W październiku rusza coroczna akcja ECSM (Europejski Miesiąc Cyberbezpieczeństwa) czyli, ogólnoeuropejska kampania poświęcona cyberbezpieczeństwu. W ramach akcji sekurak/Securitum przygotowało sporo inicjatyw skierowanych zarówno do osób technicznych (IT) jak i wszystkich pracowników firm. 

Część wydarzeń dostępna jest w formie otwartej, a wszystkie także w formie zamkniętej (realizacja dla zamkniętych grup w Waszej firmie lub online). Jak zwykle u nas stawiamy na czystą merytorykę i praktykę. Chciałbyś podnieść świadomość swoich pracowników w dziedzinie cyberbezpieczeństwa lub po prostu jesteś ciekawy co dla Was szykujemy? Zapraszamy do lektury. W tym wpisie dowiesz się o naszych propozycjach szkoleniowych, konferencji MSHP oraz drugim tomie książki Wprowadzenie do bezpieczeństwa IT.

I. STARTUJEMY JUŻ WE WRZEŚNIU!

Cyber październik rozpoczynamy… 30 września ;-) mocnym akcentem, czyli konferencją Mega Sekurak Hacking Party. Zapraszamy wszystkich zainteresowanych tematyką cyberbezpieczeństwa. Gwarantujemy: trzy ścieżki merytoryczne: MAIN, INTRO (dla osób początkujących) oraz HACKING DEPOT, czyli pokazy hackingu „na żywo”! Dodatkowo w tym dniu będzie miała premiera drugiego tomu książki – Wprowadzenie do bezpieczeństwa IT.

Jeżeli chcesz posłuchać ciekawych, praktycznych i aktualnych prelekcji, porozmawiać z gwiazdami polskiej sceny ITsec, spotkać osoby o podobnych zainteresowaniach (lub odwiedzić stoiska partnerów) to MSHP jest właśnie dla Ciebie!

Więcej informacji o wydarzeniu (wraz z agendą) można znaleźć pod tym linkiem: www.hackingparty.pl 

II. CYBERAWARENESS OD SEKURAKA

W październiku szykujemy coś wyjątkowego dla firm (ale zapraszamy również osoby indywidualne!). Szkolenie „Cyberawareness od sekuraka. Specjalna edycja dla firm” to szkolenie (w językach polskim i angielskim), które kierowane jest do wszystkich nietechnicznych pracowników. Skupiamy się na angażującej formie (pokazy na żywo), aktualnych i rzeczywistych przykładach ataków, wskazujemy jednocześnie skuteczne metody ochrony przed cyberzagrożeniami. Wszystko to prowadzone przez trenera-praktyka, który od wielu lat na co dzień śledzi oraz opisuje aktualne cyberzagrożenia.

Dlaczego warto i co nas wyróżnia? 

Po zapisaniu się na szkolenie uczestnik ma do wyboru aż trzy terminy (9, 16 i 23 października) uczestnictwa! Mamy świadomość, że ciężko może być przeszkolić wszystkich pracowników w jednym terminie – dlatego dajemy do wyboru trzy dni (część pracowników może uczestniczyć jednego dnia, część drugiego, nie ma potrzeby deklarowania, kto będzie uczestniczył w którym dniu). Trzeci termin (23.10) to szkolenie, które odbędzie się w języku angielskim :-) 

Każdy uczestnik dostanie Pakiet utrwalania wiedzy (quiz wiedzowy, skrócona wersja prezentacji, one-pager szkoleniowy podsumowujący najważniejsze problemy omawiane na szkoleniu), a także Pakiet compliance – przydatny dla ew. audytu bezpieczeństwa / audytu UODO / przekazania kontrahentom (certyfikat potwierdzający realizację – dla firmy (PDF), certyfikaty uczestnictwa dla pracowników (PDF), liczbowe podsumowanie wyników quizu wiedzowego).

Po zakończeniu szkolenia uczestnicy otrzymają również certyfikaty uczestnictwa (pdf)

Czy Twoi pracownicy odporni są na proste tricki hackerskie? Czym jest ransomware / jak dostaje się do firm i jak się przed tym chronić? Czy da się w prosty sposób sklonować głos szefa? Jakie hasła nie są odporne na złamanie? Jak skutecznie zabezpieczyć Twoje konta w systemach firmowych/prywatnych? Jak sprawdzić czy link / dokument przesłany przez kontrahenta jest bezpieczny czy złośliwy? Czy włamania do kamer monitoringu to fikcja czy rzeczywistość? Jeśli takie pytania Cię intrygują i chciałbyś uodpornić Twoją firmę na cyber-ataki, to szkolenie jest właśnie dla Ciebie.

III. ZAMKNIĘTE SZKOLENIA DLA ORGANIZACJI I FIRM!

Przygotowaliśmy dziewięć propozycji szybkich, wypełnionych merytoryką i praktycznymi przykładami, szkoleń trwających od 2 do 3 godzin, które możemy przeprowadzić specjalnie dla Twojej firmy lub organizacji. 

Propozycje dla pracowników biurowych (nie jest wymagana wiedza z IT / z bezpieczeństwa IT)

• Skuteczny onboarding nowych pracowników
• Praktyczne szkolenie cyberawareness
• Praktyczne wprowadzenie do pracy z narzędziami AI
• Praktyczne szkolenie z OSINT: poszukiwanie informacji o osobach i firmach

Propozycje dla osób technicznych (programiści, testerzy, administratorzy, dział bezpieczeństwa IT, …)

• Praktyczne bezpieczeństwo aplikacji webowych
• Praktyczne bezpieczeństwo sieci
• Błyskawiczne wprowadzenie do bezpieczeństwa IT
• Testy phishingowe w Twojej firmie. Ćwiczenia z reagowania na incydent bezpieczeństwa IT

Do każdego szkolenia zapewniamy możliwość: 

• przeprowadzenia go w języku polskim lub angielskim
• potwierdzenia nabytej wiedzy poprzez udział w quizie końcowym, gdzie po jego zaliczeniu będzie można wygenerować certyfikat ukończenia szkolenia w formie PDF
• otrzymania materiałów szkoleniowych w formie PDF
• kontaktu z trenerem po szkoleniu

Poniżej znajdziecie szersze opisy oraz proponowane agendy szkoleń zamkniętych.

Propozycje dla pracowników biurowych (nie jest wymagana wiedza z IT / z bezpieczeństwa IT):

Skuteczny onboarding nowych pracowników

[1,5 godz.; pracownicy biurowi]

Szkolenie cyberawareness dla nowych pracowników w firmie. Sama praktyka i pokazy na żywo zagrożeń i metod detekcji oraz obrony, bez męczącej teorii. Materiał idealnie sprawdzi się jako szkolenie pokazowe dla osób które chcą podnieść swoją świadomość zagrożeń w firmie.

1. Wycieki danych
   1. Prezentacja metod działania hakerów i wydobywania wycieków
   2. Łamanie haseł do kont na żywo
   3. Prawidłowa konstrukcja hasła
   4. Managery haseł – jak używać
   5. Metody dodatkowe: 2FA i MFA
   6. Wskazanie metod pozatechnicznych (zastrzeżenia dokumentów, alerty)
2. Popularne ataki na firmy
   1. Prezentacja phishingu na żywo i na co zwrócić uwagę w korespondencji e-mail
   2. Prezentacja spoofingu SMS i smishingu
   3. Prezentacja vishingu – jak chronić się przed złośliwymi połączeniami telefonicznymi
   4. Prezentacja na żywo ataku homograficznego
   5. Prezentacja na żywo ataku BITB
   6. Prezentacja ataku deepfake opartego o syntetyzację głosu za pomocą technik AI
3. Niebezpieczeństwo publikacji dokumentów i poprawna cenzura
   1. Nieprawidłowe metody cenzurowania zdjęć i dokumentów – pokazy na żywo
   2. W jaki sposób prawidłowo cenzurować dokumenty
   3. Zagrożenia publikowania dokumentów
   4. Prezentacja metod działania hakerów i wydobywania dokumentów
4. Niebezpieczeństwo urządzeń
   1. Prezentacja zagrożenia opartego o magiczny kabel USB
   2. Prezentacja zagrożenia opartego o możliwość klonowania karty pracownika
   3. Prezentacja zagrożenia związanego z kodami QR oraz mandatami
   4. Prezentacja potencjalnych metod podsłuchu i detekcji

Praktyczne szkolenie cyberawareness

[2 godz; pracownicy biurowi]

Szkolenie praktyczne typu FAST TRACK. Sama praktyka i pokazy na żywo zagrożeń i metod detekcji oraz obrony, bez zbędnej teorii. Całe szkolenie dotyczy cyberzagrożeń i podnoszenia świadomości pracowników i jest przeznaczone dla osób które są nieco mniej techniczne, a chciałyby zobaczyć jak wyglądają prawdziwe ataki hakerskie na żywo. Szkolenie realizuje standardy związane ze spełnieniem wymagań szkoleń cyberawareness związanych z dyrektywą NIS2.

1. WYCIEKI DANYCH oraz HASŁA:
   1. jak sprawdzić czy moje dane wyciekły – pokaz praktyczny
   2. jak przestępcy łamią hasła – pokaz praktyczny
   3. manager haseł – pokaz praktyczny
   4. uwierzytelnianie dwuskładnikowe – pokaz praktyczny
   5. przykłady ataków na 2FA
   6. wykradanie haseł z przeglądarki – pokaz praktyczny
   7. podsumowanie modułu w postaci dobrych rad

2. ATAKI I METODY OBRONY:
   1. phishing e-mail – pokaz praktyczny
   2. phishing domeny – pokaz praktyczny
   3. atak homograficzny – pokaz praktyczny i metody obrony
   4. ataki w portalach społecznościowych i metody obrony
   5. smishing wiadomości SMS – pokaz praktyczny
   6. vishing – prezentacja metody na atak hakerski
   7. ataki zaawansowane
      1. metoda na rekrutację
      2. metoda na muła finansowego
      3. metoda na fałszywe inwestycje
      4. atak browser-in-the-browser
      5. spear-phishing
   8. podsumowanie w formie konkretnych rad metod obrony i detekcji

3. BEZPIECZEŃSTWO SPRZĘTU I PRACY ZDALNEJ
   1. wykorzystanie sprzętu prywatnego – zagrożenia
   2. niewłaściwe korzystanie ze sprzętu służbowego – dobre rady
   3. konsekwencje nieprawidłowego wykorzystania sprzętu
   4. higiena korzystania z sieci bezprzewodowych, także w roamingu
   5. ataki fizyczne:
      1. magiczny kabel – keylogger – pokaz na żywo
      2. flipper zero – pokaz na żywo
      3. niebezpieczny pendrive
      4. niebezpieczne kody QR
   6. higiena pracy zdalnej, w podróży i przebywania w hotelu
   7. metody zabezpieczeń na ataki fizyczne i “przez ramię”
   8. bezpieczny zdalny dostęp
   9. niebezpieczeństwa danych w chmurze
   10. formatowanie, usuwanie i szyfrowanie danych – pokazy praktyczne
   11. podsumowanie w formie konkretnych rad metod obrony i detekcji

Praktyczne wprowadzenie do pracy z narzędziami AI

[2 godz; grupa docelowa: pracownicy biurowi / osoby techniczne]

Sama praktyka i pokazy na żywo zagrożeń i metod detekcji oraz obrony, bez trudnej teorii dotyczącej AI. Całe szkolenie dotyczy cyberzagrożeń i bezpieczeństwa narzędzi sztucznej inteligencji. Materiał idealnie sprawdzi się dla deweloperów, administratorów narzędzi AI, którzy chcieliby w praktyce zobaczyć z jakimi zagrożeniami na co dzień mogą się mierzyć w swojej pracy. Szkolenie skierowane też jest dla pracowników biurowych, którzy mogą nie być świadomi zagrożeń codziennej pracy z modelami LLM.

1. Metody ataków wykorzystujące wątek AI
2. Ataki związane z metodami deep fake – pokazy na żywo
   1. syntetyzacja głosu
   2. syntetyzacja materiału wideo
   3. tworzenie fałszywej tożsamości i profilu
   4. tworzenie fake news
   5. Metody obrony związane z deep fake – pokazy na żywo
3. Ataki intencjonalne na modele ChatGPT-4o, Microsoft Copilot i Google Gemini
4. Zagrożenia danych służbowych w modelach LLM – wytyczne dla pracowników
5. Demonstracja wybranych zagrożeń w oparciu o listę projektu OWASP TOP10 LLM
   1. Atak jailbreakingu (tryb DAN)
   2. Atak oparty o prompt injection i wersja indirect
   3. Atak związany z insecure output handling
   4. Atak w oparciu o training data poisoning (evil fine-tuning)
   5. Atak model denial of service i wyciek danych
   6. Atak na łańcuch dostaw i halucynacje
6. Prawne aspekty cyberbezpieczeństwa w Polsce i Europie
7. Sesja Q&A

Praktyczne szkolenie z OSINT: poszukiwanie informacji o osobach i firmach

[3 godz; grupa docelowa: pracownicy biurowi / osoby techniczne]

Szkolenie to stanowi kompleksowy przewodnik po narzędziach i technikach związanych z pozyskiwaniem i analizą informacji w Internecie, zarówno w kontekście osób fizycznych, jak i przedsiębiorstw. Wszystko co potrzebujesz wiedzieć by rozpocząć przygodę z OSINT, przekazane w sposób praktyczny przez trenera.

1. Demonstracja narzędzi w celu poszukiwania informacji o osobach na podstawie:
   1. danych osobowych
   2. adresu e-mail, nicka
   3. numeru telefonu
   4. fotografii (plus techniczna analiza zdjęcia)
2. Demonstracja narzędzi w celu poszukiwania informacji o przedsiębiorstwie za pomocą:
   1. danych rejestrowych
   2. danych technologicznych (domeny, adresy IP, e-mail)
   3. danych historycznych
   4. danych udostępnionych 
3. Demonstracja narzędzi związanych z mapami i geolokalizacją:
   1. analizy map, cienia, położenia słońca oraz informacji dodatkowych
4. Demonstracja narzędzi automatyzujących i zbierających metadane:
   1. Prezentacja narzędzia Exiftool
   2. Prezentacja narzędzia FoCA
   3. Prezentacja narzędzia Maltego
   4. Prezentacja narzędzia Recon-NG
5. PERSEC – podstawy zachowania anonimowości w Internecie
   1. przykłady zgubnych skutków ujawniania swoich danych w Internecie
   2. podstawy zachowania anonimowości i bezpiecznej pracy w Internecie
   3. weryfikacja jakie nasze dane są dostępne dla każdego w Internecie
   4. ustawienia prywatności w serwisach społecznościowych
   5. używanie alertów dotyczących naszych danych
   6. bezpieczne zakupy w Internecie
6. OPSEC – podstawy bezpiecznej pracy w Internecie
   1. czy płacenie kryptowalutami jest na pewno anonimowe?
   2. oznaki świadczące o tym, że ktoś może śledzić na komputerze
   3. bezpieczne przesyłanie informacji drogą mailową
   4. profilowanie na podstawie opublikowanych zdjęć, dokumentów oraz innych elementów aktywności w sieci – jak go uniknąć
   5. kontrolowanie informacji udostępnionych w sieci
   6. techniki ukrywania prawdziwych informacji o sobie
   7. śledzenie śledzących nas osób

Propozycje dla osób technicznych (programiści, testerzy, administratorzy, dział bezpieczeństwa IT…)

W tej sekcji przeczytasz o szkoleniach:

• Praktyczne bezpieczeństwo aplikacji webowych
• Praktyczne bezpieczeństwo sieci
• Błyskawiczne wprowadzenie do bezpieczeństwa IT
• Testy phishingowe

Praktyczne bezpieczeństwo aplikacji webowych

[2 godz; osoby techniczne]

Szkolenie praktyczne typu FAST TRACK. Sama praktyka i pokazy na żywo zagrożeń i metod detekcji oraz obrony, bez zbędnej teorii. Całe szkolenie dotyczy cyberzagrożeń i bezpieczeństwa aplikacji webowych. Materiał idealnie sprawdzi się dla deweloperów, administratorów serwerów www, którzy chcieliby w praktyce zobaczyć z jakimi zagrożeniami na co dzień mogą się mierzyć w swojej pracy. Szkolenie to intensywny, praktyczny kurs skierowany do osób chcących pogłębić swoją wiedzę w dziedzinie cyberbezpieczeństwa, z naciskiem na techniki ofensywne. Uczestnicy szkolenia będą mieli okazję doświadczyć na żywo przeprowadzenia różnych typów ataków, z jednoczesnym omówieniem metod ich wykrywania i ochrony przed nimi. 

1. Atakowanie (pokazy na żywo)

• Przeprowadzenie ataku typu CVE exploit
• Przeprowadzenie ataku typu webshell RCE
• Przeprowadzenie ataku typu XSS i jego wariacji
• Przeprowadzenie ataku typu SQL Injection
• Przeprowadzenie ataku typu XXE
• Przeprowadzenie ataku typu Broken Authentication
• Przeprowadzenie ataku typu SSTI
• Przeprowadzenie złożonego ataku phishingowego
• Przeprowadzenie ataku typu directory traversal
• Przeprowadzenie ataku typu insecure deserialization
• Ataki i metody ochrony związane z agentami AI przez API

2. Analiza możliwości zabezpieczeń i reagowania na każdy z ww. ataków

Zapytaj o ofertę pisząc na adres: szkolenia@securitum.pl

Praktyczne bezpieczeństwo sieci

[2 godz; osoby techniczne]

Szkolenie praktyczne typu FAST TRACK. Sama praktyka i pokazy na żywo zagrożeń i metod detekcji oraz obrony, bez zbędnej teorii. Całe szkolenie dotyczy cyberzagrożeń i bezpieczeństwa sieci komputerowych. Materiał idealnie sprawdzi się dla deweloperów, administratorów serwerów, którzy chcieliby w praktyce zobaczyć z jakimi zagrożeniami na co dzień mogą się zmierzyć w swojej pracy. Szkolenie to zaawansowany, praktyczny kurs skierowany do specjalistów ds. bezpieczeństwa IT oraz entuzjastów cyberbezpieczeństwa. Uczestnicy będą mieli okazję obserwować i przeprowadzać na żywo różnorodne ataki cybernetyczne, z jednoczesnym omówieniem technik ochrony i reakcji na tego typu zagrożenia.

1. Atakowanie (pokazy na żywo)

• Przeprowadzenie ataku typu CVE exploit
• Przeprowadzenie ataku typu Remote Command Execution
• Przeprowadzenie ataku typu Directory Traversal
• Przeprowadzenie ataku typu ransomware (od phishingu, przez wyciek danych do przejęcia kontrolera domeny)
• Przeprowadzenie ataku typu MiTM i spoofing (np. ARP)
• Przeprowadzenie ataku WiFi Deauth i łamania hasła WPA2
• Łamanie haseł na żywo
• Przeprowadzenie ataku typu współczesny stealer (wykradanie haseł z przeglądarki, komputera)
• Zaburzanie komunikacji pakietów w sieci lokalnej
• Przeprowadzenie ataku Rogue DHCP i DHCP Starving
• Przeprowadzenie ataków na kontenery
• Ataki i metody ochrony związane z agentami AI przez API
• Łamanie zabezpieczeń systemu Windows Server i Windows 11 Pro

2. Analiza możliwości zabezpieczeń i reagowania na każdy z ww. ataków

Zapytaj o ofertę pisząc na adres: szkolenia@securitum.pl

Błyskawiczne wprowadzenie do bezpieczeństwa IT

[2 godz.; osoby techniczne]

Rekonesans i hackowanie serwera na żywo, praktyczny pokaz narzędzia nmap i podobnych, a także łamania haseł i ataków typu MiTM, a także różne sztuczki dotyczące testowania aplikacji webowych. Wszystko prezentowane na żywo. Wskazanie dokumentacji ułatwiających wdrożenie bezpieczeństwa w swojej firmie.

Zapytaj o ofertę pisząc na adres: szkolenia@securitum.pl

Testy phishingowe w Twojej firmie. Ćwiczenia z reagowania na incydent bezpieczeństwa IT

W trakcie testów uczestnicy będą mierzyć się z przygotowanym przez nas scenariuszem, a dotyczącym hipotetycznego ataku na infrastrukturę IT firmy.

Sprawdzimy:

* reakcje odpowiednich zespołów na incydent,

* dostępność odpowiednich procedur,

* skuteczność wykrywania problemu,

* skuteczność usunięcia problemu,

* komunikację pomiędzy zespołami,

* komunikację z mediami.

Przedstawimy Ci końcowy raport zawierający statystyki ilościowe “złapanych” pracowników oraz rekomendacje jak poprawić tę sytuację.

Zapytaj o ofertę pisząc na adres: szkolenia@securitum.pl

Jak widać szykuje się dość intensywny październik :-) Zachęcamy do kontaktu z nami. Chętnie udzielimy odpowiedzi na nurtujące Was pytania oraz przedstawimy więcej szczegółów. Jednego możecie być pewni. Z nami i naszymi trenerami, gwarantujemy 100% profesjonalizmu, aktualnych tematów i angażujących i ciekawych szkoleń. Nie nudzimy uczestników teorią!

To co? Widzimy się w październiku? :-)

~Łukasz Łopuszański