Partage des connaissances à 44CON

44CON — Londres — Après une pause de deux ans, la conférence 44CON sur la sécurité de l'information à Londres a repris les 16 et 16 septembre 2022. Des évangélistes passionnés de la sécurité ont été rejoints par des architectes et des dirigeants d'entreprises technologiques de premier plan pour profiter d'un festival de deux jours de recherche sur la cybersécurité de têtes d’affiche mondiales. Les gens sont venus se rencontrer, faire des affaires, discuter et apprendre, avec l'équipe 44CON proposant du plaisir, de la bonne nourriture et des divertissements sur le thème de la cybersécurité.

C'est un peu comme le Babylon 5 de la communauté britannique de sécurité de l'information.

J'ai demandé à Adrian Mahieu, le fondateur de 44CON et la force motrice derrière la résurrection de la conférence, ce qui l'a motivé à recommencer après la COVID. "Je voulais faire une conférence à laquelle j'aimerais assister, avec des discussions techniques sérieuses et approfondies, quelques sponsors intéressants qui ne sont pas les suspects habituels que vous verrez lors d'autres conférences techniques sur la sécurité, mais le plus intéressant pour moi. c'est amener les gens à parler et à apprendre les uns des autres », dit-il.

Cette orientation se manifeste même dans des aspects simples, tels que la manière dont les organisateurs de la conférence ont consacré un grand espace commun aux tables, permettant aux participants de partager un café, de savourer un excellent repas ou simplement d'avoir des séances impromptues. Des personnes à toutes les étapes de leur carrière en cybersécurité sont présentes, depuis de récents diplômés enthousiastes qui établissent des liens jusqu'aux leaders de l'industrie en matière de détection de talents et de constitution d'équipes, ainsi qu'un bon nombre de personnes qui justifient le descripteur « expert ».

Plusieurs secteurs industriels étaient représentés, notamment les fournisseurs de services de divertissement et de cloud computing. «Je dis aux vendeurs qu'ils n'ont qu'à apporter une toile de fond pour leur table d'exposant», explique Mahieu. « Je ne veux pas que ces grands stands somptueux occupent l'espace commun, je veux que tout le monde se sente libre de parler ensemble !

Le divertissement de la soirée comprenait un wargame de communications de sécurité conçu et hébergé par des développeurs de jeux innovants. Ciseaux à papier de pierre. Threat Condition simule les problèmes qui surviennent après une cyberattaque préjudiciable à la réputation et met en évidence les défis organisationnels et de communication qui en découlent. SPS a conçu ce que je pense être le meilleur wargame de scénario de reprise après sinistre sur table que j'ai jamais vu.

Une chose qui différencie la 44CON des autres conférences est ses précautions contre le COVID-19. 44CON a installé des purificateurs d'air haute puissance dans tout le site pour fournir un air propre et respirable aux participants.

Chatham House Chat

Les discussions se déroulent sous le Règle de Chatham House, permettant aux gens de s'exprimer et de partager librement leurs recherches. À ce titre, j'ai pu avoir une conversation approfondie avec l'un des experts mondiaux en sécurité cloud. Nous avons discuté du type d'événements qu'il voit et lesquels sont des événements « d'alarme incendie ».

"L'identité passe toujours en premier", a-t-il déclaré. "Notre CIRT répond en quelques minutes à une fuite d'informations d'identification sur un référentiel public de code source." Lorsque l’on considère la sécurité axée sur l’identité, le problème des entrants, des migrants et des sortants prend une dimension plus large, car tout ce que le fournisseur de services cloud voit est un jeton. « Nous sommes confrontés à un choix lors du réglage de la durée de vie du jeton : trop courte, et l'expérience utilisateur devient nulle avec des défis de connexion trop fréquents ; trop longtemps, et le jeton devient vulnérable dans des cas tels que le vol de point final. L'évaluation des risques de chaque transaction depuis le point final est possible. Mais étant donné l'étendue des activités de tout utilisateur de services cloud, cela se heurte rapidement à la barrière de l'évolutivité de la sécurité.

Toujours curieux de savoir comment évolue le problème interne, j'ai profité de l'occasion pour demander comment les principaux fournisseurs de services cloud résolvent des problèmes traditionnellement délicats tels que le DLP, et comment cela migre dans un environnement cloud. De nombreux professionnels de la sécurité ont encore du mal à convertir leur ancienne mentalité en une mentalité cloud native. Mon expert en sécurité avait hâte d'illustrer : « Nous constatons un problème courant où un utilisateur d'application métier exfiltre des informations vers des compartiments AWS personnels. Cela signifie que le journal cloud se trouve dans leur compartiment personnel et que l'entreprise n'en a aucune visibilité. Cependant, il existe une réponse simple : nous conseillons aux clients professionnels de créer une politique adaptée aux services qui limite l'accès aux compartiments appartenant à l'entreprise.

Cela signifie que de nombreux praticiens de la sécurité sont encore limités aux modèles de pensée et d'architecture existants, dont un indicateur clé est le moment où les praticiens tentent de filtrer en fonction de l'adresse IP, essayant essentiellement de recréer leur centre de données traditionnel dans un environnement de service cloud. Les instances cloud sont éphémères par nature, ce qui permet aux architectes et développeurs avertis de créer et de détruire des instances à la demande. Les adresses IP n'ont tout simplement pas d'importance dans ce contexte.

Participer et présenter

Les événements Capture-the-flag (CTF) sont un incontournable de nombreuses conférences sur la cybersécurité, mais même ici, 44CON a sa propre tournure. Le CTF de cette année a été organisé par Trace Labs, une organisation canadienne à but non lucratif qui s'associe aux organismes d'application de la loi pour tirer parti de la puissance de la collecte participative d'OSINT afin de faciliter les enquêtes en cours sur les personnes disparues. Au lieu de lancer leurs kits d'exploit sur une cible, les concurrents étaient invités à « utiliser leurs pouvoirs pour le bien » et à prendre de véritables cas de personnes disparues. à la recherche d'éléments manquants de renseignements open source, ou des drapeaux. Plus une équipe trouve de drapeaux, plus elle obtient de points, tout en contribuant à rendre la base de données des personnes disparues plus complète.

Et garder le meilleur pour la fin : les discussions ! Sous la direction de James Forshaw de Google Project Zero, de superbes présentations ont été disponibles, nous permettant à tous de connaître les dernières vulnérabilités et exploitations, que vous soyez un teamer rouge ou bleu. Erlend Andreas Gjære, co-fondateur et PDG du conseiller en formation en sécurité Secure Practice, a parlé de la nécessité d'une touche humaine en matière de cybersécurité, et le mystérieux inconnu identifié uniquement sous le nom de « cybergibbons » a expliqué comment il a pris le contrôle de navires de croisière, de plates-formes pétrolières et d'autres navires de la marine marchande lors d'une conférence intitulée « Je suis le capitaine maintenant ! »

Enfin, Haroon Meer a prononcé un discours inspirant, qui a clôturé la conférence en exhortant tous les participants à libérer leur innovation et à créer les produits de sécurité dont le monde a besoin. Meer a observé combien de produits actuellement sur le marché sont de l'huile de serpent, colportée par des personnes que vous ne laisseriez pas seules chez vous avec votre grand-mère. Il a également souligné que la voie vers une entreprise SaaS rentable consiste simplement à trouver quelque chose que 1,000 XNUMX personnes voudront utiliser – probablement le meilleur conseil aux entrepreneurs en herbe depuis Le pitch deck en cinq diapositives de Ron Gula.