Positive Hack Days 12: доверие к технологиям невозможно без гарантий защищенности, которая может быть достигнута за счет объединения экспертного комьюнити

В#nbsp;Парке Горького завершился 12-й Positive Hack Days, организованный компанией Positive Technologies, лидером в#nbsp;области результативной кибербезопасности. В#nbsp;этом году мероприятие вышло на#nbsp;новый уровень, превратившись в#nbsp;большой городской киберфестиваль. Его ключевыми идеями стали повышение доверия к#nbsp;технологиям и#nbsp;развитие осознанности их#nbsp;использования через киберграмотность. Интерес широкого круга пользователей, представителей бизнеса, государства и#nbsp;СМИ к#nbsp;мероприятию лишний раз подчеркивает, что информационная безопасность сегодня касается каждого.

Гости открытого пространства киберфестиваля#nbsp;— кибергорода#nbsp;— узнали, как не#nbsp;стать жертвами мошенников на#nbsp;маркетплейсах, а#nbsp;также об#nbsp;особенностях ChatGPT, выборе безопасного VPN и#nbsp;других аспектах#nbsp;IT и#nbsp;ИБ. В#nbsp;рамках конференционной части киберфестиваля эксперты обсудили переход госорганов и#nbsp;частных компаний к#nbsp;результативной безопасности, стратегию объединения комьюнити, методы безопасной разработки, развитие рынка багбаунти. Подошла к#nbsp;концу кибербитва Standoff: за#nbsp;четыре дня атакующим в#nbsp;вымышленном Государстве F (но#nbsp;с#nbsp;настоящими системами управления и#nbsp;защиты) удалось реализовать недопустимые события 204 раза, а#nbsp;защитникам#nbsp;— расследовать 43 атаки. Если специалистам по#nbsp;кибербезопасности, участвовавшим в#nbsp;битве, придется встретиться с#nbsp;аналогичной активностью злоумышленников в#nbsp;своих компаниях, они будут готовы эффективно реагировать на#nbsp;нее.

Гарантированная защита как результат: кто за это в ответе

Тема результативной кибербезопасности осталась ключевой и#nbsp;для конференционной части второго дня.

Владимир Бенгин, директор департамента кибербезопасности Минцифры России, удивился полному залу субботним утром. Он#nbsp;напомнил, что специалистам по#nbsp;ИБ в#nbsp;любом случае приходится отвечать непосредственно за#nbsp;результат.

«Мы#nbsp;ждали, что бизнес нас услышит,#nbsp;— вот он#nbsp;услышал. Компаниям все равно, какие средства защиты внедрены: им#nbsp;важны результат и#nbsp;понимание того, кто за#nbsp;него отвечает. К#nbsp;сожалению, безопасники до#nbsp;сих пор очень часто не#nbsp;могут объяснить, каким он#nbsp;будет. Внедрение некоей популярной системы защиты#nbsp;— это не#nbsp;результат. Нормальный результат#nbsp;— это когда специалист по#nbsp;безопасности сообщает руководству о#nbsp;том, что конкретно сегодня уязвимости в#nbsp;компании устраняются, скажем, в#nbsp;течение 127 дней и#nbsp;это слишком рискованно: надо, чтобы в#nbsp;критически значимых сегментах они устранялись за#nbsp;12 часов, а#nbsp;для этого необходимо столько-то миллионов рублей»,#nbsp;— признал Владимир Бенгин.

Айдар Гузаиров, генеральный директор Innostage (компании#nbsp;— соорганизатора Positive Hack Days 12), заявил, что изменения за#nbsp;последний год в#nbsp;отношении целеполагания, осознанности и#nbsp;всего того, что творится в#nbsp;кибербезе, сравнимы с#nbsp;пятилетним периодом в#nbsp;более спокойные времена.

«Два года назад на#nbsp;PHDays мы#nbsp;говорили о#nbsp;том, что было#nbsp;бы здорово, если#nbsp;бы руководители задумались об#nbsp;информационной безопасности. Бойтесь своих желаний: многие менеджеры лично узнали, что такое#nbsp;ИБ. С#nbsp;другой стороны, сейчас в#nbsp;отрасли кибербезопасности иначе воспринимается ответственность за#nbsp;результат. Если два года назад я#nbsp;мог назвать нашу компанию только интегратором, то#nbsp;сейчас мы#nbsp;значительно больше, чем интегратор, и#nbsp;отвечаем за#nbsp;результат, за#nbsp;то, чтобы хакеры не#nbsp;угрожали бизнесу наших клиентов. Для#nbsp;нас это в#nbsp;первую очередь репутационные риски. Мы#nbsp;начинаем размышлять, как по-другому, более эффективно, можно добиться результата в#nbsp;области ИБ»,#nbsp;— подчеркнул Айдар Гузаиров.

Сергей Шерстобитов, генеральный директор Angara Security, согласился с#nbsp;тезисом, что российская кибербезопасность прошла пятилетку за#nbsp;год, отметив, что главными бенефициарами нынешнего окна возможностей становятся отечественные разработчики.

«Появляется много интересных продуктов. Клиенты пошли в#nbsp;сторону сервисов. Если ранее мы#nbsp;только рассказывали, что услуги в#nbsp;области#nbsp;ИБ могут дать большой результат в#nbsp;понятные сроки, то#nbsp;сейчас сервисы становятся востребованными практически по#nbsp;всем направлениям. Единственное исключение#nbsp;— услуги страхования, которые почему-то не#nbsp;взлетают»,#nbsp;— сказал Сергей Шерстобитов.

«Основное изменение последнего года — новое отношение собственников к вопросам ИБ, — заметил Павел Куликов, CTO «СДЭК». — Взломали очень много организаций, в результате чего многие перешли от парадигмы „ИБ — это постоянное совершенствование и обучение” к вопросу о конкретных результатах. Наличие на российском рынке компаний, позволяющих получить результат сразу, а не по прошествии полугода или года, — это очень хорошо. Когда перед нами встала задача по защите электронной почты, мы за три дня подключились к сервису, тогда как сами, по первоначальной оценке, готовились бы к таким работам 3,5 месяца. Но в текущих условиях этого времени нет. И от вечной непрерывности мы переходим к конкретике».

Про багбаунти как элемент результативной безопасности

Невозможно говорить о#nbsp;результативной кибербезопасности без осознанного использования программ багбаунти: об#nbsp;этом в#nbsp;течение прошлого года не#nbsp;говорили разве что из#nbsp;утюга (хотя разместить умный утюг на#nbsp;платформе багбаунти вполне реально). О#nbsp;том, каких конкретных результатов удается достичь, используя такие программы, подискутировали в#nbsp;рамках деловой части киберфестиваля.

Владимир Бенгин, директор департамента кибербезопасности Минцифры, отметил: «Багбаунти#nbsp;— это суперкрутой стресс-тест огромного числа внутренних процессов вашей организации. Мы#nbsp;запустили программу сразу на#nbsp;двух коммерческих площадках— Standoff 365 и#nbsp;BI. ZONE Bug Bounty. В#nbsp;целом мы#nbsp;были уверены в#nbsp;защищенности Госуслуг, потому что пентест наших систем проводила практически каждая российская компания в#nbsp;сфере#nbsp;ИБ. Всего в#nbsp;багбаунти участвовали около 8 тысяч человек. На#nbsp;обеих площадках сданы сотни отчетов, результатом стало больше 30 подтвержденных уязвимостей. Найдены и#nbsp;критически опасные недостатки, максимальная выплата составила 350 тыс. рублей. В#nbsp;дальнейшем будем думать, как этот опыт масштабировать. Для#nbsp;компании или организации в#nbsp;смысле проверки защищенности нет ничего дешевле и#nbsp;эффективнее багбаунти».

По#nbsp;словам Александра Хамитова, руководителя направления безопасности приложений Wildberries, комьюнити, участвующее в#nbsp;багбаунти, может не#nbsp;только заниматься проверкой на#nbsp;уязвимости, но#nbsp;и#nbsp;подкидывать интересные идеи.

«Нам встречались неожиданные предложения организовать тестирование чуть#nbsp;ли не#nbsp;из конкретного пункта выдачи заказов»,#nbsp;— рассказал Александр Хамитов.

При этом многие организации пока все#nbsp;же не#nbsp;торопятся запускать багбаунти.

«Некоторые специалисты по#nbsp;ИБ могут полагать, что и#nbsp;так знают уязвимости в#nbsp;системах своей компании, поэтому откладывают проверки на#nbsp;багбаунти-платформах. В#nbsp;других организациях могут думать, что если запустить программу, то#nbsp;придется признать, что бреши в#nbsp;защите есть. Руководство может относиться к#nbsp;уязвимостям как к#nbsp;недоработке в#nbsp;отделе безопасности и#nbsp;принимать разные меры. Вероятно, существует и#nbsp;необоснованное опасение, что багбаунти может использоваться черными хакерами. На#nbsp;самом деле ситуация обратная: программа позволяет монетизировать уязвимости в#nbsp;правовом поле, чтобы люди не#nbsp;пытались продать информацию о#nbsp;них где-то в#nbsp;даркнете. Мое мнение, что в#nbsp;багбаунти надо обязательно участвовать»,#nbsp;— отметил Дмитрий Гадарь вице-президент, директор департамента информационной безопасности Тинькофф Банка.

Илья Сафронов, директор департамента защиты инфраструктуры#nbsp;ИБ VK, согласился с#nbsp;коллегой: «Мы#nbsp;зрелая IT-компания, поэтому у#nbsp;нас не#nbsp;было страхов по#nbsp;поводу участия в#nbsp;багбаунти на#nbsp;платформе Standoff 365. Конечно, это не#nbsp;всегда приятно, когда ты#nbsp;вроде#nbsp;бы все проверил в#nbsp;плане уязвимостей, а#nbsp;тебе принесли еще в#nbsp;рамках программы. Но#nbsp;если в#nbsp;компании три релиза в#nbsp;день, то#nbsp;невозможно сразу#nbsp;же все проверить на#nbsp;100%, поэтому багбаунти очень помогает».

Эксперты отметили, что багбаунти — это непрерывный процесс, что является основным его преимуществом, например, перед пентестом. Результаты тестирования на проникновение устаревают в тот же день, когда оно заканчивается: инфраструктура меняется, появляются новые бреши в защите, есть теневые IT, про которые компания не знает. Багбаунти позволяет платить за результат в виде уязвимостей, а не за услугу, при этом является не серебряной пулей, а только одним из кубиков проверки защищенности.

«Неизвестно, что происходит внутри инфраструктуры, необязательно, что все уязвимости обнаружат в рамках багбаунти. Здесь нужен SOC. У нас, кстати, каждый найденный недостаток проверяется: почему WAF не отработали, почему команда AppSec на первых этапах не обнаружила эту уязвимость инструментально и т. д. Мы рассматриваем всю цепочку и стараемся исключить появление брешей в защите в дальнейшем», — пояснил Дмитрий Гадарь.

Комьюнити и методология результативной ИБ

Еще одна тема, которую не#nbsp;обошли стороной в#nbsp;программе киберфестиваля,#nbsp;— роль сообщества в#nbsp;формировании подходов результативной защиты: была представлена платформа, на#nbsp;которой комьюнити может собирать фреймворки по#nbsp;построению результативной безопасности. Открытое сообщество rezbez.ru создано для#nbsp;экспертов в#nbsp;области ИБ, позволяет обмениваться знаниями и#nbsp;опытом и#nbsp;ориентировано на#nbsp;достижение практического результата. Чтобы обеспечить высокий уровень киберустойчивости, предлагается комплексный подход, в#nbsp;основе которого лежат 10 доменов по#nbsp;разным направлениям#nbsp;ИБ. Реализация шагов и#nbsp;практик, предложенных в#nbsp;каждом из#nbsp;доменов, не#nbsp;только поможет соблюсти требования регуляторов, но#nbsp;и#nbsp;позволит бизнесу уверенно развиваться в#nbsp;цифровом пространстве. Сайт в#nbsp;ближайшие дни будет пополнен методиками и#nbsp;рекомендациями, шаблонами и#nbsp;примерами, чек-листами и#nbsp;другими полезными материалами.

Участники дискуссии согласились, что подобная платформа необходима сообществу, а#nbsp;вендорам следует взять на#nbsp;себя ответственность за#nbsp;создание и#nbsp;развитие таких площадок. При этом для#nbsp;привлечения экспертов важно обеспечить прозрачность их#nbsp;работы с#nbsp;точки зрения прав интеллектуальной собственности, а#nbsp;на#nbsp;первом этапе, вероятно, понадобится и#nbsp;финансовое поощрение.

Директор по#nbsp;консалтингу «Ростелеком-Солар» Роман Чаплыгин отметил, что результат необходим в#nbsp;разных аспектах кибербезопасности, в#nbsp;том числе в#nbsp;процессах, и#nbsp;нужно прививать сообществу понимание того, что целеполагание должно быть в#nbsp;форме результата.

Генеральный директор CyberOK Сергей Гордейчик отметил, что любая деятельность должна быть измерима: «Вопрос измеримости безопасности, метрик безопасности стоит всегда. Соответственно, если ты#nbsp;затеваешь какую-то активность в#nbsp;области ИБ, надо понимать, к#nbsp;чему ты#nbsp;идешь в#nbsp;рамках этого процесса и#nbsp;как будешь отслеживать прогресс».

В#nbsp;России, по#nbsp;словам ряда участников, нет системно выстроенных, организованных площадок для#nbsp;сообщества по#nbsp;образцу западных. Тем не#nbsp;менее есть наработки, которые нужно развивать и#nbsp;которым следует придать некую системность. По#nbsp;мнению директора центра информационной безопасности «Инфосистемы Джет» Андрея Янкина, «между кучей замьюченных телеграм-каналов и#nbsp;зарегулированностью не#nbsp;хватает открытой площадки, на#nbsp;которой обычные специалисты могут свободно общаться».

Минувший год показал, что противостоять кибератакам можно только вместе, плечом к#nbsp;плечу. Однако, несмотря на#nbsp;участие представителей многих компаний в#nbsp;так называемых оперштабах, созданных для#nbsp;противодействия киберугрозам, не#nbsp;все игроки отечественного рынка кибербезопасности готовы делиться своими наработками. Индикаторы атак, сигнатуры, правила корреляции#nbsp;— это лишь малая толика того, что компании придерживают, не#nbsp;делясь с#nbsp;сообществом.

Генеральный директор и#nbsp;сооснователь RST Cloud («Технологии киберугроз») Николай Арефьев рассказал, почему компании не#nbsp;спешат делиться индикаторами компрометации.

«С#nbsp;одной стороны, можно отдавать индикаторы компрометации, но#nbsp;с#nbsp;контекстом будут проблемы. Как правило, организации вручную собирают всю информацию, очищают и#nbsp;обогащают. Получается такая парадигма: отдать сам индикатор, наверное, можно, но#nbsp;в#nbsp;это#nbsp;же были вложены реальные трудозатраты, потрачены людские ресурсы и#nbsp;деньги компании. Как таким делиться#nbsp;— вопрос открытый».

В#nbsp;свою очередь, Владимир Дрюков, директор центра мониторинга и#nbsp;реагирования на#nbsp;кибератаки в#nbsp;«Ростелеком-Солар», обратил внимание на#nbsp;морально-этический аспект публикации наработок компании.

«Сейчас всех атакуют через Exchange. Я#nbsp;считаю своей социальной обязанностью поделиться правилом обнаружения киберугроз, а#nbsp;не#nbsp;ждать, пока заказчика взломают».

По мнению Теймура Хеирхабарова, директора департамента мониторинга, реагирования и исследования киберугроз BI.ZONE, нужен стандарт, который сподвигнет российских вендоров средств защиты чаще делиться информацией с рынком кибербезопасности.

«Стандартизация протоколов, интерфейсов взаимодействия, форматов обмена данными#nbsp;— этого нам действительно не#nbsp;хватает. Каждый вендор делает API в#nbsp;своих решениях как хочет, форматы и#nbsp;правила у#nbsp;всех свои. Дружить при отсутствии стандартов просто невозможно».

Андрей Янкин, директор центра информационной безопасности «Инфосистемы Джет», добавил, что для#nbsp;взаимодействия нужна площадка, в#nbsp;рамках которой компании в#nbsp;сфере#nbsp;ИБ могли#nbsp;бы объединиться.

«Многим игрокам, не#nbsp;таким крупным, это дало#nbsp;бы возможность влиться в#nbsp;реку кибербезопасности и#nbsp;начать быстро друг другу помогать. Эта площадка должна быть не#nbsp;про конкуренцию»,#nbsp;— рассказал спикер.

Руководитель центра мониторинга Kaspersky Сергей Солдатов высказался о#nbsp;возможном бюрократическом барьере на#nbsp;пути к#nbsp;созданию такой площадки и#nbsp;заявил, что в#nbsp;построении коммуникации между организациями важную рольдолжно играть государство.

О развитии хай-тека, DevSecOps и перспективах отечественных ОС

Будущее индустрии хай-тек обсуждали директора по#nbsp;разработке и#nbsp;совладельцы бизнеса. Из-за ухода зарубежных вендоров с#nbsp;российского рынка появились возможности для#nbsp;прорывов в#nbsp;различных технологических сегментах. Ушли монополисты, которые занимали свои ниши на#nbsp;100%. При этом пользователи остались, и#nbsp;они ожидают продуктов и#nbsp;сервиса такого#nbsp;же уровня, как и#nbsp;раньше.

«Первый технологический рывок, который необходимо сделать отечественной индустрии, причем за#nbsp;короткий срок,#nbsp;— это наладить производство и#nbsp;обслуживание программного обеспечения на#nbsp;том#nbsp;же уровне, как было у#nbsp;зарубежных вендоров»,#nbsp;— считает СТО#nbsp;VK Tech Алексей Тотмаков.

В#nbsp;свою очередь Константин Осипов, сооснователь компании Picodata, в#nbsp;числе приоритетных для#nbsp;импортозамещения сегментов назвал SCADA- и#nbsp;ERP-системы, базы данных, а#nbsp;также системы автоматизированного проектирования (CAD).

Кроме того, возникла фундаментальная необходимость в#nbsp;открытых процессорных технологиях и#nbsp;в#nbsp;их реализации на#nbsp;базе открытых стандартов.

«Требуется инвестировать в#nbsp;инструменты проектирования открытого аппаратного обеспечения, так как сейчас такие средства создаются монопольно и#nbsp;не#nbsp;российскими компаниями»,#nbsp;— комментирует Игорь Лопатин, директор по#nbsp;исследованиям и#nbsp;разработкам «Yadro Центр исследований и#nbsp;разработки».

В#nbsp;качестве второго важного направления инвестиций он#nbsp;обозначил средства, которые позволяют разработчикам писать под эти процессоры оптимизированные библиотеки и#nbsp;«другие строительные кирпичики, из#nbsp;которых складывается софтверная экосистема для#nbsp;новых открытых архитектур». Игорь с#nbsp;умеренным оптимизмом оценил перспективы развития отечественного «железа», однако подчеркнул, что в#nbsp;сфере разработки центральных процессоров, которые отличаются экстремальной сложностью, быстрых результатов ждать не#nbsp;стоит.

«Есть области, в#nbsp;которые российские разработчики не#nbsp;шли осознанно, так как не#nbsp;имели „инженерки“. Сейчас, с#nbsp;уходом иностранных игроков, нам придется туда идти от#nbsp;неизбежности,#nbsp;— отметил Алексей Андреев, управляющий директор Positive Technologies. —#nbsp;С#nbsp;другой стороны, освободились ниши, которые займут отечественные вендоры. В#nbsp;частности, речь о#nbsp;сегменте сетевой безопасности и#nbsp;нише межсетевых экранов нового поколения. В#nbsp;областях, в#nbsp;которых мы#nbsp;обладаем комплементарной экспертизой, у#nbsp;нас будут технологические прорывы».

В 2022–2023 годах тема DevSecOps стала еще популярнее и портрет пользователей поменялся.

Денис Кораблев, директор по#nbsp;продуктам Positive Technologies, отметил, что по#nbsp;сравнению с#nbsp;прошлым годом тема DevSecOps стала гораздо популярнее.

«Из-за того, что многие западные вендоры ушли с#nbsp;российского рынка, пришлось различные продукты разрабатывать с#nbsp;чистого листа. Отрадно видеть, что большинство разработчиков при этом сразу учитывают безопасность, встраивают ее#nbsp;в#nbsp;свой конвейер. Это действительно серьезное отличие по#nbsp;сравнению с#nbsp;тем, что было раньше. В#nbsp;текущей ситуации все видят количество атак, которые происходят, и#nbsp;не#nbsp;могут игнорировать безопасность в#nbsp;своих подходах»,#nbsp;— полагает эксперт.

В свою очередь, Рами Мулейс, менеджер продуктов безопасности Yandex Cloud, отметил трехкратное увеличение числа пользователей сервиса для управления DevOps-платформой GitLab в инфраструктуре Yandex Cloud. При этом, по словам спикера, частичный уход западных вендоров затруднил разработку продуктов.

«Все сильно осложняется тем, что готовых решений для#nbsp;DevSecOps все меньше и#nbsp;меньше. Мы#nbsp;видим ставку на#nbsp;решения open source по#nbsp;безопасности».

По#nbsp;словам Юрия Сергеева, основателя и#nbsp;управляющего партнера Swordfish Security, важно помнить, что все разработчики, использующие решения open source, становятся ответственными за#nbsp;их#nbsp;безопасность.

С#nbsp;уходом зарубежных вендоров изменилась и#nbsp;ситуация в#nbsp;сфере отечественных#nbsp;ОС: разработчики уверены в#nbsp;своих перспективах и#nbsp;отмечают новые возможности. В частности, Владимир Тележников, начальник отдела научных исследований ГК «Астра», рассказал, что «не все оказалось гладко, но компания пережила стресс и сейчас находится на стадии спокойного развития продукта и движения вперед: накоплен хороший опыт внедрения и позитивный фидбек от пользователей продукта».

Роман Аляутдин, директор департамента разработки#nbsp;ОС «Аврора» («Открытая мобильная платформа»), уверен в#nbsp;успехе российских ОС.

«Отечественными вендорами заложен хороший базис, вокруг которого нужно строить экосистему, при этом конкурируя на#nbsp;рынке, в#nbsp;том числе с#nbsp;технологиями, к#nbsp;которым рынок приручил всех нас. Для#nbsp;этого у#nbsp;нас есть все ресурсы: люди, технологии, экспертиза».

Кибергород — посетители парка узнали об особенностях ChatGPT и о том, как не попасть в сети мошенников

На#nbsp;площадке, доступной для#nbsp;всех посетителей Парка Горького (трек «Научпоп»), поднимали темы, близкие каждому человеку. Например, представители ритейла рассказывали о#nbsp;наборе признаков, указывающих на#nbsp;ненадежность интернет-магазина. Павел Куликов, CTO «СДЭК», порекомендовал пользователям не#nbsp;переводить общение с#nbsp;продавцом в#nbsp;другие сервисы при совершении покупок на#nbsp;маркетплейсах: этим нередко пользуются мошенники.

«В#nbsp;пандемию многие ритейлеры не#nbsp;справлялись с#nbsp;большим количеством заказов, чем пользовались злоумышленники, создавая поддельные или посреднические сайты, например мимикрировали под „Азбуку вкуса“. В#nbsp;лучшем случае покупки клиентам обходились дороже, в#nbsp;худшем#nbsp;— покупатели оставались без денег и#nbsp;товара. Проверяйте сайт, на#nbsp;котором собираетесь оплачивать покупки, хотя#nbsp;бы по#nbsp;банковским реквизитам юридического лица, которые всегда указаны на#nbsp;легальных сайтах»,#nbsp;— посоветовал Дмитрий Кузеванов, технический директор «Азбуки вкуса».

Валентин Малых, NLP-исследователь Huawei, рассказал, как функционирует система ChatGPT, под влиянием которой сотни западных экспертов, в#nbsp;том числе Илон Маск и#nbsp;Стив Возняк, призвали разработать правила для#nbsp;интеллектуальных помощников.

«В#nbsp;последние полгода о#nbsp;ChatGPT говорят из#nbsp;каждого чайника, поэтому я#nbsp;попробую объяснить, как работает эта технология изнутри. Сам термин NLP#nbsp;— про то, как мы#nbsp;взаимодействуем с#nbsp;текстами. У#nbsp;каждого из#nbsp;нас есть модель языка, которая помогает нам доносить свои мысли. Самое базовое определение языка связано с#nbsp;некой „затравкой“, которая позволяет получить следующее слово. Если кто-то скажет „мама мыла“, то#nbsp;все дружно ответят „раму“. Подобные модели, генерирующие следующие слова, только в#nbsp;тысячи раз сложнее, работают в#nbsp;ML-помощниках»,#nbsp;— отметил Валентин Малых.

Егор Баяндин, CIO и сооснователь сервиса кикшеринга Whoosh, рассказал, могут ли самокаты собирать данные об окружающей среде и пользователях и может ли хакер взломать самокат и дистанционно регулировать скорость и другие показатели. По словам Егора, самокат почти ничего не знает о своем арендаторе. Кроме того, за четыре года работы сервиса данные о пользователях ни разу не были украдены. Эксперт также предупредил о важности физической безопасности при использовании самокатов, в частности о недопустимости езды вдвоем, пояснив, что даже мотоциклисты могут попасть в аварию из-за неправильных действий заднего пассажира.

В свою очередь, Яна Юракова (старший аналитик исследовательской группы Positive Technologies) и Сергей Полунин («Газинформсервис») объяснили, как выбрать защищенный VPN-сервис в условиях возросшей популярности этой технологии в связи с блокировками. Утечка конфиденциальных данных, по словам Яны, может возникнуть, только если владелец сервиса — недобросовестный человек, а соединение с запрашиваемым ресурсом происходит по незащищенному HTTP-протоколу (когда в браузере нет характерного замочка). Сергей отметил, что поддержка VPN-ресурсов стоит немалых денег и, если сервис бесплатен, надо понимать, какая у него модель монетизации и чем заплатит пользователь (рекламой или похищенными данными).

О кибербитве Standoff и других конкурсах

За#nbsp;четыре дня кибербитвы атакующим 204 раза удалось реализовать недопустимые события в#nbsp;воссозданных на#nbsp;киберполигоне секторах экономики. Из#nbsp;148 предусмотренных уникальных недопустимых событий нападающие реализовали 64. Больше всего реализаций на#nbsp;счету команды Codeby, которая теперь является единственным четырехкратным чемпионом кибербитвы. Ни#nbsp;один из#nbsp;сегментов не#nbsp;выстоял под натиском красных команд. Чаще всего были реализованы утечка конфиденциальной информации (32 раза) и#nbsp;распространение вируса-шифровальщика (31 раз). Максимальное количество успешных атак было реализовано в#nbsp;банковской системе (44) и#nbsp;УК City (44), на#nbsp;третьем месте «МеталлиКО» (37), замыкает четверку лидеров Atomic Energy (27).

За#nbsp;все время кибербитвы в#nbsp;Государстве F#nbsp;атакующие сдали 209 отчетов об#nbsp;уязвимостях, из#nbsp;них 58% — об#nbsp;уязвимостях критического уровня риска, 24% — высокого и#nbsp;17% — среднего. Наиболее популярным типом выявленных уязвимостей стало удаленное выполнение кода (Remote Code Execution, RCE).

Команды защитников сдали жюри 667 отчетов об#nbsp;инцидентах, в#nbsp;основном в#nbsp;сегменте Tube (37%), и#nbsp;расследовали 43 атаки.

Первое место среди атакующих заняла команда Codeby, набравшая в#nbsp;совокупности 193 454 балла, второе#nbsp;— True0xA3 (143 264 балла), третье#nbsp;— Bulba Hackers (58 796 баллов).

На#nbsp;киберфестивале была обширная конкурсная программа. Участники конкурса IDS Bypass испытывали на#nbsp;прочность системы сетевой защиты, а#nbsp;в#nbsp;конкурсе $natch надо было взломать банкомат, мобильный банк и#nbsp;кассовый аппарат. Последний, кстати, участники конкурса смогли вскрыть не#nbsp;менее пяти раз.

Около десяти человек попробовали свои силы в#nbsp;непростом конкурсе ETHical hacking. Участникам предстояло пройти ряд челленджей по#nbsp;взлому смарт-контрактов в#nbsp;сети Ethereum: вывести все средства из#nbsp;смарт-контракта или установить флаг (значение булевой стейт-переменной контракта) в#nbsp;true в#nbsp;зависимости от#nbsp;описания челленджа. Шестерым специалистам удалось решить как минимум один челлендж.

О#nbsp;результатах всех конкурсов мы#nbsp;сообщим дополнительно#nbsp;— совсем скоро последуют новости и#nbsp;отчеты, посвященные отдельным событиям киберфестиваля. Доклады, сессии, конкурсы и#nbsp;соревнования мероприятия транслировались онлайн на#nbsp;сайте PHDays. Видео большинства выступлений будут опубликованы позднее. Следите за#nbsp;новостями на#nbsp;нашем сайте.

Соорганизатором PHDays и#nbsp;Standoff уже третий год выступает IT-компания Innostage, разработчик и#nbsp;интегратор сервисов и#nbsp;решений в#nbsp;области цифровой безопасности. Бизнес-партнерами фестиваля стали разработчик решений для#nbsp;информационной безопасности Security Vision, национальный провайдер сервисов и#nbsp;технологий#nbsp;ИБ «Ростелеком-Солар» и#nbsp;один из#nbsp;крупнейших универсальных банков России Газпромбанк. Генеральный медиапартнер мероприятия#nbsp;— компания VK, а#nbsp;генеральный информационный партнер#nbsp;— Rambler&Co. Информационным партнером деловой части фестиваля стала группа компаний «РБК». Технологический партнер#nbsp;— «Азбука вкуса». Партнеры PHDays 12 и#nbsp;участники выставки#nbsp;— компании Axoft, Fortis, F+tech, «ICL Cистемные технологии», InfoWatch, MONT, OCS Distribution, UserGate, «Инфосистемы Джет», «Стахановец». Партнеры#nbsp;— ARinteg, Platformix, Росбанк и#nbsp;«УЦСБ». Участник выставки и#nbsp;Standoff#nbsp;— «Газинформсервис».

2023-05-24 17:10