13.11.2024 13:38
Gazinformservice 0 465 Источник

Продолжаем обзор программы форума GIS DAYS. В тот же день, 3 октября, но в Москве состоялся Tech Day. Было представлено множество докладов о технологиях и аналитике, а также были подведены итоги «Биржи ИБ- и IT-стартапов». Но обо всём по порядку.

Эльман Бейбутов

директор по развитию продуктового бизнеса Positive Technologies

Сессию «Кибераналитика» и в целом докладную часть программы открыл Эльман Бейбутов. Рассказывая об АРТ-группировках в докладе «Как выявить APT-группировку в вашей организации?», он привёл статистику подобных атак в России и продемонстрировал самых активных представителей в странах СНГ. Одна из них — Lazy Koala. На её примере спикер подробно рассказал о том, как работают такие хакеры. В том числе, он осветил в своём выступлении, как обнаружить и остановить эти атаки.

«Я думаю, здесь очень мало людей, которые на ежедневной основе анализируют информацию об АРТ-группировках, о том, какие новые АРТ-группировки стали известны, о том, как они действуют. В лучшем случае в организациях есть 1-2 человека, которые делают это в условиях threat-аналитики, threat-интела, threat-хантинга и действительно занимаются этим day by day», — отметил спикер.

Больше об АРТ-группировках смотрите здесь.

Татьяна Ксюнина

директор по развитию BI.ZONE

Татьяна Ксюнина продолжила сессию с темой, раскрывающей ландшафт киберугроз в России и странах СНГ.

«Реальная атака зачастую достаточно стремительная. Инструменты, методы, могут быть примитивными, килчейн, шаги, то есть цепочка шагов злоумышленников, достаточно короткая, вход быстрый, и результат ошеломительный», — говорила спикер.

Татьяна рассказала о том, какие киберугрозы актуальны, а также какова мотивация у злоумышленников. По статистике, финансовая мотивация («волки») составляет 76%, шпионаж («оборотни») — 15%, а хактивизм («гиены») — 9%.

Больше о киберугрозах можно узнать здесь.

Евгений Шевченко

руководитель группы по сопровождению ключевых корпоративных проектов «Лаборатория Касперского»

Евгений Шевченко подхватил тему анализа и оценки кибератак и представил доклад «Threat Landscape: СНГ. Тренды, статистика, анализ кибератак». Он привёл статистику по атакованным странам, по индустриям (в лидерах — сферы финансов, строительства и производства), рассказал о потенциальных угрозах (NjRAT, DCRat, FormBook), показал сетевой ландшафт уязвимостей и ландшафт уязвимостей на хостах.

«Если говорить про сетевую телеметрию: здесь всё очень статично. Злоумышленники предпочитают не менять свои сценарии атак. Они используют одни и те же уязвимости, и часть из них не закрывается годами. А часть уязвимостей, к сожалению, в России невозможно закрыть. Мы не можем получить те или иные обновления безопасности», — говорил спикер.

Ознакомьтесь с подробным анализом кибератак здесь.

Лидия Виткова

начальник аналитического центра кибербезопасности «Газинформсервис»

Сессию «Кибераналитика» завершила Лидия Виткова, представив доклад «Создание единой базы знаний кибербезопасности». Она рассказала предысторию создания такой базы, объяснила, что такое таксономия и как она применяется. Затем спикер подробно представила этапы создания цифровой платформы для ИБ.

«У нас растёт экспертиза внутри компании, но она ни в какую базу не выливается. То есть никто не размечает [данные]. И, конечно же, сейчас мы все столкнулись с тем, что последние два года идёт запрос на то, чтобы развитие компетенций в области ИБ у многих чуть-чуть быстрее росло, и нам нужен обмен информацией», — поясняла Лидия. 

Больше о создании единой базы знаний — здесь.

Дмитрий Овчинников

руководитель Лаборатории стратегического развития продуктов кибербезопасности Аналитического центра кибербезопасности «Газинформсервиса»

Сессию SOC начал Дмитрий Овчинников, рассказав о создании собственного отечественного центра мониторинга информационной безопасности в докладе «SOC – в погоне за мечтой». Он озвучил, что было важно при создании SOC, что важно клиентам, как должны выглядеть процессы работы с инцидентами.

«Задача SOC — быстро детектировать атаки и реагировать на них. Это одна из главных целей, ради которой открывается любой SOC. Есть и другие метрики, как например соответствие правилам регуляторов, внутреннему распорядку, но настоящий коммерческий SOC всегда ориентируется на скорость детектирования и скорость устранения угрозы. 

Стоит отметить: некоторым заказчикам услуг SOC важно, чтобы в процесс реагирования на инцидент вовлекались представители заказчика или чтобы реакция осуществлялась его специалистами. Поэтому эксперты "Газинформсервис" используют модель организации работы центра мониторинга, которая обладает необходимой гибкостью с учётом таких требований, и полноценно интегрируются в бизнес-процессы организации защиты информации заказчиков», — говорил Дмитрий.

Подробнее о SOC и его работе здесь.

Степан Корецкий

руководитель группы пресейл R-Vision

Во время второй главы сессии SOC выступил Степан Корецкий, который в докладе рассказал о процессах, связанных с расследованием и реагированием, и о том, какие особенности на них накладывает критическая информационная инфраструктура (к примеру, при работе на КИИ обязательны уведомление регулятора; использование данных инвентаризации; сбор обязательных артефактов для передачи инцидентов и другое.

«Можно увидеть два разных подхода [к расследованию инцидентов]. Первый подход — процессный. Есть команда, у команды есть регламенты, может быть, BPMN-нотации, и там описаны схемы. А бывает индивидуальный подход. И я всегда вижу это так: когда при индивидуальном подходе надо что-то тушить, потому что нет какой-то стандартизации и всё надо придумывать на ходу. И когда есть описанный процесс и всем понятно, что нужно делать: это слаженная команда, слаженная работа», — говорил Степан.

Больше о расследованиях и реагированиях здесь.

Дмитрий Черников

руководитель технической поддержки продаж Xello

Дмитрий Черников в рамках своего доклада «Способы обнаружения кибератак с помощью киберобмана (deception)» поднял интересную тему, олицетворяющую понятие «клин клином вышибают»: обнаружение кибератак с помощью киберобмана. Спикер рассказал также о техниках, возможностях и инструментах киберобмана и Open Source-ловушек (HONEYD, COWRIE, DIONAEA, HONEYTRAP и другие).

«Все мы знаем, что стикеры клеить на мониторы — плохая идея. Потому что могут прийти в том числе физические лица и посмотреть на эти стикеры. А что, если это использовать наоборот? То есть специально развешивать стикеры с неправильными паролями, плагинами и потом отслеживать их использование», — такую аналогию провёл Дмитрий в начале своего выступления.

Подробнее о киберобмане как способе обнаружения кибератак здесь.

Дмитрий Шулинин

руководитель SOC UserGate

Дмитрий Шулинин в своём докладе рассказывал об особенностях формирования правил в структуре кибербеза и контроля за их соблюдением, о правилах SIEM-систем, а также проблемах их разработки. Важным шагом в их создании спикер назвал приоритизацию и выделил четыре её уровня:

1.     Произошедшие инциденты;

2.     Результаты тестирований на проникновение;

3.     Запросы бизнес-подразделений;

4.     Открытые источники и ландшафт угроз.

«Таким образом, на базе ландшафта угроз мы можем получить набор актуальных для нашей инфраструктуры техник MITRE. И дальше, скрестив этот набор техник с правилами из открытых источников, получить набор правил, который потенциально подходит нашей инфраструктуре. Эти правила должны быть проклассифицированы по MITRE. Если этого нет, то придётся это делать самим аналитикам», — заключил Дмитрий.

Больше о правилах в структуре кибербезопасности здесь.

Яна Заковряжина

менеджер по продукту «Газинформсервиса»

Дмитрий Овчинников

руководитель Лаборатории стратегического развития продуктов кибербезопасности Аналитического центра кибербезопасности «Газинформсервиса»

Завершили сессию Яна Заковряжина и Дмитрий Овчинников с докладом «За пределами подозрений: поведенческая аналитика как средство против внутренних угроз», подготовив выступление об искусственном интеллекте в кибербезопасности. Они рассказали о том, как поведенческая аналитика борется с внутренними угрозами. Образ «предателей» спикеры разделили на четыре категории — киберпреступников, спонсируемых государством злоумышленников, хактивистов и инсайдеров — и описали их.

«За первые полгода Россия вошла в топ-5 мирового рынка по объявлениям о продаже данных в даркнете (1 место). Почти в 90% объявлений хакеры отдают эти данные бесплатно», — говорила Яна.

Докладчики привели кейсы успешной работы поведенческой аналитики и рассказали о том, как машинное обучение борется с вирусами-шифровальщиками.

«С 2019 года существует такая услуга, как заказ шифрования. То есть если какой-нибудь внутренний злоумышленник предоставит точку входа, то при успехе вируса-шифровальщика он с этого получит определенное роялти, процент с выкупа», — так Дмитрий описал связь вирусов-шифровальщиков и поведенческой аналитики.

Подробности о поведенческой аналитике здесь.

Tech Day в Москве завершился подведением итогов конкурса «Биржа ИБ- и ИТ-стартапов». Это проект, в рамках которого выбирается лучшая ИТ-разработка или старптап в области ИБ. Победителем стал Владимир Педанов, который представил «Комплекс решений по обеспечению автомобильной кибербезопасности»: он получил 1 миллион рублей. Владимир поблагодарил организаторов проекта за поддержку: «Всегда приятно, когда труд команды, мой, моих коллег и друзей оценивается», — говорил он.

После награждения трансляция переключилась на мероприятия студенческого дня в Санкт-Петербурге. Узнать, как прошёл этот день, можно в нашем обзоре. Совсем скоро мы опубликуем отчёт о последнем дне форума, посвящённом бизнесу и инновациям.

Комментарии (0)