Modelowanie zagrożeń - projektowanie wymagań bezpieczeństwa systemów

Tytuł: Modelowanie zagrożeń - projektowanie wymagań bezpieczeństwa systemów
Kod: sec-model
Kategoria: Bezpieczeństwo
Forma: 30% wykłady, 70% warsztaty
Czas trwania: 1 dzień
Odbiorcy: admini, architekci, developerzy, analitycy
Zapisy: Indywidualne zamówienie i dopasowanie dla grupy.
Logistyka: W siedzibie klienta lub w innym dowolnym miejscu.
Partner merytoryczny:

Autorski program szkolenia oparty o wieloletnie doświadczenie w testowaniu bezpieczeństwa, dobieraniu zaleceń i projektowaniu wymagań bezpieczeństwa systemów.

Modelowanie zagrożeń to część podejścia "Shift Left" i kompleksowa metodyka unikania podatności w aplikacjach i systemach zanim powstanie dane rozwiązanie, a także komunikowania ryzyk bezpieczeństwa do zarządu.

Modelowanie zagrożeń to testy bezpieczeństwa na kartce - burza mózgów, której efektem jest zwiększenie świadomości ryzyka bezpieczeństwa i opracowanie zabezpieczeń adekwatnych do ryzyka. Obecne metodyki modelowania zagrożeń są szalenie skomplikowane, pracochłonne i wymagają zgromadzenia dużej ilości informacji na wejściu. W naszym podejściu „light weight” staramy się uprościć ten proces, tak żeby mógł być on wpleciony w cykl rozwojowy każdej aplikacji. Metoda ta polega na odpowiedzeniu sobie na trzy pytania: KTO chciałby zaatakować nasz system? CO – jest jego celem? Oraz – JAK atakujący może to osiągnąć? W końcowej fazie analizy do potencjalnych metod ataku dobieramy zabezpieczenia i to jest produkt modelowania zagrożeń. Podczas warsztatów uczestnicy nauczą się samodzielnie przeprowadzać analizę na przykładzie kilku aplikacji i systemów. Dzięki szkoleniu uczestnicy nauczą się również świadomie podejmować decyzje na temat architektury rozwiązania, sposobów uwierzytelnienia i przetwarzania danych.

KORZYŚCI WYNIKAJĄCE Z MODELOWANIA ZAGROŻEŃ

  • Architekci - biorąc pod uwagę potencjalne zagrożenia, wprowadzają zmiany w projekcie na etapie planowania
  • Developerzy i administratorzy - pisząc kod lub konfigurując systemy, biorą pod uwagę wymagania bezpieczeństwa i implementują bezpieczne rozwiązania
  • Dział bezpieczeństwa - otrzymuje metrykę bezpieczeństwa i może oceniać jakość oprogramowania pod kątem bezpieczeństwa
  • Testerzy QA i bezpieczeństwa - weryfikują przypadki testowe wynikające z modelu zagrożeń, efektywniej pokrywają zakres testów
  • Właściciel produktu - podejmuje świadome decyzje bazujące na znanym ryzyku, może przekazywać wymagania bezpieczeństwa do firm trzecich
  • Klienci - klienci rozwiązań klasy enterprise oczekują wyników testów bezpieczeństwa, a model zagrożeń to coś znacznie więcej - świadczy o świadomym podejściu firmy do ryzyk związanych z bezpieczeństwem

Wyróżniki szkolenia

  • Uświadomisz sobie kompetencje miękkie pozwalające na biznesowe wytłumaczenie technicznych ryzyk
  • Dowiesz się jak aplikacje i systemy postrzegają testerzy bezpieczeństwa
  • Uświadomisz sobie, że pewne decyzje architektoniczne podejmowane na wczesnych etapach mają wpływ na koszt łatania potencjalnych podatności
  • Poznasz różne podejścia do modelowania zagrożeń - a przede wszystkim jak je zastosować w praktyce
  • Nauczysz się technik rozmowy o bezpieczeństwie systemu w taki sposób, żeby zrozumiał je zarząd

Program Szkolenia

Program jest ramą w jakiej możemy się poruszać merytorycznie - program dla konkretnego szkolenia dedykowanego ustalamy z grupą na podstawie analizy przed-szkoleniowej.

  1. Wstęp do modelowania zagrożeń
    1. Skutki projektowania aplikacji i systemów bez wymagań bezpieczeństwa
    2. Korzyści płynące z modelowania zagrożeń
    3. Metodologie modelowania zagrożeń - ich wady i zalety
  2. Wdrażanie modelowania zagrożeń w SDLC
    1. Jak wdrożyć program modelowania zagrożeń?
    2. Jak przekonać do tego zarząd?
    3. Ile czasu zajmuje modelowanie zagrożeń?
  3. Przykładowe modelowanie zagrożeń
    1. Określanie potencjalnych atakujących - ćwiczenie
    2. Definiowanie kluczowych zasobów - ćwiczenie
    3. Podejście abuser stories - ćwiczenie
    4. Definiowanie wymagań bezpieczeństwa na podstawie zagrożeń - ćwiczenie
    5. Definiowanie przypadków testowych na podstawie wymagań - ćwiczenie
  4. Optymalizacja zadań
    1. Bazowe modele zagrożeń - wprowadzenie
    2. Dobieranie bazowych modeli zagrożeń dla danego rozwiązania - ćwiczenie
    3. Definiowanie bazowego modelu zagrożeń - ćwiczenie
    4. Automatyzacja przypadków testowych
  5. Procesowanie wyników
    1. Sposób zapisywania zagrożeń - PDF, diagramy UML/DFD, Jira
    2. Podejmowanie decyzji dla zagrożeń i projektowanie akcji
  6. Sesja modelowania zagrożeń
    1. Pełna sesja modelowania zagrożeń małej aplikacji korzystającej z prostego serwera i bazy danych - ćwiczenie
    2. Dyskusja na temat typowych pułapek - ograniczenia czasowe, problematyczni dyskutanci
  7. Podsumowanie i dyskusja
    1. Podsumowanie wiedzy i technik modelowania zagrożeń
    2. Dyskusja z ekspertem


Pobierz program w formacie PDF

Trenerzy

Poznaj ekspertów, którzy mogą poprowadzić Twoje szkolenie.

Łukasz Bobrek

Starszy Specjalista ds. Bezpieczeństwa IT

Mateusz Olejarka

Starszy Specjalista ds. Bezpieczeństwa IT

Wojciech Reguła

Starszy Specjalista ds. Bezpieczeństwa IT

Materiały związane ze szkoleniem

Idea renesansowej pracowni - Bottegi zakłada nieustanną pracę jej członków i dzielenie się jej wynikami.

  • JSON Web Tokens. Problemy i Rozwiązania
    KATEGORIE: Bezpieczeństwo

    Jeżeli logowaliście się niedawno w Internecie, to jest spora szansa, że informacje o waszej tożsamości były przesyłane między serwerami w zakodowane w formacie JSON Web Tokens. Takie tokeny są wykorzystywane w protokole OpenID Connect, stosuje się je także do kontroli dostępu do API opartych o HTTP. Czy ich bezpieczeństwo idzie w parze z prostotą i popularnością?

    Autor Bottega:

    Marcin Hoppe

    Powiązane szkolenia dedykowane:

    (zobacz wszystkie powiązane...)

    Modelowanie zagrożeń - projektowanie wymagań bezpieczeństwa systemów

    Powiązane usługi:

    Audyty architektury
  • Instant Threat Modelling - Teaser
    KATEGORIE: Bezpieczeństwo

    Threat Modelling will be a series of 5-minute videos showing quick sessions based on real world examples - what can go wrong and how to avoid it.

    Autor Bottega:

    Jakub Kałużny

    Powiązane szkolenia dedykowane:

    (zobacz wszystkie powiązane...)

    Modelowanie zagrożeń - projektowanie wymagań bezpieczeństwa systemów

    Powiązane usługi:

    Audyty architektury
  • Let's get evil - threat modelling at scale
    KATEGORIE: Bezpieczeństwo

    Let's talk about large-scale security programmes and maintaining security with tens of project teams - agile or waterfall, in-house or outsourced. I will discuss how to effectively track security requirements, organise threat modelling sessions, log output from those and translate it into penetration testing scope and test cases. We will dive deep into evil brainstorming, come up with abuser stories for each user story and define what makes the SDLC process secure or not. This talk is based on my work with different organizations in multiple countries and observations what works well in regards to security at scale and what does not.

    Autor Bottega:

    Jakub Kałużny

    Powiązane szkolenia dedykowane:

    (zobacz wszystkie powiązane...)

    Modelowanie zagrożeń - projektowanie wymagań bezpieczeństwa systemów

    Powiązane usługi:

    Audyty architektury
  • Does it take AI to break your AI?
    KATEGORIE: Bezpieczeństwo

    Does it take AI to break your AI? Hacking voice biometrics and what not? The market of Machine-Learning based security solutions is growing: WAFs, IDSs, behavioural network traffic analysis, AVs, biometrics. While integration of this software into an existing infrastructure can be tested using ordinary methods, measuring quality of a non-deterministic system, which is constantly changing its rules and thresholds, is not that straightforward and requires carefully designed test cases.

    Autor Bottega:

    Jakub Kałużny

    Powiązane szkolenia dedykowane:

    (zobacz wszystkie powiązane...)

    Modelowanie zagrożeń - projektowanie wymagań bezpieczeństwa systemów

    Powiązane usługi:

    Audyty architektury
  • Security education via security features
    KATEGORIE: Bezpieczeństwo

    Let's talk about UX and security - those two may not seem to go hand-in-hand. Some services encourage users to enable additional protection, some have it enabled by default and some have these options hidden deep in the menu. I will compare security features available for users in multiple services including telecommunication providers, online banking and cryptocurrency exchanges across Poland, Australia and USA: - PINs, passwords and authentication in mobile apps - fine-grained payment limits for cards and wire transfers - 2-factor authentication - geolocation security - biometric authentication - process authorisation How to introduce security features to make users adopt them easily? How to educate users by allowing them to set up additional security mechanisms?

    Autor Bottega:

    Jakub Kałużny

    Powiązane szkolenia dedykowane:

    (zobacz wszystkie powiązane...)

    Modelowanie zagrożeń - projektowanie wymagań bezpieczeństwa systemów

    Powiązane usługi:

    Audyty architektury
  • Przejdź
    Implementing anti-tampering mechanism in iOS apps
    KATEGORIE: Bezpieczeństwo

    Autor Bottega:

    Wojciech Reguła

    Powiązane szkolenia dedykowane:

    (zobacz wszystkie powiązane...)

    Modelowanie zagrożeń - projektowanie wymagań bezpieczeństwa systemów

    Powiązane usługi:

    Audyty architektury
  • Hasła - Czy to Ty je łamiesz moim użytkownikom?
    KATEGORIE: Bezpieczeństwo

    Historie dla programistów z życia wzięte o zabawie w kotka i myszkę z hackerami. Oni znają hasła moich użytkowników i robią z tego użytek. Ale ja wiem że oni wiedzą. I wiem skąd wiedzą. Czy wiem kim oni są? Tak. Pokażę Wam skąd. Oni znają także hasła Twoich użytkowników. I przyjdą też atakować Twój system. Na pewno bardzo dbamy o elegancką implementację reguł biznesowych. Proces logowania, no cóż - wygląda przy tym jak niewielka część całości, jednak niezwykle ważna. Monitorujesz kto się do Ciebie loguje? Pokażę Ci jak moje endpointy do logowania są atakowane abyście mogli się przygotować. Pokażę Ci te ataki - zmiany w ruchu sieciowym, jakie dane mają atakujący, jak to robią, po co to robią i z jakim rezultatem. Pokażę też co my zrobiliśmy w tej sytuacji i zauważysz jak kultura zespołu jest ważna w takich chwilach. Pokażę Ci dużo, być może za dużo. Otwarcie - dokładnie tak jak powinno się mówić o bezpieczeństwie w poważnych systemach. Tak aby inni mogli skorzystać z naszych doświadczeń.

    Autor Bottega:

    Jacek Milewski

    Powiązane szkolenia dedykowane:

    (zobacz wszystkie powiązane...)

    Modelowanie zagrożeń - projektowanie wymagań bezpieczeństwa systemów

    Powiązane usługi:

    Audyty architektury

Zamów szkolenie

Imię i nazwisko:
Firma:
E-mail:
Nr tel:
Temat:
Wiadomość:

Jeżeli preferujesz osobisty kontakt to zawsze możesz zadzwonić.

Iwona Sobótka

Koordynatorka szkoleń


Twoje dane osobowe przetwarzamy, aby udzielić odpowiedzi na Twoje pytanie. Administratorem Twoich danych osobowych jest Bottega It Minds Sławomir Sobótka. Przysługuje Ci prawo wniesienia sprzeciwu wobec przetwarzania, prawo dostępu do danych, prawo żądania ich sprostowania, usunięcia lub ograniczenia ich przetwarzania. Szczegółowe informacje dotyczące przetwarzania Twoich danych osobowych znajdują się TUTAJ.