В этом году на PHDays будет defensive-трек! Форум всегда был в большей степени посвящен атакам, уязвимостям и техникам взлома, и в меньшей степени – защите. В этом году организаторы решили восстановить баланс и выделили отдельный технический трек thrEat reSearch Camp для докладов, посвященные темам incident response, threat intelligence, threat hunting, OSINT и malware analysis.
За два дня российские и зарубежные эксперты расскажут о новых APT-кампаниях, поделятся эффективными методами и инструментами выявления инцидентов, мониторинга дарквеба и анализа открытых источников, разберут по полочкам сложную малварь. В программе доклады разной сложности — от уровня для начинающих до хардкора.
«Из года в год появляется все больше информации о новых уязвимостях и крутых способах взлома, но тема защиты от них не освещается также широко. На PHDays 9 мы решили изменить этот тренд и рассказать о тех, кто стоит по другую сторону баррикад, — о специалистах, которые каждый день защищают нас от киберпреступников, — рассказывает руководитель отдела реагирования Positive Technologies, член оргкомитета PHDays Эльмар Набигаев. — Трек thrEat reSearch Camp призван стать площадкой для обмена идеями для всех участников PHDays. Надеемся, что это станет доброй традицией».
Программный комитет уже отобрал первую группу спикеров, чьи выступления прозвучат на defensive-треке. Посетители PHDays узнают, как оптическое распознавание символов помогает в борьбе с макровирусами, услышат доклад о тонкостях расследования инцидентов в облаках, познакомятся с новым методом анализа журналов Active Directory, а также с тем, как специалисты по безопасности мониторят угрозы в даркнете.
Детектирование макровирусов
Атаки с использованием документов с внедренным вредоносным кодом — классика жанра: их бум пришелся на 90-е годы. Наиболее простой сценарий заражения вредоносным ПО: когда злоумышленники внедряют какой-нибудь макрос VBA, например, в счет на оплату. Многие помнят знаменитый макровирус Melissa, который появился в марте 1999 года и заразил сотни тысяч компьютеров по всему миру.
Неожиданно для всех в 2014 году макровирусы получили второе рождение — компания Microsoft отметила рост числа таких угроз: на пике защитные решения Microsoft показали около 8000 VBA-детектов в сутки. В 2016 году компания Microsoft по умолчанию отключила макросы в программах пакета MS Office. Однако разработчики вредоносного ПО нашли способ обойти это ограничение: теперь они вежливо просят пользователей включить макросы.
Реверс-инженер компании Check Point Бен Херцог (Ben Herzog) представит новый подход к обнаружению классической атаки. Злоумышленникам, создающим такие документы, приходится использовать слова «разрешить макросы» и прятать их в заголовке документа или на рисунке. Бен продемонстрирует классификатор, который сразу выявляет зараженные файлы, и на примере десятков тысяч вредоносных документов расскажет о результатах проведенных им исследований.
Новый метод анализ журнала событий AD
На PHDays с докладом «Визуализация и машинное обучение для анализа журналов событий Active Directory» выступят исследователи группы реагирования на инциденты JPCERT/CC. Томоаки Тани (Tomoaki Tani) координирует расследование инцидентов кибербезопасности и анализирует тенденции киберинцидентов и методы атак, а Сюсей Томонага (Shusei Tomonaga) анализирует вредоносное ПО и расследует инциденты, возглавляет группу анализа целенаправленных атак на ключевые объекты японской промышленности.
Анализ журнала событий — ключевой этап в расследовании инцидентов. Анализ журналов Active Directory позволяет определить узлы, которые были скомпрометированы в результате lateral movement. Слушатели познакомятся с новым методом анализа журналов событий Active Directory с помощью LogonTracer — инструмента, который визуализирует отношения между учетными записями и узлами.
Расследования инцидентов в облаке
Все больше компаний переносят свою инфраструктуру в облачную среду — Amazon Web Services, Microsoft Azure или Google Cloud Platform. По данным аналитической компании IDC, в 2018 году самые большие затраты на облачные сервисы отмечены в здравоохранении (12,1 млрд $), госсекторе (8,4 млрд $) и на финансовом рынке (7,3 млрд $). По прогнозам аналитиков, инвестиции в облачные сервисы будут расти ускоренными темпами до 2021 года. Всплеск популярности облачных сред объясняется цифровизацией ключевых отраслей экономики.
Несмотря на все преимущества, которые дают облачные среды, их использование сопряжено с различными киберрисками. Специалист группы реагирования на инциденты Société Générale и соучредитель ArxSys Фредерик Баглен (Frederic Baguelin) затронет проблему расследования инцидентов безопасности в облачной инфраструктуре. Он подробно расскажет о сервисе EC2 и о методах анализа экземпляра EC2 в экосистеме AWS, а также предложит автоматизированный подход на основе AWS и Python API, который позволит получать снимки для проведения локального анализа. Также Фредерик продемонстрирует инструменты для проведения полного сканирования из облака.
Мониторинг угроз в даркнете
Руководитель компании Volon по продуктам и технологиям Муслим Косер (Muslim Koser) раскроет секреты эффективного поиска данных о злоумышленниках в даркнете. Он более 20 лет работает в сфере ИБ, а последние 10 лет возглавлял группы мониторинга угроз. Слушатели форума узнают, как находить нужную информацию даже в очень больших объемах данных, а также как объединить возможности искусственного интеллекта и машинного обучения с возможностями человеческого разума, чтобы извлечь из собранных данных максимальную пользу.
Напоминаем, что у вас еще есть шанс выступить на одной трибуне вместе с именитыми экспертами, заявки принимаются до 31 марта 2019 года.