Planowane są dwa równoległe warsztaty, które odbędą się 21 lutego w Hotelu Airport Okęcie.
Liczba uczestników na każdych warsztatach jest ograniczona do 20 osób! Decyduje kolejność zgłoszeń.
W warsztatach nie mogą uczestniczyć przedstawiciele branży ICT oraz firm konsultingowych.
Warsztaty 1: Więcej bezpieczeństwa – budowa SOC i skuteczniejsze zarządzanie incydentami
Warsztaty 2: Techniki i metody włamań hakerów do infrastruktury
Więcej bezpieczeństwa – budowa SOC i skuteczniejsze zarządzanie incydentami
Czas trwania
Warsztaty całodniowe w godzinach (8.30 – 17.15)
Opis
Celem warsztatów jest przekaz wiedzy dotyczącej organizacji zarządzania incydentami w dużych organizacjach – ze naciskiem na budowę i funkcjonowanie Security Operations Center. W interaktywnej, angażującej uczestników formule, postaramy się przejść przez etapy od planowania do uruchomienia SOCa w organizacji. Na konkretnych przykładach przeanalizujemy cele, zadania oraz narzędzia konieczne do takiego wdrożenia – zarówno z uwagi na wymogi prawne (Ustawa o Krajowym Systemie Cyberbezpieczeństwa), jak i dążenie do poprawy zarządzania incydentami w organizacji i podniesienie bezpieczeństwa na nowy poziom.
Celem pierwszej sesji jest dostarczenie uczestnikom podstawowej wiedzy o czynnikach wpływających na budowę SOC i wyborze modelu współpracy z dostawcami usług w tym zakresie. W formie praktycznej analizy przypadku, na podstawie architektury infrastruktury, analizy ryzyka, dostępnych zasobów oraz doboru rozwiązań stron trzecich (np. w obszarze korelacji zdarzeń, automatyzacji procesu, Threat Intelligence), wspólnie wybierzemy najlepszy model budowy SOC.
Druga sesja podejmie problem personelu, który powinien tworzyć SOC.
Celem sesji trzeciej jest przedstawienie wpływu wybudowania w organizacji systemu wykrywania i reagowanie na ataki i zagrożenia cybernetyczne na jej funkcjonowanie. Nacisk zostanie położony na analizę architektury bezpieczeństwa informatycznego i sieciowego. Zostanie poruszona rola SOC i NOC organizacji w krajowym systemie cyberbezpieczeństwa. Zaproponowana zostanie metoda zwymiarowanie wykorzystywanych technik cybernetycznych, metryki i przykładowe raporty. Przedstawione zostanie odniesienie do dojrzałości modelu zarządzania podatnościami. Ponadto zostaną przedstawione modele ładu korporacyjnego z komórkami odpowiedzialnymi za ochronę cybernetyczną.
Celem ostatniej, piątej sesji jest zademonstrowanie uczestnikom, sposobu planowania i realizacji ataku cybernetycznego. Rozumienie jak działają cyberprzestępcy daje zarządzającym oraz pracownikom SOC możliwość odpowiedniego przygotowania się do monitorowania i reagowania na incydenty bezpieczeństwa. Sesja zostanie przeprowadzona w konwencji gry turowej będącej rywalizacją dwóch zespołów: drużyny atakującej – Red Team oraz drużyny broniącej – Blue Team. Polem bitwy będzie fikcyjna fabryka wyrobów chemicznych. Celem uczestników sesji należących do Red Team’u będzie zatrzymanie produkcji jednego ze strategicznych produktów fabryki, Blue Team natomiast będzie miał za zadanie nie dopuścić do skutecznej realizacji ataku. Każda z drużyn otrzyma do dyspozycji zestaw kart ilustrujących możliwe do zastosowania taktyki ataku i narzędzia obrony cybernetycznej. Rozgrywka prowadzona będzie przez moderatora w formie tur, z których każda odpowiadać będzie fazom ataku wg. Metodyk SANS The industrial Control System Cyber Kill Chain oraz MITRE ATT&CK.
Materiały
Uczestnicy warsztatów otrzymają dostęp do materiałów wypracowanych podczas warsztatów i ewentualnych materiałów uzupełniających od prowadzących.
Agenda
8.00 - 8.30
Rejestracja uczestników i poranna kawa
8.30 - 10.00
Dla kogo SOC? Kiedy warto stworzyć tę jednostkę w organizacji, a kiedy outsourcować jej funkcje? Czy tworzyć SOC osobno dla OT czy może wspólny z IT?
- Wprowadzenie do tematyki warsztatu – Analiza ryzyka instrastruktury (w tym wymagania regulacyjne), odpowiedź na zagrożenia, co tworzy SOC, jak skorzystać na współpracy z dostawcami. Quiz online.
- Wprowadzenie do analizy przypadku – Przedstawienie danych wejściowych, wyjaśnienie celu zadania.
- Praca w grupach – dobór skali działania, procesu, technologii i specjalistów w zespole, wybór dostawcy, priorytetyzacja kolejnych kroków.
- Przedstawienie rezultatu pracy grup – wybór najlepszego modelu, elementy wpływające na ocenę, uzasadnienie.
- Podsumowanie sesji i pytania. Quiz online.
Krzysztof Szymczyk
Cybersecurity Director , Herbalife Nutrition
10.00 - 10.15
Przerwa na kawę
10.15 - 11.45
Kto powinien tworzyć SOC, czyli słów kilka na temat personelu tworzącego zespół. Jakich kompetencji potrzebujemy w zespole? Skąd pozyskiwać pracowników? Jak prowadzić weryfikację ich kompetencji i jak planować szkolenia?
Wojciech Józefowicz
Dyrektor Departamentu Korporacyjnego Bezpieczeństwa ICT, Grupa Azoty
Krzysztof Tomkiel
Kierownik SOC, Grupa Azoty
11.45 - 12.00
Przerwa na kawę
12.00 - 13.30
SOC, ład korporacyjny i współpraca w systemie krajowym
- Wprowadzenie – system krajowy i współpraca w obszarze cyberbezpieczeństwa – rola organizacji uczestników w systemie krajowym – dyskusja.
- Analiza zasobów, architektura bezpieczeństwa organizacji a wdrożenie centrum bezpieczeństwa. Scenariusze implementacji w organizacjach – przypadki użycia.
- Metryki, raporty i kluczowe parametry dla cyklu Deminga w obszarze cyberbezpieczeństwa – analiza ich przydatności w środowisku organizacji uczestnika.
- Zorganizowanie ładu korporacyjnego z komórkami odpowiedzialnymi za bezpieczeństwo – ile bezpieczeństwo kosztuje organizację.
Jacek Jarmakiewicz
Ekspert – Architekt Systemów ICT, NASK PIB
Maciej Siciarek
Kierownik Działu Innowacji Cyberbezpieczeństwa, NASK PIB
13.30 - 14.00
Lunch
14.00 - 15.30
How to organize a Cyber Fusion Team to better respond to threats, provide measurable added value to the organization and by doing so retaining cyber talent.*
- About Cyber Fusion, history and background, SOC and CSIRT models
- Basics of process design
- Deep dive on Cyber Fusion capabilities and critical functions (Incident Response, Threat Detection, Malware Analysis, Attack Surface Management, Incident Command)
- Team hands-on exercise: design , in groups, the best-in-class Cyber Fusion Center including its KPIs
- Lessons learned and Q&A
Francesco Chiarini
Dyrektor ds. projektów międzynarodowych, ISSA
15.30 - 15.45
Przerwa na kawę
15.45 - 17.15
Anatomia ataku – zrozumienie sposobu planowania i realizacji ataku cybernetycznego jako kluczowy czynnik efektywności działania SOC
- Wprowadzenie – omówienie zasad gry oraz jej kontekstu. Przedstawienie organizacji stanowiącej pole rywalizacji (w tym proces, architektura IT i OT)
- Przygotowanie do pierwszej tury – zaplanowanie scenariusza ataku przez Red Team oraz przygotowanie środków obrony przez Blue Team – 15 min
- Właściwa rozgrywka – realizacja około 5 faz ataku cybernetycznego w 5 turach. W każdej z tur Red Team realizuje wybrane taktyki ataku zaś Blue Team stosuje przygotowane środki obronne. Na zakończenie tury obydwie drużyny wyciągają wnioski z wykonanych kroków i przygotowują się do kolejnego starcia.
- Podsumowanie – omówienie wniosków z ćwiczenia w tym ocena przydatności symulacji ataków w szkoleniu personelu SOC
Krzysztof Swaczyński
Wiceprezes Zarządu, SEQRED
Techniki i metody włamań hakerów do infrastruktury
Czas trwania
Warsztaty całodniowe w godzinach (9.00 – 16.40)
Korzyści dla uczestnika
Dzięki uczestnictwu w warsztatach:
- Dowiesz się, jakie narzędzia oraz techniki są wykorzystywane do ataków na infrastrukturę IT/OT
- Poznasz, jakie błędy konfiguracyjne w systemach są najczęściej wykorzystywane przez atakujących
- Uzyskasz wiedzę, jakie rodzaje błędów w aplikacjach webowych mogą być wykorzystane do ataku
- Zrozumiesz, jakie mogą być punkty wejścia do infrastruktury IT/OT dla atakujących
- Poznasz, jaki może być wpływ ataków na przemysłowe protokoły komunikacyjne
Opis
Warsztaty są prowadzone w formie zajęć z ćwiczeniami praktycznymi. Uczestnicy otrzymają komputery wraz z gotowym środowiskiem, z narzędziami, które mogą posłużyć do przeprowadzania ataków. Przykładowa część infrastruktury IT/OT zostanie zwirtualizowana na komputerach uczestników, a ich zadaniem będzie próba włamania się do jej poszczególnych elementów. Zadania będą realizowane samodzielne, przy wsparciu trenera. Każdy blok tematyczny będzie poprzedzony krótką częścią wykładową, podczas której zostanie omówione dane zagadnienie.
Materiały
Uczestnicy warsztatów otrzymają dostęp do materiałów wypracowanych podczas warsztatów i ewentualnych materiałów uzupełniających od prowadzącego.
Uczestnicy
Warsztaty przewidziane są dla przedstawicieli firm z branży energetyki, paliw, gazu, użyteczności publicznej i przemysłu z działów bezpieczeństwa, IT i automatyki.
Mile widziana jest wiedza z zakresu obsługi systemu operacyjnego Linux i znajomość protokołów komunikacyjnych (w tym przemysłowych oraz IT, np. HTTP).
Agenda
8.45 - 9.00
Rejestracja uczestników i poranna kawa
9.00 - 9.30
Omówienie punktów wejścia do sieci IT/OT
9.30 - 10.30
Rekonesans sieciowy i szukanie podatności
10.30 - 10.45
Przerwa kawowa
10.45 - 12.30
Ataki na infrastrukturę domeny Windows
12.30 - 13.30
Słabości przemysłowych protokołów komunikacyjnych i ich wykorzystanie
13.30 - 14.10
Lunch
14.10 - 14.55
Słabości przemysłowych protokołów komunikacyjnych i ich wykorzystanie (dokończenie)
14.55 - 15.10
Przerwa kawowa
15.10 - 16.40
Podatności w aplikacjach web i ich wypływ na bezpieczeństwo infrastruktury
Mateusz Nalewajski
Menedżer ds. bezpieczeństwa IT, Alior Bank