Praktyczne Modelowanie Zagrożeń (PMZ)
Opanuj sztukę przewidywania zagrożeń w cyberbezpieczeństwie. Naucz się identyfikować i rozwiązywać problemy bezpieczeństwa już na etapie projektowania.
To szkolenie wyposaży Twój zespół w umiejętność efektywnego i praktycznego modelowania zagrożeń. Zdobyta wiedza pozwoli Wam znacząco obniżyć koszty utrzymania systemów IT oraz zminimalizować ryzyko incydentów bezpieczeństwa w realizowanych projektach.
Forma szkolenia
👥
Idealnymi odbiorcami szkolenia są Programiści, Architekci, Projektanci, Testerzy i Inżynierzy QA, Administratorzy, DevOps oraz Inżynierzy Bezpieczeństwa.
👨🏫
Szkolenie jest w formie interaktywnego warsztatu 70:30 – większość czasu (70%) spędzamy wykonując praktyczne ćwiczenia, a pozostałą część (30%) poznając teorię.
⏱️
Czas trwania szkolenia w formie stacjonarnej to 1 pełny dzień szkoleniowy.
🛠️
Efektywne przerabianie programu wymaga dostępu do tablicy. Żaden sprzęt elektroniczny nie jest wymagany.
Szkolenia otwarte
Program „Praktyczne Modelowanie Zagrożeń” oferujemy również jako szkolenia otwarte w formie stacjonarnej oraz online. Terminy najbliższych sesji zostaną opublikowane w kwartale II.
Agenda (w skrócie)
Bezpieczny proces wytwórczy SDLC
Uczestnicy poznają fundamenty zarządzania bezpieczeństwem aplikacji, w tym kluczowe aspekty zarządzania podatnościami. Nauczą się, jak efektywnie budować wymagania bezpieczeństwa dla systemów IT. Zgłębią różnorodne metody oceny bezpieczeństwa systemów informatycznych, tworząc solidną podstawę do praktycznego modelowania zagrożeń.
Modelowanie Zagrożeń: Teoria
Uczestnicy zgłębią różne poziomy i podejścia do modelowania zagrożeń, w tym metodę Attack Trees, model STRIDE wraz z jego rozszerzeniem TRIM, oraz techniki takie jak diagramy przepływu danych (DFD), DREAD i matryce ryzyka (Risk Matrix). Poznają zasady Agile Threat Modeling, dostosowując techniki do dynamicznego środowiska rozwoju oprogramowania. Przeanalizują dostępne narzędzia wspierające proces modelowania zagrożeń, takie jak: TMT, Deciduous, Elevation of Privilege & Privacy czy Cornucopia.
Modelowanie Zagrożeń: Praktyka
Uczestnicy przeprowadzą praktyczne ćwiczenia modelowania zagrożeń na trzech kluczowych poziomach: infrastruktury, aplikacji oraz konkretnej funkcjonalności. Wykorzystają szereg narzędzi i technik poznanych wcześniej, w tym diagramy przepływu danych (DFD), modele STRIDE i TRIM, metodykę DREAD, matryce ryzyka oraz drzewa ataków (Attack Trees). Te praktyczne mini-sesje pozwolą uczestnikom zintegrować zdobytą wiedzę i zastosować ją w realistycznych scenariuszach, rozwijając umiejętność kompleksowej analizy bezpieczeństwa systemów IT.
Pomożemy Twojemu zespołowi nabyć kluczowe umiejętności w cyberbezpieczeństwie.
Poznaj pełną agendę programu Praktyczne Modelowanie Zagrożeń.
O naszych programach mówią
Szkolenie było dla mnie maksymalnie merytoryczne, praktyczne i ciekawe. Dostałem ogrom skomplikowanej wiedzy przekazanej w sposób prosty i przejrzysty.
— Łukasz Zajączkowski, QA Engineer
Ze względu na dynamiczny charakter dziedziny bezpieczeństwa aplikacji, szkolenie powinno uwzględniać najnowsze zagrożenia, techniki ataków i narzędzia obronne. Szkolenie oparte jest na aktualnych trendach i praktykach. Super praktyczne ćwiczenia.
— Maciej Bartkowski, Head of Security Department
Fantastyczne szkolenie! Wszystkie koncepty omówione bez zbędnego rozwlekania, wszystko w punkt!
— Paweł Tutka, DevOps Engineer
Wiedza wyniesiona stała się zalążkiem do e-booka o bezpieczeństwie, który napisałem razem z moją firmą. Jeżeli chcesz pisać bezpieczne aplikacje, OTWA jest dla Ciebie!
— Rafał Hofman, Software Engineer
Jestem pod wielkim wrażeniem umiejętności Andrzeja i polecam wszystkim uczestnictwo w organizowanych przez niego szkoleniach. To naprawdę duża dawka solidnej wiedzy z zakresu cyberbezpieczeństwa.
— Tomasz Kuciński, Główny Administrator Systemu
Udział w kursie nie tylko dostarczył mi wiedzy na temat cybersecurity, którą będę wykorzystywać w codziennej pracy, ale także dużo zabawy przy atakowaniu aplikacji Juice Shop!
— Karolina Dyrda, QA Specialist
Dowiemy się nie tylko jak jak testować i pisać bezpieczne oprogramowanie ale co równie ważne dlaczego powinniśmy to robić. Dzięki niemu usystematyzowałem wiedzę, usprawniłem używane procesy DevSecOps i wprowadziłem nowe.
— Lucjan, DevOps Engineer
Materiał szkoleniowy był bardzo dobrze przygotowany i zawierał mnóstwo praktycznych informacji, które z pewnością będą przydatne w codziennej pracy związanej z testowaniem aplikacji webowych. Na plus należy także zaliczyć różnorodność tematów poruszanych podczas szkolenia, co pozwoliło na zrozumienie zagadnień związanych z ofensywnym testowaniem od strony technicznej, ale także z punktu widzenia procesów i strategii.
— Adrian Maryniewski, QA Engineer
W programie zawarte są kluczowe zagadnienia, standardy i wytyczne dotyczące testowania bezpieczeństwa, techniki wykrywania podatności, a także wymagania dotyczące ich raportowania. Polecam wszystkim, którzy chcą specjalizować się w tym obszarze cyber bezpieczeństwa!
— Marek Kost, Senior Security Professional (CISM, CISA, CRISC)
Nasze treści w tym obszarze
-
Budowanie Programu Security Champions i DevSecOps w FinTech (przypadek XTB)
Łukasz Jagielski z XTB o budowaniu programu Security Champions i wdrażaniu DevSecOps w fintechu. Praktyczne doświadczenia: od inspiracji BNP Paribas, przez wdrażanie bez zaburzania flow deweloperów, po mierzenie sukcesu transformacji bezpieczeństwa.
-
Cyberbezpieczeństwo w USA vs Polska: Różnice, AI i Rynek Pracy
Maciej zauważa, że w USA cyberbezpieczeństwo jest postrzegane jako wartość biznesowa, generująca zyski i spełniająca oczekiwania klientów. To podejście jest bardziej zaawansowane niż w Polsce, gdzie często traktuje się je wyłącznie jako koszt. Podkreśla niską świadomość zagrożeń cyfrowych, w tym AI, oraz nieskuteczność szkoleń phishingowych.
-
Architekt o cybersecurity. Czy wszyscy w IT muszą znać się na bezpieczeństwie?
Michał, tech lead i architekt, podkreśla rosnącą świadomość bezpieczeństwa programistów i podejście „shift-left”. Elastyczność i ciągła nauka są kluczowe. Testy bezpieczeństwa wdraża się po incydentach lub dla zgodności. Zabezpieczenie VPS wymaga firewalla, fail2ban i rozważnego wystawiania usług. Dla początkujących w CyberSec poleca TryHackMe, aby przetestować zainteresowanie.
Umów konsultację na temat tego szkolenia
Nie wiesz czy to szkolenie najlepiej odpowie na potrzeby Twojego zespołu? Skorzystaj z bezpłatnej konsultacji i pozwól nam dopasować idealny program do Twoich celów.