Konference SECURITY 2022

Shrneme obchodní (byznysová) rizika, na která by podle analytiků Gartneru měli být podnikoví lídři v souvislosti s konfliktem na Ukrajině připraveni a během následujících tří let je řídit. Nastíníme čtyři možné scénáře dalšího globálního vývoje vycházející z možného dalšího mezinárodního směřování v oblasti politických a ekonomických vztahů i to, jak se organizace a jejich exekutiva mohou připravit na dlouhodobé dopady ruské invaze na Ukrajinu. Vysvětlíme, proč by se koncepty jako odolnost (resilience) a komponovatelnost (composability) měly stát běžnou součástí podnikové architektury vaší i vašich zákazníků.

Noční můrou všech uživatelů cloudu jsou bezpečnostní manažeři, kteří brzdí rychlost změn. Noční můrou bezpečnostních manažerů jsou nezodpovědní uživatelé, kteří na bezpečnost nedbají. Ale jde to i jinak. V moderním prostředí můžete kontrolovat nejen bezpečnostní politiku a jeho nastavení, ale využívat i aplikační ochrany tak, že bezpečnost nebude brzdit dostupnost a rychlost změn. Nezavlečte si neduhy z legacy prostředí i do cloudu.

V rámci mé přednášky vám vysvětlím co znamenají zkratky OSD, OSIF, OSINT a OSINT-V. Řeknu vám co je to Intelligence a jak jej využívají tzv. Intelligence Community USA. Povíme si také, jak je kybernetické informační zpravodajství využíváno hackerskými skupinami a jak hackerské skupiny určijí své lukrativní cíle. Podíváme se, ale i na možnosti využití stejných postupů ve vaší společnosti a řekneme si, proč byste měli něco takového provádět pravidelně. Řekneme si i něco o metodice, kterou lze využít s ohledem na kybernetické informačního zpravodajství a povím vám proč tato metodika není z mého úhlu pohledu dostatečná.

Provozování aplikací v různých cloudech nebo lokalitách společně s kontejnerizací mají významný dopad na to, jak jsou aplikace navrženy, síťově propojeny a zabezpečeny. Síťové a bezpečnostní politiky již nelze spravovat jen na úrovni síťových prvků a perimetru. Tímto vzniká potřeba nového přístupu zaměřeného na distribuované aplikace a jejich API komunikaci. Přednáška se zaměří na úvod do problematiky provozu globálně distribuovaných aplikací a jejich API rozhraní. DevOps, NetOps nebo Architekti tak získají vhled do nejnovějších přístupů v oblasti managementu a zabezpečení API za pomocí zero-trustu, swagger filů, a využití AI/ML za účelem identifikace útočníků a eliminace false positive.

During COVID We noticed new trends in the field of cyber warfare. Trends that should make all of us worried about old paradigms and the way we should treat new threats. The presentation will demonstrate how Israel dealt with these trends during the pandemic and what we can all use as a lesson to learn. The presentation will include new threats, new Technics, Tactics, and Procedures (TTPs) attackers used trying to exploit critical infrastructure, Governmental entities, and civilian companies. There will be recommendations, at the presentation, on what shell and should be done to reduce the risk and increase the resilience.

The rise of APIs has significantly changed the attack surface of organizations worldwide, but many still depend on legacy Web Application Firewalls and API Gateways to protect against attacks they were never designed to defend against. These rule-based systems simply can not defend against logic-based attacks targeting the business logic layer. Join Jonathan Michaeli, Senior Product Manager at Wib, to learn about real case studies from Wib’s engagements finding API exposures, discovering blind spots, vulnerabilities, and live API attacks in the wild, including how Wib leveraged logic-based external attacks to print money into a target account at a large bank.

Cloud přináší společnostem virtuální infrastrukturu, kterou by si pravděpodobně ze svého rozpočtu nemohli dovolit. I když poskytovateli cloudu věříte a máte dobré smlouvy, zodpovědnost za ukládaná data má stále vaše organizace. Jak tedy chránit data? Nikdo stále nevymyslel lepší způsob, než je šifrovat. Jaké jsou typy šifer, které odolají kvantovým výpočtům a o jaké certifikace můžeme opřít budování důvěry. Projdeme, co byste mohli dělat, jaké jsou zákonné povinnosti a také jak k této problematice již někteří přistoupili, popřípadě kde se objevují největší chyby.

ESET má na Ukrajině historicky silnou pozici a jedná se o velmi rozšířený a oblíbený bezpečnostní produkt. Díky tomu jsme měli možnost sledovat a hlavně analyzovat kyberzložinecké aktivity ještě před začátkem invaze. A aktuální kyberválku sledujeme a analyzujeme stále. V této přednášce se seznámíme nejen s celou časovou linkou všech útoků, jejich technickým pozadím včetně dosud nezveřejněných informací a místním kontextem, ale především si zodpovíme kritickou otázku: obstála by Česká republika lépe?

Dnešní moderní podniky čelí neustále novým hrozbám a stále důmyslnějším počítačovým útokům. Potřebují zabezpečení, které bude nedílnou součástí jejich systémů a koncipované odlišně od tradičních způsobů ochrany. Více než 30 000 zákazníků důvěřuje společnosti VMware a spoléhá na to, že jim pomůže chránit podnik, moderní aplikace a nativní aplikace pro edge prostředí pomocí uceleného portfolia vysoce efektivních a snadno použitelných bezpečnostních řešení. Společnost VMware představuje novinky, které pomáhají zajistit konzistentní bezpečnost veškerých koncových bodů, virtuálních strojů a kontejnerů díky komplexní architektuře založené na principu nulové důvěry.

V rámci přednášky bude primární důraz kladen na pozadí kybernetické války mezi Ukrajinou a Ruskem, se zaměřením na témata, která v českých ani evropských informačních médiích nejsou dostatečně zveřejňována. Přednáška bude zaměřena na sofistikované vektory útoků, které se v rámci Ruské invaze na Ukrajinu vyskytly, a hlavně na fázi reagování na bezpečnostní incidenty. Následně bude rozebrána historie technik a mechanismů útoků od samého počátku konfliktu a zvláštní důraz bude kladen na efektivní techniky obrany. Závěr přednášky bude věnován preventivním opatřením, kterými bylo možné útokům předejít.

Posledné udalosti vo svete vyniesli tému kybernetickej bezpečnosti do pozornosti aj široké verejnosti, avšak primárne výzvy zostali rovnaké. Ako robiť efektívnu ochranu kyber prostredia s nedostatkom špecialístov v hybridnom svete dnes. V kombinácii, keď po pandémii Covid-19 je všeobecná požiadavka na prácu z domu, či v dôsledku špeciálnej vojenskej operácie, rozumej vojne na Ukrajine, je síce z úplne iných dôvodov požiadavka prekvapivo rovnaká.

Ve své prezentaci představím, jak funguje ICANN (Internet Corporation for Assigned Names and Numbers). Po vypuknutí konfliktu na Ukrajině byla tato organizace požádána o odpojení Ruska od celosvětové sítě. Současně Rusové přijali Zákon o suverénním ruském Internetu a provedli test takového odstřižení. Přichází v úvahu rozštěpení celosvětové sítě? Jaké jsou možnosti dočasného dobrovolného odtržení od Internetu? Jaké nástroje má Česká republika v případě masivního útoku a jak bychom obstáli?

V BankID jsme v minulém roce pracovali intenzivně na tom, aby naše služby byly v nejvyšší možné míře bezpečné a dostupné. Stavěli jsme na greenfieldu nový produkt a návazné služby pro Service Providery. V Case Study představíme, jak jsme přemýšleli při designu bezpečnosti IT prostředí a síťové komunikace. Dále představíme procesní ráme a jeho realizaci v systémech a aplikacích, a lessons learned, které jsme si z toho odnesli.

Webové aplikácie často implementujú funkcionality ako prihlásenie pre užívateľov, rôzne vyhľadávacie funkcie, chatovacie funkcie a iné. Tieto funkcionality, ak nie sú dostatočne zabezpečené, sa stávajú terčom rôznych automatizovaných útokov – slovníkový útok na prihlasovací formulár, automatické vyhľadávanie za účelom prehľadávania obsahu, rôzne formy chatbotov a iné. Pre zabezpečenie funkcií pred automatizovanými skriptami sa často používa mechanizmus CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart). Táto prezentácia si kladie za cieľ zoznámiť poslucháča s možnosťami ako tento bezpečnostný mechanizmus prekonať od jednodých manuálnych spôsobov až po spôsoby s využitím strojového účenia.

Výsledek bezpečnostního incidentu nebo i vetší krize do velké míry závisí nejenom na implementovaných technologiích a zavedených bezpečnostních procesech, ale také na tom, jak dobře dokážou na krizi reagovat odpovědní lidé na všech úrovních organizace: od běžného pracovníka HelpDesku, přes vedení IT až po Top management. A pro krizovou připravenost platí podobně jako pro mnoho oblastí života: těžko na cvičišti, lehko na bojišti. Jak tedy přesvědčit odpovědné, že testování nejrůznějších plánů reakce na incidenty, výpadky a krize má smysl? Jak takové cvičení naplánovat? A co je důležité při komunikaci s managementem? V rámci přednášky vám nasdílíme zkušenosti posbírané z projektů, které jsme realizovali pro různé klienty. Koordinátor pro BCM a krizové řízení zprostředkuje pohled z klienské strany.

Developing secure modern applications has become increasingly complex. With so much functionality to deliver, turning raw code into something that brings value to customers’ lives without adding risk seems more difficult each day. Given the threats to modern applications, security testing is no longer an option. Today it’s an integral part of the development pipeline.    And when it comes to securing applications, the sooner and simpler that vulnerabilities can be detected, the better, saving devs and AppSec teams time, effort, and cost.   In our meeting, we’ll discuss three essential security pieces that should be a part of every development practice. They are: • The importance of static code testing  • A regular cadence of software composition analysis • How Infrastructure as Code affects your applications

Cílem případové studie je představení veškerých úskalí, která jsme museli vzít v potaz při výběru EDR řešení. Přednáška bude rozdělena do dvou částí. V první části budou v prostředí finanční instituce demonstrována klíčová kritéria pro výběr EDR řešení, důvody jejich volby a způsoby ověření. Druhá část bude zaměřena na vyhodnocení produktů vůči definovaným požadavkům včetně metodického postupu hodnocení.

Auditování logů je jako hledání jehly v kupce sena, logy jsou decentralizované, neuspořádané a těžko se s nimi pracuje. Zjistěte jak správně auditovat prostředí Microsoft Windows a neztratit se v záplavě dat. LOGmanager je uživatelsky orientovaný, jednoduchý a má certifikovaný systém bez jakýchkoli licencí. Součástí systému je Windows Event Sender — klient pro stanice a servery. Klient je centrálně spravovaný a umožňuje sběr logů z operačních systémů Windows. Tyto logy je možné filtrovat a kódované údaje v nich obsažené jsou překládány do srozumitelné formy. Ukážeme vám, jak správně nastavit Advanced Audit politiky ve světě Microsoft Windows tak, aby sběr událostí dával správné výsledky. Dozvíte se v případové studii s Mirkem Knapovským ze společnosti Sirwisa.

Managing distributed risk associated with hundreds of vendors, suppliers, and partners is quickly becoming the defining cybersecurity challenge in today’s increasingly complex environment. As organizations have increased the number and variety of third parties they work with, they have simultaneously exposed their enterprises to the vulnerabilities of those partners. The ugly truth is that 93% of over 1,200 CIOs, CISOs, and CPOs surveyed in the 2021 Global Supply Chain Cyber Risk Report suffered a breach at the hands of a third party in the past 12 months. Your vendors, suppliers, and partner ecosystems are now critical components of your own attack surface. What to do and to defend at scale to proactively reduce the risk?

Být podezíravý se vyplácí. Minimálně v případě prevence před kybernetickými útoky. Útoky na informační technologie nemusí být jen o využívání zranitelností počítačových systémů. Častým prvním krokem v kybernetických útocích je použití lidského elementu. Uživateli jsou manipulováni k tomu, aby útočníkům umožnili získat neoprávněný přístup k cílovému počítačovému systému. V prezentaci vás zasvětíme do přípravy a průběhu simulovaného útoku sociálním inženýrstvím na velké bankovní domy v České republice. Ukážeme si zajímavé momenty a ukázky z námi realizovaných útoků. Podělíme se o zkušenosti, a to od prvních krůčků přípravy útoku až po samotné velké finále. Prezentace si klade za cíl zábavným způsobem edukovat posluchače, přivést je k ostražitosti a tím je připravit je na situaci, ve které by sami museli čelit útoku sociálního inženýra.

Po začátku války na Ukrajině se znásobilo riziko kyberútoků. Útoky jsou sofistikovanější, což klade i vyšší nároky na zabezpečení informačních systémů. Základní míru zabezpečení stanovuje pro povinné osoby zákon o kybernetické bezpečnosti a nově i evropský akt o kybernetické bezpečnosti, těmito pravidly se ale s úspěchem mohou inspirovat i ostatní společnosti. V příspěvku představíme best practices řízení dodavatelů při předcházení kybernetických rizik a naše zkušenosti z vyjednávání smluv, aby řízení dodavatelů bylo jednotné a tím i relativně snadné.

Během pandemie COVID-19 se objevila celá plejáda aplikací pro podporu trasování rizikových kontaktů jejich uživatelů. První generace, založená na spontánním využití dostupných mobilních senzorů a služeb, trpěla řadou skrytých bezpečnostních slabin. Tyto nedostatky měla odstranit generace druhá, která byla ve většině případů postavena na společném frameworku Google a Apple, známém jako GAEN (Google-Apple Exposure Notification). Na plusové straně GAEN stojí veřejně popsaný kryptografický protokol, který měl ochranu soukromí jako svůj zjevný cíl. Podpora na úrovni operačních systémů Android a iOS pak přispěla k omezení implementačních chyb a interoperabilitě na celosvětové úrovni. Dobře míněné snahy o soukromí a bezpečnost mají však své meze, které jsou dobře patrné například ve chvíli, kdy se na systém GAEN podíváme skrze zpracování radarových signálů a RFID. Kryptografické konstrukce pak najednou ztrácejí svou sílu, nebo dokonce začínají pomáhat protivníkovi. Vedle radionavigačních služeb typu GPS je to další příklad rozdílu mezi ochranou přenášených dat samotných a zabezpečením rádiových signálů, které tato data nesou. V rekordním čase vzniku GAEN patrně nebylo v lidských silách všechny tyto aspekty zohlednit a ošetřit. Příspěvek proto nemá za cíl tuto technologii dehonestovat, nýbrž upozornit na principiální slabiny, které je užitečné mít na zřeteli při hodnocení a návrhu podobných architektur.