Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Positive Hack Days 12: доверие к технологиям невозможно без гарантий защищенности, которая может быть достигнута за счет объединенияэкспертного комьюнити

26/05/23

10_24_1ff3650d36

В Парке Горького завершился 12-й Positive Hack Days, организованный компанией Positive Technologies, лидером в области результативной кибербезопасности. В этом году мероприятие вышло на новый уровень, превратившись в большой городской киберфестиваль. Его ключевыми идеями стали повышение доверия к технологиям и развитие осознанности их использования через киберграмотность. Интерес широкого круга пользователей, представителей бизнеса, государства и СМИ к мероприятию лишний раз подчеркивает, что информационная безопасность сегодня касается каждого.

Гости открытого пространства киберфестиваля — кибергорода — узнали, как не стать жертвами мошенников на маркетплейсах, а также об особенностях ChatGPT, выборе безопасного VPN и других аспектах IT и ИБ. В рамках конференционной части киберфестиваля эксперты обсудили переход госорганов и частных компаний к результативной безопасности, стратегию объединения комьюнити, методы безопасной разработки, развитие рынка багбаунти. Подошла к концу кибербитва Standoff: за четыре дня атакующим в вымышленном Государстве F (но с настоящими системами управления и защиты) удалось реализовать недопустимые события 204 раза, а защитникам — расследовать 43 атаки. Если специалистам по кибербезопасности, участвовавшим в битве, придется встретиться с аналогичной активностью злоумышленников в своих компаниях, они будут готовы эффективно реагировать на нее.

ГАРАНТИРОВАННАЯ ЗАЩИТА КАК РЕЗУЛЬТАТ: КТО ЗА ЭТО В ОТВЕТЕ

1_24_bfa0fdc091

Тема результативной кибербезопасности осталась ключевой и для конференционной части второго дня.

Владимир Бенгин, директор департамента кибербезопасности Минцифры России, удивился полному залу субботним утром. Он напомнил, что специалистам по ИБ в любом случае приходится отвечать непосредственно за результат.

 
Мы ждали, что бизнес нас услышит, — вот он услышал. Компаниям все равно, какие средства защиты внедрены: им важны результат и понимание того, кто за него отвечает. К сожалению, безопасники до сих пор очень часто не могут объяснить, каким он будет. Внедрение некоей популярной системы защиты — это не результат. Нормальный результат — это когда специалист по безопасности сообщает руководству о том, что конкретно сегодня уязвимости в компании устраняются, скажем, в течение 127 дней и это слишком рискованно: надо, чтобы в критически значимых сегментах они устранялись за 12 часов, а для этого необходимо столько-то миллионов рублей.
ВЛАДИМИР БЕНГИН
Директор департамента кибербезопасности Минцифры России.
 
Айдар Гузаиров, генеральный директор Innostage (компании — соорганизатора Positive Hack Days 12), заявил, что изменения за последний год в отношении целеполагания, осознанности и всего того, что творится в кибербезе, сравнимы с пятилетним периодом в более спокойные времена.
 
Два года назад на PHDays мы говорили о том, что было бы здорово, если бы руководители задумались об информационной безопасности. Бойтесь своих желаний: многие менеджеры лично узнали, что такое ИБ. С другой стороны, сейчас в отрасли кибербезопасности иначе воспринимается ответственность за результат. Если два года назад я мог назвать нашу компанию только интегратором, то сейчас мы значительно больше, чем интегратор, и отвечаем за результат, за то, чтобы хакеры не угрожали бизнесу наших клиентов. Для нас это в первую очередь репутационные риски. Мы начинаем размышлять, как по-другому, более эффективно, можно добиться результата в области ИБ.
АЙДАР ГУЗАИРОВ
Генеральный директор Innostage.
 
Сергей Шерстобитов, генеральный директор Angara Security, согласился с тезисом, что российская кибербезопасность прошла пятилетку за год, отметив, что главными бенефициарами нынешнего окна возможностей становятся отечественные разработчики.
 
Появляется много интересных продуктов. Клиенты пошли в сторону сервисов. Если ранее мы только рассказывали, что услуги в области ИБ могут дать большой результат в понятные сроки, то сейчас сервисы становятся востребованными практически по всем направлениям. Единственное исключение — услуги страхования, которые почему-то не взлетают.
СЕРГЕЙ ШЕРСТОБИТОВ
Генеральный директор Angara Security.
 
Основное изменение последнего года — новое отношение собственников к вопросам ИБ. Взломали очень много организаций, в результате чего многие перешли от парадигмы „ИБ — это постоянное совершенствование и обучение” к вопросу о конкретных результатах. Наличие на российском рынке компаний, позволяющих получить результат сразу, а не по прошествии полугода или года, — это очень хорошо. Когда перед нами встала задача по защите электронной почты, мы за три дня подключились к сервису, тогда как сами, по первоначальной оценке, готовились бы к таким работам 3,5 месяца. Но в текущих условиях этого времени нет. И от вечной непрерывности мы переходим к конкретике.
ПАВЕЛ КУЛИКОВ
CTO «СДЭК».
 

ПРО БАГБАУНТИ КАК ЭЛЕМЕНТ РЕЗУЛЬТАТИВНОЙ БЕЗОПАСНОСТИ

2_24_88a39cafaf

Невозможно говорить о результативной кибербезопасности без осознанного использования программ багбаунти: об этом в течение прошлого года не говорили разве что из утюга (хотя разместить умный утюг на платформе багбаунти вполне реально). О том, каких конкретных результатов удается достичь, используя такие программы, подискутировали в рамках деловой части киберфестиваля.

Багбаунти — это суперкрутой стресс-тест огромного числа внутренних процессов вашей организации. Мы запустили программу сразу на двух коммерческих площадках— Standoff 365 и BI.ZONE Bug Bounty. В целом мы были уверены в защищенности Госуслуг, потому что пентест наших систем проводила практически каждая российская компания в сфере ИБ. Всего в багбаунти участвовали около 8 тысяч человек. На обеих площадках сданы сотни отчетов, результатом стало больше 30 подтвержденных уязвимостей. Найдены и критически опасные недостатки, максимальная выплата составила 350 тыс. рублей. В дальнейшем будем думать, как этот опыт масштабировать. Для компании или организации в смысле проверки защищенности нет ничего дешевле и эффективнее багбаунти.
ВЛАДИМИР БЕНГИН
Директор департамента кибербезопасности Минцифры России.
 
По словам Александра Хамитова, руководителя направления безопасности приложений Wildberries, комьюнити, участвующее в багбаунти, может не только заниматься проверкой на уязвимости, но и подкидывать интересные идеи.
 
Нам встречались неожиданные предложения организовать тестирование чуть ли не из конкретного пункта выдачи заказов.
АЛЕКСАНДР ХАМИТОВ
Руководитель направления безопасности приложений Wildberries.
 
При этом многие организации пока все же не торопятся запускать багбаунти.
 
Некоторые специалисты по ИБ могут полагать, что и так знают уязвимости в системах своей компании, поэтому откладывают проверки на багбаунти-платформах. В других организациях могут думать, что если запустить программу, то придется признать, что бреши в защите есть. Руководство может относиться к уязвимостям как к недоработке в отделе безопасности и принимать разные меры. Вероятно, существует и необоснованное опасение, что багбаунти может использоваться черными хакерами. На самом деле ситуация обратная: программа позволяет монетизировать уязвимости в правовом поле, чтобы люди не пытались продать информацию о них где-то в даркнете. Мое мнение, что в багбаунти надо обязательно участвовать.
ДМИТРИЙ ГАДАРЬ
Вице-президент, директор департамента информационной безопасности Тинькофф Банка.
 
Мы зрелая IT-компания, поэтому у нас не было страхов по поводу участия в багбаунти на платформе Standoff 365. Конечно, это не всегда приятно, когда ты вроде бы все проверил в плане уязвимостей, а тебе принесли еще в рамках программы. Но если в компании три релиза в день, то невозможно сразу же все проверить на 100%, поэтому багбаунти очень помогает.
ИЛЬЯ САФРОНОВ
Директор департамента защиты инфраструктуры ИБ VK.
 
Эксперты отметили, что багбаунти — это непрерывный процесс, что является основным его преимуществом, например, перед пентестом. Результаты тестирования на проникновение устаревают в тот же день, когда оно заканчивается: инфраструктура меняется, появляются новые бреши в защите, есть теневые IT, про которые компания не знает. Багбаунти позволяет платить за результат в виде уязвимостей, а не за услугу, при этом является не серебряной пулей, а только одним из кубиков проверки защищенности.
 
Неизвестно, что происходит внутри инфраструктуры, необязательно, что все уязвимости обнаружат в рамках багбаунти. Здесь нужен SOC. У нас, кстати, каждый найденный недостаток проверяется: почему WAF не отработали, почему команда AppSec на первых этапах не обнаружила эту уязвимость инструментально и т. д. Мы рассматриваем всю цепочку и стараемся исключить появление брешей в защите в дальнейшем.
ДМИТРИЙ ГАДАРЬ
Вице-президент, директор департамента информационной безопасности Тинькофф Банка.
 
Соорганизатором PHDays и Standoff уже третий год выступает IT-компания Innostage, разработчик и интегратор сервисов и решений в области цифровой безопасности. Бизнес-партнерами фестиваля стали разработчик решений для информационной безопасности Security Vision, национальный провайдер сервисов и технологий ИБ «Ростелеком-Солар» и один из крупнейших универсальных банков России Газпромбанк. Генеральный медиапартнер мероприятия — компания VK, а генеральный информационный партнер — Rambler&Co. Информационным партнером деловой части фестиваля стала группа компаний «РБК». Технологический партнер — «Азбука вкуса». Партнеры PHDays 12 и участники выставки — компании AxoftFortisF+tech«ICL Cистемные технологии»InfoWatchMONTOCS DistributionUserGate«Инфосистемы Джет»«Стахановец». Партнеры — ARintegPlatformixРосбанк и «УЦСБ». Участник выставки и Standoff — «Газинформсервис».
 
Темы:Пресс-релизPositive TechnologiesОтрасльPositive Hack Daysконференция
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...