Warsztaty KSC Forum 2021, 9 września
Poznaj prawdziwy system XDR – dlaczego zwykły EDR dzisiaj już nie wystarczy (na przykładzie Trend Micro Vision One)
Czas trwania: 9.00 - 11.00
Limit uczestników: 12 osób
Opis:
Zespoły ds. cyberbezpieczeństwa zmagają się z nadmierną liczbą alertów, przez co wykrywanie i eliminacja zagrożeń jest coraz bardziej czasochłonna. Przedsiębiorstwa mają coraz większy problem z niezintegrowanymi narzędziami, chaotycznymi powiadomieniami i zaawansowanymi zagrożeniami. Na działach zajmujących się cyberbezpieczeństwem spoczywa ogromna odpowiedzialność, a duża liczba alertów bez kontekstu powoduje, że trudno jest określić, na co właściwie należy zwracać uwagę.
Technologia XDR zmienia zasady gry - Trend Micro Vision One pozwala na automatyzację procesów, korelację oraz dostarcza bogaty zestaw narzędzi i danych. Przykładem może być automatyczna analiza przyczyn, dzięki której analityk uzyskuje dokładne informacje na temat przebiegu ataku w czasie, który może obejmować pocztę elektroniczną, punkty końcowe, serwery, chmurę i sieć. Pozwala to na szczegółowe zbadanie każdego kroku ataku, co umożliwia podjęcie odpowiednich przeciwdziałań.
Korzyści dla uczestnika:
Uczestnik warsztatów będzie miał możliwość szczegółowego poznania możliwości platformy Trend Micro Vision One, której sercem jest moduł XDR. Każdy z uczestników pozna teoretyczne podstawy sytemu oraz otrzyma dostęp do rozwiązania, dzięki czemu będzie mógł sprawdzić jego możliwości w praktyce, zarówno podczas warsztatów jak i w kolejnych tygodniach.
Uczestnicy:
Osoby wchodzące w skład zespołów ds. cyberbezpieczeństwa w szczególności odpowiedzialne za wykrywanie incydentów oraz monitorowanie, korelowanie i analizę zdarzeń bezpieczeństwa.
Wymagania:
- Możliwość dostępu do sieci Internet na portach TCP 443 (HTTPS), TCP 3389 (RDP)
- Posiadanie oprogramowania Zoom za pomocą którego będą prowadzone warsztaty
Agenda:
- Wprowadzenie do technologii XDR
- Wprowadzenie do platformy Trend Micro Vision One
- Możliwości Trend Micro Vision One i kierunki rozwoju
- Zarządzanie rozwiązaniem
- Praktyka:
- Aktywacja otrzymanych licencji
- Aktywacja platformy Trend Micro Vision One i pozostałych systemów
- Praca w przygotowanym środowisku testowym zgonie w przygotowanym scenariuszem.
Scenariusz ma za zadanie przeprowadzić użytkownika przez podstawioną konfigurację rozwiązania, pozwolić praktycznie zweryfikować jego wybrane możliwości, oraz sprawić, że użytkownik bez żadnych problemów będzie mógł samodzielnie kontynuować testy po zakończeniu warsztatów do czasu ważności otrzymanej licencji.
Prowadzący:
Monitorowanie i reakcja na incydenty w infrastrukturze krytycznej
Czas trwania: 11.15 - 13.15
Limit uczestników: 30 osób
Opis:
Coraz częstsze ataki cybernetyczne wykonywane na infrastrukturę krytyczną pozwalają wątpić czy wcześniej obrany kierunek tworzenia systemów zabezpieczeń jest prawidłowy. Sam Firewall już nie wystarczy, szczególnie gdy został on skonfigurowany „aby nie przeszkadzać”, często wdrożony kilka lat wcześniej pracujący jedynie w warstwie L4 bez dodatkowych elementów bezpieczeństwa takich jak IPS.
Nowe wytyczne ustawy zajmującej się tematem Infrastruktury Krytycznej jasno nakreślają na jakie aspekty ochrony przed cyberatakami powinniśmy zwrócić uwagę. Jednym z nich jest widoczność, elementów składowych jak i procesów występujących w tejże Infrastrukturze.
Korzyści z udziału:
Podczas warsztatu poruszymy temat budowania pełnej widoczności w Infrastrukturze Krytycznej oraz praktycznie wykorzystamy zebrane dane aby zbudować koncepcyjną politykę bezpieczeństwa dla obszarów styku IT ze światem OT.
Wymagania:
- Posiadanie oprogramowania Zoom za pomocą którego będą prowadzone warsztaty
Agenda:
- Wstęp teoretyczny.
- Przygotowanie środowiska laboratoryjnego dla każdego z uczestników.
- Analiza danych zebranych przez wybrany system analityczny (Claroty, Armis, Medigate)
- Przygotowanie Integracji między wybranym systemem analitycznym(Claroty, Armis, Medigate) a systemem zarządzania Check Point SMS.
- Próba przeprowadzenia ataku na urządzenie sieciowe.
- Analiza zebranych danych.
Prowadzący:
Wykrywanie, analiza i skuteczna ochrona przed atakami DDoS
Czas trwania: 13.30 - 15.30
Limit uczestników: 30 osób
Opis:
Ataki DDoS są jednymi z najczęstszych ataków hackerskich, a ich głównym celem mogą być nasze aplikacje oraz całe sieci korporacyjne. Ich zadaniem jest zajęcie wszystkich dostępnych zasobów (RAM, CPU) w celu uniemożliwienia funkcjonowania usług. W związku z tym, że ich skala jest tak potężna, ataki te są przyczyną wielu poważnych awarii i braku dostępu do kluczowych usług wielu klientów na całym świecie. Jednym z przykładów może być tutaj atak Mirai, którego siła wynosiła 1.2 terabitów/s, z którą nie poradziła sobie nawet najnowocześniejsza infrastruktura firmy DYN, która dostarcza usługi do takich firm jak Netflix, PayPal, Twitter czy Spotify. Mimo iż ataki te nie są trudne do wykonania, to nie należy ich lekceważyć, a żeby się przed nimi bronić, należy wyposażyć się w narzędzie, które sprawi, że ta walka nie będzie skazana na porażkę.
Korzyści z udziału:
Uczestnicy warsztatu posiądą praktyczną wiedzę na temat wykorzystania różnych profili ochrony przed różnego rodzaju atakami typu DDoS w F5 DDoS Hybrid Defender. Przygotowanie odpowiednich profili ochrony pozwoli z jednej strony zabezpieczyć same urządzenie przed atakiem, a jednocześnie ochroni nasze kluczowe usługi.
Wymagania:
- Posiadanie oprogramowania Zoom za pomocą którego będą prowadzone warsztaty
- Aplikacja działająca jako klient SSH (np. PuTTY, MobaXterm)
- Aplikacja pozwalająca na utworzenie pary kluczy SSH (np. PuTTY
Plan warsztatów:
- Przygotowanie połączenia do środowiska laboratoryjnego.
- Wygenerowanie pary kluczy SSH.
- Praca z menu "DoS Configuration".
- Przygotowanie odpowiednich profili chroniących różne usługi przed atakami DDoS.
- Różnice wynikające z różnych typów ochrony (Device DoS and Per Service-DOS protection)
- Automatyczne wykrywanie działających usług.
- Konfiguracja progów zabezpieczeń - automatyczny vs manualny.
- Wykonanie testowych ataków, ich wykrywanie i przeciwdziałanie ich skutkom.
Prowadzenie:
Ochrona infrastruktury przemysłowej? – tak to możliwe!
Czas trwania: 13.30 - 15.30
Limit uczestników: brak
Opis:
W ostatnim czasie coraz częściej i z większą śmiałością środowiska OT, które przez długi czas były kompletnie odcięte od Internetu uzyskują do niego dostęp. Głównie dlatego, że ryzyko jakie płynie z dostępu do globalnej sieci jest często mniejsze, niż korzyści które można uzyskać z unifikacji oraz zdalnego dostępu i monitorowania owych środowisk. Nie mniej jednak, środowiska automatyki przemysłowych są narażone na wszelkie zagrożenia wynikające z niezabezpieczonych sieci, często braku aktualizacji bezpieczeństwa systemów w niej istniejących czy wreszcie szerszego dostępu do sieci OT.
Rozwiązaniem jest Scadvance XP - innowacyjny system do monitorowania sieci przemysłowych zapewniający identyfikację, monitoring oraz bezpieczeństwo posiadanych zasobów w czasie rzeczywistym.
Korzyści dla uczestnika:
W trakcie pokazów na żywo uczestnicy warsztatów dowiedzą się o potencjalnych problemach i zagrożeniach jakie w środowiskach OT pojawiały się w ostatnim czasie. Zostanie zademonstrowany sposób działania i wykrywania anomalii za pomocą systemu klasy IDS.
Wymagania:
- Posiadanie oprogramowania Zoom za pomocą którego będą prowadzone warsztaty
Agenda:
- Bezpieczeństwo - Co to jest i jak się za nie zabrać oraz czego od nas wymagają?
- To, co już wiemy z IT
- To, czego jeszcze nie wiemy w OT
- Analiza najczęściej popełnianych błędów
- Studium wybranych ataków z ostatnich lat
- Pokaz na żywo
- Analiza na chłodno
- Co zmienić - sugestie rozwiązań omawianych problemów
Prowadzący:
Skuteczny pomiar i analiza ryzyka w środowisku wykorzystującym wiele technologii
Czas trwania: 13.30 - 15.30
Limit uczestników: brak
Opis:
Czas systemów jednolitych przeminął, a firmy stosują coraz bardziej skomplikowany miks systemów operacyjnych (Windows, Linux, Android, OSX) i technologii (IT, OT, IoT, konteneryzacja, chmura, Active Directory). Podejście DevOps powoduje, że systemy zaczynają być samodzielnymi wyspami, które co prawda integrują się z resztą struktury, ale organizacja zaczyna tracić całościowe spojrzenie na swoje zasoby - nie tylko funkcjonalnie, ale nade wszystko z punktu widzenia bezpieczeństwa. Dodatkowym problemem jest paradygmat Agile oraz continuous delivery - aplikacje i platformy systemowe potrafią się zmieniać nie raz na kwartał czy raz w miesiącu, ale kilka razy w ciągu godziny. Z punktu widzenia bezpieczeństwa to istny armagedon, a dochodzą przecież wymogi prawne grożące karami: RODO, KSC/KSC2, DORA czy CER.
W trakcie warsztatów pokażę, jak przywrócić równowagę, zatem: jak trafnie i rzetelnie mierzyć oraz analizować ryzyko systemów nieheterogenicznych oraz spełnić zarówno wymagania bezpieczeństwa wynikające ze zdrowego rozsądku, jak i z aktów prawnych.
Przy okazji obalimy kilka mitów:
- Czy audyt raz na rok i pentest raz na trzy lata to przepis na sukces?
- HTTPS - skuteczna ochrona przed wyciekami danych?
- Czy badanie systemów OT/IoT wyłącznie poprzez sniffowanie pasywne jest błędem w sztuce?
- Czemu Active Directory zamiast być centrum zaufania w organizacji staje się najpoważniejszym dla niej zagrożeniem?
- Czy da się zabezpieczyć systemy konteneryzacji (docker, Kubernetes) tak, aby uniknąć „testowania bezpieczeństwa na produkcji” przez zwinne zespoły?
Korzyści z udziału:
Uczestnicy zapoznają się z możliwością dokonywania całościowego, efektywnego pomiaru ryzyka towarzyszącego systemom wykorzystującym miks systemów operacyjnych i technologii.
Wymagania:
- Posiadanie oprogramowania Zoom za pomocą którego będą prowadzone warsztaty
Agenda:
- zarządzanie ryzykiem - co robimy źle? Studia przypadków.
- Analiza ryzyka systemów IT - system Tenable.SC (Security Center)
- Analiza ryzyka systemów konteneryzacji - system Tenable.CS
- Analiza ryzyka Active Directory - system Tenable.AD
- Analiza ryzyka OT (czyli czemu sam nadzór pasywny to za mało) - system Tenable.OT
- Paradygmat Cyber Exposure, czyli jak zgrabnie połączyć wszystkie informacje o ryzyku i zapewnić zgodność z wymogami prawa
Prowadzący: