За сражениями на самом большом в мире киберполигоне The Standoff и форумом наблюдали онлайн свыше 20 тысяч человек из разных стран. Несмотря на опыт команд защитников, атакующие нанесли тяжелые удары по всем компаниям города, построенного на полигоне The Standoff. Так, в последний день сражения жителей оставили без электричества. Атакующие отключили линии электропередач, взломав устройства релейной защиты и автоматики на подстанции, принадлежащей компании Tube. В морском порту транспортной компании Heavy Ship Logistics контейнер упал прямо на баржу. Как выяснилось, хакеры из команды Invuls перехватили управление портальным краном и подавали заведомо неправильные команды. Кроме того, атакующие из Сodeby и True0xA3 остановили автоматизированную систему управления крупной региональной корпорации Nuft по добыче и переработке нефтепродуктов и подменили показатели приборов. Нефтедобыча сократилась за сутки на 90%.
За четыре дня работы киберполигона было реализовано 33 уникальных бизнес-риска — 54% от общего числа рисков, заложенных в программу соревнований. Всего жюри приняло 84 отчета об успешно выполненных заданиях от команд атакующих. Победителями среди команд «красных» стали True0xA3 (35 877 баллов), Сodeby (30 183) и Invuls (17 643).
Команды защитников прислали 328 отчетов о выявленных инцидентах. По количеству отчетов об атаках в тройке лидеров оказались команды Jet Security Team (компания Tube), akPots_team (Nuft) и Yourshellnotpass (25 Hours). За время соревнований защитники успели расследовать 18 реализовавшихся бизнес-рисков, причем команды Jet Security Team и Yourshellnotpass расследовали все риски, с которыми столкнулись их компании. В среднем на расследование с необходимой полнотой собранных фактов требовалось около 5 часов.
О подробностях киберсражения читайте в специальном материале, посвященном первым итогам полигона, а мы расскажем об интересных людях, выступавших в последний день PHDays 10.
Реальность кибербеза
В финальный день форума состоялась пленарная сессия «Реальность российского кибербеза».
Контекст, в котором мы находимся, я думаю, всем понятен: темпы цифровизации резко возросли, в том числе благодаря пандемии. Государство запускает большое число проектов цифровизации во всех отраслях, в том числе в здравоохранении и образовании. Номер один по темпам роста — сфера госуслуг. Ковид показал, что все услуги можно получать онлайн, поэтому данные сервисы развиваются очень быстро. Бурное проникновение цифровизации кардинально обостряет все риски кибербезопасности. Сейчас идут дискуссии и в правительстве, и в администрации, и в Совбезе, и их основной смысл сводится к тому, что новые вызовы требуют новых решений по защите. Председатель правительства любит говорить, что нельзя рассчитывать на новый результат, используя старые способы. Я думаю, что уже летом набор мер мобилизации и стимулирования будет выработан для того, чтобы отвечать на новые риски.
Максут Шадаев,
министр цифрового развития связи и массовых коммуникаций Российской Федерации
Основной вопрос, который задал участникам модератор встречи Юрий Максимов, генеральный директор Positive Technologies, был связан с перспективами России стать лидером на мировом рынке ИБ. «Если посмотреть на экономику российской индустрии, то порядка 50% средств, которые тратятся на кибербезопасность в России, идут на западные продукты, в первую очередь на американские. Как нам перейти на отечественные решения, заставить или уговорить?» — спросил Юрий Максимов.
Если вы взглянете на банковскую розницу, то почти не найдете там иностранных продуктов. У всех крупных банков есть свои команды, которые пишут код круглые сутки, в удаленном или в других форматах. За два года индустрия банковской розницы с точки зрения софта полностью изменилась. Из банков ушли импортные системы, индийские или американские, и остались только отечественные. Да, многие такие продукты работают на открытом коде, но в России создалась своя индустрия розничных продуктов. Инфобез стоит на пороге таких же решений. Отвечая на вопрос по поводу полного замещения иностранных ИБ-продуктов отечественными, Александр заявил, что идеальным форматом считает доверенную среду с отдельными «недоверенными» продуктами. «Не стоит видеть во всех компаниях врагов, но хорошо бы иметь возможность управлять врагом, понимая, что происходит с «недоверенными» решениями. Хуже, когда вся среда недоверенная, вот это уже беда.
Александр Муранов,
заместитель председателя правления Газпромбанка, привел пример ситуации с софтом в банковской отрасли.
Пока в вузах не будет стендов, лабораторных, практикумов, построенных на российских, а не на зарубежных решениях, ничего не произойдет. Специалист выходит из вуза, не имея понятия о наших отечественных решениях. К счастью, некоторое развитие в этом направлении есть. При поддержке Минцифры прорабатываются вопросы создания технологических центров обучения на базе УМО, и будем надеяться, что это немного поможет. Вторая проблема — заказчики решений в области ИБ. Они должны понимать, что их задача — обеспечение безопасности, а не выполнение требований. В требованиях регуляторов, ФСТЭК, ФСБ, везде в основу положена цель — безопасность, причем реальная. А пресловутую бумажную безопасность заказчики часто формируют сами, когда им все равно, каким образом решить задачу. Главное, чтобы отстали проверяющие органы. Если заказчики сами не захотят строить безопасность для достижения цели, то мы разобьемся все, но эту задачу не решим, потому что такая ситуация порождает недобросовестную конкуренцию между разработчиками. Всегда проще предложить абы какое решение, нежели качественное. Третья проблема — сами разработчики. Если проанализировать конкурсы, которые выигрывают зарубежные вендоры, то станет понятно, что они выходят вперед в требованиях, которые связаны не столько с безопасностью, сколько с эргономикой и ясностью интерфейса. Это тоже важно, и нашим вендорам стоит больше уделять этому внимания.
Виталий Лютиков,
заместитель директора ФСТЭК России
Отвечая на вопрос Юрия Максимова о причинах, по которым в России столь узок рынок кибербезопасности и небольшое число стартапов, Владимир Сакович, глава Skolkovo Ventures, отметил, что эта отрасль везде в мире, как правило, поделена между большими игроками, которые могут обеспечить комплексность и надежность.
Обычно о новых стартапах мы узнаем, когда их покупают такие гиганты, как Cisco. В мире в прошлом году на покупку стартапов большие компании потратили около 25 млрд долларов. В России эта сумма колеблется около нуля, и часто такие сделки осуществляются не за деньги, а, например, в обмен на доступ к рынку. Когда молодые стартапы не видят цепочки повышения своей стоимости, у них пропадает мотивация расти. Но самое главное — исчезает мотивация у инвесторов, которые должны вкладывать в стартапы деньги на ранних стадиях, чтобы продать их позже за большую сумму. Поэтому маленькие игроки оказываются без денег, у них нет средств, чтобы расти, пока они еще не окупаемы. Проблемы доступа к средствам есть даже у больших компаний в ИБ. Традиционные способы получения средств через заимствования на бирже и работа крупных фондов Private equity осложнены негативной геополитической атмосферой и отсутствием биржевых инструментов.
Владимир Сакович,
глава Skolkovo Ventures.
Юрий Максимов затронул на встрече тему неприемлемого ущерба для компаний и необходимости вовлечения руководства компаний в процесс обеспечения ИБ.
Криминал меняет форму — раньше деньги крали, а сейчас предпочитают шантажировать. Так гораздо проще. Чтобы у банка украсть деньги, надо, помимо хакеров, иметь дропперов, кардеров, которые вступают в тесный контакт с банком. А вымогатель может сидеть на Бали и обрушить деятельность компании в одиночку. Недавно прошла новость, что Япония после истории с Colonial Pipeline заявила о желании переходить на локальные технологии даже в частных компаниях. Это серьезная проблема для многих стран — некоторые государства начинают закрывать свой кибербез. Что касается крупных компаний, то их первые лица должны понимать, что пока они не начнут заниматься кибербезопасностью, их компания не сможет дать ожидаемых результатов.
Юрий Максимов,
генеральный директор Positive Technologies
Артем Сычев: российские банки защищены лучше
На форуме в последний день много внимания уделялось вопросам безопасности банковских систем. Артем Сычев, первый замглавы департамента информационной безопасности ЦБ, отметил, что «банковская система РФ на голову выше западных с точки зрения ИБ. Опыт отражения атак и устранения последствий у наших финансовых организаций гораздо больше».
По его словам, важным аспектом является понимание ИБ-рисков на уровне руководства финансовых организаций, а не только профильных подразделений.
Если руководство финансовой организации не понимает рисков ИБ, не знает, что это такое, то в таком случае риску подвергаются не только они сами, но и акционеры, и вкладчики. Для нас крайне важно понимание, насколько киберкультура присутствует в корпоративном управлении и может ли она повлиять на финансовую устойчивость организации.
Артем Сычев,
первый замглавы департамента информационной безопасности ЦБ
Проблема криптобирж: сотрудник и код
У цифровых валют ситуация хуже. Старший специалист группы исследования защищенности банковских систем Positive Technologies Ваагн Варданян рассказал о логических уязвимостях, найденных им на крупных криптобиржах, которые давали возможность манипулировать балансом. Исследование проводилось в 2019–2020 годах. Ваагн выделил несколько причин, по которым становится возможным взлом бирж: недобросовестность сотрудников и уязвимости в коде. Ваагн сосредоточился в своем исследовании на логических уязвимостях, которые образуются на уровне написания кода и которые сложно вычислить.
Как защитить пожилых людей от мошенников
Перейдем от логических к психологическим уязвимостям. Дискуссия о социальной ответственности и предупреждении о способах мошенничества развернулась на бизнес-секции «А нас спросили?», которую модерировал Владимир Бенгин, директор по развитию продуктового направления Positive Technologies.
Мы тратим много ресурсов на аварнесс. Например, в сторис в журнале Тинькофф публикуется много материалов про мошенников, они даже есть в нашем ТикТоке. Помимо этого, моя команда читает лекции в вузах, а я сам выступаю с лекциями в школе, рассказывая про опасности в интернете. Надо начинать это со школьного возраста и помогать взрослым, которые не готовы к новым угрозам. Однако тема не настолько простая. Если бы я работал в операторе связи, руководство вряд ли разрешило бы отстрелить 30% трафика, генерируемого, возможно, мошенниками, только потому, что мы за мир во всем мире.
Дмитрий Гадарь,
вице-президент и директор департамента информационной безопасности Тинькофф
Социнженерия-2021
Специалист по ИБ Дмитрий Андреев рассказал о принципах социальной инженерии и различных сценариях ее применения, проиллюстрировав свой рассказ яркими примерами из жизни, а также поделился опытом противодействия этой опасной технике в компаниях.
Для защиты от социальной инженерии нужно обучать сотрудников, но нельзя ограничиваться лишь соблюдением правил. Без понимания, как работает специалист по психологическим манипуляциям, человек очень уязвим. Надо показывать на примерах, как работает логика атакующего.
Дмитрий Андреев,
специалист по ИБ.
Как не допустить недопустимое
Может ли бизнес быть уверен в том, что он не рухнет от кибератаки? На этот вопрос в своем выступлении ответил директор по бизнес-консалтингу Positive Technologies Роман Чаплыгин, таким образом продолжив представлять публике новое поколение решений компании — продукты метауровня, которые позволяют остановить кибератаку и защитить компанию силами одного человека.
Бизнес может рухнуть только тогда, когда в компании произойдет крупное недопустимое событие. Чрезвычайные ситуации, делающие невозможным достижение операционных и стратегических целей и приводящие к длительному нарушению основной деятельности, есть всегда. Именно события, после которых организация никогда уже не вернется к прежней жизни и деятельности, мы и поставили во главу угла нашей концепции. Мы считаем, что деятельность службы безопасности должна быть такой, чтобы недопустимые события никогда не реализовались.
Роман Чаплыгин,
директор по бизнес-консалтингу Positive Technologies
О том, как сделать недопустимое невозможным, а также о методологии метапродуктов и погружении в процессы рассказал руководитель отдела аналитики Positive Technologies Евгений Гнедин.
Реестр недопустимых событий — первый этап нашей методологии. От того, насколько подробно и полно будет он составлен, зависит эффективность последующей работы. Чтобы вовремя остановить атакующего, необходимо понять, каким образом недопустимое событие накладывается на всю инфраструктуру компании. Так, сопоставив траектории атак разных хакеров, мы увидели на полученной схеме ряд одинаковых шагов и задействованных систем. Так мы сделали вывод, что в инфраструктуре обязательно есть системы, требующие усиленной защиты и мониторинга. Научившись выявлять эти системы, а затем усиленно защищать их, мы сможем приблизиться к тому, чтобы не допустить совершения недопустимого для бизнеса события. А обеспечив усиленный мониторинг ключевых систем и поддерживая их в актуальном состоянии, мы сможем ловить злоумышленников на ранних стадиях атаки
Евгений Гнедин,
руководитель отдела аналитики Positive Technologies.
Сканируем комплексно и нежно
Тему новых подходов к ИБ продолжили в треке thrEat reSearch Camp. В частности, там выступил Илья Зуев, CISO Rambler&Co и Okko. Он поделился своим опытом, отметив, что защита более сотни проектов, когда в компании существуют разные группы админов и разработчиков, — сложная задача. Для комплексной защиты инфраструктуры и борьбы с вирусами-вымогателями компания Rambler&Co разработала систему комплексного сканирования.
Суть нашей системы заключается в поэтапном сканировании, которое включает: инвентаризацию, быстрое сканирование, сканирование сервисов и программного обеспечения, DAST, compliance- и expiration-сканирования, а также сканирование контейнеров CI/CD, проверку наличия корпоративных секретов на публичных ресурсах, общий фильтр ложных срабатываний по хешу, оповещение о выявленных уязвимостях и их визуализацию и, наконец, метрики покрытия. Все результаты сканирования собираются в одном месте для обработки, по итогам которой мы принимаем решение.
Илья Зуев,
CISO Rambler&Co и Okko
Что с нами стало, или Краткое введение в ИБ-обстановку, если вы лежали в коме 10 лет
Тему своего выступления «Ретроспективный анализ громких инцидентов ИБ за последние 10 лет» независимый исследователь Владимир Дащенко выбрал в привязке к форуму PHDays, который этом году отмечает десятилетний юбилей. Он представил краткий экскурс в события, которые так или иначе связаны с ИБ, проанализировал, какое влияние они оказали на человечество, их технологии, атаки, а также методы защиты — и ответил на главный вопрос: изменилось сегодня ли наше отношение к информации, когда риск утечки данных значительно возрос?
С 2014 года мир Интернета вещей начинает захватывать все больше сердец: в Северной Америке в массовую продажу впервые поступили Google Glass, тестировать которые ранее могли только сотрудники компании Google. И сразу же произошел fappening — массовый взлом iCloud знаменитостей и слив их фотографий. С этого момента проблема информационной безопасности стала затрагивать даже тех, кто о ней ничего не знал: знаменитостей, актеров, звезд шоу-бизнеса и обычных людей. Тогда же в западных странах возникает огромное число микростартапов, специализирующихся на обеспечении кибербезопасности частных лиц. Если раньше, когда речь шла о физической безопасности, нанимали секьюрити, то теперь появляются секьюрити, охраняющие цифровое пространство человека.
Владимир Дащенко,
независимый исследователь
Уральские модели безопасности ОС
Докладчики из Уральского федерального университета на основе своего опыты работы с отечественными операционными системами рассказали о формальных моделях безопасности ОС, об их реализации, о проблемах проверки и верификации.
Чтобы сделать свою защищенную операционную систему, необходимо на самом деле внести множество доработок и архитектурных решений. Мы предлагаем расширить типовую модель управления доступом, предлагаем рассматривать файлы как области памяти, которые загружаются в пространство процесса. При этом будет проще делать спецификацию для дальнейшей верификации, будет легче показать соответствие между моделью и кодом.
Лилия Галимзянова,
аспирант УФУ
The game is never over
Независимый исследователь кибербезопасности Артем Бачевский, разрабатывая и автоматизируя процессы AppSec, обратил внимание на проблемы безопасности видеоигр. С самого начала Артем оговорился, что не является геймером, однако интересуется всем, что можно взломать. В своем докладе Артем рассказал о наиболее уязвимых типах игр (промо-игры, браузерные игры), распространенных уязвимостях и атаках (небезопасность протоколов, ошибки в коде, ботоводство и читерство) и о способах защиты от них. Одна из уязвимостей приводила к тому, что игра никогда не заканчивалась.
Полную версию пресс-релиза, другие новости и подробные отчеты читайте на сайте PHDays, на The Standoff и в социальных сетях мероприятий.