Kybernetické cvičení na Home Office

V době pandemie je kybernetické cvičení velkou výzvou. Osobní kontakt musí nahradit chat/videokonference. Zároveň došlo k restrukturalizaci týmu a zavedli jsme SIEM. Všechno tohle by bylo vcelku jednoduché kdyby nebyla pandemie. Pokud něco potřebujete řešit dojdete za dotyčným člověkem a danou věc vyřešíte anebo mu zavoláte. V dnešní době musíte psát zprávu a čekat na odpověď. Což vás stojí pozornost, čili čas.
I přes všechno výše uvedené se nám povedlo uspět, skončili jsme třetí z 22 týmů. Jak to?

Tým je sehraný, počtvrté za posledních pět let jsme se umístili na bedně (v roce 2020 se LS nekonal). Máme jasně rozdělené kompetence, znalosti a schopnosti. Když nevíte tak je vždycky někdo kdo vám s tím pomůže. Povedlo se nám rozjet SIEM i s detekcemi (moc užitečné pro Windows i aplikační logy). Dobře jsme záplatovali děravé služby přístupné z Internetu. Chain of command nebyl příliš robustní, nebrzdilo nás to v reportování a reagování na činnost útočníků. Umíme dobře pracovat s MISP, většina toho co jsme reportovali byla kladně akceptována.

Kdybych se měl zamyslet co pomohlo FPC týmu s detekcí? Jako vždy dobrý baseline a využití JA3, JA3S, Alexa i Cisco Umbrella listů. Letos nám RT dost komplikoval práci tím, že se "schoval" do cloudu (Azure). Díky JA3S jsme mohli následně lépe oddělit zrno od plev a následně útočníky odříznout od přístupu. Povedlo se nám detekovat také útoky na průmyslová i mobilní zařízení.

Odkaz fotografie z letošního ročníku

Other Related Posts:

Locked Shields 2019

Další ročník a nové výzvy

Jako každý rok i tento jsem se účastnil kybernetického cvičení Locked Shields. Letošní rok se tým starající se o detekci Red Teamu rozšířil dvojnásobně, jestli to dvojnásobně zvýšilo šanci na eliminaci Red Teamu (útočníků) se dopředu těžko posuzuje.
Přípravnou fázi jsm...

12th Apr 2019