PHDays The Origin: На киберполигоне The Standoff показали реализацию неприемлемых бизнес-рисков

...

20 и 21 мая проходил международный форум по практической безопасности Positive Hack Days 10 (Origin), организованный компаниями Positive Technologies и Innostage. Состоялась ещё одна итерация крупнейшей открытой кибербитвы The Standoff — мошенничество, утечки, аварии, повреждения городской инфраструктуры. Специалисты Positive Technologies обещают с помощью своих новых продуктов оставить реализацию неприемлемых рисков только на площадках для соревнований и при оказании услуг пентеста своим заказчикам.

Введение
Обнаружить и остановить киберпреступника силами одного человека
Инфраструктура города в миниатюре от The Standoff
Реальность кибербеза
Дайджест событий PHDays
Выводы

Введение

По отзывам многих участников, юбилейный PHDays 10 получился ярким и свежим, как погода в середине мая. На площадке нашлось место и пиджакам, и футболкам, и даже министру цифрового развития.

Это была не просто встреча более чем 2,5 тысяч специалистов по информационной безопасности, уставших от изоляции во время пандемии. За форумом и сражениями на самом большом в мире киберполигоне The Standoff наблюдали онлайн свыше 20 тысяч человек из разных стран.

Организаторы и участники откровенно говорили о важных вещах, о совершенно новых технологиях и подходах, геополитических проблемах, болях бизнеса, надеждах инвесторов, неприятностях частных пользователей; показали, как хакеры могут разрушить современный город, и предложили почти революционную методологию защиты от такой угрозы.

Давайте посмотрим, как это было. Для этого опишем основные мероприятия PHDays 10 и составим дайджест рассмотренных проблем кибербезопасности на российском рынке и у отечественных заказчиков.

Обнаружить и остановить киберпреступника силами одного человека

Эксперты Positive Technologies (Андрей Бершадский, Денис Баранов, Алексей Андреев, Денис Кораблёв, Михаил Помзов, Александр Морозов и Антон Тюрин) рассказали о новой концепции информационной безопасности, которая вводит понятие неприемлемых угроз и позволяет их избежать. Полностью с выступлением можно ознакомиться в его видеоверсии на сайте форума, сейчас же приведём некоторые цитаты.

«Цель новой концепции, — отметил Денис Баранов, управляющий директор Positive Technologies, — обнаружить хакера, когда он движется к осуществлению неприемлемой угрозы, не замучив при этом нашу дежурную смену. Для решения этой задачи компания должна двигаться одновременно по двум направлениям — харденинг и мониторинг».

В свою очередь Андрей Бершадский, директор центра компетенций компании Positive Technologies, рассказал, что атаки через интернет позволяют сегодня оставить крупный мегаполис без электричества. При этом для исключения недопустимых угроз недостаточно провести аудит ISO/IEC 27001, пройти пентесты или провести Red Teaming.

«В последнее время мы проводили интересные проекты, в ходе которых сначала тестируют нас, а потом тестируем мы, — сообщил Андрей Бершадский. — Если реализовать недопустимые угрозы не смогли мы, «Лаборатория Касперского», «BI.ZONE» и другие крупные игроки, у нас появляется уверенность, что механизмы, которые мы используем, в полной мере защищают от событий влияющих на операционную деятельность».

Денис Баранов в своём выступлении заметил, что человеческие ресурсы в области предотвращения атак небезграничны. «У нас в стране есть около 50 экспертов SOC высокой квалификации и около 100 человек среднего уровня. Наблюдая за нашими заказчиками, партнёрами и коллегами из ИБ-компаний, мы видим, что организации ходят по кругу, делая во многом одну и ту же работу. А значит, её можно автоматизировать», — сказал эксперт.

Что такое харденинг?

«Один из наших коллег сказал: если я хочу защитить банк-клиент, купите мне плоскогубцы, и я буду выдирать все провода, которые к нему ведут, кроме провода к ПК главного бухгалтера, — рассказал Денис Баранов. — В этом заключается базовый харденинг, который в той или иной форме делать придётся, — например, отодвигая с периметра сервисы ведущие к реализации неприемлемых рисков. Второй способ — покрыть все системы автоматическим реагированием и убедиться, что «под колпак» влезла вся модель угроз, которые могут генерировать хакеры и пентестеры, когда взламывают сеть. Сложность — в том, что сеть часто выглядит как блинчик и количество средств, которым нужен мониторинг, огромно. Но в случае достижения баланса харденинга и мониторинга концепция работоспособна».

«Когда приходишь к айтишнику с вопросом по поводу ключевых опасений компании, то угрозы называют легко — например, взрыв котла и кража денег. Но с какими системами связаны эти риски, IT очень часто не знает, так как службы ИБ и IT с бизнесом и эксплуатацией связаны слабо, — отметил Денис. — Для этого мы сейчас предлагаем нашу систему Asset Management, видоизменённую под новую концепцию. Эта система позволяет соотнести угрозы с «ассетами», то есть с активами. Другой стандартный вопрос заказчику — где ваши системы на периметре, которые станут входными точками для хакера? В полной мере на этот вопрос не может ответить никто. Обычно показывают список систем с двумя интерфейсами, наружу и внутрь. А как быть с серверами обновления, на которые системы ходят сами, с телеметрией сегментов АСУ ТП, с уязвимостями блокчейн-транзакций?».

Очень многие АСУ ТП автоматически получают обновления у вендора. При этом некоторые специалисты в АСУ по-прежнему уверены, что технологический сегмент изолирован. Атаковать системы также можно через транзакции блокчейна и многие другие не совсем очевидные точки входа.

«Когда вы знаете периметр и целевые системы, с этим уже можно жить, — продолжил Денис Баранов. — Далее надо определить, какие системы имеют сетевую связность с целевым активом, атака на который недопустима. Второй момент — какие пользователи имеют на этой системе даже минимальный доступ, необходимый для атаки? И где-то посередине, в маленьком красном квадратике, будут пользователи, которым на самом деле нужно иметь доступ на этих системах. У всех остальных права и доступы надо забирать. Конечно, чтобы их выявить, придётся пообщаться с эксплуатацией. Конечная цель — вывод рискованных активов в отдельные подсети и сегменты».

Денис привёл в пример охват модели угроз для корпоративной почты Microsoft Exchange: «Эта почта в глазах хакера делится на три части. Первый компонент — переписка. Если взять решения из рейтингов Gartner, то выяснится, что переписка остаётся вне зоны их внимания. Тесты коллеги Ярослава Бабина, который специализируется на социальной инженерии, не прошёл ни один комплект сторонних решений, которые должны защищать от социальной инженерии. Сегодня атакующие понимают, что вложения слать неинтересно. Поэтому они регистрируют доменное имя, похожее на домен вашей компании, но не шлют оттуда вам почту. Они просто ждут, когда кто-то из 60 тысяч сотрудников ошибётся и отправит письмо на их адрес. После этого атакующие уговаривают этого “счастливчика” отдать пароль, представляясь, например, сервис-деском. Соответственно, продукт должен учитывать все похожие домены и другие признаки социальной инженерии».

Второй уровень угроз Microsoft Exchange, по мнению Дениса, — это Exchange Web Services (EWS), которые позволяют вашему смартфону синхронизироваться с сервером и получать почту. «В реальной жизни хакер не будет искать SQL-инъекцию на этом живом веб-приложении. Он найдёт уязвимость в Exchange на своей машине и один раз “жахнет”. Но хуже другое. Существуют, например, сервисы, позволяющие получить учётные записи, которые находятся в вашей сети, так, чтобы WAF об этом не сообщил. Если злоумышленник получит список учётных записей, а потом пойдёт логиниться, например, через Citrix, у него появится возможность для автоматической атрибуции. Получается так, что WAF не защищают веб в такой чувствительной точке, как почта, и модель угроз остается непокрытой», — рассказал Денис.

Третий сетевой уровень связан с сетевыми протоколами. «Все базы знаний, связанные с IDS и IPS, надо разбивать на две группы: защита от внешнего злоумышленника и от внутреннего. Условно, с компьютера тёти Зины из бухгалтерии никто и никогда не должен ходить с правами администратора на контроллер домена. Внутри нам важен поведенческий анализ, а снаружи — понимание актуальных методов атак. Мы сами не совсем правильно воспринимали наши продукты. Теперь наши требования изменились. Например, PT MultiScanner мы оцениваем как с точки зрения максимального покрытия модели угроз, так и с позиции рекомендаций по харденингу. PT WAF, если атака не происходит, должен научиться выдавать рекомендации по харденингу — к примеру, у каких пользователей слабые пароли», — добавил Денис Баранов.

В своём выступлении эксперты приоткрыли завесу над новым метауровневым типом продуктов Positive Technologies, которые решают подобные проблемы, и провели ряд экспериментов. Подробности о новых продуктах можно будет узнать в ближайшие дни.

Инфраструктура города в миниатюре от The Standoff

Соорганизатор форума, компания Innostage, развернула и поддерживала инфраструктуру The Standoff, мониторила и контролировала действия команд. Бизнес-партнёром форума стал «Ростелеком-Солар», национальный провайдер сервисов и технологий информационной безопасности. Технологические партнёры PHDays — российская частная сеть продовольственных супермаркетов «Азбука вкуса», электронный платёжный сервис RBC.money, разработчик ПО в области дистанционного банковского обслуживания iSimpleLab. На выставке PHDays представлены Axoft, Cross Technologies, ICL, OCS Distribution, R-Vision, Security Vision, «Инфосистемы Джет». Партнёром конкурсной программы выступает ARinteg.

Несмотря на опыт команд защитников, атакующие нанесли тяжёлые удары по всем компаниям города, построенного на полигоне The Standoff. Так, в последний день сражения жителей оставили без электричества. Атакующие отключили линии электропередач, взломав устройства релейной защиты и автоматики на подстанции, принадлежащей компании Tube. В морском порту транспортной компании Heavy Ship Logistics контейнер упал прямо на баржу. Как выяснилось, хакеры из команды Invuls перехватили управление портальным краном и подавали заведомо неправильные команды. Кроме того, атакующие из Сodeby и True0xA3 остановили автоматизированную систему управления крупной региональной корпорации Nuft по добыче и переработке нефтепродуктов и подменили показатели приборов. Нефтедобыча сократилась за сутки на 90 %.

В общей сложности пострадали газораспределительная станция, ТЭЦ, нефтекачалки, ветрогенераторы, электроподстанция, железнодорожное хозяйство, аэропорт, морской порт, магазины, сеть рекламных видеоэкранов, система уличного освещения, офисы компаний 25 Hours, Heavy Ship Logistics, Nuft, Tube. Чаще всего бизнес-риски реализовывали в компаниях Heavy Ship Logistics и FairMarket — 33 и 26 раз соответственно.

За четыре дня работы киберполигона было реализовано 33 уникальных бизнес-риска — 54 % от общего числа рисков, заложенных в программу соревнований. Всего жюри приняло от команд атакующих 84 отчёта об успешно выполненных заданиях. Победителями среди команд «красных» стали True0xA3 (35 877 баллов), Сodeby (30 183) и Invuls (17 643).

Команды защитников прислали 328 отчётов о выявленных инцидентах. По количеству отчётов об атаках в тройке лидеров оказались команды Jet Security (компания Tube), akPots_team (Nuft) и Yourshellnotpass (25 Hours). За время соревнований защитники успели расследовать 18 реализовавшихся бизнес-рисков, причём команды Jet Security и Yourshellnotpass расследовали все риски, с которыми столкнулись их компании. В среднем на расследование с необходимой полнотой собранных фактов требовалось около 5 часов.

После награждения директор по маркетингу и корпоративным коммуникациям Positive Technologies Владимир Заполянский побеседовал с защитниками команд Yourshellnotpass и Jet Security. Ребята отметили, что, в отличие от предыдущего раза, в этом году им удалось уделить больше внимания именно защите и расследованиям. Также они использовали лайфхаки и подсказки, которые делали сами атакующие. На расследование первого инцидента у ребят ушло 19 часов (у команды Yourshellnotpass) и 12 часов (у Jet Security).

Реальность кибербеза

Современный министр — это кофе в стакане, кроссовки и хорошее чувство юмора. Другой человек, наверное, не мог бы управлять министерством, которое вывело Россию в число лидеров по развитию цифровых госуслуг (и наши «Госуслуги» регулярно выигрывают международные премии).

В финальный день форума состоялась пленарная сессия «Реальность российского кибербеза».

В ней приняли участие:

Максут Шадаев, министр цифрового развития, связи и массовых коммуникаций Российской Федерации;
Виталий Лютиков, заместитель директора ФСТЭК России;
Александр Муранов, заместитель председателя правления Газпромбанка;
Айдар Гузаиров, генеральный директор Innostage;
Владимир Сакович, глава Skolkovo Ventures.

«Контекст, в котором мы находимся, я думаю, всем понятен: темпы цифровизации резко возросли, в том числе благодаря пандемии, — отметил Максут Шадаев. — Государство запускает большое число проектов цифровизации во всех отраслях, в том числе в здравоохранении и образовании. Номер один по темпам роста — сфера госуслуг. Ковид показал, что все услуги можно получать онлайн, поэтому данные сервисы развиваются очень быстро. Бурное проникновение цифровизации кардинально обостряет все риски в кибербезопасности. Сейчас идут дискуссии и в правительстве, и в администрации, и в Совбезе, и их основной смысл сводится к тому, что новые вызовы требуют новых решений по защите. Председатель правительства любит говорить, что нельзя рассчитывать на новый результат, используя старые способы. Я думаю, что уже летом набор мер мобилизации и стимулирования будет выработан для того, чтобы отвечать на новые риски».

Основной вопрос, который задал участникам модератор встречи Юрий Максимов, генеральный директор Positive Technologies, был связан с перспективами России стать лидером на мировом рынке ИБ. «Если посмотреть на экономику российской индустрии, то порядка 50 % средств, которые тратятся на кибербезопасность в России, идут на западные продукты, в первую очередь — на американские. Как нам перейти на отечественные решения, заставить или уговорить?» — спросил Юрий.

Александр Муранов, заместитель председателя правления Газпромбанка, привёл пример ситуации с софтом в банковской отрасли.

«Если вы взглянете на банковскую розницу, то почти не найдёте там иностранных продуктов, — сказал Александр. — У всех крупных банков есть свои команды, которые пишут код круглые сутки, в удалённом формате или в других. За два года индустрия банковской розницы с точки зрения софта полностью изменилась. Из банков ушли импортные системы, индийские или американские, и остались только отечественные. Да, многие такие продукты работают на открытом коде, но в России создалась своя индустрия розничных продуктов. Инфобез стоит на пороге таких же решений».

Отвечая на вопрос по поводу полного замещения иностранных ИБ-продуктов отечественными, Александр заявил, что идеальным форматом считает доверенную среду с отдельными «недоверенными» продуктами. «Не стоит видеть во всех компаниях врагов, но хорошо бы иметь возможность управлять врагом, понимая, что происходит с “недоверенными” решениями. Хуже, когда вся среда недоверенная, вот это уже беда».

«Пока в вузах не будет стендов, лабораторных, практикумов, построенных на российских, а не на зарубежных решениях, ничего не произойдёт. Специалист выходит из вуза, не имея понятия о наших отечественных решениях, — заявил Виталий Лютиков. — К счастью, некоторое развитие в этом направлении есть. При поддержке Минцифры прорабатываются вопросы создания технологических центров обучения на базе УМО, и будем надеяться, что это немного поможет. Вторая проблема — заказчики решений в области ИБ. Они должны понимать, что их задача — обеспечение безопасности, а не выполнение требований. В требованиях регуляторов — ФСТЭК, ФСБ — везде в основу положена цель: безопасность, причём реальная. А пресловутую “бумажную” безопасность заказчики часто формируют сами, когда им всё равно, каким образом решить задачу. Главное, чтобы отстали проверяющие органы. Если заказчики сами не захотят строить безопасность для достижения цели, то мы разобьёмся все, но эту задачу не решим, потому что такая ситуация порождает недобросовестную конкуренцию между разработчиками. Всегда проще предложить абы какое решение, нежели качественное. Третья проблема — сами разработчики. Если проанализировать конкурсы, которые выигрывают зарубежные вендоры, то станет понятно, что они выходят вперёд в требованиях, которые связаны не столько с безопасностью, сколько с эргономикой и ясностью интерфейса. Это тоже важно, и нашим вендорам стоит больше уделять этому внимания».

«Запрещать зарубежные решения нужно аккуратно. Там, где есть риски, нужно запрещать. Там, где риски меньше, нужно уговаривать переходить на отечественное ПО, одновременно создавая по-настоящему конкурентную среду», — добавил Виталий.

«У нас всегда две крайности: либо всё разрешить, либо всё запретить. Государство, используя различные механизмы господдержки, должно стимулировать появление продуктов, которые заместят импортные решения. Но это — долгая системная работа», — прокомментировал ситуацию в отрасли ИБ Максут Шадаев.

Отвечая на вопрос Юрия Максимова о причинах, по которым в России столь узок рынок кибербезопасности и невелико число стартапов, Владимир Сакович, глава Skolkovo Ventures, отметил, что эта отрасль везде в мире, как правило, поделена между большими игроками, которые могут обеспечить комплексность и надёжность.

«Обычно о новых стартапах мы узнаём, когда их покупают такие гиганты, как Cisco, — сказал Владимир Сакович. — В мире в прошлом году на покупку стартапов большие компании потратили около 25 млрд долларов. В России эта сумма колеблется около нуля, и часто такие сделки осуществляются не за деньги, а, например, в обмен на доступ к рынку. Когда молодые стартапы не видят цепочки повышения своей стоимости, у них пропадает мотивация расти. Но самое главное — исчезает мотивация у инвесторов, которые должны вкладывать в стартапы деньги на ранних стадиях, чтобы продать их позже за большую сумму. Поэтому маленькие игроки оказываются без денег, у них нет средств, чтобы расти, пока они ещё не окупаемы. Проблемы доступа к средствам есть даже у больших компаний в ИБ. Традиционные способы получения средств через заимствования на бирже и работа крупных фондов Private Equity осложнены негативной геополитической атмосферой и отсутствием биржевых инструментов».

Дефицит капитала и необходимых инвестиционных инструментов приводит к тому, что стартапы в области ИБ если и появляются, то годами остаются на уровне маленьких компаний.

«В Сколково каждый год приходит 10–15 стартапов, но большинство из них так и остаётся на уровне идей, у них не получается добиться фондирования и двигаться дальше по инвестиционному циклу. Для исправления ситуации государство должно помочь стимулировать частный капитал. Вторая проблема, которую нужно решить, — изменение нерыночной системы распределения заказов. Это приведёт к росту выручки и повысит интерес инвесторов. И третье. Необходимо создать инвестиционную инфраструктуру поздних стадий, аналог IPO, так как, к сожалению, выход на IPO в области кибербезопасности усложнился. Я думаю, это — задача трёх-пяти опорных банков», — считает Владимир.

Максут Шадаев согласен, что для стартапов должен быть дан зелёный свет и упрощены некоторые механизмы. «Они должны иметь возможность без конкурса продавать свои продукты в госорганы. Либо, если решения стартапа закупаются бизнесом, для этих компаний должны быть налоговые льготы. Пока мы не решим проблему упрощённого доступа стартапа на рынок, мы можем как угодно заливать деньгами любые разработки, это будет бессмысленно», — сказал министр.

От слепой веры в начинающие компании предостерёг Виталий Лютиков, рассказав о создателях операционной системы со штатом в 6 разработчиков. «А если через некоторое время эти разработчики разбегутся и продукт останется без поддержки? Помогать начинающим стартаперам надо, но механизм должен быть продуман, чтобы исключить риски как минимум в системообразующих отраслях», — отметил представитель ФСТЭК России.

Айдар Гузаиров полагает, что если индустрия ИБ в России объединится, выстроит дорожную карту, то вопрос полного перехода на отечественные продукты решится за один, два, три года. «Но индустрия — это не только производители решений и заказчики, это — и обучение программистов и специалистов, работающих с конечными решениями, и вопрос удержания кадров в России и отечественных компаниях. Надо понимать, что разработчику, даже живущему в Ульяновске, не нужно уезжать, он может прекрасно работать на вендоров из США», — отметил генеральный директор Innostage.

Юрий Максимов затронул на встрече тему неприемлемого ущерба для компаний и необходимости вовлечения руководства предприятий в процесс обеспечения ИБ. «Криминал меняет форму: раньше крали деньги, а сейчас предпочитают шантажировать. Так гораздо проще. Чтобы у банка украсть деньги, надо помимо хакеров иметь дропперов, кардеров, которые вступают в тесный контакт с банком. А вымогатель может сидеть на Бали и обрушить деятельность компании в одиночку. Недавно прошла новость, что Япония после истории с Colonial Pipeline заявила о желании переходить на локальные технологии даже в частных компаниях. Это — серьёзная проблема для многих стран: некоторые государства начинают закрывать свой кибербез. Что касается крупных компаний, то их первые лица должны понимать, что пока они не начнут заниматься кибербезопасностью, их компания не сможет дать ожидаемых результатов», — рассказал Юрий.

«К сожалению, первые лица нередко занимаются инфобезопасностью раз в год, при согласовании бюджетов, — заявил Айдар Гузаиров. — Такие люди должны регулярно ставить CISO вопросы “что сделать, чтобы компанию не уничтожили хакеры и мы могли спать спокойно”. Но они этих вопросов не задают».

С ним согласен Максут Шадаев: «В крупных компаниях ИБ-руководитель часто просто не имеет доступа к первому лицу. В результате он лучше понимает регуляторику ФСТЭК, нежели специфику бизнеса, который защищает. Хотя, когда ввели законы по защите критической инфраструктуры, где прописана уголовная ответственность, первые лица стали уделять чуть больше внимания информационной безопасности», — отметил министр.

Под конец встречи, отвечая на вопрос о том, ведётся ли на территории России работа над созданием аппаратной части, на которой смогли бы функционировать все отечественные IT-решения, Максут Шадаев отметил, что программа развития производственных мощностей и стимулирования спроса находится под личным контролем председателя правительства.

Дайджест событий PHDays 10

True0xA3 — действительно «тру»

В четверг, 20 мая, команда True0xA3 осуществила взрыв (в терминах киберполигона — реализовала риск) на газораспределительной станции компании Tube, которая обслуживает сразу несколько объектов городской инфраструктуры. В результате была остановлена подача газа в городе.

Атакующие продолжили компрометировать IT-системы Heavy Ship Logistics — крупнейшей в городе транспортной компании, которая обслуживает аэропорт, железную дорогу и морской порт. Самым популярным занятием было мошенничество в системе продажи билетов на поезд. Чуть раньше действия Сodeby привели к сбою системы регистрации пассажиров, а через час Invuls нарушила работу системы информирования пассажиров.

Команда Сodeby получила доступ к коммерческому предложению компании Nuft — крупной региональной корпорации по добыче и переработке нефтепродуктов. В результате был сорван крупный тендер компании. Этот же коллектив удалил информацию о штрафах граждан в системе компании 25 Hours, которая недавно выиграла тендер на модернизацию сети светофоров на улицах и управление ею. Горожане счастливы, а казна недополучит полмиллиарда. Если руководство 25 Hours не примет меры по предотвращению подобных инцидентов, то власти города могут отказаться от такого неэффективного сотрудничества.

Сетью розничных магазинов FairMarket опять заинтересовались ребята из True0xA3, на этот раз они подменили ценники в ERP-системе. Как и Codeby, они смогли превратить магазин в точку незаконной торговли спиртными напитками, взломав его ERP-систему и сняв с крепкого алкоголя специальную отметку для подакцизных товаров. Сразу несколько команд добились утечки персональных данных сотрудников и кражи стратегических документов.

«PHDays: Начало» — старт большого общего дела

В информационной безопасности главное — практика, уверен Борис Симис, заместитель генерального директора по развитию бизнеса компании Positive Technologies. «Руководитель одной из компаний-партнёров, сотрудники которой работали в SOC на осеннем The Standoff, предлагал своему начальнику повысить специалистам зарплату, так как за 7 дней они увидели столько атак, сколько могли бы наблюдать за 5–7 лет. Это позволило им по сути шагнуть на другой профессиональный уровень», — вспоминал Борис в ходе круглого стола «PHDays — и зачем мы его проводим».

Директор по продуктам Positive Technologies Денис Кораблёв признался, что раньше не представлял, как писатели пишут книги вдвоём, «однако новая задача (практическая реализация ИБ 2.0) научила нас складывать сильные стороны команд разработок в единое целое и перестать мыслить в рамках отдельных продуктов и ниш. Работа была проведена титаническая, и когда-нибудь мы о ней напишем книгу, причём обязательно вместе».

«Все эти годы множество компаний и людей работали над PHDays, вкладывая душу, знания, предоставляя оборудование и продукты, — рассказал Борис Симис. — Но в этом году впервые появился полноценный соорганизатор, компания Innostage, и мы дико им за это благодарны. Приглашаем и другие компании в число соорганизаторов. Хотим, чтобы PHDays стал общим делом».

Как в «Тинькоффе» начинали разработку антифрода

Компания «Ростелеком-Солар» провела круглый стол «Экономика практической кибербезопасности». Модерировал встречу Владимир Дрюков, директор центра мониторинга и реагирования на кибератаки (Solar JSOC) в этой компании.

«Технологии — это скорее некий ИБ-каркас, но в работе информационная безопасность — всё равно история про людей», — считает Владимир.

С ним согласен Дмитрий Гадарь, вице-президент и директор департамента информационной безопасности группы «Тинькофф», который начинал свою карьеру с разработки средств криптографической защиты и анализа.

«Массовый фрод начался в 2008 году, и мы тогда начали “пилить” первую систему противодействия мошенничеству, — вспоминает Дмитрий. — Мы делали это, по сути, “на коленке”. Такие ситуации определяют способность безопасника подстроиться под ситуацию и принести реальную пользу. В настоящее время специалист по безопасности должен обладать базовыми знаниями в области математики, сетей, операционных систем и так далее. Знание средств защиты — не главное, так как тыкать кнопки в ArcSight можно научить довольно быстро. Не хватает тех, кто понимает, как устроены сетевые протоколы, операционные системы и другие базовые вещи. Обратная сторона — я пробовал брать сильных айтишников, так тоже не работает. Они глубоко уверены, что, поставив правильный набор средств безопасности и корректно настроив их, компания окажется в полной безопасности. Но это не так. Безопасник должен обладать определенной степенью паранойи, а вера в идеальный набор средств защиты не доведёт до добра».

Роман Попов, начальник управления АТЭК, признался, что впервые задумался о том, что «игрушки» с экрана монитора могут оказывать влияние на реальную жизнь, когда случилась история со Stuxnet. «Сегодня, если у тебя “зоопарк” различного оборудования, то лучше обратиться к MSSP. Другое дело, что MSSP — это история исключительно последних лет», — отметил Роман.

Денис Андриевский, начальник управления «Иннотеха», рассказал о численности персонала в центрах киберзащиты крупнейших компаний: в «Сбере» трудится около 400 человек, в «ВымпелКоме» — около 40, в НЛМК — порядка 60 человек.

Думать — это прикольно: 20 практических приёмов OSINT в цифровом мире

В своём докладе генеральный директор Avalanche Андрей Масалович рассмотрел приёмы OSINT — сбора и анализа разведывательной информации, полученной из общедоступных источников, — которые позволяют эффективно добывать приватную и даже секретную информацию, не прибегая ко взлому. «За нами начали шпионить устройства, и сегодня, как сказал физик Макс Борн, современная наука убивает современную этику. То, что сейчас происходит с научными и техническими достижениями, новыми технологиями и гаджетами, не делает нашу жизнь счастливее: происходит примерно то же, что и во время появления первых станков, когда люди становились их “придатками”», — отметил Андрей. Эксперт показал, как извлекать данные о секретной поставке из открытых логистических баз, искать утечки в облачных хранилищах Amazon, Google и Microsoft, находить закрытый аккаунт пользователя в Telegram или определять номер телефона администратора канала, обнаруживать любые сервисы (например, «СберБанк Онлайн») и электронные кошельки, привязанные к телефону абонента, а также рассказал о возможностях сервисов-шпионов.

Осторожнее называйте группы в WhatsApp

Выступая на thrEat reSearch Camp — отдельном defensive-треке на PHDays для докладов посвящённых темам реагирования на инциденты, киберразведки, проактивного поиска угроз, OSINT и анализа вредоносных программ, — главный эксперт «Лаборатории Касперского» Сергей Голованов рассказал о самых впечатляющих мероприятиях по реагированию на инциденты за последние два года с акцентом на новые реалии в условиях пандемии. «Речь идёт о массе проблем, связанных с удалёнными рабочими местами. Многие создали огромное количество RDP-серверов, сделали на них удалённые рабочие места. В результате мы увидели крупные ботнеты, которые ходили и перебирали пароли по RDP. Мы наблюдали в 2020 году значительный рост инцидентов, которые начались из-за плохого пароля на RDP-сервере», — сообщил он.

По словам Сергея, удалённая работа подсветила и другие неожиданные «слабые места» — например, рабочее общение в мессенджерах. «Мессенджеры “сливают” названия рабочих групп. Если кто-то назвал группу в WhatsApp “Инцидент там-то тогда-то”, то поздравляем, вы сами только что сознались компании Facebook в том, что у вас — инцидент. Группы надо называть, например, “Выбираем подарок на день рождения” или “Поехали в Подмосковье”», — пошутил эксперт.

ИБ в Tele2

Наиль Айнетдинов, руководитель аудита информационной безопасности Tele2, рассказал о работе своего подразделения, сотрудники которого проводят в год около десятка проверок, включающих аудит корпоративных систем, продуктов клиентов, а также технологических компонентов мобильной сети. В своей работе департамент аудита ИБ Tele2 придерживается риск-ориентированного подхода. Айнетдинов пояснил, что этот подход удобен для ранжирования результатов аудита и привязки найденных уязвимостей к определённым рискам: «Мы не просто озвучиваем заказчикам список угроз: называя риск, мы прописываем, какие уязвимости нужно закрыть, чтобы риск не был реализован». Он также отметил, что беседа о рисках на самом высоком уровне зачастую помогает в совершенствовании ИБ и IT: «В последнее время осведомлённость топ-менеджеров в вопросах ИБ растёт: публикации в СМИ об утечках, информация о шифровальщиках интересуют их с точки зрения “может ли повториться то же самое с их компанией”. Для нас очень важно умение говорить с менеджментом на одном языке. Мы стараемся не использовать термины, сокращения, жаргон, а для большей наглядности используем деморолики, в которых показываем, как тот или иной риск может реализоваться». Среди основных рисков для телеком-отрасли Айнетдинов назвал утечки данных, нарушение тайны связи и прекращение связи (регуляторный риск).

Взлом мобильных приложений

О безопасности мобильных приложений на базе Android и iOS рассказал аналитик информационной безопасности Акшай Джайн. В своём докладе он рассмотрел способы компиляции кода с помощью фреймворка Frida для внедрения в приложения и продемонстрировал в реальном времени сценарии взлома, позволяющие обойти методы обнаружения джейлбрейка и защиту SSL Pinning. «Конечно, есть различные механизмы обнаружения Frida. Более того, существует проект DetectFrida, позволяющий по использованию определённых библиотек установить, внедрялся ли фреймворк в приложение или нет. Чтобы обойти эту защиту, следует убрать значения Frida, Gumjs и другие ориентиры», — поделился опытом эксперт.

Платёжный терминал как оружие

В специальной демонстрационной зоне Payment Village эксперты по безопасности банковских систем рассказывали и показывали, как работают различные платёжные устройства и какие в них есть уязвимости, а также делились интересными кейсами из проектов по анализу защищённости. После знакомства с теорией участники могли попробовать взломать банкомат, кассовую систему или POS-терминал.

По словам Тимура Юнусова, одного из организаторов PHDays, «злоумышленники могут превратить платёжный терминал в оружие, которое позволяет нападать на банки-эквайреры, на банки-эмитенты, на держателей карт. Их фантазия может быть практически безграничной». Не случайно безопасности платёжных инструментов и банковских систем на PHDays традиционно уделяется особое внимание.

Резко выросло число атак на ретейл

Аналитик Positive Technologies Яна Юракова рассказала о трендах и прогнозах для ИБ-отрасли. В частности, она отметила существенный рост атак на промышленность и медицинские учреждения, который составил 91 % для каждой отрасли. По словам Яны, медучреждения и промышленность будут оставаться в топе жертв, однако, возможно, уже в этом году мы дождёмся снижения числа атак на медицинские организации, если пандемия пойдёт на спад или прекратится. По данным аналитиков Positive Technologies, резко выросло число атак на сферу ретейла. Эксперты объясняют это среди прочего поспешным переходом бизнеса в онлайн в период пандемии COVID-19. Среди других трендов, которые, к сожалению, не покинут нас, а будут только усиливаться, Яна назвала увеличение количества атак с применением шифровальщиков, нападений на цепочку поставок (supply chain), а также атак на облачные системы и виртуальную инфраструктуру.

Threat Intelligence: актуальность и преимущества

Поставщики и потребители сведений киберразведки (Threat Intelligence) обсудили за круглым столом в рамках PHDays 10 особенности применения TI, различные её уровни, сложности при работе с нею, использование фидов и индикаторов, а самое главное — преимущества организованной киберразведки.

«Начинать надо с принятия для себя того факта, что вас уже атакуют. После этого вопрос, нужен ли вам TI (и в каком виде), перестаёт для вас быть вопросом. Вы начнёте искать способы понять, кто именно вас атакует, как именно вас атакуют и что надо сделать, чтобы эта атака не прошла», — считает Сергей Кузнецов, руководитель отдела сопровождения продуктов и серверов компании ESET.

Владимир Кусков, руководитель отдела исследования сложных угроз в «Лаборатории Касперского», уверен, что «Threat Intelligence нужен всем, а вот зачем он нужен — зависит от конкретной организации. Можно начать с бесплатного. Лучше бесплатный, чем ничего».

В свою очередь, ведущий аналитик JSOC («Ростелеком-Солар») Максим Жевнерёв рассказал о том, в чём он видит явную пользу от TI: «Когда идет серьёзная атака, Threat Intelligence помогает понять, один ли ты видишь подобную штуку и есть ли ещё что-то такое. Когда запрос в TI даёт ноль информации по конкретным хешам, IP-адресам и техникам, это мобилизует на другой уровень работы и задач».

Об инвестициях в ИБ

Евгений Коган, инвест-банкир, ведущий телеграм-канала @bitkogan и профессор НИУ ВШЭ, затронул тему инвестиций: «Инвестор инвестору рознь. Кому-то достаточно финансовых метрик, а кто-то уже готов заглянуть вглубь и оценить, чем занимается компания, сколько имеет продуктов, кто её заказчики, прикинуть будущих клиентов, то есть проанализировать отрасль. В случае ИБ капиталом являются прежде всего люди. А сегодня ценность человеческого капитала, мозгов сильно растёт. Хакер, как и инвестор, — существо циничное, прагматичное. У вас с хакерами идёт постоянный спарринг. По существу, вы — боксёры. Вам как защитникам каждый раз бросают вызов. Я понимаю, что ещё полгода-год — и злоумышленники придумают что-то новенькое. Противостояние хакеров и защитников — это вечный бой. Понять проблемы своей компании может и должен прежде всего руководитель, он обязан влезать вглубь, а не просто “вложить бабки” в IT-департамент и верить, что “эти умные парни всё разрулят”. Компании, работающие в сфере ИБ, в перспективе важнее многих из тех, кто кажется более важным сейчас».

«Make the world a safer place» и Intel

Дмитрий Скляров, руководитель отдела анализа приложений компании Positive Technologies, рассказал о многолетнем опыте совместного со своими коллегами Максимом Горячим и Марком Ермоловым изучения подсистемы Intel ME, уделив отдельное внимание важности «ответственного разглашения» информации об уязвимостях. «Каждый раз, когда мы находили что-то “вкусное”, мы в обязательном порядке информировали об этом Intel. Потому что, если кто-то начнёт эксплуатировать имеющиеся уязвимости, страдать будет не Intel, страдать будут их клиенты, обычные пользователи и компании, — отметил Дмитрий. — Да, мы делали наши исследования потому, что нам это было интересно. Да, за некоторые наши находки нам заплатили деньги по Bug Bounty. Но конечная цель — в слогане, позаимствованном мной у конференции Troopers: “Make the world a safer place”».

Звёзды выходят из строя. Управление спутниками

Тему атак на спутники, интересующую многих энтузиастов ИБ, затронул в своём докладе исследователь xen1thLabs Таной Бозе. Он рассказал, что спутники делятся на три типа: космические, пользовательские и наземные. От типа спутника зависит то, как будет строиться атака на него. «При атаке на пользовательские спутники придётся взламывать IoT-устройства, спутниковые телефоны или связное оборудование — то есть фактически стек приложений спутниковой связи. Например, атака на спутниковый телефон будет главным образом направлена на телефонную сеть спутниковой связи», — отметил эксперт. У космических спутников, по словам исследователя, есть два основных стека: программно-контрольный управляет самим спутником, а полезная нагрузка содержит другие программы, которые работают на спутнике. «Чаще всего атаки направлены не на сам спутник, а на управляемые им прикладные программы. Взломав их, можно получить полный доступ к космическому спутнику», — пояснил Таной.

Артём Сычёв: российские банки защищены лучше

На форуме в последний день много внимания уделялось вопросам безопасности банковских систем. Артём Сычёв, первый заместитель главы департамента информационной безопасности Банка России, отметил, что «банковская система РФ на голову выше западных с точки зрения ИБ. Опыта отражения атак и устранения последствий у наших финансовых организаций гораздо больше».

По его словам, важным аспектом является понимание ИБ-рисков на уровне руководства, а не только профильных подразделений. «Если руководство финансовой организации не понимает рисков в ИБ, не знает, что это такое, то в таком случае риску подвергаются не только они сами, но и акционеры, и вкладчики. Для нас крайне важно понимание, насколько киберкультура присутствует в корпоративном управлении и может ли она повлиять на финансовую устойчивость организации, — отметил Артём. — Нас нередко обвиняют в том, что в нормативных документах мы довольно много внимания уделяем техническим вопросам. С одной стороны, от нас хотят, чтобы мы сказали, как должно быть, а с другой — наоборот, чтобы мы дали больше свободы. Но в конечном счёте ни технические детали, ни средства безопасности не являются ключевой историей. Для нас важным является вопрос, сможет ли в случае кризисной ситуации финансовая организация обеспечить непрерывность своей деятельности, а также возможность минимизации потерь».

Проблема криптобирж: сотрудник и код

У цифровых валют ситуация хуже. Старший специалист группы исследования защищённости банковских систем (Positive Technologies) Ваагн Варданян рассказал о найденных им на крупных криптобиржах логических уязвимостях, которые давали возможность манипулировать балансом. Исследование проводилось в 2019–2020 годах. Ваагн выделил несколько причин, по которым становится возможным взлом бирж: недобросовестность сотрудников, уязвимости в коде. В своём исследовании эксперт сосредоточился на логических уязвимостях, которые образуются на уровне написания кода и которые сложно вычислить.

Как защитить пожилых людей от мошенников

Перейдём от логических уязвимостей к психологическим. Дискуссия о социальной ответственности и предупреждении о способах мошенничества развернулась на бизнес-секции «А нас спросили?», которую модерировал Владимир Бенгин, директор по развитию продуктового направления Positive Technologies.

«Мы тратим много ресурсов на осведомлённость, — рассказал Дмитрий Гадарь, вице-президент и директор департамента информационной безопасности “Тинькоффа”. — Например, в сторис в журнале “Тинькофф” публикуется много материалов про мошенников, они даже есть в нашем тиктоке. Помимо этого, моя команда читает лекции в вузах, а я сам выступаю с лекциями в школе, рассказывая про опасности в интернете. Надо начинать это со школьного возраста и помогать взрослым, которые не готовы к новым угрозам. Однако тема — не настолько простая. Если бы я работал в операторе связи, руководство вряд ли разрешило бы отстрелить 30 % трафика, генерируемого, возможно, мошенниками, только потому, что мы — за мир во всём мире».

Владимир Дрюков, директор центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар», не поверил в такое количество колоний и преступных колл-центров, которые смогли бы генерировать такой объём трафика, и заметил, что пожилое население также важно информировать об угрозах на таких популярных площадках, как «Сбербанк» и «Госуслуги». «Это не наша уникальная проблема, и она никак не связана с русским менталитетом, — сказал Владимир. — В чём мы отстаём, так это в движении государства в сторону осведомлённости. В США есть отдельный департамент Homeland Security. Они вкладывают очень много сил в то, чтобы информация о новых “фишках” злоумышленников появлялась в паблике».

Социнженерия-2021

Специалист по ИБ Дмитрий Андреев рассказал о принципах социальной инженерии и различных сценариях её применения, проиллюстрировав свой рассказ яркими примерами из жизни, а также поделился опытом противодействия этой опасной технике в компаниях.

«Для защиты от социальной инженерии нужно обучать сотрудников, но нельзя ограничиваться лишь соблюдением правил, — уверен Дмитрий. — Без понимания того, как работает специалист по психологическим манипуляциям, человек очень уязвим. Надо показывать на примерах, как работает логика атакующего».

Эксперт подчеркнул, что «топ-менеджмент должен понимать, зачем мы развиваем ИБ компании; это должно мотивировать их обучаться, и в первую очередь — противодействию социальной инженерии. Если этого не делать, то даже очень хороший руководитель и админ будут уязвимы».

Как не допустить недопустимого

Может ли бизнес быть уверен в том, что он не рухнет от кибератаки? На этот вопрос в своём выступлении ответил директор по бизнес-консалтингу Positive Technologies Роман Чаплыгин, таким образом продолжив представлять публике новое поколение решений компании — продукты метауровня, которые позволяют остановить кибератаку и защитить компанию силами одного человека.

«Бизнес может рухнуть только тогда, когда в компании произойдёт крупное недопустимое событие. Чрезвычайные ситуации, делающие невозможным достижение операционных и стратегических целей и приводящие к длительному нарушению основной деятельности, есть всегда. Именно события, после которых организация никогда уже не вернётся к прежней жизни и деятельности, мы и поставили во главу угла нашей концепции. Мы считаем, что деятельность службы безопасности должна быть такой, чтобы недопустимые события никогда не реализовались», — заявил Роман.

Рассказывая о составленном Positive Technologies реестре недопустимых киберсобытий, он отметил, что кража со счёта денег в размере 10–15 % от чистой прибыли катастрофична для компании любой отрасли.

«Самым эффективным и простым способом идентификации недопустимых для бизнеса событий стало индивидуальное общение с топ-менеджментом, операционными руководителями, IT- и ИБ-специалистами. Благодаря этому мы шаг за шагом выявили их перечень, сценарии реализации и системы, взлом которых повлечёт за собой недопустимые события», — сказал эксперт.

О том, как сделать недопустимое невозможным, а также о методологии метапродуктов и погружении в процессы рассказал руководитель отдела аналитики Positive Technologies Евгений Гнедин.

«Реестр недопустимых событий — первый этап нашей методологии. От того, насколько подробно и полно будет он составлен, зависит эффективность последующей работы. Чтобы вовремя остановить атакующего, необходимо понять, каким образом недопустимое событие накладывается на всю инфраструктуру компании. Так, сопоставив траектории атак разных хакеров, мы увидели на полученной схеме ряд одинаковых шагов и задействованных систем. Так мы сделали вывод, что в инфраструктуре обязательно есть системы требующие усиленной защиты и мониторинга. Научившись выявлять эти системы, а затем усиленно защищать их, мы сможем приблизиться к тому, чтобы не допустить совершения недопустимого для бизнеса события. А обеспечив усиленный мониторинг ключевых систем и поддерживая их в актуальном состоянии, мы сможем ловить злоумышленников на ранних стадиях атаки», — заключил спикер.

Сканируем комплексно и нежно

Тему новых подходов к ИБ продолжили в треке thrEat reSearch Camp. В частности, там выступил Илья Зуев, CISO Rambler&Co и Okko. Он поделился своим опытом, отметив, что защита более сотни проектов, когда в компании существуют разные группы админов и разработчиков, — сложная задача. Для комплексной защиты инфраструктуры и борьбы с вирусами-вымогателями компания Rambler&Co разработала систему комплексного сканирования.

«Суть нашей системы заключается в поэтапном сканировании, которое включает инвентаризацию, быстрое сканирование, сканирование сервисов и программного обеспечения, DAST, compliance- и expiration-сканирования, а также сканирование контейнеров CI/CD, проверку наличия корпоративных секретов на публичных ресурсах, общий фильтр ложных срабатываний по хешу, оповещение о выявленных уязвимостях и их визуализацию и, наконец, метрики покрытия. Все результаты сканирования собираются в одном месте для обработки, по итогам которой мы принимаем решение», — рассказал эксперт.

Илья также подчеркнул важность проверки срока действия доменов: «Люди любят создавать сайты на Tilda, потому что это просто и красиво. Однако срок подписки на Tilda может незаметно истечь, и этим пользуются злоумышленники — такие домены они крадут и размещают там “нехорошие” сайты и неудобные Java-скрипты».

Что с нами стало, или Краткое введение в ИБ-обстановку, если вы лежали в коме 10 лет

Тему своего выступления «Ретроспективный анализ громких инцидентов в ИБ за последние 10 лет» независимый исследователь Владимир Дащенко выбрал в привязке к форуму PHDays, который в этом году отмечает десятилетний юбилей. Он представил краткий экскурс в события, которые так или иначе связаны с ИБ, проанализировал то, какое влияние они оказали на человечество, их технологии, атаки, а также методы защиты, и ответил на главный вопрос: изменилось ли сегодня наше отношение к информации, когда риск утечки данных значительно возрос?

Владимир отметил, что за прошедшее десятилетие произошло феноменально много громких взломов, утечек, уязвимостей, атак с использованием вредоносных программ, других инцидентов.

«С 2014 года мир интернета вещей начинает захватывать всё больше сердец: в Северной Америке в массовую продажу впервые поступили Google Glass, тестировать которые ранее могли только сотрудники компании Google. И сразу же произошёл fappening — массовый взлом iCloud знаменитостей и “слив” их фотографий. С этого момента проблема информационной безопасности стала затрагивать даже тех, кто о ней ничего не знал: знаменитостей, актёров, звёзд шоу-бизнеса и обычных людей. Тогда же в западных странах возникает огромное число микростартапов специализирующихся на обеспечении кибербезопасности частных лиц. Если раньше, когда речь шла о физической безопасности, нанимали “секьюрити”, то теперь появляются секьюрити охраняющие цифровое пространство человека», — рассказал Владимир.

Уральские модели безопасности ОС

Докладчики из Уральского федерального университета на основе своего опыта работы с отечественными операционными системами рассказали о формальных моделях безопасности ОС, об их реализации, о проблемах проверки и верификации.

«Чтобы сделать свою защищённую операционную систему, необходимо на самом деле внести множество доработок и архитектурных решений, — говорит аспирант УФУ Лилия Галимзянова. — Мы предлагаем расширить типовую модель управления доступом, предлагаем рассматривать файлы как области памяти, которые загружаются в пространство процесса. При этом будет проще делать спецификацию для дальнейшей верификации, будет легче показать соответствие между моделью и кодом».

Выступающие также предложили сделать модель управления доступом максимально универсальной, чтобы она почти не зависела от процессора. «Главная наша задача — определить условия безопасности, реализация пока вторична. Нужно пройти где-то по этой тонкой линии между реальностью и математикой, формальными моделями», — добавил аспирант УФУ Роман Гильмияров.

The game is never over

Независимый исследователь кибербезопасности Артём Бачевский, разрабатывая и автоматизируя процессы AppSec, обратил внимание на проблемы безопасности видеоигр. С самого начала Артём оговорился, что не является геймером, однако интересуется всем, что можно взломать. В своём докладе Артём рассказал о наиболее уязвимых типах игр (промо-игры, браузерные игры), распространённых уязвимостях и атаках (небезопасность протоколов, ошибки в коде, ботоводство и читерство) и о способах защиты от них. Одна из уязвимостей приводила к тому, что игра никогда не заканчивалась.

Выводы

Мы рассмотрели наиболее важные события, которые происходили на PHDays, заглянули на противостояние The Standoff, поговорили со специалистами. Событие стало важнейшей вехой в отечественной индустрии кибербезопасности. Коллеги обменялись актуальной информацией, завели новые контакты и продолжают работать на своих местах с целью развития инфобезопасности России.

Форум «PHDays: Начало» закрылся, но специалистам в области инфобезопасности известно, что процесс обеспечения кибербезопасности предприятий и государства в целом — это нетривиальный и постоянный процесс, который необходимо поддерживать постоянно.

Начинаем следующий спринт российского ИБ и обсудим его итоги через год.

Полезные ссылки:

Как на The Standoff атаковали и защищали объекты КИИ

Ученье — свет: как мы воевали на The Standoff

Кибербезопасность АСУ ТП. Обзор специализированных наложенных средств защиты

Критерии выбора наложенных средств защиты АСУ ТП в России

Почему объект КИИ лучше защищать ещё на этапе его строительства и как это организовать