Михаил Сидорук, BI.ZONE: Пентест — это научная деятельность, а не просто набор проверок

На конференции OFFZONE 2025 редакция Anti-Malware.ru побеседовала с Михаилом Сидоруком, руководителем управления анализа защищённости BI.ZONE, о принципах отбора докладов для конференции, ключевых трендах в наступательной кибербезопасности и значении фундаментальных знаний для специалистов в области анализа защищённости. В интервью Михаил также поделился своими наблюдениями о развитии профессионального сообщества и влиянии новых технологий на сферу кибербезопасности.

Михаил, вы отвечаете за контент на OFFZONE. Хотелось бы понять: как вы выбираете доклады? На что обращаете внимание при отборе контента и что для вас лично является ключевыми критериями?

М. С.: В этом году мы получили более 300 заявок. Естественно, не все проходят — не только из-за количества, но и по качеству материала. Нам важно показывать только топовый контент. Чтобы было объективно, мы собрали независимую комиссию из девяти экспертов из разных компаний. Комиссия объединяет экспертов с разным опытом — руководителей, технических специалистов и профильных экспертов в конкретных областях. Так формируется комплексное понимание того, что реально стоит показать аудитории.

Комиссия работает открыто: мы проводим встречи, публикуем рекомендации, объясняем, что оценивается. Самый простой совет: смотреть на прошлые годы, изучать смежные конференции и готовить материал с учётом актуальных тем.

Есть ли ограничения для конкурентов и участников из других стран?

М. С.: Нет, конференция техническая. Решающий фактор для нас — это качество контента и его ценность для специалистов.

Я заметил, что в этом году, например, тема ИИ особенно заметна, а ранее её почти не было. Если твой доклад связан с этой темой, он может выделяться больше, чем другие. На какие конкретные доклады вы бы посоветовали обратить внимание? Есть ли возможность для наших читателей потом посмотреть записи и ознакомиться с контентом после конференции?

М. С.: В этом году тема искусственного интеллекта и машинного обучения приобрела особую актуальность — практически все кейсы по их применению связаны с нашей областью экспертизы. Мы стараемся фиксировать эти тренды, поэтому у нас появился отдельный трек, где обсуждается ИИ. Со временем планируем распределять все новые темы по отдельным зонам — когда появляется что-то новое, мы создаём дополнительную секцию.

Основной трек остаётся классическим «наступательным», который мне как специалисту особенно интересен. Например, мне очень понравился доклад про взлом Secure Boot. Он выделялся сильным практическим акцентом: речь шла не просто о наличии уязвимости, а о том, как подобные дыры возникают, как их выявлять и, главное, что делать, чтобы не допустить аналогичных проблем в собственных системах. 

Доклад убедительно показал, что даже в базовых элементах доверенной загрузки — таких как UEFI Secure Boot и прошивки на базе InsydeH2O — возможны критические уязвимости, которые при недостаточном внимании к архитектуре и безопасности цепочки поставок могут свести на нет всю остальную защиту. Для меня в целом мерилом качества конференции и контента является наличие оригинальных исследований и уникальных материалов, которые впервые публикуются именно на этой площадке и приносят действительно новую информацию.

Кстати, про машинное обучение и большие языковые модели (LLM). Я участвую практически во всех актуальных проектах, наблюдаю за трендами, и, на мой взгляд, результаты широко доступны и видимы как для компаний, так и для частных пользователей. При этом я вижу большие риски, о которых пока мало думают. Были ли уже интересные кейсы атак или инцидентов, где использование чат-ботов или интеграции с LLM приводило к реальному ущербу?

М. С.: Если смотреть на простые атаки вроде промпт-инъекций, то они, как правило, не приводят к фундаментальным последствиям.

Внедрение искусственного интеллекта у всех находится на разном уровне зрелости. Одно дело — добавить интерактивного чат-бота на сайт, и совсем другое — встроить ИИ в бизнес-процессы или системы документооборота. К последнему мир только подходит. С первыми сценариями всё проще: они уже активно внедряются, и действительно есть случаи взлома через них. Но пока что это не привело к инцидентам масштаба Stuxnet, которые имели бы значимый эффект воздействия. Однако, учитывая скорость распространения ИИ, ясно, что при отсутствии должных мер защиты с такими рисками мы столкнёмся в самое ближайшее время.

Важно понимать, что ИИ применяют не только защитники, но и атакующие. У последних зачастую есть преимущество: они меньше ограничены в выборе инструментов. Им ничто не мешает использовать, условно говоря, ChatGPT, тогда как компаниям приходится учитывать ограничения безопасности и приватности. Например, нельзя просто взять внешнюю LLM и передавать ей корпоративные данные. При этом обучение собственной LLM — задача крайне ресурсоёмкая.

Поэтому на сегодняшний день мы не видим массовых практических решений и серьёзных инцидентов, связанных с этой технологией. Но сфера развивается, и это подтверждается в том числе появлением на конференциях целых треков, посвящённых проблематике ИИ. На OFFZONE на это был отведён целый день.

Хотелось бы обсудить основные тенденции в анализе защищённости. Создаётся впечатление, что в поиске уязвимостей и в действиях атакующих мало что меняется в плане техники и тактики. Есть ли что-то, что вас за последнее время действительно удивило — новые интересные методы, неожиданные приёмы или ситуации, когда исследователи нашли уязвимости, которые казались почти невозможными для обнаружения?

М. С.: История такая: тактики, техники и процедуры атак во многом классифицированы, новые уязвимости в целом укладываются в существующие категории, и для внешнего наблюдателя это может выглядеть как «старые песни о главном» — но на самом деле отрасль динамично развивается. Появляются новые технологии, языки программирования, подходы к уязвимостям, и это структурные изменения, которые заметны специалистам. Каждый год появляются новые темы для обсуждения.

На уровне трендов сейчас, например, большой интерес вызывают технологии вроде FreeIPA и Active Directory. Казалось бы, все с ними знакомы, но появляются новые нюансы из-за изменения самой технологии.

Особенно впечатляют атаки, построенные на цепочках уязвимостей. Берётся множество на первый взгляд мелких уязвимостей и соединяется в крупную, сложную цепочку. В Pentest Award, где я был в жюри, был кейс с автомобилями: исследователи смогли получить контроль над беспилотным грузовиком, отправив одну эсэмэску. Сообщение использовало буферную уязвимость, запускало код на устройстве, которое по шине связывалось с главным контроллером, где эксплуатировалась следующая уязвимость, и в итоге получался полный удалённый доступ к системе (RCE).

Это показывает, что захват сложного программно-аппаратного комплекса возможен через цепочку мелких точек. Каждый узел с уязвимостью потенциально расширяет атаку. По сути, то же самое происходит и в корпоративной инфраструктуре: внешние точки доступа дают возможность добраться внутрь, если правильно соединять отдельные слабые места.

По большому счёту, классические атаки и проверенные методы остаются актуальными. Эти технологии давно известны, и они продолжают использоваться. Хотя в последние годы больше внимания уделяется атакам на цепочки поставок, такой интерес во многом связан с конкретными событиями и ситуациями, когда оборудование или программное обеспечение может попадать к конечному потребителю по непрозрачным каналам. Назвать это чем-то принципиально новым нельзя.

Речь идёт скорее о тренде, о теме, которую активно обсуждают и на которую сейчас дополнительно обращают внимание. Атаки на цепочку поставок существовали всегда и, очевидно, будут существовать и дальше, поскольку вопрос безопасной дистрибуции в полной мере решить невозможно. Единственный реалистичный путь — это постоянное управление рисками, при которых принимаются упреждающие и компенсационные меры в зависимости от оценки потенциальных угроз и уязвимостей на каждом этапе цепочки поставок.

С точки зрения практики, как заказчикам правильно выстраивать защиту? Какие базовые шаги необходимо предпринять, чтобы снизить вероятность атак через цепочку поставок? Или тема настолько широкая, что универсальных рекомендаций здесь быть не может?

М. С.: На самом деле всё зависит от масштабов и задач конкретной компании. Уровень обеспечения безопасности цепочки поставок во многом зависит от масштаба организации, её бюджета и критической значимости обрабатываемой информации. 

Крупные компании могут позволить себе проведение полного анализа поставляемой техники: проверку прошивок ноутбуков, аудит аппаратных компонентов, верификацию установленного программного обеспечения и другие меры, позволяющие убедиться в её «чистоте». Средние компании располагают меньшими ресурсами, но всё же могут снижать риски за счёт проверки контрагентов и включения в договоры требований по кибербезопасности с распределением ответственности между сторонами. 

Малые предприятия и часть средних объективно не могут обеспечить полноценный контроль цепочки поставок. В таких случаях остаются только компенсационные меры, направленные не на предотвращение, а на обнаружение последствий возможного инцидента. Например, системы класса «детектирование и реагирование на конечных точках» (EDR) позволяют выявить подозрительную активность уже на этапе эксплуатации оборудования, если поставка оказалась скомпрометированной.

Если речь идёт о производителях, которые часть компонентов закупают у сторонних компаний, будь это ПО или печатные платы, стоит проводить анализ получаемых изделий. Но нужно учитывать, что такой подход доступен далеко не всем заказчикам. Более простые и менее затратные меры включают проверку контрагентов и чёткие договорные обязательства, где ответственность за возможные риски ложится и на поставщиков, включая ситуации с потенциально скомпрометированным оборудованием.

Каждый раз я отмечаю для себя, насколько много здесь, на конференции OFFZONE, появляется новых людей, которых я раньше не встречал. Заметно растёт сообщество энтузиастов, активно участвующих в программах баг-баунти. С вашей точки зрения, какие навыки сегодня выходят на первый план для тех, кто хочет стать успешным специалистом в анализе защищённости и зарабатывать на поиске уязвимостей? Что необходимо уметь, чему учиться? Или здесь важен некий особый талант, предрасположенность?

М. С.: Нет, это точно не дар. Здесь важен опыт, причём накопленный опыт. Раньше можно было сказать: хороший специалист — это тот, кто уже много лет работает в сфере, видел десятки разных кейсов и хорошо понимает детали, вплоть до различий между версиями PHP или MySQL.

Сейчас технологии развиваются настолько быстро, что всё меняется буквально на глазах: появляются новые подходы в виртуализации и другое. Возьмём, например, Android — от версии к версии он сильно эволюционирует. Если на пару лет выпасть из процесса анализа кода, то, возвращаясь, понимаешь, что всё изменилось, и приходится опять осваивать новые механизмы.

Поэтому сегодня на первый план выходят гибкость мышления и фундаментальные системные знания. Да, со временем искусственный интеллект возьмёт на себя решение значительной части рутинных задач, но в любом случае будет нужен оператор — человек, который способен управлять процессом, выстраивать исследования и понимать их глубоко и системно.

Опыт в этой сфере складывается из «насмотренности» и количества времени, проведённого в профессии. Десятилетие плотной исследовательской работы формирует именно ту базу, которая позволяет действовать уверенно. Но при этом учиться сегодня нужно гораздо интенсивнее, чем раньше, — и останавливаться нельзя.

Сегодня баг-баунти активно развивается. Согласно вашим данным, на BI.ZONE Bug Bounty представлено уже 120 программ. При этом баг-баунти часто рассматривается как конкурент пентеста. Согласны ли вы с этим? Как тренд на баг-баунти отразился на пентесте?

М. С.: Баг-баунти часто воспринимают как конкурента пентеста, так как обе практики решают одну задачу — поиск уязвимостей — и бюджеты у заказчика пересекаются. На самом деле это разные инструменты. Пентест даёт комплексное понимание уровня защиты в конкретный момент, а баг-баунти обеспечивает широту охвата и постоянный поток находок.

Появление баг-баунти заметно повлияло на рынок пентеста. Благодаря ему произошёл переход от разовых проектов к непрерывным (continuous) моделям, повысились требования к скорости и качеству. Баг-баунти также стимулировал развитие гибридных подходов вроде непрерывного пентеста (CPT) и управления площадью атаки (EASM). Эти решения привносят в процесс управления уязвимостями системность и непрерывность. В итоге пентест, баг-баунти и EASM не конкурируют, а формируют взаимодополняющий контур зрелого управления уязвимостями (vulnerability management).

В одном из эфиров AM Live мы обсуждали, нужно ли высшее образование для успешной карьеры в анализе защищённости. Есть ли примеры людей, которые добились успеха в наступательной кибербезопасности без высшего образования?

М. С.: Такие примеры есть. Но это исключения, а не общий путь. Иногда появляются «неогранённые алмазы», которые начинают интересоваться сферой с 15 лет и потом системно занимаются исследованиями. Это редкость, и чаще успех приходит с фундаментальным образованием.

То есть базовая подготовка всё же важна?

М. С.: Абсолютно. Даже если некоторые считают, что, например, криптография им никогда не пригодится, на практике это может всплыть неожиданно. Представьте банковское приложение, которое плохо шифрует транзакции. Без базовых знаний специалист даже не поймёт проблему. Фундамент — это способность быстро оценивать ситуацию: какие домены и технологии задействованы, какие потенциальные уязвимости возможны.

Без фундаментальных знаний, когда просто нарабатываешь опыт, получается, что вместо большой общей картины у тебя остаются лишь отдельные узкие пути. Можно глубоко погрузиться в конкретное исследование, потратить много времени на детали, но вероятность повторно пройти по той же тропе и получить такой же результат крайне мала.

Здесь можно провести аналогию с медициной.

М. С.: Верно. Постановка диагноза в работе специалиста — это конкретная задача, требующая фундаментального подхода. Нужно уметь делать проверку данных, как врач проверяет диагноз: например, если кажется, что у пациента волчанка, специалист оценивает, может ли это быть просто сыпью. То есть прикладная информация должна переводиться в фундаментальное понимание.

Для этого нужны глубокие системные знания. Лучше иметь широкий фундамент, даже если в некоторых областях глубина меньше. Важно понимать, что именно на стыке разных компетенций рождаются новые идеи и подходы. Иногда уязвимость ищется через аналогии: кажется, что в текущей технологии её нет, но опыт подсказывает, что в похожей ситуации встречалось нечто применимое. Насмотренность и начитанность здесь всегда играют ключевую роль.

Говорят, специалисты выгорают к 25 годам. Почему вы всё ещё здесь?

М. С.: Выгорание реально, если специалистов перегружают и заставляют работать только на проекты. У нас в команде стараются дать время на свободные исследования. Мне интересна техническая сторона: я продолжаю свои исследования даже вне работы.

Пентест — это во многом научная деятельность, поиск новых путей. Если дать людям свободу, выгорания не будет. Многие доклады, которые мы видим на конференциях, — это результат нескольких месяцев серьёзного исследования. У людей, которых заставляют работать от зари до заката, выгорание неизбежно. Но при грамотном управлении этого можно избежать.

Михаил, спасибо за беседу! Было очень приятно и интересно с вами пообщаться!