Всем привет! Меня зовут Алексей Вишняков. Я руковожу процессами эмуляции атак и испытания экспертизы продуктов в Standoff 365, Positive Technologies. Сегодня хочу подробнее рассказать о нашей суперкрутой движухе 23 мая 2024 года на международном киберфестивале Positive Hack Days 2 в «Лужниках». В этом году мы экспериментируем с новым техническим треком, который назвали красиво — Evasion (ниже поймете почему). Так как все техническое и новое, как правило, непонятное, в этой статье хочется немного раскрыть подробности того, что будет происходить на треке, и — не буду скрывать — вас заинтересовать ?
Погнали, хабровчане!
Пролог
В ноябре прошлого года в рамках Standoff 12 случилась интересная дискуссия между нашими коллегами — руководителем экспертизы метапродуктов Антоном Тюриным и руководителем группы Red Team SE отдела тестирования на проникновение Константином Полишиным. Парни посмотрели на эффективность работы автопилота ИБ глазами атакующего и защитника. Ребята коснулись многих важных тем, но едва ли можно успеть раскрыть все за часовую беседу. И вот спустя полгода я вспомнил про нее и подумал: а почему бы не сходить в эту историю еще раз? Что, если мы сделаем ее масштабнее? Расширим границы проблем, местами углубимся в детали. Да и вообще — пройдемся не только по роли конкретного продукта отдельно взятого вендора, но и охватим сразу несколько классов продуктов.
Однако на старте сразу возник ряд сложностей. Например, как определить технические границы бесед? Хочется, чтобы это были обсуждения про суть работы технологий: меньше обтекаемых формулировок, больше фактуры с практики, но такое мероприятие рискует превратиться в «диалоги на клингонском». А в чем смысл насыщенных экспертных бесед, если большинство слушателей (пусть даже с техническим бэкграундом) ничего не поймут?
Еще одна сложность — кого звать в качестве собеседников? С одной стороны, это должны быть те самые специалисты-практики, которые реверсят вредоносное ПО, пишут детекты для обнаружения хакерских инструментов, исследуют прототипы эксплойтов или даже делают их сами. С другой стороны, такие специалисты должны быть не так далеко от продуктов кибербезопасности: им важно разбираться, что спрятано «под капотом», как это работает, какие нюансы дают преимущества, а какие, наоборот, указывают на недостатки. К тому же они должны ориентироваться не только в решениях своей компании, но и в предложениях других вендоров — как коммерческих, так и опенсорсных. Такая вот уникальная выборка получается!
Как идет подготовка к треку
Теперь расскажу, как мы стали действовать. Сперва определились с тем, о чем будем говорить. Если кратко — мы хотим обсуждать техники обхода обнаружения разных средств защиты. Объясню подробнее.
Есть хакеры. У них есть инструменты и техники действий. О них знают защитники. Защитники внедряют в продукты технологии противодействия. Пока вроде все хорошо. А дальше хакеры узнают об этих технологиях защиты и начинают искать способы остаться незамеченными. По-простому — обойти обнаружение. И вот тут возникает вопрос: а насколько это вообще просто? Действительно ли всегда хакеру получится это сделать? А если получится, можно ли считать это вариативностью той же техники атаки или чем-то совершенно новым? А насколько технология защиты в базовом смысле действительно фундаментальная, чтобы выдерживать все эти финты ушами? Вот о чем мы хотим говорить на этом треке.
Дальше возник вопрос: для кого же предназначен наш трек? Мы определили две группы целевой аудитории:
Это эксперты в сфере ИБ, которые во всем этом разбираются, может, получше нас самих.
Спросите, зачем они нам?
Ответим: хочется критики, сильных контраргументов. Хочется в будущем пригласить именно их в качестве спикеров и закрасить все те белые пятна, которые так или иначе возникнут в ходе таких дискуссий. Мы хотим честных разговоров о технологиях, потому что наша цель — делать действительно работающие продукты безопасности, следуя правильным установкам.
Это операторы продуктов ИБ и все те, кто к этому причастен. Не всегда такие специалисты досконально знают все особенности работы СЗИ. Причем именно с точки зрения практик ИБ, потому что с инфраструктурной, инженерной стороны у них как раз есть преимущество в понимании нюансов. Мы хотим в кратчайшие сроки погрузить коллег в особенности работы эксплуатируемых решений, а также расширить границы представления о хакерских возможностях.
Возникает еще вопрос: о каких средствах защиты говорить? Прежде всего напомню, что мы хотим обсудить не конкретных представителей, а классы в целом. Мы выбрали следующие: EDR (вместе с антивирусной составляющей), SIEM, сетевые сенсоры, песочницы и метапродукты. Последние, к сожалению, пока имеют тесную привязку к нам как вендору, но мы считаем правильным ставить их в один ряд с укрепившимися классами. В конце концов, когда-то каждый из них был кем-то создан или сформулирован впервые.
?Ну и, наконец, остается вопрос: кто же будет говорить обо всем этом на треке?
Мы пригласили специалистов из экспертного центра безопасности Positive Technologies (PT Expert Security Center). Это те ребята, которые day-to-day работают над качеством экспертизы наших продуктов. Кому, если не им, разбираться в нюансах технологий, над которыми они столько трудятся!
Кроме того, мы пригласили экспертов по безопасности из других компаний — коллег по рынку ИБ. Им мы отводим роль испытателей качества технологий классов продуктов. Они будут приводить примеры хакерских действий как из своей практики, так и мировой. Таким образом и завяжется дискуссия взаимного челленджа. Вот тут и начнутся разборки на ибэшном :)
О формате трека
А как это все будет происходить? На сцене — трио, включая вашего покорного слугу, представителя PT Expert Security Center и приглашенного гостя. Зрители — в зале. В онлайне их будет гораздо больше (очень на это надеемся ?). Первые минут 40 мы будем общаться и одновременно транслировать выступление. Я буду следить за обстановкой, подкидывать дровишек в беседу и обращать внимание на интересные вопросы из чата. Спустя 40 минут в трансляции наступит пауза — ошарашенные зрители смогут перевести дух до следующей итерации. А с теми, кто собрался офлайн, у нас будет еще минут 15, чтобы обсудить тонкие моменты, которые заслуживают особого, трепетного внимания. Вот вам и ответ, зачем приходить в зал, — это отличная возможность пообщаться с экспертами напрямую! И так пять раз по всем классам перечисленных выше продуктов. Думаю, представление вы получили.
Эпилог
Надеюсь, мне удалось ответить на первые вопросы: что это за трек, как зарождалась мысль, какие преследуются цели и как это будет происходить. Единственное, чего в этой статье не было, — самих тем обсуждения. Это самое интересное — их мы и готовим для вас! Я уверен, что вы узнаете много нового про особенности технологий защиты и необычные техники атакующих. А те, кто выдержит все пять дискуссий, получат неплохую общую картину ситуации с СЗИ, в которой мы находимся с точки зрения технологий на текущий день.
? Ждем вас 23 мая на PHDays Fest 2 в «Лужниках» — будет экспертно жарко!
Алексей Вишняков
Руководитель процессов эмуляции атак и испытания экспертизы продуктов Standoff 365, Positive Technologies