В Смоленске прошел первый межрегиональный форум по ИБ IT WALL

В Смоленске прошел первый межрегиональный форум по ИБ IT WALL

В Смоленске прошел первый межрегиональный форум по ИБ IT WALL

Первый смоленский межрегиональный ИТ-форум прошел 27 и 28 января в КВЦ имени Тенишевых. На одной площадке собрались представители крупнейших компаний, представленных на российском рынке информационных технологий. Официальными партнерами форума выступили «Ростелеком» и «Конфидент».

Первый день мероприятия стартовал с общего обзора проблемы. Эксперты Антон Разумов и Геннадий Шаронов проанализировали возможные кибератаки, которым подвергается бизнес, обсудив возможности их предотвращения. Одной из причин уязвимости предприятий, по мнению спикеров, является недостаточно серьезное отношение руководства к вопросу обеспечения информационной безопасности. Во многих компаниях службы ИТ и ИБ попросту не разделены, а ответственные сотрудники в большей степени рассчитывают на технические средства защиты и забывают о менеджменте и квалифицированных специалистах.

Проблему кадрового дефицита продолжили развивать следующие спикеры. Максим Бревнов, руководитель отдела продаж «СёрчИнформ», на примере собственной DLP-системы «СёрчИнформ» продемонстрировал, как грамотно налаженный процесс может облегчить работу службы безопасности. При таком подходе в компании со штатом до 1 500 сотрудников достаточно одного ИБ-специалиста.

Эксперт по кадровой работе в сфере информационной безопасности Марина Иванова отметила, что многие компании предпочитают нанимать на работу сотрудников, которые стремятся повышать свои профессиональные навыки. Более подробно и детально темы пленарного заседания были раскрыты в ходе прошедших в первый день форума панельных сессий.

Спикеры первой панельной сессии Мария Воронова и Павел Мельников дали свою оценку и прогнозы в отношении новой доктрины информационной безопасности, подписанной в декабре прошедшего года президентом России Владимиром Путиным. В её основу, как известно, вошла концепция импортозамещения иностранного программного обеспечения. По мнению специалистов, несмотря на все риски и сложности, в этом направлении уже сейчас наблюдается положительная тенденция.

Поддержали предыдущих спикеров представители группы компаний «Конфидент» и «Ростелекома». Ведущий менеджер по работе с партнерами группы компаний «Конфидент» Евгения Кислицына представила посетителям форума линейку разработанных ими продуктов. Как подчеркнула специалист, каждый рабочий час в России реализуется более одного проекта с использованием их продуктов Dallas Lock.

В завершение сессии выступил московский представитель партнера форума ПАО «Ростелеком» Эдуард Горбунов. В своем докладе специалист представил одну из услуг телекоммуникационной компании - виртуальный центр обработки данных и решения каких партнеров использует «Ростелеком» для обеспечения его безопасности.

Об обеспечении безопасности автоматических систем управления на крупном промышленном объекте рассказали следующие эксперты. Евгений Генгринович проанализировал влияние современных условий на эксплуатационный процесс и предложил способы защиты производства. В свою очередь Анастасия Трофимова представила доклад о мониторинге безопасности промышленных процессов на примере ИТ-кластера Вологодской области «Изумрудная долина».

Закрыла первый день панельная сессия с участием представителей крупнейших сотовых операторов России. Спикеры сделали акцент на безопасном VPN соединении. В своих докладах они рассказали об оборудовании и решениях своих партнеров, которыми пользуются операторы для обеспечения безопасности своих клиентов. Также они отчитались о внедрении этих решений непосредственно в Смоленской области.

Если в первый день форума организаторы и спикеры сделали акцент на общей теме информационной безопасности, то в субботу сконцентрировались на обсуждении подготовки квалифицированных кадров и развитии ИТ-кластеров.

Пленарное заседание второго дня открыл специалист GROUP-IB Сергей Золотухин. В своем докладе он проанализировал возможные атаки, которым может подвергнуться предприятие. Во их избежание специалист предлагает готовить специалистов, занимающихся непосредственно киберразведкой. По представленному спикером плану система безопасности с участием подобных специалистов будет не устранять последствие атаки и даже не противостоять ей, а меняться заранее. Грамотно обученные киберразведчики заблаговременно выявят слабые места системы и изменят ее еще до атаки.

Эксперт Игорь Хобта подошел к вопросу безопасности с другой стороны. Нередко угроза приходит изнутри, поэтому специалист оценил риски при приеме кандидатов на должность ИТ, предложив свой способ сократить их за счет разделения двух отделов: ИТ и ИБ. Даже в маленьких компаниях, по утверждению эксперта, должно быть два специалиста с разными обязанностями.

Следующий спикер Юлия Герасимова дала советы действующим и будущим работникам ИТ-отрасли, подчеркнув необходимость получения дополнительного профильного образования.

На сессии, посвященной защите информации в системах электронной коммерции, эксперты Мария Воронова и Павел Мельников особое внимание уделили обучению сотрудников и взаимодействию разных отделов в работе одной электронной торговой площадки. Павел Мельников в своем выступлении акцентировал внимание на проблеме хранения и пересылки учетных записей сотрудников, а также предложил несколько вариантов ее решения. Мария Воронова отметила, что для успешной работы торговой площадки необходима слаженная работа всех отделов компании в онлайн-режиме, а также готовность сотрудников разных отделов идти на контакт друг с другом.

Еще один спикер сессии, основатель смоленской фирмы LineUp, Илья Панков, затронул тему необходимости инвестиций в систему электронной защиты cybersecurity.

Закрыла первый межрегиональный форум ITWALL сессия, посвященная ИТ-кластерам. Ее модератором выступил директор Центра кластерного развития Смоленской области Денис Аленин. Опытом уже созданных кластеров поделились Юлия Артамонова и Анастасия Трофимова. Светлана Ефимова рассказала о проблемах молодых стартапов и их преимуществах, перед большими корпорациями. И на примере фонда, директором которого она является, рассказала о взаимодействии амбициозных проектов с крупными партнерами.

О развитии ИТ-кластеров на форуме говорили не просто так. В итоге первого межрегионального форума по информационной безопасности ITWALL четыре смоленских компании подписали соглашение о вступлении в IT-кластер Смоленской области. В него вошли «МАН сеть», «ЦРК», «Информзащита-Софт» и «ИТ-драйвер».

Также организаторы форума подвели итоги первой международной олимпиады по криптографии «КриптоКвест2017», в которой приняли участие 10 команд. Победителями оказались студенты Смоленского Государственного Университета. Партнером квеста выступила ассоциация «Агентство интеграционных инициатив». Руководитель отдела по международной деятельности и приграничного сотрудничества ассоциации Людмила Шевень отметила, что ассоциация уделяет отдельное внимание подготовке кадров и часто использует креативные подходы в работе с молодежью.

 

Завершился форум праздничным фуршетом. Два дня форума прошли продуктивно: перед слушателями выступили 20 спикеров, было подписано 4 соглашения, а смоленские специалисты получили возможность показать себя перед представителями крупных федеральных компаний. Спикеры - участники форума по завершении форума высоко оценили работу организаторов и признали, что с готовностью откликнутся на приглашение посетить Смоленск на следующем форуме ITWALL.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

WDAC в составе Microsoft Defender можно использовать для обхода EDR

ИБ-исследователи убедились, что защитную функцию Windows Defender Application Control (WDAC) можно использовать как инструмент атаки. Разработанный ими метод позволяет с успехом отключить EDR, притом даже в масштабах сети Active Directory.

Злоумышленнику нужно лишь прописать блокировку EDR в политиках WDAC, однако для этого потребуются права администратора. В случае успеха он сможет беспрепятственно развить атаку.

 

В ходе тестирования PoC возникло одно препятствие: некоторые EDR-системы используют драйверы, заверенные подписью WHQL. Политики WDAC по умолчанию разрешают их загрузку и запуск даже при отключенной службе EDR.

Как оказалось, решить проблему простым запретом WHQL-драйверов нельзя: велик риск, что конечное устройство перестанет стартовать и исчезнет возможность дальнейшего продвижения по сети. Опытным путем решение было найдено — блокировка атрибутов файла.

Чтобы оптимизировать процесс, экспериментаторы создали NET-инструмент Krueger, который вносит вредоносную WDAC-политику в папку CodeIntegrity и инициирует перезагрузку. При наличии админ-доступа к домену Active Directory защиту можно отключить на всех конечных точках, используя объекты групповой политики (GPO).

 

Выявить подобную атаку, по словам исследователей, нелегко, так как она проста и проводится быстро. Организациям рекомендуется использовать GPO при установке WDAC-политик и ограничить доступ к папкам вроде CodeIntegrity, SMB-ресурсам, а также групповым политикам с целью их изменения.

Разработчики Microsoft периодически патчат WDAC и закрывают возможности для злоупотреблений этим инструментом защиты. Остается надеяться, что публикация нового PoC тоже не останется незамеченной.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru