Уже второй год подряд Positive Hack Days проводится в формате городского киберфестиваля. В этом году мы собрали «Лужники» и разделили пространство на две зоны:

• экспертной с деловой и технической программами для бизнеса и профильных специалистов;

• открытую с научно-популярными лекциями, воркшопами и конкурсами.

Фокусом выступлений более 300 экспертов на 17 технических треках стали разные направления: противодействие хакерам и реагирование на инциденты, новые техники и векторы атак, эксплуатация уязвимостей, разработка и защита приложений, технологии машинного обучения и их безопасность.

Отобрали десятку самых ярких докладов технической программы ⬇️

Безопасное ПО с самого старта разработки

О том, что такое культура secure by design, за счет чего она рождается и как помочь ее становлению, рассказал Денис Кораблев, управляющий директор и директор по продуктам Positive Technologies. После краткого экскурса в историю развития разработки с 80-х годов до нашего времени, а также обзора сопутствующих ей сложностей Денис показал, как могла бы выглядеть пирамида Маслоу для разработчиков. На ее нижней ступени находится потребность писать код, на второй — потребность писать код эффективно, на следующей — необходимость учиться чему-то новому, на верхней — тяга создавать новое, писать красивый код. Три последние потребности возникают только тогда, когда у разработчика появляется свободное время и желание инвестировать в свое будущее.

Сейчас, в новой эре, отметил Денис, есть тренд на безопасность: она является маркером качества любого продукта. В пример он привел PT NGFW, который сейчас разрабатывается в Positive Technologies: на собеседовании в продуктовую команду кандидатов вводит в ступор вопрос о том, как разработать априори безопасный межсетевой экран нового поколения.

Денис Кораблев

Управляющий директор, директор по продуктам, Positive Technologies

Стандартных подходов к безопасной разработке, паттернов, которые бы были кем-то придуманы и написаны ранее по аналогии с парадигмами программирования, пока еще нет. Каждой компании или команде приходится создавать свой подход.

Об уязвимостях бизнес-логики и других слабых местах, находящихся «на изнанке» приложения, знает только программист. Только когда этот специалист будет понимать, что разрабатываемое им приложение будет оцениваться в том числе по тому, насколько легко его можно взломать, культура secure by design станет повышаться, резюмировал спикер.

Было ваше — стало наше: что полезного можно найти на серверах злоумышленников

Специалисты по реагированию на инциденты и цифровой криминалистике F.A.C.C.T. Владислав Озерский и Дмитрий Кардава рассказали, как они работают с образами серверов киберпреступников. При анализе Windows-сервера эксперты разбирают различные журналы событий, многие из которых позволяют вычислить IP-адреса злоумышленников и установить связь киберпреступников с конкретными группировками. Также специалисты просматривают каталоги файлов и другие релевантные артефакты, изучают историю веб-браузеров, учетные записи, файлы cookie, активность в мессенджерах. Это помогает определить, для каких задач использовался сервер, какие программы на нем были установлены и запущены.

Владислав Озерский

Ведущий специалист по реагированию на инциденты и цифровой криминалистике, F.A.C.C.T.

Необходимо все это распарсить. Если у вас есть скрипты для автоматизации, используйте их. Это поможет быстро пройтись по артефактам и понять, что вообще происходило на сервере.

В случае с Linux-сервером эксперты, помимо других артефактов, анализируют домашнюю директорию пользователя.

Дмитрий Кардава

Специалист по реагированию на инциденты и цифровой криминалистике, F.A.C.C.T.

В большинстве случаев атакующие не создают дополнительные директории, поэтому все их данные оказываются в домашнем каталоге пользователя. Самое интересное, что мы можем здесь обнаружить, — конфигурационные файлы.

В этих документах часто находится конфиденциальная информация жертв, модули вредоносных программ и другие компоненты, используемые в кибератаках. Также в каталоге пользователя эксперты могут найти постэксплуатационные инструменты, с помощью которых злоумышленникам удобно перемещаться по уже скомпрометированной системе и продолжать атаку.

Категоризация киберугроз с помощью искусственного интеллекта и графового анализа данных

Йевоннаэль Эндрю (Yevonnael Andrew), аспирант Швейцарско-немецкого университета Индонезии, рассказал о методах машинного обучения, обработки естественного языка (NLP) и графового анализа в категоризации кибератак. Эти техники применялись в работе с данными, которые были собраны платформой на базе ловушек для хакеров — ханипотов (honeypot). Ловушки размещались в инфраструктуре образовательных, правительственных и частных организаций Индонезии, а также на узлах обмена трафиком. Разработанный алгоритм позволяет анализировать терабайты данных об угрозах, соотносить их с матрицей MITRE ATT&CK, выявлять общее между разными инцидентами и объединять их в кластеры. Платформа может помочь исследователям анализировать и находить источник атак.

Ошибки при реагировании на инциденты в 2023–2024 годах

В 2023 году многие компании успели наломать дров, пытаясь отреагировать на кражу данных и другие инциденты. Рассмотрев типичные ошибки при таких действиях, главный эксперт по безопасности «Лаборатории Касперского» Сергей Голованов обратил внимание на устоявшееся заблуждение: если компания стала жертвой шифровальщика, анализировать накопители или файлы уже бессмысленно. Это не так. Стоит помнить о простых программках по восстановлению диска: Tesdisk, PhotoRec, R-studio. Нередко программа-вымогатель шифрует только часть диска, к примеру Babuk шифрует 1 ГБ с информацией о файлах операционной системы, не представляющих ценности.

Платформа обмена информацией об угрозах с помощью ловушек для хакеров

Чарльз Лим, заместитель руководителя магистратуры информационных технологий Швейцарско-немецкого университета, представил созданную его командой платформу исследования угроз. Программа существует с 2019 года, и в ее основе лежат ловушки для злоумышленников (ханипоты). Эксперты начали с их размещения в сетевой инфраструктуре отдельных организаций в Азиатско-Тихоокеанском регионе, а затем стали внедрять в узлы обмена трафиком IPv4 и IPv6.

Платформа позволяет обнаруживать и категоризировать угрозы прежде всего в исследовательских целях. Так, например, она помогает ответить на вопросы о том, с IP-адресов каких организаций чаще всего совершают атаки, что они собой представляют и на какие платформы нацелены.

Не самые типичные методы и инструменты, которые использовались в атаках

Руководитель BI.ZONE Threat Intelligence Олег Скулкин рассказал о десяти нетипичных техниках и инструментах, которые сотрудники компании встречали в атаках на организации России и стран СНГ. Так, одна из группировок, названная экспертами Scaly Wolf, рассылала фишинговые электронные письма от имени Следственного комитета, Главной военной прокуратуры и других ведомств. К сообщениям были прикреплены защищенные паролями архивы, которые содержали несколько легитимных файлов и один вредоносный, замаскированный под подлинный документ. Это позволяло злоумышленникам усыпить бдительность жертв и увеличить вероятность того, что нужный файл будет открыт. Еще один интересный метод атаки придумала группировка Rare Wolf. Киберпреступники помещали в архивы украденные из скомпрометированной системы файлы и с помощью легитимной утилиты Blat отправляли их себе на электронную почту.

Олег Скулкин

Руководитель BI.ZONE Threat Intelligence, BI.ZONE

Зачем злоумышленникам использовать нестандартные методы? Разумеется, для того, чтобы обойти средства защиты. Чем креативнее подход, тем выше шанс остаться незамеченными. С помощью одной и той же техники киберпреступники могут совершать разные шаги во время атаки — это нужно иметь в виду при отслеживании нападений. Такой подход поможет SOC (security operations center) эффективнее обнаруживать кибератаки на ранних этапах.

Об отечественных аппаратных платформах и независимости

Выступление Антона Печенева, ведущего менеджера продуктов в компании YADRO, было посвящено отечественным аппаратным ресурсам и элементной базе. YADRO — производственная компания полного цикла: разрабатывает «железо», проектирует его архитектуру, выпускает оборудование на своих заводах и в дальнейшем поддерживает его. Представитель компании поделился опытом создания и производства надежной и безопасной инфраструктурной платформы, отвечающей потребностям рынка и клиентов.

Антон Печенев

Ведущий менеджер продукта, YADRO

Специализированные платформы VEGMAN были выпущены в 2021 году. Они соответствуют задачам ИБ и требованиям регуляторов. У них короткий формфактор, много сетевых портов, которые при необходимости можно конфигурировать. Кроме того, они не шумные и производительные. В 2023 году мы обновили модели с учетом новых запросов вендоров и регуляторных требований, чтобы наши платформы можно было использовать в решениях класса NGFW.

Особенности разработки и использования современных российских ПАК

Тему российских аппаратных решений продолжила Наталья Селиверстова, руководитель проектов «ICL Системные технологии» (ГК ICL). По словам спикера, отечественные ИТ-компании на протяжении многих лет создавали продукты, ориентируясь на то, что их разработки будут внедрены в инфраструктуру, где основные функции реализованы с помощью иностранных компонентов. С уходом многих зарубежных решений рынок столкнулся с проблемой несовместимости российских программных и аппаратных продуктов. Борьба с этим препятствием стала одним из ключевых векторов развития сегмента ПАК. Наталья рассказала, как трансформируются проекты по разработке и эксплуатации программно-аппаратных комплексов в контексте современных вызовов.

Наталья Селиверстова

Руководитель проектов, ICL СТ

Меняется распределение бюджета и организационное взаимодействие, это приводит к перераспределению рисков. Сегодня риски несовместимости полностью ложатся на производителя. При этом клиент сталкивается с ограничениями, связанными с оборудованием, поскольку поставщику аппаратных средств нужен комплекс, который будет обеспечивать нужную производительность. Это касается, например, продуктов класса NGFW, криптошлюзов и других сегментов решений ИБ, которые по требованиям регуляторов должны иметь определенную аппаратную часть.

Трудности при внедрении SOAR

SOAR (security orchestration, automation and response) — это решения для координации и управления системами безопасности. Встраивание подобной системы в инфраструктуру организации требует немалых усилий, и Евгений Бисовко (Security Vision) в своем докладе перечислил основные проблемы на пути к внедрению.

Евгений Бисовко

Руководитель отдела проектного управления, Security Vision

Это и длительное согласование процессов с клиентом, и проблемы с получением доступов, и слабое вовлечение ИТ-блока в проект, и низкий уровень заинтересованности пользователей в процессе тестирования, и последующая их неудовлетворенность по итогам внедрения.

Создать свой Shodan и исследовать сетевое оборудование России

Эксперты Positive Technologies Артемий Цецерский, Андрей Сикорский и Максим Пушкин для своего проекта сделали аналог сканера Shodan и проанализировали подключенное к сети оборудование, которое работает на территории России. В отчете все устройства разделили на три группы:

1. «Маленькие коробочки» — домашние сотовые роутеры, промышленные и роутеры MikroTik. Как показали результаты исследования, большое количество устройств позволяло получить метаданные без аутентификации, узнать модель и версию прошивки, а также имело множество открытых портов, что повышает поверхность атаки.

2.  «Большие коробочки» — сетевые устройства: межсетевые экраны, коммутаторы, маршрутизаторы и криптошлюзы. На оборудовании экспертам удалось узнать аппаратную версию, версию прошивки и даты релиза ПО, с помощью этих данных можно найти актуальные для устройств уязвимости. Анализ показал, что множество устройств работают с устаревшей прошивкой и внедренными бэкдорами.

3. «Коробочки в коробочках» — устройства класса BMC для удаленного управления сервером. Как выяснилось, многие из них позволяют получить информацию о поддерживаемых версиях и типах аутентификации, имеют возможность анонимной аутентификации (входа с пустыми полями логина и пароля) или входа только по имени пользователя, а каждое третье устройство позволяет получить хеш-сумму пароля, зная только логин.

Это лишь малая часть докладов, с которыми спикеры выступали нон-стоп в течение четырех дней на PHDays Fest 2, — было еще много интересного. Так, например, на треке «Научпоп» Никита Ладошкин рассказал, почему вариант «войти в ИТ» больше не прокатит, а независимый исследователь Riaria на примере реальных краж раскрыла, зачем хакерам Джоконда и другие шедевры и как их теперь охраняют с помощью современных технологий. На треке Defense исследователи безопасности распутали змеиный клубок, сотканный APT-группировкой Shedding Zmiy, а на треке Lifestyle Виталий Виноградов поделился рецептами достижения счастья.

Смотрите интересные вам выступления (на YouTube-канале удобно разложили их по полочкам) и делитесь в комментариях своими фаворитами ?