Szkolenie: HoneyINT – OSINT + Honeypoty jako system wczesnego wykrywania ataków

Cele szkolenia

Głównym celem tego szkolenia jest wyposażenie uczestników w zaawansowane umiejętności z zakresu białego wywiadu (OSINT) oraz aktywnej obrony z wykorzystaniem technologii honeypotów (HoneyINT). Uczestnicy nauczą się projektować, wdrażać i monitorować pułapki sieciowe, aby skutecznie wykrywać, analizować i opóźniać ataki cybernetyczne. Ważnym aspektem kursu jest również integracja informacji o atakujących z danymi z otwartych źródeł w celu precyzyjnego profilowania zagrożeń i zrozumienia taktyk przestępców. Szkolenie ma na celu przekształcenie biernej ochrony infrastruktury IT w proaktywną strategię defensywną, która znacząco zwiększy bezpieczeństwo organizacji. Ponadto kursanci zdobędą praktyczną wiedzę o tym, jak bezpiecznie wyciągać cenne wnioski wywiadowcze (Threat Intelligence) z interakcji intruzów z fałszywymi zasobami.

Grupa docelowa

Szkolenie jest przeznaczone dla osób, które:
• zarządzają serwerami i infrastrukturą (Linux / Windows / infrastruktura webowa / WordPress / chmura)
• analizują logi
• pracują jako DevSecOps / SysAdmin / specjalista Security
• odpowiadają za bezpieczeństwo aplikacji lub sieci
• chcą przejść z podejścia reaktywnego na wyprzedzające
• chcą zrozumieć realne techniki rekonesansu i wykrywania ataków

Efekty szkolenia

• Uczestnik potrafi zbudować mapę powierzchni ataku, która później będzie determinowała rozmieszczenie honeypotów.
• Uczestnik rozumie, co honeypot realnie wykrywa i potrafił(a) zaprojektować honeypoty na podstawie zebranych danych z OSINT, dopasowanie rozwiązanie do realnych wymagań infrastruktury i minimalizować szum i fałszywie pozytywne sygnały.
• Uczestnik potrafi rozpoznać automatyczne skanowanie i oddzielić je od realnego targetowania.
• Uczestnik potrafi korelować dane z OSINT i honeypotów w celu identyfikacji wzorców ataków, rozróżniać przypadkowy ruch od ukierunkowanej aktywności oraz określać moment wymagający reakcji operacyjnej.

Co otrzymasz?

• Materiały szkoleniowe.
• Szkolenie kończy się certyfikatem uczestnictwa.

Wymagania

• do udziału w szkoleniu wymagany jest komputer, na którym można uruchomić maszynę wirtualną lub dostęp do serwera VPS, na którym będzie można przygotować środowiska wg instrukcji i zainstalować honeypoty i narzędzia OSINT
• instancja WordPress (testowa)
• dostęp do wygenerowanych przez honeypoty i aplikacje logów (web / systemowych)

Zakres szkolenia

• Wprowadzenie i cele szkolenia
• Identyfikacja powierzchni ataku i analiza rekonesansu
• Projektowanie honeypotów w oparciu o dane OSINT
• Wykrywanie botów, skanowania i prób exploitacji
• Łączenie sygnałów i identyfikacja wzorców ataków
• Podsumowanie, pytania i dalsze kroki

Szczegółowy program szkolenia

Moduł 1: Wprowadzenie i cele szkolenia
Przedstawienie programu, celów i wartości szkolenia.

Moduł 2: Identyfikacja powierzchni ataku i analiza rekonesansu
Jak realnie wygląda rekonesans widziany „z zewnątrz”, jak go wykrywać oraz jak mapować powierzchnię ataku (attack surface) organizacji na podstawie danych publicznych.
• identyfikacja subdomen, usług i ekspozycji infrastruktury
• analiza technologii backend / CMS / frameworków
• wykrywanie śladów automatycznego skanowania

Przykładowe narzędzia: amass, theHarvester, Shodan , SpiderFoot, Recon-ng, Photon

Moduł 3: Projektowanie honeypotów w oparciu o dane OSINT
Ten moduł skupia się na budowie warstwy obserwacyjnej opartej na rzeczywistej powierzchni ataku, a nie losowych usługach.
• typy honeypotów i ich zastosowanie
• gdzie i jak je umieszczać w infrastrukturze
• jak nie ujawnić honeypota
• jakie dane są wartościowe, a jakie są szumem
• wzorce zachowań atakujących
• kiedy użycie honeypota traci sens

Przykładowe narzędzia: Cowrie, Dionaea, Honeytrap, Wordpot, OpenCanary

Moduł 4: Wykrywanie botów, skanowania i prób exploitacji
Moduł skupia się na jednym z najczęstszych wektorów ataku w internecie: WordPressie, a także na aplikacjach internetowych.
• najczęstsze ataki na WordPress
• honeypoty jako fałszywe punkty wejścia
• wykrywanie brute-force i botów
• analiza prób exploitacji pluginów i wersji CMS (RCE, upload plików, LFI)
• fingerprinting narzędzi atakujących
• których honeypotów na Wordpresie osobiście, a z których zrezygnowałam i dlaczego

Przykładowe narzędzia: Wordfence, WPScan, Fail2ban, ModSecurity, Nginx

Przykładowe testy honeypotów na WordPressie:
• fałszywe panele logowania /wp-admin
• fałszywe plugin endpoints
• atrapy endpointów REST API i stron uploadu plików

Moduł 5: Łączenie sygnałów i identyfikacja wzorców ataków
• przejście od danych do działania
• korelacja IP, user-agentów i fingerprintów
• połączenie OSINT + honeypoty + logi
• identyfikacja botnetów i narzędzi skanujących
• analiza timingów i sekwencji ataków
• budowa reguł detekcji
• priorytetyzacja zagrożeń, co ignorować, co eskalować
• wprowadzenie do automatyzacji reakcji

Przykładowe narzędzia: Elastic Stack (Elasticsearch, Kibana, Logstash), Wazuh – SIEM + HIDS, Grafana Loki, Graylog (wersja Open Source), Zeek

Moduł 6: Podsumowanie, pytania i dalsze kroki
Zebranie kluczowych wniosków, sesja Q&A oraz przekazanie materiałów dodatkowych i rekomendacji do dalszego rozwoju kompetencji w zakresie OSINT i honeypotów.

Autorką szkolenia jest Beata Zalewa

Architekt techniczna, od 2010 roku certyfikowana trenerka Microsoft (MCT) oraz założycielka firmy ZALNET z ponad 18-letnim stażem w branży IT. W mojej działalności edukacyjnej kładę szczególny nacisk na budowanie silnej odporności organizacji poprzez zaawansowane szkolenia z cyberbezpieczeństwa. Specjalizuję się w prowadzeniu nowatorskich zajęć z obszaru HoneyINT, stanowiących unikalne połączenie systemów wykrywania intruzów (honeypotów) oraz technik białego wywiadu (OSINT). Ważnym filarem mojej oferty jest także praktyczne testowanie modeli AI pod kątem podatności na ataki oraz bezpieczne wdrażanie rozwiązań opartych na sztucznej inteligencji. Dzięki łączeniu twardej wiedzy inżynieryjnej z unikalnym, humanistycznym podejściem potrafię w przystępny sposób zaangażować uczestników i skutecznie zmienić ich postawy wobec procedur IT. Więcej o mnie –>