Modelowanie zagrożeń - projektowanie wymagań bezpieczeństwa systemów

Kod: sec-model
Kategoria: Bezpieczeństwo
Forma: 30% wykłady, 70% warsztaty
Czas trwania: 1 dzień
Odbiorcy: analitycy, architekci, developerzy, admini
Zapisy: Indywidualne zamówienie i dopasowanie dla grupy.
Logistyka: W siedzibie klienta lub w innym dowolnym miejscu.
Partner merytoryczny:

Autorski program szkolenia oparty o wieloletnie doświadczenie w testowaniu bezpieczeństwa, dobieraniu zaleceń i projektowaniu wymagań bezpieczeństwa systemów.

Modelowanie zagrożeń to część podejścia "Shift Left" i kompleksowa metodyka unikania podatności w aplikacjach i systemach zanim powstanie dane rozwiązanie, a także komunikowania ryzyk bezpieczeństwa do zarządu.

Modelowanie zagrożeń to testy bezpieczeństwa na kartce - burza mózgów, której efektem jest zwiększenie świadomości ryzyka bezpieczeństwa i opracowanie zabezpieczeń adekwatnych do ryzyka. Obecne metodyki modelowania zagrożeń są szalenie skomplikowane, pracochłonne i wymagają zgromadzenia dużej ilości informacji na wejściu. W naszym podejściu „light weight” staramy się uprościć ten proces, tak żeby mógł być on wpleciony w cykl rozwojowy każdej aplikacji. Metoda ta polega na odpowiedzeniu sobie na trzy pytania: KTO chciałby zaatakować nasz system? CO – jest jego celem? Oraz – JAK atakujący może to osiągnąć? W końcowej fazie analizy do potencjalnych metod ataku dobieramy zabezpieczenia i to jest produkt modelowania zagrożeń. Podczas warsztatów uczestnicy nauczą się samodzielnie przeprowadzać analizę na przykładzie kilku aplikacji i systemów. Dzięki szkoleniu uczestnicy nauczą się również świadomie podejmować decyzje na temat architektury rozwiązania, sposobów uwierzytelnienia i przetwarzania danych.

KORZYŚCI WYNIKAJĄCE Z MODELOWANIA ZAGROŻEŃ

  • Architekci - biorąc pod uwagę potencjalne zagrożenia, wprowadzają zmiany w projekcie na etapie planowania
  • Developerzy i administratorzy - pisząc kod lub konfigurując systemy, biorą pod uwagę wymagania bezpieczeństwa i implementują bezpieczne rozwiązania
  • Dział bezpieczeństwa - otrzymuje metrykę bezpieczeństwa i może oceniać jakość oprogramowania pod kątem bezpieczeństwa
  • Testerzy QA i bezpieczeństwa - weryfikują przypadki testowe wynikające z modelu zagrożeń, efektywniej pokrywają zakres testów
  • Właściciel produktu - podejmuje świadome decyzje bazujące na znanym ryzyku, może przekazywać wymagania bezpieczeństwa do firm trzecich
  • Klienci - klienci rozwiązań klasy enterprise oczekują wyników testów bezpieczeństwa, a model zagrożeń to coś znacznie więcej - świadczy o świadomym podejściu firmy do ryzyk związanych z bezpieczeństwem

Wyróżniki szkolenia

  • Uświadomisz sobie kompetencje miękkie pozwalające na biznesowe wytłumaczenie technicznych ryzyk
  • Dowiesz się jak aplikacje i systemy postrzegają testerzy bezpieczeństwa
  • Uświadomisz sobie, że pewne decyzje architektoniczne podejmowane na wczesnych etapach mają wpływ na koszt łatania potencjalnych podatności
  • Poznasz różne podejścia do modelowania zagrożeń - a przede wszystkim jak je zastosować w praktyce
  • Nauczysz się technik rozmowy o bezpieczeństwie systemu w taki sposób, żeby zrozumiał je zarząd

Program Szkolenia

Program jest ramą w jakiej możemy się poruszać merytorycznie - program dla konkretnego szkolenia dedykowanego ustalamy z grupą na podstawie analizy przed-szkoleniowej.

  1. Wstęp do modelowania zagrożeń
    1. Skutki projektowania aplikacji i systemów bez wymagań bezpieczeństwa
    2. Korzyści płynące z modelowania zagrożeń
    3. Metodologie modelowania zagrożeń - ich wady i zalety
  2. Wdrażanie modelowania zagrożeń w SDLC
    1. Jak wdrożyć program modelowania zagrożeń?
    2. Jak przekonać do tego zarząd?
    3. Ile czasu zajmuje modelowanie zagrożeń?
  3. Przykładowe modelowanie zagrożeń
    1. Określanie potencjalnych atakujących - ćwiczenie
    2. Definiowanie kluczowych zasobów - ćwiczenie
    3. Podejście abuser stories - ćwiczenie
    4. Definiowanie wymagań bezpieczeństwa na podstawie zagrożeń - ćwiczenie
    5. Definiowanie przypadków testowych na podstawie wymagań - ćwiczenie
  4. Optymalizacja zadań
    1. Bazowe modele zagrożeń - wprowadzenie
    2. Dobieranie bazowych modeli zagrożeń dla danego rozwiązania - ćwiczenie
    3. Definiowanie bazowego modelu zagrożeń - ćwiczenie
    4. Automatyzacja przypadków testowych
  5. Procesowanie wyników
    1. Sposób zapisywania zagrożeń - PDF, diagramy UML/DFD, Jira
    2. Podejmowanie decyzji dla zagrożeń i projektowanie akcji
  6. Sesja modelowania zagrożeń
    1. Pełna sesja modelowania zagrożeń małej aplikacji korzystającej z prostego serwera i bazy danych - ćwiczenie
    2. Dyskusja na temat typowych pułapek - ograniczenia czasowe, problematyczni dyskutanci
  7. Podsumowanie i dyskusja
    1. Podsumowanie wiedzy i technik modelowania zagrożeń
    2. Dyskusja z ekspertem


Pobierz program w formacie PDF

Trenerzy

Poznaj ekspertów, którzy mogą poprowadzić Twoje szkolenie.

Materiały związane ze szkoleniem

Idea renesansowej pracowni - Bottegi zakłada nieustanną pracę jej członków i dzielenie się jej wynikami.

Zamów szkolenie

Imię i nazwisko:
Firma:
E-mail:
Nr tel:
Temat:
Wiadomość:

Jeżeli preferujesz osobisty kontakt to zawsze możesz zadzwonić.

Iwona Sobótka

Koordynatorka szkoleń


Wyrażam zgodę na przetwarzania danych osobowych zgodnie z ustawą o ochronie danych osobowych w związku z wysłaniem zapytania przez formularz kontaktowy.

Podanie danych jest dobrowolne ale niezbędne do przetworzenia zapytania. Zastałem/am poinformowany/na, że przysługuje mi prawo dostępu do swoich danych, możliwości ich poprawienia, żądania zaprzestania ich przetwarzania.

Administratorem danych osobowych jest Bottega IT Minds, ul. Jana Sawy 2, 20-632 Lublin.


Klauzula informacyjna