Michał Sołtysik - Analiza głębokiej inspekcji pakietów - wieloaspektowe spojrzenie z perspektywy SOC

Описание: Inne treści:    • Michał Sołtysik - Cybersecurity content  

Oficjalna strona internetowa: https://michalsoltysik.pl/

Michał Sołtysik jest konsultantem ds. cyberbezpieczeństwa oraz analitykiem Blue Team, Purple Team i Red Team, spajającym działania zespołów obronnych i ofensywnych, wnoszącym szeroki i dogłębny zakres wiedzy do swojej praktyki w obszarze cyberbezpieczeństwa.

Jest także ekspertem w zakresie informatyki śledczej cyfrowej i sieciowej, organizatorem działań z zakresu cyberwojny oraz trenerem SOC, specjalizującym się w budowie zdolności operacyjnych i rozwoju dojrzałości SOC, profilowaniu ruchu sieciowego na styku sieci oraz emulacji przeciwnika w testach systemów EDR.

0:00 Start

0:20 Tytuł prelekcji: Analiza głębokiej inspekcji pakietów: wieloaspektowe spojrzenie z perspektywy SOC.

0:40 Opis prelekcji: Istnieje niekwestionowana konieczność wykonywania regularnych analiz głębokiej inspekcji pakietów z różnych powodów. Dostarczanie standardowych usług typu SOC, które korzystają z narzędzi takich jak SIEM, SOAR, IPS, WAF, EDR i innych, prowadzi do częściowego marnowania zasobów ludzkich z powodu ciągłego zajmowania się fałszywymi alarmami (tzw. "false positives") - m.in. analizy DPI pozwolą wyeliminować ten problem. Wykonywanie takich analiz również wspomoże w przypadku wykonywania czynności typowych dla zespołów SOC czyli np. analiz złośliwego oprogramowania, wiadomości phishing i kryminalistyki cyfrowej czy zaadresowania alertów z systemów SIEM, IPS, WAF, EDR czy XDR. Ponadto zaleca się profilowanie brzegu sieci w celu ustalenia jaki w danej infrastrukturze złośliwy ruch jest obecny na brzegu sieci w celu jego zidentyfikowania oraz mitygacji – niezależnie czy jest to ruch związany z zagrożeniami 0-day czy nie.

Zawartość:

3:15 Przykład numer 1 - w oparciu na analizie zagrożenia Remcos RAT w systemie Windows.
11:15 Przykład numer 2 - w oparciu na analizie ruchu IEC 60870-5-104 oraz incydencie powiązanym z grupą hakerów Sandworm.
17:40 Przykład numer 3 - w oparciu na podatności RCE oraz ruchu EtherCAT w systemie Linux.
20:00 Przykład numer 4 - w oparciu na scenariuszu z zakresu połączonej kryminalistyki cyfrowej i sieciowej.
23:22 Przykład numer 5 - w oparciu na analizie ruchu TLS podczas ataku DoS.

26:23 Podsumowanie potrzeby wykonywania analiz głębokich inspekcji pakietów kontrastując je z wykorzystaniem systemów typu SIEM, IPS i WAF.

30:31 Analiza głębokiej inspekcji pakietów - dlaczego typowe podejście nie wystarcza -    • Michał Sołtysik - Analiza głębokiej inspek...  

Kontakt:
Mail: [email protected]
LinkedIn:   / michal-soltysik-ssh-soc  
GitHub: https://github.com/MichalSoltysikSOC
Accredible: https://www.credential.net/profile/mi...
Credly: https://www.credly.com/users/michal-s...

Link do pobrania prezentacji w formacie .pdf: https://files.fm/f/ptkn47dnbs