В начале декабря в Москве состоялась первая конференция по практической кибербезопасности VK Security Confab. В чём её новизна? Для кого и для чего она устроена? Какие темы обсуждались на мероприятии? Мы постараемся дать ответы на эти вопросы.
- Введение
- Формат конференции VK Security Confab
- Цель проведения VK Security Confab
- Нужна ли рынку практическая кибербезопасность?
- Доклады первой конференции VK Security Confab
- Кризис в NIST в 2024 году
- Выводы
Введение
11 декабря 2024 года в московском офисе VK состоялась первая конференция по практической кибербезопасности VK Security Confab. В ней приняли участие эксперты VK и других компаний, которые показали технологии и тенденции в отрасли через призму своих собственных разработок, кейсов и практик.
В России проводится уже немало различных конференций с участием специалистов в области ИБ. В чём новизна VK Security Confab? Какие темы стали предметом обсуждения? Какие проблемы были выделены?
Формат конференции VK Security Confab
Прежде чем начать рассказ о самом мероприятии, назовём отличительные особенности новой конференции.
Чтобы принять участие, спикеры должны были заранее подать заявку с темой своего выступления по одному из следующих направлений:
- Безопасность приложений (AppSec).
- Защита пользователей.
- Защита облачных технологий.
- Защита инфраструктуры.
- Центр мониторинга и реагирования на инциденты (SOC).
Подготовленные заявки можно было подать за 10 дней до начала. Это нетипично: в большинстве случаев срок подачи заявок на доклады — не менее одного месяца до начала конференции.
Сократив срок, организаторы VK Security Confab стремились обеспечить максимальную актуальность выступлений (ведь речь идёт о практической безопасности). Уровень докладов определялся также составом участников конференции.
Рисунок 1. Первая конференция по практической кибербезопасности VK Security Confab
Главный критерий отбора докладов на VK Security Confab — акцент на практической составляющей ИБ. Это может относиться к работе служб ИБ внутри компаний, к деятельности вендоров, ИБ-разработчиков, этичных хакеров. Какие цели ставятся в работе? Какими инструментами пользуются специалисты? С какими трудностями они сталкиваются? Какие глобальные тренды индустрии ИБ влияют на решаемые задачи? Вот лишь некоторые примеры интересных вопросов.
Дополнительные особенности VK Security Confab:
- Немаркетинговый характер докладов. Каждое выступление представляет собой рассказ об определённой практической деятельности с демонстрацией навыков, которые могут быть полезны участникам конференции.
- Полное отсутствие рекламы. Можно говорить о полезности применяемых продуктов, выборе приёмов для решения задач, но нельзя заниматься продвижением определённого продукта.
- Практическая безопасность. Среди обсуждаемых тем были представлены только те, которые востребованны в работе служб ИБ и тех, кто занимается наступательной либо оборонительной безопасностью.
- Организатором конференции выступает только VK. Нет партнёрств и спонсорства. Это вытекает из предыдущих признаков: проект не может быть некоммерческим, если возникает партнёрство. Участие партнёров всегда подразумевает достижение определённых целей, в конечном счёте — коммерческого результата. VK же стремилась обеспечить именно некоммерческий формат.
- Участниками являются ИБ-специалисты уровней «Middle» и «Senior». Это задаёт уровень докладов. В докладах отсутствуют разъяснения терминов и процессов.
- Ключевая тематика выступлений — проблемы и ошибки в ИБ, полезные для практики.
Посмотрим теперь на событие не гранулярно, а в целом. В чём состоит назначение мероприятия с точки зрения организатора (VK)?
Цель проведения VK Security Confab
Ответ на этот вопрос мы получили от пресс-службы компании VK. Цель конференции — формирование живого сообщества практиков в области кибербезопасности. С точки зрения организаторов, это поможет в решении текущих практических задач и позволит участникам рынка активно развивать собственные новые идеи, лучше понимая тренды на рынке. Сообщество даст возможность формировать новые связи, не ограничиваясь только онлайн-общением.
VK Security Confab не противопоставляет себя онлайн-формату. Однако известно, что живое личное общение часто оказывается значительно эффективнее удалённого. Поэтому цель VK Security Confab — это ещё и оказание помощи в становлении сообщества российских практиков в области ИБ, создание площадки для экспертного общения, обмена опытом и новыми идеями.
Рисунок 2. Дмитрий Куколев, директор департамента «Безопасность Runtime», VK
Нужна ли рынку практическая кибербезопасность?
Вопрос может показаться неожиданным, но он — не праздный.
Конечно, рынок ИБ строится вокруг продуктов и используемых инструментов. Но практически все, кто непосредственно занимается задачами ИБ, придерживаются мнения: инфраструктура любого уровня защищённости, независимо от количества вложенных средств и надёжности установленного оборудования и ПО, может оказаться скомпрометированной. Это — реалии практической ИБ. Причины могут быть самыми разнообразными:
- ослабили контроль, переключили фокус внимания с ИБ на другие вопросы;
- сократились доходы компании и на ИБ перестало хватать денег;
- почему-то решили «да никому мы не нужны, не будут нас атаковать»;
- произошла смена внутренней ИБ-команды на менее подготовленную и это совпало с кибератакой;
- слишком доверились аутсорсингу и не учли рисков, которые могут возникнуть при этой форме организации ИБ-защиты;
- произошла смена внешнего подрядчика, предоставляющего сервисы ИБ, и это совпало с моментом кибератаки.
Сказанное позволяет сделать вывод, что практика работы служб ИБ — это важная составляющая рынка в целом.
Рисунок 3. «Глобально зарегистрированных уязвимостей в российских продуктах нет»
Доклады первой конференции VK Security Confab
Доклады были разделены на две секции: первый трек — оборонительная безопасность, второй трек — наступательная. Не будем давать подробный отчёт обо всех докладах, представленных на VK Security Confab, поскольку их видеозаписи и презентации доступны на сайте конференции. Вместо этого выделим в качестве примеров те выступления, на которых мы успели побывать. Это поможет подсветить тематику и обсуждавшиеся вопросы.
В секции «Cloud Security и K8s» отметим выступление Николая Панченко, ведущего специалиста по защите Kubernetes (K8s) и облаков в «Т-Банке». Он рассказал, как путём харденинга (укрепления инфраструктуры за счёт отказа от части функций) можно спасти ситуацию в случае кибератак на контейнерную инфраструктуру, которая не готова к их отражению. В этом случае цель защищающейся стороны — не дать нападающим воспользоваться реальными уязвимостями, которые ещё не были устранены. Описанные в докладе приёмы позволяют выиграть время и провести установку патчей, не доводя инфраструктуру до компрометации.
Рисунок 4. Николай Панченко, ведущий специалист по защите K8s и облаков в «Т-Банке»
Павел Пархомец, заместитель ИБ-директора (CISO) Wildberries, рассказал в секции «Infrastructure Security» об эволюции сканера распределённой инфраструктуры, который их служба ИБ развивала собственными силами как решение типа IaC (Infrastructure-as-Code). В качестве инструментов были использованы хорошо известные на рынке утилиты с открытым кодом: Nuclei — для сканирования инфраструктуры и детектирования уязвимостей, Nmap / Naabu — для инвентаризации, SaltStack — для управления конфигурациями и удалённого выполнения операций.
Целью доклада было показать жизнеспособность варианта развития службы ИБ через накопление собственных компетенций и использование доступных на рынке бесплатных утилит. Можно ли такой способ считать надёжным, взамен приобретения готового коммерческого сканера? Доклад показал, что такое решение имеет право на жизнь.
Тема сверхвысоких затрат для компаний, как минимум при первичном внедрении средств ИБ-защиты, не раз всплывала в докладах. Очевидно, что в стране есть немало средних и небольших компаний, которые не имеют пока возможности вкладываться в приобретение дорогостоящих ИБ-систем отечественных вендоров. Что им делать, чтобы не оказаться жертвами кибератак?
Рисунок 5. Иван Буряков, эксперт отдела аудита безопасности приложений VK
На секции «Vulnerability» ведущего эксперта Positive Technologies по управлению уязвимостями (Vulnerability Management) Александра Леонова попросили назвать основные бесплатные проекты с открытым кодом, которые позволят провести сканирование инфраструктуры компании и выявить существующие бреши в её системе защиты.
Спикер сразу отметил, что управление уязвимостями в любом случае требует затрат, поэтому применение бесплатных утилит возможно только в случае понимания того, какие именно направления в них «урезаны». Тем не менее он посоветовал при отсутствии бюджета на приобретение полноценных продуктов и их эксплуатацию обратить внимание на следующие проекты:
Не менее интересные выступления были на втором треке (Offensive Security).
Рисунок 6. Участники второго трека конференции
В секции «Bug Bounty» Анатолий Иванов, руководитель проекта Standoff Bug Bounty в компании Positive Technologies, поделился примерами поиска уязвимостей в коде. Он указал на основные места, где могут возникать проблемы. В докладе не было каких-то неожиданных тайн и секретов, но польза была несомненной. Целью выступления было не обучить «технологиям взлома программ», а показать логику поиска мест, где может быть обнаружена уязвимость в коде. Обладать этими знаниями, без сомнения, должны не только злоумышленники, но и те, кто ведёт разработку ПО или обеспечивает безопасность его эксплуатации.
О том, как ищут уязвимости участники программ Bug Bounty, рассказал в формате «от первого лица» Юрий Ряднина, старший специалист по анализу защищённости банковских систем в компании Positive Technologies. Он провёл анализ наиболее распространённых типов уязвимостей, которые были обнаружены в социальных сетях «ВКонтакте», «Одноклассники» и X (Twitter), разобрал наиболее интересные примеры и охарактеризовал используемые багхантерами инструменты, прокомментировал тактики поиска уязвимостей. Целью доклада было показать подходы к выявлению погрешностей в атакуемых системах.
Рисунок 7. Самые распространённые типы уязвимостей, обнаруженные в соцсети VK («ВКонтакте»)
Назовём другие секции конференции VK Security Confab, где были представлены не менее интересные доклады: «Cloud Security», «SOC», «Red Teaming», «AppSec», «DevOps».
Кризис в NIST в 2024 году
Формально, наш рассказ о первой конференции по практической кибербезопасности VK Security Confab можно было бы закончить. Однако обратим внимание на то, что стало главной темой доклада Александра Леонова. Он говорил о кризисе, который возник в работе NIST (The National Institute of Standards and Technology) — наиболее известного в мире госоргана, отвечающего за классификацию обнаруживаемых уязвимостей.
Рисунок 8. Александр Леонов, ведущий эксперт по VM в компании Positive Technologies
NIST является подразделением министерства торговли США (U.S. Department of Commerce). Именно NIST на протяжении многих лет занимается пополнением базы данных по зарегистрированным уязвимостям — National Vulnerability Database (NVD). Создаваемая им классификация уязвимостей и затронутых программ являлась основой для работы служб ИБ, развития ИБ-инструментов, организации защиты. Поэтому происходящее сейчас в NIST явно касается всех, кто занимается практикой ИБ.
Что же произошло в NIST в феврале 2024 года?
Ниже — график еженедельных пополнений базы данных NVD новыми CVE-записями, опубликованный компанией VulnCheck, давним коммерческим партнёром NIST по разбору запросов на присвоение идентификаторов CVE и по классификации новых брешей. Красным цветом выделена доля поступивших на рассмотрение заявок, ожидающих обработки.
Рисунок 9. График еженедельных публикаций новых CVE в базе данных NVD (VulnCheck)
Хорошо видно, что уже на начало 2024 года у NIST наблюдался большой разрыв между количеством регистрируемых заявок и выпущенными CVE.
Официальным началом кризиса называют 15 февраля 2024 года, когда на сайте NVD было официально признано, что в обработке новых уязвимостей наблюдается большая задержка. Дальнейшее развитие событий показало, что объём выявленных, но не получивших квалификационный статус уязвимостей продолжал только увеличиваться на протяжении 2024 года.
Уже в мае 2024 года эксперты VulnCheck отмечали:
- 93,4 % новых уязвимостей, направленных на проверку и добавление в NVD, не подвергались исследованиям;
- 55,9 % уязвимостей, активно используемых злоумышленниками, не подвергались анализу и не добавлялись в NVD;
- 82 % CVE с эксплойтом класса «Proof-of-Concept» не подвергались анализу для пополнения базы данных NVD.
Официальная причина: у NIST не хватает мощностей для анализа и классификации новых уязвимостей. Для устранения проблем начаты работы по автоматизации.
Большие надежды возлагаются на использование ИИ. Однако результат его применения Александр Леонов показал на примере новых отчётов по CVE, которые можно найти в базе NVD. Они явно не соответствуют прежним стандартам NIST по части оформления таких документов.
Рисунок 10. Вид новых отчётов по последним уязвимостям CVE
Добавим, что за два дня до 15 февраля было официально объявлено о вхождении проекта разработки ядра Linux — kernel.org — в число организаций со статусом CVE Numbering Authority (CNA), т. е. уполномоченных NIST на проведение анализа и классификации выявленных уязвимостей.
Пока остановимся в обсуждении этой темы; возможно, её рассмотрение потребует отдельного анализа. Отметим, однако, что на рынке практической кибербезопасности сейчас происходят важные и неоднозначные события, которые требуют изучения и понимания.
Выводы
Первая конференция по практической кибербезопасности VK Security Confab позволила оценить выбранный организаторами формат и запустить процесс формирования сообщества практикующих ИБ-экспертов в России.
В ходе конференции были подняты темы, которые находятся в работе у практиков ИБ. Она позволила участникам рынка обменяться мнениями, найти новые контакты.
На мероприятии не делалось каких-либо громких анонсов. Это, впрочем, и не предусмотрено его форматом. Результатом стали новые, крайне полезные шаги по формированию продуктивной среды, помогающей ИБ-экспертам видеть возникающие проблемы, узнавать о способах их решения и предлагать новые идеи с возможностью их очной дружеской оценки со стороны других участников рынка.
