Юрий Шабалин, Swordfish Security: Что касается интерактива, тут конференции OFFZONE, на мой взгляд, нет равных!

Ведущий архитектор Swordfish Security Юрий Шабалин встретился с журналистом Cyber Media накануне конференции OFFZONE 2022, чтобы рассказать об особенностях формирования программы секции App.Sec.Zone и приятных сюрпризах, которые ждут участников в этом году.

Cyber Media: Кому и когда пришла в голову идея делать секцию App.Sec.Zone на OFFZONE? Почему вы считаете эту тему важной?

Юрий Шабалин: Тема безопасности приложений вообще одна из самых любимых у “белых” хакеров. У черных, разумеется, тоже. Но только первые ищут всевозможные способы защиты приложений, а вторые стремятся во что бы то ни стало атаковать.

Вот немного показательных цифр. Доля уязвимостей в Web-приложениях снижается год от года, но очень медленными темпами. В 2021г. 62% таких приложений имели уязвимости высокой степени риска. В 2022г. хакеры имеют возможность атаковать уже только около 35% российских финансовых приложений.  

Различных аспектов и нюансов внутри одного большого направления безопасности приложений - множество. Здесь не обойтись парой докладов, их должно быть много. Плюс, есть немало специалистов, которые ходят на конференции слушать и смотреть доклады и воркшопы именно по безопасности приложений.

Поэтому создание секции, посвященной Application Security, было неким естественным, органичным решением, а не попыткой как-то украсить конференцию. Потребность в ней была велика изначально, поэтому организаторы OFFZONE - ребята из компании BiZone - еще на старте задумались о том, чтобы собрать вокруг себя единомышленников по этой теме. И как раз мы и поддержали идею одними из первых. Ведь темой безопасности приложений мы активно занимаемся в рамках внедрения методологии DevSecOps, а также развивая собственный продукт для анализа безопасности мобильных приложений Стингрей и платформу оркестрации DevSecOps - продукт AppSec.Hub.

Cyber Media: Изменился ли ТОП-лист тем в этом году в связи с последними событиями? О чем сейчас хотят говорить и слушать те, кто занимается безопасностью приложений?

Юрий Шабалин: Из года в год доклады секции App.Sec.Zone на конференции OFFZONE так или иначе касаются безопасности приложений. Любой желающий сможет найти здесь то, что ему по душе. Мы стараемся формировать программу таким образом, чтобы действительно было интересно посмотреть ее всю от начала до конца. Конечно, основное внимание уделяется темам, связанным с безопасной разработкой, с реальным опытом людей и компаний при внедрении различных практик. Обсуждаем вместе, что получается в ходе реальных проектов, с чем возникают трудности, какие подводные камни встретились, каких результатов удалось добиться.

Помимо внедрения процессов, также всегда приветствуются доклады про разбор и способы поиска интересных уязвимостей, освещение инструментов, помогающих их найти или автоматизирующие различные процессы и так далее.

При подаче заявки мы просим ребят подумать, что могло бы им самим пригодиться в безопасной разработке или при исследовании какой-то уязвимости, что облегчило бы жизнь и сэкономило бы время. Это самое ценное: опытом всегда хотят делиться и перенимать его.

Cyber Media: Для кого эта секция? Меняется ли ее состав участников от года к году?

Юрий Шабалин: Конечно, участники секции, как и ее спикеры, в основном, - специалисты по безопасности крупных банков, интернет-компаний, организаций из сферы финтех. Им важно быть в курсе самых последних новостей по теме, знать об уязвимостях нулевого дня, инструментах для атаки и защиты, делиться своим опытом по борьбе с проблемами безопасности, перенимать чужой.

Также постоянные гости этой секции - пентестеры, специалисты по анализу защищенности приложений. Размер компании в данном случае не важен, имеет значение то, что они ищут проблемы безопасности ежедневно и целенаправленно для организаций из различных сфер. Им важно быть в курсе событий, действительно хорошо детально разбираться во всем этом.

А один из главных плюсов данной секции - это возможность живого общения. Только собравшись вместе и посмотрев, как те или иные вещи делают другие, можно найти свой собственный путь в мире безопасной разработки. Люди из сферы защиты могут послушать не только про то, как другие выстраивают у себя процессы DevSecOps, но и узнать о новых типах атак или про то, как происходит процесс поиска уязвимостей и выработать новые меры защиты или что-то изменить в уже существующих процессах. А те, кто занимаются поиском этих самых проблем, могут узнать, как строятся процессы разработки и, возможно, наметить какие-то новые вектора атак.

Cyber Media: Как происходит отбор докладов на секцию? На что прежде всего обращают внимание?

Юрий Шабалин: Отбором докладов на секцию у нас занимается специальный комитет, в который входят известные специалисты в данной сфере, работающие в ней много лет. Они, вернее мы (поскольку я также являюсь его частью) обращаем внимание на новизну (выступление должно быть новым, не представленным ранее), на актуальность темы, на подачу материала и на личность автора. Ну и конечно, мы против любых рекламных и маркетинговых выступлений, мы уважаем свою аудиторию и стараемся предлагать только полезный контент.

Собираем доклады как по известным компаниям и докладчикам, обращаясь к ним напрямую, так и через социальные сети, СМИ и любые средства донесения информации. Кстати, если вы читаете эту статью и вам есть, что рассказать, отправляйте заявку любым удобным способом (через форму, заполнив здесь, или письмом на адрес: appsec@offzone.moscow).

Выбираем мы доклады методом голосования: каждый из участников программного комитета выставляет оценки, а потом заявки, набравшие наибольшее количество голосов, попадают в программу.

Cyber Media: Какой формат докладов на App.Sec.Zone? Это лекции, интерактив? Есть ли какие-то конкурсы?

Юрий Шабалин: Как правило, формат выступления - это доклад от 15 до 45 минут, после которого идет серия вопросов. Интерактив остается на усмотрение выступающего, многие докладчики предлагают слушателям попробовать самим что-то взломать или проэксплуатировать. Достаточно часто в материалы к выступлению добавляют полезный контент. Это могут быть как уязвимые ресурсы (чтобы попробовать научиться какой-то технике взлома), так и информативные статьи, скрипты или целые инструменты для анализа или автоматизации и многое другое. Такие доклады несут в себе наибольшую ценность и рассматриваются в первую очередь.

Что касается интерактива и конкурсов, то тут конференции OFFZONE, на мой взгляд, нет равных! Здесь ежегодно представляются различные активности, начиная от возможности что-то спаять на “железячной” секции до классических CTF-соревнований. Что самое интересное, все конкурсы на площадке связаны между собой в одну историю и объединены общей “валютой”. За решение различных задачек участники получают виртуальные деньги, которые потом можно потратить на покупку реальных товаров, начиная от мерча конференции до еды. Это очень круто, необычно и добавляет конференции свой шарм.

Cyber Media: Какие темы выступлений ждать в этом году на App.Sec.Zone и насколько они актуальны?

Юрий Шабалин: Темы нашей секции в этом году особенно актуальны. Пока еще мы ведем прием заявок и сетка докладов до конца не сформирована, но уже есть очень крутые сюрпризы для наших гостей. Будут доклады про различный опыт построения процессов безопасной разработки, про опыт разработки инструмента для автоматизации и корреляции результатов различных сканеров, будет про различные интересные уязвимости, про правильное хранение секретов. Не обойдется и без “острых” докладов, после которых всегда разгораются жаркие дискуссии.

Cyber Media: Предусмотрено ли неформальное общение на секции? Какие-то активности для участников вне программы?

Юрий Шабалин: Да, конечно, - неформальное общение является важной частью конференции, а для некоторых даже важнее, чем официальная часть. Ведь это не рядовое событие, которое проводится раз в год, а часть жизни сообщества единомышленников. Поэтому мы всегда видим стихийно образующиеся островки общения, где увлеченные ребята что-то обсуждают, спорят, чем-то делятся. У нас в перерывах есть возможность послушать музыку, “почилить”, принять участие в розыгрышах, попробовать свои силы в различных конкурсах и даже сделать себе татуировку.

Cyber Media: Конференция проводится с 2019 года. Как за это время поменялась обстановка в области уязвимостей приложений? Успевает ли бизнес за развитием угроз? Многочисленные утечки последних месяцев вызывают ощущение, будто перевес на атакующей стороне.

Юрий Шабалин: Вообще, в инфобезе с самого его начала бизнес был в роли “догоняющего”. Хакеры находят все новые возможности, атакуют, а защитники латают дыры и придумывают все новые способы для отражения атак. К 2022 году удалось столь хорошо выстроить системы защиты, отточить инструменты, проработать различные стандарты и процедуры, что у многих крупных компаний уже практически не было инцидентов со внешними злоумышленниками, если только не помогали сотрудники или методы социальной инженерии. Правда, уязвимости в ПО на базе открытого исходного кода создавали немало проблем, но в тех компаниях, где разработка ведется с применением методологии DevSecOps, их удавалось успешно обходить.

События начала 2022г. вновь перевернули все вверх дном, превратив Россию в полигон для испытаний хакерских атак и инструментов. По нашим оценкам, этой весной частота и мощность DDoS-атак по сравнению с показателями прошлого года увеличилась почти в 10 раз. Под ударом оказались компании финансового, промышленного сектора, медиа, а также государственные структуры. По информации того же Сбера, до начала спецоперации банк фиксировал одну DDoS-атаку в неделю, а после – до 46 одновременных атак на различные сервисы банка в день.

Да, ситуация непростая. А к этому необходимо добавить еще и то, что в связи с санкциями многие поставщики иностранных программных решений (в том числе, для защиты) ушли из России, закрыли обновления. Это будет провоцировать в ближайшее время рост уязвимостей и атак.

Несмотря на это, сфера информационной безопасности живет, развивается. В том числе, потому, что нашим специалистам фактически всегда приходится работать в сложных условиях, они столь хороши. Постоянно закаляются стрессовыми ситуациями и необходимостью быстро найти подходящее решение.  

Cyber Media: В последнее время тема bug bounty часто попадает в новости. В мае организаторы PHDays 11 презентовали платформу bug bounty Standoff 365, в июле о планах легализовать “белых хакеров” объявило Минцифры. Как вы видите развитие направления в ближайшей перспективе?

Юрий Шабалин: Вообще, к таким инициативам стоит относиться с крайней осторожностью. Конечно, опыт того же Казахстана показывает, что инициатива может иметь успех. Там еще в 2020 году запустили Национальную площадку по выявлению уязвимостей BugBounty.kz, к которой подключились не только коммерческие структуры, но и государственные власти. Но нужно понимать, что в Казахстане программа развития хакерского движения идет активно уже не один год, ребята работают системно, подключая к ней и образовательные ресурсы, и информационные. Это не какое-то хаотичное решение. В любом случае, важно иметь четкое представление, для каких продуктов и на каком этапе эффективно организовывать баг-баунти. Например, нет смысла делать это для какого-то инструмента до прохождения тестирования, иначе это просто будут впустую потраченные деньги.

Что касается площадок для Bug Bounty, то тут ситуация не менее интересная. Мировые лидеры, например такие как HackerOne, ушли с Российского рынка, причем сделали это крайне некрасиво, просто отобрав деньги как у компаний, так и у баг-хантеров, в один момент закрыв всем доступ. Но спустя буквально несколько месяцев открылись новые российские площадки, среди которых и указанная в вопросе площадка от Positive. Пусть по функционалу и удобству они пока проигрывают тому же H1, но уверен, что в самое ближайшее время мы увидим их взрывной рост и популярность. Тем более, российским специалистам будет гораздо проще получать выплаты от местных компаний, а также соответствовать законодательной базе.

Cyber Media: Как выглядит сегодняшний “белый хакер”? Сколько ему лет, сколько он зарабатывает поиском уязвимостей?

Юрий Шабалин: Возраст сегодняшнего “белого хакера”, чаще всего, от 20 до 30 лет, он носит футболки, худи и джинсы, и даже на серьезных встречах старается избегать костюмов. На поисках уязвимостей все зарабатывают по-разному. Зависит как от квалификации хакера, так и от его расторопности. Ведь желающих побороться за денежный приз немало, особенно если речь идет о “крупной рыбе”. К тому же, совмещать это с основной работой не всегда получается. Но те, кто целенаправленно охотятся за уязвимостями и участвуют в таких программах по всему миру, могут получать с этого от 300 долларов до нескольких тысяч в месяц.

Стоит отметить, что не всегда это основной профиль работы. Многие мои знакомые, не связанные с областью кибербезопасности (но интересующиеся этой сферой), несколько раз получали выплаты за нахождение уязвимостей в различных системах. А сейчас вообще чуть ли не лучший момент для этого.

Cyber Media: Каковы тренды в области DevSecOps? Какие средства пользуются спросом у компаний? Насколько они доступны среднему бизнесу?

Юрий Шабалин: Раньше основным “лозунгом” DevSecOps был “Shift Left”, то есть обнаружение уязвимостей старались как можно сильнее сдвинуть к началу разработки (на этапы архитектуры, кодинга и т.д.), чтобы максимально сократить стоимость исправления и повысить скорость обнаружения. Это означало, что все практики применялись на самых ранних этапах, когда код только начинал формироваться. Сразу подключали сканеры исходного кода, анализ библиотек с открытым исходным кодом и т.д., и на последующих этапах применяли уже другие практики, которые работают с готовым (собранным или развернутым приложением).

Сейчас же подход слегка поменялся, и он намного ближе к тому, чтобы сделать разработку действительно безопасной. Он звучит как “Shift Everywhere!”, и предполагает, что абсолютно все практики применяются тогда, когда они могут дать наилучший результат, пусть даже проверки будут повторяться на разных этапах разработки.

Лучше всего изменение показать на примере. Возьмем статический анализ кода. Если раньше мы анализировали код в одной точке - после того, как он попадал на сборку, - то сейчас все гораздо удобнее. Код анализируется инкрементально (то есть не весь целиком, а только измененные файлы) во время прохождения Code Review. Это позволяет сразу подсвечивать для разработчиков потенциальные проблемы.

После того, как код попадает в систему сборки, он анализируется уже целиком. Ну и после перед тем, как выкатить новую версию, мы можем финально проверить его на наличие проблем. То есть информация максимально быстро и удобно доставляется разработке в привычных для них инструментах, проверяется на этапе сборки и перед выходом в релиз. Каждый шаг приносит свою пользу и преследует свои цели, от чего выигрывают все - как разработка, так и безопасность и в целом бизнес.

И так везде, во всех областях DevSecOps мы стараемся получить максимум выгоды от каждой практики и каждого инструмента на любом из этапов разработки и главное - сделать это удобным для всех участников процесса.

Cyber Media: Как будет развиваться сервисная модель в DevSecOps? Когда можно ждать появления на рынке SaaS/IaaS-решений в этой области?

Юрий Шабалин: Сервисные решения всегда воспринимаются у нас в стране с некоторой долей опасения и скептицизма. Эта предвзятость мешает процветанию SaaS-решений в области ИБ. С одной стороны, можно понять опасения тех, кто не исключает компрометации данных в облаке. Но с другой, некоторые сервисы ИБ намного быстрее и удобнее использовать в облаке.

Если говорить о DevSecOps, здесь облачные сервисы не всегда применимы, ведь разработка чаще всего ведется внутри организации, и безопасность должна быть бесшовно встроена в этот процесс. Это может подойти только тем, кто много работает в облачной среде. Неплохо в этом помогают маркетплейсы наших провайдеров, где каждый может выбрать то, что ему необходимо, и быстро получить желаемый сервис.

Так что SaaS-решения уже давно существуют, как в виде отдельных сервисов и инструментов, так и целиком для организации всего процесса безопасной разработки. Вопрос скорее в том, как скоро изменится наш образ мышления и когда мы полностью сможем доверять поставщикам подобных решений. Хочется надеяться, что все больше компаний будет делать это уже в ближайшем будущем.