświadczenie w pracy z grupami mieszanymi (Dev, QA, Ops).
Czy po szkoleniach uczestnicy otrzymają dostęp do materiałów?
Tak, po szkoleniu wszystkie użyte materiały zostaną udostępnione uczestnikom. Dodatkowo każdy uczestnik otrzyma zaproszenie do zamkniętej społeczności na Discord.
Wszystkich uczestników zachęcamy również do zapisu na newsletter AppSec Update →, dzięki któremu trzymanie ręki na pulsie w kwestiach bezpieczeństwa aplikacji jest łatwe i przyjemne.
Czy oferujecie rabaty?
Tak, przy zakupie dwóch lub więcej programów szkoleniowych przewidujemy rabaty. Klientów wracających do nas ponownie również traktujemy preferencyjnie.
Bezpieczny Kod
ul. Nowy Świat 33/13, Warszawa
NIP: 6332229233
VAT-UE: PL6332229233
REGON: 243638190
E-mail: [email protected]
Klucz: GPG/PGP