Программа конференции

09:00
10:00

Регистрация участников

DJ-set

Зал 1, «ивент-зал»
Зал 2, «пиксельная»

Обнаружение и Реагирование

10:00
10:25

Атаки через цепочку поставок как один из основных трендов 2023 года

Алексей Новиков, НКЦКИ

10:25
10:45

Слепая зона мониторинга: Массовая компрометация зависимостей для закрепления в SDLC

Павел Гусь, Product lead, МТС RED
Денис Макрушин, технический директор, МТС RED

Многие недавние громкие атаки стали результатом уязвимостей в цепочке поставок. Манипулирование зависимостями - основной вектор атаки, позволяющий закрепиться в уязвимом процессе SDLC. Способен ли злоумышленник автоматически компрометировать множество репозиториев и пакетов для организации первоначального массового доступа к разработчикам ПО?
Для определения возможностей злоумышленника по массовой компрометации мы проанализировали структуру зависимостей и популярные реестры пакетов. Выделили набор артефактов, которые могут контролироваться злоумышленником и быть уязвимыми для атак на цепочку поставок в разработке. В докладе мы предложим методы и инструменты для мониторинга артефактов зависимостей для снижения риска компрометации процессов разработки и как следствие, снижения количества инцидентов, связанных с цепочкой поставок
10:45
11:05

Log Management: Централизация, обнаружение и анализ

Максим Мельшиян, ведущий пресейл-менеджер, R-Vision

Выступление даст представление о концепции Log Management и его роли в обеспечении безопасности. Расскажем о преимуществах централизованного сбора событий и эффективном использовании всеми средствами защиты
11:05
11:25

Как оценить угрозы кибербезопасности при помощи экспертных данных

Артём Савчук, заместитель технического директора, Перспективный мониторинг

Поговорим о том, что такое threat intelligence, как собираются и обрабатываются данные об угрозах. Мы поделимся собственными кейсами, расскажем про процессы и скоринг угроз, а также почему для поставки собственных правил AM Rules мы решили разработать внешний сервис AM Treat Intelligence Portal
11:25
11:45

«EDRёный случай». Как EDR спасает ИТ инфраструктуры и чему это нас учит

Алексей Жуков, руководитель SOC | Владелец продукта RT Protect EDR, РТ-Информационная безопасность

Рассмотрим кейсы, когда только EDR останавливал атаки APT-группировок, а когда его было недостаточно. Также, поговорим о том, как мы видим развитие технологий детектирования и реагирования на компьютерные атаки
11:45
11:50

Подведение итогов, голосование

Технический трек

Модератор:

Артем Грибков, заместитель директора Angara SOC

10:20
10:50

From the Darkness: как коммерческое ВПО становится оружием против Российских организаций

Олег Скулкин, руководитель управления киберразведки, BI.ZONE

Сотрудники SOC сталкиваются со стилерами и RAT на ежедневной основе. Такое ВПО часто помогает злоумышленникам получить первоначальный доступ к корпоративным сетям, в некоторых случаях даже к самым большим. Но как эти инструменты попадают в руки к атакующим? Мы рассмотрим наиболее популярные образцы ВПО, которые встречаются на территории России, рассмотрим их функциональные возможности и методы распространения, а также проследим их эволюцию до первоисточника - теневого форума, канала в Telegram или веб-сайта, на котором злоумышленники могли его приобрести или арендовать
10:50
11:20

Такой лакомый Telegram

Лада Антипова, эксперт DFIRMA Angara SOC

Нельзя преуменьшить распространенность телеги в наше время, ведь тут все: и друзья, и работа, и «файлообменник с гигабайтами свежей информации». Неудивительно, что злоумышленники добрались и до него. В докладе расскажут: - что и у любимой телеги есть свои нюансы;
- почему облачный пароль важен, но не всегда работает;
- наглядно продемонстрирую пример атаки;
- разберем кейсы in the wild, кто и как этим пользуется;
ну и, конечно же, что теперь с этим всем делать
11:20
11:50

Инструменты прямого и косвенного анализа инфраструктуры привилегированного доступа

Константин Родин, руководитель направления по развитию продуктов, АйТи БАСТИОН

Обзор архитектуры решения по контролю привилегированного доступа и роль её в расследовании, детектировании и реагировании на инциденты доступа - от данных характерных для PAM-систем до косвенных событий, свидетельствующих об изменении пользовательской активности
11:50
12:30

Кофе-пауза

«Охота на дичь»

Рассказы о том, как НЕ НАДО строить SOC - факапы, типичные ошибки, темные места, о которых забывают неопытные компании

место: Киберполигон

Зал 1, «ивент-зал»
Зал 2, «пиксельная»
Зал 3, «мягкая»

Обнаружение и Реагирование

12:30
12:50

Мониторинг атак на подрядчиков: что брать под контроль на примере реальных кейсов

Алексей Лукацкий, бизнес-консультант по информационной безопасности, Positive Technologies

12:50
13:10

Поверхность атаки на российские компании. Как выглядит сетевой периметр 2000 самых крупных компаний России, и как его защищать?

Владимир Иванов, основатель Сканфэктори

13:10
13:30

Получите от пентестов ещё больше ценности. Ожидания и реальность от автоматизации

Сергей Куприн, генеральный директор CtrlHack

Автоматизация пентеста. Задачи, которые может решить такая система. Какие ограничения есть у таких систем. Преимущества перед ручным пентестом. Можно ли заменить ручной пентест?
13:30
13:50

Переосмысление многофакторной аутентификации

Андрей Лаптев, руководитель направления по развитию продуктов, Компания Индид

Новый подход к аутентификации позволит операторам SOC отслеживать уникальные события, характерные для целого ряда атак на учетные данные в корпоративной среде, которые ранее невозможно было детектировать, либо их детектирование носило эвристический характер с существенным количеством ошибок. Применение Indeed ITDR позволит выявлять атаки на учетные данные и противодействовать в режиме реального времени
13:50
14:10

PAM на службе SOC

Константин Родин, руководитель направления по развитию продуктов, АйТи БАСТИОН

Место систем контроля привилегированного и просто доступа в инфраструктуру в общем понимании SOC. Какие возможности для анализа и реагирования дают такие системы сегодня. Чем они могут быть полезны и какой дополнительный эффект могут дать - будь то собственные или коммерческие, как услуга, SOC. Рассмотрим примеры, практику и возможности PAM-систем на примере платформы контроля привилегированного и обычного доступа СКДПУ НТ
14:10
14:15

Подведение итогов, голосование

Технический трек

Модератор:

Александр Пушкин, технический директор, Перспективный мониторинг

12:30
13:00

Отечественная ОС под атакой

Камиль Камалетдинов, эксперт DFIRMA Angara SOC

Ликбез по деривативам, пошаговая реконструкция атаки RansomWare с демонстрацией всего происходящего на машине жертвы и злоумышленника. Работа в интерактивном дизассемблере и процесс анализа индикаторов
13:00
13:30

Подводные камни при парсинге NTFS и реестра

Максим Суханов, ведущий эксперт CICADA8, МТС RED

В докладе будут рассмотрены особенности файловых систем NTFS и кустов реестра Windows, о которые могут спотыкаться программы, используемые экспертами по форензике
13:30
14:00

7 историй из пентестов

Василий Кравец, начальник отдела ИИТ, Перспективный мониторинг

В проектах тестирования на проникновение случается разное. Мы поделимся реальными кейсами, иногда странными, порой весёлыми, часто поучительными. И, конечно, обязательная история про вертолёт!
14:00
14:15

Ответы на вопросы

Практика построения SOC

Ведущий:

Всеслав Соленик, CISO CберТех

12:30
12:55

Зачем деревообрабатывающей отрасли нужен SOC

Никита Курмышкин, руководитель направления защиты ИТ инфраструктуры Segezha Group

  • Описание стартовой позиции. Инфраструктура до внедрения внешнего SOC.
  • Очередность развертывания систем мониторинга. Подключение источников событий. Закрытие основных рисков.
  • Обогащение инцидентов, подключение дополнительных источников, корреляция событий.
  • Присоединение новых активов. Защита имеющейся инфраструктуры. Приведение к соответствию общим политикам.
  • Текущее состояние. Комплаенс. Готовность к реагированию.
12:55
13:20

Два человека на 120 инцидентов в день

Евгений Гуляев, ведущий консультант по ИБ, R-Vision

В рамках доклада будет представлен практический опыт по построению SOC, который обеспечивает полный цикл обработки инцидентов информационной безопасности для больших групп компаний, при условии наличия ограничений в технических и людских ресурсах
13:20
13:45

«Another brick in the SOC». Как выстроить процесс взаимодействия TI с EDR в объёмах коммерческого SOC

Константин Васильев, руководитель направления мониторинга | владелец продукта RT Protect TI, РТ-Информационная безопасность

На определенной стадии развития SOC возникает вопрос: как интегрировать процессы мониторинга и реагирования с разведкой угроз? Как центру мониторинга пройти путь становления процессов Threat Intelligence с опорой на EDR, и что дальше?
13:45
14:10

От чего зависит выбор технологий для SOC? Составляем чеклист на основе участия в паре десятков проектов проектирования и аудитов SOC

Алексей Лукацкий, бизнес-консультант по информационной безопасности, Positive Technologies

14:15
15:00

Кофе-пауза

Питчинг «В пятёрочку»

место: Киберполигон

Зал 1, «ивент-зал»
Зал 2, «пиксельная»
Зал 3, «мягкая»

Расследование

15:00
15:20

Доверяй, но проверяй: расследования Trusted Relationships атак

Михаил Прохоренко, руководитель управления по борьбе с киберугрозами, BI.ZONE

Расскажем о нашем опыте расследования недавней атаки через доверенного подрядчика и поговорим о проблемах расследований подобных атак
15:20
15:40

Опыт выездных реагирований Angara SOC 2023

Никита Леокумович, руководитель DFIRMA Angara SOC

Вектора атак, интересные особенности кейсов, ход расследований (аналитика и индикаторы), рекомендации. Разница подходов злоумышленников к частным и государственным целям
15:40
16:00

Синергия SOC и DFIR в обеспечении ИБ

Шамиль Чич, специалист 3 линии поддержки IZ:SOC

Особенности построения процессов взаимодействия команд SOC и DFIR, позитивные и негативные стороны взаимодействия команд
16:00
16:20

В здоровом SOC здоровое реагирование

Дмитрий Шулинин, SOC Lead, Usergate
Дмитрий Чеботарев, менеджер по развитию продукта, Usergate

Что нужно для эффективной работы команды реагирования и проведения расследований?
16:00
16:25

Подведение итогов, голосование

Технический трек

Модератор:

Лада Антипова, эксперт DFIRMA Angara SOC

15:00
15:30

BAS нужен «полюBAS»

Максим Пятаков, сооснователь CtrlHack

Продукты и процессы кибербезопасности требуют регулярной проверки и тюнинга. Большая часть реальных кибератак могла быть остановлена уже имеющимися средствами защиты. Как защитить инвестиции в защиту и повысить эффективность работы уже внедрённых решений? Применение технологий симуляции кибератак (breach and attack simulation) для валидации работы технических средств защиты, выстроенных процессов и слаженности работы людей. Основная задача симуляции кибератак – это выполнение в инфраструктуре организации контролируемо и точечно отдельных атакующих действий. Такая активность позволяет существенно повысить эффективность внедренных средств защиты, а также развивать функцию выявления и реагирования на кибератаки.
Примеры из реальной жизни: «Металлургия» и «Банк»- тюнинг EDR и AV, улучшение контента в SIEM
15:30
16:00

Как удачно испортить выходной день DFIR-специалисту?

Владислав Азерский, ведущий специалист по реагированию на инциденты и цифровой криминалистике, F.A.C.C.T.

Всем известно, что количество инцидентов ИБ с каждым днём постоянно растёт. Для их расследования подключают DFIR-специалистов, которые восстанавливают хронологию произошедшего инцидента, устраняют его последствия, а также дают рекомендации для улучшения ИБ организации. Но для успешного выполнения своей работы специалисту требуются криминалистические артефакты с рабочих станций/серверов и различные журналы с систем, которые атакующие иногда успешно удаляют. В докладе будут рассмотрены источники криминалистических артефактов ОС Windows и то, что злоумышленники с ними делают: удаляют следы запуска программ, модифицируют временные метки файлов, выключают логирование журналов событий и другое. Помимо этого, будут представлены несколько PoC для изменения и удаления данных в некоторых источниках криминалистических артефактов (реестр AmCache, SUM, SRUM)
16:00
16:25

Обсуждение итогов семинара — совещания «Оценка квалификации сотрудников центров мониторинга в ТЭК»

Дмитрий Правиков, заведующий кафедрой комплексной безопасности критически важных объектов РГУ нефти и газа (НИУ) имени И.М. Губкина

Дискуссия
Использование технологий машинного обучения в SOC

15:00
16:25

Модератор:

Светлана Старовойт, руководитель продуктового направления, ИнфоТеКС

Участники:

Иван Кадыков, руководитель направления, ИнфоТеКС
Виктор Никуличев, руководитель продукта R-Vision SIEM
Сергей Рысин, генеральный директор,АСИЕ-Групп
Сергей Сидорин, руководитель группы 3 линии IZ:SOC, Информзащита
Сергей Солдатов, руководитель Центра мониторинга кибербезопасности «Лаборатории Касперского»

Дискуссия, направленная на обсуждение работающих кейсов использования технологий машинного обучения в SOC и реальных проблем, которые возникают.
  • Какие задачи решает использование технологий машинного обучения в SOC
  • Безопасность использования
  • Данные для обучения
  • Интерпретируемость результатов
  • Решение кадровой проблемы SOC или еще большая боль?
  • Машинное обучения требует больших вычислительных мощностей. Кто платит?
16:25
17:00

Кофе-пауза

«Не продолжай, я знаю»

место: Киберполигон

Зал 1, «ивент-зал»

Дискуссия
Как живут SOC’и в условиях кибервойны

17:00
18:00

Модератор:

Александр Матвеев, директор центра мониторинга и противодействия кибератакам, IZ:SOC, Информзащита

Участники:

Виктор Гордеев, руководитель SOC, НЛМК
Тимур Зиннятуллин, директора SOC, Angara Security
Дамир Ишмаметов, руководитель проектов, Ростех
Игорь Кубышко, руководитель управления реагирования на инциденты информационной безопасности АО «Тинькофф Банк» (Tinkoff Security Operations Center)
Дмитрий Самойленко, руководитель службы "Центр мониторинга информационной безопасности" УОИБ ДБ, Банк ВТБ (ПАО)

С какими проблемами в части выявления и реагирования сталкиваются различные SOC (большие и маленькие, коммерческие и собственные) при работе с импортозамещёнными слоями инфраструктуры и приклада - с отечественными операционными системами (AstraLinux, RedOS и др.), сервисами каталогов, БД Postrge, виртуализацией и VDI и т.п. Проблема - большинство отечественных средств защиты (как и все западные) всё ещё ориентированы на защиту Windows, Oracle и т.п. EDR, XDR, UEBA на AstraLinux либо не работают, либо практически ничего не детектирует
18:00
19:00

«Наша Игра»

Ведущий: Дмитрий Козачинский

место: Киберполигон

19:00
21:30

Вечеринка «Самый SOC!»

Зал 1, «ивент-зал»