Projekty

BCP & DR pro klienta v bankovním sektoru

  • SME v oblasti DFIR
  • PwC
  • 9/2021 - 1/2022

Klient požadoval dva scénáře: Ransomware útok a útok na dodavatelský řetězec.
Mou rolí v týmu byl soulad s best-practice z pohledu Incident Response, forenzní analýzy a na to navázaných aktivit (obnova, lesson learned). Veškeré zkušenosti s řešením těchto případů jsme promítli do plánů a postupů co v případě těchto útoků dělat.

DFIR

  • DFIR Lead
  • PwC
  • 4/2021 - *

Forenzní analýza a Incident Response/Threat Hunting pro klienty.

V dubnu 2021 nás kolegové z PwC Canada a Norway poprosili o spolupráci při řešení ransomware (DarkSide) útoku na globálního klienta v segmentu Retail. Mým úkolem byla forenzní analýza zasažených stanic a spolupráce s dalšími kolegy. Cílem bylo obnovit provoz co nejdřív s minimálním dopadem na business.

V březnu 2022 nás poprosili o pomoc kolegové z regionu DACH, klient ze dopravního segmentu byl zasažen ransomware (Conti). Mým úkolem bylo hledání možných artefaktů, které útočník mohl zanechal v prostředí. O měsíc později nás kontaktovali kolegové z Kanady a vyžádali si pomoc při analýze útoku skupiny LockBit.

Threat Hunting

  • Senior Security Analyst
  • Oracle
  • 6/2020 - 9/2020

"Hunting" je osvědčený přístup, jak ověřit indikátory komunikace případně prohledat data s cílem najít artefakty, které po sobě útočník zanechal. Vytvořil jsem standardní operační proceduru (SOP), kterou mohou analytici použít ve chvíli, kdy potřebují ověřit indikátory kompromitace. Uvedený postup lze použít i na prohledávání dat, to však navíc vyžaduje analytické schopnosti, cit kde data hledat - na co se zaměřit a jak si z toho složit celkový obrázek.

Součástí SOP jsou vzorová řešení a dokumentace s cílem poskytnout juniorním analytikům dostatek příkladů, kam se mohou podívat, když nebudou vědět jak dál. Vše má své šablony, aby se analytik mohl maximálně soustředit na hledání a dokumentování postupu ho vedlo samo k cíli.

Detekce anomálií

  • Senior Security Analyst
  • Oracle
  • 2/2019 - 8/2019

Součástí implementace nástroje Splunk a Splunk Entreprise Security bylo vytvoření detekcí odchylek od normálního chování. Na základě předchozí analýzy byly určeny základní detekce (útoky hrubou silou, podezřelá odchozí komunikace, nesprávně zadané heslo při eskalaci oprávnění,...) a ty byly implementovány.

Na základní detekce navazují detekce pokročilé, které bude dále vytěžovat integrované zdroje a rozšiřovat tak detekční schopnosti s pomocí nástroje Splunk. Součástí detekcí jsou standartní operační postupy (SOP) - co dělat když... včetně vzorovných příkladů událostí i to, jak je řešit.

Rozmístění flow sond

  • Technický vedoucí projektu
  • GovCERT.CZ
  • 9/2015 - 12/2018

Cílem tohoto projektu je umožnit státním institucím vidět do sítě a řešit problémy v ní. Z pohledu GovCERT jde pak o globální pohled nad děním s sítích státních institucí. Spolu s kolegou jsme vymysleli a vytvořili celou koncepci nasazení síťových sond do sítí státní správy.

Projekt je možné rozdělit do několika částí. První částí bylo zjištění potřeb jednotlivých institucí, následovalo vytvoření technického konceptu a skončilo to vytvořením zadávací dokumentace. Součástí projektu je také analytická část, která bude zpracovávat a korelovat veškerá příchozí data z institucí.

Kybernetické cvičení (Locked Shields, Cyber Czech, Cyber Coalition)

  • Analýza síťového provozu/logů
  • GovCERT.CZ, Oracle, PwC
  • 2014 - 2021

Jako člen Blue Team jsem se účastnil kybernetických cvičení Locked Shields a Cyber Coalition. Jejich smyslem je procvičit postupy v případě kompromitace sítě, forenzním vyšetřování atd. Na základě mé specializace jsem byl zodpovědný za analýzu síťového provozu (flow, pcaps a logy). Převážně jsme využívali Open Source nástroje (molo.ch, wireshark, tshark, nfdump, grep, awk)

Národního cvičení Cyber Czech jsem se účastnil jako člen Red Team. Jeho úkolem bylo dostat pod tlak cvičící (Blue Team), tak aby si mohli vyzkoušet získané znalosti v praci proti útočníkům. Nejpoužívanějším nástrojem byl Metasploit a ad-hoc vytvořené skripty.

Metodická pomoc

  • Expert na SIEM/IDS/sondy
  • GovCERT.CZ
  • 2/207 - 4/2017

Jako člen analytického týmu jsem měl na starost zpracování logů, kontrolu SIEM/IDS a dalších bezpečnostních nástrojů. Vždy v souladu s best-practise s přihlédnutím k benefitům pro konkrétní zkoumanou organizaci.

Lektor

  • ParaCENTRUM FENIX, GovCERT.CZ, Czechitas
  • 3/2008 - *

Kurzy fotografie jsem vedl několik let v rámci neziskové organizace. Nezůstalo to jen u nich. V nabídce byly i kurzy práce s počítačem, práce s kancelářským balíkem Office a administrace Windows.

Vedl jsem nekolik lekcí (jednu z nich v AJ) zaměřených na analýzu síťového provozu. Cílem bylo předat studentům maximální množstí informací, taky aby je maximálně využili ve svém prostředí.

Své znalosti a dovednosti předávám také prostřednictvím Czechitas, jedná o kurzy git a kurzy zaměřený na bezpečnost.