Первый день PHDays 11: тектонический сдвиг кибербеза, эра INdependence, Максут Шадаев и Мария Захарова на площадке

Стартовал крупнейший в Европе международный форум по практической безопасности Positive Hack Days 11. Сквозная тема этого года — вход в эру INdependence. Программа форума — это плотный поток из десятков докладов, секций и круглых столов по информационной безопасности; всего запланировано около 100 выступлений. Одновременно с форумом с понедельника проходит и самая масштабная в мире открытая кибербитва The Standoff: главной ее темой стал эффект бабочки — зрители и участники битвы могут узнать, как реализация недопустимого события в одной отрасли может повлиять на другие и государство в целом.

Напомним, что на площадке в Москве построено виртуальное Государство F с тремя отраслями — черная металлургия, электроэнергетика, нефтяная промышленность. Каждая из них имеет внутри взаимосвязанные объекты — от добычи до поставки ресурсов конечным потребителям. Также в экономике Государства F представлено и несколько других сегментов (транспорт, банковская система и ЖКХ), каждый из которых тоже состоит из набора объектов. Почти 160 исследователей безопасности собрались, чтобы найти слабые места в защите этих объектов, управляемых системами из реальной жизни. Атакующие ищут уязвимости и пытаются реализовать недопустимые события, например, вызвать коллапс в аэропорту или остановить работу нефтезавода.

 

За третий день киберучений произошло 28 недопустимых событий в пяти компаниях. Из них уникальных — 18, а новых, то есть в первый раз реализованных за все время киберучений, — 15. Больше всего пострадал сегмент нефтегазовой компании Tube: командам атакующих удалось дважды распространить в IT-инфраструктуре компании вирус-шифровальщик и вмешаться в работу нефтеперерабатывающего завода.

 

Команда Codeby, например, изменила параметры ректификационной колонны, из-за чего произошло ее захлебывание. В итоге нефтеперерабатывающий завод стал производить некондиционный продукт, который нельзя реализовать.

 

Этой же команде атакующих удалось произвести крупнейшую атаку — парализовать работу нефтепродуктопровода. Была остановлена перекачка топлива в аэропорт, поскольку авиационный керосин поставляется через этот нефтепродуктопровод. Так как остатки топлива быстро иссякли, были отменены многие транзитные рейсы. Аналогичный случай, к слову, произошел в Америке летом 2021 года с нефтепродуктопроводом Colonial Pipeline.

 

В свою очередь, атакующие из команды True0xA3 нарушили процессы обессоливания и обезвоживания нефти, что привело к коррозии агрегатов и трубопроводов. А чуть позже они подменили значение пропорций водонефтяной смеси, сбив настройки датчиков концентрации воды и соли.

 

Отрасль электроэнергетики также не осталась без внимания "красных": Baguette2Pain и Codeby распространили по сети компании вирус-шифровальщик. Команда Baguette2Pain ответственна еще и за утечку конфиденциальной информации — базы данных потребителей.

 

Первое недопустимое событие в УК City также связано с утечкой персональных данных, но в этом случае данные принадлежали офисным сотрудникам. Реализовать это событие удалось команде Invuls.

 

Минцифры на форуме

 

Уже второй раз Positive Hack Days посетил Максут Шадаев, министр цифрового развития, связи и массовых коммуникаций Российской Федерации. Вместе с заместителем директора по развитию бизнеса Positive Technologies Борисом Симисом они обсудили вопросы импортозамещения в сфере ИБ, возможности российского технологического рынка, а также законодательные инициативы по поддержке IT-компаний в России.

Министр поделился мнением о том, как безопасникам следует говорить об угрозах и кибербезопасности с высшим руководством компаний на понятном языке, о важности постоянного поиска уязвимостей в инфраструктуре компаний специализированными командами. Глава Минцифры также подчеркнул, что для развития цифровых технологий в России есть все возможности, для IT-бизнеса есть рынок, а государство поможет компаниям-разработчикам.

 

"Отсутствие инцидентов — показатель работающей кибербезопасности. Когда функционируют цифровые сервисы, их должно быть видно. В случае работающей кибербезопасности все с точностью до наоборот", — отметил Максут Шадаев.

 

"Постоянный поиск уязвимостей специализированными командами — правильная практика, которая должна стать гигиеническим минимумом при построении информационной безопасности в любой компании", — добавил министр.

 

Мария Захарова о цензурировании и протекционизме

 

Впервые форум посетила директор департамента информации и печати, официальный представитель МИД России Мария Захарова. В эфирной студии форума она затронула тему цифровой независимости и цифрового суверенитета России. По словам Марии Захаровой, информационный рынок стал настолько глобальным, а скорость появления информации столь стремительной, что это вызвало своего рода обратный эффект, и человек стал, с одной стороны, с трудом воспринимать этот поток, а с другой — перестал доверять технологиям и информации. Этот обратный эффект стал особо заметен на фоне усиливающейся цензуры со стороны крупнейших западных корпораций.

"Мы наблюдаем сегментирование интернета, инициаторами которого выступают не государства, а те, кто создавал эту цифровую среду. Они начали своего рода обратную политику от свободы к ограничению в виде модерирования и прямого цензурирования", — заявила Мария Захарова.

 

Представитель МИД России также подчеркнула необходимость создания в стране своих цифровых продуктов и решений, чтобы в числе прочего быть свободными от модерирования и цензурирования со стороны отдельных государств и даже людей, регулирование при этом должно носить международный правовой характер.

 

"Нужно прекратить протекционизм и лоббирование в отношении западных цифровых продуктов, долгое время доминировавших на российском рынке. Для этого есть политическая воля, желание и возможности", — отметила Мария Захарова.

 

(Не)безопасность больших данных

 

Обеспечение безопасности больших данных должно быть одним из ключевых приоритетов любой компании, считает тимлид Digital Security и пентестер Вадим Шелест. Он познакомил участников форума с типичными ошибками администрирования, ошибками конфигурации и уязвимостями Hadoop-кластеров и его компонентов. Распределенная файловая система Hadoop — один из основных инструментов, используемых для анализа bidata. Это целая экосистема, состоящая из более чем 40 элементов: хранилищ и озер данных, компонентов для конфигурации и управления кластером (например, Hue и Apache ZooKeeper), инструментов обработки информации (Yarn, Apache Spark и других). Ошибки конфигурации позволяют злоумышленникам получить доступ к внутренней инфраструктуре Hadoop.

"Например, у Sparky есть забавный скрипт Dump Clouds Creds, позволяющий атакующим получить доступ во внутреннюю инфраструктуру компаний в облаках с помощью учетных данных. Необходимые данные можно прочитать из метаданных (meta-data) и пользовательских данных (user-data) таких сервисов, как AWS и DigitalOcean. Все, что для этого требуется, — значения AccessKey, SecretAccessKey и, если речь идет об Amazon, токен", — рассказал Вадим Шелест.

 

Тектонический сдвиг российского кибербеза

 

Владимир Дрюков, директор центра мониторинга и реагирования на кибератаки Solar JSOC компании "Ростелеком-Солар", сравнил текущую ситуацию на российском рынке ИБ с игрой в шахматы, когда ферзь, ладья и другие сильные фигуры вдруг исчезли с доски защищающейся стороны. И эти фигуры надо спешно заменить, одновременно пытаясь какими-то способами увидеть атаки и отбить их пешками.

 

"Но есть и положительные моменты, — подчеркнул Владимир Дрюков. — Компании, которые я всегда считал ключевыми конкурентами, как и другие игроки на рынке ИБ, после 24 февраля объединились и вместе стали бороться с новыми угрозами, обмениваясь информацией — по TI, по утечкам, по поставкам ПО. Крайне важно, чтобы информация по атакам не окуклись внутри заказчика, а была донесена до сообщества — через НКЦИ, ФСТЭК и все доступные возможности".

 

Директор департамента обеспечения кибербезопасности Минцифры Владимир Бенгин рассказал, что в нашей стране впервые получилось скоординировать усилия участников отрасли ИБ на таком уровне. Частные и государственные компании сражаются с угрозами каждый день и пользуются всеми возможными инструментами, доступными коллективному безопаснику.

 

"У нас, например, быстро появилась услуга, которой может воспользоваться любая компания, если видит, что ее ресурсы не выдерживают нагрузки: в первый месяц по запросу владельца ресурса мы очень активно отключали входящий зарубежный трафик. Мы также связываемся с компаниями, узнаем, актуальна ли для нее сейчас угроза, и по возможности снимаем запрет на зарубежный трафик. И это взаимодействие происходит постоянно", — рассказал Владимир Бенгин.

 

Касательно указа президента Российской Федерации от 1 мая № 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации", Владимир Бенгин отметил, что российский софт сейчас под микроскопом у хакеров и крайне важно, чтобы разработчики ответственно подходили к исправлению уязвимостей. И если обнаружена уязвимость, которая требует срочного исправления, нельзя молчать и бояться наказаний — нужно бежать и исправлять.

 

"Напомню, что согласно этому указу, информационная безопасность сегодня в фокусе внимания руководства страны, и руководители компаний, в ведении которой находится объект критической инфраструктуры, лично отвечают за те последствия, которые могут произойти", — подчеркнул Владимир Бенгин. Как объяснил спикер, в руководстве компаний также должен быть человек, ответственный за ИБ — и отвечает он не просто за выполнение требований, а за отсутствие инцидентов. В этой связи и полномочия у таких людей должны быть расширены.

 

Как обнаружить 95% атак, зная лишь 5% техник

 

Руководитель лаборатории цифровой криминалистики и исследования вредоносного кода Group-IB Олег Скулкин проанализировал на основе реальных сценариев атак 10 самых популярных техник, которые используют почти все злоумышленники разного уровня квалификации. Он рассказал, как детектировать вредоносную активность при атаках на корпоративные сети на этапе между получением первоначального доступа и наступлением негативных последствий, когда средства защиты не справились.

В топ-10 техниккоторые очень часто встречаются на разных этапах атаквошли такие техникикак PowerShell, Scheduled Task, Service Execution, Registry Run Keys, Disable or Modify Tools, Rundll32, OS Credential Dumping, Remote System Discovery, Remote Desktop Protocol, SMB/Windows Admin Shares. Олег Скулкин пояснил: "Это список был составлен практически полностью на основе реконструированных инцидентов, которые расследовали мы. Данные техники часто пересекаются. Половина или даже две трети из топ-10 техник постоянно, из атаки в атаку, вне зависимости от ее сложности, будут повторяться".

 

"В жизненном цикле атаки может быть много всего, но есть компоненты, которые сравнительно постоянны, по крайней мере, некоторые из них точно. Это видно на огромном количестве примеров из расследований инцидентов. В каждой атаке есть определенный набор техник, которые абсолютно легко детектируются. Мы можем это использовать даже в том случае, если у нас нет покрытия, есть антивирус, файрвол, и больше ничего нет. Даже на основе таких данных мы можем определить, есть ли у нас какие-то индикаторы компрометации или нет", — сказал исследователь.

 

Еще раз про импортозамещение

 

В ИБ процесс импортозамещения начался задолго до событий последних трех месяцев, полагает Вячеслав Бархатов, генеральный директор Axoft Global. "Многие решения, продукты существовали, но работали у единиц заказчиков. Сейчас эти продукты, которые словно ждали своего часа, выходят на поверхность и неизбежно будут завоевывать рынок", — подчеркнул спикер.

 

Максим Филиппов, директор по развитию бизнеса Positive Technologies, отметил, что заказчики Positive Technologies формируют целые программы по замещению продуктов. Правда, по его словам, у текущей ситуации с ускоренным импортозамещением есть два риска: возможные сокращение бюджетов у заказчика и отсутствие аппаратных платформ.

 

По мнению Айдара Гузаирова, история с недоверием к западным производителям может вылиться в своеобразный двусторонний железный занавес, ситуацию, при которой не только иностранные вендоры сворачивают бизнес, но и заказчики не будут стремиться вернуть отношения с зарубежными партнерами.

 

Про технологическую независимость

 

Предметом панельной дискуссии "Обеспечение технологической независимости" стал вопрос — чего не хватает российской индустрии кибербезопасности для полного импортозамещения?

 

Александр Бондаренко, генеральный директор компании R-Vision, отметил, что уход иностранных вендоров ИБ резко повысил интерес к продукции российских производителей. Вторая тенденция — зависимость от железа, которое в итоге влияет на производителей ПО. Многие проекты тормозятся, так как для развертывания ПО нужны мощности.

 

"Вопрос с железом довольно острый. Мы тоже столкнулись с задержками по поставкам серверов и другого оборудования. Критической ситуации нет, но увеличились сроки, хотя свои обязательства по срокам и количеству оборудования мы стараемся выполнять, и партнеры-поставщики идут нам навстречу", — рассказал директор по продажам и развитию бизнеса компании "КриптоПро" Павел Луцик.

 

"Нынешняя ситуация дала значительный толчок в развитии российским разработчикам. При этом отечественные продукты активно развиваются, в них появляются технологии, которых еще полгода назад не было", — прокомментировал сложившуюся ситуацию руководитель отдела инфокоммуникационных решений ГК Innostage Сергей Кикило.

 

Менее оптимистичен был директор центра комплексных проектов направления "Solar Интеграция" компании "РТК-Солар" Николай Белобров. "Более 80% решений в нашем портфеле — это отечественное ПО. По экосистемам, по незаметности для пользователей наше ПО пока отстает. Государству не стоит решать эти проблемы, в том числе и с оборудованием, наспех, заниматься "востокозамещением" западных решений. Возможно, следует искать свой путь, чтобы в дальнейшем мы были конкурентоспособны как в области ПО, так и в элементной базе — создании совместных предприятий полного цикла, специальных инвестиционных зон и прочего", — считает Николай Белобров.

 

Секция "Без третьих лишних: защита supply chain"

 

В секции, посвященной защите цепочек поставок, Владимир Дрюков, директор центра мониторинга и реагирования на кибератаки Solar JSOC компании "Ростелеком-Солар", напомнил о ситуации, когда в начале нынешних геополитических событий на страницах различных СМИ появились заголовки, которые администраторы этих СМИ не размещали. Далее похожая ситуация с встраиванием контента возникла с государственными организациями: атакующими были использованы счетчики внешнего поставщика.

 

Своим опытом по этому вопросу поделился Павел Куликов (CTO "СДЭК"), рассказав, что "СДЭК" на внешних сервисах использовала счетчики в неавторизованной зоне, которые не имели доступа к внутренней логике, а счетчики для внутренних сервисов были написаны самостоятельно (система "Экспресс Курьер"). "От услуг компании Google мы в итоге отказываемся, меняя их на сервисы Яндекса. В частности, с помощью их решений строим тепловые карты использования нашего сайта", — отметил Павел Куликов.

 

Над защитой supply chain работают и в Astra Linux. "У нас используются разнообразные средства контроля кода. Мы идем на сертификацию по первому уровню доверия, поэтому используем все современные средства контроля кода: фаззинг-тестирование, статический и динамический анализ, анализ помеченных данных, смотрим в сторону статистического анализа контроля кода и так далее. Мы заказываем проверку кода у сторонних организаций, особенно критически важных компонентов. Второй момент связан с механизмами контроля целостности, которые уже внедрены в операционную систему. Этот механизм позволяет нам избежать подмены кода и помочь с доставкой приложений нашим партнерам", — рассказал директор по инновациям ГК Astra Linux Роман Мылицын.

 

"Проблема надежности цепочки поставок — общемировая. И сейчас у Google c Microsoft есть открытая инициатива по оценке, ранжированию и проверке ключевых проектов на GitHub. Перед всем миром встает вопрос вычленения ключевых компонентов, от которых зависит ряд технологий, чтобы этим технологиям уделить серьезное внимание", — рассказал директор по инновациям ГК Astra Linux Роман Мылицын.

 

Development

 

Павел Куликов (CISO "СДЭК") выступил также с докладом "Security champions: история вовлечения". Термин security champion означает человека внутри команды разработки, заинтересованного в повышении безопасности продукта. Этот же человек является связующим звеном со службой ИБ. "С 24 февраля стали ломать все крупные компании, в том числе и нас. При этом наши специалисты полагают, что хактивистам помогали западные компании, потому что многие уязвимости и способы атак не наблюдали в публичных уведомлениях", — сказал Павел Куликов.

 

В рамках этой же секции независимый исследователь Илья Шаров представил доклад "Самооценка зрелости направлений и процессов AppSec". Он затронул, в частности, подход OWASP SAMM, а также преимущества и недостатки различных методов самооценки.

 

Второй и последний день форума состоится 19 мая. Одновременно завершится кибербитва The Standoff. 

Туристский информационный центр решил выяснить, что жители Самарской области думают о туристической привлекательности нашего региона. Приглашаем к участию в опросе.

Что поможет привлекать гораздо больше туристов в Самарскую область?

архив опросов

Последние комментарии

Фахратдин Сабир-Оглы 13 марта 2024 13:14 В России могут ввести прогрессивную систему налогообложения

«КОГДА КАЗНА ГОРОЙ, ТО И ЦАРЬ ГЕРОЙ ИЛИ В КАЗНЕ ХОЛОДНО - В НАРОДЕ ГОЛОДНО» Россия отличается одними из самых высоких налогов в мире на бедных с одновременно наиболее щадящим налогообложением для богатых. Почему у нас в стране, и богатые, и бедные платили одинаковый подоходный налог - 13%, а с 2021 года по новым правилам: налог для богатых всего 15%?.. Нужно срочно вводить прогрессивную шкалу налогообложения! Никаких исключений или послаблений! Даже в Китае применяется прогрессивная шкала налогообложения доходов физических лиц. С ростом дохода ставки изменяются от 5% до 45%! Предельная ставка подоходного налога среди развитых стран: В Нидерландах 52%, Дании 52,2%, Бельгии 53,7%, Швеции 56,6%, Израиле 57%, Франции 75%. "Когда казна горой, то и царь герой. Наоборот: В казне холодно - в народе голодно". Россия занимает 5-ое место в мире по числу долларовых миллиардеров. Совокупное состояние российских миллиардеров за год СВО выросло на 42,5% - до 456 млрд. долларов. Еще один невообразимый факт: российские миллиардеры за год - в период пандемии … разбогатели на 199 млрд. долларов США! Чудовищная статистика! За время пандемии коронавируса число долларовых миллиардеров в РФ выросло до 117. В 2020 году в России насчитывалось 102 долларовых миллиардера, а в 2021 году их стало 123! Вы только вдумайтесь: два года тому назад, совокупное состояние 22 российских миллиардеров достигло 304,67 млрд. долларов, или 23,154 трлн. рублей, т.е. превысило как бюджет России на 2021 год, так и сумму всех банковских вкладов населения страны - 21,724 трлн. рублей! 40% миллиардеров - богатейших людей России не желают отчитываться о доходах за рубежом и не платят налоги! На 10% самых богатых граждан России приходится 89% всего богатства в стране! 1% богатейших людей планеты - 105 тыс. человек, проживают в России. 1 миллион человек, входящих в 10% богатейших людей мира, также живут в России. Самые богатые 3% россиян сконцентрировали в своих руках почти 90% совокупных финансовых активов, ценных бумаг, срочных вкладов, текущих счетов и наличности. Согласно данным Росстата: численность населения РФ с денежными доходами ниже границы бедности в первом квартале 2023 года составила 19,6 миллиона человек, или 13,5%. Что сие означает? Российские миллиардеры за год СВО разбогатели на 42,5% - до 456 млрд. долларов, за время пандемии коронавируса стали богаче еще на 199 млрд. долларов, а за чертой бедности живут 19,6 млн. человек или почти каждый седьмой житель страны. Каждый седьмой в России – нищий?!.. Богатые становятся еще богаче, а бедные нищими! Чревато. Председатель Конституционного Суда РФ В.Зорькин напомнил о революции 1917 года при оценке бедности в России, события столетней давности, которые были порождены, прежде всего, глубоким социально-экономическим расколом внутри российского общества и привели к смене правящих сил в России... ПОДРОБНЕЕ >> https://fs-anticriminal.livejournal.com/28369.html

Евгений Владимирович 17 декабря 2023 05:57 Режиссер Жора Крыжовников: премьера восьмого эпизода сериала "Слово пацана. Кровь на асфальте" состоится в новую дату

кто это говно смотрит в онлайн кинотеатре, 90% с торрентов. Тянут, одну серию в неделю и правильно что демо выложили, никто ничего менять , переснимать не будет.

Фото на сайте

Все фотогалереи

Новости раздела

Все новости
Архив
Пн Вт Ср Чт Пт Сб Вс
25 26 27 28 29 30 1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31 1 2 3 4 5