Udział w konferencjach i webinarach jako prelegent:
CyberGOV
Wydarzenie poświęcone podnoszeniu poziomu cyberbezpieczeństwa instytucji sektora publicznego
Czy sektor publiczny toczy równą walkę?
Omówione zostały problemy i wyzwania, z jakimi mierzy się sektor publiczny w obszarze cyberbezpieczeństwa. Prelegent porównuje potencjał instytucji państwowych z dobrze zorganizowanymi grupami cyberprzestępczymi, wskazując na ograniczenia kadrowe, budżetowe oraz braki w zakresie narzędzi i procedur. W prezentacji przedstawiono realne przykłady ataków, m.in. wykorzystanie nietypowych protokołów, maskowanie popularnych ataków na RDP oraz nadużycia wynikające z błędnej konfiguracji DNS, podkreślając znaczenie głębokiej inspekcji pakietów i rekonfiguracji zabezpieczeń. Zwrócono także uwagę na kluczową rolę łańcucha dowodowego (Chain of Custody) w prawidłowym operowaniu dowodami cyfrowymi. Poruszone zostały również problemy związane z fałszywymi alarmami, ograniczeniami narzędzi AI/ML/SOAR w praktyce oraz innymi czynnikami wpływającymi na skuteczność operacyjną zespołów odpowiedzialnych za walkę z cyberprzestępczością.
EC-Council University’s CyberTalk
Jak słabości protokołów webowych umożliwiają ataki DoS na warstwie 7
Ta prezentacja zagłębia się w wewnętrzne podatności wynikające z konstrukcji protokołów webowych, które pośrednio narażają strony internetowe na ataki typu Denial-of-Service (DoS) na warstwie 7 – niezależnie od stosowania nowoczesnych mechanizmów szyfrowania transportowego (np. WTLS, DTLS, TLS 1.2/1.3 czy (G)QUIC). Dokładnie przeanalizujemy konkretne słabości protokołu ICP (Internet Cache Protocol) i pokażemy, w jaki sposób może on zostać wykorzystany do ominięcia zabezpieczeń. Nasza analiza obejmie również podatności występujące w procesach uzgadniania połączeń (handshake) w protokołach DTLS, (G)QUIC, TLS 1.2/1.3 oraz WTLS. Sesja dostarczy cennych informacji Specjalistom ds. Cyberbezpieczeństwa oraz twórcom stron internetowych, podkreślając znaczenie wielowarstwowych strategii ochrony wykraczających poza same protokoły szyfrujące w obronie przed atakami DoS.
EC-Council University’s CyberTalk
Analiza głębokiej inspekcji pakietów: badanie One Packet Killers
Zespoły Security Operations Center (SOC) monitorują ruch sieciowy za pomocą rozwiązań SIEM i IPS, a także innych narzędzi bezpieczeństwa. Jednak narzędzia te mogą czasami nie spełniać swoich funkcji, szczególnie w obliczu złożonych ataków, które wykorzystują legalne protokoły sieciowe, takie jak pojedynczy, spreparowany pakiet. Aby zwalczać te zagrożenia, zespoły SOC muszą stosować zaawansowane techniki, takie jak głęboka inspekcja pakietów (DPI). Webinarium bada techniki analizy DPI w celu wykrywania i łagodzenia "One Packet Killers", wykorzystując rzeczywiste przykłady z protokołów DHCP, H.225.0, Modbus over TCP, WTP i BAT_GW. Ponadto analizuje zawiłości każdego protokołu i podkreśla, w jaki sposób określone manipulacje wiadomościami w tych protokołach mogą aktywować ataki typu Denial-of-Service (DoS) lub zakłócać przepływy komunikacyjne. Poprzez opanowanie technik DPI i zajęcie się tymi słabościami bezpieczeństwa protokołów, zespoły SOC mogą zwiększyć swoją zdolność do utrzymania solidnego stanu bezpieczeństwa sieci.
ISSA Polska
Akademia ISSA: Forensic & Hacking
Analiza głębokiej inspekcji pakietów: wieloaspektowe spojrzenie z perspektywy SOC
Istnieje niekwestionowana konieczność wykonywania regularnych analiz głębokiej inspekcji pakietów z różnych powodów. Dostarczanie standardowych usług typu SOC, które korzystają z narzędzi takich jak SIEM, SOAR, IPS, WAF, EDR i innych, prowadzi do częściowego marnowania zasobów ludzkich z powodu ciągłego zajmowania się fałszywymi alarmami (tzw. "false positives") – m.in. analizy DPI pozwolą wyeliminować ten problem. Wykonywanie takich analiz również wspomoże w przypadku wykonywania czynności typowych dla zespołów SOC czyli np. analiz złośliwego oprogramowania, wiadomości phishing i kryminalistyki cyfrowej czy zaadresowania alertów z systemów SIEM, IPS, WAF, EDR czy XDR. Ponadto zaleca się profilowanie brzegu sieci w celu ustalenia jaki w danej infrastrukturze złośliwy ruch jest obecny na brzegu sieci w celu jego zidentyfikowania oraz mitygacji – niezależnie czy jest to ruch związany z zagrożeniami 0-day czy nie.
The Hack Summit
Największa konferencja ITSec w Polsce
Analiza głębokiej inspekcji pakietów: dlaczego typowe podejście nie wystarcza
Istnieje niekwestionowana konieczność wykonywania regularnych analiz głębokiej inspekcji pakietów, tj. profilowania brzegu sieci. Dostarczanie standardowych usług typu SOC, które korzystają z narzędzi takich jak SIEM, SOAR, IPS, WAF, EDR i innych, prowadzi do częściowego marnowania zasobów ludzkich z powodu ciągłego zajmowania się fałszywymi alarmami (tzw. "false positives"). W branży cyberbezpieczeństwa panuje obecnie powierzchowność, brak wystarczających kompetencji oraz niska cyberświadomość. Cyberprzestępcy dysponują setkami mechanizmów, które regularnie wykorzystują, aby przebić się przez zapory ogniowe. W trakcie prelekcji przedstawię zaawansowany obraz realiów, z którymi zespoły takie jak SOC nie są w stanie się uporać, i wytłumaczę, dlaczego tak się dzieje. Wykorzystam do tego rozbudowaną wiedzę na temat różnorodnych zagrożeń, opartą na analizie 252 różnych protokołów sieciowych z obszarów IT, OT oraz IoT.
