Три дня подряд десять команд хакеров со всего мира[1] пытались ограбить банк, нарушить работу нефтегазовой отрасли, транспорта или реализовать другие недопустимые события в виртуальном Государстве F, построенном на настоящих физических IT-системах и контроллерах. Шесть команд защитников наблюдали за действиями атакующих и расследовали инциденты. Одновременно на площадке Standoff 10 ведущие эксперты по информационной безопасности обсуждали наиболее острые проблемы отрасли: замену ПО иностранных вендоров, развитие отечественного опенсорса, атаки шифровальщиков, при которых невозможно заплатить выкуп. Рассказываем обо всем по порядку.

Заключительный день кибербитвы запомнится нам распространением вируса-шифровальщика в банковской системе, которое продемонстрировала команда Stun.

Итоги трех дней киберучений:

  • «красные» реализовали 19 недопустимых событий, 8 из них уникальные (всего можно было реализовать 96 уникальных событий);

  • мошенничество в системе продаж ж.-д. билетов осуществляли чаще всего — семь раз за время битвы;

  • недопустимые события произошли в пяти из шести сегментов государства: управляющей компании City, транспортной компании Heavy Logistics, нефтегазовой компании Tube, банковской системе и электроэнергетике;

  • защитники расследовали 17 атак, что составило 89% от числа всех реализованных событий;

  • 198 отчетов об инцидентах принято от команд защитников, большая часть — от команды Your shell not pass (среди всех принятых отчетов — 27%).

Первое место среди команд атакующих заняла команда Hexens Academy (5463 баллов), второе место — Stun (5312 баллов), а третье — Straw Hat (4570 баллов). Больше всего событий реализовала команда Straw Hat: на их счету пять недопустимых событий в трех сегментах Государства F.

Две команды защитников ЖКХ и транспорта расследовали семь из восьми событий, реализованных в их сегментах. Еще три команды расследовали по одному событию, с которыми столкнулись их отрасли[2]. Среднее время расследования по всем командам — 6 часов 21 минута.

Кроме того, для участников мероприятия на площадке Standoff был создан секретный лаунж — демонстрация нового пространства для киберсообщества, которое вскоре откроется в Москве.

Портал из реального мира в виртуальный, мгновенный переход из суеты конференции в комфортное пространство — отражение текущих тенденций в проектировании пространств для индустрии IТ. Об этом аспекте и в целом об эволюции понятия «офис для IT-компании» в прямом эфире рассказала Мария Ахременкова, руководитель креативного отдела, партнер VOX Architects. Собеседник Марии, архитектор впечатлений Сергей Калмыков, показал пространство и отметил, что основная цель дальнейшей работы над проектом будет заключаться в проектировании среды, где технологии будут работать на благо человека, а не наоборот.

Лаунж был создан архитектурным партнером проекта VOX Architects вместе с Sila Sveta при поддержке Statio, Light Buro, Florista и ГК Smart.

Технологическая независимость в финсекторе

«Шквал атак последнего года состоял в основном из массовых угроз, включая фишинг, — отметил Дмитрий Гадарь, директор департамента ИБ Тинькофф Банка, в рамках дискуссии «Технологическая независимость. Как выжить в эпоху кибершторма». — Это связано среди прочего с уходом средств защиты с российского рынка. Компании, не имеющие сильной эшелонированной защиты, могут заражаться, а через них уже происходит проникновение в более защищенные организации, например финансовые, если интеграции с партнерами и подрядчиками недостаточно защищены».

Эксперт рассказал, что Тинькофф Банк предъявляет требования в области ИБ к своим партнерам, но это, как правило, нормальный баланс риска и затрат на обеспечение безопасности.

«Если партнер раз в месяц присылает лиды, то эту интеграцию достаточно просто контролировать, анализируя входящий пакет, — отметил Дмитрий Гадарь. — Но если хакеры атакуют компанию, которая поставляет критически важные продукт или услугу, и, к примеру, шифруют ее данные вирусом-вымогателем, что может нарушить доступность сервиса, тогда за такой интеграцией надо внимательно присматривать. Достаточно вспомнить атаку на Colonial Pipeline, в результате которой пострадали многие организации. Чтобы не остаться далеко позади в области безопасности операционных систем или баз данных, я считаю важным создание комьюнити, которое будет пытаться взламывать и исследовать системы, находить в них уязвимости, чтобы технологическая независимость не стала синонимом изоляции и упадка».

Тему продолжил Артем Сычев, советник генерального директора Positive Technologies:  «Доля отечественных средств безопасности, используемых в финансовой отрасли, доходила до 80%. Но если опуститься на уровень операционных систем, баз данных или „железа“, то с ними ситуация в указанной сфере не лучше, чем в других отраслях экономики. Не считаю положение финансовых организаций максимально рискованным, у них есть запас на два-три года, но это вызов с точки зрения удорожания услуг: вся конструкция, начиная от „железа“ и заканчивая ПО, требует усилий по постепенной замене выходящих из строя агрегатов или программных средств».

По словам Артема Сычева, решением проблемы для небольших банков возможно станут использование аутсорсинговых услуг, переход к облачным решениям и совместное использование сервисов.

«Но это дело будущего, — подчеркнул эксперт. — Чем надо заниматься, так это программно-аппаратными средствами, которым нет замены: средствами криптографической защиты (или ХСМ-модулями), которые должны были появиться в 2025 году, но нужны уже сейчас. По сути, вся отрасль обслуживается двумя иностранными компаниями, и если они одномоментно уйдут из России, у розничного бизнеса могут начаться проблемы».

Первый российский опенсорс в кибербезе

«Positive Technologies всегда работала в сегменте large enterprise, — рассказал Дмитрий Нагибин в ходе дискуссии «Вклад Positive Technologies в развитие комьюнити open source».       — И мы хотим дать нашим клиентам возможность стать более защищенными, потому что видим такой вызов со стороны и рынка, и окружающей обстановки. Угроз становится все больше, и у небольших компаний возникает ощущение, что безопасность стоит огромных денег. Мы хотим переломить этот тренд и показать, что она может быть доступной. Positive Technologies и CyberOK запустили легкое решение, которое уже можно скачать с GitHub. Мы станем развивать его вместе с комьюнити и надеемся, что компании будут добавлять свои сценарии и идеи использования».

«Сегодня половина интернета построена на решениях с открытым кодом, — отметил Сергей Гордейчик, генеральный директор CyberOK. — Те же Google, Microsoft и наши крупные игроки (Mail.ru, «Яндекс» и прочие) контрибьютят в опенсорс. А когда мы попытались найти соратников в индустрии ИБ, то это оказалось сложно. Компании в сфере кибербезопасности привыкли работать в одну сторону: брать себе, перепаковывать и продавать. И наш с Positive Technologies совместный релиз SOLDR (System of Orchestration, Lifecycle control, Detection and Response) — это огромный шаг, который должен показать, что можно не только брать, но и давать. Призываю всех присоединяться к консорциуму и писать открытый код вместе. Ознакомиться с проектом можно на сайте vxcontrol.com или на GitHub».

По словам экспертов, SOLDR позволяет обеспечить безопасность конечных устройств, так называемой последней мили. В состав решения входит веб-интерфейс, базовый коррелятор, набор правил для обнаружения атак и реагирования на них и YARA-сканнер для большинства статических проверок (его сделала Google, и он применяется в VirusTotal). Как отметил Сергей Гордейчик, киллер-фича решения — создание собственных плагинов непосредственно в интерфейсе. Любой разработчик или специалист по ИБ сможет в несколько шагов добавить функциональность в готовый интерфейс и решить свою задачу. Несмотря на развитую систему оркестрации и сборки, это далеко не полноценное enterprise-решение, но для некоторых компаний сектора SMB этого может быть вполне достаточно, чтобы начать работать с защитой конечных точек, не тратя много средств и времени на внедрение.

Про переход на российские ОС

«Сегодня на глобальном рынке операционных систем порядка 90% занимает Windows и около 3–4% macOS, — отметил Александр Гутин, директор по маркетингу ГК «Астра» в рамках интервью «Про переход на российские ОС. Чем Linux лучше Windows?». — Но уже сейчас в разных уголках мира, включая Западную Европу, Microsoft начинает терять свою долю, и связано это как раз с информационной безопасностью и пониманием нахождения под колпаком у известных американских организаций из трех букв».

«Если среди западных стран подобная тенденция выражена пока незначительно, то развивающиеся страны особенно чувствуют такое давление, — продолжил эксперт. — Это вся Азия, Латинская Америка, арабские страны, Африка. И в указанных регионах сейчас начинается большая борьба вендоров альтернативных ОС со всего мира. Исключение, наверное, Китай, который перешел на свои операционные системы и ПО в сколько-нибудь значимых государственных объектах, а вслед за ними шагнул и весь китайский бизнес, крупный, средний и частично даже мелкий. Сегодня они внедряют ОС на базе Linux Debian со своей оболочкой, но за счет продуманности эти операционные системы выглядят как macOS, а по логике работы они не сложнее Windows. В этом плане Китай показывает чудеса импортозамещения и является всем нам примером».

Разработчики российских ОС тоже добились успехов, подчеркнул Александр Гутин. «Если несколько лет назад их операционные системы могли вызвать подергивания глаза у многих пользователей, в том числе у лиц, принимающих решения в организациях, то сегодня эти продукты уже готовы к работе если не со всеми российскими программными экосистемами, то как минимум с 60%. А это означает, что сегодня уже можно переводить инфраструктуры отечественных организаций и компаний на российские программные рельсы, для этого есть практически все необходимое. Если взять сегмент, близкий к госсектору, то еще в 2021 году крупные компании, так или иначе связанные с государством, и государственные организации купили больше российских операционных систем, нежели зарубежных», — рассказал Александр Гутин.

«Гознак», цифровые следы и Елена Ханга

В ходе программы «Цифровое слово» Татьяна Канделаки, директор по цифровому развитию «Гознака», рассказала, что «Гознак» открывает уже второй центр обработки данных, а также запустил систему поиска домашних животных. Достаточно отправить в базу фото и данные своего питомца, и любой нашедший похожее животное сможет сфотографировать его и прислать изображение в сервис «Гознака», а сопоставить фотографии помогут алгоритмы распознавания.

Кроме того, по словам Татьяны Канделаки, цифровому рублю — быть, и все решения Центробанком приняты. Но от наличных денег полностью отказываться не будут из-за разного уровня проникновения технологий и нежелания людей оставлять цифровой след, например, при походе в ресторан. Проблему цифрового следа отметила и Елена Ханга: телеведущая рассказала, что видит на экране совсем не подходящие ей рекомендации после того, как ее сын-подросток посмотрел что-то на YouTube.

Ярослав Бабин, директор продукта Standoff 365, отметил, что любая технология, такая как цифровой рубль, после выхода на рынок должна меняться. К примеру, после появления смарт-контрактов в них находили множество уязвимостей, что приводило криптовалютные биржи и стартапы к убыткам. Евгений Зубов, технический директор Positive Technologies, в свою очередь, призвал тестировать такие новые технологии на платформах киберучений и bug bounty.

«Иногда я слышу парадоксальные мысли: если вы найдете уязвимости в наших дронах для доставки посылок или в автомобилях с автопилотом, это замедлит их выход на рынок. Но лично я не посажу свою дочь в беспилотное такси, если его безопасность, в том числе информационную, не проверили независимые эксперты, известные в своей отрасли. Поэтому я призываю приносить на нашу платформу bug bounty даже технологии, используемые в бизнес-процессах, связанных с криптовалютой или цифровым рублем. Мы покажем, что с ними могут сделать хакеры, и впоследствии эти системы будет легче защитить», — отметил Евгений Зубов.

Может ли bug bounty стать гарантией киберустойчивости бизнеса?

 Вместе с ведущим Алексеем Лукацким, бизнес-консультантом по информационной безопасности, Positive Technologies, участники дискуссии обсудили, зачем нужны программы bug bounty, как выглядит процесс их запуска, каковы риски и возможности таких программ, а также готовы ли компании к bug bounty для реализации недопустимых событий.

Технический директор «Азбуки вкуса» Дмитрий Кузеванов считает: «Для бизнеса bug bounty — это ответственное отношение к тому, что ты делаешь. Запуская открытую программу для поиска уязвимостей, компания говорит, что готова публично признать свои ошибки и исправлять их. Второй аспект — массовость. Bug bounty позволяет привлечь море желающих багхантеров со всего мира».

Илья Сафронов, директор департамента защиты инфраструктуры ИБ, VK, подчеркнул: бизнесу важно понимать, что хакер не использует найденную уязвимость во вред, а только поможет усилить защищенность компании. Он уверен, что багхантеры очень дорожат своей репутацией, а вероятность случаев мошенничества с их стороны крайне мала.

В условиях отсутствия правоприменительной практики платформа bug bounty, по мнению Евгения Руденко, директора по кибербезопасности Rambler&Co, может способствовать легализации этого рынка, а нести ответственность за свою инфраструктуру должны сами компании. «Если багхантер, строго следуя конкретным правилам, что-то нарушил, то запустившая эту программу компания должна брать на себя ответственность. Вы должны понимать, зачем вам bug bounty, прописать, что можно делать. И платформа может помочь в наведении порядка», — сказал он.

Со своей стороны, бизнес-лидер Standoff Дмитрий Ким рассказал о том, как может выглядеть путь компании к открытой bug bounty на платформе и сколько это может стоить: «Мы подсчитали, что от 3 до 5 млн рублей — более или менее достаточная сумма, чтобы попробовать bug bounty и получить первоначальный профит. В эту историю входишь поэтапно. Первый этап — пентест, который позволит закрыть первичные уязвимости, второй этап — закрытая программа на платформе с группой зрелых багхантеров, с которыми можно быстро и спокойно выстраивать диалог. После этого — стресс-тест и запуск открытой программы. Если процессы выстроены, то весь путь можно пройти довольно быстро».

 Участники также поддержали проведение bug bounty, нацеленной на реализацию недопустимых событий, по примеру Positive Technologies, хотя такой шаг и непросто обосновать бизнесу. Для безопасников это «тревожно, но интересно». Как считает Евгений Руденко, «многое зависит от того, насколько хорошо ты хочешь делать свою работу по защите компании».

О трендах развития XDR-решений и что происходит на этом новом для России рынке

В эфирной студии Standoff Егор Назаров, руководитель по развитию направления защиты от комплексных атак, Positive Technologies, и Виталий Масютин, заместитель руководителя центра экспертизы по ИБ, компания IBS, обсудили, почему решения класса XDR стремительно набирают популярность на российском рынке ИБ.

Сначала Егор Назаров уточнил, что системы класса extended detection and response (XDR) используются для обнаружения продвинутых, таргетированных, комплексных и ранее неизвестных видов атак, позволяют своевременно предотвращать их на серверах и конечных точках при самом минимальном участии человека. Растущую востребованность XDR-решений Виталий Масютин объяснил так: «В информационной безопасности настало время экосистем. С одной стороны, компании привыкли к идее централизации и автоматизации кибербезопасности. С другой стороны, клиенты, которые уже реализовали эти идеи у себя, немного устали от сложностей внедрения комплексных мультивендорных систем, от того, что их тяжело и трудоемко поддерживать и развивать в дальнейшем. Поэтому XDR-системы стали своеобразным ответом на потребности организаций и актуальные киберугрозы. Через несколько лет решения этого класса станут использоваться повсеместно».

Виталий также рассказал, что технологически система класса XDR будет развиваться в сторону комбайна, который заменит многие существующие на рынке классические продукты по ИБ, включая антивирусы и средства защиты от несанкционированного доступа. Примерно то же самое произошло с межсетевыми экранами, которые потеснили множество нишевых и узкоспециализированных решений. По мнению эксперта, отличие рынка XDR-решений в России от мирового в том, что большинство зарубежных вендоров используют облака либо в качестве централизованного компонента управления, либо для хранения экспертизы. На российском рынке ИБ XDR-система в основном будет предлагаться как коробочное решение, работающее автономно и содержащее необходимую экспертизу. Последние события показывают, что облакам не всегда стоит доверять, отметил Виталий.

Егор Назаров напомнил, что Positive Technologies первой выпустила решение этого класса — PT XDR — на российский рынок еще в декабре 2021 года. Он рассказал, на что больше всего обращают внимание компании при выборе таких решений: «Клиенты хотят увидеть, как PT XDR противодействует неизвестным киберугрозам и отражает реальные нападения. Когда запускались пилоты, мы разработали несколько сценариев громких и интересных атак, направленных на операционные системы Windows, Linux и другие. Эти сценарии клиенты просили воспроизвести в их среде».

Экосистемы в кибербезе

«Экосистемы для компании — это модель ведения бизнеса. Среди известных примеров — «Сбер», «Яндекс», Тинькофф Банк, — рассказал Эльман Бейбутов, директор по развитию продуктового бизнеса Positive Technologies, в ходе выступления «Экосистемы продуктов для кибербезопасности». — В среде ИБ экосистемой может быть конгломерат компаний или сборка отдельных продуктов, которые создавались, возможно, через слияние и поглощение. Или же она может возникнуть как результат развития собственных продуктов компании. Это происходит, когда бизнес решает объединить все свои сервисы в рамках одной экосистемы, чтобы упростить жизнь клиентам».

С коллегой согласился Валерий Богдашов, исполнительный директор R-Vision: «Экосистема должна нести для клиента бо́льшую ценность, нежели использование входящих в нее продуктов по отдельности».

«Цель Positive Technologies — предложить клиентам масштабируемую экосистему кибербезопасности, — отметил Эльман Бейбутов, — как для крупного энтерпрайза, чтобы иметь возможность ее подстраивать и кастомизировать под задачи опытной службы ИБ, так и для средних по величине компаний, которые хотят управлять безопасностью с помощью двух-трех человек и минимизировать затраты (в этом случае мы можем предложить по сути готовую экосистему со вложенной в нее нашей обновляемой экспертизой)».

Высокоточная информационная безопасность

Вопросы защиты аппаратно-программных средств промышленной автоматизации обсуждали Сергей Сафонов, первый заместитель генерального директора ООО «Московский завод „ФИЗПРИБОР“», и Владимир Назаров, руководитель отдела безопасности промышленных систем управления, Positive Technologies. Затрагивая тему знаменитой атаки Stuxnet, с помощью которой была нарушена работа центрифуг для обогащения уранового топлива на заводе в Натанзе, Сергей Сафонов отметил, что в ходе диверсии атакующим требовалось очень хорошо знать систему, ее алгоритмы. И те люди, которые этим занимались, являлись, по сути, инсайдерами и были полностью посвящены во весь процесс производства. Владимир Назаров подтвердил, что в дальнейшем Stuxnet находили и в инфраструктуре российских АЭС, но он там не срабатывал, так как был заточен именно под инфраструктуру предприятия в Натанзе.

Сергей Сафонов также анонсировал два компонента систем АСУ ТП для стенда Positive Technologies: их включение в макет виртуального государства планируется уже на следующем форуме PHDays весной.

Медицина БЕЗ опасности

Вопросы кибербезопасности в медицинской сфере обсуждали с Александром Дубасовым, советником директора ФГБУ «Центральный научно-исследовательский институт организации и информатизации здравоохранения» («ЦНИИОИЗ») Минздрава РФ. Эксперт рассказал, что сегодняшний интерес злоумышленников к медицине связан в первую очередь с наличием в сфере огромного массива конфиденциальных данных о состоянии здоровья. «В рамках отрасли мы не разделяем персональные данные: сегодня мошенники узнают про ваш насморк, затем про онкологические заболевания, потом получат доступ к информации о смерти людей. Здесь не только утечка, но и неправомерное осведомление — это уже проблема», — пояснил Александр Дубасов.

По его словам, медицинское и научное сообщество вместе работают над формированием перечня недопустимых для всего здравоохранения событий. Принятая в этом году концепция информационной безопасности — это основополагающий документ с точки зрения определения векторов развития, модернизации и совершенствования отрасли. В нем впервые утверждена необходимость создания единой системы обеспечения ИБ в сфере здравоохранения.

Эксперт также рассказал, что на базе Сеченовского университета, где действует институт цифровой медицины и готовят IT-специалистов, обсуждается вопрос открытия направления по ИБ здравоохранения для повышения квалификации, профподготовки, а в будущем и создания бакалавриата.

«В плане безопасности через 10–15 лет хотелось бы видеть систему такой, где медперсоналу не приходится задумываться, что надо что-то защищать, выстраивать и обеспечивать ИБ. Это будет естественный процесс, который не отвлекает медиков от их непосредственной работы спасать жизни и сохранять здоровье», — подчеркнул Александр Дубасов.

Мозг и искусственный интеллект

О связи мозга и искусственного интеллекта поговорили с Александром Капланом, доктором биологических наук, профессором, заведующим лабораторией нейрофизиологии и нейрокомпьютерных интерфейсов биологического факультета МГУ. Отвечая на вопрос об ограниченности ИИ, спикер привел цитату американского ученого Ричарда Фейнмана: «Ни одно из великих открытий не было сделано алгоритмическим путем». Этот ученый, по словам Каплана, был знаком со многими нобелевскими лауреатами, и ни один из них не делал открытия шаг за шагом.

«Ученые догадываются! — продолжил мысль Фейнмана Александр Каплан. — А откуда берется догадка? Ее можно назвать озарением, интуицией. Она появляется из нашего личного опыта, который постепенно накапливается с момента рождения, и в голове создается ментальная модель закономерностей внешнего мира. Такие модели и подсказывают открытия. Пример такого открытия — гипотеза Пуанкаре. Она была доказана почти через сто лет Григорием Перельманом. Доказательство было суперсложное и не могло быть реализовано во времена Пуанкаре, но открытие каким-то образом было сделано».

Standoff 10 завершен. Смотрите записи выступлений на YouTube-канале Positive Events, следите за новыми публикациями в соцсетях Positive Technologies и Standoff. Ждем вас на Positive Hack Days весной 2023 года.

 


[1] Команды атакующих на Standoff 10: ActivateWindows (Индия), Azure Assassin Alliance (Китай), Click n Get (Индонезия), Flaggermeister (Испания), Hexens Academy (интернациональная), LingwuLab (Китай), Never Stop Exploiting (Китай), Straw Hat (Китай), Stun (интернациональная), 7h3B14ckKn1gh75 (Великобритания).

[2] На кибербитве представлены такие отрасли экономики, как черная металлургия, нефтегазовая промышленность и электроэнергетика, а также транспорт, ЖКХ и банковский сектор.

 

Комментарии (0)