Temat: bezpieczeństwo sieci - szkolenie

Witam

Po kilku iteracjach opracowałem nową edycję szkolenia/warsztatów z bezpieczeństwa sieci i zwracam się do Was z prośbą o komentarze / uwagi do agendy:

http://www.securitum.pl/oferta/szkolenia/bezpieczenstw...

W założeniu szkolenie ma być vendor independent i pokazywać elementy rzeczy, które jest ciężko znaleźć na tego typu szkoleniach...

pozdr
ms

Temat: bezpieczeństwo sieci - szkolenie

Mam kilka, komentarzy oczywiście subiektywnych - nie chcę, żeby zabrzmiało to jak jakieś wymądrzanie, ale czytając agendę szkolenia, bez obrazy - nic lepszego o tym nie napiszę...

Atak man-in-the-middle... - Mała jest szansa na próbę dokonywania ataków MitM w jakiejkolwiek organizacji i jakoś nie słyszy się o choćby rzadkich włamaniach z zastosowaniem MitM... Dodatkowo - zgodzicie się pewnie ze mną-, że ataki MitM są najłatwiejsze do pokazania a najtrudniejsze do przeprowadzenia (chodzi mi oczywiście o to żeby wleźć do firmy i wpiąć się w siec wewnętrzną ;>) - więc na co to komu...

"Wykonasz przechwycenie i modyfikację (niemal) dowolnej komunikacji sieciowej."
// Jeżeli mamy do czynienia z Administratorem Bezpieczeństwa lub // analogicznie kimś od sieci to punkt jest chyba zbędny, bo po co // tłumaczyć ludziom, którzy umieją robić takie rzeczy jeszcze raz // to samo.
// No chyba nie po to żeby zrobić czasozapychankę?!

* Elementy wchodzące tradycyjnie w zakres bezpieczeństwa informacji.
* Biznesowe podejście do kwestii związanych z bezpieczeństwem IT (wstęp do analizy ryzyka).
* Elementy infrastruktury IT narażone na utratę bezpieczeństwa.

// To można ;> "wygooglować", jak zresztą wszystko inne ;> ;>

# Urządzenia sieciowe.
# Ramka Ethernet, Protokół IP, Protokół TCP/UDP

// a tego uczą już w ogólniaku o profilu informatycznym, nie wspominając o studiach

#Warsztaty: wykorzystanie oprogramowania nmap do skanowania #urządzenia sieciowego

// Ciekawe ilu administratorów nie umie używać nmapa?

#ustawienie wrogiego serwera DHCP oraz wykonanie ataku klasy #man-in-the middle na serwis www chroniony protokołem HTTPS

//Czasami myślę, że pokazywanie takich rzeczy to strojenie sobie //żartów z ludzi, którzy przychodzą na takie szkolenia

#brute force hasła dostępowego dla IPsec
// ciekawe co to za hasło ;>

#Warsztaty: wykorzystanie oprogramowania wireshark do analizy #komunikacji zebranej podczas wcześniejszych etapów szkolenia

// Niestety nie znam osoby administrującej siecią nie umiejącej
// zdiagnozować ruchu w swojej sieci

Powiem szczerze, że zaproponowaną grupę docelową czyli:
# Administratorzy sieci i systemów.
# Pracownicy działów bezpieczeństwa.
# Osoby zainteresowane bezpieczeństwem sieciowym.
# Osoby odpowiedzialne za monitoring bezpieczeństwa w firmie.
# Osoby techniczne odpowiedzialny za rekomendacje wyboru ochrony sieciowej w przedsiębiorstwie.

zamieniłbym na powiedzmy... hm:
Bardzo początkujących administratorów systemów sieciowych/bezpieczeństwa bez doświadczenia.

Cena szkolenia wynosi 2750 PLN netto
// za 3-dniowe szkolenie, biorąc pod uwagę przygotowanie środowiska i upust ;> może być

Ciekawe byłoby - powiedzmy:
Bierzemy fachowca i opracowywujemy RExploita na usługę/aplikację od początku do końca ;>

(bo wtedy tłumaczy się odbiorcy jak to działa, dlaczego to działa i z czym możemy mieć do czynienia - nawet jeśli ktoś nie bedzie umiał napisać exploita)

Pokazujemy jak działa i jak stosować shatter-attack ;>

Proces tworzenia koni trojański czy zasady użycia downloaderów,

Pokazujemy jak działają ataki typu DDoS i jak sobie z nimi radzić na żywo ;> a co ;> - laba można przygotować...

Osobiście nie zdecydowałbym się na 3 dni szkolenia o takiej tematyce ale we każdym razie życzę Wam zainteresowania, bo trzeba włożyc trochę pracy, żeby takie coś przygotować

Aha na koniec - trochę się to szkolenie nie trzyma kupy - to sql injection to badanie ruchu to konfigurowanie firewalli to Cross-Site-Scripting, tworzenie reguł na IPS'ach - to już lepiej zrobić 3-dniowe warsztaty z obsługi i konfiguracji powiedzmy Snorta i skupić się na jednym temacie a nie robić taki groch z kapustą (...)

Temat: bezpieczeństwo sieci - szkolenie

Daniel Starczewski:
Mam kilka, komentarzy oczywiście subiektywnych - nie chcę, żeby zabrzmiało to jak jakieś wymądrzanie, ale czytając agendę szkolenia, bez obrazy - nic lepszego o tym nie napiszę...

Dzięki za poświęcony czas :-)

Rzeczywiście - szkolenie nie jest zdecydowanie przeznaczone dla osób które juz n-ty rok piszą exploity czy w dosłownie dwie minuty potrafią napisać fuzzer protokołu ISAKMP czy innego bardziej zaawansowanego niż ICMP ;-) Ani dla tych, którzy z marszu podają stosowne w postaci heksadecymalnej --ip-options do nmapa.

Choć może i tacy mogą się dowiedzieć ze szkolenia w jaki sposób mogą być skompromitowani via SQL injection?

No a jeśli chodzi chodzi o średnią / praktyczną wiedzę adminów / pracowników dep. bezpieczeństwa - to mam nieco inne doświadczenia.

Raczej się po prostu świetnymi sieciowcami, albo świetnymi specami od bezpieczeństwa. Obie role połączone - takich szukać ze świeczką...

To nie jest jakieś top szkolenie z zaawansowanego hakingu. Czy ostatnich krzyków mody z ataków na systemy.

Raczej stanowi pewną próbę wyjścia do rynku z tego typu wiedzą. Bo chyba tego typu szkolenia w PL jeszcze nie ma? A może jest i jesteś w stanie polecić?

ms

Temat: bezpieczeństwo sieci - szkolenie

Rozumiem, po prostu pisałem, że to moja subiektywna ocena ;> kierowana tym co ja chciałbym zobaczyć na takim szkoleniu... Pomyślałem sobie pod tym kątem - jak można być np. administratorem systemów bezpieczeństwa i nie znać nmapa czy nie wiedzieć jak wygląda ramka protokołu IP...

Myślę, że szkolenia z bezpieczeństwa to fajna sprawa (mówisz o wejściu na rynek) - a zastanów się nad szkoleniem pracowników firm (zwykłych ludzi nie znających się na informatyce) w sensie uświadamiania ich apropos zagrożeń związanych z cyber-zagrożeniami... Uważam, że świadomość i zdrowy rozsądek użytkownika to podstawa i często gdyby miał pojęcie o podstawowych kwestiach oszczędziłby np. ludziom zajmującym się bezpieczeństwem IT wiele, wiele zachodu... Mało kto interesuje się takimi odbiorcami. Wszędzie, jak sam wiesz oferty szkoleń dotyczą informatyków, ja na miejscu twojej firmy pomyślałbym o grupie odbiorców niezwiązanych z IT, bo tutaj po pierwsze rynek jest o wiele bardziej chłonny niż w odniesieniu do ludzi z "branży", no i jest to innowacyjne podejście do tematu...
PZDR

Temat: bezpieczeństwo sieci - szkolenie

Daniel Starczewski:
Rozumiem, po prostu pisałem, że to moja subiektywna ocena ;> kierowana tym co ja chciałbym zobaczyć na takim szkoleniu...

OK. Jak piszesz niżej - jakieś zaawansowane szkolenia z hackingu
to niemal tylko na blackhat / wybrane szkolenia SANS. Ale to już w cenie ~ 1500 USD / dzień - a z dojazdem / jedzeniem to już mamy jakieś 10kpln za 2-3 dniowe szkolenie.

A w PL nie ma po prostu rynku na to.

Pomyślałem sobie pod tym kątem - jak można być np. administratorem systemów bezpieczeństwa i nie znać nmapa czy nie wiedzieć jak wygląda ramka protokołu IP...

Pamiętaj że tzw. operational security to tylko malutka część ogólnego information security. Polecam też zerknąć na sąsiedzką grupę ABI: http://www.goldenline.pl/grupa/abi/

I jakiś ABI może się równie dobrze "oburzyć", że admin unixa nie zna ustawy o ochronie danych osobowych...bo zazwyczaj nie zna.

Zresztą nawet IMO większość technicznych adminów nie zna więcej niż 3-4 uruchomień nmapa. I to takich prostych - np. poprawne uruchomienie pełnego UDP skanu.

Inna sprawa - nmap to może raptem 1/30 takiego szkolenia i po prostu nie wypada o nim nie powiedzieć.

Co do innych rzeczy - w zeszłym tygodniu prowadziłem to szkolenie, dla sporej grupy doświadczonych adminów i m.in. w ankietach poszkoleniowych miałem uwagę, że za mało było o protokołach ethernet/IP/TCP

Myślę, że szkolenia z bezpieczeństwa to fajna sprawa (mówisz o wejściu na rynek) - a zastanów się nad szkoleniem pracowników firm (zwykłych ludzi nie znających się na informatyce) w sensie uświadamiania ich apropos zagrożeń związanych z cyber-zagrożeniami... Uważam, że świadomość i zdrowy rozsądek użytkownika to podstawa i często gdyby miał pojęcie o podstawowych kwestiach oszczędziłby np. ludziom zajmującym się bezpieczeństwem IT wiele, wiele zachodu... Mało kto interesuje się takimi odbiorcami. Wszędzie, jak sam wiesz oferty szkoleń dotyczą informatyków, ja na miejscu twojej firmy pomyślałbym o grupie odbiorców niezwiązanych z IT, bo tutaj

po

pierwsze rynek jest o wiele bardziej chłonny niż w odniesieniu do ludzi z "branży", no i jest to innowacyjne podejście do tematu...

Czy z tą chłonnością masz jakieś konkretne dane czy tak strzelasz? ;-)

IMHO trochę trudno byłoby przekonać management o takiej potrzebie. Tj wypuszczenia ludzi na tego typu szkolenie.

Temat: bezpieczeństwo sieci - szkolenie

Michał Sajdak:

Daniel Starczewski:
Rozumiem, po prostu pisałem, że to moja subiektywna ocena ;> kierowana tym co ja chciałbym zobaczyć na takim szkoleniu...

OK. Jak piszesz niżej - jakieś zaawansowane szkolenia z hackingu
to niemal tylko na blackhat / wybrane szkolenia SANS. Ale to już w cenie ~ 1500 USD / dzień - a z dojazdem / jedzeniem to już mamy jakieś 10kpln za 2-3 dniowe szkolenie.

A w PL nie ma po prostu rynku na to.

Podejrzewam, że wiesz lepiej. Ale to tak jak mówić o zarobkach w Polsce w branży IT i porównywać je do Zachodniej Europy czy US.
Chętni by się pewnie znaleźli ale pracodawcy chcą jak najwięcej jak najmniejszym kosztem. Firmy rzadko (nie mówię o sektorze publicznym ;>) więc wysyłają swoich ludzi na szkolenia, a jeśli już - to taki ABI wybierze coś co jest rozpoznawalne albo niezbędne w jego pracy... Czyż nie?! ;>;>

I jakiś ABI może się równie dobrze "oburzyć", że admin unixa nie zna ustawy o ochronie danych osobowych...bo zazwyczaj nie zna.

Bo powiedzmy sobie szczerze admin Unixa'a takich rzeczy znać nie musi a ABI czy po prostu Oficerowie Bezpieczeństwa danej organizacji są od pilnowania tego żeby procedury były przestrzegane i zgodne z prawem.

Zresztą nawet IMO większość technicznych adminów nie zna więcej niż 3-4 uruchomień nmapa. I to takich prostych - np. poprawne uruchomienie pełnego UDP skanu.

Inna sprawa - nmap to może raptem 1/30 takiego szkolenia i po prostu nie wypada o nim nie powiedzieć.

Fakt nie wypada nie powiedzieć ;>... Ale -> man map, i nawet laik zrozumie o co chodzi ;>

Co do innych rzeczy - w zeszłym tygodniu prowadziłem to szkolenie, dla sporej grupy doświadczonych adminów i m.in. w ankietach poszkoleniowych miałem uwagę, że za mało było o protokołach ethernet/IP/TCP

A niby o czym tu opowiadać? O opakowywania ramek innymi protokołami z grupy np. IPSec'a? To już na inne szkolenia się nadaje... (wyobrażam sobie, że w tym punkcie mówisz jak zbudowany jest protokół i jakie informacje zawierają jego części)

Myślę, że szkolenia z bezpieczeństwa to fajna sprawa (mówisz o wejściu na rynek) - a zastanów się nad szkoleniem pracowników firm (zwykłych ludzi nie znających się na informatyce) w sensie uświadamiania ich apropos zagrożeń związanych z cyber-zagrożeniami... Uważam, że świadomość i zdrowy rozsądek użytkownika to podstawa i często gdyby miał pojęcie o podstawowych kwestiach oszczędziłby np. ludziom zajmującym się bezpieczeństwem IT wiele, wiele zachodu... Mało kto interesuje się takimi odbiorcami. Wszędzie, jak sam wiesz oferty szkoleń dotyczą informatyków, ja na miejscu twojej firmy pomyślałbym o grupie odbiorców niezwiązanych z IT, bo tutaj

po

pierwsze rynek jest o wiele bardziej chłonny niż w odniesieniu do ludzi z "branży", no i jest to innowacyjne podejście do tematu...

Czy z tą chłonnością masz jakieś konkretne dane czy tak strzelasz? ;-)

Doskonale wiesz, że nie prowadzę badań z marketingu więc pytanie jest retoryczne. Mówię o swoich spostrzeżeniach i doświadczeniach, Goethe powiedział kiedyś, że:
"doświadczenie jest mistrzynią życia"

IMHO trochę trudno byłoby przekonać management o takiej potrzebie. Tj wypuszczenia ludzi na tego typu szkolenie.

;> To kwestia zaradności i myślę, że przy sprzedaży produktu reklama to 70% sukcesu, więc wystarczy to dobrze przedstawić (większa świadomość = mniejsze ryzyko, punkt dla firmy przy kontroli audytowej itd.) i da się sprzedać wszystko nawet gumowe wykałaczki ;>

Temat: bezpieczeństwo sieci - szkolenie

Daniel Starczewski:
Myślę, że szkolenia z bezpieczeństwa to fajna sprawa (mówisz o wejściu na rynek) - a zastanów się nad szkoleniem pracowników firm (zwykłych ludzi nie znających się na informatyce) w sensie uświadamiania ich apropos zagrożeń związanych z cyber-zagrożeniami... Uważam, że świadomość i zdrowy rozsądek użytkownika to podstawa i często gdyby miał pojęcie o podstawowych kwestiach oszczędziłby np. ludziom zajmującym się bezpieczeństwem IT wiele, wiele zachodu...

Jeśli masz pracowników, którym chciałbyś podnieść poziom świadomości na temat bezpieczeństwa, to wyślij ich na szkolenie do mnie. W moim programie szkoleń koncentruje się na czynnikach ludzkich i problemach wynikających z naszego człowieczeństwa.

Podobnie jak znajomość technik używanych w reklamach nie zwiększa istotnie odporności na działania marketingowe, podobnie umiejętność realizowania ataków może nie wpływać na umiejętność reagowania na nie. Jednak każde szkolenie, w którym dowiemy się czegoś nowego, może pośrednio przyczynić się do pozytywnej reakcji w sytuacji włamania.

Temat: bezpieczeństwo sieci - szkolenie

Bo powiedzmy sobie szczerze admin Unixa'a takich rzeczy znać nie musi a ABI czy po prostu Oficerowie Bezpieczeństwa danej organizacji są od pilnowania tego żeby procedury były przestrzegane i zgodne z prawem.

To kwestia dyskusyjna. Jeśli na serwerze przetwarzane są dane osobowe - to vide ustawa o ochronie danych osobowych czy tak naprawdę odpowiednie rozporządzenie. Tam są wskazane również odpowiednie środki *techniczne* które dany system musi spełnić.

Nie wyobrażam sobie takiego admina, który nic nie wie o tematyce ochrony danych osobowych w firmie, jeśli administruje tej klasy systemem.

Fakt nie wypada nie powiedzieć ;>... Ale -> man map, i nawet laik zrozumie o co chodzi ;>

Trywializujesz. Nie na darmo sam autor nmapa opublikował w tym roku niemal 500 stronicową książkę właśnie o nmapie:

http://www.amazon.com/Nmap-Network-Scanning-Official-D...

poza praktyką bazuję na pewnych ciekawych technikach opisanych m.in. właśnie tam.

A niby o czym tu opowiadać? O opakowywania ramek innymi protokołami z grupy np. IPSec'a? To już na inne szkolenia się nadaje... (wyobrażam sobie, że w tym punkcie mówisz jak zbudowany jest protokół i jakie informacje zawierają jego części)

Można to zrobić ciekawiej, np. przechwycić daną komunikację ethernet/IP/UDP/TCP i ją modyfikować - przy okazji analizując co ciekawsze pola i co ciekawszą komunikację. A przy okazji stworzyć fuzzer dla protokołu. I wszystko w b. krótkim czasie i to przez osobę która w życiu nie napisała programu w C.

A co z tego może wynikać? Pierwszy lepszy przykład: ile adminów w PL słyszało o czymś takim jak etherleak?

Zerknij też na prezentacje z BH, którą linkowałem wcześniej:
http://www.goldenline.pl/forum/bezpieczenstwo-it-ihack...

Czy z tą chłonnością masz jakieś konkretne dane czy tak strzelasz? ;-)

Doskonale wiesz, że nie prowadzę badań z marketingu więc pytanie jest retoryczne. Mówię o swoich spostrzeżeniach i doświadczeniach,

badania marketingowe to nie jest dla mnie sensowne źródło wiedzy.
no a właśnie z konkretnych doświadczeń wynika konkretna wiedza - i o nią pytam :-)

Temat: bezpieczeństwo sieci - szkolenie

Michał Sajdak:

Fakt nie wypada nie powiedzieć ;>... Ale -> man map, i nawet laik zrozumie o co chodzi ;>

Trywializujesz. Nie na darmo sam autor nmapa opublikował w tym roku niemal 500 stronicową książkę właśnie o nmapie:

http://www.amazon.com/Nmap-Network-Scanning-Official-D...

poza praktyką bazuję na pewnych ciekawych technikach opisanych m.in. właśnie tam.

Niby wystarczy man nmap, ale przedtem trzeba wiedzieć jak tcp/udp/ip dziala zeby te przełączniki do czegoś wykorzystać ;]

Temat: bezpieczeństwo sieci - szkolenie

Daniel Starczewski:
Myślę, że szkolenia z bezpieczeństwa to fajna sprawa (mówisz o wejściu na rynek) - a zastanów się nad szkoleniem pracowników firm (zwykłych ludzi nie znających się na informatyce) w sensie uświadamiania ich apropos zagrożeń związanych z cyber-zagrożeniami... Uważam, że świadomość i zdrowy rozsądek użytkownika to podstawa i często gdyby miał pojęcie o podstawowych kwestiach oszczędziłby np. ludziom zajmującym się bezpieczeństwem IT wiele, wiele zachodu... Mało kto interesuje się takimi odbiorcami. Wszędzie, jak sam wiesz oferty szkoleń dotyczą informatyków, ja na miejscu twojej firmy pomyślałbym o grupie odbiorców niezwiązanych z IT, bo tutaj po pierwsze rynek jest o wiele bardziej chłonny niż w odniesieniu do ludzi z "branży", no i jest to innowacyjne podejście do tematu...

Jakby ktos był zainteresowany, to kilka mcy temu odpaliliśmy projekt http://securityawareness.pl czyli szkolenia z bezpieczenstwa dedykowane zwyklym uzytkownikom komputerow w firmie.