«Мы#nbsp;ждали, что бизнес нас услышит,#nbsp;— вот он#nbsp;услышал. Компаниям все равно, какие средства защиты внедрены: им#nbsp;важны результат и#nbsp;понимание того, кто за#nbsp;него отвечает. К#nbsp;сожалению, безопасники до#nbsp;сих пор очень часто не#nbsp;могут объяснить, каким он#nbsp;будет. Внедрение некоей популярной системы защиты#nbsp;— это не#nbsp;результат. Нормальный результат#nbsp;— это когда специалист по#nbsp;безопасности сообщает руководству о#nbsp;том, что конкретно сегодня уязвимости в#nbsp;компании устраняются, скажем, в#nbsp;течение 127 дней и#nbsp;это слишком рискованно: надо, чтобы в#nbsp;критически значимых сегментах они устранялись за#nbsp;12 часов, а#nbsp;для этого необходимо столько-то миллионов рублей»,#nbsp;— признал Владимир Бенгин.
«Два года назад на#nbsp;PHDays мы#nbsp;говорили о#nbsp;том, что было#nbsp;бы здорово, если#nbsp;бы руководители задумались об#nbsp;информационной безопасности. Бойтесь своих желаний: многие менеджеры лично узнали, что такое#nbsp;ИБ. С#nbsp;другой стороны, сейчас в#nbsp;отрасли кибербезопасности иначе воспринимается ответственность за#nbsp;результат. Если два года назад я#nbsp;мог назвать нашу компанию только интегратором, то#nbsp;сейчас мы#nbsp;значительно больше, чем интегратор, и#nbsp;отвечаем за#nbsp;результат, за#nbsp;то, чтобы хакеры не#nbsp;угрожали бизнесу наших клиентов. Для#nbsp;нас это в#nbsp;первую очередь репутационные риски. Мы#nbsp;начинаем размышлять, как по-другому, более эффективно, можно добиться результата в#nbsp;области ИБ»,#nbsp;— подчеркнул Айдар Гузаиров.
«Появляется много интересных продуктов. Клиенты пошли в#nbsp;сторону сервисов. Если ранее мы#nbsp;только рассказывали, что услуги в#nbsp;области#nbsp;ИБ могут дать большой результат в#nbsp;понятные сроки, то#nbsp;сейчас сервисы становятся востребованными практически по#nbsp;всем направлениям. Единственное исключение#nbsp;— услуги страхования, которые почему-то не#nbsp;взлетают»,#nbsp;— сказал Сергей Шерстобитов.
Владимир Бенгин, директор департамента кибербезопасности Минцифры, отметил: «Багбаунти#nbsp;— это суперкрутой стресс-тест огромного числа внутренних процессов вашей организации. Мы#nbsp;запустили программу сразу на#nbsp;двух коммерческих площадках— Standoff 365 и#nbsp;BI. ZONE Bug Bounty. В#nbsp;целом мы#nbsp;были уверены в#nbsp;защищенности Госуслуг, потому что пентест наших систем проводила практически каждая российская компания в#nbsp;сфере#nbsp;ИБ. Всего в#nbsp;багбаунти участвовали около 8 тысяч человек. На#nbsp;обеих площадках сданы сотни отчетов, результатом стало больше 30 подтвержденных уязвимостей. Найдены и#nbsp;критически опасные недостатки, максимальная выплата составила 350 тыс. рублей. В#nbsp;дальнейшем будем думать, как этот опыт масштабировать. Для#nbsp;компании или организации в#nbsp;смысле проверки защищенности нет ничего дешевле и#nbsp;эффективнее багбаунти».
«Нам встречались неожиданные предложения организовать тестирование чуть#nbsp;ли не#nbsp;из конкретного пункта выдачи заказов»,#nbsp;— рассказал Александр Хамитов.
«Некоторые специалисты по#nbsp;ИБ могут полагать, что и#nbsp;так знают уязвимости в#nbsp;системах своей компании, поэтому откладывают проверки на#nbsp;багбаунти-платформах. В#nbsp;других организациях могут думать, что если запустить программу, то#nbsp;придется признать, что бреши в#nbsp;защите есть. Руководство может относиться к#nbsp;уязвимостям как к#nbsp;недоработке в#nbsp;отделе безопасности и#nbsp;принимать разные меры. Вероятно, существует и#nbsp;необоснованное опасение, что багбаунти может использоваться черными хакерами. На#nbsp;самом деле ситуация обратная: программа позволяет монетизировать уязвимости в#nbsp;правовом поле, чтобы люди не#nbsp;пытались продать информацию о#nbsp;них где-то в#nbsp;даркнете. Мое мнение, что в#nbsp;багбаунти надо обязательно участвовать»,#nbsp;— отметил Дмитрий Гадарь вице-президент, директор департамента информационной безопасности Тинькофф Банка.
«Неизвестно, что происходит внутри инфраструктуры, необязательно, что все уязвимости обнаружат в рамках багбаунти. Здесь нужен SOC. У нас, кстати, каждый найденный недостаток проверяется: почему WAF не отработали, почему команда AppSec на первых этапах не обнаружила эту уязвимость инструментально и т. д. Мы рассматриваем всю цепочку и стараемся исключить появление брешей в защите в дальнейшем», — пояснил Дмитрий Гадарь.
Генеральный директор CyberOK Сергей Гордейчик отметил, что любая деятельность должна быть измерима: «Вопрос измеримости безопасности, метрик безопасности стоит всегда. Соответственно, если ты#nbsp;затеваешь какую-то активность в#nbsp;области ИБ, надо понимать, к#nbsp;чему ты#nbsp;идешь в#nbsp;рамках этого процесса и#nbsp;как будешь отслеживать прогресс».
«С#nbsp;одной стороны, можно отдавать индикаторы компрометации, но#nbsp;с#nbsp;контекстом будут проблемы. Как правило, организации вручную собирают всю информацию, очищают и#nbsp;обогащают. Получается такая парадигма: отдать сам индикатор, наверное, можно, но#nbsp;в#nbsp;это#nbsp;же были вложены реальные трудозатраты, потрачены людские ресурсы и#nbsp;деньги компании. Как таким делиться#nbsp;— вопрос открытый».
«Сейчас всех атакуют через Exchange. Я#nbsp;считаю своей социальной обязанностью поделиться правилом обнаружения киберугроз, а#nbsp;не#nbsp;ждать, пока заказчика взломают».
«Стандартизация протоколов, интерфейсов взаимодействия, форматов обмена данными#nbsp;— этого нам действительно не#nbsp;хватает. Каждый вендор делает API в#nbsp;своих решениях как хочет, форматы и#nbsp;правила у#nbsp;всех свои. Дружить при отсутствии стандартов просто невозможно».
«Многим игрокам, не#nbsp;таким крупным, это дало#nbsp;бы возможность влиться в#nbsp;реку кибербезопасности и#nbsp;начать быстро друг другу помогать. Эта площадка должна быть не#nbsp;про конкуренцию»,#nbsp;— рассказал спикер.
«Первый технологический рывок, который необходимо сделать отечественной индустрии, причем за#nbsp;короткий срок,#nbsp;— это наладить производство и#nbsp;обслуживание программного обеспечения на#nbsp;том#nbsp;же уровне, как было у#nbsp;зарубежных вендоров»,#nbsp;— считает СТО#nbsp;VK Tech Алексей Тотмаков.
«Требуется инвестировать в#nbsp;инструменты проектирования открытого аппаратного обеспечения, так как сейчас такие средства создаются монопольно и#nbsp;не#nbsp;российскими компаниями»,#nbsp;— комментирует Игорь Лопатин, директор по#nbsp;исследованиям и#nbsp;разработкам «Yadro Центр исследований и#nbsp;разработки».
«Есть области, в#nbsp;которые российские разработчики не#nbsp;шли осознанно, так как не#nbsp;имели „инженерки“. Сейчас, с#nbsp;уходом иностранных игроков, нам придется туда идти от#nbsp;неизбежности,#nbsp;— отметил Алексей Андреев, управляющий директор Positive Technologies. —#nbsp;С#nbsp;другой стороны, освободились ниши, которые займут отечественные вендоры. В#nbsp;частности, речь о#nbsp;сегменте сетевой безопасности и#nbsp;нише межсетевых экранов нового поколения. В#nbsp;областях, в#nbsp;которых мы#nbsp;обладаем комплементарной экспертизой, у#nbsp;нас будут технологические прорывы».
«Из-за того, что многие западные вендоры ушли с#nbsp;российского рынка, пришлось различные продукты разрабатывать с#nbsp;чистого листа. Отрадно видеть, что большинство разработчиков при этом сразу учитывают безопасность, встраивают ее#nbsp;в#nbsp;свой конвейер. Это действительно серьезное отличие по#nbsp;сравнению с#nbsp;тем, что было раньше. В#nbsp;текущей ситуации все видят количество атак, которые происходят, и#nbsp;не#nbsp;могут игнорировать безопасность в#nbsp;своих подходах»,#nbsp;— полагает эксперт.
«Все сильно осложняется тем, что готовых решений для#nbsp;DevSecOps все меньше и#nbsp;меньше. Мы#nbsp;видим ставку на#nbsp;решения open source по#nbsp;безопасности».
«Отечественными вендорами заложен хороший базис, вокруг которого нужно строить экосистему, при этом конкурируя на#nbsp;рынке, в#nbsp;том числе с#nbsp;технологиями, к#nbsp;которым рынок приручил всех нас. Для#nbsp;этого у#nbsp;нас есть все ресурсы: люди, технологии, экспертиза».
«В#nbsp;пандемию многие ритейлеры не#nbsp;справлялись с#nbsp;большим количеством заказов, чем пользовались злоумышленники, создавая поддельные или посреднические сайты, например мимикрировали под „Азбуку вкуса“. В#nbsp;лучшем случае покупки клиентам обходились дороже, в#nbsp;худшем#nbsp;— покупатели оставались без денег и#nbsp;товара. Проверяйте сайт, на#nbsp;котором собираетесь оплачивать покупки, хотя#nbsp;бы по#nbsp;банковским реквизитам юридического лица, которые всегда указаны на#nbsp;легальных сайтах»,#nbsp;— посоветовал Дмитрий Кузеванов, технический директор «Азбуки вкуса».
«В#nbsp;последние полгода о#nbsp;ChatGPT говорят из#nbsp;каждого чайника, поэтому я#nbsp;попробую объяснить, как работает эта технология изнутри. Сам термин NLP#nbsp;— про то, как мы#nbsp;взаимодействуем с#nbsp;текстами. У#nbsp;каждого из#nbsp;нас есть модель языка, которая помогает нам доносить свои мысли. Самое базовое определение языка связано с#nbsp;некой „затравкой“, которая позволяет получить следующее слово. Если кто-то скажет „мама мыла“, то#nbsp;все дружно ответят „раму“. Подобные модели, генерирующие следующие слова, только в#nbsp;тысячи раз сложнее, работают в#nbsp;ML-помощниках»,#nbsp;— отметил Валентин Малых.