Transformacja

Threat Modeling Transformation

Modelowanie zagrożeń to najtańszy moment, żeby wyłapać błąd bezpieczeństwa — na diagramie, zanim powstanie pierwsza linijka kodu. To również wymóg coraz większej liczby regulacji. Transformacja przygotowuje Twoje zespoły, by modelowanie zagrożeń stało się ich stałą praktyką projektowania.

Format: seria warsztatów on-site Czas: dopasowany do liczby zespołów Cena: od 30 000 PLN
Zanim ruszycie

Bezpieczeństwo na samym końcu procesu kosztuje więcej, niż powinno.

Modelowanie zagrożeń to najtańszy moment w całym SDLC, żeby wyłapać błąd bezpieczeństwa: na diagramie, zanim powstanie pierwsza linijka kodu. Jeśli delegujesz bezpieczeństwo na sam koniec i opierasz je tylko na penteście, realnie płacisz za nie więcej, niż powinieneś. A w świetle nowych regulacji i najlepszych praktyk, jak NIST czy ENISA, i tak nie będziesz z nimi spójny.

Ta transformacja jest dla Was, jeśli…

  • Projektujecie i rozwijacie systemy i chcecie wyłapywać błędy, zanim wejdą na produkcję.
  • Macie wiele zespołów, a pentest to jedyna kontrola, jaką stosujecie.
  • Chcecie, żeby Wasi Security Champions prowadzili sesje modelowania zagrożeń samodzielnie.
  • Potrzebujecie wspólnego języka między biznesem, developmentem i bezpieczeństwem.
  • Regulacje, którym podlegacie (np. CRA), wymagają modelowania zagrożeń w procesie wytwórczym.
Co osiągniecie

Zespoły, które modelują zagrożenia same, a nie certyfikat za obecność.

Modelowanie zagrożeń to nasza specjalność. Transformacja zostawia w zespołach umiejętność i gotowość, by prowadzić modelowanie zagrożeń samodzielnie, jako stały element projektowania architektury i implementacji. Ten materiał przerobiły już setki zespołów wytwórczych z największych organizacji w kraju.

Przeszkolone zespoły
Zespoły, które samodzielnie prowadzą sesje modelowania zagrożeń jako element projektowania systemów.
Wspólny język
Jeden diagram, który czyta programista, architekt i bezpiecznik, bez tłumaczenia między światami.
Wcześniej, czyli taniej
Zagrożenia wyłapane na diagramie, na etapie projektowania, zanim staną się kosztownym przeprojektowaniem na produkcji.
Raport i certyfikaty
Raport poszkoleniowy z sugestiami oraz certyfikaty — dowód pod compliance.
Jak przebiega

Seria warsztatów on-site, nie jednorazowe szkolenie.

Modelowanie zagrożeń najlepiej działa na żywo, przy tablicy. Dlatego transformacja to seria warsztatów on-site dla Twoich zespołów, poprzedzona sesją rozpoznawczą i osadzona w realnych systemach, które budujesz i utrzymujesz.

Sesja rozpoznawcza (online)

Zaczynamy od zebrania scenariuszy z Twoich projektów i architektury, żeby ćwiczenia warsztatowe operowały na realnych systemach, a nie na przykładach z podręcznika.

Seria warsztatów on-site

Praktyczny warsztat w proporcji 70:30, gdzie większość czasu to ćwiczenia, prowadzony na żywo przy tablicy, dla kameralnych grup po 9–12 osób. Przy większej liczbie uczestników dzielimy zespół na kolejne grupy.

Ćwiczenia na Twojej architekturze

Modelujemy zagrożenia na trzech poziomach: infrastruktury, aplikacji i pojedynczej funkcjonalności, w oparciu o systemy zebrane na sesji rozpoznawczej.

Jak osadzić praktykę w procesie

Pokazujemy, jak wpiąć modelowanie zagrożeń w Wasz proces wytwórczy: kiedy je uruchamiać, jak notować i jak priorytetyzować ryzyko, żeby praktyka nadążała za tempem zespołu (Agile Threat Modeling).

Raport poszkoleniowy

Po programie podsumowujemy, co zauważyliśmy w trakcie warsztatów, i przekazujemy raport z sugestiami — kierunek do dalszych decyzji, nie audyt.

Pojedyncze szkolenie czy transformacja?
  • Pojedyncze szkolenie PMZ — jednodniowy warsztat modelowania zagrożeń dla jednej grupy.
  • Transformacja — seria warsztatów on-site dla wielu zespołów, z sesją rozpoznawczą, ćwiczeniami na Twojej architekturze i osadzeniem praktyki w procesie.

Pojedyncze szkolenie buduje umiejętność w jednej grupie. Transformację wybierasz, gdy chcesz, żeby modelowanie zagrożeń stało się rutyną w wielu zespołach naraz.

Zakres merytoryczny

Pełny proces modelowania zagrożeń, krok po kroku.

Materiał programu Praktyczne Modelowanie Zagrożeń: od pierwszego diagramu po gotowy model zagrożeń. Większość czasu to praktyka analogowa, bo dobry model powstaje podczas dyskusji przy diagramie, a nie w dedykowanym narzędziu.

Poziomy i podejścia do modelowania

Kiedy i jak modelować zagrożenia. Agile Threat Modeling, czyli wpięcie modelowania w tempo zespołu, żeby nadążało za zmianami w projekcie.

Identyfikacja zagrożeń: STRIDE, TRIM, LINDDUN

Rdzeń warsztatu: systematyczne wyłapywanie zagrożeń technikami STRIDE, TRIM i LINDDUN, na diagramach przepływu danych (DFD) i drzewach ataku (Attack Trees).

Priorytetyzacja i narzędzia

Ocena i priorytetyzacja ryzyka: DREAD i matryce ryzyka. Do tego narzędzia wspierające: Microsoft Threat Modeling Tool, OWASP Threat Dragon, Deciduous i Cornucopia.

Praktyka

Modelowanie na żywo przy tablicy, ćwiczenie po ćwiczeniu, aż metoda wejdzie w rękę. Finał: gotowy model zagrożeń.

Standardy i narzędzia

Metody, które zna cała branża.

Używamy frameworków, które rozpoznaje każdy audytor i inżynier bezpieczeństwa: STRIDE, DREAD, DFD czy Attack Trees. Żadnej niejawnej metodyki, więc wynik da się porównać, obronić i powtórzyć w innym zespole.

STRIDE TRIM LINDDUN DREAD Attack Trees DFD Agile Threat Modeling Microsoft Threat Modeling Tool OWASP Threat Dragon Deciduous Cornucopia
Opinie uczestników

Co mówią ludzie o naszych szkoleniach.

Nasze programy od lat wybierają zespoły inżynierskie z czołowych firm w bankowości, fintechu, ubezpieczeniach i software house'ach.

„Kursy Andrzeja to prawdziwa kopalnia wiedzy. Każdy materiał skupia się na konkretach – nie ma tu miejsca na marketingowe puste frazesy. Polecam każdemu, kto szuka solidnych podstaw bez zbędnych upiększeń."

Łukasz Mazurczak
Łukasz Mazurczak Cyber Risk Management Engineer · Santander Bank Polska

„Highly recommend if you're implementing security in the Software Development Life Cycle. Andrzej and Krzysiek are very competent, helpful and kind trainers."

Aleksandra Kornecka
Aleksandra Kornecka Senior Security Engineer

„Polecam w 100%. Wiedza przekazana w sposób przystępny i zrozumiały, co przy tematyce technicznej jest nie lada sztuką. Jestem pod wielkim wrażeniem umiejętności Andrzeja – to naprawdę duża dawka solidnej wiedzy z zakresu cyberbezpieczeństwa."

Tomasz Kuciński
Tomasz Kuciński Główny Administrator Systemu · Orange Polska

„Jestem bardzo usatysfakcjonowana. Lubię strukturę: porządny wstęp teoretyczny i logiczny podział lekcji. Andrzej jasno omawia zagadnienia, pokazuje przykładowe ataki i nie stroni od dodatkowych materiałów. W punkt!"

Karolina Dyrda
Karolina Dyrda QA Specialist

„Bardzo dobrze zaprojektowane szkolenie, pokrywające kluczowe zagadnienia bezpieczeństwa – zarówno teoretyczne, jak i praktyczne. Polecam wszystkim, którzy chcą specjalizować się w tym obszarze cyberbezpieczeństwa!"

Marek Kost
Marek Kost Senior Security Professional · CISM, CISA, CRISC

„Forma prezentacji – bomba. Merytoryka – znowu najwyższe noty. Ciągle wracam do materiałów i korzystam. Polecam!"

Marcin Kabaciński
Marcin Kabaciński Członek Zarządu · Fundacja CISO #Poland

„Super instruktor, Andrzeju pokłony. Szkolenie oparte jest na aktualnych trendach i praktykach – super praktyczne ćwiczenia."

Maciej Bartkowski
Maciej Bartkowski Head of Security · MAIN Interconnection

„Ciekawe, bardzo praktyczne szkolenie. Polecam jako wprowadzenie do tematu bezpieczeństwa aplikacji."

Tomasz Więzik
Tomasz Więzik Principal Software Developer · Axians

„Wszystko jasno wytłumaczone, świetnie poprowadzone. Polecam z całego serca!"

Gizela
Gizela Quality Engineer

„Otworzyłem oczy na wiele aspektów bezpieczeństwa, z którymi wcześniej miałem styczność jedynie pobieżnie, bez możliwości przyjrzenia się im od kuchni. Wprowadził mnie w zupełnie nowe zagadnienia, które bez wątpienia wykorzystam w codziennej praktyce."

Marcin Krupa
Marcin Krupa Starszy Analityk · Accenture

„Może korzystam z innych technologii, ale wiem czego szukać i dałabym radę. Must have dla każdego DevOpsa i architekta."

Angelika Maria Piątkowska
Angelika Maria Piątkowska Architekt · BCF Software

„Samo mięso – konkretna teoria i praktyczne podejście do tematu. Znalazłem mnóstwo cennych smaczków i optymalizacji, które od razu wdrożyłem w firmie."

Dawid Apolinarski
Dawid Apolinarski Application Security Engineer
Następny krok

Chcesz, żeby Twoje zespoły modelowały zagrożenia same?

Każda transformacja jest inna: inne systemy, inna architektura, inne zespoły. Napisz do nas, umówimy rozmowę i przygotujemy ofertę dopasowaną do Twojej organizacji.