Konference SECURITY 2019

Managing your vendor risk before, during and after onboarding is a continuous effort under the GDPR and impending data protection regulations. While outsourcing operations to third-and fourth-party vendors can alleviate business problems and needs, it often comes with risk of acquiring your next breach. To streamline this risk, organizations must prioritize privacy and security “by design” to improve their programs, as well as secure sufficient vendor guarantees to effectively work together during an audit, incident – or much more. In this session, you’ll learn how to implement a successful vendor risk management process and explore helpful tips and real-world practical advice to improve your privacy and security programs.

Neutrino Bot (známý také jako Win/Kasidet) představuje rapidně se měnící hrozbu. Tento malware, který byl dříve známý jako nástroj k provádění DDoS útoků, se postupně změnil v něco zcela odlišného. V současnosti představuje pokročilejší hrozbu s širším spektrem možností, včetně schopnosti zasahovat do síťového provozu, čímž jej můžeme vnímat jako bankovní trojan. Na příkladu tohoto malwaru demonstrujeme praktické použití EDR i Enterprise nástrojů a systémů pro identifikaci nových variant a identifikátorů kompromitace. V souvislosti s tím se podíváme i na vícevrstvý model ochrany počítače a komponenty, ze kterých se skládá. Představíme reaktivní přístup, kdy dochází k reakci na pasivně získaná data. Zároveň si ukážeme metody a výhody proaktivního přístupu, kdy se snažíme aktivně vyhledávat nové vzorky malware. V neposlední řadě se pak budeme zabývat i přístupem automatizovaným, využívajícím algoritmy strojového učení.

Krajiny EU sa zaoberali v poslednom čase implementáciou požiadaviek GDPR vo svojom prostredí. Jednou z požiadaviek je riadenie rizík nad dátami, ktoré patria pod patronát GDPR. Požiadavkou GDPR je riadiť riziká z dvoch pohľadov, z pohľadu štandardného IT Risk managementu, s cieľom chrániť údaje a aj z pohľadu GDPR s cieľom ochraňovať vlastníkov údajov. V rámci prednášky si predstavíme spôsob, ako je možné oba prístupy zlúčiť do jedného, bez straty informácie a zároveň bude predvedená ukážka spracovania rizík na živom prostredí.

Dnešní kyberzločinci používají sifistikované útoky 5. generace, založené na nových varinatách malwaru, které tradiční antivirové technologie nejsou schopné zachytit. Díky stále komplikovanejší možnosti plné inspekce provozu v síťové komunikaci se bezpečnost víc a víc posouvá ke koncovým stanicím. Moderní ochrana koncových stanic využívá nové metody založené na technikách umělé inteligence a Machine Learningu, které byly vyvíjeny pro technologie síťových bezpečnostních prvků a jsou nyní úspěšně implementovány na úrovni počítačů a také mobilních zařízení.

Co je Security Operation Center? Kdy a proč bychom měli nad jeho vytvořením uvažovat? Jaké jsou jeho nezbytné vlastnosti? Jak správně při budování postupovat? Na tyto otázky musí nalézt odpověď každý bezpečnostní manažer. Špatná odpověď nebo chybná identifikace potřeb organizace vede k nepřesnému cílení rozpočtu do oblastí, které nejsou prioritní ani kritické. Přednáška je orientována na objasnění základních pojmů, vyvrácení mýtů, identifikaci potřeb organizace, nastavení správných postupů a výběr nezbytných technologií, které musí bezpečnostní centrum tvořit.

Čím dál častěji můžeme slýchat o tzv. Next-Gen antivirech, tedy antivirech příští generace. Tyto nové typy antivirů obvykle nemají klasickou analýzu na základě signatur, jakou známe z běžných antivirových programů. Pracují na principu behaviorální analýzy, strojového učení či korelování událostí z koncových stanic za účelem detekce útoku. Jaký je rozdíl mezi klasickými a Next-Gen antiviry v detekci neznámých hrozeb? Poskytují opravdu vyšší bezpečnost a mohou nahradit klasické antiviry, nebo se jedná pouze o vhodný doplněk k Vašemu běžnému produktu na ochranu před malwarem? Podívali jsme se na vybrané zástupce z obou kategorií a provedli vlastní srovnání, které Vám během prezentace představíme.

Hlavní odlišností agilních metodik vývoje od metodiky waterfall je krátký iterativní cyklus a variabilní scope projektu. Jak řídit bezpečnost v prostředí bez striktně definovaných fází nebo zadání? Na příkladu metodiky SCRUM se podíváme, jak může bezpečnostní tým reagovat na odlišnosti agilního vývoje a udržet krok s vývojovými týmy i po nástupu rapid developmentu, CI-CD, DevOps a krátkých release cyklů.

Zajímalo Vás někdy, jaké nástroje používají vládou sponzorované hackerské skupiny? Leak skupiny Shadowbrokers nám umožnil jedinečné nahlédnutí pod pokličku kyber-arzenálu na státní úrovni. V prezentaci si popíšeme a především prakticky vyzkoušíme celý ekosystém hacking nástrojů používaných hackerskou divizí NSA.

DevOps počujeme z každého rohu, niektorí ešte ani nevedia, že už dávno DevOps majú doma. Spájajú sa tu 2 tábory, inak rozdelené roztržkami - a to Development a Operations. Ako do toho zapojiť bezpečnosť? Možno je to pre bezpečnosť naozaj príležitosť desaťročia, kedy je možné sa spriateliť s inak odvekými odporovačmi regulácií a pravidlá nenápadne vynucovať už dávno počas ich práce. Prečo sa nespoliehať iba na pentesty na konci projektov? Ako uchopiť DevOps z pohľadu bezpečnosti? Ako sa stať "enablerom" popri tom ako zostávam "enforcerom"? Aké nástroje môžem použiť a ako zjednodušiť každodenný život DevOps? To sa dozvieme v prezentácii :)

Myslíte si, že je váš core banking systém bezpečný? Pojďme se tedy podívat na bankovní systémy, jako jsou IBM mainframe nebo AS400, které například schraňují čísla platebních karet a další citlivé informace u uživatelích a transakcích. Do hledáčku si vezmeme jedno z nejběžnějších, ale také nejstarších „G“UI tzv. „zelené obrazovky“ neboli terminálové emulace. Ukážeme si základní zranitelnosti, kterými trpí některá řešení a to například i taková, která se na trhu vyskytují již řadu let.

Co SecDevOps znamená? Jak si pojem SecDevOps vykládám. Security, Development a Operations – jde tyto oblasti spojit dohromady? Neměly by z principu být oddělené, aby bylo zamezeno konfliktům zájmů a aby byla zajištěna nezávislost? Může vůbec vývoj a provoz fungovat bez bezpečnosti a naopak? Jak zainteresovat vývojáře a administrátory do informační bezpečnosti? Během desetiletého sbírání zkušeností s provozováním IT prostředí a IT služeb s vysokými nároky na bezpečnost jsem řešil provozní bezpečnost a jeho propojení s vývojem aplikací různými způsoby a s různým přístupem. Ne vždy jsme se vydávali správnou cestou a několikrát jsme celý koncept nejen provozní bezpečnosti výrazně předělávali. V rámci přednášky budou shrnuty tyto zkušenosti a ukázány základní pravidla pro smysluplné a udržitelné fungování bezpečného vývoje a provozní bezpečnosti, tak jak ji momentálně vnímáme. Na základě nasbíraných zkušeností si ukážeme, že bezpečný vývoj a provozní bezpečnost nemusí nutně znamenat vysoké investice a náklady, ale aby to bylo možné, je třeba splnit některé základní předpoklady. Pokusím se nastínit, jak na to.

This presentation „Red Teaming – Off the Net“ will focus on methodology, objectives and limitations of Red team off-line attacks. Α step by step walkthrough will be given of two different real red teaming operations where team performed offline attacks (Interactive social engineering, physical access, vishing, hardware backdoor, etc) in order to achieve the end goals. We will provide some details from actual project for leading bank in Middle East.

Zatímco se v komerčním prostředí předhánějí firmy dodávající sofistikované a často automatizované řešení bezpečnostních incidentů a hrozeb, které by mělo postupně směřovat k proaktivní obraně, řada společností a organizací se stále potýká s implementací best practices, procesů a implementací nové legislativy, směrnic a norem. Ve stejné, ne-li horší pozici „generace 0“ se nachází ovšem naše státní instituce a ministerstva. Řada problémů je díky infrastrukturnímu propojení se světem internetu společná. Efektivní řešení bezpečnosti naráží v obou dvou sférách na podobné problémy: finanční limity, chybějící odborníci, nemožnost vynucovat pravidla i legislativní povinnosti a chování uživatelů v obhospodařovaném perimetru. V rámci státu však narážíme navíc na resortismus a limity dané strukturou rozpočtu jednotlivých ministerstev a institucí. Jaké jsou rezervy a možnosti řešení bezpečnosti - SOC na státní úrovni? Jsou legislativní a bezpečnostní požadavky řešeny podobně? Které zkušenosti jsou přenositelné mezi komerční a státní sférou?

Dnešní zabezpečení firem se již vyrovnává s mizením perimetru, s mobilitou i s cloudem. Všude instalujeme senzory a bezpečnostní události se nám sypou do kotle zvaného Big Data. Každý dodavatel parciálních bezpečnostních řešení "best of breed" však má svoje atributy popisu událostí a dispečink ICT security (SecOps) hledá cesty jak vzájemně korelovat rozmanité alerty, prioritizovat ty skutečně důležité události a eliminovat "false positives" vznikající tím, že navržené šablony "normálního chování" uživatelů jsou v praxi málo flexibilní. Novým trendem je nyní zapojit vedle lidských schopností a analytiky velkých dat ještě prvky strojového učení a umělé inteligence, které se lépe "natrénují" v podmínkách běžného chodu organizace a následně urychlí a zpřesní výběr priorit, na které se při detekci a zvládání incidentů zaměřit. Prvky AI mohou rovněž poskytnout doporučení pro forenzní postup šetření, pomoci odhalit "root cause" a provést konkrétní kroky pro zadržení a mitigaci při zvládání incidentů. V oblasti prevence mohou nástroje AI vyhodnotit míru konkrétní hrozby pro danou organizaci s hodnocením možné účinnosti již jinde použitých vektorů útoku. Hlavním předpokladem je však schopnost agregace signálů a jejich atributů do jednoho inteligentního bezpečnostního grafu.

Schopnost rychle identifikovat potenciální hrozbu a veškeré aktivity v jejím pozadí je složitý a komplexní problém. Vyžaduje zkušenosti, práci s informacemi z nejrůznějších zdrojů a hlavně čas. Jak problém řešit moderně a efektivně? Sofistikované řešení pro vyšetřování pokročilých kybernetický hrozeb s využitím propracované metodologie a integrovaných nástrojů rozšiřujících kontext o strukturovaná i nestrukturovaná data a následnou vizualizací vzájemných vazeb pro pochopení širšího kontextu nastalé situace.

Botnety dnes generují více než 50% online provozu. Sítě zlých botů jsou automatizovanými nástroji útočníků pro vyhledáváni zranitelností v kritických systémech s cílem zcizit citlivá data. Hlavní prioritou pro organizace, které podporují strategii udržitelného zabezpečení, je mít svou bezpečnostní infrastrukturu připravenou na identifikaci škodlivých botů a ochranu pro nim. Na prezentaci se dozvíte, jak boti infikují systémy, šíří se a napadají aplikace, jaké typy útoků na aplikace boti obvykle provádějí a jak se můžete bránit proti zlým botům, aniž byste zničili ty hodné, pomocí web aplikačního FW. WAF se nejen sama “učí” a navrhuje správcům správnou ochranu aplikace, ale využívá také automatizovanou behaviorální analýzu pro klasifikaci a mitigaci aplikačních DDoS útoků. F5 WAF analyzuje “stres” aplikace, útočné nástroje, jejich zdroje a vzory chování a provádí neustálé ladění mitigace útoků pomocí dynamických aplikačních DDoS signatur.

The most common reason for organizations to invest in SOAR tools is related to security staff issues. Either lack of budget for hiring or talent shortages. SOAR provides 2 major capabilities to assist this challenges: Automation and Orchestration. RSA Netwitness Orchestrator provides a comprehensive security operation and automation technology that combines full case management, intelligent automation and orchestration and collaborative investigations.

F-Secure has more than 13-years of experience in using AI in various tasks on providing cyber security to companies and consumer customers. This talk covers our experiences on using AI, de-mystifying some of the hype around AI and covering what it can do and what is still up to humans in the end to solve.

When reading companies marketing material and watching public presentations, one would think that companies are running some Skynet level true artificial intelligences that understand analyze the data in a human like fashion. While reality is very much different, what is called AI for marketing purposes, is actually much more like applied statistical science and building systems to automate decisions.

A fact that makes cyber security a very interesting field for people to work in, one does not have to change a job the job will change around you all the time. But at the same time it makes cyber security a field where it is easy to make promises, but keeping them requires constant evolution and adaptation to the attackers next move.

Digital transformation is a reality for every organization today – no matter the industry or size, in commercial or public sector, from cloud adoption, to industrial IoT and DevOps approaches. As organizations move more workloads into cloud environments, the biggest security challenge is the loss of control—and how to validate and measure controls for visibility and attribution. This session will investigate the issues and discuss what can be done to mitigate the business risk when sharing resources in a highly scalable and dynamic service infrastructure.

Většina tvůrců mobilních bankovnictví se v oblasti bezpečnosti soustředí na základní prostředek ochrany: podepisování transakcí za použití silné kryptografie. Lze ale takovouto ochranu považovat za dostatečnou s ohledem na to, že veškeré kryptografické algoritmy běží na softwarové úrovni, a navíc v potenciálně nebezpečném operačním systému? Během přednášky zrekapitulujeme vlastnosti mobilních runtime, podíváme se na to, jak může útočník zneužít slabiny runtime pro napadnutí mobilního bankovnictví, a samozřejmě také prozkoumáme možnosti, jakým způsobem se dá mobilní aplikace proti útokům na runtime zodolnit.

Cloud se čím dál více stává klíčovou součástí IT prostředí v organizacích všech velikostí. Je ale dobré se na cloudové řešení spoléhat a ukládat v něm citlivá data? Rozhodující roli v odpovědi na tuto otázku hrají smluvní podmínky a bezpečnostní opatření poskytovatele cloudové služby. Špatně nastavené SLA může otevřít cestu výpadku kritické služby bez nároku na kompenzaci. Nedostatečná bezpečnostní opatření mohou vést k úniku osobních údajů. V příspěvku rozebereme, jak napsat dobré SLA i jak z pohledu GDPR řešit v cloudových smlouvách subdodavatele, právo na audit, či odpovědnost.

Je každé mobilní zařízení (telefon, tablet, notebook aj.) používané v pracovním prostředí bezpečné? V souvislosti s probíhající mediální kauzou je třeba si uvědomit, že operační systém Android je open source projekt, každý výrobce může zdrojový kód Androidu měnit, přidat vlastní funkce, změnit UI atd. To činí tuto platformu velmi univerzální, ale zároveň tyto odlišnosti mohou vést k problémům s kompatibilitou a bezpečností. Na trhu je mnoho Android zařízení oficiálně distribuovaných s Google Play, které ovšem vykazují nejrůznější problémy při použití ve firemní sféře v kombinaci s EMM systémy.

Je to dáno tím, že tito výrobci operační systém různě upravují, nahrazují systémové aplikace vlastními a při tom se zaměřují převážně na koncové uživatele a firemní použití buď neřeší vůbec, a nebo jen okrajově. Na druhé straně není v silách výrobců EMM všechna tato zařízení testovat. Setkáváme se tedy především s problémy během registrace zařízení do EMM, problémy s vynucením některých restrikcí, false positive root detekcí atd. Tyto problémy se vyskytují převážně na zařízeních čínských značek konkurujících nízkou cenou.

S nástupem technologie Android Enterprise se situace zlepšila díky standardizaci API napříč různými výrobci zařízení. Google se nyní snaží firmám výběr zařízení ulehčit i pomocí tzv. Android Enterprise Recommended programu, který poměrně jasně říká, jaké podmínky musí zařízení pro certifikaci splnit.

Mezi nejdůležitější podmínky patří Android 7+, minimální HW požadavky, zákaz nahrazování systémových aplikací, podpora hromadnéh