Живая демонстрация мероприятия происходила одновременно в ходе самой масштабной открытой кибербитвы в мире The Standoff.

Перечислим несколько инцидентов, осуществленных атакующими за четыре дня The Standoff: остановка добычи нефти (в инфраструктуре нефтегазовой компании Tube, которая занимается добычей, переработкой, хранением и сбытом нефти и газа), блокирование нефтепродуктопровода, нарушение работы сооружений для очистки сточных вод. Реализации подобных угроз в реальной жизни могла бы привести к тяжелейшим последствиям. Хакеры также довели до завершения свои атаки на колесо обозрения, телетрап и многие другие объекты виртуального государства F.

Всего атакующие 63 раза реализовали недопустимые события, 30 из них были уникальными. Пострадали практически все компании, за исключением банковской системы. В систему продажи железнодорожных билетов вмешались 14 из 17 красных команд. Произошло также внедрение вредоносного кода в процесс разработки.

Победителями киберучений со стороны атакующих стала команда Codeby (27 715 баллов), на втором месте — True0xA3 (23 381 балл), на третьем — Invuls (12 352 балла). За четыре дня учений атакующие сдали 295 отчетов об уязвимостях. Около 40% всех отчетов сдали три команды: Codeby, DeteAct и Bulba Hackers. Наибольшее количество уязвимостей обнаружено в транспортной компании Heavy Logistics.

Команды защитников за четыре дня предоставили 287 отчетов об инцидентах и десять отчетов о расследованиях. Больше всего отчетов сдала команда ZoneZone. Минимальное время расследования составило 1 час 13 минут, а среднее — 9 часов 15 минут.

Как атаковали Rutube

Ближе к вечеру второго дня PHDays 11 гости эфирной студии поделились деталями недавней атаки на видеохостинг Rutube. Александр Моисеев, заместитель генерального директора компании «Газпром-Медиа Холдинг», рассказал, что инфраструктура сервиса значительно пострадала, при этом пользовательские данные затронуты не были, что явно указывает на цель преступника — полное уничтожение видеоплатформы. Алексей Новиков, директор экспертного центра кибербезопасности Positive Technologies, чья команда проводила расследование инцидента, отметил, что злоумышленники использовали общедоступный инструментарий, в том числе Cobalt Strike, который применяют многие пентестеры, а также традиционные для системных администраторов инструменты. Александр Моисеев добавил, что на грядущем ПМЭФ «Газпром-Медиа Холдинг» планирует провести сессию, где подробно расскажет об инциденте с точки зрения его воздействия на пользователей.

В банках создаются антикризисные группы реагирования

В эфирной студии форума также обсудили значение кибербезопасности для топ-менеджмента финансовой отрасли.

Роман Чаплыгин, директор направления по развитию бизнес-консалтинга Рositive Тechnologies, рассказал о создании в компаниях целых антикризисных групп реагирования на киберинциденты, в состав которых могут входить не только руководители, но и обычные сотрудники, обладающие рядом ценных компетенций.

«Если раньше тема кибербезопасности у топ-менеджмента финсектора была в самом низу списка важных дел, то сейчас высшее руководство собирается и вникает в суть проблемы “в моменте”: создаются антикризисные комитеты, срочно выясняется, что атакуют в компаниях и как это сказывается на положении дел», — заявил Роман Чаплыгин.

Павел Климович, независимый эксперт, обратил внимание на то, что топ-менеджмент банков стал фокусироваться на реальных угрозах. До 2022 года список таких угроз доходил до сотни. Сейчас во многих компаниях запущен процесс переоценки реальных рисков — фокус смещается на то, что действительно важно.

ИИ нам поможет

Возможности и задачи ИИ обсуждали в эфирной студии форума Игорь Пестрецов, специалист отдела перспективных технологий Positive Technologies, и Михаил Трофимов, преподаватель DataGym, практик со стажем и обладатель статуса Kaggle Grandmaster. Эксперты рассказали о применении ИИ в разных областях жизни, в том числе в ИБ, о количественном росте использования нейросетей в будущем и о трансформации многих популярных профессий.

Большой интерес аудитории вызвал доклад Валентины Пугачевой, разработчика алгоритмов машинного обучения отдела разработки ПО Security Vision, «Выбор для поиска аномалий в сетевом трафике». В ходе выступления Валентина рассказала об алгоритме ML, опыте Security Vision в части применения ряда методов машинного обучения без учителя для решения задачи детектирования аномалий в логах пакетов сетевого трафика, поступающих в реальном времени, и группировке найденных аномалий в инциденты ИБ.

Эффективное взаимодействие SOAR и SIEM для построения SOC

С февраля количество инцидентов ИБ увеличилось, возросла нагрузка на SOC. Анжелика Свойкина, пресейл-инженер компании Security Vision, рассказала об использовании SOAR-систем для закрытия инцидентов ИБ.

«SIEM зачастую выдает десятки миллионов инцидентов в день. По сравнению с первым кварталом 2021 года количество инцидентов увеличилось более чем в четыре раза. Несмотря на это, доля умных и сложных атак уменьшилась: многие рядовые пользователи подключаются к ботнетам или пользуются инструкциями в телеграм-каналах атакующих. Кроме того, если раньше продолжительность атак измерялась минутами, то после февраля средняя продолжительность увеличилась до нескольких часов, а многие длятся несколько дней. Это все приводит к огромной нагрузке на аналитиков SOC», — отметила Анжелика Свойкина.

По ее словам, эту нагрузку можно снизить с помощью взаимодействия SIEM- и SOAR-платформ, используя тикетинг, автоматизацию рабочих процессов по закрытию инцидентов, коннекторы и так далее.

О практике оценки уровня зрелости процессов SOC на основе MITRE ATT&CK участникам мероприятия рассказал Данила Луцив, руководитель отдела развития Security Vision. По его мнению, «с возникновением MITRE ATT&CK фреймворка наконец появилась возможность не только идентифицировать гэпы в процессе как detection, так и response, но и на основании процессов, связанных с MITRE ATT&CK, выстраивать процесс технической экспертизы непосредственно “здесь и сейчас” вне зависимости от того, на каком уровне вы находитесь».

Также в последние месяцы в России участились не только атаки со стороны хактивистов, но и атаки киберпреступников, нацеленных на финансовую выгоду. Об этом рассказал Олег Скулкин, руководитель лаборатории цифровой криминалистики и исследования вредоносного кода Group-IB.

После Positive Hack Days 11 изменения в ИБ происходят быстро и локально

В своем докладе Сергей Голованов, главный эксперт «Лаборатории Касперского», представил данные с конца зимы этого года, полученные с помощью статистических систем Kaspersky, рассмотрел произошедшие киберинциденты и рассказал о тактиках и средствах, которыми пользовались злоумышленники.

После 23 февраля этого года в сфере ИБ произошли значительные изменения. Как отметил Сергей Голованов, если во времена активного распространения COVID-19 они были постепенными и глобальными, то в этом году все случилось очень быстро и локально.

«Этот день можно увидеть в статистике системы KasperskyWho Calls. Ни одного звонка телефонного мошенника 24 февраля не было. В дальнейшем мошеннические звонки вернулись, но до сих пор их количество еще не достигло значений начала февраля. С чем это связано? Например, 15 апреля в новостях показали логово мошенников в Бердянске, которые обманывали россиян. Можно догадаться, кто за этим стоит, — пояснил Сергей Голованов. — По данным нашего поисковика по дарквебу, количество объявлений в даркнете с упоминанием российских банков в этот же день значительно уменьшается, затем их число вдруг резко растет, а на данный момент опять упало в ноль».

SOC on-premise: как построить, чтобы не было больно

Не все заказчики готовы передать SOC на аутсорс, поэтому пытаются строить подобные центры у себя. Ввиду геополитической необходимости многие компании в последние месяцы выполнили категорирование, проектирование и внедрение СОИБ и подготовились к тому, чтобы реализовывать функцию мониторинга в своей инфраструктуре и взаимодействовать с НКЦКИ (Национальным координационным центром по компьютерным инцидентам). Третьим катализатором выступил первомайский Указ Президента Российской Федерации «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».

«При построении SOC в первую очередь нанимают консультанта, который поможет избежать граблей и трат на переделку. Но если такой человек уходит, компания может, по сути, остаться с чемоданом без ручки и столкнуться с проблемами дальнейшего развития SOC. Еще один опасный вариант — когда быстро и дешево. На бумаге может быть все нормально, компоненты будут присутствовать, контент внутри SIEM может существовать, но первый же пентест покажет, что SOC ничего не видит», — отметил Андрей Прошин, руководитель направления центра Solar JSOC «Ростелеком-Солар».

Облик современного ЦОД — какой он?

Айрат Мустафин, генеральный директор компании Liberum Navitas, затронул тему ЦОД завтрашнего дня, заявив, что центры хранения и обработки данных выходят на новый уровень развития и последуют за банками и интернет-сайтами, которые стали экосистемами. Это означает взаимодействие с обществом и человеком по большому числу направлений. «То, чем мы пользуемся сейчас, было создано давно. Это же касается и ЦОД — многие из них расположены на бывших складах, узлах связи и в других не предназначенных для этого строениях. Даже сегодня центры обработки данных строятся из сэндвич-панелей. Кроме того, большинство ЦОД в России построены в западной части страны, а дальше Урала их нет. В современном ЦОД необходим как минимум высокий уровень роботизации, включая, например, перемещение серверов между стойками с помощью роботов-помощников», — сообщил Айрат Мустафин.

Особенности построения процесса управления инцидентами в MSSP-модели

Роман Овчинников, руководитель отдела исполнения Security Vision, поделился принципами управления инцидентами в MSSP-модели и рассказал о построении взаимодействия с клиентами, способах оказания услуг, проблемах географически распределенных инфраструктур и особенностях отчетности. «За последнее время на MSSP-рынке было два больших этапа роста. Первый был связан с пандемией и массовым переходом на удаленную работу, а второй — с известными февральскими событиями», — отметил Роман Овчинников.

Охота на современные атаки на инфраструктуру Active Directory

Теймур Хеирхабаров и Демьян Соколин из компании BI.ZONE поделились информацией об атаках на службу сертификации Active Directory и рассмотрели наиболее интересные и эффективные техники из арсенала злоумышленников с позиции blue team и SOC. Они также рассказали, как можно выявлять эти техники по штатным логам Windows и какие правила корреляции могут быть созданы в SIEM-системе.

Эксперты отметили, что инфраструктура Active Directory и связанные с ней сервисы сегодня являются неотъемлемой частью практически любой корпоративной сети. А Active Directory как один из ключевых элементов инфраструктуры — лакомый кусочек для злоумышленников. Максимальные привилегии, полученные в домене, распахивают перед атакующими «двери» в инфраструктуру либо (если «двери» не интегрированы с Active Directory) упрощают их открытие.

Снова про безопасную разработку

О том, что такое безопасная разработка в ИБ и почему это важно, говорили Алексей Жуков, руководитель направления по развитию продуктов для DevSecOps Positive Technologies, Алексей Бабенко, заместитель руководителя центра программных решений НСПК, и Владимир Кочетков, руководитель отдела исследований и разработки анализаторов кода Positive Technologies. Они рассказали о своем видении безопасной разработки в ИБ и о том, что нужно делать, чтобы привить разработчикам умение писать код без ошибок.

«Безопасность приложения должна обеспечиваться начиная с планирования архитектуры и заканчивая деплоем. Такая концепция подразумевает, что на всех этапах разработки продукт должен быть безопасным», — считает Владимир Кочетков.

Алексей Жуков отметил важность диалога с разработчиками и необходимость мотивировать их писать безопасный код. «Нужно заинтересовать людей писать код без ошибок. Мотивация разработчиков может быть разной — от повышения зарплаты до заинтересованности в повышении своей стоимости на рынке труда. Нематериальные меры поощрения также важны», — отметил Алексей Жуков.

Алексей Бабенко заявил, что известный скепсис разработчиков в отношении безопасников уйдет, когда безопасность станет частью разработки.

Bug bounty: взгляд разработчиков, пользователей, хакеров

Участники круглого стола обсудили развитие российских платформ bug bounty, в том числе The Standoff 365 Bug Bounty: проблемы запуска, определения вознаграждения хакеров, бюджета на поиск и устранение уязвимостей, а также перспективы этого рынка.

Ярослав Бабин, директор The Standoff 365, рассказал о переосмыслении подхода к bug bounty на новой платформе: «Импакт заказчику не всегда понятен, а хакер может добиться большего, чем вы могли предполагать. Мы предлагаем платить хакеру не просто за какие-то уязвимости, а за сбор уязвимостей в цепочку и последовательность».

Евгений Волошин, директор блока экспертных сервисов BI.ZONE, считает, что bug bounty в России в настоящее время — это мейнстрим. «Сегодня почти одновременно стартуют сразу три платформы. Это уже требование рынка и необходимость. У больших платформ есть свои проблемы, своя история, а мы не отягощены каким-то наследием, у нас есть возможность сделать все классно с самого начала».

Владимир Бенгин, директор департамента обеспечения кибербезопасности Минцифры, уверен, что с помощью экспертов можно устранить проблемы развития платформ bug bounty в России: «В Минцифры слышали мнение о том, что bug bounty можно трактовать как некую серую зону. Мы ждем, что эксперты и те, у кого уже есть опыт в этой сфере, скажут, как они видят решение этой проблемы. Если нужно принять какие-то законы или иные меры — мы открыты».

Тему bug bounty и появление новой платформы The Standoff 365 Bug Bounty также обсудил Владимир Заполянский со своими гостями в эфирной студии PHDays 11.

«Мы — агрегатор между бизнесом и хакерами, — рассказал Ярослав Бабин. — Наша задача — привлечь и тех, и других. Наши отношения с хакерским сообществом всегда были хорошими. У нас есть форум PHDays, киберучения The Standoff. Мы еще не успели запуститься, а на платформе уже зарегистрировались 366 хакеров. С исследователями проблем не будет, комьюнити будет расти».

Технический директор «Азбуки вкуса» Дмитрий Кузеванов считает, что до запуска Bug Bounty от Positive Technologies на российском рынке просто не существовало достойной платформы, потому что необходимо доверие со стороны компаний и хакеров.