Трое в лодке, не считая преступника

Бизнес-клуб «Хакер, вендор, клиент — безопасность без купюр» обсудил 21 апреля в Москве вопросы информационной безопасности потребителей и корпораций с неожиданной (offensive, или хакерской) стороны. Речь шла о том, как обеспечить ИБ, не повредив приватности, насколько тонка граница между законопослушными хакерами и киберпреступниками, этично ли создавать потенциально крайне разрушительное кибероружие, находясь на государственной службе.

Тон задал заместитель директора департамента аудита защищённости Digital Security Глеб Чербов, обозначивший хакера как захваченного страстью познания технологий энтузиаста, исследующего мир технологий просто ради удовольствия. Отмечу, что действующие вне корпоративных рамок энтузиасты являются природным асимметричным ответом на корпоративные и государственные подразделения кибербезопасности, специалисты которых все-таки приходят в 9 и уходят в 18.

Участники дискуссии «Black-, White-, Gray- hat, а есть ли разница?» (специалист по ИБ Олег «090h» Купреев, руководитель SolidLab Андрей «petand» Петухов, заместитель директора департамента аудита защищённости Digital Security Глеб Чербов, специалист по ИБ оборудования Лев «Shadowsoul», специалист по ИБ веб-приложений компании ОНСЕК Антон «Bo0oM» Лопаницын, независимый эксперт по ИБ Алиса) согласились, что границы де-факто и нет и многие хакеры в одно и то же время пребывают на обеих сторонах, например, получая деньги за сдачу уязвимостей в легальные программы bug bounty и продавая в то же время на «черном» рынке полученные с помощью эксплуатации уязвимостей базы данных. Эта тревожащее единогласие заставляет задуматься о контроле такого «живого» кибероружия, как хакеры. Без сильных нравственных границ киберпространство может так и не выйти из текущего состояния Дикого Запада, когда преступник не боится шерифа (страны) где он наследил, только потому, что он уже вне досягаемости — на территории другой страны, которая не сотрудничает с местом преступления.

Артем Гавриченков, технический директор QRator Labs в докладе «IoT: реальная угроза или маркетинг?» выразил озабоченность растущей армией дешевых IoT-устройств. Действительно, различные аналитические исследования показывают большое количество дешевых брендов и устройств, безопасности которых вряд ли будет уделяться внимание. Эксперт провел параллель между проблемами с безопасностью IoT и глобальным потеплением, выразив озабоченность неконтролируемым ростом количества уязвимых устройств.

Он особо подчеркнул, что «дешевые устройства (китайский ширпотреб) никем не аудируются и не обновляются, а после их выпуска производитель частенько просто закрывается» и усомнился, что на безопасность IoT в принципе хватит денег в бизнес-моделях IoT-производителей. В таком случае потребителю остается уповать лишь на регулятора, который может выступить естественным балансиром рынка IoT — равно как регулятор выступает балансиром рынка пищевых продуктов, не позволяя выпускать откровенную отраву.

Артем Гавриченков предлагает проактивно решать проблемы безопасности IoT через интеграцию безопасности в маркетинговое предложение производителя. Хорошее IoT-устройство — в том числе безопасное IoT-устройство, утверждает эксперт, приводя в пример производителя автомобилей Volvo, несколько лет назад возглавившего революцию в области безопасности движения в Евросоюзе.

В свою очередь Кирилл Ермаков, технический директор Qiwi, покритиковал тех вендоров, которые выпускают продукты, следуя моде (например, моде на IoT как таковой), вместо анализа реальных текущих потребностей клиентов.

Дмитрий Гадарь, директор департамента ИБ ФК «Открытие» в определенном смысле согласился c Кириллом Ермаковым в рамках последующей дискуссии «Лженаука. Обсуждение трендов в информационной безопасности со стороны вендоров и заказчиков», заявив, что предложение продуктов вендорами клиентам — это лженаука, а также некомпетентность заказчика, так как квалифицированный заказчик всегда сам знает, что ему нужно. В частности, эксперт рассказал о стоящей перед службой ИБ банка задачей снижения времени детектирования угроз корпоративным ресурсам (time-to-detect).

Тематику с приставкой «лже» продолжила Олеся Шелестова, генеральный директор RuSIEM, окрестившая все средства защиты «лжесредствами», так как «сами по себе они не обеспечивают никакой безопасности, нужен предварительный аудит и серьезные компетенции для их настройки и мониторинга».

В целом эксперты согласились, что информационного вакуума в ИБ нет (кроме упомянутых, в их число входит специалист по ИБ Palo Alto Networks Денис Батранков). К услугам служб ИБ и различная статистика, консультации коллег, аналитические исследования и специальные проверочные мероприятия — аудиты и тесты на проникновения, однако все эти инструменты доступны в первую очередь для руководителей и специалистов служб ИБ, тогда как менеджмент предприятий далеко не всегда осведомлен о безопасности своих предприятий.

Чтобы показать менеджменту уровень безопасности и включить в модель ИБ некий риск-аппетит Дмитрий Гадарь предлагает использовать практики оценки реализуемых в банке ИТ-проектов, внедрять процессы управления уязвимостями, системы SIEM и антифрода, что в комплексе дает возможность посчитать через метрики безопасность банка и понять, в каком направлении двигаться службе ИБ организации.

В противовес ему Омар «Beched» Ганиев, специалист по ИБ Incsecurity, видит системы защиты как еще одну «поверхность атаки», «непатченные неуправляемые узлы сети» и считает, что толку от средств защиты немного и тем более его мало в крупной распределенной организации.

К Дмитрию Гадарю присоединился Кирилл Ермаков, заявив, что сложную систему защиты, например, SIEM, например в Сбербанке, нужно внедрять годами и к моменту завершения проекта она уже морально и физически устареет и будет неактуальна, чем вызвал на словесную дуэль Эльмана Бейбутова из IBM Security (IBM внедряет SIEM и строит SOC в Сбербанке. — прим. автора). Тот отметил этапность реализации бизнес-выгод в больших проектах: «каждый квартал в больших SIEM-проектах выкатывается новая функциональность и бизнес получает новые возможности», тем самым ответив на вопрос, как оптимизировать инвестиции в ИБ.

Эльмана Бейбутова поддержал Денис Батранков, рассказавший о необходимости средств автоматизации мониторинга ИБ. Он привел пример мониторинга уязвимостей через картинку (эксплуатация браузера), но удивился рыночному поведению заказчиков: когда все говорят о DLP, те покупают DLP, когда говорят о SIEM — покупают SIEM, аналогично по SOC и т. п.

Отойдя от больших проектов и возвратившись к теме трендов ИБ Вадим Подольный, экс-технический директор «Русатом-АСУ» выразил сомнения в реальности обнародованных внешних атак на АСУ ТП (в том числе нашумевшего Stuxnet, который по словам докладчика был просто «козлом отпущения» из-за кривых рук эксплуататоров обогащающих уран центрифуг), а также выразил одобрение медиа-поддержке темы кибербезопасности, ведь именно внимание медиа помогает на многих предприятиях внедрять принципы secure by design, SDLC (software development lifecycle) и улучшения качества программного обеспечения. Эксперт упомянул две непубличные атаки — искусcтвенное лобовое столкновение двух состав через взлом контроллеров Bombardier (возможно, именно поэтому Бомбардье Транспортейшн (Сигнал) позже стала одним из первых публичных кейсов защиты АСУ ТП в России. — прим. автора) и заглушение ядерного реактора на одной из АЭС из-за DoS-атаки.

Атаки будут случаться и дальше, и дабы не дать им нанести неприемлемый для экономики и социума ущерб — разумно объединяться, как уже сделала, например, банковская отрасль России. Идея общего противостояния киберпреступности, по моему мнению, могла бы объединить наших хакера, вендора и клиента.