// 23-26 мая 2024 года, Москва «Лужники»

В Парке Горького в Москве завершился первый день PHDays 12: государству и бизнесу нужна результативная кибербезопасность

Компания Positive Technologies, лидер в области результативной кибербезопасности, проводит Positive Hack Days уже в 12-й раз. В этом году мероприятие впервые проходит в одном из самых популярных парков Москвы — Парке Горького — и предназначено не только для профессионального сообщества, но и для широкой аудитории. В условиях повсеместной цифровизации кибербезопасность касается каждого человека, и PHDays предлагает ближе познакомиться с новыми технологиями, научиться их контролировать и избегать киберугроз.

В Парке Горького построен настоящий кибергород, любой посетитель которого может совершенно бесплатно поучаствовать в квестах и в итоге получить знания о киберзащищенности. Во второй масштабной локации — на территории безопасности, располагающейся на набережной и объединяющей пять технических треков и бизнес-программу, — уже прошли десятки профессиональных выступлений (всего их будет более 200). В пленарной сессии принял участие министр цифрового развития, связи и массовых коммуникаций Максут Шадаев.

Киберфестиваль продолжается, впереди самое интересное, а пока представляем краткий дайджест событий первого дня. За выступлениями и соревнованиями также можно наблюдать онлайн на сайте PHDays.

Открыл мероприятие Денис Баранов, генеральный директор Positive Technologies.

В России есть огромная и развитая сфера IT: люди пользуются цифровыми банками и вызывают такси со смартфона. Рядом с ней есть отрасль кибербезопасности — высокотехнологичная, очень интересная, со своими вызовами. Хакеры чуть ли не ежедневно атакуют компании, пользователей, поезда, заводы, и героические ребята с другой стороны баррикад защищают цифровые системы для того, чтобы современная цивилизация не была уничтожена. Мы решили выйти в Парк Горького, чтобы немного поделиться кулуарным миром ИБ, а пользователи, далекие от этой сферы, могли, как в щелочку, на него посмотреть.

Генеральный директор Positive Technologies

О точке бифуркации, багбаунти Минцифры и результативной безопасности

Основные стратегические дискуссии киберфестиваля в эти дни проходят в шатре «Кибербашня» (бизнес-трек 1). Пленарная сессия «2023 год: точка бифуркации. В пике́ или на пи́ке?» была посвящена прогнозам на нынешний год, который обещает стать важнейшим для цифрового суверенитета России. Во встрече участвовал Максут Шадаев, глава Минцифры.

Стоит отметить, что ведомство активно поддерживает тему кибербезопасности. В начале февраля министерство запустило багбаунти на платформах Standoff 365 и BI.ZОNE Bug Bounty по поиску уязвимостей на Госуслугах. Было обнаружено 34 уязвимости, большинство из которых — со средним и низким уровнем опасности. Максимальная выплата за найденный баг составила 350 тыс. рублей, минимальная — 10 тыс. рублей. Работа исследователей помогла повысить защищенность Госуслуг, при этом доступа к внутренним данным у багхантеров не было: участники работали только на внешнем периметре, а найденные уязвимости полностью контролировались системами мониторинга, чтобы их нельзя было использовать для взлома.

Пленарную дискуссию модерировал один из основателей, мажоритарный акционер и председатель совета директоров Positive Technologies Юрий Максимов. Он напомнил участникам, что форум всегда был направлен на практическую безопасность, а организаторы видели своей главной целью вывод дискуссий на открытый и прикладной уровень.

Мир изменился, увеличилось количество атак, они стали более изощренными. Ящик Пандоры открыт, и по-другому уже не будет. Нам нужно жить в этой реальности.

Мажоритарный акционер и председатель совета директоров Positive Technologies

Основной вопрос, который он задал участникам, был связан с тем, насколько бизнес и государство понимают новую реальность и считают ли необходимым честно и публично говорить о том, что происходят взломы компаний, к каким последствиям они приводят и какие техники используют злоумышленники.

Честность — главное условие для того, чтобы понимать ситуацию: необходимо признавать, где мы недостаточно сильны, и стремиться закрыть эти пробелы.

Министр цифрового развития, связи и массовых коммуникаций Минцифры России

Вице-президент и директор по информационной безопасности VK Алексей Волков согласился, что адекватная картина мира в современных условиях очень важна, причем в первую очередь для организаций. По его мнению, главная задача команды ИБ и ее руководителя состоит в том, чтобы донести до топ-менеджмента адекватную картину. Нужно не бояться быть честными перед самими собой и ответственности за свою честность.

Крайне важно, чтобы и у топ-менеджмента, и у руководителя службы информационной безопасности сформировалась адекватная картина, подтвержденная объективно. В компании всегда должны быть метрики, практические доказательства защищенности, а поддерживаемый уровень безопасности должен быть таким, чтобы риски находились на приемлемом уровне.

Вице-президент и директор по информационной безопасности VK

Стоит ли публично рассказывать об инцидентах, зависит от многих факторов, среди которых — соблюдение требований законодательства и PR-политика организации, полагает Алексей Волков. Генеральный директор Positive Technologies Денис Баранов согласился, что, прежде чем раскрывать информацию об инцидентах публично, следует научиться рассказывать о них внутри компании. Он привел примеры из опыта предыдущего года.

Например, были случаи, когда в специализированных телеграм-каналах мы видели новости о том, что киберпреступники взломали компанию X, украли у нее данные или уничтожили их. Наши специалисты тут же связывались с руководством этой компании с вопросом, не нужна ли им наша помощь в решении проблемы, а топ-менеджмент ничего не знал об инциденте. В итоге оказывалось, что взломали не головную организацию, в которой здоровая с точки зрения ИБ атмосфера, а дочернюю, где из-за того, что c CISO жестко спрашивали за любую ошибку в системе безопасности, сложилась культура передачи руководству только хороших новостей и замалчивания всего остального. Более того, системные администраторы атакованных компаний специально удаляют доказательства случившегося инцидента, чтобы их не отругали. К чему приводит такое умалчивание? Во-первых, взломанная организация не получает профильную и оперативную помощь в расследовании и реагировании на инцидент ни от наших специалистов, ни от коллег по отрасли. А во-вторых, профессиональное комьюнити, которому такая информация необходима для предотвращения будущих атак, исключается из обмена данными.

Генеральный директор Positive Technologies

Виталий Лютиков, заместитель директора ФСТЭК России, считает, что топ-менеджер всегда должен быть осведомлен, если в его компании есть проблемы с защищенностью. Об этом ему должен докладывать руководитель подразделения ИБ.

Отвечая на вопрос Юрия Максимова, какой, по оценке участников дискуссии, процент руководителей крупнейших российских компаний в курсе текущей ситуации с кибербезопасностью, со взломами и утечками, в том числе в их организациях, Денис Баранов предположил, что 10%, а Алексей Волков — 30% максимум. По словам Алексея, эти 30% менеджеров, как правило, крепкие хозяйственники, которые глубоко погружаются в производственные процессы. Остальные 70% — руководители верхнего звена, которые осуществляют общее управление, а на остальные задачи назначают CTO, СFO, CRO и других специалистов. Более пессимистично в этом вопросе настроен Виталий Лютиков:

Я думаю, никто не знает. Топ-менеджер должен быть осведомлен в той степени, насколько ему необходима информация для принятия управленческих решений. То есть он должен осознавать именно глобальные риски.

Заместитель директора ФСТЭК России

Юрий Максимов, в свою очередь, добавил, что:

Человек, который отвечает за безопасность, должен мыслить как топ-менеджер и иметь влияние такого же уровня, в частности на бизнес-процессы в компании. Сейчас это не так.

Председатель совета директоров Positive Technologies

Пару лет назад на PHDays много дискутировали на тему того, что такое результат ИБ и результативная кибербезопасность, — об этом Юрий напомнил на встрече.

Сегодня появилась конкретика: одних взламывают, а других нет. Можно ли перед государством поставить задачу, чтобы число компаний, которых взломать не удается, к конкретному году увеличилось на определенный процент?

Председатель совета директоров Positive Technologies

По мнению спикеров, 2023 год станет решающим для цифрового суверенитета России. В ближайшие пару лет может существенно измениться ландшафт киберугроз. Ответом на эти вызовы, согласно консенсусу, должна стать нацеленность государства и бизнеса на результативную безопасность.

Как руководство компании оценивает недопустимые события

Топ-менеджеры российских компаний поговорили о том, как они оценивают недопустимые для своего бизнеса события. В дискуссии приняли участие Александр Чариков, заместитель генерального директора, руководитель аппарата председателя правления ПАО «РусГидро», Сергей Демидов, директор департамента операционных рисков, информационной безопасности и непрерывности бизнеса Московской биржи, и Павел Чащин, директор ФГБУ «Рослесинфорг».

Участники рассказали, с какими ошибками в области ИБ сталкиваются в своей отрасли. Так, Александр Чариков назвал важной пользовательскую ошибку, или ошибку ввиду человеческого фактора.

Важно уделять внимание обучению пользователей внутри компании, поэтому мы постоянно проводим тренинги, киберучения, проверки, аудиты. Даже фиксируем количество глупых паролей, причем люди все равно попадаются, и приходится принимать меры в отношении кибербезграмотности сотрудника. Нужно работать с внутренними факторами, ведь безопасность — это прежде всего мы.

Заместитель генерального директора, руководитель аппарата Председателя Правления ПАО «РусГидро»

Павел Чащин обратил внимание на важность доверительных отношений между руководителем и безопасником. Сергей Демидов среди важных факторов грамотного выстраивания ИБ в компании назвал реагирование специалиста по кибербезопасности на ошибку, умение быстро сделать из этого выводы и принять меры по недопущению таких проблем в дальнейшем.

Мы производственная компания, и когда ко мне приходят и просят срочно закрыть уязвимость, потому что под угрозой системы 640 сотрудников в главном офисе, я спрашиваю о ситуации, например, на генерирующей станции. А там, оказывается, та же уязвимость, и приоритет устранения, разумеется, смещается в ее сторону. Мы все должны понимать профиль своей организации и знать недопустимые для бизнеса события.

Заместитель генерального директора, руководитель аппарата Председателя Правления ПАО «РусГидро»

Угрозы — 2030. Что может стать недопустимым

Сегодняшний ритм жизни таков, что не всегда получается оглянуться по сторонам, а самое главное — посмотреть вперед и задаться вопросом: «Что нас ждет через пять, десять лет?» В сфере информационной безопасности это особенно важно: системы защиты должны учитывать не только уже известные угрозы и недопустимые события, но и те, которые приобретут актуальность в будущем. На форсайт-сессии «Угрозы — 2030. Что может стать недопустимым» представителям регуляторов и бизнеса не удалось точно и однозначно определить угрозы ИБ, с которыми мы могли бы столкнуться через семь лет.

Сложно аппроксимировать, потому что мы говорим про далекий срок. Но стратегически необходимо найти баланс между скоростью развития цифровых технологий и кибербезопасностью. Для этого наука, государство и бизнес должны объединиться и работать вместе на единых площадках.

Заместитель министра Минцифры России

С ним согласен заместитель директора ФСТЭК России Виталий Лютиков:

Угрозы зависят от IT-ландшафта и технологий. Кроме того, любая особенность технологии порождает специфическую угрозу. Например, в сфере квантовых вычислений в каждой стране могут быть разработаны собственные языки программирования. Поэтому мы точно будем двигаться за технологиями. Как только та или иная технология приобретет массовость и будет влиять на выполнение либо государственного, либо бизнес-процесса, сразу возникнет острая необходимость в нейтрализации релевантных киберугроз.

Заместитель директора ФСТЭК России

Возможности нарушителей будут расти вместе с усовершенствованием их инструментов, также отметил Виталий Лютиков, защита же будет отставать, но постепенно нагонять:

Если бы не текущая мировая обстановка, развитие механизмов защиты заняло бы у нас больше времени. Сейчас мы переживаем все это очень быстро.

Заместитель директора ФСТЭК России

Сферы кибербезопасности и IT будут развиваться так, как диктует бизнес, полагает Евгений Горбачев, директор департамента мониторинга ИБ Газпромбанка.

Если мы будем успевать за развитием бизнеса и сервисов или будем чуть-чуть впереди, то столкнемся с меньшим количеством угроз, инцидентов и недопустимых событий. На этапе внедрения перспективных технологий бизнесу, подразделениям IT и ИБ необходимо действовать сообща, чтобы выработать механизмы и определить средства защиты, которые позволят минимизировать киберугрозы.

Директор департамента мониторинга ИБ Газпромбанка

В числе потенциальных киберрисков ближайших лет он назвал атаки на ИИ, блокчейн, цифровой рубль и на решения на их основе.

В последний год мы чуть ли не каждый день слышали об утечках персональных данных, об инцидентах ИБ, успешных действиях хакерских группировок. Как компаниям бороться с подобными проблемами?

Каждому кибербезопаснику нужно выстроить социальную ответственность, а начинать следует с признания проблемы; оно должно обернуться для компании в плюс, а не в минус. Если организация не освещает инцидент — это плохая история.

Директор департамента кибербезопасности Минцифры

По его словам, стартовать нужно не с защиты персональных данных, а с их хранения. Необходимо минимизировать объем используемых сведений, идти в ногу с IT-отраслью и развивать ее, а не тормозить это развитие.

ИБ — это всегда баланс между удобством и безопасностью. Мы должны его искать. В противном случае есть риск создать ситуацию, при которой бизнес перестанет развиваться.

Директор по инновационным проектам InfoWatch

Киберсуверенитет: вклад открытого кода

Больше года назад образовался вакуум в сфере критически важных решений для стабильности информационной инфраструктуры. Обнулился или серьезно снизился уровень поддержки сотен продуктов — от межсетевых экранов до ERP-систем. В этой ситуации необходимость перехода на решения с открытым исходным кодом (FOSS) казалась очевидной, но для многих крупных корпоративных заказчиков их внедрение до сих пор является сложной задачей. Приемлемой альтернативой стало развертывание коммерческих открытых решений (COSS), и в рамках этой парадигмы реализованы сотни проектов. В формате круглого стола эксперты обсудили успешные и неудачные кейсы внедрения FOSS и COSS в инфраструктуры крупных корпоративных заказчиков.

Кирилл Севергин, руководитель центра компетенций по управлению данными «АЛРОСА», поделился:

Для нас важно, насколько комплексную услугу мы получаем. Я вижу, что рынок развивается в этом направлении, мы с коллегами в диалоге. Еще есть возможность ошибиться. Надо пробовать, общаться с разными вендорами, на собственных примерах улучшать их сервисы.

Руководитель центра компетенций по управлению данными «АЛРОСА»

Иван Панченко, заместитель генерального директора Postgres Professional, отметил:

Бытует ошибочное мнение, что можно взять свободный софт и использовать его. Опенсорс — это не про готовые решения, а про консалтинг, поддержку и экспертизу. Вы либо покупаете экспертизу (продукт со всей обвязкой), либо сами участвуете в разработке и становитесь экспертом. Опенсорс — это культурный слой, в котором еще нужно разобраться. Ушедший год был годом срывания масок. Одно время казалось стыдным использовать открытый код, сейчас же это стало нормальным явлением. Стартовало много проектов, интерес к таким решениям кратно увеличился. Появилось много открытого кода в продуктах команд, занимающихся системной разработкой. Люди поменяли отношение к опенсорсу, и он пошел глубоко в IT.

Заместитель генерального директора Postgres Professional

Рождение легенды

Ближе к вечеру первого дня Денис Кораблев, управляющий директор Positive Technologies, переместившись в шатер «Кибербашня», рассказал о создании PT NGFW.

Межсетевой экран нового поколения — продукт, относящийся к двум нишам. С одной стороны, это решение для ИБ, так как оно должно ловить злоумышленников. С другой — это IT-продукт: он отвечает за разграничение доступа и должен быть отказоустойчивым, не мешать работе инфраструктуры, а также не разрывать соединения. Ни первые, ни вторые знания нельзя получить за пять минут, их невозможно купить и очень сложно наработать. Positive Technologies уже создала продукты и сервисы, лидирующие в каждой из этих ниш, и накопила колоссальный опыт защиты ключевых ресурсов. Мы понимаем, как сделать отказоустойчивость "пять девяток", точно знаем, как создать качественный NGFW, и имеем фундаментальные технологии для этого.

Управляющий директор Positive Technologies

Денис обратил внимание участников форума на ключевое отличие экспертизы Positive Technologies от экспертизы как коммерческих SOC, так и других игроков рынка, разрабатывающих или уже создавших NGFW. По его словам, коммерческие SOC, как правило, покрывают компании защитой в ширину и обнаруживают только типовые атаки.

Наши специалисты проактивно работают со всеми атаками, которые теоретически могут реализовать злоумышленники. Для этого мы проводим фундаментальные исследования, результаты которых вкладываем в свои продукты.

Управляющий директор Positive Technologies

О том, как Positive Technologies разрабатывает свой NGFW, компания регулярно рассказывает в реалити-шоу «PT NGFW за стеклом». Цель проекта — совместно с сообществом создать средство защиты, который устроит отечественных пользователей.

Мы понимаем, что не можем агрегировать в себе экспертизу всего рынка. Мы также хотим показывать, как строим PT NGFW, получать фидбэк от комьюнити о каждом этапе разработки и при необходимости корректировать план развития продукта.

Управляющий директор Positive Technologies

Участникам PHDays представили демоверсию PT NGFW. В первой версии разработчик сконцентрировался на том, чтобы сделать файрвол максимально незаметным для конечного пользователя и решить задачу разграничения доступа к сервисам и приложениям.

Ничего, основанного на существующих опенсорсных решениях, в PT NGFW нет. Мы создаем собственный сетевой стек.

Управляющий директор Positive Technologies

Территория безопасности: ChatGPT в кибербезопасности

Искусственный интеллект, в том числе умные помощники нового поколения, повлиял практически на все сферы IT, включая ИБ. Продолжают оставаться горячими темы блокчейна и криптовалюты. В шатре «Будущее уже здесь» на треке AI обсуждали применение ИИ и машинного обучения (ML) в информационной безопасности, а также безопасность блокчейна. Максим Мухортов (NtechLab) осветил вопрос атак на системы биометрического предъявления и распознавания присутствия: от сбора данных до релиза.

В свою очередь, Артем Семенов (RTM Group) представил 20 нестандартных вариантов применения ChatGPT в кибербезопасности. ChatGPT облегчает работу специалистов по машинному обучению в ИБ: он позволяет решить ряд сложных задач, на выполнение которых потребовалось бы множество времени. По мнению эксперта, ChatGPT версий 3.5–4 является наиболее производительной и доступной LLM-моделью, к тому же имеющей собственный API. Этот продукт может генерировать дорки (набор запросов для выявления дыр в системах безопасности) не только для Google, но и для других сервисов (например, Яндекс, GitHub). Кроме того, языковой помощник можно использовать для создания запросов к Shodan, Twitter, Kibana и другим ресурсам; например, можно попросить сгенерировать запрос для поиска людей 28 лет, проживающих в России. По словам эксперта, существует также большое количество анализаторов кода, работающих на базе ChatGPT, но некоторые из них могут выдавать ложные срабатывания из-за неоднородности данных.

Не обошли тему машинного обучения и спикеры, выступавшие в шатре «Конструкторское бюро» (трек Development). Докладчики рассказывали про подходы в разработке, которые помогают уже на этом этапе снизить риски взлома, и поделились методами снижения затрат на архитектуру сервисов. Были затронуты и способы защиты от санкций открытых проектов на GitHub. Дмитрий Шмойлов («Лаборатория Касперского») поднял тему безопасности цепи поставок. Артем Проничев и Николай Лыфенко (Positive Technologies) рассказали, как в Positive Technologies внедряют ML, Алексей Хорошилов (ИСП РАН) поделился опытом тестирования и верификации ядра Linux, а Наталья Бессонова («Центр биометрических технологий») затронула темы импортозамещения для испытаний в биометрии и возможности построить свой NIST.

В шатре с говорящим названием «Зал боевых искусств» обсуждали тему offensive security (трек Offense). Это направление в ИБ, которое в том числе тестирует защищенность систем на реальных примерах или в симуляциях и ищет уязвимости. Эксперты делились своими исследованиями и рассказывали о методах проверки систем безопасности, в том числе через сбор данных в открытых источниках (OSINT), геопространственную разведку (GEOINT) и новые виды фишинговых атак. Так, эксперты CyberOK (Сергей Гордейчик, Александр Гурин, Игорь Первушин) выступили с докладом «Интернет-картография в 2023 году. Чего не может Shodan». Александр Коротин (Kaspersky) представил исследование «Компрометация сети через средства резервного копирования». Алиса Шевченко (Zero Day Engineering) рассказала о современных атаках на Google Chrome, а специалисты Schwarz Osint — о геопространственной разведке.

Противоположный подход препарировали в шатре «Школа самообороны» (трек Defense). Спикеры делились идеями и прикладными инструментами защиты из области defensive security — направления в ИБ, которое в том числе занимается расследованием инцидентов и защитой систем с помощью специального ПО и разработки правил безопасности. В частности, эксперты рассказали о нетривиальных уязвимостях и местах сбора данных и актуальных методах защиты, в том числе с использованием машинного обучения. Сергей Голованов (Kaspersky) и Евгений Волошин (BI.ZONE) представили доклад «Долгие атаки», а Дмитрий Махаев («Ростелеком-Солар») рассказал, чем киберразведка отличается от «пробива», OSINT и HUMINT.

В «Техношатре» (треки Fast Track, Community и Blockchain) в эти два дня проходят короткие доклады длительностью до 15 минут. Спикеры делятся экспертизой по широкому кругу вопросов: безопасность VPN, технологии уэйлинга, защита от веб-шеллов, польза открытого плагина VSCode-XP, фейковые утечки и многое другое. Здесь же проходят выступления и воркшопы Security Experts Community. В «Техношатре» Константин Евдокимов (MIS Team) выступил с докладом «Заблокируй меня полностью, или Не все VPN одинаково полезны», а Елизавета Рыженкова (BI.ZONE) рассказала, как собрать данные раньше злоумышленника. В свою очередь, Даниил Иванькин разъяснил ситуацию с анонимностью случайных Telegram-номеров, а Мария Вацет (Bored Consortium) — мифы о метавселенных.

PHDays 12 — киберфестиваль не только про безопасность. На площадке мероприятия проходит конференция Moscow Python Conf++ (в одноименном шатре, трек Python Conf++), на которой собрались более 500 Python-разработчиков со всей России и представителей крупных компаний. Цель мероприятия — обмен опытом и идеями по применению одного из самых известных и быстрорастущих языков программирования последнего десятилетия. Впрочем несколько докладов также касались безопасности. Например, Алсу Нурутдинова и Игорь Кабанов представили исследование «Извлечение метрик из новостей, или Как мы автоматизировали работу аналитиков безопасности».

Сегодня в мире не хватает свыше 750 тыс. специалистов по ИБ, а спрос на них только растет. В шатре CTF расположена специальная зона для соревнований студентов профильных вузов, где начинающие специалисты могут проявить себя, получить ценные призы, а кто-то — найти будущего работодателя.

Кибербитва Standoff

Большинство взглядов в дни киберфестиваля направлены на шатер, где проходит битва Standoff (трек «Студия Standoff»), в ходе которой специалисты по ИБ из разных стран мира показывают, как действия хакеров могут нанести непоправимый ущерб гражданам, компаниям и даже целым отраслям экономики. В битве участвуют 22 красные команды этичных хакеров, которые ищут способы нарушить работу различных структур виртуального Государства F, и 7 синих команд защиты. Победители среди команд атакующих получат денежный приз, брендированные сувениры и уникальный трофей — красно-синий кубок. К концу первого дня киберфестиваля и третьего дня Standoff с огромным преимуществом лидировал коллектив Codeby, участвующий в PHDays уже много лет подряд.

За два дня кибербитвы в Государстве F (она началась 17 мая) недопустимые события реализованы 73 раза. Во второй день жюри приняло 54 отчета о реализации недопустимых событий; 21 событие было уникальным, например оплата товаров с чужих счетов по QR-кодам и остановка колеса обозрения в парке аттракционов.

Командам атакующих удалось реализовать недопустимые события во всех сегментах виртуального государства. Наибольшее количество атак было направлено на электроэнергетические системы. Утечки персональных данных сотрудников и распространение вирусов-шифровальщиков стали самыми популярными недопустимыми событиями: атакующие смогли осуществить их 11 и 6 раз соответственно.

Так, команда True0xA3 реализовала первое межотраслевое недопустимое событие: участники нарушили работу линий электропередачи, питающих завод «МеталлиКО», что вызвало его аварийную остановку. Кроме того, команды «ДРТ & ℭult» и Codeby получили доступ к системе автоматического управления гидроагрегатом ГЭС и нарушили его работу. Команда True0xA3 смогла подключиться к линии между концентратором и счетчиком и отключить потребителей от электросети. Банковский сектор столкнулся с мошенничеством с карточным процессингом, которое удалось реализовать команде EvilBunnyWrote, а Bulba Hackers провели денежную операцию от лица кассира. Команда Codeby вмешалась в системы управления портальным краном (в порту Heavy Logistics) и обрушила перевозимый им груз. А в начале игрового дня атакующие Х нарушили работу центрифуги на заводе по обогащению урановой руды.

Во второй день кибербитвы команды прислали 51 отчет о выявленных уязвимостях, 86% из них — критического и высокого уровня опасности. Чаще всего выявлялись уязвимости, связанные с удаленным выполнением кода (Remote Code Execution, RCE).

За два дня жюри приняли более 200 отчетов о выявленных инцидентах от команд защитников. Наибольшее количество отчетов было получено от защитников сегментов УК City (Your shell not pass) и Tube (GISCYBERTEAM). Чаще всего активность атакующих выявляли такие средства защиты и мониторинга, как MaxPatrol SIEM, PT Sandbox и PT NAD.

За второй день защитники расследовали 11 реализаций недопустимых событий. Большая часть отчетов касалась утечек конфиденциальной информации, а команде BIGBRO удалось расследовать инцидент с выводом денег с украденных банковских карт.

Киберфестиваль онлайн

Весь первый день в режиме нон-стоп работала эфирная студия киберфестиваля (трек «Эфирная студия»). Мероприятие открылось приветственным словом Сергея Щербакова, помощника заместителя председателя правительства Российской Федерации Дмитрия Чернышенко.

Сейчас тема информационной безопасности особенно актуальна. Сменился вектор кибератак. За последний год мы увидели потерю интереса злоумышленников к банковской сфере, что компенсировалось резким ростом количества атак на критическую инфраструктуру, связь и СМИ. С начала эскалации международной обстановки резко выросло число угроз на критическую и информационную инфраструктуры нашей страны. Правительством были приняты первоочередные меры, а также ускорены плановые инициативы для защиты в этих новых условиях. По оценкам экспертов, в 2023–2025 годах основным трендом станут скоординированные наступательные операции, такие как атаки на промышленность и критическую инфраструктуру, сложные для выявления новые способы и векторы атак, атаки на средства и архитектуры ИБ. Очевидно, что реализация защиты старыми средствами становится невозможной. Как писал в своем известном трактате Сунь-цзы, высшее преимущество на войне — не напасть на врага, а разрушить его планы. Поэтому проактивная защита крайне важна. Ответственность за разработку новых подходов кибербеза ложится на специалистов по ИБ, энтузиастов — на тех, кто на переднем краю обороны защищает IT-инфраструктуру Российской Федерации.

Помощник заместителя председателя правительства Российской Федерации Дмитрия Чернышенко

Далее в течение нескольких часов эксперты в эфире делились информацией по широкому кругу злободневных вопросов. Например, слушатели узнали, какими должны быть идеальные киберучения и правильный киберполигон. Проблематику защиты индустриальных систем затронули Дмитрий Авраменко, руководитель отдела кибербезопасности АСУ ТП Innostage, и Евгений Орлов, руководитель направления информационной безопасности промышленных систем Positive Technologies.

Цифровизация проникает не только в корпоративные, но и в технологические сети. Предприятия все чаще внедряют вспомогательное ПО, имеющее доступ во внешнюю сеть: системы оптимизации в реальном времени или усовершенствованного управления. В наших проектах за последние три года мы крайне редко видели, что технологические системы остаются локальными; грань между технологическими и корпоративными сетями стирается.

Руководитель отдела кибербезопасности АСУ ТП Innostage

По словам Евгения Орлова, на производственных площадках нередко отсутствует какое-либо сегментирование и все работает в одной куче: сервера АСУ ТП, контроллеры и даже принтеры. Для выявления угроз, по словам выступающих, требуется полная видимость сети и критических инцидентов. Спикеры рассказали, в частности, о популярной проблеме в отрасли, когда команды внедрения АСУ ТП, устанавливая серверы на многочисленных промышленных объектах, передают друг другу листочки с паролями. Это может приводить к атакам через поставщиков, что, по прогнозам Евгения Орлова, станет трендом среди атак на технологические сети в этом году. Такие угрозы крайне опасны, так как они начинаются внутри сети.

Эксперты продемонстрировали защищенную систему АСУ ТП, работающую практически целиком на отечественных компонентах. Представленная установка предварительной подготовки газа работает на базе российского контроллера Fastwell, отечественной SCADA-системы MasterSCADA на Astra Linux и инженерных станций на Windows. Защищает эту систему платформа PT ICS компании Positive Technologies. Выступающие продемонстрировали различные сценарии атак на технологическую сеть, а также способы мониторинга и предотвращения атак с помощью PT ICS.

Результативная кибербезопасность прошла красной нитью и через темы онлайн-эфиров. Например, эксперты обсудили готовность российских компаний к использованию этого подхода к защите. Эльман Бейбутов, директор по развитию продуктового бизнеса Positive Technologies, обсудил тему результативной кибербезопасности с гостями в эфирной студии PHDays 12.

Директор департамента информационной безопасности ПАО «Московский кредитный банк» Вячеслав Касимов считает, что бизнес уже сейчас ориентируется в кибербезопасности на результат.

Глобально бизнесу не очень важно, что именно мы делаем. Бизнесу важен результат, который позволит реализовать планы в условиях отсутствия деструктивных внешних воздействий, влияющих на финансовый результат и влекущих возможные денежные потери.

Директор департамента информационной безопасности ПАО «Московский кредитный банк»

Начальник управления ИБ «Северсталь Менеджмент» Сергей Гусев отметил, что, несмотря на зрелость компаний и общий рост рынка, ему по-прежнему бывает нелегко доносить до интеграторов важность ориентированности на результат. Однако, по словам эксперта, эти вопросы решаются в рамках индивидуальных договоренностей.

Судя по всему, мы реально переходим от процесса обеспечения информационной безопасности к результату, который ждут на уровне топ-менеджмента. Более того, CISO уже сейчас прекрасно доносят важность результата до исполнителей проектов.

Директор по развитию продуктового бизнеса Positive Technologies

Также эксперты поговорили онлайн об автоматизации в ИБ и необходимых для ее обеспечения решениях. Михаил Стюгин, руководитель направления автоматизации информационной безопасности Positive Technologies, рассказал, что его компания проработала много метрик, по которым можно измерить работу оператора SOC.

Мы выяснили, что 80% действий, по сути, бесполезный труд, который приводит к выгоранию и ошибкам, тогда как его можно автоматизировать.

Руководитель направления автоматизации информационной безопасности Positive Technologies
При тех задачах, которые перед нами стоят, без автоматизации, без вспомогательных продуктов мы просто "не вывезем". При этом мы никого не заменяем, а позволяем облегчить специалистам работу и добиться более качественного результата.

Директор по кибербезопасности Rambler&Co
Учитывая постоянный кадровый голод в области IT, а он есть, автоматизация в ИБ позволит имеющимся экспертам делать свою работу на новом уровне качества.

Руководитель департамента ведения информационных ресурсов и баз данных Центра цифровой трансформации в сфере АПК Министерства сельского хозяйства РФ

Кибергород для всех

На площадке для широкой аудитории со свободным доступом были построены футуристические инсталляции в стиле киберпанк, которые помогают посетителям узнать об основных источниках киберугроз. Там же проходит квест с ценными призами: познавательные задания помогут любому желающему научиться отражать кибератаки. В шатре «Научпоп» (трек «Научпоп») эксперты ведущих компаний рассказывают о работе цифровых сервисов и способах защиты в онлайне. Гости «Научпопа» — этичные хакеры, руководители и представители популярных сервисов, блогеры и инфлюенсеры.

Так, вице-президент, директор департамента информационной безопасности «Тинькофф» Дмитрий Гадарь и заместитель директора департамента информационной безопасности Росбанка Александр Кондратенко вместе с коллегами рассказали, как сохранить свои деньги в онлайне. Дмитрий Гадарь отметил, что физический мир не имеет особых преимуществ перед онлайном, если, конечно, выбирать правильные сервисы. Он привел следующий пример: злоумышленники могут подойти на улице, связать человека и заставить его сказать, где находятся его деньги. Для сравнения, в случае с похищением франчайзера «Додо Пицца» в 2019 году злоумышленникам, державшим бизнесмена в заложниках, по словам Дмитрия Гадаря, не удалось вывести деньги из банка «Тинькофф». ИИ внутри системы антифрода, проанализировав множество параметров, не позволил совершить операции. Дмитрий Гадарь также сообщил, что защищенность клиента Тинькофф Банка повышается в два раза при использовании сим-карты Тинькофф Мобайл.

Мы заранее видим звонки с подозрительных номеров, понимаем возможность атаки, поэтому до того, как клиент совершит транзакции в адрес мошенника, система берет их под особый контроль.

Вице-президент, директор департамента информационной безопасности Тинькофф-банк

Эксперт также заявил, что мобильный банкинг чуть более защищен, нежели интернет-банкинг, так как в приложении есть геопозиционирование. К примеру, человек совершает транзакции в баре, затем оплачивает такси, а чуть позже начинаются транзакции на неспецифичные счета. Антифрод-система видит всю подобную цепочку и может заблокировать транзакции.

Тем не менее при соблюдении простых правил безопасности можно защищенно пользоваться обоими видами банкинга.

Вице-президент, директор департамента информационной безопасности Тинькофф-банк

В свою очередь, Александр Кондратенко (Росбанк) отметил, что методы сохранения денег под подушкой или в онлайне в целом схожи: люди, как правило, не вешают ключ от двери на наружной стене дома. Точно так же нельзя приклеивать листочки с паролями или оставлять в публичных местах телефон, к которому привязана двухфакторная аутентификация. По словам эксперта, риск кражи денег есть и в онлайне, и в физическом мире — вопрос в том, как вы управляете деньгами и соблюдаете правила безопасности.

Традиционно популярным также было выступление Андрея Масаловича (АО «Инфорус») на тему поиска информации о человеке по открытым источникам. Всего состоялось около 20 выступлений. Продолжение этого трека — 20 мая. В частности, Валентин Малых (Huawei) представит доклад «Тот самый ChatGPT».

Соорганизатором PHDays и Standoff уже третий год выступает IT-компания Innostage, разработчик и интегратор сервисов и решений в области цифровой безопасности. Бизнес-партнерами фестиваля стали разработчик решений для информационной безопасности Security Vision, национальный провайдер сервисов и технологий ИБ «Ростелеком-Солар» и один из крупнейших универсальных банков России Газпромбанк. Генеральный медиапартнер мероприятия — компания VK, а генеральный информационный партнер — Rambler&Co. Информационным партнером деловой части фестиваля стала группа компаний «РБК». Технологический партнер — «Азбука вкуса». Партнеры PHDays 12 и участники выставки — компании Axoft, Fortis, F+ tech, «ICL Cистемные технологии», InfoWatch, MONT, OCS Distribution, UserGate, «Инфосистемы Джет», «Стахановец». Партнеры — ARinteg, Platformix, Росбанк и «УЦСБ». Участник выставки и Standoff — «Газинформсервис».