POSITIVE HACK DAYS



ОРГАНИЗАТОР

Hands-on Labs


Полная программа форума в формате PDF.

Что такое compromise indicators и с чем их едят

Ведущие: Федор Ярочкин, Владимир Кропотов и Виталий Четвертаков

Ведущие мастер-класса расскажут о концепции индикаторов компрометации (indicators of compromise, IOC) и о ее использовании при реагировании на инциденты и их расследовании. Разработанная авторами мастер-класса платформа позволяет интегрировать различные форматы индикаторов компрометации с фреймворком динамической защиты. Возможна интеграция с различными сторонними индикаторами (например, CyBox и OpenIOC), имеются средства для сопоставления отдельных характеристик индикаторов с уже существующими индикаторами. Ввод принимается в виде IP-адреса, хэша, URL, имени процесса или имени исполняемого файла, особенности поведения исполняемого файла и т. п. Вывод данных об индикаторах компрометации может предоставляться в виде правила Snort, правила YARA или в виде описания поиска (описания Hunt) для GRR Rapid Response Framework. Ведущие продемонстрируют используемый в их разработках процесс определения, анализа и уточнения индикаторов компрометации, а также поиск идентификаторов на доступных ресурсах данных. Будет показана возможность интеграции новых инструментов со сторонними утилитами, например со Splunk и Moloch.

Все представленные средства будут опубликованы с открытым исходным кодом.

  • Язык доклада
  • Русский

Федор Ярочкин — аналитик безопасности Академия Синика, Chroot Study Group.

Владимир Кропотов — аналитик безопасности, независимый исследователь.

Виталий Четвертаков — аналитик безопасности, независимый исследователь.

Федор Ярочкин, Владимир Кропотов и Виталий Четвертаков Федор Ярочкин, Владимир Кропотов и Виталий Четвертаков

Возврат к списку