Tytuł: | Modelowanie zagrożeń - projektowanie wymagań bezpieczeństwa systemów |
Kod: | sec-model |
Kategoria: | Bezpieczeństwo |
Forma: | 30% wykłady, 70% warsztaty |
Czas trwania: | 1 dzień |
Odbiorcy: | admini, architekci, developerzy, analitycy |
Zapisy: |
Indywidualne zamówienie i dopasowanie dla grupy. |
Logistyka: |
W siedzibie klienta lub w innym dowolnym miejscu. |
Partner merytoryczny: |
Autorski program szkolenia oparty o wieloletnie doświadczenie w testowaniu bezpieczeństwa, dobieraniu zaleceń i projektowaniu wymagań bezpieczeństwa systemów.
Modelowanie zagrożeń to część podejścia "Shift Left" i kompleksowa metodyka unikania podatności w aplikacjach i systemach zanim powstanie dane rozwiązanie, a także komunikowania ryzyk bezpieczeństwa do zarządu.
Modelowanie zagrożeń to testy bezpieczeństwa na kartce - burza mózgów, której efektem jest zwiększenie świadomości ryzyka bezpieczeństwa i opracowanie zabezpieczeń adekwatnych do ryzyka. Obecne metodyki modelowania zagrożeń są szalenie skomplikowane, pracochłonne i wymagają zgromadzenia dużej ilości informacji na wejściu. W naszym podejściu „light weight” staramy się uprościć ten proces, tak żeby mógł być on wpleciony w cykl rozwojowy każdej aplikacji. Metoda ta polega na odpowiedzeniu sobie na trzy pytania: KTO chciałby zaatakować nasz system? CO – jest jego celem? Oraz – JAK atakujący może to osiągnąć? W końcowej fazie analizy do potencjalnych metod ataku dobieramy zabezpieczenia i to jest produkt modelowania zagrożeń. Podczas warsztatów uczestnicy nauczą się samodzielnie przeprowadzać analizę na przykładzie kilku aplikacji i systemów. Dzięki szkoleniu uczestnicy nauczą się również świadomie podejmować decyzje na temat architektury rozwiązania, sposobów uwierzytelnienia i przetwarzania danych.
Poznaj ekspertów, którzy mogą poprowadzić Twoje szkolenie.
Idea renesansowej pracowni - Bottegi zakłada nieustanną pracę jej członków i dzielenie się jej wynikami.
Jeżeli logowaliście się niedawno w Internecie, to jest spora szansa, że informacje o waszej tożsamości były przesyłane między serwerami w zakodowane w formacie JSON Web Tokens. Takie tokeny są wykorzystywane w protokole OpenID Connect, stosuje się je także do kontroli dostępu do API opartych o HTTP. Czy ich bezpieczeństwo idzie w parze z prostotą i popularnością?
Autor Bottega: |
|
Powiązane szkolenia dedykowane: |
Bezpieczeństwo aplikacji iOS – naprawianie podatności Kubernetes - bezpieczeństwo platformy i kontenerów Modelowanie zagrożeń - projektowanie wymagań bezpieczeństwa systemów |
Powiązane usługi: |
Audyty architektury |
Threat Modelling will be a series of 5-minute videos showing quick sessions based on real world examples - what can go wrong and how to avoid it.
Autor Bottega: |
|
Powiązane szkolenia dedykowane: |
Bezpieczeństwo aplikacji iOS – naprawianie podatności Kubernetes - bezpieczeństwo platformy i kontenerów Modelowanie zagrożeń - projektowanie wymagań bezpieczeństwa systemów |
Powiązane usługi: |
Audyty architektury |
Let's talk about large-scale security programmes and maintaining security with tens of project teams - agile or waterfall, in-house or outsourced. I will discuss how to effectively track security requirements, organise threat modelling sessions, log output from those and translate it into penetration testing scope and test cases. We will dive deep into evil brainstorming, come up with abuser stories for each user story and define what makes the SDLC process secure or not. This talk is based on my work with different organizations in multiple countries and observations what works well in regards to security at scale and what does not.
Autor Bottega: |
|
Powiązane szkolenia dedykowane: |
Bezpieczeństwo aplikacji iOS – naprawianie podatności Kubernetes - bezpieczeństwo platformy i kontenerów Modelowanie zagrożeń - projektowanie wymagań bezpieczeństwa systemów |
Powiązane usługi: |
Audyty architektury |
Does it take AI to break your AI? Hacking voice biometrics and what not? The market of Machine-Learning based security solutions is growing: WAFs, IDSs, behavioural network traffic analysis, AVs, biometrics. While integration of this software into an existing infrastructure can be tested using ordinary methods, measuring quality of a non-deterministic system, which is constantly changing its rules and thresholds, is not that straightforward and requires carefully designed test cases.
Autor Bottega: |
|
Powiązane szkolenia dedykowane: |
Bezpieczeństwo aplikacji iOS – naprawianie podatności Kubernetes - bezpieczeństwo platformy i kontenerów Modelowanie zagrożeń - projektowanie wymagań bezpieczeństwa systemów |
Powiązane usługi: |
Audyty architektury |
Let's talk about UX and security - those two may not seem to go hand-in-hand. Some services encourage users to enable additional protection, some have it enabled by default and some have these options hidden deep in the menu. I will compare security features available for users in multiple services including telecommunication providers, online banking and cryptocurrency exchanges across Poland, Australia and USA: - PINs, passwords and authentication in mobile apps - fine-grained payment limits for cards and wire transfers - 2-factor authentication - geolocation security - biometric authentication - process authorisation How to introduce security features to make users adopt them easily? How to educate users by allowing them to set up additional security mechanisms?
Autor Bottega: |
|
Powiązane szkolenia dedykowane: |
Bezpieczeństwo aplikacji iOS – naprawianie podatności Kubernetes - bezpieczeństwo platformy i kontenerów Modelowanie zagrożeń - projektowanie wymagań bezpieczeństwa systemów |
Powiązane usługi: |
Audyty architektury |
Autor Bottega: |
|
Powiązane szkolenia dedykowane: |
Bezpieczeństwo aplikacji iOS – naprawianie podatności Kubernetes - bezpieczeństwo platformy i kontenerów Modelowanie zagrożeń - projektowanie wymagań bezpieczeństwa systemów |
Powiązane usługi: |
Audyty architektury |
Historie dla programistów z życia wzięte o zabawie w kotka i myszkę z hackerami. Oni znają hasła moich użytkowników i robią z tego użytek. Ale ja wiem że oni wiedzą. I wiem skąd wiedzą. Czy wiem kim oni są? Tak. Pokażę Wam skąd. Oni znają także hasła Twoich użytkowników. I przyjdą też atakować Twój system. Na pewno bardzo dbamy o elegancką implementację reguł biznesowych. Proces logowania, no cóż - wygląda przy tym jak niewielka część całości, jednak niezwykle ważna. Monitorujesz kto się do Ciebie loguje? Pokażę Ci jak moje endpointy do logowania są atakowane abyście mogli się przygotować. Pokażę Ci te ataki - zmiany w ruchu sieciowym, jakie dane mają atakujący, jak to robią, po co to robią i z jakim rezultatem. Pokażę też co my zrobiliśmy w tej sytuacji i zauważysz jak kultura zespołu jest ważna w takich chwilach. Pokażę Ci dużo, być może za dużo. Otwarcie - dokładnie tak jak powinno się mówić o bezpieczeństwie w poważnych systemach. Tak aby inni mogli skorzystać z naszych doświadczeń.
Autor Bottega: |
|
Powiązane szkolenia dedykowane: |
Bezpieczeństwo aplikacji iOS – naprawianie podatności Kubernetes - bezpieczeństwo platformy i kontenerów Modelowanie zagrożeń - projektowanie wymagań bezpieczeństwa systemów |
Powiązane usługi: |
Audyty architektury |