Warsztaty - Incident Busters 2024
Warsztaty 2023 - Incident Busters Forum
Model dojrzałości CERT & Risk Based Management - podstawy na platformie SIEM
20 czerwca 13:00 - 17:00 | 4h
Lokalizacja
Sound Garden Hotel, Żwirki i Wigury 18, 02-092 Warszawa
Opis
W ramach warsztatów przejdziemy ocenę SOC/CERT omawiając poszczególne kontrole. W ramach poszczególnych metodyk przejdziemy przez ocenę hipotetycznego SoC/CERTu omawiając poszczególne punkty.
Będziemy omawiać również oceny uczestników warsztatów na ich konkretnych przykładach dla celów audytowych i operacyjnych.
W części technicznej przejdziemy przez ocenę ryzyk dla aktywu IT - przy wykorzystaniu SIEM Splunk.
Pokażemy klasyczną detekcję w SIEM typowego ataku na sieć korporacyjną. Następnie porównamy ją z detekcją metodą szacowania ryzyka.
Korzyści dla uczestnika
W toku warsztatów uczestnicy zostaną zapoznani z modelami dojrzałości dla SOC/CERT oraz będą potrafić je skutecznie wykorzystać w swojej pracy.
Każdy z uczestników będzie miał wiedzę jak posługiwać się modelami/standardami i jak prowadzić ocenę w celu przygotowania CERTu do certyfikacji oraz w celu prowadzenia operacyjnej oceny jednostki.
W ramach warsztatów uczestnicy dowiedzą się również jak raportować oraz prowadzić ocenę ryzyka dla poszczególnych aktywów (np. serwer X) oraz jak modelować poziom ryzyka.
Uczestnicy – do kogo adresowane są warsztaty
Audytorzy, Szefowie SOC/CERT, Eksperci Cyberbezpieczeństwa.
Wymagania
Uczestnicy muszą posiadać ze sobą komputery ze względu na to, że będziemy pracować online dla oceny SOC/CERT (aplikacja dostępna online) i na podstawie przygotowanych exceli do oceny.
W części technicznej będzie prezentowane rozwiązanie dlatego tu laptopy nie będą potrzebne.
Ramowa agenda
- Wprowadzenie
- 13.00 - 13.15 - Model Enisa/Sim3 - omówienie kluczowych aspektów
- 13.15 - 13.30 - Model SIEM-CMM - omówienie kluczowych aspektów
- 13.30 - 14.30 - Warsztaty SIM3 - Przejście przez model.
- 14.30 - 15.30 - Warsztaty SOC-CMM advance model - Przejście przez model.
- Risk Base Managment on SIEM (Splunk)
- 15.30 - 15.50 - Wprowadzenie
- 15.50 - 17.00 - Warsztaty na podstawie serwerów - live (min. 2 przypadki)
Limit uczestników: 15 osób
Prowadzenie
E.ON Polska
E.ON Polska
Deception-based detection in IT and OT infrastructures*
22 June 10:00 - 12:00 | 2h
Description
No matter how good your defense is, there is always a chance of intrusion by an attacker. Our discussion will center around the strategic use of decoys and honey traps, which can effectively identify and neutralize cyber threats before they cause significant harm. Attendees will gain valuable insights into implementing this cutting-edge technique to improve their organization's security posture while also attempting to act as attackers.
What are the benefits of participating in the workshop?
Attending the workshop provides a unique opportunity to gain practical experience in deception-based detection. This hands-on approach can improve attendees' cybersecurity skills and understanding of how attackers operate. Ultimately, the knowledge gained from this workshop can help organizations improve their security and better defend against cyber threats.
Who is the workshop addressed to
It will be insightful for SOC analysts, Penetration Testers, Security Architects and everyone who is interested in cybersecurity defense.
Technical requirements for participants
For this workshop participants will need the latest Kali Linux release. All of the missing tools can be quickly installed later.
Agenda
- 10.00 - 10.10 - Introduction: we will define the main terminology, describe how components interact, etc.
- 10-10 - 10.30 - Configuration: here we configure Labyrinth (add wordlists, honeynets, etc.). We will also configure two-way integration with Splunk and IBMQradar.
- 10.30 - 10.35 - Break
- 10.35 - 11.05 - Test cases - part 1: here starts the fully interactive part. With our help, the audience will perform attacks on prepared Points and see the real-time results.
- 11.05 - 11.10 - Break
- 11.10 - 11.50 - Test cases - part 2: this part starts with exploring SCADA point types. We will also cover some more advanced cases for those who are already proficient in penetration testing.
- 11.50 - 12.00 - Q&A session
Pariticipant limit
50 people
Leaders
Labyrinth
Labyrinth
* Warsztaty w języku angielskim. Organizator nie zapewnia tłumaczenia.
What has Hubble and James Webb to do with Threat Intelligence? Come and find out. The power of Galaxy - Modern Threat Intelligence Applied - Borderless*
22 June 10:00 - 12:00 | 2h
Abstract
In this session, our experts show you how to make threat intelligence a board matter and help security operations practitioners with all aspects of modern threat intelligence and detection.
Benefit to Attendees
Participant will get knowledge about Galaxy technology ( community , GTAP & GTAP+ Editions)
Easy way to play with Galaxy during Day 0. Better Understanding OpenText Threat Intelligence approach with All in One SOC - Platform with new unique CyDNA Global Security Signal Analysis
To whom it is addressed
SOC & Threat Intelligence managers and Analytics , All who looking for Modern Threat Intelligence Applied - Borderless
Technical Requirements for this workshop
Creating account at Cyberresgalaxy
Agenda
- 10.00 - 10.05 - Welcome & Introduction on our workshop
- 10.05 - 10.45 When Hubble is traditional SecOps tool, James Webb telescope is Galaxy threat discovery
- Galaxy High Level components Introductions
- How to use Threat Research, ATAP & ATAP+ Threat Feeds
- Threat Research in Action – all of you can be a Hero
- 10.45 - 11.05 Clop Ransomware on my CEO’s laptop. No joke!
- Well-known Ransomware-as-a-service (RaaS) that influences double extortion, where the threat actor both exfiltrates and encrypts the data of the targets.
- How can we achieve success in Security Operations against this and similar threats in real time?
- 11.05 - 11.35 Hunt for the Insider Threat. Incident Busted!
- Using real-world case studies and war stories, we will demonstrate the power of EDR and SIEM combined, to provide actionable results.
- Find the unknown without swimming in the ocean of False Positives.
- 11.35 - 11.50 Using Galaxy to profile your European Threat Actors: “Predator Case Study”.
- Predator as well as Alien spyware are designed to bypass defense mechanisms in Android and IOS smartphones. They perform surveillance, remote access, information theft and arbitrary code execution.
- Cyber threat profiling helps you focus on what matters to your business.
- 11.50 - 12.00 - Questions & Quiz
Attendee limits
Up to 50
Leaders
ArcSight | Security Operations
OpenText Cybersecurity
OpenText Cybersecurity
OpenText Cybersecurity
* Warsztaty w języku angielskim. Organizator nie zapewnia tłumaczenia.
Gra o wysoką stawkę – jak sprawnie reagować na ataki ransomware?
22 czerwca 12:30 - 14:30 | 2h
Opis
Pokaz toczyć się będzie wokół ryzyka, jakie niesie ze sobą atak ransomware na infrastrukturę firmy. Zespół Advatech & IBM pokaże, jak działający w tle system SIEM może wykryć i zareagować na tego typu atak oraz jak ważne jest posiadanie systemu kopii zapasowych, który pozwala na przywrócenie systemu do pełnej operacyjności po ataku w kilka minut.
Do kogo adresowane są warsztaty
Szkolenie skierowane jest do osób odpowiedzialnych za zarządzanie cyberbezpieczeństwem w organizacji:
- Administratorów
- Specjalistów IT
- Specjalistów ds. bezpieczeństwa
- Inżynierów ds. bezpieczeństwa
Korzyści dla uczestnika
Uczestnicy poznają sposoby na skuteczne radzenie sobie z atakami ransomware na różnych jego etapach. Zrozumieją lepiej istotę systemów SIEM oraz systemów kopii zapasowej. Ponadto, poszerzą umiejętności związane z oceną zagrożeń oraz właściwym reagowaniem na incydenty bezpieczeństwa.
Wymagania
W celu interaktywnego uczestnictwa w pokazie uczestnicy będą łączyć się z Mentimeter. Wystarczy naładowany telefon – resztą zajmiemy się my.
Ramowa agenda
- 12.30 - 12.45 - Co to jest atak ransomware, skutki i działanie?
- 12.45 - 13.00 - Systemy SIEM - możliwości i pokaz możliwości
- 13.00 - 13.15 - System kopii zapasowej i pokaz możliwości
- 13.15 - 13.35 - Atak ransomware na żywo
- 13.35 - 13.55 - Q&A
Limit uczestników:
brak limitu
Prowadzenie
IBM
Advatech
Automatyzacja zadań/scenariuszy operacji związanych z cyberbezpieczeństwem (i nie tylko)
22 czerwca 12:30 - 14:30 | 2h
Opis
Statystyki wyraźnie pokazują, że zespoły cyberbezpieczeństwa są niedostatecznie obsadzone, wypalone oraz napotykają nieustanne ataki ze strony przeciwników.
Automatyzacja bez kodowania oferowana przez Tines zapewnia ulgę od ręcznych, powtarzalnych oraz monotonnych procesów i uwalnia zespoły cyber do zajęcia się bardziej kluczowymi aspektami i zadaniami operacyjnymi. Platforma Tines została stworzona przez praktyków cyber bezpieczeństwa, którzy sami odczuli ten ból razem ze swoimi zespołami i postanowili stworzyć rozwiązanie, którego inne, znane produkty nie potrafiły zaadresować.
Korzyści dla uczestnika
- Dowiesz się, jakie są najpoważniejsze wyzwania, przed którymi stoją dzisiejsze zespoły ds. bezpieczeństwa.
- Poznasz korzyści z wykorzystania rozwiązań Tines i dowiesz się, jak wpisują się one w istniejące procesy związane z bezpieczeństwem i informatyką.
- Zobaczysz, jak łatwe i efektywne jest tworzenie scenariuszy automatyzacji na żywo.
Do kogo są adresowane warsztaty?
Szkolenie skierowane jest do członków zespołów bezpieczeństwa/SOC/CERT oraz osób odpowiedzialnych za zarządzanie cyberbezpieczeństwem w organizacji:
- Specjalistów ds. Bezpieczeństwa
- Inżynierów ds. Bezpieczeństwa
- Analityków Threat Intel, Forensic, Incident Response
- Menedżerów SOC/CERT
Agenda
- 12.30 – 12.40 - O firmie Tines
- 12.40 - 12.50 - Dlaczego automatyzacja i co proponuje Tines
- 12.50 - 13.00 - Bezkodowa platforma automatyzacji scenariuszy – wprowadzenie
- 13.00 - 13.45 - Przykład automatyzacji na żywo: wzbogacanie danych incydentu z różnych żródeł threat intel + korzystanie z biblioteki gotowych wzorców scenariuszy
- 13.45 - 14.15 - Q&A
Limit uczestników
Brak limitu
Prowadzenie
Tines
Evant