W toku warsztatów uczestnicy zostaną zapoznani z modelami dojrzałości dla SOC/CERT oraz będą potrafić je skutecznie wykorzystać w swojej pracy.
Każdy z uczestników będzie miał wiedzę jak posługiwać się modelami/standardami i jak prowadzić ocenę w celu przygotowania CERTu do certyfikacji oraz w celu prowadzenia operacyjnej oceny jednostki.
W ramach warsztatów uczestnicy dowiedzą się również jak raportować oraz prowadzić ocenę ryzyka dla poszczególnych aktywów (np. serwer X) oraz jak modelować poziom ryzyka.
UWAGA! Warsztaty dodatkowo płatne.
Zapraszamy do udziału w interaktywnej grze decyzyjnej. Uczestnicy podzieleni na zespoły będą reagować na współczesne scenariusze ataku na modelowe przedsiębiorstwo. Każdy uczestnik będzie miał możliwość dołączenia do zespołu obrońców, który konkurując z innymi zespołami zmierzy się ze scenariuszami zagrożeń. Cyber Twierdza – znana forma praktycznych ćwiczeń i realizacji przygotowana przez Fundację Bezpieczna Cyberprzestrzeń to doskonała okazja do przećwiczenia znanych i nowych sposobów reagowania na incydenty i możliwość podejmowania nawet ryzykownych decyzji w bezpiecznym środowisku gry. Uczestnicy konferencji będą podzieli na zespoły, które będą wspólnie decydować o podejmowanych działaniach. Ich wybory będą odnotowane w systemie, który udostępni statystyki potrzebne do bieżącego komentowania decyzji i ich konsekwencji. Zespół, który udzieli najlepszych odpowiedzi (wg. wiedzy, jaką dysonuje Cyber Twierdza), na koniec dostanie nagrody.
Etap I: Ataki mające na celu zakłócenie płynności funkcjonowania sektora bankowo-finansowego
W ostatnich dniach pojawiły się doniesienia o kampaniach ransomware wymierzonych w sektor finansowy. Ofiarami cyberprzestępców padają głównie banki i instytucje finansowe w Polsce. Za atakami prawdopodobnie stoi kilka grup APT powiązanych z Rosją i Białorusią lecz jak dotąd nie udało się powiązać obserwowanych ataków ze znanymi grupami APT.
Obserwowane kampanie mają charakter kierowany (APT), co oznacza, że zostały zaplanowane z wyprzedzeniem, przygotowane pod kątem konkretnego celu wybranego przez Threat Aktora, a proces szyfrowania danych nie rozpoczyna się natychmiast po udanej fazie Inital Access ataku lecz w dogodnym dla atakującego momencie.
W większości raportów i analiz incydentów powiązanych z przedmiotowymi kampaniami podkreślano, iż sam atak rozpoczął się od wiadomości mailowej spreparowanej prawdopodobnie z wykorzystaniem sztucznej inteligencji, do której załączony był plik z kodem złośliwym. Treść wiadomości była pozbawiona błędów merytorycznych i gramatycznych.
Sam kod złośliwy umożliwiał atakującemu zestawienie połączenia C&C oraz pobranie kolejnych narzędzi na urządzenia ofiar.
Zarządzanie ryzykiem cyfrowym stawia dziś wyzwania przed działami bezpieczeństwa, infrastruktury IT oraz wymaga strategicznej wizji i wsparcia ze strony kierujących organizacjami. Współdzielenie informacji IoC tworzonych w ramach firmy oraz wykorzystywanie współpracy np. z CSIRT może pozwolić zniwelować potencjalne straty. Działania mające na celu przygotowanie organizacji na odparcie ataku to oprócz technologii odpowiednia organizacja SOC oraz wybór skutecznych usług typu Digital Risk Protection (DRP). Sztuczna Inteligencja czy automatyzacja pozwala wygrać wyścig z czasem, ponieważ ten parametr najczęściej decyduje o powodzeniu ataku i wielkości strat.
Threat Hunting to proces aktywnego poszukiwania zagrożeń i ataków cybernetycznych w systemach informatycznych, który staje się coraz bardziej powszechny w erze cyfrowej. Jednakże, pojawiają się nowe wyzwania związane z aspektami takimi jak rozmiar danych, technologie chmurowe, a także rozwijające się techniki i narzędzia wykorzystywane przez cyberprzestępców. Podczas panelu eksperci przedyskutują jak Threat Hunting jest rozumiany w organizacjach, jakie są najnowsze trendy i wyzwania w tej dziedzinie, oraz porozmawiają o najbardziej efektywnych sposobach na wykrywanie ukrytych zagrożeń.
Moderator:
Paneliści:
Moderator:
Paneliści:
Wraz ze wzrostem zagrożeń w cyberprzestrzeni, proaktywne podejście do bezpieczeństwa staje się coraz ważniejsze. W prezentacji omówione zostanie na konkretnych przykłądach wykorzystanie procesów Detection Engineering i Threat Hunting do identyfikowania i reagowania na incydenty bezpieczeństwa. Omówione zostaną definicje tych procesów oraz ich rola w cyklu życia incydentu, a także przedstawione zostaną najlepsze praktyki w celu ich skutecznego wdrożenia. Konkretne przykłady z życia pozwolą na zobrazowanie wykorzystania oraz korzyści płynących z proaktywnego podejścia do wykrywania i reagowania na zagrożenia. Podczas prezentacji zostaną również omówione wyzwania i ograniczenia tych procesów oraz sposoby na ich efektywne zarządzanie.
Debata oksfordzka to forma dyskusji, w której dwie drużyny rywalizują ze sobą, prezentując argumenty przekonujące do określonej tezy. Podczas debaty paneliści będą dyskutować, czy sztuczna inteligencja zastąpi ludzi w SOC, czy też nie. Jedna drużyna argumentuje, że sztuczna inteligencja ma potencjał, aby zastąpić ludzi, natomiast druga drużyna uważa, że ludzie są niezastąpieni w SOC ze względu na specyficzne umiejętności, których sztuczna inteligencja nie jest w stanie zastąpić. Podczas dyskusji uczestnicy będą mieli okazję zadawać pytania i wyrażać swoje zdanie na temat tej kwestii. Na początku debaty i na jej koniec odbędą się głosowania, w których słuchacze będą wskazywali, która strona lepiej i trafniej przedstawiła argumenty na rzecz bronionej tezy.
Prowadząca
Drużyna I
Drużyna II
Badacze cyberbezpieczeństwa ostrzegają o prawdopodobnej kampanii APT, która jest wymierzona w portale i serwisy informacyjne utrzymywane przez instytucje rządowe oraz jednostki administracji publicznej. Kampania ta jest prowadzona prawdopodobnie przez prorosyjskie grupy APT, ponieważ odnotowane ataki skierowane były przeciwko krajom aktywnie angażującym się w pomoc dla Ukrainy w wojnie z Rosją.
Głównym celem kampanii jest dezinformacja. Atakujący z wykorzystaniem rządowych i państwowych portali WWW publikuje nie prawdziwe informacje dot. konfliktu w Ukrainie oraz incydentów wewnętrznych z udziałem uchodźców. Informacje te mogą być następnie powielone i dalej rozpowszechniane przez serwisy i agencje informacyjne, które traktują skompromitowane portale WWW w domenie gov, jako zaufane źródło informacji.
Zidentyfikowane działania atakujących w ramach kampanii powiązane były z wykorzystaniem jako wektora wejścia podatności i błędów w aplikacjach oraz systemach dostępnych z sieci Internet. Następnie atakujący eskalował uprawnienia do administracyjnych, odcinał rzeczywistych administratorów od dostępu do usług i dopiero publikował fałszywe informacje.
Uczestnicy wybierają zespoły robocze, w których chcą pracować. W pierwszej sesji Grupy prowadzone będą przez niezależnych ekspertów oraz przedstawicieli partnerów. W drugiej sesji wyłącznie przez niezależnych ekspertów. Po pierwszej rundzie prac zespołów uczestnicy mają możliwość zmiany grup, w których pracują nad wybranymi, interesującymi ich zagadnieniami. Efektem prac grup będą podsumowania napisane przez prowadzących grupy zawierające wnioski, dobre praktyki oraz rekomendacje.
Współpraca między działem IT i IR zazwyczaj nie układa się gładko. Celem dyskusji będzie wypracowanie najlepszych praktyk i strategii, które pozwolą na skuteczne i efektywne reagowanie na incydenty cybernetyczne. Będzie to również okazja do wymiany doświadczeń i pomysłów na poprawę współpracy między zespołami IT i zespołami Incident Response.
W trakcie dyskusji omówimy szeroko pojęte alternatywy dla SIEM. Będą to technologie spełniające tę samą misję, co SIEM, ale być może bez znacznego polegania na analizie logów. Poszukamy odpowiedzi na pytania: czy można zastąpić SIEM? Czy wspomniane rozwiązania jedynie uzupełniają podstawowe funkcje monitoringu bezpieczeństwa? Zdefiniujemy najważniejsze aspekty monitoringu bezpieczeństwa i dopasujemy do nich odpowiednie rozwiązania, biorąc pod uwagę potrzeby monitorowanego środowiska. Na koniec, sformułujemy wnioski, na podstawie których każdy uczestnik będzie mógł zarekomendować odpowiednie rozwiązania w swojej organizacji. Grupa adresowana jest do osób, które widzą konieczność zwiększenia poziomu bezpieczeństwa i optymalizacji kosztów w obszarze operacji bezpieczeństwa IT.
Konferencję zdominowały tematy związane z Threat Intelligence i Threat Huntingiem. Zdefiniujmy razem co potrzebujecie, aby czuć się bezpieczniej zachowując jednocześnie ciągłość biznesową krytycznych usług.
Porozmawiamy o TOP 5,22 w usłudze SOC. A może wspólnie zdefiniujemy idealny model usługowy SOC?
Czym są podstawy, co i jak oraz dlaczego warto monitorować, a przede wszystkim jak inwestować we własne kompetencje razem z operatorem SOC zamiast wydawać na technologię, która nigdy nie działa w dniu 0.
Kto zapewnia szerokie spojrzenie na sieć i jej zagrożenia, widzi wielowarstwowe wektory ataku i wysublimowane kampanie cyberprzestępców, potrafi przewidywać, wychwytywać i reagować natychmiast a jednocześnie dzielić się z Tobą tą wiedzą?.
Aby mieć przewagę nad przestępcami nigdy nie wystarczy Ci środków i zasobów. Czy zakup technologii SIEM czy Threat Huntingu i Threat Intelligence zaoszczędzi Ci problemów i czasu – a może zupełnie odwrotnie, dopiero wtedy Twoje problemy się zaczną?
Zbuduj własną CyberTarczę i wykorzystaj to wszystko co ma Twój operator SOC.
Zapraszamy Was do naszej grupy roboczej . Chcemy rozwiać mity o usługach SOC i skoncentrować się na tym czego naprawdę potrzebujecie.
Do zobaczenia!
Czy wykorzystanie Threat Intelligence sprowadza się do integracji strumienia danych o zagrożeniach (IOC) z systemami bezpieczeństwa? Które działy w organizacji mogą i powinny wykorzystać Threat Intelligence do minimalizacji zagrożeń? Na te i wiele innych pytań będziemy szukać odpowiedzi dostosowanych do różnych profili organizacji. Określimy rodzaje produktów Threat Intelligence i przypadki ich użycia dla różnych odbiorców, zarówno na poziomie taktycznym, jak i strategicznym. Grupa adresowana jest do osób, które planują budowę procesów opartych na analizach bieżących i priorytetowych zagrożeń dla swoich organizacji.
Poziom rotacji pracowników w działach SOC często przedstawiany jest jako jedno z największych wyzwań w zarządzaniu tego typu zespołami.
Podczas dyskusji postaramy się wypracować zbiór dobrych praktyk i działań, które pomogą liderom SOC w zmniejszeniu wpływu tego zjawiska na ich zespoły.
Poruszymy wiele istotnych obszarów w zarządzaniu działami SOC, takich jak między innymi budowanie ścieżek rozwoju w SOC, zakres obowiązków analityków SOC, praca zmianowa i wiele więcej...
Dyskusja jest dedykowana dla osób zarządzających zespołami security pracującymi w modelu 24/7, w szczególności działami SOC.
Budowa zespołu bezpieczeństwa operacyjnego jest wymagającym zadaniem. Najpierw należy zdefiniować zakres zadań jakie zespół musi wypełniać. Z tego zakresu wyniknie model pracy zespołu oraz zestaw kompetencji jaki musimy zgromadzić w zespole.
Omówimy jakie profile wymaganych umiejętności powinni mieć analitycy w SOC. Ale co ważniejsze spróbujemy określić jak takie kompetencje zdobywać i budować w trakcie codziennej pracy. Zadania wykonywane przez analityków SOC wymagają poza twardymi umiejętnościami związanymi bezpośrednio z rozumieniem cyberbezpieczeństwa, umiejętności miękkich związanych ze zrozumieniem specyfiki działalności organizacji, komunikacji, czy właściwego planowania działań. Te wszystkie wymagania sprawiają, że budowa dobrego zespołu to pewien balans i umiejętność stworzenia zespołu z rónych ludzi, którzy wzajemnie uzupełniają się do pełni wymagań.
Dyskusja ma nam pomóc pokazać jak zbudować kompletny SOC oraz czy można zdefiniować "uniwersalnego analityka SOC".
Zapraszamy do dyskusji o efektywności narzędzi Threat Intelligence. Celem pracy grupy jest wymiana opinii i doświadczeń, poznanie sposobów myślenia innych oraz wypracowanie wniosków i rekomendacji. Porozmawiamy o cyklu analitycznym, narzędziach używanych w CTI, poziomach dojrzałości intelu oraz o ewaluacji i ocenie skuteczności tych narzędzi. Dodatkowo, podyskutujemy o możliwościach i potrzebach w zakresie kupna usług CTI i integracji z istniejącymi rozwiązaniami cyberbezpieczeństwa.
Będziemy dyskutować nad pozyskiwaniem i analizą dowodów, aby wybrać optymalną strategię powstrzymania, usunięcia i odtworzenia po ataku ransomware na organizację (bez kontekstu wykorzystania konkretnych narzędzi – czyli vendor agnostic approach). Podejmiemy również kwestie związane z ograniczaniem zjawiska rozprzestrzeniania się eksfiltrowanych danych - patrząc na doświadczenia i błędy popełniane w tego typu sprawach.
Wykryto gigantyczny botnet bazujący na urządzeniach z krajów europejskich. Składa się on z około 25,7 miliona urządzeń, w tym z komputerów, kamer IP, telewizorów, urządzeń z systemem Android oraz urządzeń IoT. Botnet ten może zostać wykorzystany jako platforma do uruchomienia wielu kampanii skierowanych przeciwko dużym organizacjom z sektora infrastruktury krytycznej, paliwowo-energetycznego, bankowego i finansowego, na co wskazują informacje odnalezione na forach cyberprzestępców w Darknet.
Kampanie te mogą mieć różny charakter. W przeszłości różne botnety wykorzystywane były w kampaniach phishingowych, atakach DDoS, próbach łamania haseł z wykorzystanie metody Brute-Force, czy też dystrybucji oprogramowania złośliwego. Mogą być one wykorzystywane do odwrócenia uwagi do rzeczywistego ataku kierowanego.
Grupa APT odpowiedzialna za powstanie botnetu nie została jak dotąd zidentyfikowana, aczkolwiek CERT UA przypisuje go grupom powiązanym lub sympatyzującym z Rosją i Białorusią.
Ponadto w ostatnim czasie obserwowany jest także ogólny wzrost aktywności grup APT powiązanych z Rosją i Białorusią. Zidentyfikowano kilka kampanii APT wymierzonych w firmy z sektora paliwowo-energetycznego oraz inne elementy infrastruktury krytycznej. Zagrożone mogą być rafinerie, rurociągi, elektrownie i sieci dystrybucyjne. Zgodnie z informacjami pozyskanymi w Darkweb cyberataki mogą przyjąć charakter kinetyczny ukierunkowany na wywołanie trwałych zniszczeń w infrastrukturze OT związanej z procesem wytwarzania i transportu paliw oraz energii, a ostatecznie skutkujący wywołaniem niepokojów społecznych i politycznych oraz osłabienia potencjału obronnego wynikające z zakłócenia łańcucha dostaw surowców strategicznych.
Po dniu pełnym wrażeń wszystkich uczetników zapraszamy na spotkanie integracyjne.
No matter how good your defense is, there is always a chance of intrusion by an attacker. Our discussion will center around the strategic use of decoys and honey traps, which can effectively identify and neutralize cyber threats before they cause significant harm. Attendees will gain valuable insights into implementing this cutting-edge technique to improve their organization's security posture while also attempting to act as attackers.
In this session, our experts show you how to make threat intelligence a board matter and help security operations practitioners with all aspects of modern threat intelligence and detection.
Pokaz toczyć się będzie wokół ryzyka, jakie niesie ze sobą atak ransomware na infrastrukturę firmy. Zespół Advatech & IBM pokaże, jak działający w tle system SIEM może wykryć i zareagować na tego typu atak oraz jak ważne jest posiadanie systemu kopii zapasowych, który pozwala na przywrócenie systemu do pełnej operacyjności po ataku w kilka minut.
Statystyki wyraźnie pokazują, że zespoły cyberbezpieczeństwa są niedostatecznie obsadzone, wypalone oraz napotykają nieustanne ataki ze strony przeciwników.
Automatyzacja bez kodowania oferowana przez Tines zapewnia ulgę od ręcznych, powtarzalnych oraz monotonnych procesów i uwalnia zespoły cyber do zajęcia się bardziej kluczowymi aspektami i zadaniami operacyjnymi. Platforma Tines została stworzona przez praktyków cyber bezpieczeństwa, którzy sami odczuli ten ból razem ze swoimi zespołami i postanowili stworzyć rozwiązanie, którego inne, znane produkty nie potrafiły zaadresować.
Evention sp. z o.o., Rondo ONZ 1 Str, Warsaw, Poland
Specjalizujemy się w kompleksowym programie realizacji wydarzeń, które są efektywnym sposobem budowania relacji z potencjalnymi klientami.
www.evention.pl
Weronika Warpas
m:
e: weronika.warpas@evention.pl
© 2023 | Strona korzysta z plików cookies. Przeglądanie strony oznacza akceptację.