Как при помощи инструментов CI/CD выстроить процесс разработки, автоматизированного тестирования, а также доставки наборов экспертизы SOC до конечных систем мониторинга и реагирования
Зачастую в процессе настройки расширенного аудита возникают неординарные ситуации. Например, это касается настройки SACL. Такие случаи — не редкость, в особенности при работе в крупной инфраструктуре.
Обуславливается это ограничениями: возможность редактировать через групповые политики отсутствует, поэтому у специалистов буквально отсутствует право на ошибку. То же касается дополнительных средств аудита: например, Sysmon требует контроля установленных версий и конфигураций.
На основе собственного опыта поделимся секретами и особенностями раскатки Sysmon и SACL объектов, а также расскажем о возникших проблемах и наших способах их решения
Какие схемы неправомерного доступа актуальны в настоящее время.
Что нужно сделать после взлома, как и какие следы сохранить, чтобы помочь или хотя бы не навредить правоохранительным органам в поиске преступников. Что нужно сделать до взлома, о чем подумать и на что обратить внимание
Обсудим неудачные пиар-кейсы зарубежных и российских компаний: негатив в СМИ, молчание или неправильные официальные сообщения компаний. Рассмотрим работу над ошибками и положительные примеры коммуникаций и эффект от них.
Расскажем, как в разных каналах коммуникации распространяются новости и как можно минимизировать негатив в них. Обсудим влияние репутационных рисков в публичном поле на компанию и разберем варианты коммуникаций со всех сторон - пиара, медиа и специалиста по ИБ.
В докладе разберем крайне сложный компьютерный инцидент, связанный с ведением APT-группировкой кибершпионажа в сети организации. Рассмотрим факторы, способствующие возникновению и развитию компьютерного инцидента, а также неоднозначную атрибуцию хакерской группировки.
Попробуем рассмотреть процесс расследования инцидентов ИБ с обратной стороны медали. Выступление описывает срез наиболее показательных расследований команды с точки зрения уроков, ошибок и "подводных камней", которыми хочется поделиться
В докладе расскажем про обнаружение атак на ADCS и реагирование на них. Разберем технику повышения привилегий в домене AD известную как ESC11. Она не признана производителем ПО как уязвимость, но при этом достаточно часто встречается в боевых проектах. С точки зрения пентестера будет рассказано, как обнаруживается данная особенность конфигурации в домене AD, что нужно для эксплуатации уязвимости, а также показано как эксплуатировать уязвимость. Также будут даны рекомендации по ее устранению. Однако бывают ситуации, когда данную особенность устранить не получится из-за поддержки старого оборудования и ПО, в таком случае аналитики SOC должны уметь обнаруживать данную атаку. SOC покажет, какие события необходимо отслеживать для обнаружения атак на ADCS на примере ESC11.Будут предложены меры по реагированию на подобные атаки, компенсирующие действия для их предотвращения и рекомендации по устранению последствий. Итогом доклада станет оценка эффективности коллаборации пентестера и аналитика SOC.
С точки зрения DFIR-специалиста идеальное расследование — это когда можно полностью изолировать инфраструктуру, собрать артефакты, выявить все точки закрепления атакующих, провести зачистку и возобновить работу компании. Но наш мир не идеален: пораженная инфраструктура влияет на бизнес и чем быстрее она будет запущена, тем меньше убытков от простоя будет у заказчиков. При таком подходе обычное реагирование перестает быть линейным и разбивается на 3 составляющие: быстрое восстановление работы заказчика, проведение расследования и постоянный мониторинг возможных оставшихся следов закрепления. В ручном режиме на большой инфраструктуре провернуть такое невозможно. Поэтому в критичных с точки зрения бизнеса клиентов кейсах мы используем гибридный подход DFIR и CA и проводим расследование с использованием EDR агентов и мониторинга SOC. В докладе на примере одного из крупных инцидентов расскажу о нашем расследовании, где нужно было помочь безопасно запустить бизнес заказчика после атаки и не допустить повторной компрометации, отслеживать все события в сети, расследовать и зачищать инфраструктуру. И все это параллельно в сжатые сроки
Азартный поединок, который нельзя пропустить! Две команды, одна против другой, будут за секунды принимать решения, искать верные ответы, и главное — рисковать.
Три тура, три вида заданий, ограниченное время, смелые ставки. Каждое задание — это проверка знаний в ИБ, смекалки и умения трезво оценивать свои силы. Одна ошибка, и баллы заберёт другая команда. Звучит напряжённо? Ещё как!
В турах командам предстоит: находить максимум верных ответов на вопрос, угадывать продолжение цитат, объяснять друг друга ИБ-термины, не называя их.
Проведёт состязание авторитетный эксперт и блестящий ведущий Максим Хараск,Innostage!
Кому достанется победа? Узнаете на «Кибербез-аукционе»!
Актуальность и необходимость наличия в активах SOC сложных правил корреляции для детектирования различных методов разведки в AD с помощью событий безопасности категории DS Access на серверах контроллерах домена в качестве основы корреляционной логики.
Службы ИБ на пути к созданию идеальных СУИБ используют множество технологичных средств защиты. Но процессы продолжают вести в разрозненных Excel таблицах и неспециализированных системах. В результате именно человек и процессы становятся слабым звеном, а система защиты деградирует. Как избежать деградации, создать Систему из разрозненных компонентов, привлечь на помощь силу Community и не потратить на это все ресурсы Службы ИБ - в докладе.
1. История появления автоматизированного пентеста
2. Рутина, как проблема
3. Пентестер vs. ПО
4. Архитектура, принцип работы
5. Результаты запуска, опыт
6. Текущие векторы проникновения и как их закрыть
7. Текущие игроки на мировом рынке и в РФ
Место PAM как источника данных и важность систем изменилось и такие системы способны реализовывать сценарии дополнительного анализа и управления привилегированным доступом не только в разрезе "человек-информационная систем", но и "информационная система-информационная система". В рамках выступления я расскажу о новых возможностях систем, интересных сценариях и построения взаимосвязанных архитектур с применение PAM и тех данных, которые они способны давать для анализа в SOC
В рамках дискуссии обсудим атаки с использованием шифровальщиков. Как от них защищаться? Можно ли успеть что-то сделать, когда шифрование уже началось? Каковы шансы восстановить свои файлы, не платя злоумышленникам выкуп? И стоит ли вообще платить злоумышленникам? Все это и многое другое мы обсудим с участниками дискуссии
На мастер-классе мы проведем технический собес специалиста SOC L1, L2 линий с нанимающим менеджером.
Вы узнаете:
Приходите! Будет жарко!
В рамках дискуссии поговорим об утечках данных во всем их многообразии: почему сначала все грешат на сотрудников? Так ли они виноваты или все же хакеры воруют данных куда больше? Отдельный вопрос - защита данных даже в случаях взлома инфраструктуры: возможна ли она и как это можно сделать? Эффективны ли традиционные подходы к защите данных и чем в принципе защищаться? Достаточно ли защитить свою инфраструктуру и поставить DLP или этого уже мало? И что в принципе делать, если данные утекли?
До косточек разберем все атаки, направленные на кражу данных, и сформируем подходы и рецепты к защите
Проблема DDoS-атак известна и актуальна давно, а сейчас она стала очевидной и для широкой публики, находясь в ТОП-3 новостной повестки по ИБ-инцидентам, наравне с утечками и мошенниками. Последнее время многие организации, которые столкнулись с DDoS-атаками, и не думали, что могут стать целями и оказались совершенно не готовы. Но даже те, кто думал, что готов - серьезно пострадал.
Почему так получилось и какие есть проблемы в защите от DDoS-атак обсудим с позиции разных участников процесса: банк; хостер с услугой защиты; интернет-провайдер с услугой защиты; разработчик софта для защиты.
и конечно же поделимся подходами, практиками и советами по организации защиты от DDoS-aтак.
Расследование инцидентов подразумевает сбор и анализ больших объёмов данных. Их непрерывный поток способен захлестнуть любую команду аналитиков, ставя под угрозу оперативность и точность принятия решений. Мы погрузимся во все этапы расследования, вместе разрубим самые крепкие узлы в процессах и покажем, как их оптимизировать, не потеряв при этом в качестве
Ни для кого не секрет, что на различных теневых ресурсах злоумышленники могут найти практически все для реализации целевых атак: доступы в корпоративные сети, инструменты, исполнителей... Тем не менее, многие годы продавцы ВПО ограничивали возможность его использования на территории России и других стран СНГ. Но все изменилось...
Как часто возникают кейсы, когда пострадавшим компаниям нужно обращаться в правоохранительные органы и какую роль в этом играют эксперты, занимающиеся расследованиями киберпреступлений.
В данном докладе я рассмотрю несколько методов, что используют атакующие при атаках на исследователей по безопасности через VS IDE. Упор будет сделан на относительно новую технику, связанную с десериализацией suo-файлов в проекте VS. Поделюсь деталями этой атаки, YARA-правилом для нахождения подобных файлов, детектирующей логикой под SIEM, а также рассмотрим несколько примеров, найденных на VT и GitHub с использованием этой техники
Вопросы развития профессионалов в сфере информационной безопасности активно обсуждаются на разных площадках, но системного решения не выработано.
Центр компетенций "Кибербезопасность" НТИ ЭНЕРДЖИНЕТ разработал и предлагает обсудить возможность синхронизации бизнеса, государства и представителей образовательной сфере на базе "Карты развития кадров и соответствующие матрицы их компетенций"
Государственные учреждения субъекта РФ под шквалом кибератак! Налицо серьёзные инциденты. Перехват контроля над веб-ресурсами, вторжение шифровальщика, компрометация контрагентов.
Ответят на вызовы команды Штабов киберзащиты — не робкого десятка специалисты ИБ из числа участников SOC Tech. Справятся ли они с хитроумными нападениями? Как отреагируют на инцидент, ликвидируют кризис и устранят последствия атаки? И как их действия оценит авторитетное жюри- представители НКЦКИ, ФСТЭК России, Банка России?
Штабные учения — это сверхполезный опыт для участников команд и каждого зрителя. В условиях, максимально приближенных к реальным, станет ясно, как строить работу отдела ИБ для предотвращения инцидентов и устранять выявленные проблемы.