23-24 апреля 2018 г. в DoubleTree by Hilton Moscow прошел XI Межотраслевой Форум CISO FORUM 2020: взгляд в будущее
Организатор мероприятия – компания infor-media Russia. Генеральным партнером форума стала ГК ИНТЕЛЛЕКТУАЛЬНАЯ СОБСТВЕННОСТЬ (бренд Security Vision). Партнерами выступили Group-IB, «Информзащита», Angara Technologies Group, «Газинформсервис», Imperva, Palo Alto Networks, Web Control, «Инфосистемы Джет», «Акрибия», «Гарда Технологии», Avanpost, Skybox Security, «Новые технологии безопасности», IT Monitoring, Check Point® Software Technologies, Mobile Cat, Symantec, StaffCop, R-Vision. С приветственным словом открыл форум Генеральный партнер конференции Руслан Рахметов, генеральный директор, ГК «ИНТЕЛЛЕКТУАЛЬНАЯ БЕЗОПАСНОСТЬ», бренд Security Vision. Руслан предложил всем собравшимся не откладывать интересные события на завтра, а жить здесь и сейчас, и пожелал плодотворной работы. Михаил Савельев, НИП «Информзащита», выступил модератором пленарной дискуссионной панели «Сценарий развития кибербезопасности. О чем должен знать CISO?». Михаил затронул вопросы использования отечественных средств защиты информационной безопасности в случае вступления в силу санкций. Илья Сачков, Group-IB, сделал акцент на том, что в разных странах разная специфика кибер-преступности, это нужно учитывать при выборе средств защиты. «Нельзя опираться на маркетинг при принятии решения при выборе ПО. И при этом важно понимать контекст атаки. Зная контекст, легче решить проблему. Помните, сегодня большинство преступлений совершаются он-лайн», - сказал Илья. Артем Калашников, ФИНЦЕРТ Банка России, отметил, что даже при наличии санкций всегда можно найти современные технологии, которые будут хорошо работать. Максим Наумов, СТС Медиа, поделился опытом проведения кибер-обучений для сотрудников и отметил: «Если идет атака, вопрос отключать ли сервер не стоит, конечно, отключать!». По мнению Дмитрия Соломенцева, Банк ВТБ, замена решений от иностранных вендоров на решения российских компаний - очень интересная инженерная задача. «Мы и сами сможем делать хорошие продукты. Появление новых решений на рынке дают нам шанс решить проблемы, за которые мы не брались ранее», - сказал Дмитрий. «Мы придерживаемся консервативной модели и используем новые технологии только тогда, когда они уже хорошо себя зарекомендовали», - высказал свою позицию Артем Воробьёв, Bayer: «Нужно работать с бизнесом и делать из них немного ИТ-шников». Константин Коротнев, PwC, считает, что это хорошо, когда есть много разных технологий и большой выбор. «Вопрос не в том, взломают или нет. Вопрос в том, когда взломают и не взломали ли уже. Важно понимать, как работать после взлома и как восстанавливаться», - сказал Константин. Независимый эксперт Алексей Лукацкий, модератор пленарной дискуссии «Все мы знаем о фундаментальных законах ИБ. Как законодательство меняет подходы по управлению инцидентами», затронул вопросы уведомления об инцидентах, обмене информацией и ведении базы данных об инцидентах. Владимир Скиба, ФТС России, отметил, что в ФТС начали создавать систему реагирования на инциденты 10 лет назад. «Сегодня мы проводим работы по подключению к госСОПКЕ. Но зачастую отрабатываем информацию об инцидентах быстрее, чем можно обработать и куда-то отправить», - сказал Владимир. Сергей Пазизин, Банк ВТБ, считает, что информацию нужно передавать в контролирующие органы, потому что это помогает решать дальнейшие возникающие проблемы. «У нас есть возможность сообщать об атаке в течение 3 часов. И нам важно в числе первых иметь информацию о том, что пошла волна», - определил позицию Банка ВТБ Сергей: «Лучше передавать государственным органам, в таком случае ниже риски. Ведь кому можно доверять больше, чем себе?» «Вопрос, нужно ли передавать информацию, даже не должен стоять. Это требование времени и безопасности. Потому что атаки перестали быть точечными, важно постоянно иметь контакт с контролирующими органами. Вопрос состоит лишь в том, как именно информировать. Только при тесном взаимодействии будет хороший эффект», - считает независимый эксперт Василий Окулесский. Валерий Комаров, Департамент информационных технологий города Москвы, подчеркнул: «Мы не заинтересованы в сокрытии инцидентов, у нас слишком много пользователей. Если возникнет атака, об это сразу все узнают. Для нас требование информировать об инцидентах в течение 3 часов не ново, мы уже давно обо всех атаках сообщаем немедленно в ФСБ». Вячеслав Касимов, Банк НСПК, считает, что в каждой компании должно быть собственное видение, как будет работать служба реагирования на инциденты: «Нужно понимать, как это все будет работать, на какие угрозы и в течение какого времени придется отвечать. Нельзя забывать, что минимум в такой команде должно быть 5 человек, а оптимально – 6». Артем Калашников, ФИНЦЕРТ Банка России, определил главную цель ФИНЦЕРТа: «Необходимо стать центром, куда приходит информация обо всех атаках. В таком случае мы сможем собирать информацию, обрабатывать её и передавать тем, на кого может быть направлена угроза. Тех, кто скрывает инциденты, все равно потом видно. И здесь сразу появляются разные категории: есть те, кто скрывает из-за страха быть наказанными. С ними мы проводим беседу, и вопрос быстро решается. Если же сокрытие происходит намеренно, это сразу вызывает подозрения. В таком случае нужно вскрыть причину сокрытия. Наша основная цель - консультативная, а отнюдь не репрессии. Чем быстрее мы получаем информацию об инциденте, тем быстрее мы передадим эту информацию дальше». Программу форума продолжили параллельные потоки. Бизнес поток «Кибербезопасность на языке бизнеса», технологический поток «Новые технологии в ИБ: хайп или безлимитище? Ноу-хау в области информационной безопасности. Лучшие кейсы и практические рекомендации от ведущих экспертов рынка» и организационный поток «Тонкости службы безопасности». Дмитрий Пудов, Angara Technologies Group, выступил модератором бизнес потока, в рамках которого Федор Горловский, ГК «ИНТЕЛЛЕКТУАЛЬНАЯ БЕЗОПАСНОСТЬ», бренд Security Vision, представил доклад «Почему важно быть лидером в управлении информационными рисками? И как же ими правильно управлять?» «Почему многие компании не управляют информационными рисками?» - задал вопрос Федор и привел самые распространенные ответы на этот вопрос. С точки зрения высшего руководства и собственников есть много причин, зачем управлять рисками: это гарантия достижения стратегических целей, сохранение активов и повышение эффективности деятельности, соответствие требованиям регуляторов, увеличение стоимости компании, повышение корпоративного рейтинга и выход на IPO. У CISO на эту же проблему своя точка зрения: управление рисками дает адекватную оценку рисков, снижает негативное воздействие от угроз, дает более полный контроль уровня ИБ в компании и предоставляет обоснованную информацию об уровне ИБ для руководства. Федор рассмотрел взаимосвязь между различными компонентами безопасности и поделился секретом, как эффективно управлять ИБ при ограниченном бюджете. Андрей Клименко, Компания «Лента», поделился опытом внедрения политики информационной безопасности и о функциях, которые поставлены перед отделами ИТ и ИБ. Слушатели узнали, как была внедрена комплексная антивирусная защита и защита мобильных устройств, как проводится аудит партнеров по ФЗ-152 и о создании центра оперативного реагирования, который включает в себя специалистов, процессы и технологии, направленные на эффективный мониторинг (выявление) и реагирование на инциденты информационной безопасности. «Мы научили работать коллег в рамках безопасной модели», - заключил Андрей. Павел Крылов, Group IB, в качестве модератора провел технологический поток, где Дмитрий Кандыбович, StaffCop, выступил с презентацией «StaffCop Enterpise. Типовые и отраслевые кейсы применения DLP». Было представлено комплексное решение, которое ведет учет рабочего времени, определяет эффективность персонала, отвечает за информационную безопасность и расследование инцидентов. Дмитрий напомнил, что утечка конфиденциальной информации может нанести серьезный материальный ущерб, а также привести к потере репутации компании. Нецелевое использование рабочего времени сотрудниками дорого обходится организации, поэтому необходим инструмент, который позволит понять, как расходуется рабочее время, чтобы определить направление для оптимизации. Дмитрий представил современные архитектурные решения, предоставляющие оперативный анализ данных. Александр Двинских, НИП «ИНФОРМЗАЩИТА», в своем выступлении на тему «Песочные кейсы», напомнил о самых нашумевших кибератаках 2017 года (WannaCry, NotPetya, BadRabbit) и их последствиях. Александр привел несколько кейсов: про атаку шифровальщиков и вымогателей на транспортную компанию через почту; про атаку mRAT на компанию из ритейл-сектора через планшет сотрудника; про целевую атаку группировки Cobalt на компанию банковского сектора через рассылку документов с использованием электронных адресов партнеров жертвы. Также слушателям был представлен комплексный подход обеспечению информационной безопасности, наиболее свежие технологии и тренды в развитии. Александр Русецкий, Инфосистемы Джет, привел оценку российского рынка хищений денежных средств – 55440617 $ было украдено за 2 квартал 2016 года и 1 квартал 2017 года (в оценку вошли хищения в интернет-банкинге у физических лиц с троянами для ПК и с android троянами, хищения в интернет-банкинге у юридических лиц, целевые атаки на банки, фишинг и обналичиваение похищенных средств). Александр рассмотрел практику внедрения ANTI-APT на примере почты (шифровальщик семейства VAULT, вредоносное ПО BUHTRAP, функция threat extraction, business email compromise), криптомайнинга, файловых хранилищ. А также рассказал о расследовании инцидентов, сторонней интеграции, последних тенденциях и примерах реагирования. В организационном потоке Сергей Рысин, ПАО государственная транспортная лизинговая компания, представил «безопасный баланс» при построении информационной безопасности. Сергей подробно рассмотрел современные угрозы на рынке безопасности, составил портрет злоумышленника и предложил план действия на случай, если завтра за взлом оплата будет выше, чем сегодня. «Успешная команда по защите информационной безопасности состоит из сотрудников ИБ и ИТ», - заключил Сергей. От независимого эксперта Андрея Короткова слушатели получили подробную инструкцию, как обосновать необходимость информационной безопасности бизнесу. Андрей рассказал, как правильно посчитать стоимость убытков от угрозы и напомнил, что не всегда стоит защищать процессы, гораздо важнее понять их и сделать безопасными. Александр Севостьянов, ТМК, подсказал, как правильно аргументировать затраты на информационную безопасность. В подготовительный этап входит: определение цели и задачи существования ИБ в организации, определение ключевого смысла существования ИБ в организации; подсчет бюджета и выявление ресурса для развития процесса защиты. Далее следует формирование аргументации, при этом аргументы должны быть достоверными, оправданными, логичными и своевременными, их важно правильно оформить и структурировать. Алексей привел наиболее часто встречающиеся барьеры взаимопонимания между первыми лицами организации и ИБ, а также дал советы, как себя вести в случае возникновения этих барьеров. Независимый эксперт по информационной безопасности Алексей Плешков рассказал, как защитить себя от современного кибероружия. Слушатели вспомнили самые резонансные кибератаки 2017 года, а также услышали определения и классификацию кибероружия. Алексей обратился к иностранному опыту и отметил, что 140 стран на данный момент разрабатывают кибероружие и применяют его на территории США. «С точки зрения кибербезопасности Россия немного отстаёт от Европы и США», - отметил спикер и представил цепочку, которая начинается с работы администраторов и ведет через исследование уязвимостей к киберпреступлению, кибершпионажу, кибертерроризму и кибервойне. Олег Губка, Avanpost, представил доклад на тему «Аутентификация будущего», в котором рассказал, как работает Identity Provider. Продукт представляет интерес для крупных и средних компаний и корпораций, финансово-кредитных организаций, государственных учреждений, министерств и ведомств, интернет-площадок и агрегаторов услуг. В заключение презентации Олег привел пример внедрения решения. Денис Прынков, «АйТи Мониторинг», представил вниманию делегатов DocShell – средство автоматизированного управления информационной безопасностью. Денис определил текущие проблемы и задачи управления ИБ в распределенных организациях и ведомствах и представил DocShell как средство решения этих проблем и задач. Денис подробно описал основные функции и архитектуру системы, а также поделился опытом ключевых клиентов – пользователей системы. Как безопасно перейти в облако продемонстрировал Денис Батранков, Palo Alto Networks. «SAAS приложения не все одинаково полезны», - отметил Денис. «Зачатую им сопутствуют риски распространения вредоносного ПО, случайной публикации данных и злоумышленной утечки данных». Денис представил подход PALO ALTO NETWORK к проблеме и представил решение, которое имеет удобную навигационную панель SaaS, сортирует приложения по уровню риска или санкционированности, создает целевые отчеты на основе групп пользователей и зон, готовит суммарный отчет использования приложений SaaS по группам, расширяет существующие функции SaaS-отчетности PAN-OS 7.1 и дает полный функционал на базе Panorama без необходимости обновления PAN-OS. Роман Жуков, Гарда Технологии, рассказал об эволюции CISO и задачах, которые стоят перед ИБ на сегодняшний день и представил вниманию интересные кейсы и новое DLP-решение, которое позволяет выявить нарушения и угрозы после запуска до завершения всех этапов внедрения и настройки DLP; контролирует все каналы коммуникации и хранит архив всех событий, позволяет восстановить полную картину бизнес-коммуникаций в любой момент; анализирует все информационные потоки компании, выявляет подозрительную активность в реальном времени; блокирует передачу конфиденциальных данных с помощью системы меток; помогает в расследовании инцидентов безопасности с помощью ретроспективного анализа. Артур Котылевский, «Акрибия», разобрал наиболее показательные инциденты, связанные с безопасностью бизнес-приложений (ERP, CRM, CMS): утечки данных, бэкфорды, фрод и другие, а также дал рекомендации по защите: применение технологии создания защищенных систем при построении бизнес-приложений; всесторонний контроль доступа к объектам и функциям бизнес-приложений; обеспечение безопасности в процессе разработки и на этапе внедрения бизнес-приложения; мониторинг на уровне сущностей приложений; включение в область действия СУИБ. Михаил Романов, Новые технологии безопасности» (НТБ), привел 10 главных угроз информационной безопасности и обозначил ТОП-6 злоупотреблений полномочиями привилегированными пользователями. Также Роман представил вниманию слушателей SafeInspect – полнофункциональную платформу для контроля привилегированных учетных записей в ИС – как классических, так и облачных. Ее главные достоинства: контроль широко используемых протоколов администрирования; регистрация действий в виде видеозаписи; индексация, быстрый поиск события; контроль зашифрованных каналов; работа без использования агентов; двухуровневый контроль подключений; двухфакторная аутентификация; контроль доступа в реальном времени; противодействие внутренним угрозам; аудит файловых операций; статистика и отчеты о действиях; сбор информации для расследования инцидентов. Модератором методологического потока стал Андрей Бажин, ВТБ Капитал. Elad Tzur, WhiteSource, представил презентацию на тему «Управление open source на всех этапах программного проекта», в ходе которой рассказал, как правильно управлять компонентами на этапе сборке программного обеспечения, отследить юридическую сторону открытого кода и как грамотно вести диалог с безопасностью. Также в рамках потока прошла дискуссия «Возможен ли Agile в ИБ», в которой приняли участие Андрей Акинин, Web Control, Андрей Кульпин, Норильский никель, Андрей Ревяшко, Wildberries, Андрей Шлегель, Metro Russia, и Elad Tzur, WhiteSource. По мнению Андрея Акинина agile – это «ночной кошмар для безопасника» (с). Прежде чем применять этот подход необходимо оценить тот вклад, который он привнесет в информационную безопасность компании. Андрей Шлегель считает, что у Agile-подхода есть свои плюсы и минусы и не согласен с тем, что Agile и ИБ несовместимы. «Waterfall не всегда себя оправдывает. Внедряя Agile, мы идём к тому, что увеличиваем производительность за счёт разбиения процесса на маленькие части. Хотя с точки зрения информационной безопасности и смотрим на Agile настороженно», - заметил Андрей. Андрей Кульпин призвал помнить о том, что сегодня информационная безопасность – это сервис, который помогает бизнесу. «Важно сохранять баланс того, что дорого и безопасно. Идеальных моделей не существует, просто Agile более гибкий и позволяет быстрее решать многие вопросы», - заключил Андрей. По мнению же Андрея Ревяшко сегодня взят курс на нового CISO: «Это должен быть человек от бизнеса, который в то же время понимает, что такое информационная безопасность». «Для внедрения Agile, нужно собрать команду единомышленников, которые готовы к изменениям. Тогда с минимумом усилий реально получить максимум эффекта», - завершил дискуссию Андрей Бажин. Одной из самых запоминающихся сессий форума стал откровенный разговор «Кому за 45+. Стратегия выхода для безопасника», модератором которой стал независимый эксперт Алексей Лукацкий. Алексей призвал всех помнить, как важно уметь говорить на языке бизнеса и выступать перед большими аудиториями: «Бывает очень сложно выступить и рассказать о своих победах и провалах. Плюс зачастую такие выступления нужно согласовывать с PR-отделом. Нужно учиться выступать!» Независимый эксперт Василий Окулесский считает, что «если ты хорошо себя зарекомендовал, без работы ты не останешься», но при этом все равно на данный момент более 8000 человек в информационной безопасности в разных сферах без работы. Независимый эксперт Рустэм Хайретдинов согласен, что часто в возрасте 45+ сложно найти работу, но есть выход – открыть свой бизнес. «Противоречие заключается в том, что безопасники не любят говорить и не любят публичность, но при этом должны создавать свой личный бренд, чтобы использовать его при достижении возраста 45+», - заключил Рустэм. Далее в программе был перерыв, во время которого прошло несколько розыгрышей призов от спонсоров мероприятия. В заключение деловой части программы первого дня форума прошли мастер-классы. Независимый эксперт Дмитрий Мананников представил выступление на тему «Риски и возможности новых технологий. Что нового привнесут в жизнь CISO?», где рассмотрел бизнес как совокупность процессов. «Информационная безопасность опаздывает от бизнеса. Бизнес ушёл вперёд, и мыслит по-другому. Информационные системы стали доступнее, люди стали лучше в них разбираться. Все чаще появляются логические атаки - люди понимают, что совсем не обязательно взламывать систему, чтобы увести деньги», - заметил Дмитрий. Многое, что работало еще несколько лет назад, сегодня уже не работает: периметр не работает, потому что информационное поле стало огромным; перестали работать сигнатуры (раньше ошибки накапливались и случались неоднократно, сейчас достаточно одного инцидента, чтобы закрыть проект); не работают стандарты. Постоянно происходит объединение информационной, экономической и имущественной безопасности. «Мы живём в эру программирования. И это огромный вызов, потому что программировать умеют все. И это приводит к появлению большого количества сущностей, которые мы не можем контролировать. Разработка стала дешевой. Люди с огромной скоростью пишут новые коды. Коды сейчас никто не ворует, пишут новые глядя на пример», - сказал спикер. Также Дмитрий раскрыл тему роботизации безопасности. Новый подход позволяет расширить горизонт (не нужно ждать хакеров и читать «страшную аналитику» для поиска своей полезности); корректировать правила (много инцидентов с нарушением одних и тех правила – прямой показатель того, что правило не работает и его нужно менять); обосновывать бюджет (совокупное влияние на операционные показатели позволит получить обоснование для существенной доли бюджета на средства защиты или мероприятия); предиктивны (дают возможность выявлять «пиковые» инциденты в стадии их формирования, даже если до этого не было никакого негативного опыта). Независимый эксперт Рустэм Хайретдинов представил мастер-класс «Поведенческие паттерны в информационной безопасности». Рустэм рассказал о важности роли поведенческого анализа и поделился опытом, где брать данные, какие алгоритмы и инструменты использовать, как строить модели. Также были рассмотрены два кейса. В первом кейсе Рустэм рассмотрел проблему увольняющихся сотрудников, склонных к хищению конфиденциальных данных или производственных тайн и саботажу работы. В такой ситуации крайне важно рано обнаружить такого работника, поставить его на контроль в службу ИБ и HR для принятия компенсирующих мер. Был рассмотрен информационный профиль сотрудника, готовящегося уволиться и проведен анализ на основе потока исходящих писем по электронной почте: частота, мощность, вариативность. Во втором кейсе был рассмотрен контроль процесса найма такой, что не требует увеличения штата контролеров и не отвлекает рекрутеров дополнительными контролями. В таком случае методика состоит в привязке к базовым объектам, анализу статистики процесса на всех уровнях (контентом, бизнес, поведенческом), построении процесса «как есть», приоритизации и фиксации источников данных. После завершения официальной части программы прошла FuckUp-сессия. Участники форума поделились своими провалами и ошибками и рассказали, как выходили из них. Алексей Лукацкий, Рустэм Хайретдинов, Дмитрий Мананников, Михаил Савельев, Василий Окулесский, Денис Батранков вышли на сцену и поделились своими fackupами. А возможность сыграть в настольный футбол и компьютерные игры, паэлья на свежем воздухе и ледяное пиво стали изюминками вечера. Утро второго дня форума открыла пленарная дискуссионная панель «CISO 2020: взгляд в будущее. Хит-парад ключевых угроз, сильных трендов и многообещающих технологий», модератором которой выступил Лев Палей, СО ЕЭС. Вопросы как изменится роль CISO и как видит бизнес своего CISO; где CISO может получить знание будущего и как развиваются ИТ и бизнес технологии стали ключевыми в панели. Сергей Ходаков, Сколково, считает, что важно иметь доступ к самым современным технологиям и максимально использовать экспертизу. «Область ИБ становится все более продвинутой», - отметил Сергей. Мона Архипова, WayRay, рассказала, что в компании WayRay пошли по пути слияния отделов информационной безопасности и ИТ, что сильно увеличило скорость внедрения новых технологий. Сергей Демидов, «Московская биржа», призвал всех собравшихся постоянно держаться в струе технологического потока. «Новые продукты появляются постоянно. Ускоряется сам бизнес. Основной тренд - вливание в бизнес», - отметил Сергей. Андрей Акинин, Web Control, не согласился с предыдущим оратором: «Роль CISO меняться не должна. Чтобы удержаться в бизнесе и быть нужным, CISO должен разрабатывать траектории безопасности для всех сотрудников компании». Независимый эксперт Лев Шумский сделал акцент на том, что нельзя забывать: не бизнес для безопасности, а безопасность для бизнеса. «Роль CISO не изменится, а просто расширится, нужно больше коммуницировать с руководителями других отделов и уметь разговаривать на бизнес-языке», - высказал свою точку зрения Лев. Александр Баранов, ВШЭ, напомнил, что информационная безопасность идёт за ИТ, но не обгоняет его: «Самая безопасная система - та, которая не работает, а самая опасная - та, в которой можно изменить все, что угодно. Именно отсюда появляется противоречие между ИТ и информационной безопасностью. Если вы не можете поддерживать информационную безопасность всех ИТ систем, вас просто уволят». Алексей Свириденко, АБ «ИНТЕРПРОГРЕССБАНК», призвал всех заниматься самообразованием: ходить на конференции, искать уязвимости, работать с массивами данных. Далее слушатели разделились на три потока: хакерский «О чем знают хакеры, но не знаете вы?», технологический «Защита от современных угроз» и судебный «Тебя посодют, а ты не воруй» (с). Дмитрий Гадарь, Tinkoff.ru, стал модератором хакерского потока, который собрал полный зал слушателей. Сергей Серов, «QIWI», представил презентацию на тему «Автоматизация процессов в SOC/CSIRT командах». Были рассмотрены методы работы SOC и CSIRT и возможности максимальной автоматизации всех рутинных действий. «Какой бы тип команды не требовался для вашей организации, убедитесь, что роли четко определены, процессы эффективны и могут быть автоматизированы, а также присутствуют правильные технологии, позволяющие вашей команде выполнять свою работу лучше и быстрее», - отметил Сергей. Максим Мошаров, Tinkoff.ru, рассказал о безопасности телеграмм ботов. Максим рассмотрел причины создания корпоративных ботов: создание/согласование заявок; поиск сотрудников; бронирование переговорок; администрирование серверов, управление CI. А также подробно разобрал, как создать своего бота, привел примеры ботов и варианты взаимодействия. Слушатели узнали сценарии атак и варианты защиты. Как итог Максим предложил позаботиться о мерах защиты против фишинга; проверять, что сообщение вам присылает именно телеграмм; не доверять пользовательскому вводу; помнить об уволенных сотрудниках и не пренебрегать мерами защиты авторизации. Александр Бодрик, Angara Professional Assistance, в технологическом потоке выступил на тему «Мониторинг ИБ: какой SOC вам нужен?» и отметил, что вызовы SOC могут быть кадровые, технологические, финансовые. Александр представил ресурсы SOC ANGARA2018, ее ролевую структуру, технологическую платформу и модели операционной работы. «Важно правильно распределять инциденты на внутренние или внешние, учитывать целевую степень автоматизации», - отметил спикер. О современном подходе к управлению уязвимостями слушатели узнали от Юрия Черкаса, Skybox Security. Юрий отметил, что сегодня многие организации уже используют средства, которые сочетают в себе целый комплекс механизмов защиты на разных уровнях. Но с другой стороны есть уязвимости, на эксплуатацию которых направлено большинство экплойтов, используемых при проведении атак. Как соединить между собой знания обо всех уязвимостях ИТ-инфраструктуры и настроек сетевой безопасности и при этом получить полную видимость возможных векторов атак и существенно оптимизировать затраты на эксплуатацию сети и управление уязвимостями рассказал Юрий. «Identity Governance 360°. В чем ценность IDM-решений?» - так обозначил тему своего выступления Роман Лунёв, «Газинформсервис». «89% уволенных сотрудников сохраняют доступ к системам и почте, 71% сотрудников имеют доступ к данным, которые не должны видеть, 54% из них пользуются этими данными – с таких цифр начал Роман свое выступление. Зачастую у службы ИБ возникают проблемы избыточных прав, бесхозных учетных записей, отсутствия архивных данных; а у службы ИТ большой объем заявок на доступ. Как эти проблемы могут решить системы IdM узнали делегаты. Павел Крылов, Group IB, в кейсе «Новые способы защиты от «хорошо забытого старого» поделился опытом борьбы с онлайн-мошенничеством. Как работают поведенческие алгоритмы; как происходит кросс-канальное мошенничество узнали слушатели из доклада. Павел привел примеры различных кейсов, связанных с мошенничеством через интернет-банк, мобильный банк, P2P, e-commerce. Дмитрий Мухтаров, Imperva, рассказал о защите данных и приложений в тех случаях, когда традиционная защита не работает. «Мы не продаём инструменты, мы предлагаем решения по полному спектру начиная от решений в облаке. В application security и data security мы делаем только то, что важно», - заключил Дмитрий. Олег Никитский, Symantec, представил «Прорывную технологию предотвращения угроз». Олег раскрыл подход «хороший» и «плохой» и его ограничения, т.к. категоризация происходит не моментально, при этом есть сайты, которые могут попасть в список зря. Спикер рассказал, что такое «web isolation», его архитектура и отметил, что для сайтов, которые кажутся сомнительными, доступ предоставляется, но только в защищённом режиме. В судебном потоке Евгений Царев, эксперт по информационной безопасности, судебный эксперт по защите информации, государственная ИТ-безопасность, персональные данные, представил мастер-класс «Поиски иголки. Судебная практика в области ИТ и ИБ». Евгений рассмотрел кейсы из судов общей юрисдикции: блокировка ресурсов интернет, персональные данные, увольнение сотрудника, взыскание ущерба с сотрудника, мелкие хищения, несоответствие сервисов и систем законодательству, интеллектуальная собственность. А также кейсы арбитража: подряд, поставка, разработка, интеллектуальная собственность, ДБО, споры по качесту, налоги. Чтобы избежать правовых последствий Евгений предложил в компании проверить шаблоны и действующие ТД, инструкции сотрудников, а также регламенты их работы на корректные формулировки; проверить реальность функционирования режимов тайн; проверить взаимные договорные обязательства с контрагентами, включая NDA; организовать процесс разработки и согласования ТЗ; провести анализ внутренних и внешних сервисов организации. С точки зрения личной безопасности в своей работе рекомендуется проверить ТД, регламент подразделения, ДИ отдела, приказы на предмет соответствия реальной деятельности и провести инструктаж своих сотрудников. Независимый эксперт Андрей Прозоров провел мастер-класс «DLP при увольнении сотрудников». Андрей привел схему реагирования на инциденты: обнаружение и регистрация событий системой, выявление инцидентов, оперативное реагирование на инцидент, расследование инцидента, реагирование на инцидент (и управленческое решение) и анализ причин инцидента и «полученных» уроков. Также спикер напомнил, что «легализация» DLP позволит преследовать нарушителей «по закону» и использовать отчеты DLP в суде. В заключение Андрей поделился практикой уголовных дел. Независимый эксперт Иван Пискунов представил современные реалии предотвращения мошенничества в платежных системах: АНТИ-ФРОД в банках. Иван рассказал, почему важно контролировать фрод и привел типовые векторы атак в стиле фрода в старых (кардинг, скимминг) и новых (фишинг и социальная инженерия, card not present transaction) школах. Особенностями новых атак Иван назвал атаку «человек посередине», «человек в браузере», фейковые базовые станции мобильной связи. В заключение выступления Иван провел сравнение ситуации сейчас и того, что было раньше, привел статистику по карточному фроду и рассказал, как работают «анти-фрод системы». Независимый эксперт Тарас Иващенко в презентации «И разработчик станет хакером» поднял следующие проблемы: как перестать отвечать на вопросы о типовых уязвимостях? Сделать так, чтобы разработчики были в курсе процессов и контролей ИБ? Сделать так, чтобы разработчики читали руководства по безопасности? Тарас разбил безопасность в жизни разработчика на этапы: собеседование, первый рабочий день, первые строки кода, первый аудит безопасности, первые уязвимости в коде. На собеседовании рекомендовано узнавать о новых разработчиках, добавить вопросы об ИБ при использовании HR-платформы, анализировать результаты собеседования. В первый рабочий день Тарас предложил провести «welcom»-встречу с небольшим рассказом о процессах и базовых рекомендациях ИБ; использовать внутренний staff-портал и отправить автоматическое приветственное письмо. Слушатели получили рекомендации по наполнению внутреннего портала ИБ и основам обучения новых сотрудников. В сессии «Человеческий фактор в ИБ» Александр Сидоров, HeadHunter, рассказал о защите утечки знаний и опыта, которые очень часто считаются недооцененными информационными активами. «Ничего нельзя сделать с тем, что человек уносит в голове», - заметил Алексей. «Менеджер по продажам может унести не только базу CRM и условия тендеров, но и особенности общения с клиентами, знание, кому и что продавали. Менеджер среднего звена может унести информацию о сроках, результатах, затратах, качестве, стратегии, а также особенностях заключения сделок. Инженеры могут унести ноу-хау, схемы, чертежи, коды, а также они знают особенности течения и результаты экспериментов. Любой увольняющийся сотрудник может унести ключи, учетные записи. При этом бонусом есть понимание отношений между сотрудниками, эта информация имеет большой вес. Смена работы всегда провоцирует утечку опыта и знаний, и часто утечку данных», - рассказал спикер. В заключение презентации Алексей поделился секретами о мерах по профилактике ухода лучших сотрудников вместе с их знаниями и опытом. На тему «Построение ИБ-культуры. Обучение и повышение осведомленности сотрудников и методы социальной инженерии» выступил Лев Палей, СО ЕЭС. Лев напомнил, что социальная инженерия – это часть социологии, предметом изучения которой являются способы создания социальных моделей с целью контроля поведенческих факторов, а информационная безопасность – это использование человеческого фактора при атаке для получения доступа в инфраструктуру или к требуемой информации. Основными техниками социальной инженерии были названы фишинг, плечевой серфинг, обратная социальная инженерия, квид-про-кво, дорожное яблоко и хлебные крошки. «Информация – это инструмент, позволяющий быть готовым к нестандартным ситуациям», - заметил Лев. Также слушатели узнали основные признаки социальной инженерии и маркеры социального инженера. Независимый эксперт Дмитрий Костров считает, что человек и есть главная угроза информационной безопасности, но, если дать ему знания и обучение, это позволит снизить угрозу. Дмитрий дал ряд советов и рекомендаций, как правильно себя вести, если вам приходит звонок от злоумышленника и защитить свой пароль; как правильно классифицировать и устанавливать защиту на разные типы информации и защитить свое рабочее место; как вести себя при «фишинге» и грамотно вести себя в социальных сетях, а также защитить коммуникации. В сессии «GDPR: практика реализации требований» Дмитрий Бирюков, PwC, и Артём Дмитриев, PwC Legal, рассказали о практике применения GDPR, который вступает в силу 25 мая 2018 года. Объектами GDPR станут любые персональные данные, обобщение судебной практики в части определения ПД и любые способы обработки включая картотеки. Спикеры подробно описали, что регулирует GDPR и как может быть применен к российским компаниям; провели сравнительный анализ требований GDPR и ФЗ-152; упомянули о последствиях несоблюдения требований. Константин Коротнев, PwC, продолжил тему и рассмотрел практику реализации требований GDPR. Алексей проанализировал практики и подходы к реализации требований GDPR в организациях; рассказал о вовлеченности руководства, роли и ответственности сотрудников, распределении задач и вовлеченности подразделений, а также представил методологии и инструменты внедрения требований GDPR. В заключение выступления слушателям были представлены рекомендации по организации реализации требований. После выступлений спикеров у всех делегатов была возможность задать вопросы, интересующие их по теме GDPR. В завершении деловой части программы прошла серия мастер-классов. Независимый эксперт Алексей Лукацкий представил выступление на тему «Дашборды по ИБ: как визуализировать кибербезопасность для руководства». Слушателям был представлен подробный план создания дашборда. Спикер призвал всех ответить на следующие вопросы: кто ваша целевая аудитория? Что нужно вашей целевой аудитории? Какие решение должно быть принято? На какие вопросы нужно ответить? Какой тип дашборда нам нужен? Какую диаграмму выбрать? По итогам ответов на поставленные вопросы можно приступать к созданию и прототипа, которые приведут к итоговому дашборду. Алексей подсказал, на что обратить внимание при создании дашборда и призвал не бояться рисовать. Александр Леонов, «Тинькофф Банк», представил мастер-класс на тему «Базы уязвимостей. Изводя тысячи тонн словесной руды», в рамках которого рассказал, как выбрать критичные уязвимости и какие проблемы при этом могут возникнуть. Слушатели узнали о детектировании уязвимостей и лишении сертификатов из-за уязвимостей. Компания infor-media Russia благодарит всех спикеров, партнеров и слушателей, которые приняли участие в мероприятии. Будем рады снова видеть вас на CISO-форуме в апреле 2019 года!