Dobra wiadomość dla wszystkich osób odpowiedzialnych za bezpieczeństwo (lub wdrażanie zasad bezpieczeństwa) w firmach, administratorów systemów, pracowników działów IT czy po prostu wszystkich zainteresowanych tematyką IT security 😊
Wiosną wracamy z jedną z najwyżej ocenianych przez Was w ubiegłym roku serii szkoleń – „SECURITUM NET EXPERT”.
„SECURITUM NET EXPERT” to pakiet dwóch szkoleń (w sumie 5 dni), które możecie teraz dostać w super cenie (3599 złotych netto zamiast 5049 zł netto). Obejmuje dwa moduły/szkolenia:
Moduł I – szkolenie Bezpieczeństwo sieci/testy penetracyjne – 3 dni szkoleniowe – dostępny w następujących terminach do wyboru: 13-15.03.2024r. lub 21-23.05.2024r.
Moduł II – szkolenie Zaawansowane bezpieczeństwo sieci – 2 dni szkoleniowe – dostępny w następujących terminach do wyboru: 27-28.03.2024r. lub 04-05.06.2024r.
To prawdopodobnie najbardziej praktyczne i kompleksowe szkolenie tego typu na rynku.
DLACZEGO WARTO ZAPISAĆ SIĘ NA „SECURITUM NET EXPERT”?
Pakiet szkoleń to łącznie 5 dni praktycznej, warsztatowej i kompleksowej wiedzy, dzięki której zyskacie konkretne narzędzia do codziennej pracy.
Szkolenia prowadzone są przez doświadczonych ekspertów/praktyków w swoich dziedzinach.
Przy zakupie pakietu oszczędzacie 1450 złotych netto.
Podczas szkolenia otrzymacie dostęp do dedykowanej platformy szkoleniowej i laboratorium sieciowego, służącego do nauki przedstawionych zagadnień.
Otrzymacie certyfikaty uczestnictwa w szkoleniach (w języku polskim i angielskim).
JAKĄ WIEDZĘ WYNIESIECIE ZE SZKOLEŃ?
Podczas modułu I, czyli szkolenia Bezpieczeństwo sieci/testy penetracyjne (trwającego 3 dni) poznacie metody ochrony sieci przed zagrożeniami, nauczycie się, jak przeprowadzać testy penetracyjne, a także zaznajomicie się z podstawami zasad bezpieczeństwa aplikacji webowych.
Moduł II, tj. Zaawansowane bezpieczeństwo sieci, trwa 2 dni, podczas których z kolei opanujecie techniki wykorzystywane do zdobywania dostępu do zasobów sieciowych organizacji, zapoznacie się z najnowszymi atakami i błędami, które w ostatnich miesiącach narażały bezpieczeństwo organizacji. Poznacie także podstawowe techniki przeprowadzania testów bezpieczeństwa aplikacji mobilnych na platformę Android i iOS, zwiększycie swoją wiedzę na temat popularnych błędów w środowiskach związanych z wirtualizacją (Docker) i chmurowych. Na koniec zaś samodzielnie przeprowadzicie audyt bezpieczeństwa wewnętrznej infrastruktury sieciowej, z wykorzystaniem opisanych technik.
Wszystko to pod okiem doświadczonej ekipy praktyków z Securitum, którzy mają wieloletnie doświadczenie w administrowaniu i audytowaniu systemów sieciowych. Stawiamy na konkretne (z życia wzięte) przykłady. Nie przynudzamy teorią 😊
Uczestnicy mają możliwość samodzielnego przeprowadzenia opisanych technik w żywym środowisku symulującym organizację, specjalnie utworzonym do niniejszych szkoleń.
Szkolenia prowadzone są obecnie w wersji zdalnej. Do uczestnictwa wymagane są: komputer z dowolnym systemem operacyjnym i maszyną wirtualną Kali Linux, przeglądarką Firefox/Chrome, a także stabilne połączenie internetowe. Warto również zaopatrzyć się w słuchawki z mikrofonem.
AGENDA
Dwa szkolenia, które łącznie trwają pięć dni, to potężna dawka praktycznej wiedzy. Nie przynudzamy teorią, a pokazujemy konkretne przykłady. Poniżej znajdziecie szczegółowe agendy tych dwóch wydarzeń.
Bezpieczeństwo sieci/testy penetracyjne
Wstęp – elementy bezpieczeństwa informacji
Elementy wchodzące tradycyjnie w zakres bezpieczeństwa informacji
Biznesowe podejście do kwestii związanych z bezpieczeństwem IT (wstęp do analizy ryzyka)
Testy penetracyjne – jako metoda testowania bezpieczeństwa sieci
Przydatne metodologie i dokumentacje (OSSTMM, ISSAF, CIS, NIST, OWASP Testing Guide i inne)
Etapy prowadzenia testów penetracyjnych
Przykładowy raport (ok. 10-stronicowy) ze zrealizowanych testów penetracyjnych
Przykładowy harmonogram testów penetracyjnych
Modyfikacja komunikacji sieciowej
Przechwytywanie dowolnych pakietów, ich modyfikacja oraz retransmisja (oprogramowanie scapy)
Realizacja przykładowego testu penetracyjnego w LAB-ie
Rozpoznanie celu
Wykorzystanie kilku podatności
Objęcie testem aplikacji/elementów sieciowych
Finalnie – uzyskanie uprawnień administratora na docelowym systemie
Zaawansowane bezpieczeństwo sieci
Zamiast wstępu – pokaz na żywo ataku na urządzenie sieciowe, które… ma zapewnić bezpieczeństwo w firmie (!)
Praktyczny przegląd aktualnych/ciekawych podatności infrastrukturze IT
Log4Shell – najgłośniejszy błąd ostatnich lat, czyli podatność w bibliotece Log4j. Na czym polega. Jak wyszukiwać i wykorzystywać podatność – przykład na żywo. Wyszukiwanie podatnej biblioteki we własnej infrastrukturze
Błędy w aplikacjach webowych jako pierwszy punkt wejścia do infrastruktury organizacji. Przykłady (na żywo) automatycznego i manualnego wykorzystywania krytycznych błędów w aktualnych aplikacjach
Aplikacje do zarządzania danymi, a może: aplikacje do zdalnego dostępu do komputera?
Pokaz ataku na infrastrukturę IT. Praktyczne demo, jak hackerzy przejmują organizację – od słabego punktu w infrastrukturze publicznej lub phishingu do kontroli nad całą organizacją
Podstawy rekonesansu w sieci wewnętrznej – przypomnienie
Problemy z eskalacją uprawnień
Pivoting w sieci
Windows AD, czyli często główny (i czasami łatwy!) cel hackerów. Omówienie podstaw AD. Omówienie popularnych ataków i narzędzi
Skuteczność antywirusów w organizacji. Jak hackerzy instalują malware na komputerze, pomimo włączonych zabezpieczeń? Praktyczne przykłady sposobów omijania antywirusów
Wstęp do C&C. Jak hackerzy zarządzają dostępem do dziesiątek maszyn i ukrywają na nich swoją obecność?
Wybrane zagadnienia bezpieczeństwa aplikacji mobilnych
Omijanie zabezpieczeń aplikacji mobilnej
Analiza komunikacji sieciowej
Funkcjonalności w aplikacjach mobilnych, w których szczególnie warto szukać podatności
Bezpieczeństwo Dockera. Jak korzystać z tego środowiska w sposób bezpieczny. Realne błędy
Podstawy Dockera
Podstawy bezpiecznej konfiguracji środowiska dockerowego
Przykład – eskalacja uprawnień i wykonanie komend na niepoprawnie zabezpieczonym środowisku Dockera
Wybrane zagadnienia bezpieczeństwa Cloud
Praktyczny test bezpieczeństwa – samodzielne wyszukiwanie podatności w infrastrukturze sieciowej
Podsumowanie szkolenia. Możliwość samodzielnego przetestowania zdobytej wiedzy poprzez przeprowadzenie własnego pentestu infrastruktury sieciowej, z wykorzystaniem opisanych technik
KTO PROWADZI SZKOLENIA?
Szkolenie prowadzą doświadczeni audytorzy/pentesterzy z Securitum, mający także praktyczne doświadczenie w administrowaniu systemami. To szkoleniowcy z talentem do przekazywania wiedzy, pasjonaci tematu, których w poprzednich edycjach oceniliście 5/5!
Maciej Szymczak jest konsultantem ds. bezpieczeństwa IT w firmie Securitum. Eks-admin, ponaddziesięcioletnie doświadczenie zbierał już od szkoły średniej, realizując zlecenia jako freelancer. Od patchcordu po BGP, od Gentoo ze stage1 po Ansible na tysiącach serwerów… a od 2017 roku oficjalnie jako pentester i szkoleniowiec w Securitum. Pasjonat bezpieczeństwa informacji z zacięciem do przekazywania wiedzy. Prowadzi szkolenia z bezpieczeństwa aplikacji webowych, bezpieczeństwa sieci, przygotowania do certyfikacji CEH oraz wykłady Cyber Awareness dla tych mniej świadomych 😉. Prelegent na Mega Sekurak Hacking Party.
Marek Rzepecki to pasjonat tematyki cyberbezpieczeństwa. Od blisko pięciu lat konsultant ds. bezpieczeństwa w Securitum. Zrealizował ponad 250 niezależnych audytów bezpieczeństwa aplikacji webowych i mobilnych, infrastruktur sieciowych oraz ataków DDoS dla polskich oraz zagranicznych firm. Prowadzi szkolenia na temat bezpieczeństwa sieci, aplikacji mobilnych, aplikacji webowych oraz Cyber Awareness. Autor rozdziałów poświęconych bezpieczeństwu aplikacji mobilnych w publikacji Wprowadzenie do bezpieczeństwa IT wydanej przez Securitum Wydawnictwo. Prelegent na konferencjach branżowych: Confidence, oraz Mega Sekurak Hacking Party.
OPINIE O SZKOLENIACH Z SERII „SECURITUM NET EXPERT”
Praktyczne zaprezentowanie omawianych zagadnień. Wiedza prezentowana przez szkolącego również na bardzo wysokim poziomie, wszechstronna w temacie bezpieczeństwa.
Przykłady zastosowania narzędzi – ciekawostki z doświadczenia prowadzącego.
[co było najciekawsze] Aktywne ataki przeprowadzane przez każdego z uczestników.
Najwyższa ocena, gigantyczna wiedza teoretyczna i praktyczna – imponująca.
Duża ilość LAB-ów, przejrzyste tłumaczenie zagadnień oraz pomoc prowadzącego w rozwiązywaniu problemów.
Gigantyczna wiedza, zarówno merytoryczna, jak i praktyczna, prowadzącego. Znakomita komunikatywność, łatwość przekazywania wiedzy.
[trener] Super! Szacunek za cierpliwość!
[trener] Bardzo mocny merytorycznie, duża cierpliwość dla „zielonych”.
[trener] wyśmienicie, ogromna wiedza, świetny głos do prowadzenia szkoleń, 10/10
Poruszenie szerokiej tematyki (nie musisz znać narzędzia na pamięć, po prostu wiedz, że ono istnieje i do czego mniej więcej go używać).
Wędka zamiast ryby (zadania polegające na samodzielnym doczytaniu manuala trenowanego narzędzia).
Notatnik – wszystko pod ręką.
Dużym plusem była ilość wspomnianych dodatkowych źródeł informacji (stron, narzędzi, baz skryptów), tak darmowych, jak i komercyjnych.
Myślałem, że szkolenie skupi się głównie na pentenstach aplikacji webowych, a tu miła niespodzianka. Wszystko było równie ciekawe.
Końcowy pentest wykorzystujący całą wiedzę, fajna sprawa.
Zadania i sposób ich zorganizowania (SSH do VMki), szybki feedback, czas na wykonanie zadań odpowiedni, udostępnione notatki, prowadzący z dużą wiedzą i chęcią dzielenia się nią.
No, chciałoby się głębiej wchodzić w każdy temat, ale oczywiście do tego są osobne szkolenia. Szkolenie budzi głód wiedzy 😉.
[trener] Bardzo dobrze – wie, o czym mówi, robi to ciekawie i nie przynudza, a nawet brzmienie jego głosu jest idealne, radiowe, można by rzec 😉.
Maciek ma bardzo dużą wiedzę z omawianego zakresu, wykłada ją w sposób ciekawy i niejednokrotnie bardzo zabawny 🙂.
UWAGA! Można oczywiście zapisać się na każde z dwóch szkoleń w serii „SECURITUM NET EXPERT” osobno, tj.: