Кибербезопасность с чувством праздника: как прошел PHDays 2

Дать концерт в Лужниках — это мечта многих музыкантов, но вряд ли кто-то мог подумать, что этой весной на столь статусной арене будут не петь, а рассказывать о разных аспектах кибербезопасности. Это стало возможным благодаря киберфестивалю Positive Hack Days — ежегодному ивенту от Positive Technologies.

Предвкушение этого масштабного мероприятия охватило все ИБ-сообщество еще за несколько месяцев до его начала. В этой статье расскажем о самых запоминающихся моментах PHDays. А также о том, как организаторы смогли создать у всего комьюнити чувство праздника, и провести мероприятие в формате Security-as-a-Fest!

Из чего состояла программа и нашлось ли в ней место «технохардкору»

Конференции по кибербезопасности достаточно многообразны. Какие-то проводятся с явными маркетинговыми целями, где-то превалируют сложные технические доклады, а где-то бизнес-трек, который интересен топ-менеджерам, но не особо нравится «технарям».

Виктория Алексеева

Генеральный продюсер и директор по маркетинговым проектам Positive Technologies

В этом году Positive Hack Days прошел на площадке спорткомплекса «Лужники» и уже во второй раз — в формате большого городского киберфестиваля. Фестиваль был открыт для всех желающих, потому что кибербезопасность касается всех.

Мы были очень рады видеть на мероприятии участников всех возрастов, а также студентов вузов, в том числе и из других российских городов, которые присоединились к киберфестивалю по телемосту.

Этот год показал, что такой формат мероприятия интересен и нужен россиянам. В планах наращивать масштабы и больше работать с широкой аудиторией. Хотим, чтобы Positive Hack Days превратился в ежегодный городской фестиваль.

PHDays, в силу своей масштабности, смог взять лучшее из всех возможных форматов, и даже больше. Технические специалисты получили воркшопы и целую череду технических выступлений, а также возможность поучаствовать в конкурсах разной степени сложности. Бизнес-аудитория — целый трек под руководством Алексея Лукацкого. Маркетологи и сейлы — возможность кулуарного общения со своими партнерами и потенциальными клиентами.

Иван Чернов

Менеджер по развитию UserGate

Мероприятие, безусловно, очень крутое с точки зрения аудитории. Мы встретили много действующих и потенциальных заказчиков, проявляющих огромный интерес к нашим NGFW-новинкам. Специально для них мы построили демо-стенд, который можно было пощупать, разобрать, посмотреть, что внутри и как это все работает здесь и сейчас. Провести нагрузочные тестирования и договориться с инженерами о проведении пилотов на инфраструктуре заказчиков.

Одновременно нам самим было очень интересно посмотреть, что предлагают наши уважаемы коллеги по рынку.

Важно также отметить большое внимание к начинающим специалистам, для которых были организованы не только карьерные треки, но и целые стенды. А также возможность для бизнеса услышать мнение регуляторов по самым разным вопросам.

Но PHDays — это праздник для всех, поэтому нельзя не обратить внимание на обилие активностей, рассчитанных на обычных людей, которые не связаны с информационной безопасностью.

Развлекательные интерактивы понятно и доступно доносят до широкой аудитории разные аспекты информационной безопасности. А дополнили их выступления спикеров на открытой сцене, с самыми разными темами, от повседневных проблем, связанных с ИБ, до футуристических выступлений о кибербезе будущего.

Специфика подхода PHDays делает его уникальным событием, объединяющим техническое мастерство и инклюзивность на международном уровне. Вместо того чтобы дублировать узкоспециализированные хардкорные мероприятия, PHDays дополняет их, создавая площадку, где эксперты и новички могут встречаться, обмениваться идеями и совместно формировать будущее кибербезопасности. В России уже есть крупные технохардкорные ивенты, где собираются сотни и тысячи хакеров. А вот международный праздник мирового уровня, который может собрать Лужники — один.

Кибербитвы и интеллектуальные состязания: конкурсы на PHDays

В рамках PHDays проходит много профильных конкурсов, где исследователи могут попробовать свои силы в разных направлениях. Расскажем о двух, наиболее запомнившихся.

Snatch: классика PHDays

Снэтч — уже успел стать классикой PHDays, когда десятки, а, может, и сотни исследователей пытались найти слабые места в разных цифровых продуктах. В этот раз участникам на растерзание предоставили обновленные традиционные мишени, а также новинку — уязвимое банковское мобильное приложение.

Snatch моделировал реальные сценарии взлома, с которыми сталкиваются специалисты по безопасности в своей повседневной работе. Участники должны обладать глубоким пониманием принципов работы веб-приложений, методов тестирования на проникновение и техник эксплуатации уязвимостей. Конкурс оценивал не только технические навыки, но и способность участников работать под давлением и принимать быстрые решения.

SEquest: провокационная новинка, которая «выстрелила»

Конкурс SEquest стал новинкой и изюминкой киберфестиваля PHDays. Хотя бы потому что благодаря этому конкурсу на фестиваль пришли сразу несколько Алексеев Лукацких, часть из которых была в возрасте от 16 до 20 лет.

Хакерам предложили попробовать себя в роли атакующих и проверить свои навыки социальной инженерии. Среди задач конкурса: пробраться в закрытые части фестиваля, создать бейджи организаторов и внести свои данные в базу, и даже передать кодовое сообщение по громкой связи.

Антон Бочкарев

CEO «Третья Сторона»

Идея была в том, чтобы сделать публичное социотехническое тестирование на «устойчивость»  организаторов не только к технологическим, но и к социальным атакам. Задания были очень разные — начиная с подделки бейджа оргов и до получения доступа к их штабу.

По большому счету, получился своего рода публичный redteam, а после каждого задания сторону «защиты» оперативно информировали и дообучали. И, конечно же, мы недооценили количество участников — думали, что будет 30-40 человек, а зарегистрировалось больше 200. Ожидали, что хотя бы одно задание решит человек 10-15, а на самом деле их было больше 30. И реальная сложность заданий отличалась от заявленной.

В итоге, ни один из участников не смог решить все задания, а некоторые из заданий смог решить только один участник. Но ажиотаж перед стойкой конкурса удивил даже нас самих.

Конкурс оценивал не только технические навыки, но и способность участников мыслить нестандартно и находить творческие решения сложных проблем.

Самые яркие и запоминающиеся выступления киберфестиваля

В разных локациях PHDays ведущие эксперты и исследователи в области кибербезопасности поделились передовыми знаниями и идеями о самых насущных проблемах и возможностях в отрасли. От технических глубоких погружений в новейшие методы взлома до обсуждений глобальной политики и регулирования киберпространства — каждое выступление оставило неизгладимый след в умах участников. Рассказываем о самых ярких дискуссиях и выступлениях, которые пролили свет на текущее состояние и будущее кибербезопасности.

OSINT по-взрослому

Участники дискуссии поговорили про корпоративный OSINT, также известный как Digital Risk Protection или даже Brand Protection. Многие исследователи пришли к выводу, что появится регуляторная нагрузка. Плохо это или хорошо — сказать трудно, но «плохиши» получать эти лицензии точно не будут, как и иностранные компании, которые изучают российское киберпространство.

Структура подразделения по кибербезопасности

На примере своей компании, Кирилл Мякишев, CISO компании OZON, рассказал, какой может быть эффективная структура подразделения ИБ. В своем докладе Кирилл рассказал много интересного о работе своего подразделения, стратегии ИБ, тонкостях работы CISO и как им стать.

Особенно интересной показалась мысль, что далеко не всем обязательно становиться CISO: престижная должность заместителя генерального директора и красивая надпись на визитке влекут за собой большую ответственность и ряд весьма сложных задач.

Звездные войны: скрытая угроза 

Дмитрий Овчинников, главным специалист отдела комплексных систем защиты информации компании «Газинформсервис», затронул интересную и нетривиальную тему — спутники, как приоритетные цели для кибератак. Докладчик рассказал, как информационная безопасность поборола земное притяжение и отправилась осваивать космос.

Из доклада Дмитрия зрители узнали, почему запуск спутников так интересен бизнесу и государствам, сколько денег ежегодно тратится на запуски и сколько прибыли получают компании, запускающие их. А самое главное — чем спутники привлекательны для киберпреступников и как они могут использовать вывод спутника из строя в своих целях.

Культура secure by design

В своем докладе Денис Кораблев, управляющий директор, директор по продуктам  Positive Technologies, рассказал о культуре безопасной разработки, как она развивается, и как разработчики могут помочь ее становлению в своей компании.

Во многих зрелых компаниях ИТ-специалисты уже осознают важность информационной безопасности, и готовы говорить об этом с ИТ-отделом. Важно, чтобы направления разработки и безопасности умели находить общий язык, идти по пути SSDLC вместе.

Формальная верификация ядер ОС

Разработчик Денис Ефремов из ИСП РАН представил доклад, посвященный практическому применению формальной верификации и анализа в проектах по обеспечению безопасности критически важных систем. Он поделился своим опытом участия в проверке модулей контроля доступа ядер операционных систем Astra Linux SE и «Эльбрус», а также ОС Contiki для Интернета вещей в рамках европейской программы VESSEDIA.

Денис раскрыл любопытные подробности разработки формальных моделей контроля доступа и спецификаций на код, а также продемонстрировал использование статических и динамических анализаторов и интеграцию формального анализа в цикл непрерывной интеграции.

Разработка и валидация ML-пайплайнов

В своем докладе Артем Кравцов, инженер и исследователь компьютерного зрения SberDevices, рассказал про разработку и тестирование системы на основе машинного обучения для проверки подлинности биометрических образцов по фотографии.

Артем поделился секретами архитектуры разработанного решения и продемонстрировал процесс прохождения биометрической проверки реальным пользователем. Особое внимание докладчик уделил ML-составляющей системы и процессу ее внутренней и внешней валидации.

STANDOFF

На киберфестивале PHDays прошла уже тринадцатая по счету кибербитва Standoff — захватывающее противостояние, где специалисты по компьютерному взлому сражались с экспертами по защите. 

Сергей Носков

Капитан команды GISCYBERTEAM, руководитель группы тестирования на проникновение компании «Газинформсервис»

Standoff на текущий момент, единственная площадка где белые хакеры со всего мира, как начинающие, так и профессиональные, могут отрабатывать свои навыки и инструментарий на различных отраслевых сегментах — приближенных к продуктивным средам.

В этих отраслях есть легкие и сложные критические события, которые необходимо реализовать. Иногда на специфическом прикладном программном обеспечении, что дает возможность отработать и закрепить свои навыки вне проектов.

В этом году кибербитва прошла с нововведениями и по новым правилам:

1. К Государству F на киберполигоне в этом году добавилось Государство S.
2. Макет увеличился в размерах. Новое государство состояло из  семи отраслей, подверженных риску взлома. Это бан­ков­ская сис­тема, менеджмент, ме­тал­лопере­раба­тыва­ющая, атомная и неф­тегазо­вая про­мыш­ленность, ло­гис­тичес­кая и энер­гетичес­кая сис­темы.
3. Команды атакующих разделили на два клана. Задача каждого клана — реализовать как можно больше инцидентов в своем государстве.
4. В синих командах официально появились менторы, главная задача которых — передать другим участникам свой опыт.

Но новым правилам четыре лучшие команды победившего клана продолжили борьбу за первое место в плей офф. Но и те, кто уступил, не остались без наград и поощрений — четыре лучшие команды уступившего клана продолжили борьбу в турнире плей ин.

Александра Антипина

Капитан команды Cult

Изменение правил Standoff 13 стало для нас серьезным челленджем. В прошлом мы привыкли, что результат соревнований зависит только от подготовки нашей команды и коммуникации внутри нее. Теперь же результат соревнований стал зависеть и от коммуникации с командами-союзниками. Мне потребовалось около месяца для того, чтобы пройти все стадии принятия изменения правил — эмоций было много, но теперь мы готовы и к такому формату соревнований.

Мне удалось выделить для себя ключевую дилемму — необходимость создания баланса между целями команды и целями нашей группы команд (Государства F). Я считаю, что нам удалось создать нужные условия и наша команда Cult заняла второе место в Standoff 13.

В этом году призовой фонд составил рекордные 15 млн рублей! 7,5 млн рублей могли получить команды за выполнение специального задания от Positive Technologies на этапе плей-офф, а 5 млн рублей — за выполнение специального задания от Innostage на этапе плей-ин (для четырех лучших команд проигравшего государства).

В общей битве победило Государство F, а среди команд победителями стали DreamTeam. В Государстве S первое место у команды True0xA3. Свои призы в рамках награждения получили также лидеры багбаунти-платформы и Киберполигона.

Нельзя сказать, что кибербитва в этом году прошла без эксцессов. В основном это обусловлено новым форматом, и, как следствие, новым способом подсчета очков. Наверняка организаторы в будущем доработают его и нас будут ждать новые интересные кейсы с полей киберполигона.

PHDays 2: Стало ли лучше?

Безусловно, ежегодно киберфестиваль улучшается, оставаясь неизменным в стремлении к своей главной цели — привлечь и заинтересовать темой кибербезопасности большую аудиторию.

Сейчас PHDays — это праздник для всех. Обычные люди могут получить полезную и важную информацию доступным языком, молодые ребята, студенты — найти что-то для прокачки навыков или карьеры, представители бизнеса в сфере ИБ — заключить соглашения, контракты и договориться о чем-то, технари — послушать воркшопы, поучаствовать в квестах или даже отобраться на Standoff.

PHDays уже отгремел, но оставил такое количество контента, что для его вдумчивого изучения потребуется еще несколько месяцев. Отдельное спасибо хочется сказать за качественно записанные выступления, которые наша редакция смотрит и по сей день.