Projekty

Threat Hunting

  • Senior Security Analyst
  • Oracle
  • 6/2020 - 9/2020

"Hunting" je osvědčený přístup, jak ověřit indikátory komunikace případně prohledat data s cílem najít artefakty, které po sobě útočník zanechal. Vytvořil jsem standardní operační proceduru (SOP), kterou mohou analytici použít ve chvíli, kdy potřebují ověřit indikátory kompromitace. Uvedený postup lze použít i na prohledávání dat, to však navíc vyžaduje analytické schopnosti, cit kde data hledat - na co se zaměřit a jak si z toho složit celkový obrázek.

Součástí SOP jsou vzorová řešení a dokumentace s cílem poskytnout juniorním analytikům dostatek příkladů, kam se mohou podívat, když nebudou vědět jak dál. Vše má své šablony, aby se analytik mohl maximálně soustředit na hledání a dokumentování postupu ho vedlo samo k cíli.

Detekce anomálií

  • Senior Security Analyst
  • Oracle
  • 2/2019 - 8/2019

Součástí implementace nástroje Splunk a Splunk Entreprise Security bylo vytvoření detekcí odchylek od normálního chování. Na základě předchozí analýzy byly určeny základní detekce (útoky hrubou silou, podezřelá odchozí komunikace, nesprávně zadané heslo při eskalaci oprávnění,...) a ty byly implementovány.

Na základní detekce navazují detekce pokročilé, které bude dále vytěžovat integrované zdroje a rozšiřovat tak detekční schopnosti s pomocí nástroje Splunk. Součástí detekcí jsou standartní operační postupy (SOP) - co dělat když... včetně vzorovných příkladů událostí i to, jak je řešit.

Rozmístění flow sond

  • Technický vedoucí projektu
  • GovCERT.CZ
  • 9/2015 - 12/2018

Cílem tohoto projektu je umožnit státním institucím vidět do sítě a řešit problémy v ní. Z pohledu GovCERT jde pak o globální pohled nad děním s sítích státních institucí. Spolu s kolegou jsme vymysleli a vytvořili celou koncepci nasazení síťových sond do sítí státní správy.

Projekt je možné rozdělit do několika částí. První částí bylo zjištění potřeb jednotlivých institucí, následovalo vytvoření technického konceptu a skončilo to vytvořením zadávací dokumentace. Součástí projektu je také analytická část, která bude zpracovávat a korelovat veškerá příchozí data z institucí.

Kybernetické cvičení (Locked Shields, Cyber Czech, Cyber Coalition)

  • Analýza síťového provozu/logů
  • GovCERT.CZ, Oracle
  • 2014 - *

Jako člen Blue Team jsem se účastnil kybernetických cvičení Locked Shields a Cyber Coalition. Jejich smyslem je procvičit postupy v případě kompromitace sítě, forenzním vyšetřování atd. Na základě mé specializace jsem byl zodpovědný za analýzu síťového provozu (flow, pcaps a logy). Převážně jsme využívali Open Source nástroje (molo.ch, wireshark, tshark, nfdump, grep, awk)

Národního cvičení Cyber Czech jsem se účastnil jako člen Red Team. Jeho úkolem bylo dostat pod tlak cvičící (Blue Team), tak aby si mohli vyzkoušet získané znalosti v praci proti útočníkům. Nejpoužívanějším nástrojem byl Metasploit a ad-hoc vytvořené skripty.

Metodická pomoc

  • Expert na SIEM/IDS/sondy
  • GovCERT.CZ
  • 2/207 - 4/2017

Jako člen analytického týmu jsem měl na starost zpracování logů, kontrolu SIEM/IDS a dalších bezpečnostních nástrojů. Vždy v souladu s best-practise s přihlédnutím k benefitům pro konkrétní zkoumanou organizaci.

Lektor

  • ParaCENTRUM FENIX, GovCERT.CZ, Czechitas
  • 3/2008 - *

Kurzy fotografie jsem vedl několik let v rámci neziskové organizace. Nezůstalo to jen u nich. V nabídce byly i kurzy práce s počítačem, práce s kancelářským balíkem Office a administrace Windows.

Vedl jsem nekolik lekcí (jednu z nich v AJ) zaměřených na analýzu síťového provozu. Cílem bylo předat studentům maximální množstí informací, taky aby je maximálně využili ve svém prostředí.

Své znalosti a dovednosti předávám také prostřednictvím Czechitas, jedná o kurzy git a kurz zaměřený na bezpečnost.