Konferencja DEF CON w Las Vegas jest uznawana za jedno z najważniejszych wydarzeń dotyczących cyberbezpieczeństwa na świecie, szczególnie z perspektywy działań ofensywnych, czyli tzw. Red Team. W odróżnieniu od innych konferencji, DEF CON skupia się głównie na technikach ataków oraz omijaniu systemów obronnych. Prelegenci konferencji to przede wszystkim praktycy, którzy zajmują się testowaniem bezpieczeństwa systemów poprzez symulację ataków hakerskich, co pozwala na lepsze zrozumienie przyszłych zagrożeń.

Praca w SOCu wymaga nie tylko wiedzy o tym, jak chronić organizacje, ale również o tym, jak myślą cyberprzestępcy. Nasi eksperci SOC360 – Jakub Pęksyk, Kuba Nicpoń i Krzysztof Majchrzak – dobrze o tym wiedzą i właśnie dlatego wybrali się na tegoroczną edycję konferencji.

Poniżej prezentujemy cztery tematy, które szczególnie zwróciły ich uwagę podczas wydarzenia.

1. Poszerzanie kompetencji analityków SOC na jednej linii wsparcia

Na konferencji DEF CON odbył się panel dyskusyjny na temat aktualnych wyzwań Security Operations Center (SOC), w którym wzięli udział eksperci: Carson Zimmerman, Chief Architect w Ardalyst, Eric Lippart, Cyber Strategist w Manulife, Enoch Long, CSE w JupiterOne oraz Russ McRee, Dyrektor GCP Enterprise Protection w Google. Dyskusja skoncentrowała się na problemach kadrowych – prelegenci zwrócili uwagę na trudności, jakie napotykają osoby na niższych liniach wsparcia. Juniorzy mają problem z dostaniem się do pracy w SOC, a ci, którzy już tam pracują, szybko ulegają wypaleniu zawodowemu. Wnioski prezentowane na panelu były zgodne z naszym podejściem – konieczne jest dawanie możliwości rozwoju w ramach organizacji SOC, tak aby każdy analityk niezależnie od swojego stażu nie popadał w rutynę i widział możliwość rozwoju. Angażowanie wszystkich członków zespołu w różne zdolności operacyjne SOC, nie tylko w analizę i obsługę zgłoszeń, jest kluczowe w zachowaniu wysokiej retencji.

2. Oczami wroga – Jak działa największa organizacja hakerska?

Prelekcja „Behind Enemy Lines” odkryła fascynujące kulisy działalności lidera grupy ransomware LockBit. Security Researcher Jon DiMaggio, który nawiązał kontakt z kluczową postacią tej grupy, opowiedział o jego bogatym doświadczeniu zarówno ofensywnym, jak i defensywnym. Znajomość metod obrony przed cyberatakami pozwala organizacji na skuteczne przeprowadzanie ataków oraz unikanie wykrycia. Prelegent zwrócił także uwagę na strukturę i profesjonalizm działań cyberprzestępców, które są zorganizowane niemal jak korporacje, co znacząco zwiększa ich efektywność w prowadzeniu nielegalnej działalności.

3. Podatności systemów Windows

Jedną z najbardziej wartościowych prelekcji było wystąpienie organizacji SafeBreach, które dotyczyło ataków na systemy Windows. Prelegenci zaprezentowali koncept ataku nazwany „Bring Your Own Vulnerable Windows”. Polega on na wykorzystywaniu zainfekowanych wersji oprogramowania, które można wprowadzić do aktualnych systemów, umożliwiając swobodne penetrowanie sieci. SafeBreach dostarczyło głęboką analizę metod ataków, przypominając o kluczowej roli systematycznego monitorowania i ciągłego doskonalenia strategii obronnych w celu skutecznej ochrony przed nowymi, zaawansowanymi technikami ataków.

4. Wykorzystanie service principali w chmurze

Prelekcja “UnOAuthorized: Discovering the path to privilege elevation to Global Administrator” również dostarczyła nam cennych wniosków. Kluczowym zagadnieniem była możliwość nadużywania service principals w aplikacjach SaaS, takich jak Microsoft Office Suite. Okazało się, że mimo iż te serwisy teoretycznie nie mają uprawnień administracyjnych, mogą być używane do dodawania użytkowników o wysokich uprawnieniach w domenie Active Directory. To nadużycie pozwala atakującym eskalować swoje uprawnienia, co stanowi poważne zagrożenie dla bezpieczeństwa. Prelekcja podkreśliła konieczność dokładniejszej kontroli i monitorowania tych funkcji, aby zapobiec ich nadużyciom przez zaawansowanych hakerów.

Udział w konferencji DEF CON 2024 potwierdził nasze przekonanie, że atakujący nieustannie rozwijają swoje umiejętności i opracowują coraz bardziej zaawansowane i trudne do wykrycia metody omijania systemów bezpieczeństwa. Tym bardziej jesteśmy zmotywowani do doskonalenia naszych strategii obronnych oraz inwestowania w najnowsze technologie, aby skutecznie chronić organizacje naszych klientów przed coraz bardziej kreatywnymi przeciwnikami. - Kuba Nicpoń, CTI Team Leader, SOC360

SOC360 to zespół wysoko wykwalifikowanych ekspertów, którzy analizują problemy u źródła, wykorzystując przede wszystkim systemy EDR i NDR, cloudsecurity, jak i inne, przeznaczone do monitoringu, systemy cyberbezpieczeństwa. Dzięki jednej linii wsparcia i dbaniu o kompetencje zespołu nasi analitycy nie muszą sobie przekazywać zgłoszeń, co sprawia, że ich reakcje są szybkie i skuteczne.