0:00
Czym jest CyberSense?
– atak wirusów to problem
– bycie zawirusowanym to jeszcze większy problem
– brak informacji o tym, że jesteśmy zawirusowani – tragedia
– proces szyfrowania rozłożony w czasie
– im szybciej się zorientujemy tym lepiej
– w tym pomaga CyberSense

2:00
Strategia oblężonej twierdzy
– firewalle tworzą cyfrową twierdzę
– co jeśli wróg przejdzie się przez nasze mury?

2:32
Plan B – warto mieć
– przykład osoby która prowadzi aktywny tryb życia
– ma karetkę która wymieni dowolny nasz organ na zupełnie taki sam
– dla IT karetką pogotowia jest cyfrowy bunkier
– nieważne co się stanie na produkcji – cyfrowy bunkier odtworzy produkcje do dobrego stanu

3:50
Skłądniki Cyfrowego Bunkra
1. Compliance
Data Domain z zablokowanie danych – dane skamieniałe
Nikt nie może zmienić danych
2. Izolacja
– nie widać
– nie można pingować
– nie ma konfiguracji na produkcji
3. Automat
Aplikacja Cyber Recovery która zapewnia zasilanie bunkra

4:50
Co daj Cyfrowy Bunkier?
Cyfrowy Bunkier – pewność po ataku jesteśmy się w stanie odtworzyć.

5:04
Co możemy zrobić w Cyfrowym Bunkrze?
– mamy nasze dane po cyfrowym ataku, bez względu co się stało na produkcji
– odtwarzać, testować

5:20
Skąd wiemy czy produkcja jest częściowo zawirusowana?
Czy Cyfrowy Bunkier może nam to pytanie odpowiedzieć

5:40
Mamy systemy które skanują nam produkcję / użytkowników w czasie rzeczywistym
Takie systemy można zhakować
Ale cyfrowy bunkier ma obrazy – tu możemy sobie bezpiecznie sprawdzać

6:20
Data Domain w bunkrze nie jest obciążony
Możemy z niego sprawdzać czy produkcja jest czysta

6:36
Podłączmy Cyfrowy Bunkier/ Data Domain do aplikacji CyberSense
Sprawdźmy czy produkcja nie ma wirusa!
–
Systemy na produkcji mają luki, można je wyłączyć.
Pokazują to konkretne przypadki
–
Bunkier nam przeanalizuje całość i powie czy wszystko jest dobrze na produkcji

7:50
Wykorzystajmy to co mamy.
Wykorzystajmy Cyfrowy Bunkier / Data Domain by mieć pewność że z produkcją wszystko w porządku

8:00
CyberSense cały czas skanuje obrazy produkcji by dać nam pewność, że wszystko na produkcji jest w porządku

8:20
Co gdy musimy otworzyć air-gap na zrzut?
Compliance gwarantuje nam niezmnienialność danych
Daje nam skamieniałe dane

9:04
Co robi CyberSense?
– sprawdza czy dane są zainfekowane czy nie
– jeśli jest źle to sprawdza które pliki są zainfekowane, kto zainfekował
– mówi jak się odtworzyć – która kopia jest dobra

10:04
Dlaczego systemy online są niewystarczające?
– są możliwe do złamania
– dlatego CyberSense ma bardzo zapotrzebowanie
– CyberSense z nimi nie konkuruje

10:40
Na jakie pytania odpowiada CyberSense?
1. Czy jestem skutecznie chroniony przed atakiem?
2. Czy moje kopie w Cyfrowym Bunkrze są dobre – czy będę się mógł z nich odtworzyć?
3. Czy wszystkie moje dane są czyste – czy może niektóre pliki są zawirusowane?
4. Jeśli jestem zawirusowany – z której kopii się odtworzyć?

11:48
Najbardziej popularne typy ataków:
1. Szyfrowanie
2. Uszkodzenie danych
3. Skanowanie istotnych danych: Active Directory, pliki konfiguracyjne

12:12
Cyber Sense – jak działa?
1. Sprawdza integralność kopii produkcyjnych
2. Zaczyna już od pierwszego wrzutu – sprawdza czy ta pierwsza jest dobra
3. To samo robi dla kolejnych kopii – sprawdza czy kolejne kopie są w porządku

13:32
Co jest skanowane w trakcie sprawdzania:
1. Wirusy
2. Uszkodzenia
3. Usuniętych danych
4. Metadane plików (nazwa, rozszerzanie, wielkość, ścieżka) – także względem przeszłości
5. Header plików – także względem przeszłości

14:20
CyberSense Cały czas wszystko sprawdza
– jeśli dobrze to pokazuje na zielono
– jeśli źle to diagnozuje

14:30
Dlaczego CyberSense w Cyfrowym Bunkrze?
Dlaczego nie na produkcji?
1. Jesteśmy ukryci, nikt nam tego nie wyłączy
2. Mamy spójne dane które się nie zmieniają – offsite kopia
3. Medium w bunkrze nic nie robi, możemy nałożyć dodatkowe rzeczy.
Medium backupowe produkcyjne jest mocno obciążone backupami / odtworzeniem – dołożenie jeszcze jednego zadania by mogło zakłócić wszystko

16:12
CyberSense – opis działania krok po kroku
1. Skanowanie naszych danych – obrazu produkcji
2. Statystki ze skanowania
3. Analiza statystyk – sztuczna inteligencja
4. Kroki 1-3 się powtarzają
Chyba, że krok 3 powie, że jest źle.
Jeśli źle to mamy krok krok 5
5. Co jest źle, która kopia jest dobra, jak się odtworzyć

17:16
Czy CyberSense musi mieć dostęp do internetu by się aktualizować?
– rzadko
– całość polega na sztucznej inteligencji

18:00
Proces skanowania
Co jest skanowane
– pliki
– bazy danych
– metadane
– content pliku
– nagłówek (header)
Rezultat to jest obserwacja czyli statystyki
Demo – pokaz na żywo
My możemy widzieć efekt takiego skanowania na poziomie
ogólnym wszystko dobrze / ile procesnt źle

19:00
Demo – pokaz na żywo
Możemy takie skanowanie zaschedulować w kalendarzu – co określony czas.
Demo:
– Cyber Recovery
– Air gap
– Dodanie Cyber Sense do Cyber Recovery
– Widzimy status kopii zanalizowanych przez CyberSense
– Uruchomienie analizy z ręki
– CyberSense rozpoznaje format aplikacji backupowych
– Tworzenie kalendarza analiz CyberSense

21:30
Czy CyberRecovery jest w bunkrze czy w części produkcyjnej?

21:40
Jak wykonywany jest zrzut z produkcji?
Pokaz zrzutu do bunkra i uruchomienia CyberSense

22:40
Czy zrzut danych, otwarcie air-gap powoduje, że jesteśmy widoczni?

23:56
Czy możemy zarządzać takim Cyfrowym Bunkrem zdalnie – skoro jest odcięty?
– Dioda
– Fizyczny dostęp
– Dedykowane połączenie

24:30
Statystki dotyczące obrazu naszej produkcji
– setki statystyk
– nie musimy ich anulować
25:00
Entropia pliku
26:12
Sprawdzanie podobieństwa między skanowania
– rozszerzenia
– czas utworzenia
– fingerprints / sumy kontrolne
– masowe utworzenia
– masowe usunięcia
27:00
Czego tyczą się statystyki
– plików (header, metadane, entropia)
– baz danych (Oracle, DB2, …)
– ad, ldap, …
28:00
CyberSense rozumie oprogramowania backupowe.
Nie musimy odtwarzać.
Byłoby niebezpieczne – odtworzylibyśmy malware, wirusa.
29:00
CyberSense potrzebujemy mocy – ale mamy dobrą algorytmikę – damy radę w bunkrze

30:00
Moduł analizy
– przechodzi po wszystkich statystkach
– mówi czy jest dobrze (zielone) czy źle (czerwone)
– Demo – pokaz na żywo: intercace Cyber Recovery oraz mail który otrzymujemy

31:20
Jaka infrastruktura jest potrzebna dla CyberSense?

32:00
Jakie są unikalne punkty CyberSense?
– Systemy czasu rzeczywistego sprawdzają metadane
– Nie jest to skuteczne
– Może być zmieniona zawartość pliku (zaszyfrowana) – bez zmiany metadanych

32:44
Przykład pliku przed i po ataku
– metadane się nie zmieniły
– entropia jest zupełnie inna
– header też się zmienił – wymaga analizy contentu – wymaga CyberSense
– widać zawirusowanie

33:40
Czy przy sprawdzaniu danych powinniśmy je odtwarzać?
– lepiej nie – mogą zainfekować
Jak wiemy, że dane są złe, to mamy tez informacje która kopia jest dobra
Możemy odtworzyć to co chcemy.
–
Informacja, że w backupie mamy zainfekowane dane jest dla nas bardzo ważna!

34:12
Przykład działania wirusa – Jigsaw
– szyfruje pliki i dodaje własne rozszerzenie
– program analizujący metadane nic nie stwierdzi – rozszerzenie fun ok
– dopiero analiza contentu daje nam informację co się dzieje

34:32
Przykład działania wirusa – CyprMIC
– szyfruje pliki i nie zmienia rozszerzenia

34:40
Okazało się, że część naszych danych jest zaszyfrowana
– im wcześnie tym lepiej, mniej plików zaszyfrowanych
Co mamy robić?
– nie musimy niczego analizować
CyberSense mówi nam
– jaki typ ataku na ans przeprowadzono (attack vector)
– lista plików która została zawirusowana
– co było źródłem tego ataku
– jaki plik, jaki program to zawirusował
– z jakiego konta atak został przeprowadzony
To jest największa wartość CyberSense

35:40
Dowiedzieliśmy się, że jesteśmy zaszyfrowani
Mamy informację o ostatniej dobrej kopii
Dostaniemy email o tym że jest infekcja wraz z raportem

36:20
O czym nam mówią raporty CyberSense?
– entropii
– podobieństwo
– skasowanych
– utworzonych
– rozszerzenie nie pasuje do entropii
– naruszona integralność
– zmienione
– zaszyfrowane
– typowe rozszerzenia ransomware
– …

36:40
Przykład raportu

37:12
Nie musimy analizować żadnego raportu
CyberSense powie nam jedną liczbę – jaki typ ataku był przeprowadzony

37:40
Najbardziej popularne ataki (99,5%):
– silne szyfrowanie z oryginalną nazwą
– częściowe szyfrowanie z oryginalną nazwą
– silne szyfrowanie z nową nazwą
– częściowe szyfrowanie z nową nazwą

38:16
Najbardziej popularny atak:
– silne szyfrowanie z nową nazwą

38:35
Demo – pokaz na żywo
Wiemy, że jesteśmy zaszyfrowani, wiemy, jaki to atak.
Otrzymujemy listę plików
– która jest zaszyfrowana
– ostatnie dobre wersje
Widzimy też
– szerokość – jak mocno jesteśmy zaszyfrowani
– lokalizację
– właścicieli zaszyfrowanych plików

39:16
Możemy zobaczyć dokładną informację o każdym zaszyfrowanym pliku
– entropię
– header
– typ
– rozszerzanie
– …

39:30
Możemy odciąć się od źródła ataku
– CyberSense może znaleźć z jakiego użytkownika byłą modyfikacja plików z wirusem
– może zidentyfikować aplikację która wykonała zmianę (event log)
– kiedy proces szyfrowania się zaczął
– możemy odciąć użytkownika na produkcji
– zatrzymać proces
– przywrócić dane użytkownikowi (mamy info o ostatnie dobrej kopii)

40:40
Licencjonowanie Cyber Sense
– licencja na liczbę TB skanowanych danych (produkcji)

40:50
Warto mieć Cyfrowy Bunkier – gwarancja odtworzenia
– wykorzystajmy jego moc!
– żebyśmy byli pewni, że produkcja i dane w bunkrze są dobre
–

41:15
Spróbuj sam!

41:56
Piękne połączenie backupu i security
Razem dają pewność zachowania danych

————
Prezentacja CyberSense: https://backuprecoveryman.pl/wp-content/uploads/2021/07/CyberSense.pptx