Więcej bezpieczeństwa – budowa SOC i skuteczniejsze zarządzanie incydentami

Warsztaty całodniowe w godzinach (8.30 – 17.15)

Celem warsztatów jest przekaz wiedzy dotyczącej organizacji zarządzania incydentami w dużych organizacjach – ze naciskiem na budowę i funkcjonowanie Security Operations Center. W interaktywnej, angażującej uczestników formule, postaramy się przejść przez etapy od planowania do uruchomienia SOCa w organizacji. Na konkretnych przykładach przeanalizujemy cele, zadania oraz narzędzia konieczne do takiego wdrożenia – zarówno z uwagi na wymogi prawne (Ustawa o Krajowym Systemie Cyberbezpieczeństwa), jak i dążenie do poprawy zarządzania incydentami w organizacji i podniesienie bezpieczeństwa na nowy poziom.

Celem pierwszej sesji jest dostarczenie uczestnikom podstawowej wiedzy o czynnikach wpływających na budowę SOC i wyborze modelu współpracy z dostawcami usług w tym zakresie. W formie praktycznej analizy przypadku, na podstawie architektury infrastruktury, analizy ryzyka, dostępnych zasobów oraz doboru rozwiązań stron trzecich (np. w obszarze korelacji zdarzeń, automatyzacji procesu, Threat Intelligence), wspólnie wybierzemy najlepszy model budowy SOC.

Druga sesja podejmie problem personelu, który powinien tworzyć SOC.

Celem sesji trzeciej jest przedstawienie wpływu wybudowania w organizacji systemu wykrywania i reagowanie na ataki i zagrożenia cybernetyczne na jej funkcjonowanie. Nacisk zostanie położony na analizę architektury bezpieczeństwa informatycznego i sieciowego. Zostanie poruszona rola SOC i NOC organizacji w krajowym systemie cyberbezpieczeństwa. Zaproponowana zostanie metoda zwymiarowanie wykorzystywanych technik cybernetycznych, metryki i przykładowe raporty. Przedstawione zostanie odniesienie do dojrzałości modelu zarządzania podatnościami. Ponadto zostaną przedstawione modele ładu korporacyjnego z komórkami odpowiedzialnymi za ochronę cybernetyczną.

Celem ostatniej, piątej sesji jest zademonstrowanie uczestnikom, sposobu planowania i realizacji ataku cybernetycznego. Rozumienie jak działają cyberprzestępcy daje zarządzającym oraz pracownikom SOC możliwość odpowiedniego przygotowania się do monitorowania i reagowania na incydenty bezpieczeństwa. Sesja zostanie przeprowadzona w konwencji gry turowej będącej rywalizacją dwóch zespołów: drużyny atakującej – Red Team oraz drużyny broniącej – Blue Team. Polem bitwy będzie fikcyjna fabryka wyrobów chemicznych. Celem uczestników sesji należących do Red Team’u będzie zatrzymanie produkcji jednego ze strategicznych produktów fabryki, Blue Team natomiast będzie miał za zadanie nie dopuścić do skutecznej realizacji ataku. Każda z drużyn otrzyma do dyspozycji zestaw kart ilustrujących możliwe do zastosowania taktyki ataku i narzędzia obrony cybernetycznej. Rozgrywka prowadzona będzie przez moderatora w formie tur, z których każda odpowiadać będzie fazom ataku wg. Metodyk SANS The industrial Control System Cyber Kill Chain oraz MITRE ATT&CK.

Uczestnicy warsztatów otrzymają dostęp do materiałów wypracowanych podczas warsztatów i ewentualnych materiałów uzupełniających od prowadzących.

• Wprowadzenie do tematyki warsztatu – Analiza ryzyka instrastruktury (w tym wymagania regulacyjne), odpowiedź na zagrożenia, co tworzy SOC, jak skorzystać na współpracy z dostawcami. Quiz online.
• Wprowadzenie do analizy przypadku – Przedstawienie danych wejściowych, wyjaśnienie celu zadania.
• Praca w grupach – dobór skali działania, procesu, technologii i specjalistów w zespole, wybór dostawcy, priorytetyzacja kolejnych kroków.
• Przedstawienie rezultatu pracy grup – wybór najlepszego modelu, elementy wpływające na ocenę, uzasadnienie.
• Podsumowanie sesji i pytania. Quiz online.

• Wprowadzenie – system krajowy i współpraca w obszarze cyberbezpieczeństwa – rola organizacji uczestników w systemie krajowym – dyskusja.
• Analiza zasobów, architektura bezpieczeństwa organizacji a wdrożenie centrum bezpieczeństwa. Scenariusze implementacji w organizacjach – przypadki użycia.
• Metryki, raporty i kluczowe parametry dla cyklu Deminga w obszarze cyberbezpieczeństwa – analiza ich przydatności w środowisku organizacji uczestnika.
• Zorganizowanie ładu korporacyjnego z komórkami odpowiedzialnymi za bezpieczeństwo – ile bezpieczeństwo kosztuje organizację.

• About Cyber Fusion, history and background, SOC and CSIRT models
• Basics of process design
• Deep dive on Cyber Fusion capabilities and critical functions  (Incident Response, Threat Detection,  Malware Analysis, Attack Surface Management,  Incident Command)
• Team hands-on exercise: design , in groups, the best-in-class Cyber Fusion Center including its KPIs
• Lessons learned and Q&A

• Wprowadzenie – omówienie zasad gry oraz jej kontekstu. Przedstawienie organizacji stanowiącej pole rywalizacji (w tym proces, architektura IT i OT)
• Przygotowanie do pierwszej tury – zaplanowanie scenariusza ataku przez Red Team oraz przygotowanie środków obrony przez Blue Team – 15 min
• Właściwa rozgrywka – realizacja około 5 faz ataku cybernetycznego w 5 turach. W każdej z tur Red Team realizuje wybrane taktyki ataku zaś Blue Team stosuje przygotowane środki obronne. Na zakończenie tury obydwie drużyny wyciągają wnioski z wykonanych kroków i przygotowują się do kolejnego starcia.
• Podsumowanie – omówienie wniosków z ćwiczenia w tym ocena przydatności symulacji ataków w szkoleniu personelu SOC