Dwudniowe szkolenie z prezentacjami praktycznymi ilustrującymi przekazywaną wiedzę. Jeśli dopiero zaczynasz przygodę z bezpieczeństwem IT, dostałeś zadanie zorganizowania bezpieczeństwa IT w firmie czy może po prostu chcesz uporządkować swoją wiedzę – to jest szkolenie dla Ciebie!
Voucher 2024
Zachęcamy do zakupu Vouchera 2024 na to szkolenie. Voucher daje gwarancję ceny z roku 2023 i można wykorzystać do końca 2024 roku (terminy szkoleń na 2024 będzie można znaleźć w sklepie, voucher upoważnia do udziału w szkoleniu w dowolnym terminie proponowanym przez organizatora).
Do kogo skierowane jest szkolenie:
-
- Osób, które stawiają pierwsze kroki w obszarze bezpieczeństwa IT
- Managerów IT zainteresowanych bezpieczeństwem
- Pracowników działów IT, którzy chcą poszerzyć swoją wiedzę o bezpieczeństwie
- Administratorów bezpieczeństwa informacji (ABI)
- Osób odpowiedzialnych za wdrażanie polityk bezpieczeństwa oraz zabezpieczeń w organizacjach
Czego nauczysz się podczas szkolenia:
-
- Zapoznasz się z najważniejszymi pojęciami i mechanizmami bezpieczeństwa IT. Każdy temat ilustrowany jest przykładami z doświadczenia prowadzącego – często w formie pokazu „na żywo”
- Poznasz częste problemy bezpieczeństwa w systemach IT i nauczysz się jak do nich nie dopuścić we własnej firmie.
- Poznasz wybrane ataki na systemy IT oraz będziesz wiedział jak się przed nimi chronić.
- Będziesz mógł skonsultować się z prelegentem – na dowolny temat związany z bezpieczeństwem IT.
- Otrzymasz pakiet dokumentacji (przykładowa polityka bezpieczeństwa, przykładowy raport z audytu bezpieczeństwa, instrukcja reagowania na incydenty bezpieczeństwa, instrukcja korzystania ze stacji roboczych w kontekście bezpieczeństwa) – do wykorzystania bezpłatnie w Twojej firmie.
- Będziesz mógł zacząć analizować bezpieczeństwo swoich systemów – zaraz po odbyciu szkolenia.
Agenda:
Dzień 1.
Zamiast wstępu – pokaz na żywo przejęcia kamery CCTV.
-
- Wskazanie możliwych strategii ochrony
- Wskazanie lokalizowania tego typu urządzeń w infrastrukturach firm – z poziomu Internetu
- Dlaczego urządzenie IoT dostępne w Internecie może stanowić łatwe wejście do naszej sieci dla atakujących?
Podstawy rekonesansu infrastruktury IT
-
- Lokalizowanie podatnych urządzeń z poziomu Internetu
- Lokalizowanie “ukrytych” domen
- Narzędzia umożliwiające szybki ogląd usług / aktywnych urządzeń w publicznej infrastrukturze badanej firmy
W jaki sposób atakowane są firmy / użytkownicy – i jak temu zapobiec?
-
- Przegląd około dziesięciu aktualnych scenariuszów ataków; wskazanie zalecanych metod ochrony.
Jak ransomware dostaje się do firm?
-
- Przykłady realnych ataków
- Wybrane techniki ochrony przed ransomware
- Ciekawe dokumentacje
Elementy bezpieczeństwa informacji
-
- Poufność, Integralność, Dostępność, Rozliczalność + przykłady naruszeń.
- Zarządzanie ryzykiem – czyli sposób na racjonalne wydawanie środków na bezpieczeństwo
- Polityka bezpieczeństwa
- Prezentacja przykładowej polityki bezpieczeństwa
- Prezentacja przykładowej instrukcji korzystania ze stacji roboczej
- Ogólne zasady w bezpieczeństwie IT
- Defense in depth, Least privilege, Seperation of duties, Need to know.
- Audyt bezpieczeństwa oraz testy penetracyjne jako sposób na poprawę bezpieczeństwa w firmie
- Prezentacja przykładowego raportu
Wybrane zagadnienia bezpieczeństwa warstwy sieciowej
-
- Firewalle.
- Możliwość realizacji podsłuchu w sieciach LAN – przykład podsłuch rozmowy VoIP
- Systemy IDS – jako jeden z elementów monitoringu bezpieczeństwa sieci
- SSL/https – co zapewnia, a przed czym nie chroni
- Bezpieczeństwo sieci WiFi
- Ochrona Access Point / ochrona klienta.
- Tryby ochrony sieci: Open / WEP, WPA, WPA2
- Czym jest sieć klasy WPA2-Enterprise
- Jak zbudować bezpieczną sieć WiFi
Dzień 2.
Bezpieczeństwo aplikacji www
-
- Aplikacje jako obecna pięta achillesowa bezpieczeństwa
- Praktyczne omówienie kilku częstych błędów bezpieczeństwa w aplikacjach webowych
- W jaki sposób zabezpieczyć własną aplikację?
- Czego wymagać od dostawców aplikacji?
Wybrane problemy bezpieczeństwa w architekturze sieci
-
- Często występujące błędy konfiguracji – na podstawie realnych znalezisk (zostaną one zanonimizowane).
- Filtrowanie komunikacji, styk z Internetem, dostęp dla użytkowników.
Bezpieczeństwo infrastruktury mobilnej (telefony, tablety)
-
- Zagrożenia dla infrastruktury mobilnej
- Jak budować bezpieczną architekturę mobilną?
- W jaki sposób zwiększyć bezpieczeństwo smartfonów
- Gdzie poszukiwać dalszych dokumentacji?
Bezpieczeństwo systemów operacyjnych oraz elementów oprogramowania infrastruktury
-
- Usługi sieciowe, aktualizacje, system plików.
- Wybrane problemy w usługach: bazy danych, serwery aplikacyjne, serwery www, serwery DNS, …
- Gdzie szukać dokumentacji ułatwiających zwiększenie bezpieczeństwa systemów operacyjnych?
Bezpieczeństwo IoT
-
- Przykłady ataków z ostatnich lat
- Metody zabezpieczenia swoich urządzeń
- Narzędzia sprawdzające bezpieczeństwo własnych urządzeń
Przydatne informacje:
Szkolenie prowadzone jest w wersji zdalnej, według tego samego programu co szkolenia stacjonarne a instruktor jest do dyspozycji uczestników przez cały czas trwania szkolenia.
Szkolenie prowadzone w godzinach:
-
- Pierwszy dzień: 9:00 – 15:30
- Drugi dzień: 9:00 – 14:30
Do szkolenia w wersji zdalnej wymagany jest laptop z dowolnym systemem operacyjnym, z przeglądarką Firefox / Chrome, stabilny internet i słuchawki z mikrofonem.
Istnieje możliwość organizacji szkolenia w formie zamkniętej – dla zamkniętej grupy osób.
W przypadku zainteresowania tego typu szkoleniem prosimy o kontakt:
e-mail: szkolenia@securitum.pl, tel.: +48 516 824 029
Co zawiera cena szkolenia:
-
- Prezentację ze szkolenia w formie PDF
- Pakiet dokumentacji (format docx) do wykorzystania w swojej firmie. Przykładowa polityka bezpieczeństwa. Przykładowy standard zabezpieczania laptopa / PC.
- Przykładowa procedura reagowania na incydenty bezpieczeństwa.
- Certyfikat ukończenia szkolenia (PDF).
- Zapis filmowy szkolenia
O prowadzącym:
Michał Sajdak od przeszło 12 lat specjalizuje się w ofensywnym obszarze bezpieczeństwa IT, wykonał setki audytów bezpieczeństwa IT, przeszkolił dziesiątki tysięcy osób. Posiadacz certyfikatów: CISSP (Certified Information Systems Security Professional), CEH (Certified Ethical Hacker) oraz CTT+ (Certified Technical Trainer). Uznany prelegent na konferencjach branżowych: Mega Sekurak Hacking Party, PWNing, WTH, Confidence, Secure, SEMAFOR, Securitybsides, PLNOG, Infoshare, OWASP Day, oraz wielu innych. Pomysłodawca, redaktor główny oraz współautor bestsellerowej książki "Bezpieczeństwo aplikacji WWW". Założyciel i redaktor portalu sekurak.pl.
Opinie uczestników o szkoleniu:
Jasno wszystko wytłumaczone, nie czuję się jakby głowa mi miała wybuchnąć. Bardzo fajnie poprowadzone szkolenie i wszystko dobrze wytłumaczone.
Zawartość merytoryczna i sposób jej prezentacji, odpowiedzi na pytania na bieżąco bez nacisku na 'sztywne' trzymanie się agendy zgodnie ze slajdami (i jednocześnie oczywiście brak pominięcia jakiegokolwiek z zaplanowanych punktów szkolenia).
Dużo ciekawych przykładów + praktyczne aspekty i działanie na kodzie"live".
Przygotowanie techniczne/merytoryka/przekaz.
Przykłady bardzo rzeczowo rozpisane w rozdziały oraz tempo prowadzenia szkolenia. Publika brała czynny udział, nie zawsze stricte podążaliśmy za slide'ami.
Olbrzymi background wiedzy i przede wszystkim praktyki (osobiście podczas szkolenia przetestowałem praktycznie odzyskiwanie haseł md5, podatności starych wordpressów (własnych) na prezentowane rozwiązania, podatność własnego rutera na niektóre z exploitów pokazanych w szkoleniu oraz swoich serwisów podatnych na injection oraz wykonanie kodu) zmieniło to moje postrzeganie bezpieczeństwa globalnie.
Prowadzący, olbrzymia wiedza, dobrze i w przystępny sposób przekazana Wiedza.
Bezpieczeństwo IOT, phone spoofing, bezpieczeństwo aplikacji, nmap - w zasadzie wszystko było równo mocne.
Charyzmatyczny trener, którego przyjemnie się słucha.
Duża wiedza i ciekawy sposób opowiadania. Dla niego nie ma głupich pytań, na wszystkie odpowiada.
Super szkolenie, ogromna ilość użytecznej wiedzy podana bardzo przystępnie.
Trener jeden z najlepszych, którego dotąd spotkałem.
Przygotowany, konkretny i znający temat tak że super.
Wzorowo, pozytywna energia nie pozwalała uciekać myślami od tematu.
Bardzo dobrze, nie ma się do czego przyczepić, pełen profesjonalizm.
Szkolenie bardzo przyjemnie poprowadzone, w odpowiednim tempie i z wartościowymi odpowiedziami które wpływały na jego przebieg. Tematy wyjaśnione w zrozumiały sposób, masa informacji w krótkim czasie razem z przykładami.
Super! Człowiek z dużą wiedzą, ze skillami przemawiania do ludzi, wiedzący co pokazuje i o czym mówi.
Trener fajny, bo jak czegoś nie wiedział to mówił wprost, a nie "szył", co bardzo sobie cenie w ludziach.
Cieszę się, że szkolenie było w takiej formie, że możemy pisać swoje pytania, a nie przerywać w trakcie, będąc na wspólnym callu. Często na szkoleniach przeszkadza mi, jak zamiast trenera, mówią inni uczestnicy, niekoniecznie na temat :p