BOTS vs. NetWars

V zásadě se jedná o totožný princip soutěže. V časovém limitu máte získat co nejvíce flagů (bodů), které Vás vynesou na přední příčku soutěže. V případě SANS (NetWars) jde o různé scénáře - Forenzní (DFIR NetWars) případně Pen Test. Osobně mi víc sedí druhý, první je poměrně dost náročný pokud člověk nemá znalosti z Windows světa (FOR508). Nicméně s cheat sheetem se dá dobře pomoct. Celkově jsou na to dvě hodiny a jedná se o dost intenzivní zážitek. Umocněný tím, že se ho účastní jak lidé, kteří tuto činnost dělají na denní bázi, tak takoví, kteří tohle vidí prvně v životě.

Z BOTS jsem měl podobný pocit. S tím rozdílem, že jde trochu o reklamu na Enterprise Security a User Behavior Analysis. Nicméně i pro nováčky se znalostí bezpečnosti je to velmi dobrá příprava. Scénář je velmi komplexní. Dat je přehršel, těžko se v tom jen tak na první dobrou vyznat. Nicméně bez magie na straně Splunku by to určitě nešlo zvládnout. Jednak Splunk sám toho dost předpočítá, druhak musíte vědět kde to v tom nástroji najít. Což je, podle mě, největší slabina. Když správně kliknete tak na Vás vypadne výsledek, hned. Žádné složité psaní SPL dotazu a jeho následné upřesňování. Oboje má něco do sebe. Jen mi přijde, že to zjednodušuje práci natolik, že to analytika neučí přemýšlet. Veškeré přemýšlení přebírá Splunk. Což, podle mě, není dobře. Nejsme tak daleko, abychom svěřili detekci (jen) do rukou nástroje.

Určitě se budu chtít nadále účastnít obou těchto akcí, dají člověku (reálné) zkušenosti. A ty jsou k nezaplacení!

Other Related Posts:

.conf18

Konference a školení pohledem nového uživatele Splunku

Měl jsem možnost absolvovat školení Power User Bootcamp na konferenci Splunk .conf18 v Orlandu. Byl to opravdu zážitek - ať už z pohledu organizace tak obrovské akce, širokého záběru témat a možnosti získat informace přímo „od zdroje”. V rám...

5th Oct 2018