Ofenzívna bezpečnosť sociálnym inžinierstvom
Školenie je zamerané na plánovanie, prípravu, vykonávanie a vyhodnocovanie etických útokov formou sociálneho inžinierstva s cieľom odhalenia slabých miest v bezpečnosti a ich nápravy. Od prvotného kontaktu s klientom, cez plánovanie testovania, vykonanie OSINT, prípravu nástrojov až po doručenie payloadu cieľu a vyhodnocovanie. Všetky fázy testovania z teoretického aj praktického hľadiska spolu s ukážkami práce s rôznymi nástrojmi a tipmi ako zvýšiť úspešnosť vášho útoku.
- Úvod do ofenzívnej bezpečnosti a sociálneho inžinierstva
Rola sociálneho inžinierstva v rámci ofenzívneho bezpečnostného testovania organizácií. Hlavné princípy, techniky a etika.
2. Typy útokov
Typy útokov sociálnym inžinierstvom s dôrazom na rôzne techniky phishingu.
3. Recon/OSINT
Ako vykonávať reconnaisance organizácie. Aké nástroje penetrační testeri využívajú na recon, nie nutne iba v rámci spear-phishingových kampaní.
Ako si zvoliť emailové adresy a aké domény zakúpiť?
4. Zbrojenie/Príprava
Výber frameworku pre phishing (v tomto prípade sa pozrieme na Gophish). Nastavenie emailového servera a vyladenie množstva vecí (ako napr. SSL/TLS certifikáty, SPF, DKIM, DMARC, rekompilácia Gopshishu na zbavenie sa transparency headerov)
Aký payload zvoliť? Link na stránku, alebo Word/Excel dokument?
5. Doručenie/Zneužitie
Nastavenie kampane, príprava tela emailu, vloženie skupín príjemcov emailu do Gophish. Používa organizácia nejaké ochrany emailu, resp. sandbox?
6. Inštalácia/Kontrola
Nedávne verejné phishingové kampane a payloady, ktoré boli použité.
7. Vyhodnocovanie a reporting
Interpretácia výsledkov testovania v rámci kampane. Identifikácia otvorených emailov, navštívených linkov atď. Tipy a triky pre identifikáciu a stotožnenie obetí.
Henrich Slezák
Bezpečnostný audítor a IT bezpečnostný konzultant, LIFARS LLC
Henrich je bezpečnostný audítor a IT bezpečnostný konzultant v spoločnosti LIFARS LLC. Zameriava sa hlavne na GRC, riadenie informačnej bezpečnosti, bezpečnostný audit a riadenie rizík. Má viac ako 10 rokov skúseností v oblasti informačnej bezpečnosti a začínal ako člen analytického oddelenia Vládnej jednotky CSIRT. Bol zodpovedný za audit a implementáciu informačnej bezpečnosti, vývoj bezpečnostných politík a postupov. Vykonával množstvo školení a snaží sa zvyšovať povedomie o informačnej bezpečnosti. Vykonával viaceré penetračné testy formou sociálneho inžinierstva, čo je jednou z jeho obľúbených zábavných aktivít.
Henrich je aj odborníkom na posudzovanie rizík, vrátane rámca riadenia rizík NIST pre informačné systémy a organizácie (NIST SP 800-30, ISO / IEC 27005: 2018 a ISO 31000). Henrich je držiteľom certifikátu ISACA Certified Information Systems Auditor (CISA) a má skúsenosti aj s auditmi podľa ISO / IEC 27001: 2013 a s hodnotením tímov na riešenie bezpečnostných incidentov podľa modelu SIM3, ako aj prostredníctvom hodnotenia CREST Cyber Security Incident Response Maturity.
Milan Kyselica
Penetračný tester, LIFARS LLC
Milan pracuje ako penetračný tester v Lifars. Jeho hlavné zameranie je na Red Teaming, Vulnerability Assessment a testovanie bezpečnosti webových aplikácií. Predchádzajúce Milanove pozície ako penetračný tester v Computer Security Incident Response Team Slovakia - CSIRT, Nethemba a ďalších, mu priniesli skúsenosti s mobilnými aplikáciami, web aplikáciami a testovaním infraštruktúry. So svojim nasadením a znalosťami v oblasti informačnej bezpečnosti má skúsenosti v oblasti zodpovedného zverejňovania (Responsible Disclosure), taktiež v rámci rôznych Bug Bounty programov a súťaží.
Milan Kyselica je držiteľom certifikátov Offensive Security Certified Professional (OSCP) a Offensive Security Wireless Professional (OSWP).