Zarządzanie ryzykiem cyfrowym stawia dziś wyzwania przed działami bezpieczeństwa, infrastruktury IT oraz wymaga strategicznej wizji i wsparcia ze strony kierujących organizacjami. Współdzielenie informacji IoC tworzonych w ramach firmy oraz wykorzystywanie współpracy np. z CSIRT może pozwolić zniwelować potencjalne straty. Działania mające na celu przygotowanie organizacji na odparcie ataku to oprócz technologii odpowiednia organizacja SOC oraz wybór skutecznych usług typu Digital Risk Protection (DRP). Sztuczna Inteligencja czy automatyzacja pozwala wygrać wyścig z czasem, ponieważ ten parametr najczęściej decyduje o powodzeniu ataku i wielkości strat.

Wraz ze wzrostem zagrożeń w cyberprzestrzeni, proaktywne podejście do bezpieczeństwa staje się coraz ważniejsze. W prezentacji omówione zostanie na konkretnych przykłądach wykorzystanie procesów Detection Engineering i Threat Hunting do identyfikowania i reagowania na incydenty bezpieczeństwa. Omówione zostaną definicje tych procesów oraz ich rola w cyklu życia incydentu, a także przedstawione zostaną najlepsze praktyki w celu ich skutecznego wdrożenia. Konkretne przykłady z życia  pozwolą na zobrazowanie wykorzystania oraz korzyści płynących z proaktywnego podejścia do wykrywania i reagowania na zagrożenia. Podczas prezentacji zostaną również omówione wyzwania i ograniczenia tych procesów oraz sposoby na ich efektywne zarządzanie.

Badacze cyberbezpieczeństwa ostrzegają o prawdopodobnej kampanii APT, która jest wymierzona w portale i serwisy informacyjne utrzymywane przez instytucje rządowe oraz jednostki administracji publicznej. Kampania ta jest prowadzona prawdopodobnie przez prorosyjskie grupy APT, ponieważ odnotowane ataki skierowane były przeciwko krajom aktywnie angażującym się w pomoc dla Ukrainy w wojnie z Rosją.

Głównym celem kampanii jest dezinformacja. Atakujący z wykorzystaniem rządowych i państwowych portali WWW publikuje nie prawdziwe informacje dot. konfliktu w Ukrainie oraz incydentów wewnętrznych z udziałem uchodźców. Informacje te mogą być następnie powielone i dalej rozpowszechniane przez serwisy i agencje informacyjne, które traktują skompromitowane portale WWW w domenie gov, jako zaufane źródło informacji.

Zidentyfikowane działania atakujących w ramach kampanii powiązane były z wykorzystaniem jako wektora wejścia podatności i błędów w aplikacjach oraz systemach dostępnych z sieci Internet. Następnie atakujący eskalował uprawnienia do administracyjnych, odcinał rzeczywistych administratorów od dostępu do usług i dopiero publikował fałszywe informacje.

Współpraca między działem IT i IR zazwyczaj nie układa się gładko. Celem dyskusji będzie wypracowanie najlepszych praktyk i strategii, które pozwolą na skuteczne i efektywne reagowanie na incydenty cybernetyczne. Będzie to również okazja do wymiany doświadczeń i pomysłów na poprawę współpracy między zespołami IT i zespołami Incident Response.

W trakcie dyskusji omówimy szeroko pojęte alternatywy dla SIEM. Będą to technologie spełniające tę samą misję, co SIEM, ale być może bez znacznego polegania na analizie logów. Poszukamy odpowiedzi na pytania: czy można zastąpić SIEM? Czy wspomniane rozwiązania jedynie uzupełniają podstawowe funkcje monitoringu bezpieczeństwa? Zdefiniujemy najważniejsze aspekty monitoringu bezpieczeństwa i dopasujemy do nich odpowiednie rozwiązania, biorąc pod uwagę potrzeby monitorowanego środowiska. Na koniec, sformułujemy wnioski, na podstawie których każdy uczestnik będzie mógł zarekomendować odpowiednie rozwiązania w swojej organizacji. Grupa adresowana jest do osób, które widzą konieczność zwiększenia poziomu bezpieczeństwa i optymalizacji kosztów w obszarze operacji bezpieczeństwa IT.

Konferencję zdominowały tematy związane z Threat Intelligence i Threat Huntingiem. Zdefiniujmy razem co potrzebujecie, aby czuć się bezpieczniej zachowując jednocześnie ciągłość biznesową krytycznych usług.
Porozmawiamy o TOP 5,22 w usłudze SOC. A może wspólnie zdefiniujemy idealny model usługowy SOC?

Czym są podstawy, co i jak oraz dlaczego warto monitorować, a przede wszystkim jak inwestować we własne kompetencje razem z operatorem SOC zamiast wydawać na technologię, która nigdy nie działa w dniu 0.
Kto zapewnia szerokie spojrzenie na sieć i jej zagrożenia, widzi wielowarstwowe wektory ataku i wysublimowane kampanie cyberprzestępców, potrafi przewidywać, wychwytywać i reagować natychmiast a jednocześnie dzielić się z Tobą tą wiedzą?.

Aby mieć przewagę nad przestępcami nigdy nie wystarczy Ci środków i zasobów. Czy zakup technologii SIEM czy Threat Huntingu i Threat Intelligence zaoszczędzi Ci problemów i czasu – a może zupełnie odwrotnie, dopiero wtedy Twoje problemy się zaczną?

Zbuduj własną CyberTarczę i wykorzystaj to wszystko co ma Twój operator SOC.

Zapraszamy Was do naszej grupy roboczej . Chcemy rozwiać mity o usługach SOC i skoncentrować się na tym czego naprawdę potrzebujecie.
Do zobaczenia!

Czy wykorzystanie Threat Intelligence sprowadza się do integracji strumienia danych o zagrożeniach (IOC) z systemami bezpieczeństwa? Które działy w organizacji mogą i powinny wykorzystać Threat Intelligence do minimalizacji zagrożeń? Na te i wiele innych pytań będziemy szukać odpowiedzi dostosowanych do różnych profili organizacji. Określimy rodzaje produktów Threat Intelligence i przypadki ich użycia dla różnych odbiorców, zarówno na poziomie taktycznym, jak i strategicznym. Grupa adresowana jest do osób, które planują budowę procesów opartych na analizach bieżących i priorytetowych zagrożeń dla swoich organizacji.

Poziom rotacji pracowników w działach SOC często przedstawiany jest jako jedno z największych wyzwań w zarządzaniu tego typu zespołami.
Podczas dyskusji postaramy się wypracować zbiór dobrych praktyk i działań, które pomogą liderom SOC w zmniejszeniu wpływu tego zjawiska na ich zespoły.
Poruszymy wiele istotnych obszarów w zarządzaniu działami SOC, takich jak między innymi budowanie ścieżek rozwoju w SOC, zakres obowiązków analityków SOC, praca zmianowa i wiele więcej...
Dyskusja jest dedykowana dla osób zarządzających zespołami security pracującymi w modelu 24/7, w szczególności działami SOC.

Budowa zespołu bezpieczeństwa operacyjnego jest wymagającym zadaniem. Najpierw należy zdefiniować zakres zadań jakie zespół musi wypełniać. Z tego zakresu wyniknie model pracy zespołu oraz zestaw kompetencji jaki musimy zgromadzić  w zespole.
Omówimy jakie profile wymaganych umiejętności powinni mieć analitycy w SOC.  Ale co ważniejsze spróbujemy określić jak takie kompetencje zdobywać i budować w trakcie codziennej pracy.  Zadania wykonywane przez analityków SOC wymagają poza  twardymi umiejętnościami związanymi bezpośrednio z rozumieniem cyberbezpieczeństwa, umiejętności miękkich związanych ze zrozumieniem specyfiki działalności organizacji, komunikacji, czy właściwego planowania działań. Te wszystkie wymagania sprawiają, że budowa dobrego zespołu to pewien balans i  umiejętność stworzenia zespołu z rónych ludzi, którzy wzajemnie uzupełniają się do pełni wymagań.

Dyskusja ma nam pomóc pokazać jak zbudować kompletny SOC oraz czy można zdefiniować  "uniwersalnego analityka SOC".

Zapraszamy do dyskusji o efektywności narzędzi Threat Intelligence. Celem pracy grupy jest wymiana opinii i doświadczeń, poznanie sposobów myślenia innych oraz wypracowanie wniosków i rekomendacji. Porozmawiamy o cyklu analitycznym, narzędziach używanych w CTI, poziomach dojrzałości intelu oraz o ewaluacji i ocenie skuteczności tych narzędzi. Dodatkowo, podyskutujemy o możliwościach i potrzebach w zakresie kupna usług CTI i integracji z istniejącymi rozwiązaniami cyberbezpieczeństwa.

Będziemy dyskutować nad pozyskiwaniem i analizą dowodów, aby wybrać optymalną strategię powstrzymania, usunięcia i odtworzenia po ataku ransomware na organizację (bez kontekstu wykorzystania konkretnych narzędzi – czyli vendor agnostic approach). Podejmiemy również kwestie związane z ograniczaniem zjawiska rozprzestrzeniania się eksfiltrowanych danych  - patrząc na doświadczenia i błędy popełniane w tego typu sprawach.

Statystyki wyraźnie pokazują, że zespoły cyberbezpieczeństwa są niedostatecznie obsadzone, wypalone oraz napotykają nieustanne ataki ze strony przeciwników.

Automatyzacja bez kodowania oferowana przez Tines zapewnia ulgę od ręcznych, powtarzalnych oraz monotonnych procesów i uwalnia zespoły cyber do zajęcia się bardziej kluczowymi aspektami i zadaniami operacyjnymi. Platforma Tines została stworzona przez praktyków cyber bezpieczeństwa, którzy sami odczuli ten ból razem ze swoimi zespołami i postanowili stworzyć rozwiązanie, którego inne, znane produkty nie potrafiły zaadresować.

Kliknij tutaj aby poznać szczegóły