The presentation describes basic concepts, which your organization should be aware deploying a DFIR team. It will help you choose the right team personnel and understand the Incident Response plan. What is more, the presentation will try to explain you the real goal of the Digital Forensics and Incident Response team, focusing on identification of data staging, data exfiltration and lateral movement. Finally, we will discuss a topic, that unfortunately, is often overlooked by analysts when handling incidents - creation of new rules and or improvement of existing ones.

Wydaje się, że w branży cyberbezpieczeństwa i prywatności panuje konsensus, że dzień zagłady nadejdzie. Nie wiemy, niestety, kiedy nastąpi – ale spróbujmy przynajmniej ustalić miejsce. Podczas prezentacji przedstawię argumenty za tym, że, zacznie się on w coraz bardziej inteligentnych miastach, i że czas już najwyższy, żebyśmy rozejrzeli się za dostosowanymi do takiego wyzwania ramami bezpieczeństwa. Takimi, które uwzględniłyby nie tylko równowagę zagrożeń i środków zaradczych, ale także korzyści i ryzyko widziane z perspektywy etyki, odpowiedzialności i przejrzystości.

Trendem zauważanym obecnie przez każdą organizację jest coraz większa liczba regularnie pojawiających się podatności w systemach informatycznych, a z drugiej strony coraz mniejsza ilość zasobów ludzkich, które można dedykować do obsługi zarządzania podatnościami i konfiguracją. Zwiększenie poziomu automatyzacji procesu zarządzania widocznością i podatnościami staje się koniecznością. Okazuje się, że jest to możliwe z wykorzystaniem jednej platformy, która obejmuje obszar systemów sieciowych i aplikacji, aktualizacji oprogramowania, utwardzania systemów, a także ochrony EDR z antimalware.

Third-party vendors and service providers are often willing to initial requests for details about their practices. But once the contract is signed, information can be less forthcoming. Yet ongoing vendor monitoring is a crucial part of third-party risk management. Changes in vendor’s practices or supply chains can expose businesses to unexpected risks. In addition, Log4j showed the world how vulnerable businesses are to supply chain attacks. Solarwinds and Kaseya exhibited how dangerous supply chain attacks can get – when one actor in the supply chain becomes compromised, the effects can be devasting to many businesses downstream. In his presentation, dr. Jelle Groenendaal explains why it is no longer sufficient to only perform third-party due diligence assessments at the pre-contract phase. Then he shows what the business case is for continuous monitoring of third parties illustrated by recent events such as the war in Ukraine and the Okta breach. To conclude, he presents some best practices of how organizations can implement ongoing third-party risk monitoring in an effective and efficient way.

Zagrożenie nazwane Log4shell pokazało wielu organizacjom, jak duży wpływ na cybebezpieczeństwo mają czynniki niezależne od firmy. Krytyczna podatność w popularnej bibliotece sprawiła, że niemal każda firma mogła stać się ofiarą ataku. Jak to możliwe? Uzależnianie firm od nieznanego oprogramowania, od nieznanych bibliotek, brak procesu bezpiecznego wytwarzania oprogramowania … czynników może być wiele.  Prezentacja przybliży w jaki sposób procesowo pozyskiwać wiedzę o zagrożeniach, jak ją analizować i wykorzystać organizacji. Istotne stało się zrozumienie zagrożenia oraz potencjalnych wektorów ataku. Na przykładzie tego rozległego, wycenianego na krytyczne zagrożenia pokazany będzie sposób jak od początku do końca zarządzić zagrożeniem. Pozyskanie informacji, weryfikacja powierzchni ataku, monitoring, mitygacja i przede wszystkim w jaki sposób skutecznie wyeliminować zagrożenie – prezentacja przybliży te właśnie elementy procesu, ze szczególnym naciskiem na aspekty praktyczne (gdzie spotyka się problemy oraz gdzie można znaleźć „małe sukcesy”, czy wręcz problemy niemal nierozwiązywalne).

Firmy mają własne floty urządzeń mobilnych, dopuszczają też coraz częściej korzystanie z prywatnego sprzętu mobilnego w modelu BYOD. Czy zawsze jest to właściwie i wyczerpująco zaadresowane w firmowej polityce bezpieczeństwa? Bezpieczeństwo zaczyna się od urządzenia – Centralne Zarządzanie Urządzeniami Mobilnymi – MDM. Aktualizacje systemu – Mobile Security First. Polityki Bezpieczeństwa Urządzeń Mobilnych i Lista dozwolonych programów w organizacji – jak ją weryfikować i aktualizować. Polityka BYOD i odpowiednie zabezpieczenie . Jakie mogą być ataki na urządzenia mobilne i jakie mogą być tego konsekwencje. Weryfikacja i bezpieczeństwo Aplikacji firmowych – testy bezpieczeństwa i zasada Privacy by Design, Privacy by Default. Data Safety – nowe wymagania bezpieczeństwa dla aplikacji

PE backdooring w praktyce. Pełen proces osadzania payloada w pliku binarnym jednego ze znanych programów. Code caves i execution flow hijacking. Przygotowanie „binarki”, tak aby nie była wykrywana przez popularne antywirusy. Na koniec przeprowadzenie przykładowego atak z jej użyciem (remote access).

When it comes to disclosing vulnerabilities, the lack of protection and encouragement for the type of expertise bona fide cybersecurity researchers possess presents as the weakest link in vulnerability management. Despite the encouraging progress made by many organisations concerning the adoption of Coordinated Vulnerability Disclosure (CVD) policies, broad standardisation and adoption are far from realised. Many stakeholders, including bug bounty platforms, CERTs, software owners, international government institutions like the OECD, and a handful of governments – advocate for enhanced awareness and adoption of frameworks on the corporate side. Still, the market trend is a slippery slope: disincentives often remain against the individual bona fide researchers even when CVD guidelines have been followed. The resounding chilling effect potentially drives more would-be bona fide researchers towards alternative means of engagement with less oversight – a net loss for all.“