14:55 Czekamy na Was na kanale YouTube: SecOps Polska
15:00 Prelekcja #1: „DevSecOps: Podstawy Automatyzacji Bezpieczeństwa” – Andrzej Dyjak
W momencie, kiedy oprogramowanie ma kilkanaście produkcyjnych releasów na dzień, stary model wytwarzania bezpiecznego oprogramowania, oparty w głównej mierze na testowaniu w ostatniej fazie, jest nieskalowalny. Ułatwić cały proces może automatyzacja. W prelekcji Andrzej Dyjak wyjaśni na czym polega DevSecOps i przedstawi 5 sposobów na poprawę bezpieczeństwa oprogramowania poprzez automatyzację.
Andrzej Dyjak – architekt bezpieczeństwa z kilkunastoletnim doświadczeniem, aktywny konsultant, prelegent i szkoleniowiec. Doświadczenie zdobywał w kraju i za granicą (w Danii oraz w Wielkiej Brytanii) dostarczając pełne spektrum oceny bezpieczeństwa dla organizacji z sektora prywatnego i publicznego. W przeszłości odkrył wiele krytycznych podatności w popularnych oprogramowaniach firm takich jak: Apple, Adobe, Google, Oracle, RealNetworks czy Mozilla.
15:45 Prelekcja #2: „Socjotechnika w operacjach red teamingowych” – Jakub Plusczok
Wiecie co to jest red teaming? To symulowany atak hakerski na twoją organizację, o którym opowie Jakub Plusczok. Coraz więcej firm docenia testowanie własnej infrastruktury i pracowników właśnie w ten sposób. Pozwala to na wskazanie słabych stron w modelu bezpieczeństwa firm. Najczęstszym „punktem wejścia” do organizacji jest jej pracownik, a przy łamaniu ludzi nie potrzebujemy exploitów. Wystarczy socjotechnika.
Jakub Plusczok – jeden z założycieli grupy 17 53c. Przygodę z IT rozpoczynał grając w Sapera na Windowsie 3.1. Absolwent Politechniki Śląskiej, pentester, prelegent na licznych konferencjach – zaczynał od konkursu Speaker Idol na Microsoft Technology Summit w 2009 roku (kto to jeszcze pamięta… i mówił o chmurach). W Sapera gra nadal.
16:30 Prelekcja #3: „W jaki sposób OSINT, MITRE i Bug Bounty wspiera domenę IT security” – Krzysztof Cudak
Z jakimi atakami hakerskimi świat boryka się najczęściej? Jakie taktyki oraz wektory ataków są wybierane przez atakujących? Jak wygląda proces kill of chain? Dlaczego MITRE ATT&CK jest tak przydatny w zrozumieniu działań adwersarzy? Co wnosi biały wywiad w środowiska domen IT Security [przykłady kilkunastu narzędzi]? Czy Bug Bounty jest godne uwagi? A może capture the flag jest lepszą alternatywą? Na te wszystkie pytania odpowie Krzysztof Cudak w trakcie trzeciej prelekcji.
Krzysztof Cudak – konsultant, wdrożeniowiec oraz manager projektów IT Security dla klientów z kilkunastu krajów. Prelegent na konferencjach takich jak: Confidence, Semafor, SGH Cyber Academy, Rzeczpospolita Cybercrime, IT Security Trends, IT Security Management czy Intelligent network and IT infrastructure management. Obecnie jeden z liderów, związany z projektami i programami IT Security w branży bankowej.