Threat Modeling Transformation
Modelowanie zagrożeń to najtańszy moment, żeby wyłapać błąd bezpieczeństwa — na diagramie, zanim powstanie pierwsza linijka kodu. To również wymóg coraz większej liczby regulacji. Transformacja przygotowuje Twoje zespoły, by modelowanie zagrożeń stało się ich stałą praktyką projektowania.
Bezpieczeństwo na samym końcu procesu kosztuje więcej, niż powinno.
Modelowanie zagrożeń to najtańszy moment w całym SDLC, żeby wyłapać błąd bezpieczeństwa: na diagramie, zanim powstanie pierwsza linijka kodu. Jeśli delegujesz bezpieczeństwo na sam koniec i opierasz je tylko na penteście, realnie płacisz za nie więcej, niż powinieneś. A w świetle nowych regulacji i najlepszych praktyk, jak NIST czy ENISA, i tak nie będziesz z nimi spójny.
Ta transformacja jest dla Was, jeśli…
- Projektujecie i rozwijacie systemy i chcecie wyłapywać błędy, zanim wejdą na produkcję.
- Macie wiele zespołów, a pentest to jedyna kontrola, jaką stosujecie.
- Chcecie, żeby Wasi Security Champions prowadzili sesje modelowania zagrożeń samodzielnie.
- Potrzebujecie wspólnego języka między biznesem, developmentem i bezpieczeństwem.
- Regulacje, którym podlegacie (np. CRA), wymagają modelowania zagrożeń w procesie wytwórczym.
Zespoły, które modelują zagrożenia same, a nie certyfikat za obecność.
Modelowanie zagrożeń to nasza specjalność. Transformacja zostawia w zespołach umiejętność i gotowość, by prowadzić modelowanie zagrożeń samodzielnie, jako stały element projektowania architektury i implementacji. Ten materiał przerobiły już setki zespołów wytwórczych z największych organizacji w kraju.
Seria warsztatów on-site, nie jednorazowe szkolenie.
Modelowanie zagrożeń najlepiej działa na żywo, przy tablicy. Dlatego transformacja to seria warsztatów on-site dla Twoich zespołów, poprzedzona sesją rozpoznawczą i osadzona w realnych systemach, które budujesz i utrzymujesz.
Sesja rozpoznawcza (online)
Zaczynamy od zebrania scenariuszy z Twoich projektów i architektury, żeby ćwiczenia warsztatowe operowały na realnych systemach, a nie na przykładach z podręcznika.
Seria warsztatów on-site
Praktyczny warsztat w proporcji 70:30, gdzie większość czasu to ćwiczenia, prowadzony na żywo przy tablicy, dla kameralnych grup po 9–12 osób. Przy większej liczbie uczestników dzielimy zespół na kolejne grupy.
Ćwiczenia na Twojej architekturze
Modelujemy zagrożenia na trzech poziomach: infrastruktury, aplikacji i pojedynczej funkcjonalności, w oparciu o systemy zebrane na sesji rozpoznawczej.
Jak osadzić praktykę w procesie
Pokazujemy, jak wpiąć modelowanie zagrożeń w Wasz proces wytwórczy: kiedy je uruchamiać, jak notować i jak priorytetyzować ryzyko, żeby praktyka nadążała za tempem zespołu (Agile Threat Modeling).
Raport poszkoleniowy
Po programie podsumowujemy, co zauważyliśmy w trakcie warsztatów, i przekazujemy raport z sugestiami — kierunek do dalszych decyzji, nie audyt.
- Pojedyncze szkolenie PMZ — jednodniowy warsztat modelowania zagrożeń dla jednej grupy.
- Transformacja — seria warsztatów on-site dla wielu zespołów, z sesją rozpoznawczą, ćwiczeniami na Twojej architekturze i osadzeniem praktyki w procesie.
Pojedyncze szkolenie buduje umiejętność w jednej grupie. Transformację wybierasz, gdy chcesz, żeby modelowanie zagrożeń stało się rutyną w wielu zespołach naraz.
Pełny proces modelowania zagrożeń, krok po kroku.
Materiał programu Praktyczne Modelowanie Zagrożeń: od pierwszego diagramu po gotowy model zagrożeń. Większość czasu to praktyka analogowa, bo dobry model powstaje podczas dyskusji przy diagramie, a nie w dedykowanym narzędziu.
Poziomy i podejścia do modelowania
Kiedy i jak modelować zagrożenia. Agile Threat Modeling, czyli wpięcie modelowania w tempo zespołu, żeby nadążało za zmianami w projekcie.
Identyfikacja zagrożeń: STRIDE, TRIM, LINDDUN
Rdzeń warsztatu: systematyczne wyłapywanie zagrożeń technikami STRIDE, TRIM i LINDDUN, na diagramach przepływu danych (DFD) i drzewach ataku (Attack Trees).
Priorytetyzacja i narzędzia
Ocena i priorytetyzacja ryzyka: DREAD i matryce ryzyka. Do tego narzędzia wspierające: Microsoft Threat Modeling Tool, OWASP Threat Dragon, Deciduous i Cornucopia.
Praktyka
Modelowanie na żywo przy tablicy, ćwiczenie po ćwiczeniu, aż metoda wejdzie w rękę. Finał: gotowy model zagrożeń.
Metody, które zna cała branża.
Używamy frameworków, które rozpoznaje każdy audytor i inżynier bezpieczeństwa: STRIDE, DREAD, DFD czy Attack Trees. Żadnej niejawnej metodyki, więc wynik da się porównać, obronić i powtórzyć w innym zespole.
Co mówią ludzie o naszych szkoleniach.
Nasze programy od lat wybierają zespoły inżynierskie z czołowych firm w bankowości, fintechu, ubezpieczeniach i software house'ach.
„Kursy Andrzeja to prawdziwa kopalnia wiedzy. Każdy materiał skupia się na konkretach – nie ma tu miejsca na marketingowe puste frazesy. Polecam każdemu, kto szuka solidnych podstaw bez zbędnych upiększeń."
„Highly recommend if you're implementing security in the Software Development Life Cycle. Andrzej and Krzysiek are very competent, helpful and kind trainers."
„Polecam w 100%. Wiedza przekazana w sposób przystępny i zrozumiały, co przy tematyce technicznej jest nie lada sztuką. Jestem pod wielkim wrażeniem umiejętności Andrzeja – to naprawdę duża dawka solidnej wiedzy z zakresu cyberbezpieczeństwa."
„Jestem bardzo usatysfakcjonowana. Lubię strukturę: porządny wstęp teoretyczny i logiczny podział lekcji. Andrzej jasno omawia zagadnienia, pokazuje przykładowe ataki i nie stroni od dodatkowych materiałów. W punkt!"
„Bardzo dobrze zaprojektowane szkolenie, pokrywające kluczowe zagadnienia bezpieczeństwa – zarówno teoretyczne, jak i praktyczne. Polecam wszystkim, którzy chcą specjalizować się w tym obszarze cyberbezpieczeństwa!"
„Forma prezentacji – bomba. Merytoryka – znowu najwyższe noty. Ciągle wracam do materiałów i korzystam. Polecam!"
„Super instruktor, Andrzeju pokłony. Szkolenie oparte jest na aktualnych trendach i praktykach – super praktyczne ćwiczenia."
„Ciekawe, bardzo praktyczne szkolenie. Polecam jako wprowadzenie do tematu bezpieczeństwa aplikacji."
„Wszystko jasno wytłumaczone, świetnie poprowadzone. Polecam z całego serca!"
„Otworzyłem oczy na wiele aspektów bezpieczeństwa, z którymi wcześniej miałem styczność jedynie pobieżnie, bez możliwości przyjrzenia się im od kuchni. Wprowadził mnie w zupełnie nowe zagadnienia, które bez wątpienia wykorzystam w codziennej praktyce."
„Może korzystam z innych technologii, ale wiem czego szukać i dałabym radę. Must have dla każdego DevOpsa i architekta."
„Samo mięso – konkretna teoria i praktyczne podejście do tematu. Znalazłem mnóstwo cennych smaczków i optymalizacji, które od razu wdrożyłem w firmie."
Transformacja to nie koniec.
Po wdrożeniu dowolnej praktyki bezpieczeństwa organizacja zwykle potrzebuje kogoś, kto pomoże ją pogłębić i utrzymać. Możemy iść dalej: od oceny architektury po stały nadzór.
Wdrożenie praktyki
Możemy wziąć modelowanie zagrożeń i wdrożyć je w procesie — od pierwszych sesji po monitoring, czy praktyka faktycznie żyje w SDLC.
Doradztwo →→Ocena architektury
Możemy ocenić architekturę bezpieczeństwa konkretnego rozwiązania i wskazać ryzyka strukturalne, zanim trafią do implementacji.
Weryfikacja →→Stały nadzór
Managed Security Program: czuwamy nad wdrożonymi praktykami w procesie wytwórczym, monitorujemy skuteczność i reagujemy na zmiany.
Doradztwo →→Chcesz, żeby Twoje zespoły modelowały zagrożenia same?
Każda transformacja jest inna: inne systemy, inna architektura, inne zespoły. Napisz do nas, umówimy rozmowę i przygotujemy ofertę dopasowaną do Twojej organizacji.