09:00 - 10:00
LOFT 2

Регистрация участников

10:00 - 10:40
LOFT 2

Открытие SOC Tech 2024

Выступление заместителя директора ФСТЭК России Виталия Лютикова
Белый Зал (LOFT 3, 2 этаж)
Красный ЗАЛ (LOFT 3, 1 этаж)
Жёлтый ЗАЛ (LOFT 2, 1 этаж)
11:00 - 13:00
Белый Зал (LOFT 3, 2 этаж)

Обнаружение и Реагирование

11:00 - 11:20
Методический подход к оценке показателя состояния технической защиты информации и обеспечения безопасности значимых объектов КИИ РФ
Андрей Булгаков, заместитель начальника отдела, ФСТЭК России
11:20 - 11:40
Импортозамещение SIEM. Танец на граблях
Геннадий Мухамедзянов, руководитель группы поддержки и развития систем мониторинга кибербезопасности, BI.ZONE
11:40 - 12:00
Знай свой SIEM, углублённые и неочевидные метрики работоспособности высоконагруженных инсталляций
Кирилл Дёмин, руководитель отдела систем мониторинга IZ:SOC компании «Информзащита»
  • Проблемы встроенных метрик в SIEM, почему их не хватает и что с этим делать.
  • Почему выбрали Grafana Mimir как систему отслеживания метрик для SIEM.
  • Какие новые метрики мы внедрили для мониторинга работы различных компонентов инсталляции SIEM и выявления аномалий в EPS от источников.
  • Подходы к централизованному мониторингу работоспособности инсталляций SIEM у Заказчиков в рамках гибридного SOC
12:00 - 12:20
Зачем аналитику SOC CиDеть и CIять или как решить проблемы обновления наборов экспертизы в SOC
Андрей Фёдоров, аналитик Центра мониторинга и реагирования, РТ-Информационная безопасность

Как при помощи инструментов CI/CD выстроить процесс разработки, автоматизированного тестирования, а также доставки наборов экспертизы SOC до конечных систем мониторинга и реагирования

12:20 - 12:40
Современные подходы к инвентаризации, контролю соответствия и управлению уязвимостями на объектах КИИ
Игорь Душа, директор портфеля продуктов по Информационной безопасности, НОТА КУПОЛ
12:40 - 13:00
«О дивный новый мир, или Как безболезненно провести настройку расширенного аудита»
Кирилл Рупасов, руководитель группы инженеров SOC, К2 Кибербезопасность

Зачастую в процессе настройки расширенного аудита возникают неординарные ситуации. Например, это касается настройки SACL. Такие случаи — не редкость, в особенности при работе в крупной инфраструктуре.
Обуславливается это ограничениями: возможность редактировать через групповые политики отсутствует, поэтому у специалистов буквально отсутствует право на ошибку. То же касается дополнительных средств аудита: например, Sysmon требует контроля установленных версий и конфигураций.
На основе собственного опыта поделимся секретами и особенностями раскатки Sysmon и SACL объектов, а также расскажем о возникших проблемах и наших способах их решения

11:00 - 12:00
Красный ЗАЛ (LOFT 3, 1 этаж)

Круглый стол

Сохранение цифровых следов для расследования преступлений

Ведущий:

Максим Толкачёв, заместитель начальника УБК МВД России

Участники:

Александр Кутасевич, начальник поисково-аналитической группы Управления спецмероприятий и расследования компьютерных инцидентов, Лаборатория Касперского
Антон Степанов, ведущий специалист по компьютерной криминалистике, BI.ZONE
Григорий Лоскутов, УБК МВД России

Какие схемы неправомерного доступа актуальны в настоящее время.
Что нужно сделать после взлома, как и какие следы сохранить, чтобы помочь или хотя бы не навредить правоохранительным органам в поиске преступников. Что нужно сделать до взлома, о чем подумать и на что обратить внимание

12:00 - 13:00
Красный ЗАЛ (LOFT 3, 1 этаж)

Круглый стол

«Антикризисные коммуникации после инцидента»

Ведущий:

Юлия Стасюк, PR-директор компании «Информзащита»

Участники:

Артём Калашников, эксперт по кибербезопасности
Антон Жаболенко, независимый эксперт
Татьяна Исакова, заместитель редактора, отдела Телекоммуникаций и медиа, КоммерсантЪ
Павел Дудкин, администратор ТГ-канала «Sachok»
Анна Пономарева, руководитель проекта TechPR Газпромбанка

Обсудим неудачные пиар-кейсы зарубежных и российских компаний: негатив в СМИ, молчание или неправильные официальные сообщения компаний. Рассмотрим работу над ошибками и положительные примеры коммуникаций и эффект от них.
Расскажем, как в разных каналах коммуникации распространяются новости и как можно минимизировать негатив в них. Обсудим влияние репутационных рисков в публичном поле на компанию и разберем варианты коммуникаций со всех сторон - пиара, медиа и специалиста по ИБ.

11:00 - 13:00
Жёлтый ЗАЛ (LOFT 2, 1 этаж)

Разбор атак и инцидентов

Ведущий:

Александр Пушкин, заместитель генерального директора, Перспективный мониторинг
11:00 - 11:30
О раскрытии APT-шпионажа благодаря ошибке злоумышленников
Артём Толмачёв, специалист по реагированию на компьютерные инциденты, НКЦКИ

В докладе разберем крайне сложный компьютерный инцидент, связанный с ведением APT-группировкой кибершпионажа в сети организации. Рассмотрим факторы, способствующие возникновению и развитию компьютерного инцидента, а также неоднозначную атрибуцию хакерской группировки.

11:30 - 12:00
DFIR, о котором не рассказывают
Иван Бобков, ведущий аналитик Центра мониторинга и реагирования, РТ-Информационная безопасность

Попробуем рассмотреть процесс расследования инцидентов ИБ с обратной стороны медали. Выступление описывает срез наиболее показательных расследований команды с точки зрения уроков, ошибок и "подводных камней", которыми хочется поделиться

12:00 - 12:30
Коллаборация pentest и SOC: путь к успеху. На примере техники ADCS ESC11
Николай Костин, старший аналитик, УЦСБ
Владислав Дриев, старший специалист по анализу защищенности, УЦСБ

В докладе расскажем про обнаружение атак на ADCS и реагирование на них. Разберем технику повышения привилегий в домене AD известную как ESC11. Она не признана производителем ПО как уязвимость, но при этом достаточно часто встречается в боевых проектах. С точки зрения пентестера будет рассказано, как обнаруживается данная особенность конфигурации в домене AD, что нужно для эксплуатации уязвимости, а также показано как эксплуатировать уязвимость. Также будут даны рекомендации по ее устранению. Однако бывают ситуации, когда данную особенность устранить не получится из-за поддержки старого оборудования и ПО, в таком случае аналитики SOC должны уметь обнаруживать данную атаку. SOC покажет, какие события необходимо отслеживать для обнаружения атак на ADCS на примере ESC11.Будут предложены меры по реагированию на подобные атаки, компенсирующие действия для их предотвращения и рекомендации по устранению последствий. Итогом доклада станет оценка эффективности коллаборации пентестера и аналитика SOC.

12:30 - 13:00
EDRо расследования: как объять необъятное и везде успеть
Антон Степанов, ведущий специалист по компьютерной криминалистике, BI.ZONE

С точки зрения DFIR-специалиста идеальное расследование — это когда можно полностью изолировать инфраструктуру, собрать артефакты, выявить все точки закрепления атакующих, провести зачистку и возобновить работу компании. Но наш мир не идеален: пораженная инфраструктура влияет на бизнес и чем быстрее она будет запущена, тем меньше убытков от простоя будет у заказчиков. При таком подходе обычное реагирование перестает быть линейным и разбивается на 3 составляющие: быстрое восстановление работы заказчика, проведение расследования и постоянный мониторинг возможных оставшихся следов закрепления. В ручном режиме на большой инфраструктуре провернуть такое невозможно. Поэтому в критичных с точки зрения бизнеса клиентов кейсах мы используем гибридный подход DFIR и CA и проводим расследование с использованием EDR агентов и мониторинга SOC. В докладе на примере одного из крупных инцидентов расскажу о нашем расследовании, где нужно было помочь безопасно запустить бизнес заказчика после атаки и не допустить повторной компрометации, отслеживать все события в сети, расследовать и зачищать инфраструктуру. И все это параллельно в сжатые сроки

13:00 - 13:40
LOFT 2

Кофе-пауза

Шоу-викторина «Кибербез-Аукцион»

Ведущий:

Ведущий: Максим Хараск

Азартный поединок, который нельзя пропустить! Две команды, одна против другой, будут за секунды принимать решения, искать верные ответы, и главное — рисковать.
Три тура, три вида заданий, ограниченное время, смелые ставки. Каждое задание — это проверка знаний в ИБ, смекалки и умения трезво оценивать свои силы. Одна ошибка, и баллы заберёт другая команда. Звучит напряжённо? Ещё как!
В турах командам предстоит: находить максимум верных ответов на вопрос, угадывать продолжение цитат, объяснять друг друга ИБ-термины, не называя их.
Проведёт состязание авторитетный эксперт и блестящий ведущий Максим Хараск,Innostage!
Кому достанется победа? Узнаете на «Кибербез-аукционе»!

Белый Зал (LOFT 3, 2 этаж)
Красный ЗАЛ (LOFT 3, 1 этаж)
Жёлтый ЗАЛ (LOFT 2, 1 этаж)
13:40 - 15:40
Белый Зал (LOFT 3, 2 этаж)

Обнаружение и реагирование

13:40 - 14:00
Способы обнаружения кибератак с помощью киберобмана (deception)
Дмитрий Черников, руководитель направления технической поддержки продаж, XELLO
  • Отличия выявления киберугроз на основе технологии киберобмана от классических подходов (поведенческого анализа, профилирования моделей поведения и атрибуции)
  • Построение архитектуры системы киберобмана
  • Кейсы обнаружения угроз
  • Перспективы развития технологии киберобмана на российском рынке
14:00 - 14:20
Секреты Active Directory. Разведка глазами SOC
Артем Цалпанов, аналитик IZ.SOC

Актуальность и необходимость наличия в активах SOC сложных правил корреляции для детектирования различных методов разведки в AD с помощью событий безопасности категории DS Access на серверах контроллерах домена в качестве основы корреляционной логики.

14:20 - 14:40
Как держать руку на пульсе всех процессов СУИБ, имея лишь один инструмент. Практика применения SGRC
Николай Казанцев, CEO SECURITM

Службы ИБ на пути к созданию идеальных СУИБ используют множество технологичных средств защиты. Но процессы продолжают вести в разрозненных Excel таблицах и неспециализированных системах. В результате именно человек и процессы становятся слабым звеном, а система защиты деградирует. Как избежать деградации, создать Систему из разрозненных компонентов, привлечь на помощь силу Community и не потратить на это все ресурсы Службы ИБ - в докладе.

14:40 - 15:00
Автоматизированное тестирование на проникновение: Кому? Когда? Зачем?
Владимир Соловьёв, руководитель группы внедрения систем защиты от атак, компания АО «ДиалогНаука»

1. История появления автоматизированного пентеста
2. Рутина, как проблема
3. Пентестер vs. ПО
4. Архитектура, принцип работы
5. Результаты запуска, опыт
6. Текущие векторы проникновения и как их закрыть
7. Текущие игроки на мировом рынке и в РФ

15:00 - 15:20
Инструменты обнаружения компрометации и аномального поведения сотрудников средствами PAM-систем
Константин Родин, руководитель направления по развитию продуктов в «АйТи БАСТИОН»

Место PAM как источника данных и важность систем изменилось и такие системы способны реализовывать сценарии дополнительного анализа и управления привилегированным доступом не только в разрезе "человек-информационная систем", но и "информационная система-информационная система". В рамках выступления я расскажу о новых возможностях систем, интересных сценариях и построения взаимосвязанных архитектур с применение PAM и тех данных, которые они способны давать для анализа в SOC

15:20 - 15:40
Ответы на вопросы
13:40 - 15:05
Красный ЗАЛ (LOFT 3, 1 этаж)

Дискуссия «Шифровальщики»

Ведущий:

Теймур Хеирхабаров, директор департамента мониторинга, реагирования исследования киберугроз, BI.ZONE

Участники:

Игорь Кубышко, руководитель управления реагирования на инциденты информационной безопасности АО «Т-Банк»
Сергей Волков, CISO, Cloud.ru
Тимур Зиннятуллин, директор Angara SOC
Семён Рогачев, руководитель отдела реагирования на инциденты, «Бастион»
Сергей Сидорин, руководитель третьей линии аналитиков IZ:SOC, компания «Информзащита»

В рамках дискуссии обсудим атаки с использованием шифровальщиков. Как от них защищаться? Можно ли успеть что-то сделать, когда шифрование уже началось? Каковы шансы восстановить свои файлы, не платя злоумышленникам выкуп? И стоит ли вообще платить злоумышленникам? Все это и многое другое мы обсудим с участниками дискуссии

15:10 - 15:40
Красный ЗАЛ (LOFT 3, 1 этаж)

Практический мастер-класс CyberED

Что нужно специалисту SOC для прохождения технического собеседования?

Спикеры:

Владислав Бурцев, Senior Threat Intelligence analyst
Алексей Подымов, ведущий специалист по информационной безопасности, компания "Визум"

На мастер-классе мы проведем технический собес специалиста SOC L1, L2 линий с нанимающим менеджером.

Вы узнаете:

  • какие hard skills важны для нанимающего менеджера
  • каких вопросов ждать на собеседовании и как на них отвечать
  • подробно обсудим вопросы по каждому блоку работы специалиста SOC
  • затронем тему о дополнительном функционале SOC специалиста, и что отвечать на подобные вопросы

Приходите! Будет жарко!

13:40 - 14:40
Жёлтый ЗАЛ (LOFT 2, 1 этаж)

Дискуссия «Утечки»

Ведущий:

Вячеслав Касимов, директор Департамента информационной безопасности, МКБ

Участники:

Антон Лопаницын, основатель системы мониторинга утечек паролей PassLeak
Артём Ильин, руководитель управления систем информационной безопасности, Т-Банк
Екатерина Исайкина, Директор по развитию и маркетингу, С-Терра СиЭсПи
Дмитрий Кирюшкин, руководитель BI.ZONE Brand Protection
Дмитрий Кузеванов, CISO, руководитель центра мониторинга и реагирования, UserGate
Алексей Парфентьев, заместитель генерального директора по инновационной деятельности, SearchInform

В рамках дискуссии поговорим об утечках данных во всем их многообразии: почему сначала все грешат на сотрудников? Так ли они виноваты или все же хакеры воруют данных куда больше? Отдельный вопрос - защита данных даже в случаях взлома инфраструктуры: возможна ли она и как это можно сделать? Эффективны ли традиционные подходы к защите данных и чем в принципе защищаться? Достаточно ли защитить свою инфраструктуру и поставить DLP или этого уже мало? И что в принципе делать, если данные утекли?
До косточек разберем все атаки, направленные на кражу данных, и сформируем подходы и рецепты к защите

14:45 - 15:45
Жёлтый ЗАЛ (LOFT 2, 1 этаж)

Дискуссия «DDоS»

Ведущий:

Хохлов Глеб, менеджер по продукту, MITIGATOR

Участники:

Юрий Бармотин, эксперт по кибербезопасности
Дмитрий Беличенко, главный менеджер сетевого операционного центра, Райффайзенбанк
Борис Горшков, руководитель направления защиты от DDoS-атак, Россельхозбанк
Дмитрий Самойленко, руководитель службы "Центр мониторинга информационной безопасности" УОИБ ДБ, Банк ВТБ
Александр Шмалько, директор, компания «Кастлес»

Проблема DDoS-атак известна и актуальна давно, а сейчас она стала очевидной и для широкой публики, находясь в ТОП-3 новостной повестки по ИБ-инцидентам, наравне с утечками и мошенниками. Последнее время многие организации, которые столкнулись с DDoS-атаками, и не думали, что могут стать целями и оказались совершенно не готовы. Но даже те, кто думал, что готов - серьезно пострадал.
Почему так получилось и какие есть проблемы в защите от DDoS-атак обсудим с позиции разных участников процесса: банк; хостер с услугой защиты; интернет-провайдер с услугой защиты; разработчик софта для защиты.
и конечно же поделимся подходами, практиками и советами по организации защиты от DDoS-aтак.

15:40 - 16:20
LOFT 2

Кофе-пауза

Белый Зал (LOFT 3, 2 этаж)
Красный ЗАЛ (LOFT 3, 1 этаж)
Жёлтый ЗАЛ (LOFT 2, 1 этаж)
16:20 - 18:00
Белый Зал (LOFT 3, 2 этаж)

Расследование

16:20 - 16:40
Реально ли идеальное расследование: быстро, качественно, автоматизированно
Олег Слепушенко, ведущий аналитик Центра мониторинга и реагирования, РТ-Информационная безопасность

Расследование инцидентов подразумевает сбор и анализ больших объёмов данных. Их непрерывный поток способен захлестнуть любую команду аналитиков, ставя под угрозу оперативность и точность принятия решений. Мы погрузимся во все этапы расследования, вместе разрубим самые крепкие узлы в процессах и покажем, как их оптимизировать, не потеряв при этом в качестве

16:40 - 17:00
Нарушая правила: как злоумышленники используют ВПО, распространяемое на теневых ресурсах, в атаках на российские организации
Олег Скулкин, руководитель BI.ZONE Threat Intelligence

Ни для кого не секрет, что на различных теневых ресурсах злоумышленники могут найти практически все для реализации целевых атак: доступы в корпоративные сети, инструменты, исполнителей... Тем не менее, многие годы продавцы ВПО ограничивали возможность его использования на территории России и других стран СНГ. Но все изменилось...

17:00 - 17:20
Взаимодействие с правоохраной - ключ к успеху в расследованиях киберпреступлений
Александр Симонян, руководитель Департамента технологического сопровождения проектов по кибербезопасности F.A.C.C.T.

Как часто возникают кейсы, когда пострадавшим компаниям нужно обращаться в правоохранительные органы и какую роль в этом играют эксперты, занимающиеся расследованиями киберпреступлений.

17:20 - 17:40
Скрытые угрозы: Как Visual Studio IDE может стать мишенью для атак
Глеб Иванов, старший аналитик SOC, группа исследований SOC, Лаборатория Касперского

В данном докладе я рассмотрю несколько методов, что используют атакующие при атаках на исследователей по безопасности через VS IDE. Упор будет сделан на относительно новую технику, связанную с десериализацией suo-файлов в проекте VS. Поделюсь деталями этой атаки, YARA-правилом для нахождения подобных файлов, детектирующей логикой под SIEM, а также рассмотрим несколько примеров, найденных на VT и GitHub с использованием этой техники

17:40 - 18:00
Ответы на вопросы
16:20 - 18:00
Красный ЗАЛ (LOFT 3, 1 этаж)

Образовательный трек

Инструменты консолидации и систематизации работы бизнеса, образования и государства для развития профессионалов в сфере ИБ

Модератор:

Алексей Широкопояс, профессиональный фасилитатор, организационный консультант, участник центра компетенций «Кибербезопасность» НТИ Энерджинет

Участники:

Александр Капустин, заместитель руководителя экспертной группы по кибербезопасности, АЦЭ
Максим Никандров, директор iGrids, заместитель директора ВИШ ЧувГУ по науке и инновациям
Владимир Маслов, директор департамента цифровых технологий ТПП РФ, генеральный директор компании "Финанссофт"
Дмитрий Правиков, к.т.н., заведующий кафедрой комплексной безопасности критически важных объектов РГУ нефти и газа (НИУ) имени И.М.Губкина
Андрей Зарубин, вице-президент по науке и образованию ГК InfoWatch
Алексей Петухов, руководитель отдела развития продуктов InfoWatch ARMA, Лидер центра компетенций "Кибербезопасность" НТИ Энерджинет

Вопросы развития профессионалов в сфере информационной безопасности активно обсуждаются на разных площадках, но системного решения не выработано.
Центр компетенций "Кибербезопасность" НТИ ЭНЕРДЖИНЕТ разработал и предлагает обсудить возможность синхронизации бизнеса, государства и представителей образовательной сфере на базе "Карты развития кадров и соответствующие матрицы их компетенций"

16:20 - 18:00
Жёлтый ЗАЛ (LOFT 2, 1 этаж)

Штабные учения: как выйти из кризисной ситуации

Ведущий:

Денис Батранков, директор по продуктам, ИКС Холдинг

Государственные учреждения субъекта РФ под шквалом кибератак! Налицо серьёзные инциденты. Перехват контроля над веб-ресурсами, вторжение шифровальщика, компрометация контрагентов.

Ответят на вызовы команды Штабов киберзащиты — не робкого десятка специалисты ИБ из числа участников SOC Tech. Справятся ли они с хитроумными нападениями? Как отреагируют на инцидент, ликвидируют кризис и устранят последствия атаки? И как их действия оценит авторитетное жюри- представители НКЦКИ, ФСТЭК России, Банка России?

Штабные учения — это сверхполезный опыт для участников команд и каждого зрителя. В условиях, максимально приближенных к реальным, станет ясно, как строить работу отдела ИБ для предотвращения инцидентов и устранять выявленные проблемы.

Киберзастава SOC Tech
15.10.2024, Москва, LOFT HALL
Организатор SOC Tech - Медиа Группа «Авангард»