Vsebina predavanj

Damijan Markovič – Aplikacija dela počasi, spet ta mreža. A res?
Storitve, ki jih ponujamo strankam na omrežju postajajo vse bolj kompleksne in nepogrešljive. Že manjša odstopanja v delovanju lahko povzročijo izgube strank ali nejevoljo uporabnikov.
Predstavili bomo orodje, ki administratorjem omrežij omogoča izredno preprosto diagnostiko, identifikacijo možnih odstopanj in pregled delovanja od aplikacij do omrežnega nivoja. Le s celotnim pogledom v infrastrukturo lahko učinkovito pripomoremo k hitrejši odpravi težav in boljši uporabniški izkušnji.

Miha Jemec – 10 Gbit/s prometa in več — kaj lahko analiziram z običajnim strežnikom?

Trenuten razvoj raznih odprtokodnih mrežnih gonilnikov in aplikacij za zajem in analizo mrežnega prometa nam omogoča, da lahko že z relativno običajno opremo obdelamo veliko količino prometa. V prispevku bodo predstavljene Arnesove izkušnje na tem področju in orodja, ki nam pomagajo pri vsakodnevnem spremljanju pravilnosti delovanja omrežja in iskanja anomalij.

Jernej Suhadolc – AlienVault OSSIM

Ste že slišali za “Critical Security Controls”, tudi samo “The Controls”? Ne? Tudi prav. To so kontrolne točke, ki naj bi jih po vrsti od ena do 20 uvajali v podjetja, kjer si želimo ali želijo izboljševati informacijsko varnost. Naredil (uredil) jih je SANS institute. Ni razloga, da jim ne bi verjeli, da to koristi, ampak če se želimo tega lotiti, bomo na težavo naleteli še kar pri prvi točki, ki na hitro prevedeno pomeni »Popišite vse avtorizirane in neavtorizirane naprave v podjetju«. AlienVault je orodje, ki vam zagotovi pokritje dobre polovice vseh točk na tem seznamu. Ni samo SIEM sistem, čeprav se v Gartner čarobnem kvadratu pojavlja v tej kategoriji, združuje tudi druga orodja za odkrivanje strojne in programske opreme, ticketing sistem, host based intrusion detection in kar sposoben odprtokodni SIEM sistem (Security information and event managment. Na predstavitvi bomo pokazali delovanje tega sistema in njegove glavne prednosti ter kakšno težavo. Ker je orodje odprtokodno, ni nevarnosti, da bi se predavanje obrnilo v kakšno nepotrebno promocijo izdelka, namen predavanja je vzpodbuditi kolege, da si še sami pogledajo te, nekoliko obsežnejše in zato morda kompleksnejše sisteme, ker verjamem, da dajejo večji vpogled v dogajanje v omrežju in s tem večajo varnost naših sistemov.

Mark Martinec – Orodja za beleženje in pregled dogodkov in veličin

Predstavljena bodo orodja  Elasticsearch + Kibana, telegraf + InfluxDB + Grafana. Ko prerastemo zbiranje petminutnih povprečkov z RRDTool in tradicionalnimi orodji za vizualizacijo zgrajenih okrog njega, se je vredno ozreti po sodobnejših odprtokodnih rešitvah, ki ponujajo hitrejše vzorčenje, udobnejše delo, preglednejše rezultate in bolj fleksibilno iskanje anomalij. Za zbiranje meritev in dostop do njih bomo pokukali v kombinacijo orodij telegraf + InfluxDB + Grafana. Ko se število dogodkov  iz dnevnikov omrežne opreme in strežnikov bliža tisočici na sekundo ali tudi več, pa prideta prav Elasticsearch in Kibana. Slednjima so na kožo napisani strukturirani dogodki v zapisu JSON, kot jih lahko npr. dobimo neposredno iz spletnega strežnika nginx ali programa za filtriranje e-pošte Amavis.

Gorazd Božič – Vaje iz kibernetske varnosti: jih res potrebujemo?

Slovenija že vrsto let sodeluje v vajah iz kibernetske varnosti – na Cyber Europe v organizaciji agencije ENISA in NATO vajah Cyber Colition. Kaj se je do sedaj pokazalo v teh vajah, kdo je v njih sodeloval in kaj lahko rečemo o njihovi koristnosti?

Simon Simčič – Vpeljava SIEM

SIEM rešitve v informacijskem okolju zagotavljajo vidljivost nad dogoajanjem na različnih napravah. Videli bomo kako se SIEM rešitev razlikuje od Log Management rešitev.
Prikazali bomo tudi kako se v SRC-u soočamo s projekti vpeljave SIEM sistemov, ter katere primere rabe s temi rešitvami rešujemo in kako med projektom skupaj s stranko razvijamo primere rabe.