Завершился 12-й Positive Hack Days, прошедший впервые в Парке Горького. Ключевыми идеями стали повышение доверия к технологиям и развитие осознанности их использования через киберграмотность.
Гости открытого пространства киберфестиваля — кибергорода — узнали, как не стать жертвами мошенников на маркетплейсах, а также об особенностях ChatGPT, выборе безопасного VPN и других аспектах IT и ИБ. В рамках конференционной части киберфестиваля эксперты обсудили переход госорганов и частных компаний к результативной безопасности, стратегию объединения комьюнити, методы безопасной разработки, развитие рынка баг баунти. Подошла к концу кибербитва Standoff: за четыре дня атакующим в вымышленном Государстве F (но с настоящими системами управления и защиты) удалось реализовать недопустимые события 204 раза, а защитникам — расследовать 43 атаки. Если специалистам по кибербезопасности, участвовавшим в битве, придется встретиться с аналогичной активностью злоумышленников в своих компаниях, они будут готовы эффективно реагировать на нее.
Гарантированная защита как результат: кто за это в ответе
Тема результативной кибербезопасности осталась ключевой и для конференционной части второго дня.
Владимир Бенгин, директор департамента кибербезопасности Минцифры России, удивился полному залу субботним утром. Он напомнил, что специалистам по ИБ в любом случае приходится отвечать непосредственно за результат. «Мы ждали, что бизнес нас услышит, — вот он услышал. Компаниям все равно, какие средства защиты внедрены: им важны результат и понимание того, кто за него отвечает. К сожалению, безопасники до сих пор очень часто не могут объяснить, каким он будет. Внедрение некоей популярной системы защиты — это не результат. Нормальный результат — это когда специалист по безопасности сообщает руководству о том, что конкретно сегодня уязвимости в компании устраняются, скажем, в течение 127 дней и это слишком рискованно: надо, чтобы в критически значимых сегментах они устранялись за 12 часов, а для этого необходимо столько-то миллионов рублей», — признал Владимир Бенгин.
Айдар Гузаиров, генеральный директор Innostage (компании — соорганизатора Positive Hack Days 12), заявил, что изменения за последний год в отношении целеполагания, осознанности и всего того, что творится в кибербезе, сравнимы с пятилетним периодом в более спокойные времена. «Два года назад на PHDays мы говорили о том, что было бы здорово, если бы руководители задумались об информационной безопасности. Бойтесь своих желаний: многие менеджеры лично узнали, что такое ИБ. С другой стороны, сейчас в отрасли кибербезопасности иначе воспринимается ответственность за результат. Если два года назад я мог назвать нашу компанию только интегратором, то сейчас мы значительно больше, чем интегратор, и отвечаем за результат, за то, чтобы хакеры не угрожали бизнесу наших клиентов. Для нас это в первую очередь репутационные риски. Мы начинаем размышлять, как по-другому, более эффективно, можно добиться результата в области ИБ», — подчеркнул Айдар Гузаиров.
Сергей Шерстобитов, генеральный директор Angara Security, согласился с тезисом, что российская кибербезопасность прошла пятилетку за год, отметив, что главными бенефициарами нынешнего окна возможностей становятся отечественные разработчики. «Появляется много интересных продуктов. Клиенты пошли в сторону сервисов. Если ранее мы только рассказывали, что услуги в области ИБ могут дать большой результат в понятные сроки, то сейчас сервисы становятся востребованными практически по всем направлениям. Единственное исключение — услуги страхования, которые почему-то не взлетают», — сказал Сергей Шерстобитов.
«Основное изменение последнего года — новое отношение собственников к вопросам ИБ, — заметил Павел Куликов, CTO «СДЭК». — Взломали очень много организаций, в результате чего многие перешли от парадигмы „ИБ — это постоянное совершенствование и обучение” к вопросу о конкретных результатах. Наличие на российском рынке компаний, позволяющих получить результат сразу, а не по прошествии полугода или года, — это очень хорошо. Когда перед нами встала задача по защите электронной почты, мы за три дня подключились к сервису, тогда как сами, по первоначальной оценке, готовились бы к таким работам 3,5 месяца. Но в текущих условиях этого времени нет. И от вечной непрерывности мы переходим к конкретике».
Про багбаунти как элемент результативной безопасности
Невозможно говорить о результативной кибербезопасности без осознанного использования программ баг баунти: об этом в течение прошлого года не говорили разве что из утюга (хотя разместить умный утюг на платформе баг баунти вполне реально). О том, каких конкретных результатов удается достичь, используя такие программы, подискутировали в рамках деловой части киберфестиваля.
Владимир Бенгин, директор департамента кибербезопасности Минцифры, отметил: «Баг баунти — это суперкрутой стресс-тест огромного числа внутренних процессов вашей организации. Мы запустили программу сразу на двух коммерческих площадках— Standoff 365 и BI.ZONE Bug Bounty. В целом мы были уверены в защищенности Госуслуг, потому что пентест наших систем проводила практически каждая российская компания в сфере ИБ. Всего в баг баунти участвовали около 8 тысяч человек. На обеих площадках сданы сотни отчетов, результатом стало больше 30 подтвержденных уязвимостей. Найдены и критически опасные недостатки, максимальная выплата составила 350 тыс. рублей. В дальнейшем будем думать, как этот опыт масштабировать. Для компании или организации в смысле проверки защищенности нет ничего дешевле и эффективнее баг баунти».
По словам Александра Хамитова, руководителя направления безопасности приложений Wildberries, комьюнити, участвующее в баг баунти, может не только заниматься проверкой на уязвимости, но и подкидывать интересные идеи. «Нам встречались неожиданные предложения организовать тестирование чуть ли не из конкретного пункта выдачи заказов», — рассказал Александр Хамитов.
При этом многие организации пока все же не торопятся запускать баг баунти. «Некоторые специалисты по ИБ могут полагать, что и так знают уязвимости в системах своей компании, поэтому откладывают проверки на баг баунти-платформах. В других организациях могут думать, что если запустить программу, то придется признать, что бреши в защите есть. Руководство может относиться к уязвимостям как к недоработке в отделе безопасности и принимать разные меры. Вероятно, существует и необоснованное опасение, что баг баунти может использоваться черными хакерами. На самом деле ситуация обратная: программа позволяет монетизировать уязвимости в правовом поле, чтобы люди не пытались продать информацию о них где-то в даркнете. Мое мнение, что в баг баунти надо обязательно участвовать», — отметил Дмитрий Гадарь вице-президент, директор департамента информационной безопасности Тинькофф Банка.
Илья Сафронов, директор департамента защиты инфраструктуры ИБ VK, согласился с коллегой: «Мы зрелая IT-компания, поэтому у нас не было страхов по поводу участия в баг баунти на платформе Standoff 365. Конечно, это не всегда приятно, когда ты вроде бы все проверил в плане уязвимостей, а тебе принесли еще в рамках программы. Но если в компании три релиза в день, то невозможно сразу же все проверить на 100%, поэтому баг баунти очень помогает».
Эксперты отметили, что баг баунти — это непрерывный процесс, что является основным его преимуществом, например, перед баг баунти. Результаты тестирования на проникновение устаревают в тот же день, когда оно заканчивается: инфраструктура меняется, появляются новые бреши в защите, есть теневые IT, про которые компания не знает. Баг баунти позволяет платить за результат в виде уязвимостей, а не за услугу, при этом является не серебряной пулей, а только одним из кубиков проверки защищенности. «Неизвестно, что происходит внутри инфраструктуры, необязательно, что все уязвимости обнаружат в рамках баг баунти. Здесь нужен SOC. У нас, кстати, каждый найденный недостаток проверяется: почему WAF не отработали, почему команда AppSec на первых этапах не обнаружила эту уязвимость инструментально и т. д. Мы рассматриваем всю цепочку и стараемся исключить появление брешей в защите в дальнейшем», — пояснил Дмитрий Гадарь.
Комьюнити и методология результативной ИБ
Еще одна тема, которую не обошли стороной в программе киберфестиваля, — роль сообщества в формировании подходов результативной защиты: была представлена платформа, на которой комьюнити может собирать фреймворки по построению результативной безопасности. Открытое сообщество rezbez.ru создано для экспертов в области ИБ, позволяет обмениваться знаниями и опытом и ориентировано на достижение практического результата. Чтобы обеспечить высокий уровень киберустойчивости, предлагается комплексный подход, в основе которого лежат 10 доменов по разным направлениям ИБ. Реализация шагов и практик, предложенных в каждом из доменов, не только поможет соблюсти требования регуляторов, но и позволит бизнесу уверенно развиваться в цифровом пространстве. Сайт в ближайшие дни будет пополнен методиками и рекомендациями, шаблонами и примерами, чек-листами и другими полезными материалами.
Участники дискуссии согласились, что подобная платформа необходима сообществу, а вендорам следует взять на себя ответственность за создание и развитие таких площадок. При этом для привлечения экспертов важно обеспечить прозрачность их работы с точки зрения прав интеллектуальной собственности, а на первом этапе, вероятно, понадобится и финансовое поощрение.
Директор по консалтингу «Ростелеком-Солар» Роман Чаплыгин отметил, что результат необходим в разных аспектах кибербезопасности, в том числе в процессах, и нужно прививать сообществу понимание того, что целеполагание должно быть в форме результата.
Генеральный директор CyberOK Сергей Гордейчик отметил, что любая деятельность должна быть измерима: «Вопрос измеримости безопасности, метрик безопасности стоит всегда. Соответственно, если ты затеваешь какую-то активность в области ИБ, надо понимать, к чему ты идешь в рамках этого процесса и как будешь отслеживать прогресс».
В России, по словам ряда участников, нет системно выстроенных, организованных площадок для сообщества по образцу западных. Тем не менее есть наработки, которые нужно развивать и которым следует придать некую системность. По мнению директора центра информационной безопасности «Инфосистемы Джет» Андрея Янкина, «между кучей замьюченных телеграм-каналов и зарегулированностью не хватает открытой площадки, на которой обычные специалисты могут свободно общаться».
Минувший год показал, что противостоять кибератакам можно только вместе, плечом к плечу. Однако, несмотря на участие представителей многих компаний в так называемых оперштабах, созданных для противодействия киберугрозам, не все игроки отечественного рынка кибербезопасности готовы делиться своими наработками. Индикаторы атак, сигнатуры, правила корреляции — это лишь малая толика того, что компании придерживают, не делясь с сообществом.
Генеральный директор и сооснователь RST Cloud («Технологии киберугроз») Николай Арефьев рассказал, почему компании не спешат делиться индикаторами компрометации: «С одной стороны, можно отдавать индикаторы компрометации, но с контекстом будут проблемы. Как правило, организации вручную собирают всю информацию, очищают и обогащают. Получается такая парадигма: отдать сам индикатор, наверное, можно, но в это же были вложены реальные трудозатраты, потрачены людские ресурсы и деньги компании. Как таким делиться — вопрос открытый».
В свою очередь, Владимир Дрюков, директор центра мониторинга и реагирования на кибератаки в «Ростелеком-Солар», обратил внимание на морально-этический аспект публикации наработок компании: «Сейчас всех атакуют через Exchange. Я считаю своей социальной обязанностью поделиться правилом обнаружения киберугроз, а не ждать, пока заказчика взломают».
По мнению Теймура Хеирхабарова, директора департамента мониторинга, реагирования и исследования киберугроз BI.ZONE, нужен стандарт, который сподвигнет российских вендоров средств защиты чаще делиться информацией с рынком кибербезопасности: «Стандартизация протоколов, интерфейсов взаимодействия, форматов обмена данными — этого нам действительно не хватает. Каждый вендор делает API в своих решениях как хочет, форматы и правила у всех свои. Дружить при отсутствии стандартов просто невозможно».
Андрей Янкин, директор центра информационной безопасности «Инфосистемы Джет», добавил, что для взаимодействия нужна площадка, в рамках которой компании в сфере ИБ могли бы объединиться. «Многим игрокам, не таким крупным, это дало бы возможность влиться в реку кибербезопасности и начать быстро друг другу помогать. Эта площадка должна быть не про конкуренцию», — рассказал спикер. Руководитель центра мониторинга Kaspersky Сергей Солдатов высказался о возможном бюрократическом барьере на пути к созданию такой площадки и заявил, что в построении коммуникации между организациями важную роль должно играть государство.
О развитии хай-тека, DevSecOps и перспективах отечественных ОС
Будущее индустрии хай-тек обсуждали директора по разработке и совладельцы бизнеса. Из-за ухода зарубежных вендоров с российского рынка появились возможности для прорывов в различных технологических сегментах. Ушли монополисты, которые занимали свои ниши на 100%. При этом пользователи остались, и они ожидают продуктов и сервиса такого же уровня, как и раньше. «Первый технологический рывок, который необходимо сделать отечественной индустрии, причем за короткий срок, — это наладить производство и обслуживание программного обеспечения на том же уровне, как было у зарубежных вендоров», — считает СТО VK Tech Алексей Тотмаков.
В свою очередь Константин Осипов, сооснователь компании Picodata, в числе приоритетных для импортозамещения сегментов назвал SCADA- и ERP-системы, базы данных, а также системы автоматизированного проектирования (CAD).
Кроме того, возникла фундаментальная необходимость в открытых процессорных технологиях и в их реализации на базе открытых стандартов. «Требуется инвестировать в инструменты проектирования открытого аппаратного обеспечения, так как сейчас такие средства создаются монопольно и не российскими компаниями», — комментирует Игорь Лопатин, директор по исследованиям и разработкам «Yadro Центр исследований и разработки».
В качестве второго важного направления инвестиций он обозначил средства, которые позволяют разработчикам писать под эти процессоры оптимизированные библиотеки и «другие строительные кирпичики, из которых складывается софтверная экосистема для новых открытых архитектур». Игорь с умеренным оптимизмом оценил перспективы развития отечественного «железа», однако подчеркнул, что в сфере разработки центральных процессоров, которые отличаются экстремальной сложностью, быстрых результатов ждать не стоит.
«Есть области, в которые российские разработчики не шли осознанно, так как не имели „инженерки“. Сейчас, с уходом иностранных игроков, нам придется туда идти от неизбежности, — отметил Алексей Андреев, управляющий директор Positive Technologies. — С другой стороны, освободились ниши, которые займут отечественные вендоры. В частности, речь о сегменте сетевой безопасности и нише межсетевых экранов нового поколения. В областях, в которых мы обладаем комплементарной экспертизой, у нас будут технологические прорывы».
В 2022–2023 годах тема DevSecOps стала еще популярнее и портрет пользователей поменялся.
Денис Кораблев, директор по продуктам Positive Technologies, отметил, что по сравнению с прошлым годом тема DevSecOps стала гораздо популярнее. «Из-за того, что многие западные вендоры ушли с российского рынка, пришлось различные продукты разрабатывать с чистого листа. Отрадно видеть, что большинство разработчиков при этом сразу учитывают безопасность, встраивают ее в свой конвейер. Это действительно серьезное отличие по сравнению с тем, что было раньше. В текущей ситуации все видят количество атак, которые происходят, и не могут игнорировать безопасность в своих подходах», — полагает эксперт.
В свою очередь, Рами Мулейс, менеджер продуктов безопасности Yandex Cloud, отметил трехкратное увеличение числа пользователей сервиса для управления DevOps-платформой GitLab в инфраструктуре Yandex Cloud. При этом, по словам спикера, частичный уход западных вендоров затруднил разработку продуктов: «Все сильно осложняется тем, что готовых решений для DevSecOps все меньше и меньше. Мы видим ставку на решения open source по безопасности».
По словам Юрия Сергеева, основателя и управляющего партнера Swordfish Security, важно помнить, что все разработчики, использующие решения open source, становятся ответственными за их безопасность.
С уходом зарубежных вендоров изменилась и ситуация в сфере отечественных ОС: разработчики уверены в своих перспективах и отмечают новые возможности. В частности, Владимир Тележников, начальник отдела научных исследований ГК «Астра», рассказал, что «не все оказалось гладко, но компания пережила стресс и сейчас находится на стадии спокойного развития продукта и движения вперед: накоплен хороший опыт внедрения и позитивный фидбек от пользователей продукта».
Роман Аляутдин, директор департамента разработки ОС «Аврора» («Открытая мобильная платформа»), уверен в успехе российских ОС: «Отечественными вендорами заложен хороший базис, вокруг которого нужно строить экосистему, при этом конкурируя на рынке, в том числе с технологиями, к которым рынок приручил всех нас. Для этого у нас есть все ресурсы: люди, технологии, экспертиза».
Кибергород — посетители парка узнали об особенностях ChatGPT и о том, как не попасть в сети мошенников
На площадке, доступной для всех посетителей Парка Горького (трек «Научпоп»), поднимали темы, близкие каждому человеку. Например, представители ритейла рассказывали о наборе признаков, указывающих на ненадежность интернет-магазина. Павел Куликов, CTO «СДЭК», порекомендовал пользователям не переводить общение с продавцом в другие сервисы при совершении покупок на маркетплейсах: этим нередко пользуются мошенники.
«В пандемию многие ретейлеры не справлялись с большим количеством заказов, чем пользовались злоумышленники, создавая поддельные или посреднические сайты, например мимикрировали под „Азбуку вкуса“. В лучшем случае покупки клиентам обходились дороже, в худшем — покупатели оставались без денег и товара. Проверяйте сайт, на котором собираетесь оплачивать покупки, хотя бы по банковским реквизитам юридического лица, которые всегда указаны на легальных сайтах», — посоветовал Дмитрий Кузеванов, технический директор «Азбуки вкуса».
Валентин Малых, NLP-исследователь Huawei, рассказал, как функционирует система ChatGPT, под влиянием которой сотни западных экспертов, в том числе Илон Маск и Стив Возняк, призвали разработать правила для интеллектуальных помощников.
«В последние полгода о ChatGPT говорят из каждого чайника, поэтому я попробую объяснить, как работает эта технология изнутри. Сам термин NLP — про то, как мы взаимодействуем с текстами. У каждого из нас есть модель языка, которая помогает нам доносить свои мысли. Самое базовое определение языка связано с некой „затравкой“, которая позволяет получить следующее слово. Если кто-то скажет „мама мыла“, то все дружно ответят „раму“. Подобные модели, генерирующие следующие слова, только в тысячи раз сложнее, работают в ML-помощниках», — отметил Валентин Малых.
Егор Баяндин, CIO и сооснователь сервиса кикшеринга Whoosh, рассказал, могут ли самокаты собирать данные об окружающей среде и пользователях и может ли хакер взломать самокат и дистанционно регулировать скорость и другие показатели. По словам Егора, самокат почти ничего не знает о своем арендаторе. Кроме того, за четыре года работы сервиса данные о пользователях ни разу не были украдены. Эксперт также предупредил о важности физической безопасности при использовании самокатов, в частности о недопустимости езды вдвоем, пояснив, что даже мотоциклисты могут попасть в аварию из-за неправильных действий заднего пассажира.
В свою очередь, Яна Юракова (старший аналитик исследовательской группы Positive Technologies) и Сергей Полунин («Газинформсервис») объяснили, как выбрать защищенный VPN-сервис в условиях возросшей популярности этой технологии в связи с блокировками. Утечка конфиденциальных данных, по словам Яны, может возникнуть, только если владелец сервиса — недобросовестный человек, а соединение с запрашиваемым ресурсом происходит по незащищенному HTTP-протоколу (когда в браузере нет характерного замочка). Сергей отметил, что поддержка VPN-ресурсов стоит немалых денег и, если сервис бесплатен, надо понимать, какая у него модель монетизации и чем заплатит пользователь (рекламой или похищенными данными).
О кибербитве Standoff и других конкурсах
За четыре дня кибербитвы атакующим 204 раза удалось реализовать недопустимые события в воссозданных на киберполигоне секторах экономики. Из 148 предусмотренных уникальных недопустимых событий нападающие реализовали 64. Больше всего реализаций на счету команды Codeby, которая теперь является единственным четырехкратным чемпионом кибербитвы. Ни один из сегментов не выстоял под натиском красных команд. Чаще всего были реализованы утечка конфиденциальной информации (32 раза) и распространение вируса-шифровальщика (31 раз). Максимальное количество успешных атак было реализовано в банковской системе (44) и УК City (44), на третьем месте «МеталлиКО» (37), замыкает четверку лидеров Atomic Energy (27).
За все время кибербитвы в Государстве F атакующие сдали 209 отчетов об уязвимостях, из них 58% — об уязвимостях критического уровня риска, 24% — высокого и 17% — среднего. Наиболее популярным типом выявленных уязвимостей стало удаленное выполнение кода (Remote Code Execution, RCE).
Команды защитников сдали жюри 667 отчетов об инцидентах, в основном в сегменте Tube (37%), и расследовали 43 атаки.
Первое место среди атакующих заняла команда Codeby, набравшая в совокупности 193 454 балла, второе — True0xA3 (143 264 балла), третье — Bulba Hackers (58 796 баллов).
На киберфестивале была обширная конкурсная программа. Участники конкурса IDS Bypass испытывали на прочность системы сетевой защиты, а в конкурсе $natch надо было взломать банкомат, мобильный банк и кассовый аппарат. Последний, кстати, участники конкурса смогли вскрыть не менее пяти раз.
Около десяти человек попробовали свои силы в непростом конкурсе ETHical hacking. Участникам предстояло пройти ряд челленджей по взлому смарт-контрактов в сети Ethereum: вывести все средства из смарт-контракта или установить флаг (значение булевой стейт-переменной контракта) в true в зависимости от описания челленджа. Шестерым специалистам удалось решить как минимум один челлендж.