ИТ-портал компании «Инфосистемы Джет»

Что реально волнует ИБ: 5 главных тем Positive Hack Days

21–22 мая в международном выставочном центре «Крокус Экспо» прошел девятый ежегодный форум по практической информационной безопасности Positive Hack Days «Взлом константы». Участники мероприятия отметили, что крупнейшее российское событие в сфере ИБ в этом году сфокусировалось на промышленности и новом В2С-рынке — услугах информационной безопасности для VIP-персон.

На мероприятии собрались эксперты в сфере ИБ и ИТ из разных стран, молодые ученые, представители бизнеса и власти. За два дня на площадке прошло более 100 докладов, мастер-классов, секций и соревнований. Мы выделили 5 тем, которые волновали большинство участников Positive Hack Days.

Безопасность промышленности

«Эту конференцию можно считать знаковой в том смысле, что она всё больше разворачивается в сторону промышленности, — говорит директор Центра информационной безопасности компании «Инфосистемы Джет» Андрей Янкин. — Сейчас промышленные предприятия начинают активно заниматься защитой АСУ ТП, обращают внимание на целевые атаки, эта отрасль находится в состоянии “низкого старта” относительно всей ИБ-сферы».

Эксперт отметил, что заниматься ИБ промышленников сподвигла эпидемия шифровальщиков 2017 года. Тогда у компаний возникли серьезные проблемы: останавливались прокатные станы, вставала погрузка вагонов, «глохла» логистика. Эта волна заражений поменяла мировоззрение представителей промышленности сильнее, чем государственное регулирование или несколько лет работы маркетологов.

При этом нужно понимать, что процессы планирования в промышленности идут не так, как в ИТ-компаниях или в сфере финтеха. Из-за особенностей работы оборудования (например, некоторые установки останавливают лишь раз в 3–4 года) эта сфера менее гибкая и подвижная. Поэтому перемены, начавшиеся в 2017 году, начинают воплощаться в «железе» только сейчас, в середине 2019 года. В промышленности, если не считать предприятия нефтегазового сектора, до сих пор не началась массовая реализация крупных ИБ-проектов.

«В этой отрасли совершенно другие масштабы времени, и индустрия только раскручивается. Я думаю, что крупные внедрения начнутся не раньше следующего года, сейчас компании присматриваются, тестируют и запускают пилотные ИБ-проекты», — подчеркивает Андрей.

«Основной список ИБ-тем для В2В уже сформирован»

Андрей Янкин, директор центра информационной безопасности «Инфосистемы Джет»:

«Темы, которые поднимались на Positive Hack Days, были инновационными для рынка, но при этом не стали чем-то из ряда вон выходящим для самой конференции. Например, тема IoT-безопасности активно обсуждалась уже около пяти лет назад, влияние искусственного интеллекта и машинного обучения стали обсуждать примерно полтора года назад. DevSecOps, Data Security, Application Security — все это в новинку, например, для промышленности, но на ИБ-конференциях об этом говорили не один раз. На мой взгляд, это отражает ситуацию, сложившуюся на рынке. Основной список трендов, драйверов и проблем уже сформирован, теперь нужно решать их, делиться лучшими практиками и развиваться. В то же время ключевые темы не скоро перестанут быть актуальными. Возьмем проблему кадрового голода — я не помню времени, когда бы ее не обсуждали.

Мы также зафиксировали новую историю в сегменте В2С — оказание ИБ-услуг для селебрити. Здесь есть спрос и отсутствует предложение, что оказалось неожиданностью для многих, в том числе для меня. Очевидно, что потенциально это целый рынок, но пока его сложно оценить в деньгах. Налицо и психологическая проблема: звезды хоть и зарабатывают на Instagram, но не готовы платить за защиту своих страниц, ведь еще вчера этой статьи расходов просто не существовало».

Искусственный интеллект

Отметим, что средства защиты постепенно усложняются: когда-то было достаточно обычной сигнатуры. Затем появились полиморфные вирусы и поведенческий анализ, произошел переход к сбору статистики и анализу аномалий. Соответственно, современное использование методов ИИ (например, для анализа трафика или логов) воспринимается как логичная эволюция.

На конференции отмечали, что использование ML-алгоритмов провоцирует возникновение новых проблем. Например, модели машинного обучения тестируют в статичной среде, где точность зависит от количества данных каждого конкретного класса. При этом в реальности такое же распределение гарантировать невозможно.

«Для ИБ-решений определенного класса наступил момент, когда заложенных в них методов стало недостаточно. Злоумышленники научились их обходить, прятаться от них, или же объем данных настолько велик, что сигнатурные методы просто не справляются, — рассказывает директор экспертного центра безопасности компании Positive Technologies Алексей Новиков. — Поэтому всё активнее используют машинное обучение и анализ Больших Данных».

Безопасность приложений

Незащищенные приложения остаются одним из самых популярных способов проникновения злоумышленников в ИТ-инфраструктуру компании, уступая лишь различным методам социальной инженерии, таким как фишинг. По данным Positive Technologies, 19% веб-приложений содержат уязвимости, которые позволяют получить контроль как над самим приложением, так и над ОС сервера. В среднем в одном веб-приложении содержатся 6 критически опасных уязвимостей.

Эта проблема не нова. Представители бизнеса и разработчики постоянно работают над тем, чтобы сократить время вывода продуктов на рынок (time-to-market) и успеть за стремительно изменяющимися потребностями пользователей. И если безопасность не встроена в процесс разработки, на выходе возникают вполне ожидаемые проблемы: в продукте находят уязвимости.

«В подобной модели работы вина зачастую лежит и на представителях ИБ, — уверен Андрей Янкин. — Если они не могут предложить решения, которые соответствуют жизненному темпу бизнеса, они по факту вредят всей компании. Возможно, стоит обратить внимание на DevSecOps — операционную модель, при которой безопасность обеспечивается на каждом этапе разработки приложений».

Кадровый вопрос

Проблема кадров — это тема, которую обсуждают уже давно и будут обсуждать еще долгое время. В 2017 году о нехватке кадров говорил директор по исследованиям Gartner Сиддхарт Дешпанде. В 2018-м директор продуктового офиса «Информационная безопасность» «Ростелекома» Станислав Барташевич прогнозировал, что в ближайшие два года будет иметь место дефицит специалистов по ИБ на уровне 50–60%. В январе этого года специалисты аналитического центра Anti-Malware подтвердили: нехватка ИБ-специалистов — одна из серьезнейших проблем отечественных компаний.

«Это колоссальная проблема, и мы постоянно ищем талантливых сотрудников, которые готовы работать и развиваться, — подтверждает Алексей Новиков. — С точно такими же трудностями сталкиваются заказчики. Доходит до такого, что у компании в бюджете заложены десятки миллионов рублей на информационную безопасность, но в штате всего 2 ИБ-специалиста и банально не хватает рук».

Главная причина проблемы, по мнению многих экспертов — косность отечественной системы образования, которая не успевает готовить необходимое количество кадров. ИБ развивается стремительными темпами, и отрасли необходимы специалисты по Reverse Engineering, пентестеры, вирусные аналитики, специалисты по безопасности АСУ ТП и IoT. Учитывая, что это новые специализации, а в среднем на подготовку соответствующего сотрудника уходит около пяти лет, неудивительно, что насыщения рынка не произошло и вряд ли оно произойдет в ближайшие годы.

VIP-уязвимости

Есть отдельное ответвление В2С-рынка, которое до сих пор ускользало от пристального внимания ИБ-специалистов, — это оказание ИБ-услуг для VIP-персон. Об этом подробно говорили на сессии «Информационная безопасность и личность». Екатерина Одинцова — телеведущая и руководитель агентства PR Trend — рассказала о том, что очень большой объем рекламного рынка сейчас переместился в соцсети, а конкретно в Instagram. Один пост у топового блогера стоит в среднем от 500 тыс. до 1 млн руб.

Селебрити и раньше интересовали злоумышленников, поскольку информацию о них легко продать в СМИ. Сегодня Instagram-страницы звезд постоянно взламывают, после чего у их владельцев вымогают деньги. Екатерина отметила, что после массового взлома блогеров в 2015 году многие из них платили шантажистам, чтобы вернуть себе контроль над аккаунтами и не допустить распространения личной информации. Причем суммы доходили до 10 млн рублей.

«У VIP-персон совершенно точно есть потребность в обучении, постоянном кураторстве и регулярном консалтинге по ИБ-вопросам», — подчеркнула Екатерина. — Полагаю, что звезды готовы платить за это регулярно. Сколько? В среднем, стоимость одного поста в Instagram».

«Лично я считаю, что пора заканчивать заниматься "цифровым стриптизом" и переходить к здоровой профессиональной паранойе относительно хранения, передачи или использования информации. Если она представляет ценность для вас, она представляет ценность и для кого-то еще», — резюмировал модератор сессии, генеральный директор Group-IB Илья Сачков.

ИБ-эксперты «Инфосистемы Джет» одержали победу среди команд защитников в The Standoff на PHDays9

На форуме уже традиционно прошла кибербитва The Standoff («Противостояние»): за контроль над инфраструктурой виртуального мегаполиса F 28 часов непрерывно сражались 18 команд атакующих и 5 команд защитников при поддержке 3 экспертных центров безопасности (SOC). «Инфосистемы Джет» в соревновании представляли 2 команды. Jet Security Team выступила расширенным составом: отражать атаки на вверенный ей офис морской транспортной компании Heavy Ship Logistic помогали специалисты Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT. Тщательная подготовка, высокие компетенции в области ИБ и слаженность действий принесли Jet Security Team первое место среди защитников по итогам конкурса. Другая команда Jet Antifraud Team выявляла и пресекала попытки мошеннических действий с банковскими счетами и, по условиям соревнования, сражалась в кибербитве вне рейтинга. Усилиями команды за все время «Противостояния» не была пропущена ни одна атака на банк и его сервисы.

Вернуться к архиву
О журнале

Журнал Jet Info регулярно издается с 1995 года.

Узнать больше »
Подписаться на Jet Info

Хотите узнавать о новых номерах.

Заполните форму »
Контакты

Тел: +7 (495) 411-76-01
Email: journal@jet.su