Konkurs do rozdania wejściówki na szkolenie: “Co każdy z IT powinien wiedzieć o bezpieczeństwie aplikacji webowych?” – kto pierwszy ten lepszy, choć są warunki

Na początek trochę informacji o szkoleniu: Co każdy każdy admin/osoba z IT powinna wiedzieć o bezpieczeństwie aplikacji webowych? Tematyka kierowana jest do wszystkich osób zajmujących się szerokopojętym IT w firmach. Z jednej strony jest to temat bardzo ważny – obecnie bardzo dużo ataków na systemy IT odbywa się właśnie przez aplikacje webowe. Same aplikacje najczęściej są… dziurawe jak ser szwajcarski.

Z drugiej strony – wielu osobom ciężko jest “wejść” w temat. Nie wiedzą od czego zacząć, jakie problemy są tutaj ważne, jakie mniej istotne. Jakie wybrać narzędzia? Jak analizować logi po ew. włamaniu przez aplikację webową? Jak w rzeczywistości wyglądają realne ataki przez aplikacje? Czy WAF (Web Application Firewall) załatwia wszystkie problemy?

Tego typu wątpliwości będziemy rozwiewać na naszym nowym szkoleniu. Wszystko będzie tłumaczone od zera, w spokojnym tempie. Z drugiej strony mamy świadomość, że w obecnych czasach cieżko na szkolenie wygospodarować kilka czy nawet jeden pełny dzień. Stąd mocno skoncentrowana na konkretach / live demach formuła 5-godzinnego  szkolenia online.

Agenda

1. Przegląd aktualnych / świeżych podatności w panelach webowych urządzeń sieciowych. [ ~30 minut ]  

• Przykłady: SSL VPN, firewall, load balancer, system MDM (Mobile Devices Management) – omówienie na przykładzie wybranych urządzeń: Fortigate, Cisco ASA, F5 BIGIP, Sonicwall, Palo Alto
• W każdym omawianym przypadku – wskazanie istoty problemu
• Wskazanie zalecanych metod ochrony paneli webowych urządzeń

2. “Jesteśmy bezpieczni bo mamy SSL-a” – prawda czy fałsz?

• Obalenie popularnych mitów
• Przed czym HTTPS/TLS chroni a przed czym nie?
• Jak w 5 minut sprawdzić poprawność swojej konfiguracji (od strony Internetu oraz lokalnie) [ live demo ]
• Czy podatności w samym HTTPS/TLS mogą być groźne? [ live demo ]

3. Aplikacja webowa jako szeroka brama do naszej infrastruktury IT dla: ransomware / malware / koparek kryptowalut czy atakujących chcących wykraść nasze dane [ ~80 minut ]  

• Zdalny shell przez aplikację webową – to proste :(
  • Przegląd kilku aktualnych sposobów uzyskania dostępu na shell na systemie operacyjnym – przez aplikację webową [ kilka live demo ]
  • Wskazanie metod ochrony.
• W jaki sposób najczęściej wyciekają dane przez aplikacje webowe oraz… jak się ochronić przed takimi wyciekami? [ live demo ]
• W jaki sposób hardening systemu może ograniczyć skutki ataku bądź całkiem zniwelować atak?

4. Wykryłem atak na moją aplikację webową – co robić? [ ~40 minut ]

• Prezentacja pełnego przykładowego ataku [ live demo ]
• Analiza logów: systemu operacyjnego, web/application serwera pod kątem:
  • rekonesansu oraz samego ataku
  • aktywności backdoora / webshella
• Rekomendacje dalszych działań po ataku

5. Podstawy bezpiecznej architektury sieciowej aplikacji webowych [ ~15 minut ]

• Kilka realnych przykładów złych oraz dobrych praktyk

6. Web Application Firewall (WAF) – marketing czy skuteczna ochrona? [ ~20 minut ]

• Wyjaśnienie metod działania
• Wskazanie w jaki sposób WAF chroni przed realnym atakiem [ live demo ]
• Prezentacja kilku standardowych metod obejścia WAF-ów

1. Jeśli pracujesz w Polsce w firmie zatrudniającej > 500 osób, poproś swojego szefa żeby napisał krótkiego maila na adres: konkurs@securitum.pl, z powołaniem się na ten wpis.
2. Jeśli pracujesz za granicą (w firmie zatrudniającej > 200 osób) – wystarczy, że sam napiszesz z maila firmowego na adres: konkurs@securitum.pl
3. Deadline wysyłania zgłoszeń to godzina 23:59 w czwartek (29.10.2020r.)
4. Przewidujemy tylko jedną darmową wejściówkę per firma (w wyjątkowych sytuacjach dajemy dwie – jeśli mamy kontakt z niezależnych miejsc danej firmy) – kto pierwszy ten lepszy :-)

Jeśli ktoś chciałby się normalnie zapisać na szkolenie (warto również wysłać ten link do swojego działu HR: https://admin.sekurak.pl,) to polecamy się pospieszyć, jeszcze około 2.5 tygodnia dostępna jest cena early bird (tj. 299 PLN netto, zamiast 499 PLN netto + VAT).

Zachęcamy też na zerknięcie na nasze inne, nowe szkolenia.

• Recon Master #1
• Recon Master #2

–ms