Polowanie na czerwony październik

okej dobra ale tak dalej nagrywamy już nagrywamy panowie z allegro przyszli tak przyjechali dobrze się bardzo cieszę ponieważ widzieć a cześć właśnie zepsucie niczego po drodze to okej no dobra i przypominam że handel właśnie zakazany nie te sprawy dobra o tobie prezentacji dobra słuchajcie mam smaka w razie czego więc możecie wykorzystać będzie taniej darmowa przesyłka i tak dalej wiecie subujcie polowanie na czerwony październik film po premierze tamtym czasie powiedział mi że 29 lat będę mieć prezentację na jednej konferencji bezpieczeństwa właśnie o tej tematyce o tytule to w tym życiu nie wierzył cześć dzisiaj będziemy mówić o tym jak podwodnych ale będziemy mówić o polowaniu o polowaniu na czerwonych na atakujący po prostu ja nazywam się dawid polak wielki kostki

a na co dzień wspólnie pracujemy w zespole bezpieczeństwa allegro a konkretnie w zespole od niedawna zespole cyfr gdzie jesteśmy w pełni odpowiedzialni z kolegami za obsługę incydentów bezpieczeństwa zarówno tych wewnętrznych jak i zewnętrznych prawda których nie mamy pojęcia jak pewnie się domyślacie większość czasu w pracy spędzamy na po tej stronie defensywnej czyli w lutym i do dyspozycji mamy różne narzędzia począwszy od siema i ds w jakiejś firewalle jakiś skrypty które gdzieś tam w trakcie obsługi klientów i automatyzujemy później naszą pracę żeby w przyszłości w przyszłości zautomatyzować jak najmniej wrócić na kolejnych imprezach a teraz po drugiej stronie tej cienkiej linii znajdują się zespołu czerwonych czyli atakującej to mogą być zazwyczaj mogą być w naszym przypadku

wewnętrzne jakiś komentarz który wewnętrzne jakiś zespół do karetki może zorganizowane ale mogą być to zjedzone testy do firm zewnętrznych lub po prostu incydenty i podobnie jak zespołu niebieskie to co zespołu czerwone i mają do dyspozycji różne właśnie jakieś swoje narzędzia czy też typu ataków począwszy do ataku na infrastrukturę sieciową aplikacje webowe i mobilne czy też jakieś wewnętrzne systemy firmowe a skończywszy na przykład na fizyczny i próbie przywołania zabezpieczenie i wejścia do firmy w celu realizacji jakiś na przykład od stacji mnogość etapu ataków typu ataków tak naprawdę tylko kreatywność jest barierą która ogranicza czerwony zespoły czy wybranie jednego ataków a teraz to co mogę powiedzieć to jedna z najskuteczniejszych ataków jak ogólnie statystyki podają są takie chwilowe

dlaczego dlaczego dlaczego dlaczego po pierwsze że są miło czyli czynnik ludzki tak a po drugie czy są świetnie przygotowane są świetnie wysłane w dobrej formie fajnie to wygląda to jest ten slajd który oglądacie to jest jeden z elementów który miał żadnego kontaktu który był realizowany jak zobaczycie slajd ten mail bardzo fajnie przygotowane pierwsza na dole o na dole jest stopka która aktualnie w danym czasie była wcześniej była zmieniana jest zaktualizowana i na ten czas była pokrywała się z ze sobą która obowiązywała po drugie adres e-mail wysyłane nie do konkretnych osób ale został wysłany na alias co też utrudniało że tak powiem jego analizę po trzecie to jak zobaczycie samą treść nie ma literówek jest wszystko ładnie i

schludnie napisane i co czwarta najważniejsze to czas kiedy się potem strzeli w tą akcję tak jak wcześniej wspominałem na początku otwarcie tutaj obchodziliśmy pierwszą rocznicę uchwalenia właśnie jest marta ale ale smart w naszej firmie no i niektórzy pracownicy mogli oglądać róbcie jakieś na przykład promocji które mogą wywołać też się idealnie wstrzelić d i teraz tak przygotować slajd szukaliśmy informacji na temat skuteczności wikingów a na podstawie testów które gdzieś tam w nas się odbywały nie mogę niestety takich informacji znaleźć dlatego też przygotowaliśmy taki slajd z najnowszych informacji najnowszych statystyk 2019 roku i tutaj jest kilka fajnych rzeczy po pierwsze że ilości filmów cały czas wzrasta rok do roku po drugie że 30 milionów zostało gdzieś otwartych

prawda nie powiem wam niestety ile faktycznie osób klikam takie takie filmiki i przechodzi do dalszego w jakim celu dalszego etapu działania na to jest zrobiony z tego co wiemy ma prezentację może coś więcej o tym powiem okej jeżeli jesteśmy zespołem reklamowymi chcemy przygotować skuteczną kampanię wyścigową na swojego klienta czy też na firmę na zespół wewnętrzny no to musimy przygotować taką stronę biznesową czy jest to łatwe do zrobienia czy trudne teoretycznie wydaje się że to prosta sprawa jak widzicie tutaj na ekranie naprawdę wystarczy użyć polecenia w z odpowiednimi przełącznikami no i mamy zaplanowaną stronę zapisujemy w sobie po naszej stronie zostaje obróbki danych czyli przekierowanie użytkownika później na właściwą stronę logowania tam gdzie chcieliśmy by skierować tak żeby w ogóle

nie zauważył że jego trener uciekły jak możemy to zrobić prościej może to być problem możemy to zrobić z rakiem narzędzi wbudowanych w kali linux a dostępne od ręki ale możemy też skorzystać z gotowych frameworków

pewnie każdy z was używał każdego z nas to narzędzie social media które i każdy kto kiedykolwiek w życiu próbował przygotować jakąś stronę wyścigową na pewno spotkałeś się z tym narzędziem obrabiana z całą tą niepotrzebną robotę czyli raz w jedną stronę w finałowym odcinku no dobra dla nas są logikę czyli przekierowuje użytkownika zapisuje dane z systemu i tak dalej oprócz tego że możemy regulować sobie stronę mamy do dyspozycji cały wachlarz innych ataków czyli możemy sobie zrobić taki eksperyment przygotować parę lowe lody lewego sdk i tak dalej żeby jeszcze atrakcyjniejsza bo mamy całą masę możliwości czyli teorii wydaje się to zupełnie proste skopiujemy stronę logowania wysyłamy maila do użytkownika no i mamy ofiarę czy w praktyce trudno taki atak wykryć

bo jako stronę w tym mowa z reguły musimy odpowiedzieć sobie na to pytanie jak i tu należy włożyć albo jak to zrobić wyprzedzający żeby takiego atakującego złapać to co za mną widzicie to jest narzędzie cl stream które świetnie wspomaga taką decyzję zanim jeszcze może dojść do ataku od streamie zeszłym roku tutaj też na tej scenie mówiła lange my bardzo mocno będziemy to narzędzie jeszcze polecać w kilku sekundach ponieważ daje nam bardzo dużo ciekawych możliwości z tym samym w sobie to jest taki filtr jak oni ładnie na stronie swojej nazwali to jest strumieniem wrogów których czasie rzeczywistym mówi nam o wszystkich certyfikatach wystawionych dla domem tutaj ważna informacja jest taka że nie tylko dla nowe nowo zarejestrowanych ale

jeżeli odświeżanie swoją domenę czy subdomena i kupujcie taniej certyfikat to w czasie rzeczywistym możecie otrzymać taką informację i to jest dostępny w tym strumieniu nie tylko nazwa domeny ale cały zestaw danych w formacie jasona rohrera z za 100 punktów pytanie termin również kiedy otwieram certyfikatem skrypt a i tak dalej to wszystko generalnie certyfikaty dużo spamu ale dużo też na to informacji tak jak jedno i drugie może być prawdziwe w zależności od tego jak to wykorzystać i o tym właśnie chcielibyśmy też powiedzieć bo jak widzicie to jest rzeczywiście strumień tak jak leci w filmie czyli tej informacji jest bardzo dużo ale nie interesuje nas z punktu widzenia ochrony firmy tak naprawdę każda zmiana jaka jest rejestrowana jak

to wygląda po naszej stronie chciałem tylko wspomnieć o tym że ten system jest bardzo bogaty bo zawiera dużo informacji oprócz tego że zawiera nazwę domeną jest dla nas najważniejsze tutaj i najprostszych do wykorzystania to zawiera też król sumy kontrolnej certyfikatu jego numer seryjny kto wystawi ten certyfikat tcc tryb czy jakaś inna organizacja datę kiedy certyfikat właśnie całkiem sporo dodatkowych informacji nie korzystamy z nich wszystkich ale korzystamy z kilku najważniejszych jak to wygląda w praktyce bo to jest też z tym jakby nasz który używamy produkcyjne na co dzień no przegrupował hej kolego żeby było widać że ta domena się pojawia i jak widzicie tutaj oprócz no zdarza się jakby korzystamy na co dzień bo tata wpływa w czasie rzeczywistym natomiast

najważniejsze informacje z punktu widzenia naszego jako bluetooth są te trzy kolumny czyli pierwsza nazwa domeny nowa nazwa domowa pozwala nam złapać domeny nie tylko nasze ale zdrowe ale też allegro podobne czyli możemy też skorzystać z czegoś co się nazywa odległość od krawężnika i na przykład wyłapywać literówki zmianach które są zarejestrowane jako allegro przypisane przez 3 allegro przez jedynki i tak dalej ale też jak tutaj widzicie no łapiemy takie rzeczy jak zespół muzyczny allegro czy pizzerii allegro.pl i tak dalej czyli to co powiedziałem no całkiem sporo dodatkowych informacji dlatego dwie rzeczy które potrzebne są w praktyce to żeby mieć dobrą listę czyli filtrować swoje domy na początku a później w jaki sposób weryfikować lepiej automatycznie typu automatycznie z

weryfikacją z czynnikiem ludzkim na końcu czy ta domena rzeczywiście może być domeną wyścigową czy nie kolejne dwie kolumny no bo teraz tak nazwę nową z jednej strony będziemy chcieli wiedzieć czy jeżeli potwierdzamy że to ona jest singlowatości nasi pracownicy ją odwiedza ją czyli czy oni mają mamy gdzieś od pytania proxy czy mamy od pytania vlogach biznesowych taką domenę jeżeli tak no to fajnie byłoby gdybyście poinformował nas o tym odpowiednim elementem druga sprawa jeżeli są miejsca w sieci to też paweł ii powiedział że warto deszyfrowania serca ale jeżeli nie mamy takiej możliwości są pewne miejsca w sieci gdzie gdzie tego nie mamy to możemy łapać też w usa nowy przypomnę że seryjnym czy o sumie kontrolnej

certyfikatu czy takie pytania w naszej sieci się pojawiały z naszego punktu widzenia chroń swoich klientów staramy się patrzeć czy to jest takim raperem może do nas przychodzi może zostać ze strony właśnie przekierowany do naszego serwisu no więc próbując odpowiedzieć na pytanie czy jest to trudne do wykrycia bo oczywiście to zależy od tego czym dysponujemy jeżeli korzystamy z takich filmów jak centrum i z kilku innych narzędzi jakiś komercyjnych cząstek stałych widzów to możemy z jakimś pewnym wyprzedzeniem spróbować takiego atakującego złapać co jeszcze jest ważne go kolejne narzędzie którego namiętnie korzystamy to url skan bardzo bardzo fajny serwis który pozwala na skanowanie takiej domeny która wydaje nam się podejrzana co istotne raz nie odwiedzamy tego tej domeny własne

infrastruktury czyli i odbijamy się w rogach siema nie generujemy sobie dodatkowych elementów 2 atakującemu też nie zdradzamy że my już wiemy bo nie od jednego z naszych plików być może ma założoną blokadę albo obserwuję czy my już go traktujemy kolejna istotna sprawa którą chciałbym tutaj zwrócić uwagę to wilson daje wam dodatkową informację że oprócz tej domeny znalazł z 1000 10 podobnie wyglądających domem jak to wygląda w praktyce no radzi sobie z tym świetnie bo być może że my w firmie czy jakimś innym filmie może klient zgłosi złapiemy jedną podejrzaną domenę natomiast na podstawie poprzednich stanów w usa może wam podpowiedzieć że takich domen jest więcej zamiast blokować jedną blokujemy ubijamy całą kampanię wyścigową prowadzoną na naszych klientów

i jak sobie z tym jeszcze na co dzień radzić no bo jak widzieliście w czasie rzeczywistym tych domach rzeczywiście jest sporo jeżeli odfiltrujemy i przejdziemy przez sito czy to white listy czy tych domen które z grubsza wiemy że nie są podejrzane no to powiadamiamy się i na maila i na slacka także w czasie rzeczywistym dostawać powiadomienie że taka domena podejrzana jest i należałoby ją sprawdzić okay wróćmy do naszego przykładu z pierwszego wiem ale który był przygotowany przez zespół retta zimowy i był skierowany do naszych pracowników do wybranej grupy pracowników tyle się nagadałem mu serce bije a jak zwrócić uwagę tutaj w celu nie ma https a no i teraz z jednej strony próbujemy wyłapywać takie domeny z drugiej strony

użycie klasycznego https które już na pewno detekcję nam nie zadziałało natomiast na zespół retta mogę czekać tutaj pewna niespodzianka której się też nauczyliśmy w czasie przeprowadzania takich wewnętrznych red bullu zabaw okazuje się że jeżeli kupujecie domeną to jest już to tak popularne certyfikaty są często darmowe że wasz usługodawca wykupiłam certyfikaty dla was i zespół czerwony już przygotowuje sobie infrastrukturę stawia domenę natomiast z tym nie może się już ona odbić dlatego że możecie nie przewidział takiego sympatycznego ruchu ze strony dostawcy że wykupiłam certyfikaty dla was teraz zwróćmy uwagę na datę 11 czerwca został wystawiony ten certyfikat dla tej domeny no nie do końca świadomie albo nie do końca zgodne z intencją zespołu czerwonego co się okazuje ten certyfikat pojawia

nam się w filmie zaczynamy patrzeć no bo ona nie jest nasza nie nie firmy mają wykupiła natomiast jest na tyle interesujące że powinna się powinniśmy się nią zająć coś podejrzewamy że może się za tym kryje jakiś zespół pęczarski więc sprawdzamy do menu jak tutaj zwróćcie uwagę 12 czerwca czyli dzień po certyfikat jest zmieniony już jest wystawione przeze mnie krypto a nie przez provider który przed chwilą domenę wykupił w paski tutaj mamy świetną historię też takich domem więc mamy ten certyfikat jakby 11 czerwca mamy też ten certyfikat 12 czerwca w tym czasie dzieje się na froncie na polu walki a no zespół spustowy już między sobą wymieniają informacje że prawdopodobnie coś tutaj nie poszło bo ta domena mi się

próbowaliśmy odwiedzać nowe mieszkanie już się zanim zaczęliśmy na ten zespół jest i mowy a to ma nic nie wyświetla czyżby jeszcze nie zdążyli wystawić czy może jutro nasze adresy ip i w każdym razie blokujemy ją i za chwilę powinna pojawić się plansza że strona jest podejrzane no i żeby nasi pracownicy udali się na nią złapać i wniosek skądinąd słuszny że prawdopodobnie chodziło o to żeby właśnie nie odbicie w filmie żeby coś innego nie złapał no i to sobie później wewnętrznie też jakby potwierdziliśmy kolejna takich niespodzianek tutaj zdążyliśmy zrobić screenshota w momencie analizy no bo jakby cały czas czekaliśmy na ten moment kiedy w końcu pojawi się tam content to rzeczywiście ona była wystawiona bez https i to możecie

zobaczyć nas piszecie no i tutaj na zespół czerwony czekała kolejna niespodzianka której też nie przewidzieliśmy w czasach w trakcie przygotowań który był naprawdę robione starannie kiedy kopiecie stronę googla no to musicie pamiętać o tym że świetnie traktują swoją stronę i mają tam zaszczyt i bardzo dużo skryptów dzięki którym wiedzą czy strona została skomponowana i wystawione gdzieś indziej poza infrastrukturą no i kolejna niespodzianka która się okazała w trakcie przeprowadzania ataku no każdy szanujący się atakujący torebki powiedz czy autor marvelu musi atak przetestować to wszystko działa i tak dalej więc jeżeli raz sobie taką domenę wyścigową wyślijcie nam maila w celu potwierdzenia że działa czy to wysyłacie do klienta pomoże ci oczy z tego chciał sprawdzić że ten atak będzie tak

wyglądał no to może się okazać że zanim zdążycie wysłać właściwy atak do klienta no to google zbadajmy już wam domenę albo zablokuje i oznacz je odpowiednio swoim ale cześć no dalej ale dodaliśmy przy okazji kto z was zna oczywiście bardzo popularne miejsca dobrze to jeszcze trochę pociągnę temat pozytywne działanie dobrze mamy już zidentyfikować infrastrukturę wiemy że coś się dzieje że ktoś chce nas zaatakować że się nami interesuje być może że jesteśmy już na tym etapie rzeczy których pracowników zgłosiłam takiego maila albo gdzieś go wykryliśmy na bramkach pocztowych to co możemy zrobić jako taki klasyczny zespół lub i mowy czyli jakby robimy swoją robotę tak naprawdę możemy w zależności od tego o czym dysponujemy w firmie aby podjąć

próbę usunięcia takiego maila tym osobom które jeszcze go nie zdążył przeczytać a jeżeli byliśmy pierwsi no to usunąć ze skrzynek jeśli oczywiście dysponujemy taką możliwością druga sprawa jest taka analizujemy oczywiście maila od nagłówków o załącznik w tym przypadku akurat załącznika nie było natomiast analizujemy wszystkie morele odnośniki i gdzie tylko możemy no to blokujemy to będzie i deski jest firewall i tak dalej sprawdzamy na pracy czy ktoś się odbił się już ktoś odwiedził witrynę czy ktoś mógł odwiedzić link który był za tym allegro smartem jeżeli wiemy że gdzieś to hasło mogły wypłynąć no to próbujemy wymusić reset haseł tych użytkowników którzy też ale już powoli no bo z naszego punktu widzenia to jest ofiarą i jego login i

hasło jest już parą wyszukujemy oczywiście tych ofiar kontaktujemy się z nimi i tak dalej i to jest takie klasyczne działanie lub filmowe które możemy zrobić w sposób pasywny a inna sprawa o której zostanie już powiedziałem wyszukujemy tych domen szukamy jakichś podobieństw może infrastruktury na jako była to domena rejestrowana jakim ale jaki numer telefonu może coś wam pokażę baldachim point myślę że też większości wam znana świetna do tego żeby sprawdzić czy login czy e-mail użytkownika który czy pracownika który znalazł się w tej kampanii gdzieś znalazł się w wyciekach o ile możemy sprawdzić jednego i drugiego z pracowników daje nam to informacje czy dzielić wyciekach to jeżeli sprawdzamy całą grupę docelową takiego ataku no to jest to świetne

miejsce żeby potwierdzić skąd czerpać informacje atakujący bo jeżeli znajdziemy wspólny mianownik na przykład nie wiem wyciek z bazy danych z jednej z dużych polskich firm czy też collections one i tak dalej no to możemy tylko spekulować a atakujący research i skorzystać z takiej opcji bazy danych portal to są publicznie dostępne są psy jeżeli w mailu był załącznik no to z jednej strony możemy sprawdzić w takiego załącznika i zobaczyć czy kampania jest celowania w nas jeżeli nigdzie się nie odbyła jeszcze w serwisach to jest duże prawdopodobieństwo że jest to kampania targetowane na albo pod nazwą albo no no pod naszych pracowników albo została się że wygenerowanej być może jesteśmy pierwszym punktem który już to wykrył i

albo suplementujemy żeby antywirus mogły zacząć wypuszczać sygnatury no albo wiem że to jest kampania typowo kierowano to nie będziemy chcieli się może podzielić z wami będziemy próbować zablokować zewnętrzny url skan oczywiście cm i pasek to też świetne narzędzie do tego żeby skontrolować infrastruktury atakującego cofnąć się w historii i zobaczyć czy to domena już była czy zmieniłeś adres i i na jakie były dane rejestrowane jak widzicie tych systemów jest bardzo dużo i to jest tak naprawdę w czasie ataku nie ma na to czasu żeby też weryfikować każdy e-mail każdego użytkownika każdy indykator dlatego staramy się o tym automatyzować taką pracę co ważne w każdym z tych serwisów dostępnych napoi więc jeżeli możemy odczytać komfortowo przez api to staramy

się to robić i automatyzować swoją pracę żeby nie robić tej nudnej powtarzalnej roboty bo tak naprawdę za każdym incydentem działamy według jakiegoś algorytmu jakiegoś bóg a jeżeli coś da się ubrać facebooka no to da się to prawdopodobnie ograć jakimś narzędziem typu solar czyli orkiestra to który automatyzuje nad nam to pracę wypluwa nam dane w postaci jakieś raportu czy też zbiorczej informacji no i teraz czynnik ludzki w końcu może zdecydować to domena blokujemy czy nie blokujemy czy ta domena dobrą reputację przyznam reputację wyciągamy sobie indykatory i tak dalej czyli to jest jakby tym następnym krokiem w dojrzałości organizacji do którego dążymy żeby tą automatyczną robotę zautomatyzować totalnie no i zostawić sobie ciekawą analityczną pracę no i właśnie słuchajcie tak ciekawa

praca bardzo aktywne działania i tak po pierwsze to co znamy typ ataku tak czujemy że twoja kampania mailingowa która miała na celu wykrycia jakieś rady dla naszych użytkowników naszych pracowników czy też tokeny drugie co to znaczy infrastruktury atakującego wiemy z jakiego adresu e-mail wysyłane wiemy jaka była domena znamy adres www domeny no i trzecie co najważniejsze mamy potwierdzenie że to jest faktycznie atak co możemy zrobić po pierwsze mamy zrobione mamy zablokowane konta użytkowników zmiana hasła użytkowników którzy ewentualnie mogli podać swoje dane a nasi przyszli użytkownicy czy też pracownicy jak będą chcieli wejść na daną domenę wyścigową już nie wiadomo gdzie to wszystko poblokowane wewnętrznie natomiast możemy próbować zablokować infrastruktura zewnątrz dlaczego dlatego że staramy się bronić

naszych pracowników i składników zewnątrz i naszych klientów jeżeli o ile możemy zablokować w miarę szybko infrastrukturę żeby z wewnątrz zewnętrznej firmą z sieci wewnętrznej i nie przed na daną stronę internetową no to zewnątrz staram się zachować żeby potencjalnie użytkownicy nasi nie nie padli ofiarą ataku i tak pierwsze co musimy zrobić to zgłosić strony to filiżanka tak zostawić lajka no super a wersal chyba wszyscy znane natomiast warto to jest świetnym narzędziem do tego jeżeli mamy jakieś benchmarki jakieś załączniki które wpływają wrzucać na wagę złota chociaż nie zawsze dlaczego nie po to żeby i wirusy rozpoznały że faktycznie to jest jakiś jakiś ataki jakieś szkodliwe oprogramowanie które należy zablokować i poinformować pozostałe antywirusa aby blokowała to dlaczego nie

wrzucać czasami momencie gdy to jest jakiś atak targetowane na przykład na pracowników a czasami nie chcemy zdradzać z mocą o tym że wiemy że taka jest prawda więc nie wyrzucamy takich informacji no i prostota tylko wrzucamy lokalnie do nas dosyć dosyć boksów gdzie lokalni możemy potwierdzić przeanalizować co ta kabina robi a następnie gdy już faktycznie chcemy się ujawnić tym że wiemy że taki atak nastąpił to możemy wrócić do warsztatu pan bóg nas eurowizji i pewnie wszyscy znają witajcie wszyscy widzieli sklep google play google jeżeli nie to zaraz zobaczycie usa i o w którym wspominaliśmy no i oczywiście abs a więc tutaj szeroko pojętą znaczenia czy współpraca tak naprawdę ze wszystkimi którym udało się nawiązać jakiś kontakt i jakieś dobre

relacje tutaj mówimy o projektorach rejestratora domen hostingodawcy jak często jest tak że domena jest ciężko zdjąć daną domenę ale na przykład hostingodawcy trzeba bardzo szybko zablokuje czy też umieścili daną stronę www automatyzacja jak widzieliście to jest narzędzi dlatego ważne jest czas dla nas i tutaj jest screen zewnętrznego systemu który mamy teraz plan wydaje mi się że prezentowane natomiast jest to narzędzie które automatyzują naszą pracę od początku przez nas napisane w pythonie wrzuca po prostu wrzucam na adres url i propaguje w możliwie wszystkie miejsca gdzieś zainfekowaną stronę czy też stronę którą chcemy zdjąć co ciekawe piszę mamy od 2004 2014 roku 45 lat zgodnie działa a efekt efekt taki pożądane przez każdego miejsca jeżeli chodzi o strony zainfekowane strony jest

zablokowana z większości przeglądarek nie można wejść w daną stronę przez kliknięcie jakiś detekcji przejścia gdzieś głębiej natomiast 99 procent atakujesz odeprze tutaj jest potwierdzenie ale smart menu które zostało użyte w kontekście jest potwierdzenie odnośnie detekcji że 15 czerwca decyzja była na poziomie 65 a 72 l ostatnio dodaliśmy było osiem punktów czyli znacznie więcej natomiast to co jest ważne to to potwierdzenie postanowiła na 95 procent została oceniona dla nas bardzo ważna ale słuchajcie ja nie ma różnych kolorów jak to bywa w życiu zawsze się z taką znajdzie ten kwiatek jeden pracownik swoich pracowników którzy kliknęli dany feeling wrzucić swoje cele szala no ale też ale wyświetliło że jest to niepoprawne wrzucić jeszcze raz prawda no i co z tym

wszystkim zrobić coś takiego zrobić potrzebujemy czasu na reakcję po pierwsze mamy zablokowana taką to wiemy że nic złego się nie stanie a co możemy zrobić to czasu nie zatrzymamy nie pozwolimy też czasu ale jedyne co możemy zrobić to wziąć trochę tego czasu testerom w jaki sposób w taki sposób że po pierwsze możemy zacząć formularza czyli jeżeli ktoś wrzucił na przykład jakiś sens ale wiem że dwóch pracowników użytkowników x zwróć uwagę ale do jakiejś strony i możemy wygenerować bardzo prosty sposób wybierając dowolną bazę zwycięzców różnych imion czy dodać dowolną z internetu możemy wrócić do skryptu przygotować odpowiedni formatach a następnie wrócić do domu pa wysoko tobą i powiem wam taki że działa to w ten sposób że jak testerzy mają

sprawdzić czy też ale w różnych systemach czyta się zalogować aby przejść do fazy ataku jeżeli wrzucimy sto kategorii będą szukać jej na produkować praktyki praktyki wam powiem że faktycznie to działa a mamy też różne narzędzia na systemach sql mapy w kwasy metaboliczne i tak dalej mamy ogólnie każdy z nas ma takiego jak potrafimy korzystać z systemu zgodnie z przeznaczeniem natomiast w spokoju was wszystkich działamy zgodnie z etyką nie atakujemy innych natomiast jeżeli to są testy wewnętrzne wiemy mamy potwierdzone że to testy były wewnętrzne no to wtedy po prostu nie żałujemy i bawimy się w górę i ok kolejna rzecz mamy zablokowany infrastrukturę wewnętrznie zewnętrznie możemy poszukać [Muzyka] trochę więcej informacji w internecie na temat na temat aktorów dlaczego to jest ważne

żeby szukać okularów dlatego że chcielibyśmy wiedzieć jakie były motywy atakującego chciał wygrać ten mecz ale jakieś o co a chciał zaatakować głębiej w firmach czy też zależało na bazie użytkowników kompletnie nie wiem dlaczego ale musimy wiedzieć tajemniczy nie ma z jednym z jednym z najlepszych źródeł są wyszukiwarki natomiast z praktyki wam powiedzieć że szukając informacji w necie szczególnie historycznych można bardzo fajnie znaleźć informacje nie tyle w google ale na przykład jak się dlaczego dlatego że yandex bardzo często pozostawia informacje które google uskarża albo też indeksuje niektóre informacje które w ogóle nie posiada drugie co to github i pain paul wcześniej wspominał o tym że to świetne źródło informacji potwierdzam natomiast jeżeli chodzi o typowo w te

testy zlecone nowe filmy z cyklu też wewnętrzne co tam znajdziemy informację natomiast chodzi o zwykłych zwykłych hakerów cyberprzestępców jak najbardziej można znaleźć fragmenty kodów można znaleźć sygnatury które gdzie można przypisać do konkretnych wektorów lub grupy która próbuje coś nam zrobić social media donoszą media wiadomo że no źródło bogate źródło informacji ciężko znaleźć konkretnie osobę jeżeli nie mamy zbyt dużo danych ale gdy na przykład posiadamy adres e-mail lub numer telefonu no to łatwo można później dość po kolejnych znaleźć kolejny eee które mogą nam powiązać znanego aktora z konkretną kampanią dostępne zasoby wewnętrzna i zewnętrzna jeżeli chodzi o wewnętrzne zasoby no to w mamy trochę naprawdę tych vlogów musicie mi uwierzyć mamy trochę i plików mamy zebranych trochę użytkowników i no

można czasami znaleźć różne fajne rzeczy jeżeli chodzi o już za sobą no to też głównie z uwagi połów różne bazy wycieków różne bazy różne tam gry na przykład vor różnych można znaleźć ciekawe informacje i skorygować to wszystko razem w jedną kampanię teraz tak historia domen wszyscy słyszeliśmy o do rozbudowy dużo dobrego dużo dobrych rzeczy ale też dużo złych rzeczy w poszukiwaniach po pierwsze jeżeli wejdziemy sobie do bazy usa to widzimy że wszystkie dane są ukryte lata no niestety nie ma tych nie ma informacji na kogo została zarejestrowana oczywiście mogą być natynkowe ale te dane gdzieś tam mogą się wcześniej powtarzać przez co mogliśmy kontynuować dalej z innymi jakimiś i c natomiast bardzo fajną rzeczą to jest screen

castów total co można znaleźć poza domem ta sama domena dane historyczne posiada czyli jeżeli wejdziemy sobie na 2019 rok tych danych nie mamy natomiast jeżeli chodzi o 2018 rok te dane posiadamy i można łatwo zweryfikować faktycznie do tego noża do dna intelligence powiedzenia i domenach to że to znak lipca uchodźca sam jestem naprawdę jest tam kilka osób albo koledzy słuchajcie świetne narzędzia świetne narzędzia okresowe w pełni napisane i to nie może nie jest demonem prędkości natomiast jeżeli chodzi o api co jest ważne dla nas w bardzo łatwy sposób można skopiować różne i z tutaj macie na przykład wykresy z różnych kampanii akurat jest jedna kompania gdzie kampanii przepraszam za na czerwonym dywanie jedna tutaj z kampanii

a druga jest skorelowane to z jakimś adresem www.zus.pl sprawa wrzucacie za pomocą api i różne języki które zebraliście gdzieś w kampaniach rozrysowuję wam łączy samo w odpowiednie gra w a nie musicie analizować danych z plików za pomocą excela ale w prosty sposób nawet osoby nietechniczne mogą łatwo cześć jak tam panie się łączą osoby przez osoby poprzez na przykład numery kart kredytowych i pętli domeny url a nawet daty co tylko chcecie okej cześć na tym slajdzie pewnie większość z was kojarzy mamy piramidę bólu czyli coś co zostało opisane już w 2013 roku co mówi nam o tym jak łatwo atakujący może zmienić poszczególne fazy w swoim ataku czyli jak łatwo zmieniać na przykład wartości wasze adresy ip i domeny te

rzeczy są trywialne do tego żeby je zmieniać z kampanii na kampanie jeżeli zablokujemy jeden domenę no to atakujący wiadomo przerzucić się na następną i tak samo mamy kampanii wyścigowym i które obserwujemy jeśli zablokujemy komuś na przystanku całą kampanię czyli jak widzieliście na tysiąc domen co to za chwilę będzie kombinował dalej zmienić wartość adresu ip i czy nazywamy nowe i tak dalej te rzeczy są trywialne do zmiany i każdy z tego chętnie korzysta natomiast idąc wyżej coraz trudniej jest zmienić takie artefakty jak używane narzędzia w końcu najtrudniej jest zmieniać techniki taktyki i tak dalej świetnie opisuje to tutaj też tablica my tę która jest coraz bardziej popularna i myślę że warto z niej skorzystać natomiast o co tutaj chodzi to to że

jeżeli mamy aktorów który próbujemy to w stanie nie jesteśmy w stanie ich powiązanie właśnie na podstawie tych najtrudniejszych do zmiany faktów czyli z wykorzystywanych narzędzi czy taktyk oni też działają tak jak grupy i tak samo działają zespoły firmowe zatrudniają nowego pracownika dostaje jakiś klej według którego działa no i najczęściej są to jak i powtarzalne taski jesteśmy w stanie tego używać tych narzędziach komercyjne filmy takie które wynajmujemy żeby testować nasze bezpieczeństwo już w jaki sposób zamontować chociażby na podstawie tego jakich narzędzi używają bo są firmy które na przykład mają zaszczyt własną nazwę w narzędziu czy też używają jakichś własnych nie kompilatorów otworów i tak dalej czyli na podstawie tych na szczeblu na najwyższym szczeblu tej piramidy tych wskaźników jesteśmy w

stanie zamontować to właśnie traktora czy czy filmy dlaczego o tym mówię no bo ten zestaw narzędzi który zespół marketingowy będzie wykorzystywał to też jakoś tam ograniczone każdy pisze za każdym razem nowe narzędzie pod nowego klienta często korzystamy z frameworków i gotowców i teraz takie pytanie które zadajemy sobie na co dzień czy każdy z nas przeglądali antywirusowe swojego systemu okresowego nie jesteśmy w stanie tego zrobić jeżeli mamy 1000 pracowników to statystycznie dziennie kilka takich elementów przynajmniej nam spada ale to zaznaczyłem to taki element który jest z 32 l toolbar nie interesuje nas tak bardzo jak to że komuś odpaliliśmy peter i nasz system baterii antywirusowy którego na komputerze dlatego jakby malujemy sobie te zdarzenia systemu antywirusowego systemu i biznesowego

które nas najbardziej interesują podnosimy priorytet no i w systemie crm wybuchamy takie zdarzenie w takim zdarzenie wybieramy alert czy wręcz powiadamiamy dyżurnego zespołu uwaga żeby zareagował no bo coś ważnego się dzieje i to jest tutaj taki zestaw narzędzi który praktycznie standardowo będzie wykorzystywany przez każdy zespół atakujący a przynajmniej jedno z tych narzędzi i teraz jak my jako zespół taki błąd i mowy możemy robić jakiś problem przerażający czy właśnie taki dyrekcyjny żeby sobie z tym jakoś radzić no bo jeżeli pomijamy w systemie antywirusowym w systemie kasetowym tak indykator to możemy być ocaleni po kilku dniach ale też działają szybko i mogą mieć admina domeny zanim zdążymy zorientować sami zresztą widzieliście dark lord korzystam z twittera więc

chcielibyśmy go wykryć naszej sieci jeżeli niezwykłego systematycznie losowy to mamy bardzo dużo pattern w sieci które możemy złapać na przykład darmowe z systemem ios owym wracając jeszcze do bezpiecznika co nie ma sensu zaryzykuję stwierdzenie że on będzie offline o wykorzystany jak w sobie tę siłę ale czy będzie próbowany o czym będzie spróbować dostarczyć to pałeczkę ale czy odpalić na stacji roboczej jeżeli taki indykator zaświeci nam sieci no to jest już grubo albo to jest reakcji na komputerze ofiary albo ktoś próbuje nam dopasować określonego więc to jest priorytet dla nas najwyższy no i teraz tak że możemy go wygrywać systematycznie losowy ma dwa możemy mnóstwo bohaterów sieciowych czy to etapie dostarczenia czy na etapie eksploracji danych podobnie jest z

interpreterem wiadomo używać standardowych raportów i regenta każdy szanujący się z tym zapewne zmienić ustawienia ale nie wszyscy to robią albo i i zmieniają nawet jakieś takie domyślne parametry to być może zostawiam który sygnatury tak naprawdę dla nas zespołu filmowego wystarczy żeby strzelić tylko jedna ręka i powiadomi nas jako zespół że coś złego zadziało się w sieci podobnie jest z bajerem powershell no potężne narzędzie wszyscy o tym wiemy tak samo powershell empire polecam żebyście sobie pobrali do waszej sieci tak jak paweł mówi otwarcie sobie to narzędzie zobaczcie ile robisz umów w sieci i czy którekolwiek z tych indykator jesteście w stanie złapać bo też jak każde narzędzie robi domyślnie na przykład post na fb i tak dalej

jeżeli taki pattern możemy złapać w ruchu sieciowym czy to za pomocą reguł biznesowych biznesowych czy za pomocą a ty wirusów i tak dalej no to punkt dla nas no bo jesteśmy w stanie bardzo szybko zareagować i podjąć jakąś decyzję no i jedno z naszych ulubionych narzędzi zarówno od tej strony reklamowej google filmowej bardzo popularne ostatnio polsce a przynajmniej tak z naszego doświadczenia wynika że no i też na sterydach tak naprawdę bardzo fajne narzędzie z punktu widzenia z teamu pozwala na multi-sesji no i tak dalej nie będę reklamował narzędzia natomiast jak każde inne narzędzie zostawia jakieś ślady czy to w sieci czy to na systemie ofiary jest trudniejszy do wykrycia tak przynajmniej mi się wydaje bo te poglądy

są coraz lepiej opublikowane i coraz trudniej wykryć natomiast na przykład w zaszyfrowanym domyślnie empire przez kogoś zostawia subject sygnaturą nawet w życiu prywatnym no i jesteśmy w stanie jakby kolejny raz spróbować wykrywać takie narzędzie w sieci no i jak zwykle zestaw reguł biznesowych możemy dostać tak naprawdę za darmo i obserwować co dzieje się pod tym kątem okej dobra słuchajcie co musi się stać ale hinduską dlaczego ktoś pomysł a może inaczej pytanie na początku kto z was jest typowym bulimia do restauracji mocy super dobra słuchajcie co musi zostać żebym skuteczna musi być podobna do oryginalnej tak dalej no wiadomo nie to bez liku są po lewej stronie jak to bywa z powrotem po prawej stronie w pół na pół która jest właściwa

jakbyście powiedzieli że ta po prawej to jest prawdziwa allegro

a ta po lewej tak dobra no to powiem wam tak prawdziwa jest to po lewej stronie natomiast jak sami widzicie bez pastę oral jest bardzo trudno rozróżnić które są jest prawdziwa a przejdziesz dalej jaką okej czyli z punktu widzenia zespołu filmowego przygotowujemy piszczy przygotowujemy kampanię reklamową i tak naprawdę chcemy zrobić w chinach użytkownikami wiemy że skuteczność jest wysoka i teraz musimy zadać sobie pytanie czy robimy ssl tls czy może jednak teraz wiemy że kurczę tak łatwo tym co widzimy łapać te domeny to może jednak zgodzimy się i zrobimy zwykłą domenę bohater p teraz kolejne pytanie jak dosłownie hasło agentem postanowił inna adp 30 lat 20 30 no dokładnie co to jest ciężkie do zdiagnozowania napiszcie dodawania ciężkie do

wychwycenia aby też łatwe po stronie budynku jeżeli na przykład mamy parter do menu mamy port wiem że to leci do jakiegoś i kilka i wiemy że dane leciały postęp albo gestem łatwo zrobić na górkę na przykład na ziemię i wychwycić wszystko z automatu prawda dlatego też jedna osoba nad 1 sugestia wysyłajcie różnie wielkim postem niekoniecznie na jeden adres ale wysyłajcie na przykład na różne adresy i teraz jak jesteście zespołem reklamowym no to za każdym razem będziecie zastanawiać się czy dysponuje zespół czy to znaczy infrastrukturę klienta czy jesteście atakującym wewnętrznym kupujecie się w zabawę w tym no i teraz znając nigdy nie wykorzystujemy wiedzy wewnętrznej bo tak się zawsze umawiamy że staramy się maksymalnie udawać atakującego zewnątrz

ale gdzieś to jednak wiedza jest no i z tyłu głowy podpowiada gdzie będzie to widoczne dobrze wiemy że mając nie ma wiemy że mają i pieniędzy no to jest cały czas będziemy kombinować tak żeby właśnie nie było powiedziane nie czy to musimy w rekordach txt w sensie no właśnie dzisiaj mieliśmy wiele fajne o tym prezentację więcej inspiracji znowu jest sporo gdzie się ukryć i zastanowić się gdzie to będzie widoczny z drugiej strony zespół ludzi mowy też musisz zadać sobie to pytanie jak będą tym razem chcieli nas podejść gdybyśmy nie zauważyli że w ruchu sieciowym vlogach może już są że zdołali pokonać ale i że on właśnie wyjeżdżając sieci gdzie kupić domena czyli to co wcześniej

wspominaliśmy i kupiłem w polsce kupiłem za granicą czy skorzystać z jakiejś darmowej wszystko zależy od tego co dana operatora jeżeli dodaję ssl warto sprawdzić czy nie dodaję jakieś dodatkowe sale traktowania domeny gdzie tam jest zgłaszane w katalogach i tak dalej innych cudzysłowie problem to to że chcę się zarejestrować domenę która jest bardzo podobna do tej którą chcecie zaatakować czyli wykupienie domeny google.com pl w polsce nie będzie takie proste czy tam z innym rozszerzeniem bo często możecie się spotkać po prostu zrób z oporem ze strony provider z tego dawcy nawet bo po prostu wam taki domeny albo nie będzie chciał zarejestrować zarejestruje to nie rozpropagowane ale i tak dalej więc to są takie problemy które trzeba rozważyć przygotowując aby

skuteczną kampanię subskrybuj od dobra słuchajcie tak jak się zakończy przejdziemy przez cały ten proces obsługi incydentu tak mamy pozamykane że tak powiem ci kiedy wiemy że infrastruktura nasi klienci nasi pracownicy są bezpieczni dochodzimy do ostatniego punktu gs18 t w tym punkcie możemy podsumować rzeczy które się zadziały możemy powiedzieć co wyszło fajnie czego zabrakło co możemy zautomatyzować co możemy zrobić w przyszłości jak kiedyś ktoś powiedział jeśli chcesz pokoju szykuj się do wojny co to znaczy to znaczy że po prostu analizujemy uczymy się robimy research na różne jakieś narzędzia różne próby ataków i tak dalej a ja tutaj zachęcam na przykład jeśli chodzi o patryka do dostawcy własnego patryka jest darmowa darmową wersję ściągnąć jeśli nie chcecie no to można ściągnąć sobie na

publicznych sandboxa to zobaczyć gdzie to się w sieci pojawi zobaczcie przeanalizujcie i zobaczcie gdzie to będzie widoczne jak to można zablokować okej to koniec mieliśmy kilka takich iteracjach wewnętrznych i też relacje z zewnętrznych testerów czy reklamodawców no i właśnie wyciągnęliśmy z tego kilka istotnych wniosków po ponieważ pierwszym razem dzielimy się jakby to był no i dobra to jest teraz taki portret ten jest był i teraz jak do tego podchodzisz bylibyśmy na wszystko i mówienie natomiast różne rzeczy wychodziły w praktyce i tymi rzeczami chcieliśmy się też z wami podzielić pierwsza to był problem taki że w momencie kiedy wygraliśmy zespół retta mowy to zaczęliśmy śledzić na przykład jednego gościa który stopniowo sobie w polsce jak i zewnętrznych serwerów ok no to

zaczynamy czuć że to już praktycznie jest reklamowe działanie więc trzeba będzie go śledzić bo mamy jego zewnętrznym serwerze okazuje się że to prywatna vps gdzieś wykupione infrastruktura booking.com obserwujemy a później pojawiają się takie rozterki czy śledzimy tego gościa i czy patrzymy w systemie dr co się działo na komputerze tak naprawdę to kolega z zespołu no i nie chcemy tego do końca jeśli wiemy że w udział w projekcie biorąc inne osoby no to też może nas kusić to żeby zaglądać tam vlogi i zobaczyć gdy ktoś gdzieś jeszcze łączył i co takiego zrobił na swojej stacji roboczej oddaje dostępów to jest drugi punkt czyli jeżeli sobie z zespołu red prawda atakujących czy powinni mieć dostępu do tematu powinni mieć dostępu do folderów

czy powinni mieć wyniki dostęp do wyników i wirusów skoro sami próbują przygotować jakieś próbki czy powinni wiedzieć czy to prawda faktycznie przyjdą to jest pytanie które właśnie też mieliśmy i kolejna rzecz tak atakowanie działanie red jako incydenty słuchajcie znaleźliśmy potencjalne współbrat podzieliliśmy się znaleźliśmy trochę powinniśmy zakładać incydent na to czy powinniśmy mieć osobny kanał w którym się tylko wzajemnie jako blue informujemy jeżeli założymy incydent no to wiadomo atakujący za chwilę zobaczymy w jakim systemie przygotowania zewnętrznego że faktycznie i wygraliśmy no i jest że tak powiem po zabawie zebraliśmy też kilka trików dla rekinów jako mój pierwszy pierwsza to rzecz właśnie która wyklucza te problemy techniczne czyli zróbmy także w ogóle nie wiemy kiedy startuje red przygotowuje się we własnym

zamknięty w gronie nic nie mówi o tym louis tak naprawdę to jest najlepszy a praktyka no bo incydentu czy ataku też się nie spodziewamy się że najlepiej byłoby to w losowym terminie no i z infrastrukturą serwerami laptopami totalnie poza firmą tak żeby nie było tam filmowego antywirusa lidera grupy nie będzie prosić was nie będzie brakować i tak dalej no symulujemy prawdziwy atak to jest super bo też dowiadujemy się jakie są prawdziwe słabości a nie musimy czy wyłączać obchodzi własnych zabezpieczeń bo to wyjdzie w praniu natomiast korzystamy maksymalnie zorganizowanej sieci lepiej osobna infrastruktura pętli jest to jeżeli jesteście zawodowym greckim do wynajęcia natomiast tak żeby to nie było kompletnie powiązane przez kilka minut potem wrócimy się wtedy zastanawiać czy

blokuje czy nie bo za zablokujemy siebie samych klienta więc niech to jest taka infrastruktura rzeczywiście symulująca totalnie atak i tak samo z tym na nasz serwer zewnętrzne poszukiwania potencjalnego śladów kolejny punkt we własnych krajach musimy rozwijać własne próbki jako kierowcy było naprawdę ciekawe rzeczy można znaleźć takich fajnych tekstów gdzie gdzie przerwaliśmy to firma zewnętrzna robiono nam testy bo mocniejszy zdecydowanie próbki okazało się że znaleźliśmy indykatory kompletnie nie wiedzą co to jest ta firma co to za tak znaleźliśmy który wskazujące że to jest dana firma x która przygotowuje takie testy i dlatego też wersję zupki patrzcie co one co zamieszczając są jakieś informacje zamieszczane są w środku a co ważne jeżeli korzystacie z kryteriów partnerów aby ominąć wirusy to sprawdźcie to tak

wyglądają czasami dodajemy ścieżkę na przykład regulowana kanapka dają różne indykatory jeżeli takich filmików bo wiadomo jak możecie mieć bardzo dużo zlecenie więc generowanie ciągle tego samego koloru w biurze w końcu na korzystacie z boków korzystać ze skrótów sprawdźcie co później można sobie z tych próbek wyciągnąć z takich ciekawych właśnie dla jeszcze rzeczy rurki a rura używajcie też własny rekord ufc używajcie rurek wiara tutaj przykład spakowany jednej próbki które jak widać niezaleznie znalazł na podstawie rynek za dużo informacji bezpośrednio wskazujących co to jest za plik natomiast rozpakowania taka próbka już jak widać na drugim miejscu w polsce ikon więc już mieliśmy potwierdzenie że to jest jakiś kredki tylko ktoś bardziej coś kombinuje żeby żeby dostać się do

wnętrza infrastruktury co to było to na tyle od nas jeżeli macie jakieś pytania mamy trzy minuty lub ewentualnie w kuluarach

nie gwarantuje odpowiada ale postaramy się

cześć halo bardzo fajne prezentacja czy jak wasze team robi takie testy naszych pracowników to zwłaszcza taki komentarz który będzie korzystał do centrum polski a generalnie tak no wygląda to w ten sposób że powstaje sobie nieformalna grupa która stwierdza że i słuchajcie zrobimy w tym kwartale jakiś fajny pesto dogaduje się z trzech kolegów a mówią dodatkowo jeszcze potrzebujemy no ten jest trochę fajnych tym czego potrzebujemy w związku z tym zaczynają działać możemy wrócić do przełożonego taki taka grupa powstaje jest akcja reklamowa jako coś tak jak mówiłem wcześniej dowiedzmy się na końcu gdzie względu że coś takiego jest natomiast w początkowej fazie gry nie wiemy czy to jest wewnętrzny lekarz wewnętrzny proces traktujemy wszystko tak samo czy nie czy jest wasza mysz gdzie gdzie

się da odpowiadając na pytanie nie robimy tego żeby informować jakby inne organy bo o to właśnie chodziło w punkcie a i d dla lat temu żeby traktować to infrastrukturę jako dla nich spaloną jakby w momencie wykrycia ataku no i korzystamy to z dostępnych publicznych i tak dalej żeby to była infrastruktura niepowiązana z nami jeżeli my tego nie zablokujesz zablokuję to co jest polska czy ktokolwiek inny czy hostingodawcy trzeba no to jest problem jakby teamu bo nie mam za sobą jest ukryty czy czy za głośno hałasował nie da widzicie jak u pytanie jakie było wasze największe wyzwania i jak sobie z tym poradzić i liście to dobra to słuchajcie co do wyzwań od to takie największych wyzwań było to że

z jajkiem wypracować zupełnie różnych zespołach jak wcześniej pracował w zespole który był odpowiedzialny za utrzymanie jakby bezpieczeństwa tak zwanego nazwijmy to tak ja pracowałem w sportowym się zajmowaliśmy się zewnętrznymi rzeczami staraliśmy się chodzić na podwórku i patrzeć co tam się dzieje kto chce dojść do naszego ogródka i co tam ewentualnie zrobić największym wyzwaniem z mojego punktu widzenia było to żebyś się dobrze współpracowali w celach żebyśmy mieli wspólną wizję i żebyśmy wiedzieli że za dwa lata na przykład idziemy dalej z świetną zabawę pracują tam razem z nami w porządku więc teraz chciałbym zapytać jak odpowiadał na twoje pytanie to jeszcze z mojego punktu widzenia takim wyzwaniem było to co podsumowaliśmy też na tych samych ludzi bo mieliśmy kilka takich rozterek

właśnie które wynikałyby z jasnych zasad gry dlatego też staramy się teraz wprowadzać żeby to było totalnie odizolowane zewnętrzne że jest to prawdziwy atak a nie symulacja o których wszyscy wiemy po co mamy dwa rodzaje gier z cyklu albo z szablonu i robisz jeden krok jeśli nie zostaną wykryć i no to powtarzają go razem z bólu no tak żeby zobaczyć gdzie można to indykator aby zobaczyć natomiast stwierdziliśmy że no określamy siebie jako już pewien poziom dojrzałości no jesteśmy gotowi wystarczą i spróbować zawalczyć z na żywo nie jeśli masz jakiś biedny pracownik padnie ofiarą takiego filmiku który został przygotowany na przykład przede wszystkim na tym etapie ten ta ten pracownik powinien się dowiedzieć i jak jest postępowanie wtedy żeby z tego jak

najwięcej dla organizacji wyciągnąć znaczy my staramy się informować pracownika jak najszybciej o tym że miało to coś takiego miejsca staramy się wypracować taką informację wewnątrz pracowników jeżeli to już wiemy że to jest jakiś większa tak bo nie ukrywajmy jeżeli był jakiś atak torebki mnie poprzestańmy na taką tylko może przetrwać przysłowiową być zasłona dymna i za chwilę pójdzie inna tak informacja dla pracowników o tym że nastąpił jakiś atak targetowane wzmaga to że pracownicy stają się bardziej czujni jeżeli chodzi o to co dalej się z pracownikiem edukujemy edukujemy edukujemy i staram się to robić jeszcze jak najbardziej użytku w naszych pracowników to powiem jedno zdanie bo wydaję mi się że to jest bardzo ważne takie pytanie z punktu

widzenia firmy takie jak do tego podchodzimy raz to o czym mówiłem wcześniej że takie incydenty staramy się zajmowała pani przeglądamy wszystkich wrogów antywirusa no bo nie jesteśmy w stanie jak ktoś ma to bardzo no to staramy się jeśli mamy czas na to reagować natomiast jeśli ktoś ma mimika co to zupełnie inaczej do tego podchodzimy natomiast staramy się nie wybiera takiej presji że to wina twoja bo kliknąłeś czy dałeś się złapać tylko że stało się chcemy ci pomóc najszybciej zintegrować problem nie najlepiej zmień hasło czy miałeś coś jeszcze tam no żeby ograniczyć straty też nie słuchajcie piotr do nas patrzy musimy kończyć powoli jeżeli macie jakieś dodatkowe pytania zapraszam w kuluarach i na pewno postaram się wam odpowiedzieć dziękuję

bardzo [Aplauz] [Muzyka]

deep dance