Эксперты PHDays V – о безопасности и о себе

Эксперты PHDays V – о безопасности и о себе

...

В преддверии конференции Positive Hack Days мы расспросили трёх разных спикеров о том, что интересного будет в их выступлениях на форуме и как они сами попали в профессию «информационная безопасность».

Наталья Куканова, ИБ-аналитик компании «Яндекс»:

Поскольку я планирую поговорить о слияниях и поглощениях, эта тема важна и интересна независимо от сферы деятельности компании. Мир таков, что многие компании покупают другие, производят разного рода слияния. Конечно, я, в первую очередь, буду говорить об IT-процессах, которые приходится анализировать и перестраивать при покупках компаний вместе с командами, продуктами, процессами.

Важность тут в том, что покупаемая компания, если её правильно не интегрировать в среду и процессы компании-покупателя, может сильно снизить уровень зрелости ИТ- и ИБ- процессов последней. Об этом надо подумать до сделки и подготовиться. Об этом мой доклад «Кот в мешке: вопросы безопасности при M&A».

Основная шокирующая особенность моего доклада в том, что вопросы ИБ не только можно, но и нужно исследовать до совершения сделки. Аспекты безопасности могут не повлиять на цену сделки, но, скорее всего, они повлияют на уровень безопасности покупаемого продукта, а также уже существующих в компании продуктов.

Мы смогли сделать аудит ИБ такой же неотъемлемой частью процесса M&A, как, например, финансовый или кадровый аудит. И, тем самым, создали прецедент.

Владимир Кочетков, ИБ-эксперт компании Positive Technologies:

Мой доклад «Автоматическая генерация патчей для уязвимого исходного кода», по сути, является логическим продолжением моего прошлогоднего выступления «Проблемы автоматической генерации эксплойтов по исходному коду» и относится к сфере Application Security. Его тема важна хотя бы потому, что представляет собой эдакий алгоритмический 0-day и толком никем до сих пор не исследовалась.

Основной вопрос доклада прост: если мы можем построить вектор атаки или эксплойт по исходному коду, то, что нам мешает вместо эксплойта построить на основе той же модели патч, делающий этот исходный код защищенным? Идея построения алгоритма, автоматически исправляющего ошибки человека в коде, кажется фантастической, но, тем не менее – это вполне реализуемо, по крайней мере, для большей части известных на сегодняшний день классов уязвимостей.

Крис Хаднаги (Chris Hadnagy), основатель и гендиректор компании Social-Engineer, Inc.

Я изучаю прикладную социологию и то, как люди принимают решения.  Понимание того, как мы принимаем неправильные решения, может защитить нас от того, чтобы стать жертвой обмана, кражи, хакеров или других типов угроз. Обо всем этом посетители PHDays V смогут узнать из моего доклада «Социальная инженерия в шутку и всерьез».

В последнее время фишинг использовался практически во всех атаках.  Принципы прикладной социологии все более активно используются злоумышленниками. Каждый раз, когда мы становимся свидетелями природной катастрофы, мы подвергаемся атакам или попыткам мошенничества... Мы сталкивались с этим во время террористических актов 11 сентября 2001 г., во время цунами в Японии, и мы будем наблюдать это в результате землетрясения в Непале.

Как вы стали заниматься информационной безопасностью?

Н.К.: Я начала заниматься безопасностью ещё в институте и до сих пор ни разу не изменяла своему призванию. Очень быстро я сфокусировалась на построении процессов ИБ. Моя миссия в том, чтобы процессы безопасности были удобными, приносили не столько ограничения (без чего невозможна безопасность), сколько пользу.

В.К.: И разработка, и AppSec для меня долгое время были не более, чем увлечением. Темой безопасности информации, в той или иной степени, я начал интересовался еще со студенческих времен (т.е. во второй половине 90-ых). Около 7 лет назад увлечение стало постепенно становиться работой и в 2012 году привело меня в Positive Technologies, в отдел анализа защищенности. Спустя полгода, волею судеб, я оказался у истоков проекта Application Inspector, в котором участвую и по сегодняшний день. Не думаю, что моей текущей профессии можно научиться в каком-то конкретном месте. Я -самоучка и всегда придерживался простого правила: если хочешь чему-то научиться, просто начни это делать, изучай чужой опыт и повторяй до тех пор, пока у тебя не начнет получаться.

К.Х.: Я всегда умел найти общий язык с людьми, поэтому это было интересно для меня.  Для понимания социальной инженерии я советую изучать принципы влияния людей друг на друга, а также принципы принятия решений.  Это поможет вам понять, почему некоторые люди делают то, что не нужно.

Почему вы выступаете на PHDays?

Н.К.: На сегодняшний день я считаю PHDays одной из основных российских конференций по информационной безопасности. Важно то, что на PHDays присутствуют разные секции, а также гости из разных отраслей, занимающие разные позиции и посты. Мне очень интересно не только узнавать новое, но и делиться своим опытом — PHDays даёт мне такую возможность.

В.К.: В настоящий момент я внезапно оказался сразу в двух ролях: сотрудника компании, организующей конференцию и представителя сообщества русскоязычных разработчиков RSDN, являющегося информационным партнером PHDays. Согласитесь, что в данной ситуации выглядело бы странно, если бы я внезапно заявился со своим докладом на какую-нибудь «пиджачную» конференцию? :) Кстати, я крайне рекомендую посетить форум разработчикам всех уровней и направлений. В этом году мы решили расширить направления докладов темами как непосредственно связанные с разработкой ПО, так и соседствующие с ней.

К.Х.: Я уже два раза принимал участие в Форуме PHDays, и решил снова посетить Россию, чтобы пообщаться с новыми людьми, поделиться и обменяться опытом с экспертами со всего мира.