Agenda - Incident Busters 2024
WŚRÓD PIERWSZYCH PREZENTACJI:
Tradycyjne podejście do obsługi incydentów zazwyczaj jest podejściem biernym lub reaktywnym. Oczekiwanie na incydent celem faktycznej reakcji bez wcześniejszego przygotowania jest jak wyjście na ring bokserski bez wiedzy o przeciwniku, ustalonej strategii i ciężkiego treningu.
Dzisiejszy krajobraz zagrożeń zdecydowanie wymaga podejścia proaktywnego uwzględniając emulacje ataków, Threat Hunting oraz ciągłą i praktyczną analizę pokrycia detekcji na wielu różnych powiązanych ze sobą warstwach (sieć, host/endpoint, aplikacja/API, Runtime Security, skanowanie pod kątem podatności, SBOM czy też okresowa analiza pamięci RAM).
Aktywni obrońcy potrafią lepiej rozpoznawać taktyki, techniki i procedury znane jako TTP używane w działaniach ofensywnych. Aktywny obrońca to specjalista, który stara się zrozumieć mentalność atakującego i wykorzystuje praktyczną wiedzę ofensywną, aby skuteczniej wykrywać zagrożenia i szybciej reagować na incydenty.
W ramach wykładu przedstawione zostanie podejście "Active Defense" pozwalające na zrozumienie skuteczności istniejących, a także potencjalnych nowych możliwości stosu detekcyjno-prewencyjnego dla systemów Linux oraz usprawnianie cyklu reagowania na zagrożenia, analizy praktycznej ataków i podatności oraz uczenia się na ich podstawie zapewniając lepsze wykrywanie i zapobieganie.
Jak powiedział Sun Tzu: "Aby poznać swojego wroga, musisz stać się swoim wrogiem."
Wykład o charakterze praktycznym z dużą ilością przykładów reguł OSquery/Elastic, próbek SecureProbes, artefaktów Velociraptor, pluginów Volatility Framework oraz scenariuszy PurpleLabs w bezpośrednim starciu z technikami ofensywnymi dla środowiska Linux.
ICS4ICS to zaprojektowany przez Global Cybersecurity Alliance (GCA) International Society of Automation (ISA) przy współpracy z Cybersecurity and Infrastructure Security Agency (CISA), model zarządzania incydentami cyberbezpieczeństwa przemysłowego. Zapewnia on kompleksowe i interoperacyjne zasad reagowania na wszystkie możliwe zdarzenia niepożądane – fizyczne i cybernetyczne, jakie mogą dotknąć infrastrukturę krytyczną, zgodnie z wytycznymi Federal Emergency Management Agency (FEMA). Ponad 30 lat doświadczeń w zarządzaniu kryzysowym to solidny fundament funkcjonalnosci i skuteczności. Prezentacja będzie krótkim wprowadzeniem do modelu ICS4ICS wraz z wyjaśnieniem jak zarzadzanie incydentami cyberbezpieczeństwa można wpisać w całościowe zarządzanie kryzysem w procesach przemysłowych, bo przecież mówimy tu o incydencie, który zawsze ma fizyczne skutki, często bardzo tragiczne.
Automatyzacja daje nam czas wolny na wykrywanie prawdziwych zagrożeń, które nigdy nie przychodzą, nowoczesna technologia niesamowitą widoczność, która nigdy nie jest nam potrzebna, zewnętrzni konsultanci rady, których nigdy nie akceptujemy, a organy polityczne standardy, których nigdy nie dokumentujemy. Zamiast tego, my operatorzy stosujemy różne metody walki z zagrożeniami, i niezależnie od starań, zawsze jesteśmy winni incydentom, włamaniom czy wypadkom. Autor przedstawi wysoce skuteczne techniki, taktyki i procedury interakcji z wewnętrznymi i zewnętrznymi cyber zagrożeniami, a także nie cyber zagrożeniami płynącymi z organizacji którą operatorzy bronią.
W świecie pogoni i współzawodnictwa akurat CyberBezpieczeństwo zyskuje na współpracy. Przedstawimy jak korzystając z wielobarwności bezpieczeństwa łączymy Red i Blue w Purple w BNP Paribas Bank Polska. Nie tylko jednocząc się podczas odpowiedzi na incydent, ale niwelując zagrożenie zmaterializowania incydentu współpracując na co dzień. Współpraca na bazie konkretnego przykładu, aby jak najlepiej odnieść się do rzeczywistości.
Co dzieje się, kiedy zarząd, mimo straszenia, edukacji i ostrzegania, jak mantrę powtarza „Przecież działa od 10 lat, nic się nigdy nie stało, nie potrzebujemy zbędnych wydatków”? Ile kosztuje ignorancja? O tym, jak zaniechania w obszarze IT wpłynęły na wizerunek firmy, jakie przyniosły straty oraz ile złych emocji, frustracji, zmęczenia i poświęcenia kosztowało ratowanie sytuacji, boleśnie przekonał się nasz wieloletni klient. Opowiemy o ataku ransomware, który okazał się drogą lekcją, przedstawiając problem od strony technicznej, biznesowej i ludzkiej. Pokażemy też, jak stosując konkretne rozwiązania, można było ataku uniknąć lub zmniejszyć jego impakt. Na koniec spróbujemy podsumować, ile to wszystko kosztowało – czasu, kaw i pieniędzy.
Zgłoszenie Incydentu a Obsługa Incydentu - Studium Przypadku, kiedy to Ty wiesz co się stało, a Hosting czy CSIRT nie.... Celem prezentacji jest własne dochodzenie i próba pokazania, jak ważny jest opis ticketu albo jak źle pokazywać się dowody. To co wydaje się "botem", okazuje się działaniami zbieżne z atakami APT.
Nie zabraknie tutaj trochę OSINTU i znajomości, których nie ujawnię nikomu, bo dobre źródła należy umieć weryfikować.
Duże modele językowe, takie jak GPT, zrewolucjonizowały interakcje między maszynami a ludźmi, oferując zaawansowane możliwości generowania tekstu. Jednak ich skłonność do produkowania halucynacji, czyli generowania nieprawdziwych lub błędnych informacji, stanowi istotne wyzwanie dla ich wiarygodności i praktycznego zastosowania. Prezentacja ta skupia się na analizie ograniczonego zaufania do LLM spowodowanego halucynacjami oraz odpowiedzialności za błędy generowane przez te modele. Zostaną przedstawione przypadki, w których LLM nieprawidłowo interpretowały dane lub tworzyły nieistniejące informacje, co ma kluczowe znaczenie dla oceny ryzyka i odpowiedzialności w implementacji tych technologii. Omówione zostaną podejścia do minimalizowania ryzyka halucynacji i zwiększanie transparentności w procesach uczenia maszynowego, a także odpowiedzialność za błędy w pracy modeli, zarówno na poziomie twórców oprogramowania, jak i użytkowników końcowych.
Opowiem historię człowieka, który odpowiada za kilka rodzin mobilnego malware na platformę Android. Malware’u który atakował między innymi polskich użytkowników. Przedstawiona prezentacja jest zwieńczeniem kilkuletniego śledztwa łączącego Reverse engineering, Malware Analysis, Threat Intelligence oraz OSINT.
Prezentacja ma na celu omówienie operacji i taktyk grup RaaS, wykraczając poza powszechne przekonanie, że szyfrowanie plików oznacza początek ataku ransomware. Skupimy się na wczesnym wykrywaniu, prezentując proaktywne techniki monitoorwania, wykrywania i polowania na zagrożenia poprzez analizę taktyk, technik i procedur (TTP) grup RaaS aktywnych w ostatnich latach. Prezentacja podkreśli, jak monitorowanie i wykrywanie określonych zachowań może przyczynić się do skutecznej strategii obronnej przeciwko temu zagrożeniu.
Agenda tegorocznej edycji składa się z 2 dni pełnych praktycznych ćwiczeń dla hackerów i specjalistów oraz managerów cybersecurity.
Dzień 1 (19.06.2024) – Hotel Sound Garden Warszawa
- Start 9.00 – rozpoczynamy praktycznymi prelekcjami w sesji plenarnej i wystąpieniem Keynote speakera
- Warsztaty / poligon cybersecurity
- Sesja ścieżek równoległych z prezentacjami opartych o case studies
- Praca w grupach roboczych
- Podsumowanie, wręczenie nagród uczestnikom i zakończenie konferencji o godzinie 17:00
- Koktajl popołudniowy połączony z networkingiem
Dzień 2 (20.06.2024) - Online
- Start 9.30 – rozpoczynamy dzień warsztatowy online
- Dwie ścieżki równoległe
- Razem 6 warsztatów do wyboru.
Czym jest CyberPoligon?
To interaktywna rywalizacja, gdzie będziesz mógł na własnej skórze przetestować swoje umiejętności w roli Blue lub Red Team. CyberPoligon umożliwi Ci modelowanie własnego środowiska produkcyjnego, dając szansę na prawdziwy trening, wprowadzając swoje zabezpieczenia, jednocześnie emulując realistyczne zachowania użytkowników.
Możesz wziąć udział w CyberPoligonie, wybierając jedną z dwóch ścieżek:
- Indywidualną - gdzie będziesz samodzielnie realizować zadania, testując i rozwijając swoje umiejętności.
- Drużynową - współpracując z innymi, podzielisz się swoją wiedzą i doświadczeniem w realizacji wspólnych celów.
Najważniejsze informacje:
- Rozgrywka odbędzie się 19 czerwca, w trakcie 1 dnia #IncidentBusters. Będzie trwała ok. 3 godzin na platformie SimSpace.
- Wydarzenie składa się z wyzwań przygotowanych dla zespołów niebieskich.
- To wydarzenie wirtualne, które zapewnia anonimowość zarówno indywidualnych uczestników, jak i organizacji.
- Korzystając z Automatyzowanej Platformy Ataku SimSpace (SAAP), będziesz miał za zadanie zidentyfikować i obronić się przed symulowanymi atakami ze świata rzeczywistego.
Nie przegap tej wyjątkowej szansy na sprawdzenie swoich umiejętności w bezpiecznym i kontrolowanym środowisku!
TEMATYKA
Tematyka wydarzenia będzie obracała się wokół 6 faz obrony przed atakami cybernetycznymi: Preparation, Identification, Containment, Eradication, Recovery and Lessons Learned. W trakcie tegorocznej edycji, pełnej praktycznych ćwiczeń oraz wystąpień poruszymy:
- Praktyka Threat Hunting.
- Zabezpieczenia przed atakami typu zero-day i DDoS na przykładach.
- Pogłębiona analiza malware - jak rozpoznawać i zwalczać tego typu zagrożenia.
- Red i Blue Teaming w praktyce.
- Wykorzystanie Threat Intelligence i jego potencjał.
- Likwidacja zagrożeń i skutków ataku cybernetycznego - praktyczne wskazówki.
- Budowa, rozwój, utrzymanie, optymalizacja i opomiarowanie Security Operations Center.
- Poziomy dojrzałości SOC i nowe obszary rozwoju zależnie od specyfiki organizacji.
- Droga od SIEM do SOAR, przyszłość rozwiązań SIEM i ich obecne słabości, SIEM w chmurze.
- Automatyzacja w cyberbezpieczeństwie i autonomiczny SOC – co automatyzować i w jaki sposób, by było to efektywne i służyło wszystkim?
- Współpraca w branżach i między branżami w obszarze zarządzania incydentami i analizowania zagrożeń