Positive Hack Days 12: доверие к технологиям невозможно без гарантий защищенности, которая может быть достигнута за счет объединенияэкспертного комьюнити
26/05/23
В Парке Горького завершился 12-й Positive Hack Days, организованный компанией Positive Technologies, лидером в области результативной кибербезопасности. В этом году мероприятие вышло на новый уровень, превратившись в большой городской киберфестиваль. Его ключевыми идеями стали повышение доверия к технологиям и развитие осознанности их использования через киберграмотность. Интерес широкого круга пользователей, представителей бизнеса, государства и СМИ к мероприятию лишний раз подчеркивает, что информационная безопасность сегодня касается каждого.
Гости открытого пространства киберфестиваля — кибергорода — узнали, как не стать жертвами мошенников на маркетплейсах, а также об особенностях ChatGPT, выборе безопасного VPN и других аспектах IT и ИБ. В рамках конференционной части киберфестиваля эксперты обсудили переход госорганов и частных компаний к результативной безопасности, стратегию объединения комьюнити, методы безопасной разработки, развитие рынка багбаунти. Подошла к концу кибербитва Standoff: за четыре дня атакующим в вымышленном Государстве F (но с настоящими системами управления и защиты) удалось реализовать недопустимые события 204 раза, а защитникам — расследовать 43 атаки. Если специалистам по кибербезопасности, участвовавшим в битве, придется встретиться с аналогичной активностью злоумышленников в своих компаниях, они будут готовы эффективно реагировать на нее.
ГАРАНТИРОВАННАЯ ЗАЩИТА КАК РЕЗУЛЬТАТ: КТО ЗА ЭТО В ОТВЕТЕ
Тема результативной кибербезопасности осталась ключевой и для конференционной части второго дня.
Владимир Бенгин, директор департамента кибербезопасности Минцифры России, удивился полному залу субботним утром. Он напомнил, что специалистам по ИБ в любом случае приходится отвечать непосредственно за результат.
Мы ждали, что бизнес нас услышит, — вот он услышал. Компаниям все равно, какие средства защиты внедрены: им важны результат и понимание того, кто за него отвечает. К сожалению, безопасники до сих пор очень часто не могут объяснить, каким он будет. Внедрение некоей популярной системы защиты — это не результат. Нормальный результат — это когда специалист по безопасности сообщает руководству о том, что конкретно сегодня уязвимости в компании устраняются, скажем, в течение 127 дней и это слишком рискованно: надо, чтобы в критически значимых сегментах они устранялись за 12 часов, а для этого необходимо столько-то миллионов рублей.
Два года назад на PHDays мы говорили о том, что было бы здорово, если бы руководители задумались об информационной безопасности. Бойтесь своих желаний: многие менеджеры лично узнали, что такое ИБ. С другой стороны, сейчас в отрасли кибербезопасности иначе воспринимается ответственность за результат. Если два года назад я мог назвать нашу компанию только интегратором, то сейчас мы значительно больше, чем интегратор, и отвечаем за результат, за то, чтобы хакеры не угрожали бизнесу наших клиентов. Для нас это в первую очередь репутационные риски. Мы начинаем размышлять, как по-другому, более эффективно, можно добиться результата в области ИБ.
Появляется много интересных продуктов. Клиенты пошли в сторону сервисов. Если ранее мы только рассказывали, что услуги в области ИБ могут дать большой результат в понятные сроки, то сейчас сервисы становятся востребованными практически по всем направлениям. Единственное исключение — услуги страхования, которые почему-то не взлетают.
Основное изменение последнего года — новое отношение собственников к вопросам ИБ. Взломали очень много организаций, в результате чего многие перешли от парадигмы „ИБ — это постоянное совершенствование и обучение” к вопросу о конкретных результатах. Наличие на российском рынке компаний, позволяющих получить результат сразу, а не по прошествии полугода или года, — это очень хорошо. Когда перед нами встала задача по защите электронной почты, мы за три дня подключились к сервису, тогда как сами, по первоначальной оценке, готовились бы к таким работам 3,5 месяца. Но в текущих условиях этого времени нет. И от вечной непрерывности мы переходим к конкретике.
ПРО БАГБАУНТИ КАК ЭЛЕМЕНТ РЕЗУЛЬТАТИВНОЙ БЕЗОПАСНОСТИ
Невозможно говорить о результативной кибербезопасности без осознанного использования программ багбаунти: об этом в течение прошлого года не говорили разве что из утюга (хотя разместить умный утюг на платформе багбаунти вполне реально). О том, каких конкретных результатов удается достичь, используя такие программы, подискутировали в рамках деловой части киберфестиваля.
Багбаунти — это суперкрутой стресс-тест огромного числа внутренних процессов вашей организации. Мы запустили программу сразу на двух коммерческих площадках— Standoff 365 и BI.ZONE Bug Bounty. В целом мы были уверены в защищенности Госуслуг, потому что пентест наших систем проводила практически каждая российская компания в сфере ИБ. Всего в багбаунти участвовали около 8 тысяч человек. На обеих площадках сданы сотни отчетов, результатом стало больше 30 подтвержденных уязвимостей. Найдены и критически опасные недостатки, максимальная выплата составила 350 тыс. рублей. В дальнейшем будем думать, как этот опыт масштабировать. Для компании или организации в смысле проверки защищенности нет ничего дешевле и эффективнее багбаунти.
Нам встречались неожиданные предложения организовать тестирование чуть ли не из конкретного пункта выдачи заказов.
Некоторые специалисты по ИБ могут полагать, что и так знают уязвимости в системах своей компании, поэтому откладывают проверки на багбаунти-платформах. В других организациях могут думать, что если запустить программу, то придется признать, что бреши в защите есть. Руководство может относиться к уязвимостям как к недоработке в отделе безопасности и принимать разные меры. Вероятно, существует и необоснованное опасение, что багбаунти может использоваться черными хакерами. На самом деле ситуация обратная: программа позволяет монетизировать уязвимости в правовом поле, чтобы люди не пытались продать информацию о них где-то в даркнете. Мое мнение, что в багбаунти надо обязательно участвовать.
Мы зрелая IT-компания, поэтому у нас не было страхов по поводу участия в багбаунти на платформе Standoff 365. Конечно, это не всегда приятно, когда ты вроде бы все проверил в плане уязвимостей, а тебе принесли еще в рамках программы. Но если в компании три релиза в день, то невозможно сразу же все проверить на 100%, поэтому багбаунти очень помогает.
Неизвестно, что происходит внутри инфраструктуры, необязательно, что все уязвимости обнаружат в рамках багбаунти. Здесь нужен SOC. У нас, кстати, каждый найденный недостаток проверяется: почему WAF не отработали, почему команда AppSec на первых этапах не обнаружила эту уязвимость инструментально и т. д. Мы рассматриваем всю цепочку и стараемся исключить появление брешей в защите в дальнейшем.