Не читайте по утрам пресс-релизы по кибербезопасности! Первые итоги The Standoff 2020

16 ноября, 2020

Не читайте по утрам пресс-релизы по кибербезопасности! Первые итоги The Standoff 2020

12 ноября онлайн-киберполигон The Standoff отворил ворота для соревнования технологий кибератак и киберзащиты (offensive vs defensive, если говорить на птичьем языке самого востребованного и самого угнетённого сегмента рынка ИТ).

Ситуация, надо сказать, сложилась по предсказуемому сценарию.

По итогам двух дней 6-ти дневного марафона атакующие повредили технологические системы «нефтяного месторождения», «нефтехимического завода», «аэропорта» и «городского делового центра». При этом для проникновения в сеть «нефтехимического завода» потребовалось менее 3-х часов, при нападении были использованы автоматизированные инструменты атаки, а одной из причин успеха «белых» хакеров крылась в использовании «пострадавшей» стороной устаревших операционных систем.

Кроме «нефтехимического завода» пострадали система продажи билетов «аэропорта» и система регистрации пассажиров, а также «городской» портал, из которого были удалены данные о штрафах и задолженностях граждан.

Регулярные похожие соревнования, например, на Positive Hack Days, демонстрируют ту же картину, когда чуть ли не школьники взламывают инфраструктуру почти ЗОКИИ.

И на этом фоне уверения специалистов, что устроить блэкаут в мегаполисе размером с Москву или Нью-Йорк можно за несколько дней, не выглядят бравадой.

Почему это пока не происходит?

Возможно потому, что школьники пока, к счастью, взламывают инфраструктуры лишь почти ЗОКИИ, тогда, как одни взрослые злоумышленники понимают, что глупо убивать курицу, которая может регулярно нести золотые яйца, а другие осведомлены о том, что последним инструментом антивирусной защиты может стать ядерный удар атакованных.

Однако главным рубежом защиты от вселенского блэкаута является сохранившийся профессионализм эксплуатантов систем промышленной автоматики и автоматизации, которые пока ещё держат рубежи обороны от благоглупостных поползновений тотальной цифровой трансформации и искусственной интеллектуализации в промышленном секторе. Ну куда ещё сбывать ПК-совместимые программно-аппаратные средства?! Ёмкость потребительского рынка хоть и большая, но не безграничная, да и долги домохозяйств уже вышли за пределы падающих доходов граждан.

И помочь этой обороне могли бы лица принимающие решения.

Сила этих лиц в том, что они принимают решения.

Слабость этих лиц в том, что сегодня они, как правило, слабо разбираются в технике, оперируя в основном понятиями, кроющимися за аббревиатурами CAPEX, OPEX, ROI и словосочетаниями «time to market» и «do it faster».

В нашей стране, к тому же, эти люди совершенно бесстрашны. Одни по причине того, что прошли 90-е, другие потому, что производство видели, зачастую, лишь на слайдах презентаций и в мультипликациях инвестиционных аналитиков. А уж тем более они не видели воочию производственных аварий и катастроф. Недавно эта ситуация, правда, стала меняться, но такое обучение слишком дорого обходится природе и населению.

Одним из относительно недорогих инструментов исправления такой ситуации в сфере кибербезопасности мог бы стать взвешенный подход к составлению информационных материалов по таким мероприятиям, как «сшибки» технологий кибератак и киберзащиты на Standoff и выступления экспертов на фоне этих виртуальных схваток. Да и к изложению материала в многочисленных аналитических отчётах.

И начинаться это должно, с изложения на языке, максимально близком к родному, и при этом с минимальным использованием русифицированных англоязычных терминов и аббревиатур.

Чтобы далеко не ходить за примерами, приведу лишь одну выдержку:

«В ходе круглого стола «Выбор коммерческого SOC 2.0: SOC, который ловит» Антон Юдаков, операционный директор центра мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком-Солар», заметил, что если в крупной компании спросить у IT-специалистов и других ответственных сотрудников «сколько у вас Windows-хостов?» – ответы будут сильно разниться, никто точно не знает.»

По свежим следам Гуглу был задан поиск по термину «Windows-хост» и, следом, после фиаско, поиск по запросу «что такое Windows-хост». Полное фиаско.

Не удивительно в связи с этим, что «других ответственные сотрудники» не смогли дать ответ на вопрос Антона Юдакова, и возможно даже не потому, что «никто точно не знает», а просто многие не понимают, о чём идёт речь.

Другой аспект взвешенности подхода касается представления цифр и чисел, призванных привлечь внимание к угрозе, но фактически этой цели не достигающего, а то и приводящего к обратному эффекту.

«На текущий момент, по нашим данным, в 97% компаний злоумышленник может проникнуть извне за четыре дня. А иногда это происходит и за 30 минут. Это показывает, с какой скоростью должны реагировать службы IT и ИБ для обнаружения этого злоумышленника», – подчеркнул Новиков.»

Страшно? По сути, если цифры верны, ситуация критическая! Но при таких угрозах мы всё ещё «в шоколаде»! Так чего же бояться!

Возможно, если бы рядом с процитированным фрагментом в пресс-релизе или отчёте одновременно присутствовал комментарий, поясняющий эфемерность ощущения того, что «разрывы» пройдут стороной, показатели 97% и 30 минут произвели бы больший эффект.

На Standoff было немало рассказов о том, что должно привлечь пристальное внимание специалистов в конкретных областях техники, и здорово, что это удалось сделать с помощью подручных средств, что называется «с помощью верёвочки, пары щепочек и собственной слюны».

Но упомянутого VIP-обывателя подобный рассказ может дезориентировать внешней «несерьёзностью» ситуации и необходимостью, при этом, быть достаточно эрудированным:

«…рассказал о технике электромагнитного внесения неисправностей для взлома MDM-системы Android-устройств. Политика MDM накладывает ограничения на режим разработчика, заводские параметры заблокированы, режимы Recovery и Bootloader – все это заблокировано. С помощью газовой зажигалки за полтора доллара Арун реализовал различные электромагнитные эффекты (лестница Иакова, «глушилка») и нацелился на модуль памяти своего тестового устройства. После нескольких попыток исследователь добился сбоя ядра и вошел в режимы, которые позволили ему установить другую прошивку и считать содержимое eMMC».

В нашей стране, в своё время, для адекватного информирования общества о работах в области ракетной техники и космонавтики были предприняты специальные усилия для отбора и подготовки журналистского пула, компетентного в новой области техники.

Адекватное информирование разных слоёв общества и разных профессиональных сообществ в сфере ИТ и кибербезопасности задача ещё более важная в связи с большим прикладным значением темы.

Ждать шагов от государства в этом направлении было бы наивно.

«Что скажет купечество?»

Смотрите также