18, май 2016  —  Завершился первый день форума Positive Hack Days, стартовавшего 17 мая в Москве, в Центре международной торговли. Сегодня форум посетило рекордное число участников — более 3000. Также свои двери в рамках PHDays Everywhere распахнули 15 хакспейсов в России, Бангладеш, Белоруссии, Индии, Казахстане, Перу, Тунисе и Швеции. На два дня организована онлайн-трансляция с площадки мероприятия, так что все интернет-пользователи смогут принять активное участие в форуме.

В первый день прозвучало более 50 докладов, прошли мастер-классы и круглые столы, стартовали десятки хакерских конкурсов.

Тенденция к ухудшению

В рамках форума был представлен отчет аналитического центра Positive Technologies — Positive Research 2016. Эксперты отмечают ухудшение общего уровня защищенности информационно-телекоммуникационных систем практически во всех областях. Защищенность IT-инфраструктур крупных компаний по-прежнему оставляет желать лучшего: в каждом втором случае (46%) для получения доступа к ресурсам внутренней сети злоумышленнику достаточно даже низкой квалификации. Самые распространенные уязвимости — использование словарных паролей (53%), уязвимости веб-приложений (47%) и служебных протоколов (100%), неэффективность антивирусной защиты (91%), устаревшее ПО (82%).

Данные абонентов сотовой связи под угрозой: к такому неутешительному выводу пришли эксперты. Исследования защищенности сетей SS7, проведенные в 2015 году, показали, что в 89% случаев возможен перехват входящего SMS-сообщения, в 58% случаев — определение местоположения абонента, а в 50% —прослушивание звонков.

Банковская индустрия по-прежнему уязвима. Все проанализированные экспертами Positive Technologies в 2015 году системы ДБО содержали уязвимости, причем 90% из них содержали критически опасные уязвимости, оставшиеся 10% — недостатки среднего уровня риска. В половине случаев механизмы двухфакторной аутентификаций с помощью одноразовых кодов, передаваемых через SMS-сообщения, отсутствовали или были реализованы некорректно. Мобильный банк на iOS на данный момент безопаснее решений на Android: серьезные уязвимости содержали 33% и 75% приложений соответственно.

Не отстает и сфера АСУ ТП: в 2015 году Positive Technologies обнаружила более 100 уязвимостей в промышленных системах управления, эксплуатация половины из этих ошибок может привести к отказу в работе оборудования. Наиболее уязвимы SCADA-серверы и HMI-панели, ПЛК и удаленные терминалы, сетевые устройства и инженерное ПО.

Актуальные проблемы информационной безопасности в разрезе государственной безопасности, бизнеса и технологий обсуждались на пленарном заседании « Те, от кого зависит безопасность: очная ставка ». В дискуссии принимали участие представители госструктур, производителей средств защиты, IТ- и ИБ-руководители крупнейших предприятий:

•  Наталья Касперская , генеральный директор группы компаний InfoWatch,

•  Виталий Лютиков , начальник 2-го управления   ФСТЭК   России,

•  Олег Босенко , начальник управления   защиты информации и   инженерно-технической защиты службы безопасности НК « Роснефть »,

•  Евгений Крайнов , начальник управления безопасности и защиты информации Росфинмониторинга,

•  Кирилл Алифанов , директор по бизнес-процессам и информационным технологиям « Э.ОН Россия »,

•  Борис Симис , заместитель генерального директора Positive Technologies,

•  Дмитрий Гусев , заместитель генерального директора « ИнфоТеКС »,

•  Владимир Бондарев , директор практики « Информационная безопасность » AT Consulting,

•  Сергей Рыжиков , генеральный директор «1C- Битрикс »,

•  Илья Федорушкин , генеральный директор Tizen Security Center.

Задал тон беседы Борис Симис, он поставил наболевший вопрос: безопасники замалчивают проблемы ИБ и не доводят их даже до руководства. С ним согласилась и Наталья Касперская, пояснив, что они « дорожат честью мундира ». Борис Симис высказал мнение, что пока безопасники не признают, что их могут взломать, — невозможно выстроить систему информационной безопасности.

Развитие информационных технологий значительно опережает развитие защитных средств, и повышение уровня безопасности в масштабах страны возможно только при совместном участии государства, бизнеса и экспертов. В числе ответственных за информационную безопасность Виталий Лютиков назвал регуляторов, исследователей, заказчиков, интеграторов и разработчиков. Начальник 2-го управления   ФСТЭК   видит основную общую задачу в сокращении времени от момента, когда проблема обнаружена, до ее локализации и призвал всех « заниматься реальной безопасностью ».

Своего рода ответом на пленарное заседание стала секция « Хакерская правда: зачем ломаете? ». Борис Симис пообщался с представителями хакерских сообществ о роли хакеров в развитии ИБ. Здесь собрались известные российские специалисты по тестированию на проникновение — Дмитрий Евтеев, Тимур Юнусов, Никита Кислицин, Омар Ганиев и Сергей Белов.

Почему взломать крупную сеть это один-два дня несложной работы? Люди тратят миллионы долларов, годами строят систему безопасности, а потом приходят специалисты по анализу защищенности и очень быстро проникают во внутреннюю сеть. Отвечая на этот вопрос, старший эксперт отдела безопасности банковских систем Positive Technologies Тимур Юнусов привел аналогию с шахматами: разница только в том, что здесь « черные » ходят первыми — и потому безопасники всегда опаздывают на один ход.

Грамотные люди есть среди атакующих и защитников, уверен технических директор HeadLight Security Дмитрий Евтеев. Именно Дмитрий, как отметил Борис Симис, еще в 2011 году « вдохнул хакерскую правду в PHDays ». Работая в Positive Technologies, он собрал команду пентестеров, известную на всю страну. « Представим современную компанию, которая сделала все правильно с точки зрения парольной защиты, токенов, фаерволов и антивирусной защиты, — говорит Дмитрий. – Появляются пользователи в этой сети. Они начинают жаловаться на сложную парольную политику. Дальше на компьютере бухгалтера хотят поставить важную программу, которая не умеет работать с прокси. Возникают бреши. Пользователи начинают ходить по зараженным сайтам, а на компьютерах необычные аномалии. Специалисты по безопасности начинают бегать от компьютера к компьютеру, как-то реагировать, но уже не успевают ».

Сергей Белов, аудитор ИБ компании Digital Security, уверен, что люди, которые занимаются защитой, неправильно выбирают себе команду: « Вместо пары грамотных offensive-специалистов берут экспертов, знающих теорию SDLC, но на практике умеющих строить лишь формально безопасные процессы. Такой подход ошибочен. На моей практике не было ни одной компании, в сети которой нельзя было бы перехватить минимум одну доменную учетную запись с помощью responder, nmap или Hydra ».

Никита Кислицин из Group-IB отметил, что безопасность нельзя « прикрутить », купив какой-то продукт. Безопасность — это процессы, культура, люди. « Долгое время я занимался анализом бот-сетей, которые шлют самые разные данные с зараженных компьютеров — перехваченные пост-запросы, пароли, раскадровку рабочего дня, видео, ключи, которые можно вынуть из файловой системы или USB-стиков, — рассказывает Никита. — Свежий пример: зараженный компьютер системного администратора в коммерческом банке. Причина заражения лежит на поверхности: одной рукой администратор управляет доменом банка, а другой — сидит во ВКонтакте и переходит по присылаемым ему ссылкам. Банк может купить антивирус или FireEye за миллион долларов, но от таких ситуаций защититься не сможет. По моим оценкам, минимум треть компаний, в том числе крупных банков, заражены ботнетами. Сегодня строение DMZ и защита периметра немного отходит на второй план, так как проще заразить очень важные компьютеры, просто написав правильный текст и прислав человеку вирус ».

Любопытный разговор состоялся в рамках секции « Разговор по ИБ: "совершенно секретно" или "срочно в номер" » заместитель директора центра компетенции Positive Technologies Алексей Качалин вместе с журналистами и блогерами разбирались, нужно ли освещать инциденты безопасности, насколько читатели вообще осведомлены о проблемах ИБ, как сделать так, чтобы материалы в СМИ стали инструментами для обеспечения безопасности. Среди участников были Алексей Лукацкий (ведущий ИБ-блогер, бизнес-консультант по безопасности, Cisco Systems), Сергей Вильянов (Bankir.ru), Илья Шабанов (Anti-Malware.ru) и другие.

Дискуссия получилась жаркой; пожалуй, самым ярким стало выступление Сергея Вильянова, который о необходимости освещения инцидентов безопасности емко заметил: « Безопасность любит тишину ». По его словам, разговор об информационной безопасности должен быть для тесного круга, а не для публики. Алексей Лукацкий поднял ряд важных вопросов, в частности о том, для чего и для кого должен писать блогер. И предложил интересную мысль — писать об ИБ для домохозяек. Он полагает, что не только малому и среднему бизнесу важны вопросы безопасности: ориентируясь только на них, СМИ и блогеры упускают большую аудиторию.

Positive Technologies — лидер европейского рынка систем анализа защищенности и соответствия стандартам. Деятельность компании лицензирована Минобороны РФ, ФСБ и ФСТЭК, продукция сертифицирована « Газпромом » и ФСТЭК. Более 3000 организаций из 30 стран мира используют решения Positive Technologies для оценки уровня безопасности своих сетей и приложений, для выполнения требований регулирующих организаций и блокирования атак в режиме реального времени. Благодаря многолетним исследованиям специалисты Positive Technologies заслужили репутацию экспертов международного уровня в вопросах защиты SCADA- и ERP-систем, крупнейших банков и телекомов. В 2013 году компания заняла третье место на российском рынке ПО для безопасности и стала лидером по темпам роста на международном рынке систем управления уязвимостями. В 2015 году Gartner назвал Positive Technologies « визионером » в своем рейтинге Magic Quadrant for Web Application Firewalls.

Подробнее: ptsecurity.ru , facebook.com/ PositiveTechnologies , facebook.com/ PHDays , twitter.com/ ptsecurity .