Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Konkurs do rozdania wejściówki na szkolenie: „Co każdy z IT powinien wiedzieć o bezpieczeństwie aplikacji webowych?” – kto pierwszy ten lepszy, choć są warunki
Na początek trochę informacji o szkoleniu: Co każdy każdy admin/osoba z IT powinna wiedzieć o bezpieczeństwie aplikacji webowych? Tematyka kierowana jest do wszystkich osób zajmujących się szerokopojętym IT w firmach. Z jednej strony jest to temat bardzo ważny – obecnie bardzo dużo ataków na systemy IT odbywa się właśnie przez aplikacje webowe. Same aplikacje najczęściej są… dziurawe jak ser szwajcarski.
Z drugiej strony – wielu osobom ciężko jest „wejść” w temat. Nie wiedzą od czego zacząć, jakie problemy są tutaj ważne, jakie mniej istotne. Jakie wybrać narzędzia? Jak analizować logi po ew. włamaniu przez aplikację webową? Jak w rzeczywistości wyglądają realne ataki przez aplikacje? Czy WAF (Web Application Firewall) załatwia wszystkie problemy?
Tego typu wątpliwości będziemy rozwiewać na naszym nowym szkoleniu. Wszystko będzie tłumaczone od zera, w spokojnym tempie. Z drugiej strony mamy świadomość, że w obecnych czasach cieżko na szkolenie wygospodarować kilka czy nawet jeden pełny dzień. Stąd mocno skoncentrowana na konkretach / live demach formuła 5-godzinnego szkolenia online.
Agenda
1. Przegląd aktualnych / świeżych podatności w panelach webowych urządzeń sieciowych. [ ~30 minut ]
- Przykłady: SSL VPN, firewall, load balancer, system MDM (Mobile Devices Management) – omówienie na przykładzie wybranych urządzeń: Fortigate, Cisco ASA, F5 BIGIP, Sonicwall, Palo Alto
- W każdym omawianym przypadku – wskazanie istoty problemu
- Wskazanie zalecanych metod ochrony paneli webowych urządzeń
2. „Jesteśmy bezpieczni bo mamy SSL-a” – prawda czy fałsz?
- Obalenie popularnych mitów
- Przed czym HTTPS/TLS chroni a przed czym nie?
- Jak w 5 minut sprawdzić poprawność swojej konfiguracji (od strony Internetu oraz lokalnie) [ live demo ]
- Czy podatności w samym HTTPS/TLS mogą być groźne? [ live demo ]
3. Aplikacja webowa jako szeroka brama do naszej infrastruktury IT dla: ransomware / malware / koparek kryptowalut czy atakujących chcących wykraść nasze dane [ ~80 minut ]
- Zdalny shell przez aplikację webową – to proste :(
- Przegląd kilku aktualnych sposobów uzyskania dostępu na shell na systemie operacyjnym – przez aplikację webową [ kilka live demo ]
- Wskazanie metod ochrony.
- W jaki sposób najczęściej wyciekają dane przez aplikacje webowe oraz… jak się ochronić przed takimi wyciekami? [ live demo ]
- W jaki sposób hardening systemu może ograniczyć skutki ataku bądź całkiem zniwelować atak?
4. Wykryłem atak na moją aplikację webową – co robić? [ ~40 minut ]
- Prezentacja pełnego przykładowego ataku [ live demo ]
- Analiza logów: systemu operacyjnego, web/application serwera pod kątem:
- rekonesansu oraz samego ataku
- aktywności backdoora / webshella
- Rekomendacje dalszych działań po ataku
5. Podstawy bezpiecznej architektury sieciowej aplikacji webowych [ ~15 minut ]
- Kilka realnych przykładów złych oraz dobrych praktyk
6. Web Application Firewall (WAF) – marketing czy skuteczna ochrona? [ ~20 minut ]
- Wyjaśnienie metod działania
- Wskazanie w jaki sposób WAF chroni przed realnym atakiem [ live demo ]
- Prezentacja kilku standardowych metod obejścia WAF-ów
- Jeśli pracujesz w Polsce w firmie zatrudniającej > 500 osób, poproś swojego szefa żeby napisał krótkiego maila na adres: konkurs@securitum.pl, z powołaniem się na ten wpis.
- Jeśli pracujesz za granicą (w firmie zatrudniającej > 200 osób) – wystarczy, że sam napiszesz z maila firmowego na adres: konkurs@securitum.pl
- Deadline wysyłania zgłoszeń to godzina 23:59 w czwartek (29.10.2020r.)
- Przewidujemy tylko jedną darmową wejściówkę per firma (w wyjątkowych sytuacjach dajemy dwie – jeśli mamy kontakt z niezależnych miejsc danej firmy) – kto pierwszy ten lepszy :-)
Jeśli ktoś chciałby się normalnie zapisać na szkolenie (warto również wysłać ten link do swojego działu HR: https://admin.sekurak.pl,) to polecamy się pospieszyć, jeszcze około 2.5 tygodnia dostępna jest cena early bird (tj. 299 PLN netto, zamiast 499 PLN netto + VAT).
Zachęcamy też na zerknięcie na nasze inne, nowe szkolenia.
–ms
1. Te wejściówki, to będą losowane? Dużo ich jest? Czy każdy dostanie, kto tylko namówi szefa?
2. Czy musi to być szef wszystkich szefów, czy starczy szef aj-ti? Główny jest dla mnie niedostępny.
Nie losowane – każdy może dostać (1, max 2 per firma), ale trzeba załapać się na warunki (firma > 500) + wysłać info max do końca czwartku :)
no dobra ale jak pracuje na b2b to serio mam meczyc szefa za granica zeby cos takiego pyknol ? nie moge ze sluzbowki wyslac ?
@sekurak
2. A z szefem, to jak jest? Najwyższy siedzi na chmurze nad Olimpem, poza moim zasięgiem. Z resztą, nic nie wyśle, bo przecież mu wszystko działa. Czy może być szef informatyków?