W dniu 13 września tego roku, po przerwie spotkaliśmy się ponownie na konferencji SECURITY CASE STUDY (SCS). Dwuletnia przerwa spowodowana pandemią Covid 19 jeszcze bardziej uświadomiła nas organizatorów, jak dużą wartością są spotkania onsite środowiska IT security. Uczestniczyliśmy w wielu wydarzeniach online, mało tego, próbowaliśmy sami organizować takie wydarzenie w 2020 roku i jesteśmy tego pewni w 100%, że nic nie zastąpi spotkań „na żywo”.
Zwyczajowo w programie konferencji SCS znalazły się prezentacje w ulubionej przez odbiorców formule „case study”. Jednakże skupiając się na wartościach merytorycznych, nigdy nie zapominamy, jak ważna jest niepowtarzalna atmosfera – swobodne rozmowy, które są źródłem cennych kontaktów i rewelacyjnych pomysłów. Choć tegoroczna edycja konferencji była jednodniowym wydarzeniem, dała duże możliwości uczestnikom konferencji, do spotkania branży co jest równie ważne, jak program konferencji i jej tematy. Mamy mocne przekonanie, że w czasie SCS23 udało się znaleźć bardzo dobry balans pomiędzy branżowym networkingiem i dawką merytorycznej wiedzy.
Otwarcie Konferencji
Konferencję tradycyjnie już otworzył prezes Fundacji Bezpieczna Cyberprzestrzeń – Mirosław Maj. W programie w sesji porannej wystąpili: Monika Pieniek, Zastępca Dyrektora Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji, która szeroko mówiła o założeniach i celach ustawy z dnia 25 sierpnia 2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej. Ustawa kilka dni po konferencji SCS miała wejść w życie. Główny cel ustawy to bezpieczeństwo usług komunikacji elektronicznej, zmniejszenie się fałszywych połączeń, SMS-ów oraz domen internetowych.
Następnie Mariusz Sawczuk z firmy F5 z prelekcją „Bezpieczeństwo i widoczność w zaszyfrowanym świecie (Jak zabezpieczyliśmy 25 tys. polskich szkół)” opowiadał jak mądrze zdekryptować ruch zaszyfrowany. Przedstawił uczestnikom jak można rozwiązać problem przy pomocy narzędzia F5 SSL Orchestrator, a wszystko na przykładzie projektu NASK OSE.
Kolejnym punktem w programie sesji porannej był panel dyskusyjny – AI w Cyberbezpieczeństwie. Uczestnikami debaty byli: prof. Andrzej Zybertowicz z Biura Bezpieczeństwa Narodowego, prof. Przemysław Biecek z Politechniki Warszawskiej oraz Uniwersytetu Warszawskiego, Jacek Łęgiewicz z Samsung Electronics Polska oraz Krzysztof Silicki z NASK. Debatę prowadziła Sylwia Czubkowska z Techstorie TokFM. Uczestnicy debaty podkreślali potrzebę znalezienia równowagi między wykorzystaniem technologii AI a minimalizacją potencjalnych zagrożeń, szczególnie w obliczu rewolucji technologicznej, w której AI stała się fundamentalnym elementem postępu.
Prof. Andrzej Zybertowicz podkreślił, że mówienie o motywacjach rozwoju AI może być mniej istotne niż zagadnienie bezpieczeństwa związanego z tą technologią. Krzysztof Silicki również zwrócił uwagę na potrzebę zajęcia się bezpieczeństwem AI, aby uniknąć negatywnych skutków, podobnych do tych, które miały miejsce w przypadku innych niebezpiecznych technologii. Jacek Łęgiewicz podkreślił znaczenie regulacji AI, wskazując na przykład ogólnego rozporządzenia o ochronie danych osobowych (GDPR) i jego wpływu na twórców Metaversrof.Prof. Przemysław Biecek zwrócił natomiast uwagę na problematyczność niektórych postulatów dotyczących kontroli nad AI, przywołując przykład prawa do detekcji AI i argumentując, że nie wszystkie propozycje regulacyjne są gwarantem sukcesu.
Debata była istotnym krokiem w kierunku zrozumienia roli, jaką AI odgrywa w obszarze cyberbezpieczeństwa oraz w opracowaniu odpowiednich strategii zarządzania ryzykiem związanym z tą technologią. Działania podejmowane na tym polu mają na celu zapewnienie równowagi między wykorzystaniem AI a ochroną przed jej potencjalnymi zagrożeniami.
Na zakończenie sesji porannej Marcin Dudek z CERT Polska zrobił przegląd darmowych, dostępnych dla wszystkich narzędzi dostarczanych przez CERT Polska.
Sesja popołudniowa – trzy równoległe ścieżki: SCS PRO, SCS CASE i SCS STUDY oraz Liga Cyber Twierdzy
W sesji popołudniowej SCS23 działo się bardzo dużo. Nastąpił podział na trzy równoległe ścieżki a oprócz tego równolegle odbywał się finałowy turniej LIGI CYBER TWIERDZY, który był zakończeniem rozgrywek sezonu 2023. Patronem merytorycznym 3 sezonu LCT był NASK, partnerem rozgrywki finałowej był Samsung Electronics Polska także Platynowy partner tegorocznej edycji konferencji SCS.
Ścieżka PRO
Rafał Wyroślak z Trafford IT i Adam Obszynski z Palo Alto Networks drążyli temat Transformacji cyberbezpieczeństwa i migracji do chmury, usług bezpieczeństwa na bazie nowej infrastruktury chmurowej z rezydencją danych w Polsce.
Grzegorz Siewruk z Orange Polska zaprezentował techniki, dzięki którym uczestnicy zdobyli wiedzę, na co zwrócić uwagę tworząc „projekt” aplikacji lub budowanego systemu teleinformatycznego, aby zapewnić bezpieczeństwo aplikacji poprzez przemyślenie konkretnych funkcjonalności. Prezentacja miała charakter techniczny i podczas jej trwania wykorzystanych było dużo wybranych przykładów praktycznych.
Wojciech Reguła z SecuRing opowiadał o mechanizmach bezpieczeństwa występujących na macOS, porównywał „Maki” połączone z Active Directory do tych niepodłączonych, przeprowadzał krok po kroku infekcję Maka, bazując na podatności (demo). Na końcu podpowiedział jak utwardzić środowisko macOS.
Kamil Gapiński, Michał Buczyński z firmy ComCERT opowiadali o unikalnych potrzebach i wyzwaniach przy wyborze SIEM-a dla organizacji. Wszystko to okiem analityka i z perspektywy użytkownika końcowego. Jakie funkcje systemu SIEM będą niezbędne, jakie możliwości analityczne należy rozważyć oraz jak osiągnąć korzyść biznesową z użytkowania.
Krzysztof Gortat i Michał Ostrowski z firmy SecureVisio opowiadali o tym, jak efektywnie wykorzystać w organizacji informację o zagrożeniach cybernetycznych przekazywanych przez systemy Cyber Threat Intelligence. Panowie na przykładowych scenariuszach zagrożeń pokazali, że jest możliwe efektywne przeciwdziałanie cyberzagrożeniom, ich pełna automatyzacja i orkiestracja.
Jakub Pluszczok z Damianem Burym na przykładach w formie demo, pokazywali, że w trakcie prowadzenia akcji Red Team, szczególnie ważną kwestią jest utrzymanie połączenia C2 ze stacją „ofiary”. Zastanawiali się, w jaki sposób Blue Team może nas namierzyć. Omówili i pokazali ciekawe techniki pozwalające na przetrwanie restartu komputera.
Jak cyberataki wpływają na polskie usługi kluczowe, opowiadał Kamil Drzymała z ISSA Polska. Prelekcja była przeglądem znanych z ostatniego czasu ataków, wzrostu dezinformacji, fake newsów, deepfake’ów i możliwości wykorzystania do tego sztucznej inteligencji (wraz z case study jak są one propagowane). Ponadto w prezentacji poruszona była kwestia świadomości polskich innternautów o cyberzagrożeniach, w kontekście wyniku kontroli NIK i innych źródeł. Wszystkie te działania były zestawione z wymaganiami UKSC oraz potencjalnej nowelizacji, czyli UKSC 2.0.
Ciekawym zakończeniem sesji SCS PRO był zorganizowany przez ISSA Polska „Sąd nad hakerem”, przedstawiona została perspektywa oskarżonego, obrońcy i oskarżyciela. Rozpatrzenie sprawy w imieniu Cyberlandii przeciwko hakerowi, w której rolę wcieliła się Beata Kwaśny, w związku z prowadzeniem grupy przestępczej, zorganizowaną przestępczość, przestępstw komputerowych, naruszeń tajemnicy, integralności danych i systemów, wytwarzanie narzędzi przestępczych, przestępstwa przeciwko szpitalom z powiatu gdańskiego. Na wniosek Prokuratora kara miała wynosić 8 lat pozbawienia wolności, ale jak sprawa się potoczyła i czy oskarżona siedzi w więzieniu wiedzą tylko uczestnicy SCS .
Ścieżka SCS CASE
Ścieżkę SCS CASE rozpoczął Ireneusz Tarnowski z CERT Orange Polska, który na podstawie bieżących incydentów oraz analizy narzędzi wykorzystywanych do ataków, przybliżył taktyki ataków DDoS, oraz narzędzia, jakimi posługują się atakujący. Opowiedział jak warsztatowo podejść do pozyskiwania oraz wykorzystywania informacji o atakujących. Na przykładzie ataków DDoS, wskazał jak w praktyce rozumieć metodologię Intelligence-Driven Incident Response.
Piotr Kamiński opowiedział uczestnikom SCS23 jak wykorzystać statystyki do zarządzania podatnościami, używając darmowych narzędzi Jupyter, Python z bibliotekami pandas i numpy. A także jak monitorował pokrycie skanami, obliczał trendy oraz priorytetował podatności. Pokazał jak podobny jest proces związany z data science a zarządzaniem podatnościami.
Z kolei Krzysztof Góźdź z Secfense zademonstrował na przykładzie popularnego serwisu Internetowego, w ścisłej współpracy z uczestnikami pokazu, jak łatwo przejąć konto użytkownika zabezpieczone drugim składnikiem uwierzytelniania, jakim jest kod jednorazowy przekazywany SMS-em bądź TOTP generowany przez popularne aplikacje mobilne typu Authenticator (Google, Microsoft, Cisco itd.). Żeby jednak nikogo nie zniechęcić do korzystania z usług on-line, od razu zabezpieczył ułomny serwis czymś bezpieczniejszym i wygodniejszym w użyciu, opartym na otwartym standardzie FIDO.
Ciekawy przypadek C2 over DNS z pewnych firewalli omówił Piotr Głaska. W trakcie prezentacji przedstawił swoje niedawne ciekawe odkrycie ruchu C2 over DNS generowanego przez Puppy RAT do serwera C2 w Rosji. Ruch generowany był z kilkudziesięciu organizacji, pochodzących z różnych krajów i sektorów, ale zawsze był inicjowany z firewalli, i do tego zawsze tego samego producenta. Podczas prezentacji przeszedł krok po kroku przez analizę tego incydentu, tak jak to się odbyło w rzeczywistości. Studium tego przypadku pozwoliło wzbogacić wiedzę słuchaczy zarówno w zakresie odkrywania ruchu C2 over DNS, jak i reakcji na incydenty, oraz pokazało, dlaczego niektórym źródłom danych powszechnie używanym w cyberbezpieczeństwie nie można ufać i dlaczego.
W prezentacji, która zyskała duże uznanie wśród uczestników konferencji: „Od zera do hakera w ataku na łańcuch dostaw” Krzysztof Zieliński z UKNF wskazał uczestnikom ryzyka wynikające z Chain Suppy Attack (CSA) oraz jak powszechna dostępność AI obniżyła próg wejścia w ofensywne cyberbezpieczeństwo. Do udowodnienia ww. tezy wykorzystał autorskie narzędzie napisane przy pomocy AI, służące do wyszukiwania specyficznej podatności stron internetowych w modelu CSA. Główna, techniczna część prezentacji od kuchni przedstawiała koncepcję autorskiego narzędzia, dokładnie opisany jego „proces wytwórczy” z wykorzystaniem różnych modeli AI oraz występujące w tym procesie wyzwania i problemy.
Daniel Olkowski z Dell Technologies rozważał o tym, czy najbezpieczniejszy system to ten odcięty od świata? Czy możemy pozwolić sobie na taki luksus? Zaprosił uczestników do rozmowy o tym, jak odpowiedzieć na cyfrowy atak.
Adam Lange ze Standard Chartered oraz Agata Ślusarek z CSIRT KNF omówili przykłady kampanii przestępczych z punktu widzenia analityka, zajęli się omówieniem spraw, jakie dotykają użytkowników Internetu.
Ścieżka SCS STUDY
Tomasz Biernat, Mateusz Król z ING Hubs Poland zaprezentowali holistyczne spojrzenie na ewolucję SOC, skupiając się na trzech głównych warstwach: zagrożeń, ludzi oraz technologii i detekcji. Podzielili się wiedzą w zakresie rozwijania i tworzenia SOC, jak i tego, na co grupy operacyjne muszą zwrócić uwagę w nadchodzącej przyszłości.
Mateusz Olejarka z SecuRing na podstawie dostępnych szczegółów dotyczących wielu naruszeń bezpieczeństwa na znane firmy, do których doszło w ostatnim czasie pokazał, czego możemy się nauczyć, analizując te incydenty. Opowiedział, jak wyglądało typowe naruszenie, co zadziałało, co zawiodło i jakie najlepsze praktyki wdrożyć we własnej firmie, aby była bardziej odporna. Koncentrował swoją prelekcję na stronie defensywnej i najlepszych praktykach, które można zastosować w takich obszarach jak wykrywanie: tokeny Canary, anomalie, powiadomienia 2fa itp., modelowanie zagrożeń, korzystanie z oprogramowania stron trzecich, obsługa klienta, korzystanie z prywatnych urządzeń itp., zapobieganie: u2f, PAM itp.
Piotr Brogowski z Orion Instruments zaprezentował system do wykrywania, klasyfikacji i skutecznego i spójnego maskowania wrażliwych informacji w bazach danych.
Dyskusja w formie panelu, w którym uczestniczyli członkowie CISO #Poland: Andrzej Bartosiewicz, Marcin Kabaciński, Jarosław Sordyl oraz Tomasz Matuła skupiła się na praktycznych pomysłach jako CISO w swojej organizacji może się skutecznie komunikować z zarządem i innymi liderami, aby móc efektywnie wprowadzać system cyberbezpieczeństwa. Prezentacja Piotr Swiądera również dotyczyła roli CISO w organizacjach, oraz łączeniu roli CISO i DPO. Piotr Świąder skupił się na omówieniu połączenia dwóch istotnych ról w dzisiejszym środowisku biznesowym – CISO (Chief Information Security Officer) i DPO (Data Protection Officer).
Paweł Kulpa podczas prezentacji pokazywał, jak podejść do transformacji sposobu zarządzania tożsamością cyfrową z trybu best effort do zautomatyzowanego procesu. Mowa była zarówno o fazie przygotowania organizacji do projektu, poprzez definicję celów, jak i sensownego zakresu aż do wyboru narzędzi wspomagających i faktyczne prowadzenie projektu.
Maciej Nowak, Kamil Grzela w swojej prezentacji „Bezpieczeństwo kryptografii i słabości systemowe w systemach automotive: Wnioski z domeny komunikacyjnej” podkreślili znaczenie bezpieczeństwa systemów oraz kryptografii w dzisiejszych systemach samochodowych, oparte na szczegółowym studium przypadku związane z „connectivity domain”. Panowie w swojej prezentacji przekazali wiedzę z własnych doświadczeń w branży motoryzacyjnej, podkreślając że bezpieczeństwo w tych systemach to nie tylko kwestia techniczna, ale także organizacyjna i procesowa na każdym etapie projektowania współczesnych pojazdów.
Ścieżkę SCS STUDY zamykała prezentacja Angeliki Marii Piątkowskiej, dotycząca analizy tych działań młodych ludzi, które mogłyby potencjalnie być uważane za cyberprzestępstwa, gdyby zostały popełnione przez osoby dorosłe. Prelegentka przedstawiła również potencjalne zagrożenia, jakie mogą spotkać młodych adeptów cyberbezpieczeństwa i jak im przeciwdziałać, a także porady dla rodziców, w jaki sposób wspomóc dojrzewające dziecko, aby wykorzystało swoje zasoby w dobrych celach. Ponadto prezentacja była spojrzeniem na fenomen działalności okołohakerskiej w kontekście dojrzewania osobowości.
Liga Cyber Twierdzy, zakończenie konferencji
Zakończenie konferencji to tradycyjnie bankiet, kuluarowe spotkania i rozmowy, ale wcześniej nastąpiło uroczyste rozstrzygnięcie finałowego turnieju Ligi Cyber Twierdzy oraz wręczenie nagród za ten turniej, jak i za cały, trzeci już sezon Ligi.
Całoroczne zmagania 3. sezonu Ligi Cyber Twierdzy zakończyły się rozgrywką finałową, w której udział wzięło 12 najlepszych zespołów klasyfikacji.
Trzy zwycięskie zespoły Wielkiego Finału 3 sezonu Ligi Cyber Twierdzy walczyły o nagrody przygotowane przez partnera merytorycznego rozgrywek całego 3. sezonu – NASK oraz organizatora Fundację Bezpieczna Cyberprzestrzeń.
Końcowa klasyfikacja i nagrody za cały sezon 2022/2023 Ligi Cyber Twierdzy, oraz turnieju finałowego, wyglądają następująco:
I miejsce: „SOC z Gumijagód” – 12 000 PLN
II miejsce: „Grupa specjalna” – 5 000 PLN
III miejsce: „WRC” – 3 000 PLN
Tego dnia zawodnicy walczyli również o nagrody za rozgrywkę finałową, nagrody przygotowane przez Platynowego Partnera konferencji Samsung Electronics Polska oraz organizatora Fundację Bezpieczna Cyberprzestrzeń trafiły do drużyn:
I miejsce: „SOC z Gumijagód” – 3 000 PLN
II miejsce: „Grupa specjalna” – 2 000 PLN
III miejsce: „Ogóry” – 1 000 PLN
Gratulujemy wygranym!
Do zobaczenia za rok!
Fundacji Bezpieczna Cyberprzestrzeń jako organizator konferencji SCS23 dziękuje wszystkim znakomitym prelegentom, a także uczestnikom konferencji. Gorące podziękowania również dla partnerów konferencji a w szczególności partnerom platynowym: F5 oraz Samsung Electronics Polska. Na końcu ogromne podziękowania przesyłamy współpracownikom, których nie sposób wszystkich tu wymienić, ale bez których konferencja SCS nie byłaby taka, jaka jest . Do zobaczenia za rok!