Poziom zaawansowania:
Prowadzący: Artur Czyż, Michał Wnękowicz, Michał Sajdak

Szkolenie podnoszące świadomość bezpieczeństwa IT dla nietechnicznych pracowników biurowych. Modułowa forma pozwala kształtować agendę pod rzeczywiste potrzeby pracowników.

Kurs dostępny w dwóch formach:

  • gotowego filmu
  • szkolenia z trenerem – prowadzonego zdalnie

 

 

O szkoleniu

Kurs dla pracowników biurowych (nietechnicznych), który zapewnia odpowiednie przeszkolenie przekładające się na poprawę świadomości bezpieczeństwa teleinformatycznego i umiejętności reagowania na zagrożenia.

Materiał dopracowany jest w taki sposób, aby osoba z opanowaną podstawową obsługą komputera mogła spojrzeć na daną sytuację lub wydarzenie z perspektywy atakującego i dzięki temu uchronić siebie i firmę przed atakiem.

Szkolenie dostępne w formie modułów, z których można złożyć agendę dopasowaną tematycznie do potrzeb firmy nie obciążając przy tym budżetu szkoleniowego.

Przegląd dostępnych modułów szkoleniowych (w nawiasie podano szacunkowy czas trwania)

1. Przegląd ostatnich głośnych ataków na firmy / pracowników – case studies [~30 minut]

  • Ataki na „dopłatę” do aukcji / przesyłki – skutkujące wyczyszczeniem całego konta
  • Podszywanie się pod znane w organizacji osoby (email, telefon)
  • Jak przestępcy wysyłają fałszywe faktury, powodując wysyłkę pieniędzy na własne konta?
  • „Niewidzialny” atak na konta w serwisach społecznościowych / pocztę – poprzez powiązanie aplikacji z naszym kontem.

2. Podstawy zabezpieczenia domowej sieci WiFi [~30 minut]

  • Jak szybko zwiększyć bezpieczeństwo swojego routera WiFi ?
  • Dlaczego nie warto podłączać się do sieci otwartych?
  • Pokaz na żywo podstawowej konfiguracji domowego routera WiFi
  • Pokaz na żywo łamania hasła do słabo zabezpieczonej sieci bezprzewodowej

3. Możliwe symptomy infekcji komputera oraz jak reagować na takie sytuacje? [~30 minut]

  • Przykłady fałszywych alarmów (będących de facto atakami).
  • Infekcja ransomware
  • Infekcja koparką kryptowalut
  • Wybrane alerty wyświetlane przez antywirus – które mogą być istotne a które nie?

4. Sprzęt prywatny a sprzęt firmowy – na co warto zwrócić uwagę w kontekście bezpieczeństwa? [~30 minut]

  • Instalacja oprogramowania – na co warto zwrócić uwagę
  • Poczta elektroniczna
  • Praca z informacjami firmowymi
  • Bezpieczne usuwanie danych z komputera prywatnego
  • Podstawy szyfrowania danych

5. Wycieki danych [~30 minut]

  • Jak sprawdzić czy dane mojego konta wyciekło i jeśli tak – co robić?
  • Jak minimalizować skutki wycieku danych?
  • Czym realnie grozi wyciek danych?
  • Dostałeś maila z informacją że Twoje hasło wyciekło – czy jest się czego obawiać?

6. Pakiet biurowy i (nie)bezpieczne dokumenty  [~30 minut]

  • Bezpieczna konfiguracja pakietu,
  • Złośliwe makra – co to jest / jak się chronić / przykłady ataków wykorzystujących makra
  • Kradzież danych logowania i inne potencjalne ataki
  • Case study – jak instalacja fałszywego dodatku do Office 365 spowodowała ciężko wykrywalny wyciek danych

7. Wygodna praca z hasłami [~45 minut]

  • Praktyczna nauka korzystania z managerów haseł
  • Tworzenie łatwych do zapamiętania, ale trudnych do złamania haseł
  • Pokaz na żywo łamania słabego hasła
  • Praktyczny pokaz korzystania z mechanizmów dwuczynnikowego uwierzytelnienienia (2FA)

8. Dane osobowe / RODO – to nie tylko procedury – przegląd największych, aktualnych zagrożeń dla danych oraz metody zmniejszania ryzyka [~45 minut]

  • Przegląd technik rekonesansu sieciowego, który umożliwia łatwe namierzenie publicznie dostępnych poufnych danych w infrastrukturze naszej firmy
  • Jak najczęściej dochodzi do wycieków danych? Kilka case studies.
  • Usuwanie danych. Czy zwykłe usunięcie danych wystarcza? Formatowanie pendrive lekarstwem na sensowne pozbycie się danych osobowych?
  • Czy wysyłanie danych osobowych pocztą elektroniczną  jest bezpieczne?
  • Pokaz ataku klasy SQL injection, który bez znajomości żadnego konta może umożliwić pełen dostęp do naszej bazy danych zawierających dane osobowe.

9. Podstawy bezpiecznego korzystania ze smartfona Android oraz iOS [~45 minut]

  • Przykłady głośnych ataków na telefony
  • Pegasus oraz exploity 0days – czy jest się czego obawiać?
  • Czym jest SIM Swap, mogący skutkować wyczyszczeniem całego konta bankowego? Jak się przed nim chronić?
  • Czy łatwo jest się podszyć pod dowolny numer GSM?
  • Aktualizacje
  • Szyfrowanie danych na smartfonie
  • Konfiguracja poczty na smartfonie
  • Korzystanie z szyfrowanej poczty na smartfonie
  • Korzystanie z sieci WiFi
  • Instalacja appek – na co warto zwrócić uwagę?
  • Czy warto używać antywirusa na smartfona?
  • Rootowanie telefonu – czym jest, czy warto realizować, jakie zagrożenie dla bezpieczeństwa stwarza?

10. Bezpieczne korzystanie z poczty elektronicznej  [~45 minut]

  • Pokaz na żywo: jak w łatwy sposób zorganizować sobie szyfrowaną pocztę (end2end)
  • Podstawowa weryfikacja bezpieczeństwa konfiguracji programu pocztowego
  • Poczta prywatna a bezpieczeństwo

11. Podstawowe zasady bezpieczeństwa pracy na komputerze [~30 minut]

  • Czy warto zakrywać kamerę?
  • Szybkie / automatyczne blokowanie komputera
  • Zasady higieny instalacji zewnętrznego oprogramowania
  • Drukowanie / skanowanie dokumentów w domu – co może pójść nie tak z bezpieczeństwem?

12. „Zielone kłódki” w przeglądarkach internetowych. Czy przed czymkolwiek chronią? [~30 minut]

  • Podstawy zabezpieczenia „kłódką”/https przy korzystaniu z aplikacji webowych?
  • Czy możliwa jest sytuacja że mam w przeglądarce „kłódkę”, a przestępca i tak widzi dane które przesyłam?
  • Przed jakimi atakami https chroni, a przed jakimi nie (live demo)

13. Szyfrowanie / przechowywanie danych  [~30 minut]

  • Pokaz na żywo: jak łatwo zaszyfrować dane na pendrive / komputerze ?
  • Pokaz na żywo: czy można odzyskać dane ze ‚sformatowanego pendrive’ ?
  • Czy zwykłe usuwanie plików (również kosza) tak naprawdę usuwa jego zawartość?

14. Wprowadzenie do bezpieczeństwa dla wyższej kadry zarządzającej – Top 5 zagrożeń o których aktualnie warto wiedzieć  [~60 minut]

  • Wycieki danych – jak do nich dochodzi, jak zmniejszyć ryzyko skutecznego ataku?
  • Nowoczesny ransomware – zmiana sposobu działania napastników. Co zrobić by zmniejszyć ryzyko ataku?
  • Szyfrowanie danych na komputerach / nośnikach przenośnych
  • Podstawy ataków socjotechnicznych – przegląd kilku realnych scenariuszy
  • Zagrożenia wynikające ze świadomego / nieświadomego naruszania zasad bezpieczeństwa przez pracowników. Kilka prostych kroków zmniejszenia ryzyka.

15. Ochrona przed atakami socjotechnicznymi [~90 minut]

  • Wprowadzenie do ataków socjotechnicznych
    omówienie podstaw psychologicznych stojących za socjotechniką, zwiększenie świadomości użytkowników przez analizę najnowszych realnych ataków
  • Pozyskiwanie danych o użytkownikach
    jak przestępcy poszukują danych na temat firmy i użytkowników, oraz jak łatwo sprofilować ofiarę za pomocą informacji udostępnianych w Internecie.
  • Ataki socjotechniczne za pomocą telefonu
    w jaki sposób są przeprowadzane ataki na pracowników firm za pomocą telefonu i chwili rozmowy? Jak podszyć się pod dowolny numer telefonu? Realne scenariusze z doświadczenia trenera oraz uczulenie użytkowników na potrzebę każdorazowego weryfikowania rozmówcy
  • Podstawy ochrony przed złośliwym oprogramowaniem
    na co zwracać uwagę podczas uruchamiania plików pobranych z Internetu? Czy antywirus zawsze nam pomoże? Ile wiedzy potrzeba by stworzyć niebezpieczny program i przeprowadzić atak na użytkowników?
  • Ataki phishingowe
    Tego typu ataki są aktualnie u szczytu swojej popularności, według statystyk średnio co 20 sekund w Internecie tworzona jest strona mająca na celu oszukiwanie użytkowników. Przedstawimy najpopularniejsze metody atakowania użytkowników, realne niebezpieczne maile tworzone przez przestępców oraz metody obrony przed nimi.

Temat który chciałbyś omówić

    • Jesteśmy w stanie przygotować dedykowany materiał precyzyjnie odpowiadający Twoim potrzebom z zakresu edukacji w obszarze bezpieczeństwa IT. Napisz do nas – a możemy do powyższych modułów dołączyć część odpowiadającą Twoim potrzebom 🙂

Grupa docelowa

  • Nietechniczni pracownicy biurowi

Pozostałe informacje

Szkolenie dostępne jest w dwóch formach:

  • gotowego filmu (hostowanego na naszej platformie lub w Twoim intranecie)
  • zdalnego szkolenia z trenerami (możliwość interakcji na chacie lub za pomocą kanału audio/video)

Do szkolenia w wersji zdalnej wymagany jest laptop z dowolnym systemem operacyjnym, stabilny internet i słuchawki z mikrofonem dla każdego uczestnika.

W celu przedstawienia naszej oferty prosimy o kontakt:

szkolenia@securitum.pl, tel.: (12) 36 13 337

Formularz zgłoszeniowy

Wypełnij formularz, aby zapisać się na szkolenie.

Prowadzący: Artur Czyż, Michał Wnękowicz, Michał Sajdak

  • Artur Czyż jest konsultantem d/s bezpieczeństwa IT w firmie Securitum,
  • Przeszkolił kilka tysięcy osób (szkolenia otwarte oraz zamknięte) w dziedzinie bezpieczeństwa IT.
  • Posiada zgłoszone podatności bezpieczeństwa, m.in. IBM InfoSphere (CVE-2016-0250 / CVE-2016-0280) oraz Swagger UI (CVE-2016-7559 and CVE-2016-7918).
  • Prelegent na konferencjach: Mega SHP (2019), Sekurak Awareness Party (2019), SHP (2018), Confidence (2019, 2018), PLNOG (2018), Advanced Threat Summit (2014).
  • Autor w serwisie sekurak.pl oraz w magazynie Programista.
  • Posiadacz certyfikatu OSCP
  • Michał Wnękowicz jest konsultantem d/s bezpieczeństwa oraz Security Research Manager dla research.securitum.com.
  • Człowiek wielu pasji i zainteresowań, z których aktualnie najwięcej czasu poświęca na cyberbezpieczeństwo.
  • Na co dzień realizuje testy bezpieczeństwa w Securitum, jest również autorem artykułów na Sekurak.pl (m.in. serii o Rekonesansie).
  • Prelegent na konferencjach MEGA SHP (2019), Sekurak Awareness Party (2019), PLNOG 21.
  • Prowadzi szkolenia z zakresu Cyber Awareness oraz wykłady z wielu różnych dziedzin bezpieczeństwa.
  • Michał Sajdak – twórca portalu sekurak.pl, założyciel Securitum.
  • Autor badań bezpieczeństwa opisywanych na polskich oraz zagranicznych serwisach (slashdotthe registerheise online,  security.nl,..)
  • Prowadzi techniczne szkolenia z obszaru bezpieczeństwa IT , w Polsce i za granicą. W ostatnich 10 latach przeszkolił tysiące osób, głównie programistów, administratorów sieci i pen- testerów, dzieląc się swoją wiedzą i doświadczeniem z bezpieczeństwa sieci, aplikacji WWW, API REST.
  • Hobbystycznie bada bezpieczeństwo urządzeń IoT.
  • Prelegent na konferencjach: Mega SHP (2019), Secure, Confidence, SEMAFOR, WTH, Securitybsides, SEConference, SecCon, OWASP@Krakow, AIESEC, TestingCup, Security Case Study, KraQA, WrotQA