SOC-Форум 2023: стендап, «пленарка», кибербитва

14–15 ноября в Москве состоялся ежегодный SOC Forum. В этом году было в 1,5 раза больше докладов, акцент на полезные офлайн и онлайн практикумы, а также организаторы форума презентовали новый формат киберстендапа и питч-сессию для стартапов.

В этой статье мы расскажем об основных трендах, которые обсуждали эксперты, итогах кибербитвы и актуальной ситуации с кибератаками на инфраструктуру российских компаний.

О чем говорили

Основная тема двухдневного мероприятия была посвящена достижению устойчивости в бизнесе и государственном управлении, в информационной безопасности. Главными организаторами форума выступили Федеральная служба безопасности и Федеральная служба по техническому и экспортному контролю, а генеральным партнером — группа компаний «Солар».

В ходе форума представители Минцифры, Центрального Банка, Сбера, «Лаборатории Касперского», VK, BI.ZONE, Positive Technologies и другие ведущие эксперты отрасли поделились своими знаниями, рассказали о трендах атак текущего года и дали практические советы по реагированию.

Первый день форума

Программа SOC Форума была очень плотной. Первый день открылся пленарной сессией на тему «Устойчивость в мире BANI: препятствия, стратегии и возможности». Эксперты обсуждали стратегии и модели стабильного развития в условиях турбулентности.

После пленарной части участники форума представили доклады и приняли участие в дискуссии по пяти разным направлениям. В первую очередь, эксперты в области бизнеса и технологий, сфокусировались на теме киберразведки и обсудили новые возможности, предоставляемые SOC-технологиями.

Ринат Сагиров

Руководитель департамента мониторинга и реагирования, «Инфосистемы Джет»

В современном мире киберугрозы становятся всё более сложными и утонченными, что требует от SOC-центров максимальной скорости и точности в обнаружении и реагировании на инциденты.

Автоматизация в рамках задач SOC помогает снижать время реакции на инцидент, тем самым позволяя SOC устранить его до наступления негативных для бизнеса событий. Снижение времени достигается в первую очередь за счет автоматизации таких рутинных операций, как обогащение инцидента дополнительными данными по затронутым активам, проверка выявленных индикаторов компрометации на вредоносность, поиск связанных событий в дельта-окрестности инцидента, сбор дополнительных событий, и даже типовые меры реагирования, не говоря о совсем базовых задачах — создании карточек, проверки их корректности и полноты.

Важно отметить, что полная автоматизация процесса реагирования на инциденты может быть сложной задачей и в целом нецелесообразной. Некоторые аспекты требуют обязательного вмешательства человека: принятие стратегических решений, оценка контекста инцидента и принятие нестандартных мер по обеспечению безопасности. Поэтому важно найти баланс между автоматизацией и ручными операциями, чтобы обеспечить оптимальное функционирование SOC-центров.

В рамках SOC Форума 2023 участники в очередной раз подняли вопрос об экономической целесообразности выхода компаний на Bug Bounty, плюсы и минусы, основные риски. Не так давно такой смелый шаг сделала компания Positive Technologies, а сейчас готовится к выходу на Bug Bounty Innostage. Регуляторы, организации, уже участвующие в Bug Bounty и другие участники форума порассуждали, станет ли конкурс для этичных хакеров, желающих заработать на поиске уязвимостей, новым трендом в сфере информационной безопасности.

Екатерина Сюртукова

Руководитель направления по развитию бизнеса компании Innostage

Недавно мы заявили о подготовке компании к выходу на Bug Bounty. Это событие произойдет в мае 2024 года.

Но не исключено, что у многих ИБ-компаний могут возникнуть сомнения, стоит ли следовать нашему примеру. Это отчасти вопрос зрелости и уровня самовосприятия компании. Кто-то увидит в том, что хакеры найдут уязвимости в их киберзащите, только репутационные риски и почувствуют себя «сапожником без сапог». На самом деле, возможностей для роста открывается гораздо больше, чем рисков. Ведь каждая выявленная уязвимость позволяет стать еще сильнее, дополнительно укрепить информационную защиту, повысить пределы своей киберустойчивости. Именно поэтому Innostage решилась выставить свою инфраструктуру на Bug Bounty и готовится пройти этот сложный путь, ведущий к антихрупкости.

На онлайн и офлайн практикумах эксперты делились опытом расследований и кейсами по детектированию угроз, исследованиям хакерских группировок и т. д.

Второй день форума

Во второй день, участники SOC Форума в Москве сфокусировались на обсуждении современных тенденций в киберугрозах. 2023 год обозначил новый виток киберпротивостояния: к «ковровым» DDoS-бомбардировкам добавились все более опасные целевые атаки, что требует от компаний комплексного подхода к защите и реагированию. 

Игорь Кузнецов

Руководитель Глобального центра исследований и анализа угроз «Лаборатории Касперского»

В 2023 году инструменты на основе технологий машинного обучения стали доступнее. Этим пользуются и кибергруппы, организующие сложные целевые атаки. Мы полагаем, что в следующем году они также будут внедрять ранее неизвестные методы атак на цепочки поставок и продавать доступ к взломанным таким образом системам, чаще эксплуатировать уязвимости в пользовательских устройствах. Мы отслеживаем тренды, чтобы предоставлять специалистам в области кибербезопасности актуальную информацию, которая позволит им опережать злоумышленников и эффективнее отражать кибератаки.

Также участники уделили внимание теме защищенности российских организаций, опыту клиентов, фреймворкам и обучению сотрудников. Многие докладчики, особенно представители ИБ-компаний, отмечали огромный дефицит кадров. По мнению экспертов, решением этой проблемы могут стать инвестиции в выращивание специалистов и развитие собственных технологий, а также аккредитации IT-компаний и льготы. А компенсировать утечку кадров можно с помощью модели дистанционной работы.

Закончился SOC-Forum киберстендапом, на котором эксперты постарались с юмором поделиться мнением о развитии отрасли.

Итоги Кибербитвы на SOC-Forum

В рамках SOC-Forum была проведена очередная, уже третья, Кибербитва Red vs Blue. Участие в киберучениях приняли 40 команд. Они боролись за кибервысотку, атакуя и защищая цифровую инфраструктуру типовых офисов. Победителями Кибербитвы в этом году стали:

1. Защитники: первое место заняла команда NLMK_SOC группы НЛМК, второе — команда Gosushka от ГБУ Самарской области «Цифровой регион», третье — «Мониторка логов».
2. Нападающие: первое место у команды сотрудников подразделений тестирования на проникновение YourBunnyQuote. Вторыми стала команда Invuls, третьими — r0cket team.

В общем зачете победили защитники, они обошли нападающих на 109235 очков. Это хороший результат, показывающий высокую квалификацию команд в деле защиты ИБ.

Анна Кулашова

Управляющий директор «Лаборатории Касперского» в России и странах СНГ

Участники кибербитвы продемонстрировали высокий уровень профессионализма, а также неподдельный азарт и интерес к процессу. Мы благодарим организаторов за это зрелищное мероприятие — подобные инициативы способствуют повышению общему уровню кибербезопасности организаций. Защитники использовали весь пул решений, необходимых для качественной и надежной защиты современной инфраструктуры, и мы надеемся, что помимо соревновательной составляющей участники смогли по достоинству оценить предоставленные инструменты. Поздравляем команды с заслуженной победой в конкурентной борьбе.

Кроме оваций и восхищения участников форума, победителей ждали награды в виде киберучений на базе киберполигона ГК «Солар». Команде нападающих вручили памятный кубок, а остальным командам — призы и мерч от организаторов.

Евгений Акимов

Директор киберполигона ГК «Солар»

В этом году мы реализовали визуализацию кибербитвы и получили наглядное подтверждение тому выводу, который отметили в прошлом году: командам защитников необходимо развивать навыки атакующих и наоборот. На экране мы видели захват «красными» инфраструктуры, которая буквально через полчаса вновь возвращалась к «синим», т. е. первым было сложно ее удерживать, а вторым стоило активнее атаковать, чтобы не допускать проникновения. На платформе «Солар Кибермир» уже прошли тренировки более 3 000 специалистов. Этот инструмент только набирает свою актуальность. Ожидаем, что по итогам 2023 года эта цифра может удвоиться.

 За три года проведения Кибербитвы такой формат доказал свою эффективность и пользу. Участники используют и аккумулируют знания о различных методах, тактиках атак, мотивации нападающих и способов защиты, которые были накоплены в результате многолетнего опыта обеспечения ИБ крупных российских коммерческих и государственных компаний.

Резюме

Форум, как и всегда, объединил на своей площадке ведущих представителей индустрии SOC и ведущие компании России и стран СНГ, предоставив возможность открытого обмена опытом и знаниями.

Денис Макрушин

Технический директор компании МТС RED

Безусловно, в последние два года ситуация изменилась, и заказчики стали понимать, что информационная безопасность – это одна из функций, обеспечивающих непрерывность и устойчивость бизнеса. Этому способствовали и рост числа атак, и общее повышение уровня зрелости компаний, и новые требования регуляторов.

При этом также пришло понимание, что состояние абсолютной защищенности недостижимо. И хотя к нему нужно стремиться, но полностью полагаться только на то, что хакерам не удастся достичь своих целей, тоже нельзя. Заказчики все чаще задаются вопросом, что они будут делать в случае, если их взломают. И это очень правильный вопрос, ведь на примере рисков пожара компании не только снижают вероятность его возникновения, но и вешают на всех этажах план эвакуации. Так же и с рисками кибератак: бизнес должен заранее выстраивать стратегию гиперустойчивости – комплекс мер, которые включают как защиту от киберугроз, так и план восстановления на случай их реализации. И главное – в эту стратегию обязательно должны входить меры, направленные на то, чтобы даже в случае успешной атаки ее влияние на бизнес было минимальным.

Практический опыт и кейсы экспертов показали, что шквал кибератак преимущественно не достиг своих целей и российские компании успешно справляются со злоумышленниками. В то же время перед отраслью информационной безопасности стоит множество задач, которые требуют небанального подхода и решений.