Материалы конференции

Зал 1, «ивент-зал»
Зал 2, «пиксельная»

Обнаружение и Реагирование

Атаки через цепочку поставок как один из основных трендов 2023 года

Алексей Новиков, НКЦКИ

Скачать

Слепая зона мониторинга: Массовая компрометация зависимостей для закрепления в SDLC

Павел Гусь, Product lead, МТС RED
Денис Макрушин, технический директор, МТС RED

Многие недавние громкие атаки стали результатом уязвимостей в цепочке поставок. Манипулирование зависимостями - основной вектор атаки, позволяющий закрепиться в уязвимом процессе SDLC. Способен ли злоумышленник автоматически компрометировать множество репозиториев и пакетов для организации первоначального массового доступа к разработчикам ПО?
Для определения возможностей злоумышленника по массовой компрометации мы проанализировали структуру зависимостей и популярные реестры пакетов. Выделили набор артефактов, которые могут контролироваться злоумышленником и быть уязвимыми для атак на цепочку поставок в разработке. В докладе мы предложим методы и инструменты для мониторинга артефактов зависимостей для снижения риска компрометации процессов разработки и как следствие, снижения количества инцидентов, связанных с цепочкой поставок
Скачать

Log Management: Централизация, обнаружение и анализ

Максим Мельшиян, ведущий пресейл-менеджер, R-Vision

Выступление даст представление о концепции Log Management и его роли в обеспечении безопасности. Расскажем о преимуществах централизованного сбора событий и эффективном использовании всеми средствами защиты
Скачать

Как оценить угрозы кибербезопасности при помощи экспертных данных

Артём Савчук, заместитель технического директора, Перспективный мониторинг

Поговорим о том, что такое threat intelligence, как собираются и обрабатываются данные об угрозах. Мы поделимся собственными кейсами, расскажем про процессы и скоринг угроз, а также почему для поставки собственных правил AM Rules мы решили разработать внешний сервис AM Treat Intelligence Portal
Скачать

«EDRёный случай». Как EDR спасает ИТ инфраструктуры и чему это нас учит

Алексей Жуков, руководитель SOC | Владелец продукта RT Protect EDR, РТ-Информационная безопасность

Рассмотрим кейсы, когда только EDR останавливал атаки APT-группировок, а когда его было недостаточно. Также, поговорим о том, как мы видим развитие технологий детектирования и реагирования на компьютерные атаки
Скачать

Технический трек

From the Darkness: как коммерческое ВПО становится оружием против Российских организаций

Олег Скулкин, руководитель управления киберразведки, BI.ZONE

Сотрудники SOC сталкиваются со стилерами и RAT на ежедневной основе. Такое ВПО часто помогает злоумышленникам получить первоначальный доступ к корпоративным сетям, в некоторых случаях даже к самым большим. Но как эти инструменты попадают в руки к атакующим? Мы рассмотрим наиболее популярные образцы ВПО, которые встречаются на территории России, рассмотрим их функциональные возможности и методы распространения, а также проследим их эволюцию до первоисточника - теневого форума, канала в Telegram или веб-сайта, на котором злоумышленники могли его приобрести или арендовать
Скачать

Такой лакомый Telegram

Лада Антипова, эксперт DFIRMA Angara SOC

Нельзя преуменьшить распространенность телеги в наше время, ведь тут все: и друзья, и работа, и «файлообменник с гигабайтами свежей информации». Неудивительно, что злоумышленники добрались и до него. В докладе расскажут: - что и у любимой телеги есть свои нюансы;
- почему облачный пароль важен, но не всегда работает;
- наглядно продемонстрирую пример атаки;
- разберем кейсы in the wild, кто и как этим пользуется;
ну и, конечно же, что теперь с этим всем делать
Скачать

Инструменты прямого и косвенного анализа инфраструктуры привилегированного доступа

Константин Родин, руководитель направления по развитию продуктов, АйТи БАСТИОН

Обзор архитектуры решения по контролю привилегированного доступа и роль её в расследовании, детектировании и реагировании на инциденты доступа - от данных характерных для PAM-систем до косвенных событий, свидетельствующих об изменении пользовательской активности
Скачать
Зал 1, «ивент-зал»
Зал 2, «пиксельная»
Зал 3, «мягкая»

Обнаружение и Реагирование

Мониторинг атак на подрядчиков: что брать под контроль на примере реальных кейсов

Алексей Лукацкий, бизнес-консультант по информационной безопасности, Positive Technologies

Скачать

Поверхность атаки на российские компании. Как выглядит сетевой периметр 2000 самых крупных компаний России, и как его защищать?

Владимир Иванов, основатель Сканфэктори

Скачать

Получите от пентестов ещё больше ценности. Ожидания и реальность от автоматизации

Сергей Куприн, генеральный директор CtrlHack

Автоматизация пентеста. Задачи, которые может решить такая система. Какие ограничения есть у таких систем. Преимущества перед ручным пентестом. Можно ли заменить ручной пентест?
Скачать

Переосмысление многофакторной аутентификации

Андрей Лаптев, руководитель направления по развитию продуктов, Компания Индид

Новый подход к аутентификации позволит операторам SOC отслеживать уникальные события, характерные для целого ряда атак на учетные данные в корпоративной среде, которые ранее невозможно было детектировать, либо их детектирование носило эвристический характер с существенным количеством ошибок. Применение Indeed ITDR позволит выявлять атаки на учетные данные и противодействовать в режиме реального времени
Скачать

PAM на службе SOC

Константин Родин, руководитель направления по развитию продуктов, АйТи БАСТИОН

Место систем контроля привилегированного и просто доступа в инфраструктуру в общем понимании SOC. Какие возможности для анализа и реагирования дают такие системы сегодня. Чем они могут быть полезны и какой дополнительный эффект могут дать - будь то собственные или коммерческие, как услуга, SOC. Рассмотрим примеры, практику и возможности PAM-систем на примере платформы контроля привилегированного и обычного доступа СКДПУ НТ
Скачать

Технический трек

Отечественная ОС под атакой

Камиль Камалетдинов, эксперт DFIRMA Angara SOC

Ликбез по деривативам, пошаговая реконструкция атаки RansomWare с демонстрацией всего происходящего на машине жертвы и злоумышленника. Работа в интерактивном дизассемблере и процесс анализа индикаторов
Скачать

Подводные камни при парсинге NTFS и реестра

Максим Суханов, ведущий эксперт CICADA8, МТС RED

В докладе будут рассмотрены особенности файловых систем NTFS и кустов реестра Windows, о которые могут спотыкаться программы, используемые экспертами по форензике
Скачать

7 историй из пентестов

Василий Кравец, начальник отдела ИИТ, Перспективный мониторинг

В проектах тестирования на проникновение случается разное. Мы поделимся реальными кейсами, иногда странными, порой весёлыми, часто поучительными. И, конечно, обязательная история про вертолёт!
Скачать

Практика построения SOC

Зачем деревообрабатывающей отрасли нужен SOC

Никита Курмышкин, руководитель направления защиты ИТ инфраструктуры Segezha Group

  • Описание стартовой позиции. Инфраструктура до внедрения внешнего SOC.
  • Очередность развертывания систем мониторинга. Подключение источников событий. Закрытие основных рисков.
  • Обогащение инцидентов, подключение дополнительных источников, корреляция событий.
  • Присоединение новых активов. Защита имеющейся инфраструктуры. Приведение к соответствию общим политикам.
  • Текущее состояние. Комплаенс. Готовность к реагированию.
Скачать

Два человека на 120 инцидентов в день

Евгений Гуляев, ведущий консультант по ИБ, R-Vision

В рамках доклада будет представлен практический опыт по построению SOC, который обеспечивает полный цикл обработки инцидентов информационной безопасности для больших групп компаний, при условии наличия ограничений в технических и людских ресурсах
Скачать

«Another brick in the SOC». Как выстроить процесс взаимодействия TI с EDR в объёмах коммерческого SOC

Константин Васильев, руководитель направления мониторинга | владелец продукта RT Protect TI, РТ-Информационная безопасность

На определенной стадии развития SOC возникает вопрос: как интегрировать процессы мониторинга и реагирования с разведкой угроз? Как центру мониторинга пройти путь становления процессов Threat Intelligence с опорой на EDR, и что дальше?
Скачать

От чего зависит выбор технологий для SOC? Составляем чеклист на основе участия в паре десятков проектов проектирования и аудитов SOC

Алексей Лукацкий, бизнес-консультант по информационной безопасности, Positive Technologies

Скачать
Зал 1, «ивент-зал»
Зал 2, «пиксельная»
Зал 3, «мягкая»

Расследование

Доверяй, но проверяй: расследования Trusted Relationships атак

Михаил Прохоренко, руководитель управления по борьбе с киберугрозами, BI.ZONE

Расскажем о нашем опыте расследования недавней атаки через доверенного подрядчика и поговорим о проблемах расследований подобных атак
Скачать

Опыт выездных реагирований Angara SOC 2023

Никита Леокумович, руководитель DFIRMA Angara SOC

Вектора атак, интересные особенности кейсов, ход расследований (аналитика и индикаторы), рекомендации. Разница подходов злоумышленников к частным и государственным целям
Скачать

Синергия SOC и DFIR в обеспечении ИБ

Шамиль Чич, специалист 3 линии поддержки IZ:SOC

Особенности построения процессов взаимодействия команд SOC и DFIR, позитивные и негативные стороны взаимодействия команд
Скачать

В здоровом SOC здоровое реагирование

Дмитрий Шулинин, SOC Lead, Usergate
Дмитрий Чеботарев, менеджер по развитию продукта, Usergate

Что нужно для эффективной работы команды реагирования и проведения расследований?
Скачать

Технический трек

BAS нужен «полюBAS»

Максим Пятаков, сооснователь CtrlHack

Продукты и процессы кибербезопасности требуют регулярной проверки и тюнинга. Большая часть реальных кибератак могла быть остановлена уже имеющимися средствами защиты. Как защитить инвестиции в защиту и повысить эффективность работы уже внедрённых решений? Применение технологий симуляции кибератак (breach and attack simulation) для валидации работы технических средств защиты, выстроенных процессов и слаженности работы людей. Основная задача симуляции кибератак – это выполнение в инфраструктуре организации контролируемо и точечно отдельных атакующих действий. Такая активность позволяет существенно повысить эффективность внедренных средств защиты, а также развивать функцию выявления и реагирования на кибератаки.
Примеры из реальной жизни: «Металлургия» и «Банк»- тюнинг EDR и AV, улучшение контента в SIEM
Скачать

Как удачно испортить выходной день DFIR-специалисту?

Владислав Азерский, ведущий специалист по реагированию на инциденты и цифровой криминалистике, F.A.C.C.T.

Всем известно, что количество инцидентов ИБ с каждым днём постоянно растёт. Для их расследования подключают DFIR-специалистов, которые восстанавливают хронологию произошедшего инцидента, устраняют его последствия, а также дают рекомендации для улучшения ИБ организации. Но для успешного выполнения своей работы специалисту требуются криминалистические артефакты с рабочих станций/серверов и различные журналы с систем, которые атакующие иногда успешно удаляют. В докладе будут рассмотрены источники криминалистических артефактов ОС Windows и то, что злоумышленники с ними делают: удаляют следы запуска программ, модифицируют временные метки файлов, выключают логирование журналов событий и другое. Помимо этого, будут представлены несколько PoC для изменения и удаления данных в некоторых источниках криминалистических артефактов (реестр AmCache, SUM, SRUM)
Скачать

Дискуссия
Использование технологий машинного обучения в SOC

Проблемы использования технологий машинного обучения в SOC

Светлана Старовойт, руководитель продуктового направления, ИнфоТеКС

Скачать