Threat Intelligence: Move or Die!

Transcript

1. Threat Intelligence: Move or Die! Przemysław Skowron, 20.10.2016

2. Wywiad nt. zagrożeń: Maszeruj albo GIŃ! Przemysław Skowron, 20.10.2016

3. o White Cat Security (2015) • EDUKACJA - autorskie szkolenia/warsztaty

   – oparte o pragmatykę i doświadczenia z pierwszych linii frontu • DORADZTWO - animator frontu walki ze złośliwym oprogramowaniem atakującym klientów bankowości elektronicznej • Prace Badawczo-Rozwojowe - Badanie zagrożeń/problemów, na które nie ma oczywistych rozwiązań. 3

4. o White Cat Security (2016) • 1 -> 3 Głównych

   Konsultantów (Core Team) • Klienci: ~połowa firm z indeksu WIG20 • Dostarczamy to czego nam brakowało: np. Threat Intelligence • Niezależność względem dostawców rozwiązań 4

5. Agenda • Threat Intelligence – to nie ten moment? •

   Threat Intelligence – zrób to dobrze! • Threat Intell... – powiedz raz jeszcze! • Bonus: Kill Chain - warsztaty • Pytania? 5

6. Motywacja • Ankieta: – > 25% czasu na monitoring i

   obsługę incydentów? – > 50% czasu? – > 75%? – 100%? • Kto z Was robi szpagat? 6

7. Motywacja 7

8. Motywacja 8

9. Motywacja • Podstawowe zasady magii chaosu: – Brak dogmatów –

   Osobiste doświadczenia – Szlifowanie praktyki – Odwarunkowanie 9

10. I – to nie ten moment? 10

11. Nie znasz wartościowych zasobów w Twojej firmie. 11

12. Nie włączyłaś/włączyłeś tworzenia zdarzeń z aktywności urządzeń/systemów/aplikacji -> ludzi(!) 12

13. Nie zbierasz zdarzeń do centralnego punktu. 13

14. Nie masz narzędzi do głębszej analizy zdarzeń. 14

15. Nie masz wpływu na architekturę bezpieczeństwa w firmie. 15

16. Nie wiesz jak skuteczna jest Twoja prewencja. 16

17. Nie używasz Kill Chaina ani modelowania zagrożeń - robisz (ilościowa/jakościowa)

    analizę ryzyka. 17

18. Nie masz ludzi dedykowanych do monitoringu i reagowania na incydenty

    bezpieczeństwa. 18

19. Nie masz procesu usuwania znanych podatności. 19

20. Nie przegrywasz -> Zwyciężasz vs. Uczysz się -> Zwyciężasz ==

    NIE Uczysz się 20

21. II – Zrób to dobrze! 21

22. „Branżowa” wymiana informacji 22

23. KnowMeetTrust 23

24. Broker informacji 24

25. 25

26. 26

27. 27

28. Kill Chain Warsztaty 28

29. Kill Chain - tabelka Faza Detekcja Prewencja Zakłócenie Degradacja Zwodzenie

    Rekonesans Uzbrojenie Dostarczenie Wykorzystanie Instalacja C2 A or O 29

30. Kill Chain - scenariusz 30

31. Bonus#2: KMT w Polsce 31

32. Sesja Q&A 32

33. Sesja Q&A 33

34. Sesja Q&A Dziękuję za aktywny udział! [email protected] 34