|
Confira a agenda completa (sujeita a alterações).
Atenção: Houve mudança nos horários
da terça-feira pela manhã. Temos uma nova palestra na agenda.
| Fórum de CSIRTs Dia 1 - 19/09/2022 | Fórum de CSIRTs Dia 2 - 20/09/2022 | Workshop MISP - 21/09/2022 |
| Horário | Fórum de CSIRTs - 19/09/2022 |
|---|---|
| 09:00-09:50 | Welcome Coffee e Registro no Evento
Aproveite este tempo para rever os colegas e restabelecer contatos
|
| 09:50-10:00 | Abertura do Evento |
| 10:00-11:00 |
SIM3, FIRST CSIRT Services Framework e TLP 2.0: Novidades dos Padrões e Impactos para o Tratamento de Incidentes e o Compartilhamento de AmeaçasCristine Hoepers, CERT.br/NIC.brTLP:CLEAR (com partes TLP:AMBER+STRICT) Esta apresentação cobrirá as principais novidades e mudanças que ocorrerão nos próximos meses em três importantes padrões para a comunidade de tratamento de incidentes: o TLP, o FIRST CSIRT Services Framework e o SIM3. Especialmente as mudanças no protocolo TLP, anunciadas na conferência anual do FIRST, poderão implicar em mudanças em documentos internos, em normas e em códigos que utilizam TLP no compartilhamento automatizado de informações. |
| 11:00-12:00 |
Uso de datalake para resposta a incidentes cibernéticosRodrigo Andrade Pereira Rosa, Antonio Augusto Oliveira Viana Santos, Tiago do Vale Saraiva, PetrobrasTLP:GREEN Apresentaremos nossa experiência com soluções de SIEM e adentraremos nos pontos que nos levaram à adoção de um modelo híbrido, contemplando SIEM e datalake. A apresentação terá foco em segurança cibernética, exemplificará alguns casos de aplicação no CSIRT, incluindo uma proposta de arquitetura e por fim, como estamos nos organizando para adoção de modelos preditivos. |
| 12:00-14:00 | Almoço para networking (servido no local) |
| 14:00-15:00 |
Avaliação de maturidade em segurança baseado na ISO27002Cristiane Rodrigues, Edilson Lima, CAIS/RNPTLP:CLEAR Essa apresentação baseia-se no caso de uso do próprio CAIS/RNP que, desde 2018, realiza uma avaliação de maturidade organizacional em segurança usando os controles da ISO27002. Serão compartilhadas algumas reflexões sobre o método, os resultados e os desafios que surgiram ao longo deste processo. |
| 15:00-15:45 | Coffee Break para networking |
| 15:45-16:45 |
Trajetória do CSIRT do Banco do Nordeste para alcance e sustentação do perfil "ENISA/GCMF Basic" do Security Incident Management Maturity Model (SIM3)Francisco José Barreto Nunes, GRIS-I.BNBTLP:GREEN O Banco do Nordeste do Brasil compartilha a experiência de como atuou para que o Grupo de Resposta a Incidentes de Segurança da Informação (GRIS-I.BNB) alcançasse o nível de maturidade do perfil "ENISA/GCMF Basic" do SIM3 e, em especial, mantivesse esse nível de maturidade, a partir de um processo de autoavaliação, baseado no parâmetro 'P-8: Audit/Feedback Process', do SIM3. |
| 16:45-17:45 |
Tracking Bumblebee ActivityJacomo Piccolini, Team CymruTLP:RED In this presentation we will share some of Team Cymru’s findings on Bumblebee, an emergent loader malware which has replaced BazarLoader in recent months. |
| 18:00-21:00 |
ConfraternizaçãoJunte-se a nós neste momento descontraído, faça novos contatos, coloque a conversa em dia com antigos colegas e troque ideias com os palestrantes.Esse ano a confraternização será especial, pois o CERT.br está celebrando seus 25 anos! |
| Horário | Fórum de CSIRTs - 20/09/2022 |
|---|---|
| 08:00 | Registro no evento e retirada dos crachás disponível a partir das 08:00h |
| 09:00-10:00 |
Ações de prevenção no contexto do CTIR GovFernando Marques Borges, CTIR Gov/GSI/PRTLP:RED (com partes TLP:CLEAR) |
| 10:00-10:30 | Coffee Break para networking |
| 10:30-11:30 |
Detecção e Resposta a Incidentes do Malware SymbioteIvo de Carvalho Peixinho, Polícia FederalTLP:RED Esta apresentação irá tratar da ameaça Symbiote, revelada recentemente e alvo de alerta conjunto entre a Polícia Federal e o CTIR.gov. Serão tratadas questões relativas à sua detecção e resposta, com o objetivo de ajudar potenciais vítimas a buscar evidências, tratar eventual incidente e reportar para as autoridades. |
| 11:30-12:30 |
Interrompendo a cadeia de um ataque de dupla extorsãoRenato Marinho, Morphus Labs e Incident Handler do SANS Internet Storm CenterTLP:GREEN Nesta sessão, apresentarei a resposta a um dos incidentes com ransomware em que tive a oportunidade de atuar. Do vetor de entrada à exfiltração de dados, detalharei o caminho percorrido pelo atacante na rede na busca pelos dados mais sensíveis enquanto tentavam burlar as proteções. Ao longo deste caminho, darei ênfase às oportunidades de detecção e defesa desperdiçadas pelo time de defesa e como atuamos para reverter a exfiltração dos dados e interromper a cadeia do ataque. |
| 12:30-14:00 | Almoço para networking (servido no local) |
| 14:00-15:00 |
Cobalt Strike Discovery - Uma ferramenta para detectar Cobalt Strike Team ServerJohnatan Camargo Zacarias, Higor Melgaço, Threat Hunting, Itaú UnibancoTLP:GREEN Cobalt Strike é uma das ferramentas de simulação adversarial mais utilizadas por atores maliciosos. Nessa palestra iremos apresentar e compartilhar a primeira versão de uma ferramenta desenvolvida internamente que ajudará os times de CSIRT a identificar possíveis servidores de Cobalt Strike baseando-se em comportamentos da aplicação e trafego de rede. |
| 15:00-15:30 | Coffee Break para networking |
| 15:30-16:30 |
Malicious Activity in Brazil - Data, Stats and InsightsFabricio Pessôa, SpamhausTLP:GREEN Botnet command and controllers (C&Cs) continue to be an essential part of a cybercriminals' arsenal. Both to control malware-infected machines and to extract personal and valuable data from malware-infected victims. But how has Brazil's threat landscape transformed over the past few months? What are the most prolific threats? And how does this impact you and the wider community? Join this session to get the latest data and threat insights observed across Brazil by Spamhaus' researchers and threat hunters and to discuss what can be done as a community to stem the proliferation of botnet C&Cs. We'll be covering: Brazilian ranking as a geolocation of botnet C&Cs, associated malware, most abused domain registrars, .br TLD comparison, newly observed botnet C&Cs, and networks hosting the most active botnet controllers. |
| 16:30-17:30 |
Lightning Talks & Team Updates, e Encerramento do EventoTLP:GREEN |
| Horário | Workshop MISP - 21/09/2022 |
|---|---|
| 08:00 | Registro no evento e retirada dos crachás disponível a partir das 08:00h |
| 09:00-10:30 |
MISP: Boas Práticas de Instalação, Configuração e UsoMarcus Lahr, Marcelo Chaves, Klaus Steding-Jessen, CERT.br/NIC.brTLP:CLEAR Neste mini-tutorial serão cobertos alguns passos para utilização e administração do MISP como:
|
| 10:30-11:00 | Coffee Break |
| 11:00-12:30 |
MISP: Boas Práticas de Instalação, Configuração e UsoCONTINUAÇÃO |
| 12:30-14:00 | Almoço para networking (servido no local) |
| 14:00-15:00 |
MISP: Sessão de Dúvidas e HackathonMarcus Lahr, Marcelo Chaves, Klaus Steding-Jessen, CERT.br/NIC.brTLP:CLEAR O período da tarde será dedicado a atividades hands-on e com possibilidade de mini-hackatons em grupos que queriam trabalhar em assuntos práticos de MISP. Os instrutores circularão entre os grupos para dar apoio e auxiliar nos trabalhos. A sala permitirá a divisão em grupos, com os participantes podendo escolher (e alternar a participação) entre grupos com foco em diferentes temas, como por exemplo:
|
| 15:00-15:30 | Coffee Break |
| 15:30-17:00 |
MISP: Sessão de Dúvidas e HackathonCONTINUAÇÃO |
