Новости

Итоги конференции «Positive Hack Days 2017»

31.05.2017
Итоги конференции «Positive Hack Days 2017»

С 23 по 24 мая 2017 года в г. Москве состоялась VII международная конференция «Positive Hack Days 2017», организатором которой является компания Positive Technologies.

В конференции приняли участие порядка 5 тысяч человек из разных стран, в том числе представители государственных структур и крупных коммерческих компаний, специалисты по информационной безопасности (ИБ), ученые и студенты.

Тематика конференции:

  • Безопасность критически важных информационных систем.
  • Противодействие мошенничеству.
  • Киберпреступность и расследование инцидентов.
  • Государственная и корпоративная безопасность в эпоху WikiLeaks.
  • Кибервойна и кибершпионаж.
  • Защита облачных вычислений и виртуальной инфраструктуры.
  • Противодействие атакам нулевого дня.
  • Защита от распределенных атак типа «отказ в обслуживании» (DDoS-атак).
  • Безопасность автоматизированных систем управления технологическими процессами (АСУ ТП).
  • Защита бизнес-приложений и систем управления ресурсами (ERP).
  • Безопасность сетей связи.

В рамках конференции прошли мастер-классы, круглые столы с участием отечественных и зарубежных экспертов отрасли, технические семинары по результатам последних исследований в области защиты от компьютерных атак, конкурсы и соревнования по взлому и защите.

На пленарной дискуссии, посвященной обеспечению корпоративной безопасности и прошедшей с участием представителей госструктур (ФНС России, СК России, ПАО «Сбербанк»), производителей средств защиты и руководителей подразделений ИБ различных компаний, обсуждались вопросы защищенности внешнего периметра, внутренних систем, готовности обмениваться информацией об инцидентах. Модератором пленарной дискуссии стал Борис Симис, заместитель гендиректора компании Positive Technologies по развитию бизнеса.

По мнению участников дискуссии, в современном мире невозможно построить закрытую и стопроцентно защищенную систему. Необходимо учитывать, что в каждом продукте со временем будут обнаружены уязвимости. Проблемы информационной безопасности во многих компаниях связаны с оторванностью от практики (преобладает так называемая «бумажная» безопасность), отсутствием компетентных специалистов в области ИБ, безалаберностью, примером которой являются неустановленные вовремя обновления. Кроме того, процедура обновления операционной системы и программного обеспечения зачастую требует от компании приостановки рабочих процессов, что не всегда приемлемо и возможно. Недавний пример масштабной компьютерной атаки с использованием троянской программы-вымогателя WannaCry, эксплуатирующей уязвимость, для которой уже были выпущены обновления, продемонстрировал насколько уязвимы системы современной цифровой экономики по причине масштабного использования устаревших версий операционных систем. Одновременно ситуацию усугубляет присутствие уязвимых машин во внешнем периметре организации.

Многие организации не знают и не могут контролировать свой внешний периметр. Было озвучено мнение, что чем крупнее компания, тем хуже она знает свой периметр. В качестве трех основных проблем защиты периметра были выделены: использование стандартных паролей, наличие в корпоративных сетях незащищенных устройств из области Интернета вещей, разработка приложений без учета практик и инструментальных средств разработки безопасных (Secure Development Lifecycle, SDL) приложений.

Обсуждался вопрос защищенности внутренней сети организации. Исследования компании Positive Technologies показывают, что среднее время незаметного нахождения во внутренней сети внешнего злоумышленника составляет три года. При этом для достижения своей цели (например, вывода денежных средств со счетов компании) ему требуется определенное время (приблизительно 6-7 месяцев). Таким образом, у службы ИБ есть в запасе промежуток времени на обнаружение потенциального атакующего. Одной из мер по снижению риска проникновения злоумышленника во внутреннюю сеть является выстраивание эшелонированной защиты, что позволит увеличить стоимость компьютерной атаки и другие затраты злоумышленников.

В связи с этим, по словам С. Гордейчика (Лаборатория Касперского), службы ИБ должны четко знать свои системы и периметр, регулярно их тестировать на проникновение, проводить оценку рисков и работать, исходя из парадигмы, что их системы уже взломаны, и необходимо обнаружить злоумышленника. Поэтому пришло время смещать фокус с превентивных механизмов защиты на детективные средства. Кроме того, поднимался вопрос взаимодействия и согласованной работы всех подразделений, отвечающих за ИБ и ИТ.

Большинство участников дискуссии однозначно выступили за обмен информацией об инцидентах в своих системах. Другой точки зрения придерживается представитель ФНС России (А. Баранов), по мнению которого эффективный обмен невозможен, т. к. большинство организаций не будет предоставлять подобную информацию, опасаясь испортить себе имидж. Остальные участники дискуссии считают, что сообщать об инцидентах необходимо, отмечая, что речь идет не о последствиях компьютерных атак для организации, а об их индикаторах, сигнатурах и методах. Некоторые участники отметили, что уже участвуют в подобном информационном обмене.

В завершении дискуссии участники выразили единогласное мнение о необходимости повышения культуры информационной безопасности обычных пользователей, которые часто сами отдают свои конфиденциальные данные злоумышленникам, и чьи устройства незаметно для своих владельцев становятся частью бот-сетей. А. Баранов выразил точку зрения, что вопросами повышения компьютерной грамотности граждан должно заниматься государство, но в настоящее время государственные разработки и решений в данной сфере отсутствуют.

В рамках дискуссии, посвященной цифровизации экономики, было отмечено, что наравне с развитием экономики данный процесс порождает увеличение числа угроз и рисков информационной безопасности для неё. Представитель Российской ассоциации электронных коммуникаций (С. Плуготаренко) отметил, что рост компьютерных атак по всему миру составляет 3% в месяц, каждая пятая компания в мире сталкивалась с компьютерными атаками с применением программ-вымогателей.

По мнению представителя компании Positive Technologies Д. Финогенова, государство видит проблему ИБ. Так, в течение последних лет был подготовлен ряд нормативно правовых документов по тематике информационной безопасности. В их числе: Доктрина информационной безопасности Российской Федерации, Стратегия развития информационного общества в Российской Федерации на 2017-2030 годы, проект Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» (принят в первом чтении в Государственной Думе Российской Федерации, второе чтение запланировано на 21 июня 2017 года).

На секции под названием «Эволюция SOC — 2017: план развития» участники делились опытом создания и обеспечения функционирования центров мониторинга и реагирования на компьютерные инциденты. Было отмечено, что для создания SOC компании необходимо достигнуть определенного уровня зрелости. Наряду с традиционными техниками (мониторинг и реагирование на инциденты) службам ИБ в организациях необходимо регулярно проводить аудит своих систем защиты, анализировать полученные данные с целью обогащения контекстом, что должно стать основой так называемого «когнитивного SOC». Представитель компании IBM (Э. Бейбутов) отметил, что одной из задач SOC является работа в режиме 24/7.

Представитель ПАО «Сбербанк» (А. Лесников) рассказал, что для эффективного выстраивания процесса обнаружения угроз (threat intelligence) компании необходимо иметь следующих специалистов: аналитиков по управлению данными, аналитиков по анализу компьютерных угроз, аналитиков по поиску компьютерных угроз, аналитиков по управлению сценариями.

В рамках первого дня конференции эксперты компании Positive Technologies рассказали о повсеместной незащищенности устройств из области Интернет вещей, продемонстрировав то, как злоумышленники могут взломать самые разные устройства. По данным компании, в мире более 3,5 млн уязвимых веб-камер. Для получения доступа к отдельно взятой веб-камере достаточно 60 секунд, пары запросов в поисковой системе Shodan и одного запроса в Google. Более 90% всех камер видеонаблюдения, которые используются в корпоративной среде, имеют критически опасные уязвимости. Также уязвимы и домашние маршрутизаторы: примерно 15 из 100 роутеров имеют пароли, установленные по умолчанию. Достаточно знать всего пять самых популярных пар логин/пароль, чтобы получить доступ к каждому десятому устройству. Наряду с этим в настоящее время отсутствует стандартизация в сфере Интернета вещей.

Отдельные доклады были посвящены векторам заражения и механизмам устойчивости операционной системы Mac OS, опасным уязвимостям в мессенджерах WhatsApp и Telegram, уязвимостям промышленных SCADA-систем.

Специалисты компании Positive Technologies продемонстрировали способы перехвата СМС-сообщений и привели следующую статистику: выявлено более 50 различных атак через протоколы SS7: раскрытие идентификатора мобильного абонента (IMSI), раскрытие местоположения, отказ в обслуживании, перехват и подмена СМС-сообщений, перехват звонков, чтение чатов WhatsApp и Telegram. В частности, на основе данных аудитов мобильных операторов установлено, что в 50% случаев возможен перехват и прослушивание голоса, в 58% случаев можно определить местоположение абонента, в 89% — возможен перехват СМС.

В рамках секции «АнтиПленарка. Безопасность и технологии: личный взгляд лидеров мнений», модератором которой выступил представитель компании Positive Technologies Алексей Качалин, эксперты в области ИБ делились личным опытом и видением актуальных проблем отрасли. Прозвучало мнение, что информационная безопасность должна преобразоваться из ограничителя бизнес-процессов в их драйвер, встраиваясь в каждый технологический процесс.

Для проведения соревнования по взлому и защите под названием «Противостояние» была построена модель целого города с заводами, «умными» домами, финансовыми организациями, ТЭЦ, транспортной и телекоммуникационной инфраструктурами. Участники были поделены на команды атакующих, защитников, и специалистов SOC. В результате двух дней соревнования командам атакующих удалось перехватить СМС-сообщения мэра города, похитить из городского банка крупную сумму денег, украсть финансовую отчетность компании, взломать умный дом, получить доступ к веб-камере, нарушить работу двух предприятий города — ТЭЦ и нефтеперерабатывающего завода. Таким образом, были продемонстрированы на практике актуальные угрозы информационной безопасности, их разрушительные последствия и всеохватывающий характер.