Přednáška Incident Response: příběhy z praxe 

Přednášející: Ing. Martin Haller

Incident response je podle mě královská disciplína kybernetické bezpečnosti. Vyžaduje kombinaci znalostí obránců i hackerů, schopnost rychle se rozhodovat pod časovým tlakem a práci s neúplnými informacemi. Každá hodina prodlení znamená velké finanční škody. 

Na reálných příkladech z praxe Vám přiblížím, jak takové zásahy skutečně probíhají. Podíváme se na to, kdo stojí na druhé straně, jaké mají útočníci schopnosti i limity, co dělá naši práci specifickou a jaké dovednosti musí mít tým, který řeší velký bezpečnostní incident. 

Osnova:

• Jak začíná incident response – telefonát a pár základních informací.
• Je potřeba se rychle rozhodnout – z čeho vycházíme, když určujeme, jak reagovat (charakter firmy, předané informace, aktuální trendy). Příběh o ransomwaru v NHS.
• Záleží na tom, jestli stojíme proti APT nebo běžným zločincům – v čem se pro nás tyto situace liší. Příběh o SolarWinds nebo uniklých MS signing keys vs. běžný ransomware.
• Na čem se v kyberkriminalitě vydělává – statistiky Internet Crime Complaint Center.
• Jsme na zásahu – co musíme udělat, kdo se účastní a jak zásah paralyzuje práci firmy.
• Vyšetřování míry kompromitace.
• Hledání vstupního vektoru.
• Plán obnovy (recovery) a hardeningu.
• Komunikace se zaměstnanci, partnery, zákazníky a vedením.
• Vyjednávání a komunikace s útočníky.
• Zálohy a jejich problémy – případ ŘSD.
• Debriefing po incident response.