| Tytuł: | Modelowanie zagrożeń - projektowanie wymagań bezpieczeństwa systemów |
| Kod: | sec-model |
| Kategoria: | Bezpieczeństwo |
| Forma: | 30% wykłady, 70% warsztaty |
| Czas trwania: | 1 dzień |
| Odbiorcy: | admini, analitycy, architekci, developerzy |
| Zapisy: |
Indywidualne zamówienie i dopasowanie dla grupy. |
| Logistyka: |
W siedzibie klienta lub w innym dowolnym miejscu. |
| Partner merytoryczny: |
|
Autorski program szkolenia oparty o wieloletnie doświadczenie w testowaniu bezpieczeństwa, dobieraniu zaleceń i projektowaniu wymagań bezpieczeństwa systemów.
Modelowanie zagrożeń to część podejścia "Shift Left" i kompleksowa metodyka unikania podatności w aplikacjach i systemach zanim powstanie dane rozwiązanie, a także komunikowania ryzyk bezpieczeństwa do zarządu.
Modelowanie zagrożeń to testy bezpieczeństwa na kartce - burza mózgów, której efektem jest zwiększenie świadomości ryzyka bezpieczeństwa i opracowanie zabezpieczeń adekwatnych do ryzyka. Obecne metodyki modelowania zagrożeń są szalenie skomplikowane, pracochłonne i wymagają zgromadzenia dużej ilości informacji na wejściu. W naszym podejściu „light weight” staramy się uprościć ten proces, tak żeby mógł być on wpleciony w cykl rozwojowy każdej aplikacji. Metoda ta polega na odpowiedzeniu sobie na trzy pytania: KTO chciałby zaatakować nasz system? CO – jest jego celem? Oraz – JAK atakujący może to osiągnąć? W końcowej fazie analizy do potencjalnych metod ataku dobieramy zabezpieczenia i to jest produkt modelowania zagrożeń. Podczas warsztatów uczestnicy nauczą się samodzielnie przeprowadzać analizę na przykładzie kilku aplikacji i systemów. Dzięki szkoleniu uczestnicy nauczą się również świadomie podejmować decyzje na temat architektury rozwiązania, sposobów uwierzytelnienia i przetwarzania danych.
KORZYŚCI WYNIKAJĄCE Z MODELOWANIA ZAGROŻEŃ
- Architekci - biorąc pod uwagę potencjalne zagrożenia, wprowadzają zmiany w projekcie na etapie planowania
- Developerzy i administratorzy - pisząc kod lub konfigurując systemy, biorą pod uwagę wymagania bezpieczeństwa i implementują bezpieczne rozwiązania
- Dział bezpieczeństwa - otrzymuje metrykę bezpieczeństwa i może oceniać jakość oprogramowania pod kątem bezpieczeństwa
- Testerzy QA i bezpieczeństwa - weryfikują przypadki testowe wynikające z modelu zagrożeń, efektywniej pokrywają zakres testów
- Właściciel produktu - podejmuje świadome decyzje bazujące na znanym ryzyku, może przekazywać wymagania bezpieczeństwa do firm trzecich
- Klienci - klienci rozwiązań klasy enterprise oczekują wyników testów bezpieczeństwa, a model zagrożeń to coś znacznie więcej - świadczy o świadomym podejściu firmy do ryzyk związanych z bezpieczeństwem
Wyróżniki szkolenia
- Uświadomisz sobie kompetencje miękkie pozwalające na biznesowe wytłumaczenie technicznych ryzyk
- Dowiesz się jak aplikacje i systemy postrzegają testerzy bezpieczeństwa
- Uświadomisz sobie, że pewne decyzje architektoniczne podejmowane na wczesnych etapach mają wpływ na koszt łatania potencjalnych podatności
- Poznasz różne podejścia do modelowania zagrożeń - a przede wszystkim jak je zastosować w praktyce
- Nauczysz się technik rozmowy o bezpieczeństwie systemu w taki sposób, żeby zrozumiał je zarząd
Program Szkolenia
Program jest ramą w jakiej możemy się poruszać merytorycznie - program dla konkretnego szkolenia dedykowanego ustalamy z grupą na podstawie analizy przed-szkoleniowej.-
Wstęp do modelowania zagrożeń- Skutki projektowania aplikacji i systemów bez wymagań bezpieczeństwa
- Korzyści płynące z modelowania zagrożeń
- Metodologie modelowania zagrożeń - ich wady i zalety
- Skutki projektowania aplikacji i systemów bez wymagań bezpieczeństwa
-
Wdrażanie modelowania zagrożeń w SDLC- Jak wdrożyć program modelowania zagrożeń?
- Jak przekonać do tego zarząd?
- Ile czasu zajmuje modelowanie zagrożeń?
- Jak wdrożyć program modelowania zagrożeń?
-
Przykładowe modelowanie zagrożeń- Określanie potencjalnych atakujących - ćwiczenie
- Definiowanie kluczowych zasobów - ćwiczenie
- Podejście abuser stories - ćwiczenie
- Definiowanie wymagań bezpieczeństwa na podstawie zagrożeń - ćwiczenie
- Definiowanie przypadków testowych na podstawie wymagań - ćwiczenie
- Określanie potencjalnych atakujących - ćwiczenie
-
Optymalizacja zadań- Bazowe modele zagrożeń - wprowadzenie
- Dobieranie bazowych modeli zagrożeń dla danego rozwiązania - ćwiczenie
- Definiowanie bazowego modelu zagrożeń - ćwiczenie
- Automatyzacja przypadków testowych
- Bazowe modele zagrożeń - wprowadzenie
-
Procesowanie wyników- Sposób zapisywania zagrożeń - PDF, diagramy UML/DFD, Jira
- Podejmowanie decyzji dla zagrożeń i projektowanie akcji
- Sposób zapisywania zagrożeń - PDF, diagramy UML/DFD, Jira
-
Sesja modelowania zagrożeń- Pełna sesja modelowania zagrożeń małej aplikacji korzystającej z prostego serwera i bazy danych - ćwiczenie
- Dyskusja na temat typowych pułapek - ograniczenia czasowe, problematyczni dyskutanci
- Pełna sesja modelowania zagrożeń małej aplikacji korzystającej z prostego serwera i bazy danych - ćwiczenie
-
Podsumowanie i dyskusja- Podsumowanie wiedzy i technik modelowania zagrożeń
- Dyskusja z ekspertem
- Podsumowanie wiedzy i technik modelowania zagrożeń
Pobierz program w formacie PDF
Trenerzy
Poznaj ekspertów, którzy mogą poprowadzić Twoje szkolenie.