Dwudniowe szkolenie z prezentacjami praktycznymi ilustrującymi przekazywaną wiedzę. Jeśli dopiero zaczynasz przygodę z bezpieczeństwem IT, dostałeś zadanie zorganizowania bezpieczeństwa IT w firmie czy może po prostu chcesz uporządkować swoją wiedzę – to jest szkolenie dla Ciebie!
Uwaga! Przy zapisach do 3 grudnia 2024r. wraz z biletem na szkolenie otrzymuje się dostęp do programu edukacyjnego Sekurak Academy gratis (dostęp do wszystkich archiwalnych nagrań szkoleń oraz kolejne szkolenia na żywo)!
Voucher 2025
Zachęcamy do zakupu Vouchera 2025 na to szkolenie. Voucher daje gwarancję ceny z roku 2024 i można wykorzystać do końca 2025 roku (terminy szkoleń na 2025 będzie można znaleźć w sklepie, voucher upoważnia do udziału w szkoleniu w dowolnym terminie proponowanym przez organizatora).
Do kogo skierowane jest szkolenie:
-
- Osób, które stawiają pierwsze kroki w obszarze bezpieczeństwa IT
- Managerów IT zainteresowanych bezpieczeństwem
- Pracowników działów IT, którzy chcą poszerzyć swoją wiedzę o bezpieczeństwie
- Administratorów bezpieczeństwa informacji (ABI)
- Osób odpowiedzialnych za wdrażanie polityk bezpieczeństwa oraz zabezpieczeń w organizacjach
Czego nauczysz się podczas szkolenia:
-
- Zapoznasz się z najważniejszymi pojęciami i mechanizmami bezpieczeństwa IT. Każdy temat ilustrowany jest przykładami z doświadczenia prowadzącego – często w formie pokazu „na żywo”
- Poznasz częste problemy bezpieczeństwa w systemach IT i nauczysz się jak do nich nie dopuścić we własnej firmie.
- Poznasz wybrane ataki na systemy IT oraz będziesz wiedział jak się przed nimi chronić.
- Będziesz mógł skonsultować się z prelegentem – na dowolny temat związany z bezpieczeństwem IT.
- Otrzymasz pakiet dokumentacji (przykładowa polityka bezpieczeństwa, przykładowy raport z audytu bezpieczeństwa, instrukcja reagowania na incydenty bezpieczeństwa, instrukcja korzystania ze stacji roboczych w kontekście bezpieczeństwa) – do wykorzystania bezpłatnie w Twojej firmie.
- Będziesz mógł zacząć analizować bezpieczeństwo swoich systemów – zaraz po odbyciu szkolenia.
Agenda:
Dzień 1.
Zamiast wstępu – pokaz na żywo przejęcia kamery CCTV.
-
- Wskazanie możliwych strategii ochrony
- Wskazanie lokalizowania tego typu urządzeń w infrastrukturach firm – z poziomu Internetu
- Dlaczego urządzenie IoT dostępne w Internecie może stanowić łatwe wejście do naszej sieci dla atakujących?
Podstawy rekonesansu infrastruktury IT
-
- Lokalizowanie podatnych urządzeń z poziomu Internetu
- Lokalizowanie “ukrytych” domen
- Narzędzia umożliwiające szybki ogląd usług / aktywnych urządzeń w publicznej infrastrukturze badanej firmy
W jaki sposób atakowane są firmy / użytkownicy – i jak temu zapobiec?
-
- Przegląd około dziesięciu aktualnych scenariuszów ataków; wskazanie zalecanych metod ochrony.
Jak ransomware dostaje się do firm?
-
- Przykłady realnych ataków
- Wybrane techniki ochrony przed ransomware
- Ciekawe dokumentacje
Elementy bezpieczeństwa informacji
-
- Poufność, Integralność, Dostępność, Rozliczalność + przykłady naruszeń.
- Zarządzanie ryzykiem – czyli sposób na racjonalne wydawanie środków na bezpieczeństwo
- Polityka bezpieczeństwa
- Prezentacja przykładowej polityki bezpieczeństwa
- Prezentacja przykładowej instrukcji korzystania ze stacji roboczej
- Ogólne zasady w bezpieczeństwie IT
- Defense in depth, Least privilege, Seperation of duties, Need to know.
- Audyt bezpieczeństwa oraz testy penetracyjne jako sposób na poprawę bezpieczeństwa w firmie
- Prezentacja przykładowego raportu
Wybrane zagadnienia bezpieczeństwa warstwy sieciowej
-
- Firewalle.
- Możliwość realizacji podsłuchu w sieciach LAN – przykład podsłuch rozmowy VoIP
- Systemy IDS – jako jeden z elementów monitoringu bezpieczeństwa sieci
- SSL/https – co zapewnia, a przed czym nie chroni
- Bezpieczeństwo sieci WiFi
- Ochrona Access Point / ochrona klienta.
- Tryby ochrony sieci: Open / WEP, WPA, WPA2
- Czym jest sieć klasy WPA2-Enterprise
- Jak zbudować bezpieczną sieć WiFi
Dzień 2.
Bezpieczeństwo aplikacji www
-
- Aplikacje jako obecna pięta achillesowa bezpieczeństwa
- Praktyczne omówienie kilku częstych błędów bezpieczeństwa w aplikacjach webowych
- W jaki sposób zabezpieczyć własną aplikację?
- Czego wymagać od dostawców aplikacji?
Wybrane problemy bezpieczeństwa w architekturze sieci
-
- Często występujące błędy konfiguracji – na podstawie realnych znalezisk (zostaną one zanonimizowane).
- Filtrowanie komunikacji, styk z Internetem, dostęp dla użytkowników.
Bezpieczeństwo infrastruktury mobilnej (telefony, tablety)
-
- Zagrożenia dla infrastruktury mobilnej
- Jak budować bezpieczną architekturę mobilną?
- W jaki sposób zwiększyć bezpieczeństwo smartfonów
- Gdzie poszukiwać dalszych dokumentacji?
Bezpieczeństwo systemów operacyjnych oraz elementów oprogramowania infrastruktury
-
- Usługi sieciowe, aktualizacje, system plików.
- Wybrane problemy w usługach: bazy danych, serwery aplikacyjne, serwery www, serwery DNS, …
- Gdzie szukać dokumentacji ułatwiających zwiększenie bezpieczeństwa systemów operacyjnych?
Bezpieczeństwo IoT
-
- Przykłady ataków z ostatnich lat
- Metody zabezpieczenia swoich urządzeń
- Narzędzia sprawdzające bezpieczeństwo własnych urządzeń
Przydatne informacje:
Szkolenie prowadzone jest w wersji zdalnej, według tego samego programu co szkolenia stacjonarne a instruktor jest do dyspozycji uczestników przez cały czas trwania szkolenia.
Szkolenie prowadzone w godzinach:
-
- Pierwszy dzień: 9:00 – 15:30
- Drugi dzień: 9:00 – 14:30
Do szkolenia w wersji zdalnej wymagany jest laptop z dowolnym systemem operacyjnym, z przeglądarką Firefox / Chrome, stabilny internet i słuchawki z mikrofonem.
Istnieje możliwość organizacji szkolenia w formie zamkniętej – dla zamkniętej grupy osób.
W przypadku zainteresowania tego typu szkoleniem prosimy o kontakt:
e-mail: szkolenia@securitum.pl, tel.: +48 516 824 029
Co zawiera cena szkolenia:
- Prezentację ze szkolenia w formie PDF
- Pakiet dokumentacji (format docx) do wykorzystania w swojej firmie:
- Przykładowa polityka bezpieczeństwa
- Procedura reagowania na incydent bezpieczeństwa
- Instrukcja umieszczania systemów w DMZ
- Możliwe zakresy testów bezpieczeństwa
- Linki do stron/narzędzi pokazywanych w trakcie szkolenia
- Certyfikat ukończenia szkolenia (PDF).
- Zapis filmowy szkolenia do końca 2025 roku.
O prowadzącym:
Michał Sajdak od przeszło 12 lat specjalizuje się w ofensywnym obszarze bezpieczeństwa IT, wykonał setki audytów bezpieczeństwa IT, przeszkolił dziesiątki tysięcy osób. Posiadacz certyfikatów: CISSP (Certified Information Systems Security Professional), CEH (Certified Ethical Hacker) oraz CTT+ (Certified Technical Trainer). Uznany prelegent na konferencjach branżowych: Mega Sekurak Hacking Party, PWNing, WTH, Confidence, Secure, SEMAFOR, Securitybsides, PLNOG, Infoshare, OWASP Day, oraz wielu innych. Pomysłodawca, redaktor główny oraz współautor bestsellerowej książki "Bezpieczeństwo aplikacji WWW". Założyciel i redaktor portalu sekurak.pl.
Opinie uczestników o szkoleniu:
Jasno wszystko wytłumaczone, nie czuję się jakby głowa mi miała wybuchnąć. Bardzo fajnie poprowadzone szkolenie i wszystko dobrze wytłumaczone.
Zawartość merytoryczna i sposób jej prezentacji, odpowiedzi na pytania na bieżąco bez nacisku na 'sztywne' trzymanie się agendy zgodnie ze slajdami (i jednocześnie oczywiście brak pominięcia jakiegokolwiek z zaplanowanych punktów szkolenia).
Dużo ciekawych przykładów + praktyczne aspekty i działanie na kodzie"live".
Przygotowanie techniczne/merytoryka/przekaz.
Przykłady bardzo rzeczowo rozpisane w rozdziały oraz tempo prowadzenia szkolenia. Publika brała czynny udział, nie zawsze stricte podążaliśmy za slide'ami.
Olbrzymi background wiedzy i przede wszystkim praktyki (osobiście podczas szkolenia przetestowałem praktycznie odzyskiwanie haseł md5, podatności starych wordpressów (własnych) na prezentowane rozwiązania, podatność własnego rutera na niektóre z exploitów pokazanych w szkoleniu oraz swoich serwisów podatnych na injection oraz wykonanie kodu) zmieniło to moje postrzeganie bezpieczeństwa globalnie.
Prowadzący, olbrzymia wiedza, dobrze i w przystępny sposób przekazana Wiedza.
Bezpieczeństwo IOT, phone spoofing, bezpieczeństwo aplikacji, nmap - w zasadzie wszystko było równo mocne.
Charyzmatyczny trener, którego przyjemnie się słucha.
Duża wiedza i ciekawy sposób opowiadania. Dla niego nie ma głupich pytań, na wszystkie odpowiada.
Super szkolenie, ogromna ilość użytecznej wiedzy podana bardzo przystępnie.
Trener jeden z najlepszych, którego dotąd spotkałem.
Przygotowany, konkretny i znający temat tak że super.
Wzorowo, pozytywna energia nie pozwalała uciekać myślami od tematu.
Bardzo dobrze, nie ma się do czego przyczepić, pełen profesjonalizm.
Szkolenie bardzo przyjemnie poprowadzone, w odpowiednim tempie i z wartościowymi odpowiedziami które wpływały na jego przebieg. Tematy wyjaśnione w zrozumiały sposób, masa informacji w krótkim czasie razem z przykładami.
Super! Człowiek z dużą wiedzą, ze skillami przemawiania do ludzi, wiedzący co pokazuje i o czym mówi.
Trener fajny, bo jak czegoś nie wiedział to mówił wprost, a nie "szył", co bardzo sobie cenie w ludziach.
Cieszę się, że szkolenie było w takiej formie, że możemy pisać swoje pytania, a nie przerywać w trakcie, będąc na wspólnym callu. Często na szkoleniach przeszkadza mi, jak zamiast trenera, mówią inni uczestnicy, niekoniecznie na temat :p