Automatyzacja daje nam czas wolny na wykrywanie prawdziwych zagrożeń, które nigdy nie przychodzą, nowoczesna technologia niesamowitą widoczność, która nigdy nie jest nam potrzebna, zewnętrzni konsultanci rady, których nigdy nie akceptujemy, a organy polityczne standardy, których nigdy nie dokumentujemy. Zamiast tego, my operatorzy stosujemy różne metody walki z zagrożeniami, i niezależnie od starań, zawsze jesteśmy winni incydentom, włamaniom czy wypadkom. Autor przedstawi wysoce skuteczne techniki, taktyki i procedury interakcji z wewnętrznymi i zewnętrznymi cyber zagrożeniami, a także nie cyber zagrożeniami płynącymi z organizacji którą operatorzy bronią.

Prezentacja ma na celu omówienie operacji i taktyk grup RaaS, wykraczając poza powszechne przekonanie, że szyfrowanie plików oznacza początek ataku ransomware. Skupimy się na wczesnym wykrywaniu, prezentując proaktywne techniki monitoorwania, wykrywania i polowania na zagrożenia poprzez analizę taktyk, technik i procedur (TTP) grup RaaS aktywnych w ostatnich latach. Prezentacja podkreśli, jak monitorowanie i wykrywanie określonych zachowań może przyczynić się do skutecznej strategii obronnej przeciwko temu zagrożeniu.

Zgłoszenie Incydentu a Obsługa Incydentu - Studium Przypadku, kiedy to Ty wiesz co się stało, a Hosting czy CSIRT nie.... Celem prezentacji jest własne dochodzenie i próba pokazania, jak ważny jest opis ticketu albo jak źle pokazywać się dowody. To co wydaje się "botem", okazuje się działaniami zbieżne z atakami APT.
Nie zabraknie tutaj trochę OSINTU i znajomości, których nie ujawnię nikomu, bo dobre źródła należy umieć weryfikować.

Tradycyjne podejście do obsługi incydentów zazwyczaj jest podejściem biernym lub reaktywnym. Oczekiwanie na incydent celem faktycznej reakcji bez wcześniejszego przygotowania jest jak wyjście na ring bokserski bez wiedzy o przeciwniku, ustalonej strategii i ciężkiego treningu.

Dzisiejszy krajobraz zagrożeń zdecydowanie wymaga podejścia proaktywnego uwzględniając emulacje ataków, Threat Hunting oraz ciągłą i praktyczną analizę pokrycia detekcji na wielu różnych powiązanych ze sobą warstwach (sieć, host/endpoint, aplikacja/API, Runtime Security, skanowanie pod kątem podatności, SBOM czy też okresowa analiza pamięci RAM).

Aktywni obrońcy potrafią lepiej rozpoznawać taktyki, techniki i procedury znane jako TTP używane w działaniach ofensywnych. Aktywny obrońca to specjalista, który stara się zrozumieć mentalność atakującego i wykorzystuje praktyczną wiedzę ofensywną, aby skuteczniej wykrywać zagrożenia i szybciej reagować na incydenty.

W ramach wykładu przedstawione zostanie podejście "Active Defense" pozwalające na zrozumienie skuteczności istniejących, a także potencjalnych nowych możliwości stosu detekcyjno-prewencyjnego dla systemów Linux oraz usprawnianie cyklu reagowania na zagrożenia, analizy praktycznej ataków i podatności oraz uczenia się na ich podstawie zapewniając lepsze wykrywanie i zapobieganie.

Jak powiedział Sun Tzu: "Aby poznać swojego wroga, musisz stać się swoim wrogiem."

Wykład o charakterze praktycznym z dużą ilością przykładów reguł OSquery/Elastic, próbek SecureProbes, artefaktów Velociraptor, pluginów Volatility Framework oraz scenariuszy PurpleLabs w bezpośrednim starciu z technikami ofensywnymi dla środowiska Linux.

Opowiem historię człowieka, który odpowiada za kilka rodzin mobilnego malware na platformę Android. Malware’u który atakował między innymi polskich użytkowników. Przedstawiona prezentacja jest zwieńczeniem kilkuletniego śledztwa łączącego Reverse engineering, Malware Analysis, Threat Intelligence oraz OSINT.

ICS4ICS to zaprojektowany przez Global Cybersecurity Alliance (GCA) International Society of Automation (ISA) przy współpracy z Cybersecurity and Infrastructure Security Agency (CISA), model zarządzania incydentami cyberbezpieczeństwa przemysłowego. Zapewnia on kompleksowe i interoperacyjne zasad reagowania na wszystkie możliwe zdarzenia niepożądane – fizyczne i cybernetyczne, jakie mogą dotknąć infrastrukturę krytyczną, zgodnie z wytycznymi Federal Emergency Management Agency (FEMA). Ponad 30 lat doświadczeń w zarządzaniu kryzysowym to solidny fundament funkcjonalności i skuteczności. Prezentacja będzie krótkim wprowadzeniem do modelu ICS4ICS wraz z wyjaśnieniem jak zarzadzanie incydentami cyberbezpieczeństwa można wpisać w całościowe zarządzanie kryzysem w procesach przemysłowych, bo przecież mówimy tu o incydencie, który zawsze ma fizyczne skutki, często bardzo tragiczne.