В Москве состоялся Positive Hack Days

В Парке Горького завершился 12-й Positive Hack Days, организованный компанией Positive Technologies. Генеральный информационный партнер — Rambler&Co. В этом году прошел городской киберфестиваль. Его ключевыми идеями стали повышение доверия к технологиям и развитие осознанности их использования через киберграмотность.

В Москве состоялся Positive Hack Days
© lenta.ru

Гости открытого пространства киберфестиваля — кибергорода — узнали, как не стать жертвами мошенников на маркетплейсах, а также об особенностях ChatGPT, выборе безопасного VPN и других аспектах IT и информационной безопасности.

Эксперты обсудили переход госорганов и частных компаний к результативной безопасности, стратегию объединения комьюнити, методы безопасной разработки, развитие рынка багбаунти. Подошла к концу кибербитва Standoff: за четыре дня атакующим в вымышленном Государстве F (но с настоящими системами управления и защиты) удалось реализовать недопустимые события 204 раза, а защитникам — расследовать 43 атаки.

«Мы ждали, что бизнес нас услышит, — вот он услышал. Компаниям все равно, какие средства защиты внедрены: им важны результат и понимание того, кто за него отвечает. К сожалению, безопасники до сих пор очень часто не могут объяснить, каким он будет. Внедрение некоей популярной системы защиты — это не результат. Нормальный результат — это когда специалист по безопасности сообщает руководству о том, что конкретно сегодня уязвимости в компании устраняются, скажем, в течение 127 дней и это слишком рискованно: надо, чтобы в критически значимых сегментах они устранялись за 12 часов, а для этого необходимо столько-то миллионов рублей», — отметил директор департамента кибербезопасности Минцифры России Владимир Бенгин.

Генеральный директор Innostage (компании — соорганизатора Positive Hack Days 12) Айдар Гузаиров, заявил, что изменения за последний год в отношении целеполагания, осознанности и всего того, что творится в кибербезе, сравнимы с пятилетним периодом в более спокойные времена.

«Два года назад на PHDays мы говорили о том, что было бы здорово, если бы руководители задумались об информационной безопасности. Бойтесь своих желаний: многие менеджеры лично узнали, что такое ИБ. С другой стороны, сейчас в отрасли кибербезопасности иначе воспринимается ответственность за результат. Если два года назад я мог назвать нашу компанию только интегратором, то сейчас мы значительно больше, чем интегратор, и отвечаем за результат, за то, чтобы хакеры не угрожали бизнесу наших клиентов. Для нас это в первую очередь репутационные риски. Мы начинаем размышлять, как по-другому, более эффективно, можно добиться результата в области ИБ», — подчеркнул Айдар Гузаиров.

Генеральный директор Angara Security Сергей Шерстобитов согласился с тезисом, что российская кибербезопасность прошла пятилетку за год, отметив, что главными бенефициарами нынешнего окна возможностей становятся отечественные разработчики.

«Появляется много интересных продуктов. Клиенты пошли в сторону сервисов. Если ранее мы только рассказывали, что услуги в области ИБ могут дать большой результат в понятные сроки, то сейчас сервисы становятся востребованными практически по всем направлениям. Единственное исключение — услуги страхования, которые почему-то не взлетают», — сказал Сергей Шерстобитов.

О том, каких конкретных результатов удается достичь, используя багбаунти, подискутировали в рамках деловой части киберфестиваля.

«Багбаунти — это суперкрутой стресс-тест огромного числа внутренних процессов вашей организации. Мы запустили программу сразу на двух коммерческих площадках— Standoff 365 и BI.ZONE Bug Bounty. В целом мы были уверены в защищенности Госуслуг, потому что пентест наших систем проводила практически каждая российская компания в сфере ИБ. Всего в багбаунти участвовали около 8 тысяч человек. На обеих площадках сданы сотни отчетов, результатом стало больше 30 подтвержденных уязвимостей. Найдены и критически опасные недостатки, максимальная выплата составила 350 тысяч рублей. В дальнейшем будем думать, как этот опыт масштабировать. Для компании или организации в смысле проверки защищенности нет ничего дешевле и эффективнее багбаунти», — сказал Владимир Бенгин.

Эксперты отметили, что багбаунти — это непрерывный процесс, что является основным его преимуществом, например, перед пентестом.

Еще одна тема, которую обсудили, — роль сообщества в формировании подходов результативной защиты: была представлена платформа, на которой комьюнити может собирать фреймворки по построению результативной безопасности.

Открытое сообщество rezbez.ru создано для экспертов в области ИБ, позволяет обмениваться знаниями и опытом и ориентировано на достижение практического результата. Чтобы обеспечить высокий уровень киберустойчивости, предлагается комплексный подход, в основе которого лежат десять доменов по разным направлениям инфобеза.

Генеральный директор CyberOK Сергей Гордейчик отметил, что любая деятельность должна быть измерима.

«Вопрос измеримости безопасности, метрик безопасности стоит всегда. Соответственно, если ты затеваешь какую-то активность в области ИБ, надо понимать, к чему ты идешь в рамках этого процесса и как будешь отслеживать прогресс», — сказал он.

В России, по словам ряда участников, есть наработки, которые нужно развивать и которым следует придать некую системность.

Генеральный директор и сооснователь RST Cloud («Технологии киберугроз») Николай Арефьев рассказал, почему компании не спешат делиться индикаторами компрометации.

«С одной стороны, можно отдавать индикаторы компрометации, но с контекстом будут проблемы. Как правило, организации вручную собирают всю информацию, очищают и обогащают. Получается такая парадигма: отдать сам индикатор, наверное, можно, но в это же были вложены реальные трудозатраты, потрачены людские ресурсы и деньги компании. Как таким делиться — вопрос открытый», — сказал он.

По мнению директора департамента мониторинга, реагирования и исследования киберугроз BI.ZONE Теймура Хеирхабарова, нужен стандарт, который сподвигнет российских вендоров средств защиты чаще делиться информацией с рынком кибербезопасности.

Руководитель центра мониторинга Kaspersky Сергей Солдатов высказался о возможном бюрократическом барьере на пути к созданию такой площадки и заявил, что в построении коммуникации между организациями важную роль должно играть государство.

Будущее индустрии хай-тек обсуждали директора по разработке и совладельцы бизнеса.

«Первый технологический рывок, который необходимо сделать отечественной индустрии, причем за короткий срок, — это наладить производство и обслуживание программного обеспечения на том же уровне, как было у зарубежных вендоров», — считает СТО VK Tech Алексей Тотмаков.

Управляющий директор Positive Technologies Алексей Андреев отметил, что компании расширят сферы деятельности.

«Есть области, в которые российские разработчики не шли осознанно, так как не имели инженерки. Сейчас, с уходом иностранных игроков, нам придется туда идти от неизбежности. — С другой стороны, освободились ниши, которые займут отечественные вендоры. В частности, речь о сегменте сетевой безопасности и нише межсетевых экранов нового поколения. В областях, в которых мы обладаем комплементарной экспертизой, у нас будут технологические прорывы», — отметил Алексей Андреев.

В 2022–2023 годах тема DevSecOps стала еще популярнее и портрет пользователей поменялся.

Директор по продуктам Positive Technologies Денис Кораблев отметил, что по сравнению с прошлым годом тема DevSecOps стала гораздо популярнее.

На площадке, доступной для всех посетителей Парка Горького (трек «Научпоп»), рассказывали о наборе признаков, указывающих на ненадежность интернет-магазина.

NLP-исследователь Huawei Валентин Малых рассказал, как функционирует система ChatGPT, под влиянием которой сотни западных экспертов, в том числе Илон Маск и Стив Возняк, призвали разработать правила для интеллектуальных помощников.

«В последние полгода о ChatGPT говорят из каждого чайника, поэтому я попробую объяснить, как работает эта технология изнутри. Сам термин NLP — про то, как мы взаимодействуем с текстами. У каждого из нас есть модель языка, которая помогает нам доносить свои мысли. Подобные модели, генерирующие следующие слова, только в тысячи раз сложнее, работают в ML-помощниках», — отметил Валентин Малых.