Defensive Track

20% вложений и 80% результата. Как реализовать требования ИБ и не потерять внутреннюю свободу

Докладчики: Наталья Куканова и Игорь Гоц

В рамках данного доклада спикеры расскажут о том, как в динамичной сети можно построить схему контроля реализации основных требований ИБ к рабочим местам сотрудников. Подробно поговорят о том, с помощью каких технологий были реализованы принципы NAC (Network Access Control) в сети Яндекса, с какими трудностями специалисты столкнулись как с организационной, так и с технической точки зрения. Классический подход к безопасности замедляет темпы развития бизнеса, что неприемлемо для современной компании. При этом, риски ИБ остаются актуальными, и их необходимо снижать. Наш путь — создание максимально безопасного окружения для работы сотрудников. Основные проблемы, с которыми столкнулись:
— Быстрое развитие технологий.
— Большое количество «внутрикомпанейских» разработок.
— Высокая потребность в автоматизации и интеграции в окружение.
— Маленький штат СБ.
Наше решение: детектирование важных несоответствий и их устранение (аналог NAC).

18 ноября 13:30 — 13:50. Зал «Workshop 1»

Enterprise Vulnerability Management

Докладчики: Екатерина Пухарева и Александр Леонов

1. Выбор решения:
   — Оценка полноты базы;
   — Использование нескольких сканеров как средство от false negative ошибок;
   — Обнаружение уязвимостей без сканирования.
2. Инвентаризация:
   — Важность Asset Management. «Найти непонятно что непонятно где»;
   — Выявление новых хостов в периметре.
3. Vulnerability management или vulnerability intelligence:
   — Регулярный процесс и точечные проверки;
   — Критичные уязвимости и уязвимости, вокруг которых есть шумиха.
4. Как продуктивно организовать процесс patch- и vulnerability- менеджмента:
   — Сканирование без авторизации и с авторизацией (риски, скорость, эффективность);
   — Агентное сканирование;
   — Сканирование docker и контейнеров как таковых;
   — Сканирование облачных сервисов;
   — Комплаенс-сканирования, Или как быстро проверять настройки конфигурации;
   — Сложности таск-треккинга;
   — Разбор false positive — кто должен обрабатывать (безопасники или админы)?
5. Кастомизация Nessus:
   — Плагины, достойные особого внимания;
   — Правильные метрики;
   — Автоматический Remediation по итогам сканирования;
   — Отслеживание закрытия уязвимостей (дашборды).
6. Vulnerability Scanner как ценный актив
   — Что можно сделать, получив доступ к админке Nessus/SC;
   — Как обнаружить, что учетки для авторизации используются злоумышленником.

18 ноября 13:05 — 13:25. Зал «Workshop 1»

Мониторинг и анализ почтовых сообщений, или инструмент обнаружения кибер-атак на коленке

Докладчики: Алексей Карябкин и Павел Грачев

В данном выступлении будет рассмотрен один из популярных векторов атаки на организации — массовые рассылки вредоносного ПО, фишинг, спирфишинг (целенаправленные атаки). Спикеры расскажут, как выстраивали защиту, с чем столкнулись и как преодолели трудности. Будут затронуты актуальные вопросы применения современных технологий и коммерческих решений для выявления кибер-атак и борьбы с ними. В практической части докладчики продемонстрируют собственный «велосипед» (решение обнаружения кибер-атак). Развитие идеи ZeroNigths 0x04

18 ноября 12:40 — 13:00. Зал «Workshop 1»

Автоматизация сканирования iOS по методу blackbox

Докладчик: Михаил Сосонкин

Сегодня безопасность приложений для системы iOS стала темой весьма злободневной. Однако вследствие явного недостатка посвященных ей обучающих мероприятий и материалов, порог вхождения в нее по-прежнему крайне высок. В ходе данной презентации мы попробуем несколько опустить его, продемонстрировав Вам «внутренности» CHAOTICMARCH (инструмента автоматизации), а также методы контроля и мониторинга действий приложений. Если Вы планируете создать свой проект по оценке защищенности iOS, или же Вам необходима помощь в автоматизации анализа предельных значений, тогда этот доклад — то, что вы искали.

18 ноября 12:15 — 12:35. Зал «Workshop 1»

Управление цифровой подписью приложений в большой компании

Докладчики: Евгений Сидоров и Эльдар Заитов

Все мобильные приложения и почти все десктопные приложения должны быть подписаны электронной подписью разработчика. При попытке развернуть систему управления ключами для подписи приложений можно столкнуться с рядом трудностей: множество разработчиков должно иметь возможность подписывать свои сборки, но ключи подписи должны храниться в секрете, доступ к ним должен быть разграничен, бывшие сотрудники не должны иметь возможность подписать приложения и т.д. Также есть риск подписи вредоносных приложений, что может привести к отзыву ключей подписи и нарушить работоспособность всех приложений, подписанных этим ключом. Для решения перечисленных проблем мы создали собственное решение, которое может подписывать приложения для Android, Windows (usermode, kernel mode), Java приложения и апплеты, и о, котором мы и хотим рассказать в ходе доклада. В целом, в своей презентации мы расскажем:
— как устроена подпись приложений в каждой из платформ Windows, Android, iOS;
— какую роль играет электронная подпись в безопасности каждой из платформ;
— к каким последствиям может привести компрометация ключей подписи;
— как создать удобный сервис для управления ключами подписи приложений в большой
компании;
— как превратить такой сервис в сервис проверки безопасности приложений.

18 ноября 11:50 — 12:10. Зал «Workshop 1»

Страх и ненависть двухфакторной аутентификации

Докладчик: Игорь Булатенко

Все больше компаний начинает задумываться о необходимости внедрения систем двухфакторной аутентификции. В таком вопросе очень важно не ошибиться с выбором решения и способов внедрения, поскольку всегда необходимо соблюдать баланс между удобством использования и безопасностью. Рынок решений для 2fa очень широк, начиная от физических токенов и заканчивая google authenticator. В рамках доклада будет рассказано, на что стоит обращать внимание при выборе решений, и с какими трудностями вы можете столкнуться во время внедрения.

18 ноября 11:25 — 11:45. Зал «Workshop 1»

Сам себе Threat hunter

Докладчики: Теймур Хеирхабаров и Сергей Солдатов

В связи с тем, что полностью кастомизированные инструменты компрометации все более широко распространяются, а также становятся популярнее атаки, выполняемые без применения вредоносного ПО, перед корпоративными службами ИБ остро встала необходимость выявления ПО и сетевых атак, не обнаруживаемых классическими средствами защиты, включая системы обнаружения вторжений, системы защиты от вредоносного ПО, системы контроля утечек информации и т.п. Сейчас «Threat hunting», заключающийся именно в поиске неизвестных доселе угроз, — это модно, его предлагают и как продукты, и как сервисы, но мы расскажем вам правду о том, как это можно сделать самим, перечислим возможные инструменты, как их можно настроить и что с их помощью можно делать. Примеры конфигурационных файлов и скриптов будут свободно доступны после доклада для самостоятельных экспериментов интересующихся.

18 ноября 11:00 — 11:20. Зал «Workshop 1»