APT…to se nás netýká
Dělal jsem Proof of Concept Breach Detection Systemu (BDS), či konzultace/audit v mnoha firmách a ve většině nějak doufali, že toho vlastně moc nenajdu… To, kolik jsem toho našel, bylo vždy přímo úměrné především času, který jsem hledání věnoval. Bezpečnostní mozek schopný útoky nejen detekovat, ale i generovat je počáteční podmínka integrálu. Většinou byl však čas jediná a nejdůležitější proměnná pro úspěšný odlov Advanced Persistent Threat (APT). Ukáži Vám, jakým způsobem jsem většinou postupoval při hledání, na co jsem se při hledání soustředil a jaké typy nástrojů jsem k této činnosti využíval. Např. co musí umět Sandbox, aby se s ním dal objevit zákeřný skript v PDF/DOC souboru a skript nenašel, že je v Sandboxu. Co musí umět BDS, aby objevil APT, které tam většinou „existuje“, jen se o něm (zatím) „neví“… Co je nezbytné mít na síťové a endpoint úrovni pro základní forenzní vyšetření incidentu, což je na znalost a čas ta nejtěžší (a taky nejdůležitější) část po tom, co se firma probudí do reality po vlastním nálezu APT. Proč jsou v IPS systémech důležité Zero-Day filtry, aneb ochrana proti útokům, na které ještě záplata neexistuje…Proč je dobře trénovaný člověk stále mnohem mocnější než sebelepší tzv. „umělá (automatická) inteligence“. S rostoucím počtem zranitelností každý rok, migrací do Cloudu, šifrováním všech stránek i typu BBC.COM, novými protokoly typu TLS 1.3 aj je dopadení zloděje čím dál tím těžší. O to větší je to zábava! Říká se, že když Vás něco baví, děláte to dobře. A tohle by Vás skutečně bavit mělo!! Je to totiž ve Vašem vlastním zájmu…
Robin Bay
Diplomová práce: Zabezpečení Distribuovaného Peer-2-Peer systému (v té době slovo CLOUD ještě neexistovalo). Pracoval ve 3 firmách a během 20 let vždy jako Security Engineer. Většinu času pracoval se systémy typu HSMs, produkty pro authentizaci, linkové šifrátory, certifikační autority, IDS/IPS, sandboxing, zabezpečení cloudu, audity firewallů, atd. Poslední 3 roky pracuje pro společnost Trend micro, především na zabezpečování datových center, zabezpečení cloudu a aplikací v něm, audit sítí za pomocí Breach Detection Systemů aj. Vysněná práce: Forenzní vyšetřovatel.
Tel: +420 737 215 220
E-mail: