Warsztatowe rozkładanie przykładowej kampanii APT, podczas prowadzonego przeze mnie szkolenia, jest najcześciej oceniane przez uczestników jako najciekawszy element kursu. Zawsze zachęcam wszystkich uczestników do powtórzenia tego ćwiczenia, ale nie w infrastrukturze stworzonej na potrzeby warsztatowe, a w środowisku, którego na co dzień bronią.
Celem Threat Intelligence jest "znać swojego wroga", co ma przełożyć się na:
- możliwość podejmowania świadomych decyzji
- wykrywanie incydentów bezpieczeństwa
- reagowanie na incydenty bezpieczeństwa
- mechanizmy kontrolne (prewencję)
- polowanie na napastników
Threat Intelligence to analiza, która przekłada się na użyteczną w boju informację, a nie surowy Threat Feed/Data bez kontekstu.
Zespoły typu SOC/CERT/ITSEC na co dzień działają w deficycie czasu przez co rzadko korzystają z nauczanej przeze mnie metodyki Kill Chain. Niech odezwie się ten "obrońca", który nie będąc prowokowanym zew. audytem, incydentem o przykrych skutkach, ma wolne zasoby, by aktywnie rozwijać w godzinach pracy świadomość na temat zagrożeń oraz przekuwać ją na wdrażane rekomendacje takie jak:
- nowe scenariusze w SIEM'ie
- zmiany w konfiguracji systemów bezpieczeństwa
- zmiany w architekturze bezpieczeństwa
- zmiany w politykach/wytycznych/procedurach korzystania z zasobów informatycznych
- potrzeba zainwestowania w daną technologię by odpowiedzieć na nowe zagrożenie lub podnieść skuteczność identyfikacji/prewencji.
Doskonale zdaję sobie sprawę, że jest wiele innych zadań do wykonania, a zbudowanie wewnątrz organizacji dodatkowego zespołu Threat Intelligence jest niezwykle trudne - zarówno z powodów małej liczby ludzi, którzy to dobrze robią jak i stawek, które są przez te osoby oczekiwane.
Odpowiedzią na tę potrzebę jest powstanie zespołu Threat Intelligence w ramach White Cat Security.
W ramach oferowanych usług będą realizowane m.in. takie zadania jak:
- synteza informacji (publicznie i niepublicznie dostępnych) o kampaniach APT, atakach na dużą skalę - coś co można nazwać potocznie "prasówką"
- synteza w/w informacji w postaci:
- rekomendacji jak rozbroić (działania prewencyjne) TTP (Tactics, Techniques, and Procedures) napastników
- rekomendacje jak upolować (działania identyfikujące) TTP napastników
- aktualizacja katalogu scenariuszy do implementacji w SIEM'ie
- szkolenia wprowadzające w TTP używane przez napastników z omówieniem rekomendacji
- synteza kampanii ukierunkowanych na "infrastrukturę krytyczną" - te IT jak i OT.
- oraz inne
Z początkiem roku 2017 uruchamiamy fazę beta usługi z kilkoma Klientami, którzy będą mieć znaczący wpływ na to jak usługa będzie wyglądać po zakończeniu fazy beta. Jest to moment na to by rozpocząć z nami tę przygodę.
W przypadku zainteresowania szczegółami i przystąpieniem do fazy beta - proszę o kontakt na kontakt{@}whitecatsec.com lub innym kanałem, który jest już znany.
Usługę tego typu chciałem uruchomić w ostatnich latach kilka razy z różnymi firmami-partnerami. Natomiast dopiero teraz jestem przekonany, że skompletowałem zespół pasjonatów i obrońców "z krwi i kości", o których mogę mówić "Ten zespół zawsze jest głodny" co gwarantuje brak stagnacji i ciągłą chęć podnoszenia poprzeczki napastnikom.
Do kogo kierowana jest usługa?
W pierwszej kolejności do firm/instytucji, które są zainteresowane aktywną ochroną i potrzebują wsparcia z zew., zespołu, który specjalizuje się we wspieraniu zespołów typu SOC/CERT/CSIRT.
W bliskiej przyszłości, wraz z pozyskiwaniem Partnerów wśród m.in. Integratorów, postaramy się umożliwić jeszcze większe odciążenie posiadanych zasobów pomagając skonsumować "Intelligence" jeszcze efektywniej czasowo/kosztowo.
Kończąc zapowiedź nowej usługi White Cat Security, zapraszam na cykl prezentacji, na których nie będę opowiadał o usłudze, ale o metodykach, które stosujemy, o ich przewagach względem innych podejść na bazie konkretnych przypadków. Z przyjemnością przekażę wiedzę pozwalającą na realizację aktywnej i skuteczniejszej obrony - czysta wiedza, żadnego marketingu. O najbliższych planowanych prezentacjach będę informował na blogu.
Zapraszam do przesyłania pytań i komentarzy, a jeśli znasz kogoś komu możemy pomóc osiągnąć kolejny poziom dojrzałości zespołu - podaj linka do tego posta dalej.
Pytania? - kontakt{@}whitecatsec.com
Brak komentarzy:
Prześlij komentarz