Нейросети, SQL, дети: о чем на PHDays 2 рассказали эксперты УЦСБ

На прошедшей в Москве международной конференции по информационной безопасности Positive Hack Days 2 эксперты Уральского центра систем безопасности (УЦСБ) выступили с рядом докладов, поделились своими знаниями и опытом в области защиты от киберугроз.

В этой статье мы расскажем о наиболее интересных моментах из выступлений экспертов о нейросетях, контейнерах, безопасной разработке, анализе защищенности и других аспектах ИБ.

Проблемы ИИ в ИБ: falsepositive

В первый день международного киберфестивателя Positive Hack Days в Москве с докладом «Почему ИИ победно шествует во всех сферах, кроме ИБ» выступил Николай Домуховский, заместитель генерального директора по научно-технической работе УЦСБ.

Достижения искусственного интеллекта проникли практически во все сферы жизни человека. Нейросети уже пишут тексты, создают изображения и видео по запросу, а также звуковые и видеодипфейки. Естественно, киберпреступники не оставили такие технологии без своего внимания, и в последние годы отмечен рост преступлений с использованием ИИ. Но в сфере информационной безопасности ИИ, если и применяется, то как-то скромно...

За всей «магией» современных систем ИИ скрывается решение базовых задач, таких как классификация, сжатие и генерация данных (фактически все это очень схожие задачи, которые по-разному используют одни и те же принципы). Отдельно можно также выделить задачу поиска аномалий, т.е. чего-то ранее не встречавшегося, но, фактически, это тоже можно считать частным случаем задачи классификации. И в самих этих базовых задачах заложена основная проблема внедрения методов ИИ в системы ИБ: надежная классификация наблюдаемого состояния системы (видим ли мы инцидент ИБ или нормальное функционирование системы) требует ее детального описания – а это упирается в проблему размерности такого описания. При анализе изображений, сигналов или текстов мы можем снижать размерность за счет огрубления данных (например, понижения разрешения картинки) – это сохраняет «суть» данных и позволяет ИИ методу решать свои задачи. Если же мы «округляем» описание реальной системы, то мы можем потерять какие-то значимые вещи и ИИ-метод начнет генерировать ложные срабатывания, а не помогать специалисту по ИБ более точно выявлять инциденты.

Использование нейросетей для обнаружения аномалий также не оправдывает себя, поскольку они генерируют дополнительные оповещения (к тем, что мы получаем от традиционных средств обеспечения ИБ), требующие реагирования со стороны специалистов центров мониторинга безопасности. Это усугубляет проблему дефицита квалифицированных кадров в сфере ИБ, а не решает ее.

Николай Домуховский

Заместитель генерального директора по научно-технической работе УЦСБ

Использование нейросетей в работе центров мониторинга безопасности должно автоматизировать рутинные задачи и упрощать жизнь операторов центра мониторинга безопасности, а не усложнять их.

Несмотря на все это, в УЦСБ смогли «приручить» ИИ и поставить его на службу кибербезопасности. Специалисты компании построили классификатор для оповещений на основе предварительно размеченных данных. Этот классификатор позволяет с высокой точностью подсказать оператору центра мониторинга безопасности, что оповещение от SIEM или подобных источников признаков инцидентов ИБ, было ложным, а значит оператор может не тратить время на обработку этого инцидента. Для классификатора удалось добиться высокой точности (более 90%) и добавить элемент объяснения результата (модуль показывает какие именно данные в признаке инцидента заставили его решить, что оповещение ложное). Сейчас это решение находится в опытной эксплуатации в коммерческом SOC компании.

Николай Домуховский

Заместитель генерального директора по научно-технической работе УЦСБ

Наш продукт на основе ИИ показывает оператору центра мониторинга, что оповещение — ложная сработка. А значит, сотрудник может не тратить на него время и сосредоточиться на обработке более подозрительных событий.

В докладе Николай Домуховский рассказал, что для повышения точности и объяснимости модели можно обогатить ее пониманием контекста анализируемых данных. Это может включать описание системы, которая генерирует события безопасности, или сетевой трафик, которым обмениваются узлы сети. А частичная интеграция с существующими фреймворками классификации действий злоумышленников, такими как MITRE ATT&CK, может улучшить обнаружение вредоносной активности, позволяя модели распознавать известные тактики и техники атак.

Небезопасные контейнеры: мониторинг инцидентов в микросервисах

Разобраться в актуальной теме мониторинга инцидентов в контейнерных средах гостям Positive Hack Days помог Константин Мушовец, директор USSC-SOC, выступивший с докладом «Безопасность в кубе. Как обеспечить мониторинг инцидентов в микросервисной архитектуре».

Контейнерные технологии стали незаменимым инструментом в разработке ПО, особенно в микросервисной архитектуре, где приложения постоянно совершенствуются и расширяются. Однако есть значительные пробелы в защите инфраструктур с микросервисной архитектурой. К сожалению, обеспечение информационной безопасности новых технологий часто отстает от скорости их внедрения. В случае с контейнерами действует именно такой сценарий: рост использования технологии опережает развитие компетенций по ее защите.

Относительная новизна и особенности контейнерных технологий повышают вероятность пропуска критических уязвимостей, что создает возможности для кибератак на инфраструктуру.

Константин Мушовец

Директор USSC-SOC

Для снижения рисков необходим тщательный мониторинг инцидентов в микросервисной архитектуре. Существуют рекомендации и инструменты для его настройки. Два основных подхода к мониторингу:

1. Сбор событий встроенным функционалом и отправка их в SIEM для выявления предупреждений.
2. Использование специализированных средств мониторинга, которые отправляют в SIEM уже сформированные предупреждения, уменьшая поток событий.

Специализированные средства используют опыт сообщества и имеют предустановленные правила корреляции для эффективного обнаружения инцидентов.

Специализированные средства мониторинга позволяют осуществлять широкий спектр функций защиты контейнерных сред, включая:

• контроль целостности образов для предотвращения внедрения вредоносного кода;
• мониторинг трафика с публичными сервисами и выявление взаимодействия с вредоносными ресурсами;
• автоматическое сканирование уязвимостей и своевременное устранение обнаруженных проблем;
• контроль запуска терминалов и выявление подозрительной активности.

Рекомендации и инструменты, предоставляемые экспертами USSC-SOC УЦСБ, позволяют организациям внедрить эффективные системы мониторинга, способные выявлять и реагировать на киберугрозы в контейнерных средах. Принимая во внимание растущее использование контейнеров, своевременное внедрение этих мер защиты имеет решающее значение для предотвращения нарушений безопасности и защиты ценных данных и ресурсов.

«Куллхакерские» доклады

Одно из направлений работы УЦСБ — анализ защищенности цифровой инфраструктуры и аудит ИБ, который проводится силами специалистов Аналитического центра. Двое из них — Данила Урванцев и Влад Дриев —  в рамках киберфестивателя PHDays 2 представили доклады, посвященные практическим методам тестирования на проникновение.

Тема доклада Данилы Урванцева «Выявление многоэтапных SQL-инъекций». Он продемонстрировал примеры внедрения SQL-кода, выполняемого после определенной последовательности действий, и рассказал о методах анализа таких инъекций.

Некоторые уязвимости имеют отложенный характер — активируются не сразу, а через определенный промежуток времени или в ответ на определенное событие. Данила Урванцев рассказал об опыте команды Центра кибербезопасности УЦСБ по выявлению таких уязвимостей и представил инструменты SQLmap и Python, которые можно использовать для этой цели.

Данила Урванцев

Специалист по анализу защищенности Центра кибербезопасности УЦСБ

При тестировании защищенности многоэтапных бизнес-процессов необходимо проверять каждый отдельный этап. Обращайте внимание на время отклика, коды ответов, внешние запросы и длину ответов. Разработчикам программного обеспечения следует следить за тем, чтобы пользовательский код был приведен к правильному формату на каждом этапе пути, а не только на начальном.

Владислав Дриев в докладе «IP-камера: инструкция по применению» поднял вопрос — насколько безопасны офисные камеры наблюдения и требуется ли устанавливать на них антивирусное ПО. 

Видеокамеры часто недооцениваются при тестировании на проникновение — простое периферийное устройство может служить точкой входа для злоумышленника, обеспечивая доступ и закрепление в вашей инфраструктуре. Владислав продемонстрировал на примерах из практики, как можно быстро эксплуатировать уязвимости камер для получения доступа к корпоративной сети. 

Владислав Дриев

Старший специалист по анализу защищенности Центра кибербезопасности УЦСБ

Специалистам по информационной безопасности я рекомендую:

• Сменить заводские пароли на видеокамерах.
• Регулярно обновлять программное и аппаратное обеспечение, особенно если модель уже не выпускается и не получает обновлений.
• Проводить тестирование на проникновение для выявления и устранения уязвимостей.

Исследование Владислава Дриева подчеркивает необходимость переоценки роли видеокамер в обеспечении безопасности и важности регулярного аудита и защиты этих устройств. ИТ-специалисты должны быть в курсе последних угроз и уязвимостей, связанных с видеокамерами, и принимать соответствующие меры для защиты корпоративных сетей.

Безопасная разработка – тренд сезона

На киберфестивателе PHDays 2 УЦСБ представил стенд Центра кибербезопасности, объединяющий профильные компетенции по защите критически важных систем от цифровых атак. На стенде Евгений Тодышев, руководитель направления «Безопасная разработка», рассказал об услугах по безопасной разработке кода.

В рамках услуг по безопасной разработке УЦСБ предлагает:

1. Консалтинг и системную интеграцию. УЦСБ проводит обследование процессов разработки заказчика и формирует дорожную карту по внедрению безопасной разработки.
2. Внедрение продуктов по безопасной разработке — инструменты для статического и динамического анализа кода, а также композиционного анализа.
3. Выстраивание процессов безопасной разработки. Специалисты Центра кибербезопасности помогают заказчикам выстроить процессы безопасной разработки и повысить уровень квалификации разработчиков в этой области.

Отдельно для заказчиков, желающих передать код на анализ, УЦСБ предоставляет комплексное решение — платформу непрерывного анализа защищенности приложений.

Евгений Тодышев

Руководитель направления «Безопасная разработка» УЦСБ

Наша платформа предоставляет сервис по регулярному анализу защищенности приложений Заказчиков. В рамках услуги мы упаковали статический, динамический и композиционный анализ. Все результаты анализирует специалист по анализу защищенности и до Заказчика доходят только подтвержденные уязвимости. Мы стараемся автоматизировать как собственные процессы, так и процессы Заказчика, поэтому интегрируемся с системой трекинга задач Заказчика и автоматически отправляем подтверждение проблемы.

Также выделенный специалист оказывает консультационные услуги по безопасности архитектуры ПО Заказчика.

Платформа по безопасной разработке подключается в середине жизненного цикла разработки программного обеспечения до его выпуска в продакшн. Это позволяет выявить и устранить уязвимости на ранних стадиях, обеспечивая более высокий уровень безопасности разрабатываемого продукта.

Преимущества использования платформы включают в себя:

• быстрое развертывание (от 7 дней),
• постоянный мониторинг кода с высокой частотой (ежедневно или несколько раз в месяц),
• оценку на основе объема кода, обеспечивающую гибкость и доступность.

Организации могут воспользоваться вебинарами и экспертными консультациями специалистов по безопасной разработке, чтобы более подробно изучить возможности платформы и ее преимущества для повышения безопасности своих программных продуктов.

Учить киберграмотности нужно с детства

УЦСБ занимается не только информационной безопасностью бизнеса и госсектора. В сферу интересов центра входит повышение киберграмотности населения, а также пропагандирование разумного поведения в сети. В рамках PHDays 2 в дискуссии на тему «Безопасность сети» приняла участие Татьяна Щенникова, директор по маркетингу УЦСБ.

Повышение осведомленности о кибербезопасности имеет решающее значение, и ответственность за это должны разделить все участники процесса. Прежде всего, сами пользователи должны осознавать риски и принимать меры для защиты своих персональных данных. Компании, занимающиеся ИБ, также обязаны вносить свой вклад в киберпросвещение. Например, путем создания образовательных программ, распространения материалов и сотрудничества с организациями, занимающимися повышением осведомленности о кибербезопасности.

Татьяна Щенникова

Директор по маркетингу УЦСБ

Мы часто слышим о том, как важно повышать осведомленность в сфере личной безопасности в сети. Но кто ответственный за это? Во-первых, конечно, сам человек. Во-вторых, я считаю, что часть ответственности за киберпросвещение несут компании, которые занимаются информационной безопасностью. Помогать обществу становиться более образованным в вопросах защиты своих персональных данных – важная часть миссии нашего бизнеса. И, в-третьих, стратегическая роль в просвещении остается за государством. Уроки киберграмотности в школах и университетах очень помогли бы в этом.

В завершение обсуждения эксперты представили практические рекомендации по повышению безопасности в интернете.

О Центре кибербезопасности УЦСБ

Центр кибербезопасности позиционирует себя как единое окно для заказчиков, предоставляя комплексный подход к обеспечению информационной безопасности компаний.

Виктор Вячеславов

Руководитель Центра кибербезопасности УЦСБ

Мы выступаем для заказчика единой точкой доступа. Обратившись к нам, он решит большинство задач в области информационной безопасности. Мы внедряем продукт в инфраструктуру компании, помогаем в процессе эксплуатации, проводим пентесты и мониторинг безопасности.

Уральский центр систем безопасности предоставляет широкий спектр услуг, в том числе:

• интеграцию решений по информационной безопасности. УЦСБ внедряет различные продукты по информационной безопасности, включая решения российских вендоров по схеме «под ключ»;
• анализ защищенности. Компания предоставляет услуги пентеста, безопасной разработки, автоматизации в области информационной безопасности;
• мониторинг безопасности. УЦСБ оказывает услуги мониторинга информационной безопасности, обеспечивая круглосуточный контроль и выявление угроз.

В рамках своей экспертизы УЦСБ представили ряд докладов на Positive Hack Days 2. Рассказываем о них подробнее.

Заключение

Исследования и практический опыт, представленные на киберфестивале Positive Hack Days 2, подчеркивают важность постоянной бдительности и принятия превентивных мер для защиты от киберугроз. Выступления экспертов УЦСБ продемонстрировали глубокое понимание угроз и передовых практик отрасли.

Компания представила множество докладов в разных секциях форума, от делового и технического треков, до популяризационного. Это говорит о большом количестве экспертных спикеров внутри УЦСБ, которым есть чем поделиться с разными аудиториями в рамках ИБ-сообщества.

А услышать еще больше экспертизы от представителей УЦСБ и других ИБ-компаний можно будет уже в этом июне, в рамках конференции IT IS Conf.

erid: 2SDnjcM6xnm  

* Реклама, Рекламодатель ООО «УЦСБ», ИНН 6672235068