Многие недавние громкие атаки стали результатом уязвимостей в цепочке поставок. Манипулирование зависимостями - основной вектор атаки, позволяющий закрепиться в уязвимом процессе SDLC. Способен ли злоумышленник автоматически компрометировать множество репозиториев и пакетов для организации первоначального массового доступа к разработчикам ПО?
Для определения возможностей злоумышленника по массовой компрометации мы проанализировали структуру зависимостей и популярные реестры пакетов. Выделили набор артефактов, которые могут контролироваться злоумышленником и быть уязвимыми для атак на цепочку поставок в разработке. В докладе мы предложим методы и инструменты для мониторинга артефактов зависимостей для снижения риска компрометации процессов разработки и как следствие, снижения количества инцидентов, связанных с цепочкой поставок
Выступление даст представление о концепции Log Management и его роли в обеспечении безопасности. Расскажем о преимуществах централизованного сбора событий и эффективном использовании всеми средствами защиты
Поговорим о том, что такое threat intelligence, как собираются и обрабатываются данные об угрозах. Мы поделимся собственными кейсами, расскажем про процессы и скоринг угроз, а также почему для поставки собственных правил AM Rules мы решили разработать внешний сервис AM Treat Intelligence Portal
Рассмотрим кейсы, когда только EDR останавливал атаки APT-группировок, а когда его было недостаточно. Также, поговорим о том, как мы видим развитие технологий детектирования и реагирования на компьютерные атаки
Сотрудники SOC сталкиваются со стилерами и RAT на ежедневной основе. Такое ВПО часто помогает злоумышленникам получить первоначальный доступ к корпоративным сетям, в некоторых случаях даже к самым большим. Но как эти инструменты попадают в руки к атакующим? Мы рассмотрим наиболее популярные образцы ВПО, которые встречаются на территории России, рассмотрим их функциональные возможности и методы распространения, а также проследим их эволюцию до первоисточника - теневого форума, канала в Telegram или веб-сайта, на котором злоумышленники могли его приобрести или арендовать
Нельзя преуменьшить распространенность телеги в наше время, ведь тут все: и друзья, и работа, и «файлообменник с гигабайтами свежей информации». Неудивительно, что злоумышленники добрались и до него. В докладе расскажут:
ну и, конечно же, что теперь с этим всем делать
Обзор архитектуры решения по контролю привилегированного доступа и роль её в расследовании, детектировании и реагировании на инциденты доступа - от данных характерных для PAM-систем до косвенных событий, свидетельствующих об изменении пользовательской активности
Рассказы о том, как НЕ НАДО строить SOC - факапы, типичные ошибки, темные места, о которых забывают неопытные компании
Автоматизация пентеста. Задачи, которые может решить такая система. Какие ограничения есть у таких систем. Преимущества перед ручным пентестом. Можно ли заменить ручной пентест?
Новый подход к аутентификации позволит операторам SOC отслеживать уникальные события, характерные для целого ряда атак на учетные данные в корпоративной среде, которые ранее невозможно было детектировать, либо их детектирование носило эвристический характер с существенным количеством ошибок. Применение Indeed ITDR позволит выявлять атаки на учетные данные и противодействовать в режиме реального времени
Место систем контроля привилегированного и просто доступа в инфраструктуру в общем понимании SOC. Какие возможности для анализа и реагирования дают такие системы сегодня. Чем они могут быть полезны и какой дополнительный эффект могут дать - будь то собственные или коммерческие, как услуга, SOC. Рассмотрим примеры, практику и возможности PAM-систем на примере платформы контроля привилегированного и обычного доступа СКДПУ НТ
Ликбез по деривативам, пошаговая реконструкция атаки RansomWare с демонстрацией всего происходящего на машине жертвы и злоумышленника. Работа в интерактивном дизассемблере и процесс анализа индикаторов
В докладе будут рассмотрены особенности файловых систем NTFS и кустов реестра Windows, о которые могут спотыкаться программы, используемые экспертами по форензике
В проектах тестирования на проникновение случается разное. Мы поделимся реальными кейсами, иногда странными, порой весёлыми, часто поучительными. И, конечно, обязательная история про вертолёт!
В рамках доклада будет представлен практический опыт по построению SOC, который обеспечивает полный цикл обработки инцидентов информационной безопасности для больших групп компаний, при условии наличия ограничений в технических и людских ресурсах
На определенной стадии развития SOC возникает вопрос: как интегрировать процессы мониторинга и реагирования с разведкой угроз? Как центру мониторинга пройти путь становления процессов Threat Intelligence с опорой на EDR, и что дальше?
Расскажем о нашем опыте расследования недавней атаки через доверенного подрядчика и поговорим о проблемах расследований подобных атак
Вектора атак, интересные особенности кейсов, ход расследований (аналитика и индикаторы), рекомендации. Разница подходов злоумышленников к частным и государственным целям
Особенности построения процессов взаимодействия команд SOC и DFIR, позитивные и негативные стороны взаимодействия команд
Что нужно для эффективной работы команды реагирования и проведения расследований?
Продукты и процессы кибербезопасности требуют регулярной проверки и тюнинга. Большая часть реальных кибератак могла быть остановлена уже имеющимися средствами защиты. Как защитить инвестиции в защиту и повысить эффективность работы уже внедрённых решений? Применение технологий симуляции кибератак (breach and attack simulation) для валидации работы технических средств защиты, выстроенных процессов и слаженности работы людей. Основная задача симуляции кибератак – это выполнение в инфраструктуре организации контролируемо и точечно отдельных атакующих действий. Такая активность позволяет существенно повысить эффективность внедренных средств защиты, а также развивать функцию выявления и реагирования на кибератаки.
Примеры из реальной жизни: «Металлургия» и «Банк»- тюнинг EDR и AV, улучшение контента в SIEM
Всем известно, что количество инцидентов ИБ с каждым днём постоянно растёт. Для их расследования подключают DFIR-специалистов, которые восстанавливают хронологию произошедшего инцидента, устраняют его последствия, а также дают рекомендации для улучшения ИБ организации. Но для успешного выполнения своей работы специалисту требуются криминалистические артефакты с рабочих станций/серверов и различные журналы с систем, которые атакующие иногда успешно удаляют. В докладе будут рассмотрены источники криминалистических артефактов ОС Windows и то, что злоумышленники с ними делают: удаляют следы запуска программ, модифицируют временные метки файлов, выключают логирование журналов событий и другое. Помимо этого, будут представлены несколько PoC для изменения и удаления данных в некоторых источниках криминалистических артефактов (реестр AmCache, SUM, SRUM)
Дискуссия, направленная на обсуждение работающих кейсов использования технологий машинного обучения в SOC и реальных проблем, которые возникают.
С какими проблемами в части выявления и реагирования сталкиваются различные SOC (большие и маленькие, коммерческие и собственные) при работе с импортозамещёнными слоями инфраструктуры и приклада - с отечественными операционными системами (AstraLinux, RedOS и др.), сервисами каталогов, БД Postrge, виртуализацией и VDI и т.п. Проблема - большинство отечественных средств защиты (как и все западные) всё ещё ориентированы на защиту Windows, Oracle и т.п. EDR, XDR, UEBA на AstraLinux либо не работают, либо практически ничего не детектирует