Не читайте по утрам пресс-релизы по кибербезопасности! Первые итоги The Standoff 2020

16 ноября, 2020

Не читайте по утрам пресс-релизы по кибербезопасности! Первые итоги The Standoff 2020

12 ноября онлайн-киберполигон The Standoff отворил ворота для соревнования технологий кибератак и киберзащиты (offensive vs defensive, если говорить на птичьем языке самого востребованного и самого угнетённого сегмента рынка ИТ).

Ситуация, надо сказать, сложилась по предсказуемому сценарию.

По итогам двух дней 6-ти дневного марафона атакующие повредили технологические системы «нефтяного месторождения», «нефтехимического завода», «аэропорта» и «городского делового центра». При этом для проникновения в сеть «нефтехимического завода» потребовалось менее 3-х часов, при нападении были использованы автоматизированные инструменты атаки, а одной из причин успеха «белых» хакеров крылась в использовании «пострадавшей» стороной устаревших операционных систем.

Кроме «нефтехимического завода» пострадали система продажи билетов «аэропорта» и система регистрации пассажиров, а также «городской» портал, из которого были удалены данные о штрафах и задолженностях граждан.

Регулярные похожие соревнования, например, на Positive Hack Days, демонстрируют ту же картину, когда чуть ли не школьники взламывают инфраструктуру почти ЗОКИИ.

И на этом фоне уверения специалистов, что устроить блэкаут в мегаполисе размером с Москву или Нью-Йорк можно за несколько дней, не выглядят бравадой.

Почему это пока не происходит?

Возможно потому, что школьники пока, к счастью, взламывают инфраструктуры лишь почти ЗОКИИ, тогда, как одни взрослые злоумышленники понимают, что глупо убивать курицу, которая может регулярно нести золотые яйца, а другие осведомлены о том, что последним инструментом антивирусной защиты может стать ядерный удар атакованных.

Однако главным рубежом защиты от вселенского блэкаута является сохранившийся профессионализм эксплуатантов систем промышленной автоматики и автоматизации, которые пока ещё держат рубежи обороны от благоглупостных поползновений тотальной цифровой трансформации и искусственной интеллектуализации в промышленном секторе. Ну куда ещё сбывать ПК-совместимые программно-аппаратные средства?! Ёмкость потребительского рынка хоть и большая, но не безграничная, да и долги домохозяйств уже вышли за пределы падающих доходов граждан.

И помочь этой обороне могли бы лица принимающие решения.

Сила этих лиц в том, что они принимают решения.

Слабость этих лиц в том, что сегодня они, как правило, слабо разбираются в технике, оперируя в основном понятиями, кроющимися за аббревиатурами CAPEX, OPEX, ROI и словосочетаниями «time to market» и «do it faster».

В нашей стране, к тому же, эти люди совершенно бесстрашны. Одни по причине того, что прошли 90-е, другие потому, что производство видели, зачастую, лишь на слайдах презентаций и в мультипликациях инвестиционных аналитиков. А уж тем более они не видели воочию производственных аварий и катастроф. Недавно эта ситуация, правда, стала меняться, но такое обучение слишком дорого обходится природе и населению.

Одним из относительно недорогих инструментов исправления такой ситуации в сфере кибербезопасности мог бы стать взвешенный подход к составлению информационных материалов по таким мероприятиям, как «сшибки» технологий кибератак и киберзащиты на Standoff и выступления экспертов на фоне этих виртуальных схваток. Да и к изложению материала в многочисленных аналитических отчётах.

И начинаться это должно, с изложения на языке, максимально близком к родному, и при этом с минимальным использованием русифицированных англоязычных терминов и аббревиатур.

Чтобы далеко не ходить за примерами, приведу лишь одну выдержку:

«В ходе круглого стола «Выбор коммерческого SOC 2.0: SOC, который ловит» Антон Юдаков, операционный директор центра мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком-Солар», заметил, что если в крупной компании спросить у IT-специалистов и других ответственных сотрудников «сколько у вас Windows-хостов?» – ответы будут сильно разниться, никто точно не знает.»

По свежим следам Гуглу был задан поиск по термину «Windows-хост» и, следом, после фиаско, поиск по запросу «что такое Windows-хост». Полное фиаско.

Не удивительно в связи с этим, что «других ответственные сотрудники» не смогли дать ответ на вопрос Антона Юдакова, и возможно даже не потому, что «никто точно не знает», а просто многие не понимают, о чём идёт речь.

Другой аспект взвешенности подхода касается представления цифр и чисел, призванных привлечь внимание к угрозе, но фактически этой цели не достигающего, а то и приводящего к обратному эффекту.

«На текущий момент, по нашим данным, в 97% компаний злоумышленник может проникнуть извне за четыре дня. А иногда это происходит и за 30 минут. Это показывает, с какой скоростью должны реагировать службы IT и ИБ для обнаружения этого злоумышленника», – подчеркнул Новиков.»

Страшно? По сути, если цифры верны, ситуация критическая! Но при таких угрозах мы всё ещё «в шоколаде»! Так чего же бояться!

Возможно, если бы рядом с процитированным фрагментом в пресс-релизе или отчёте одновременно присутствовал комментарий, поясняющий эфемерность ощущения того, что «разрывы» пройдут стороной, показатели 97% и 30 минут произвели бы больший эффект.

На Standoff было немало рассказов о том, что должно привлечь пристальное внимание специалистов в конкретных областях техники, и здорово, что это удалось сделать с помощью подручных средств, что называется «с помощью верёвочки, пары щепочек и собственной слюны».

Но упомянутого VIP-обывателя подобный рассказ может дезориентировать внешней «несерьёзностью» ситуации и необходимостью, при этом, быть достаточно эрудированным:

«…рассказал о технике электромагнитного внесения неисправностей для взлома MDM-системы Android-устройств. Политика MDM накладывает ограничения на режим разработчика, заводские параметры заблокированы, режимы Recovery и Bootloader – все это заблокировано. С помощью газовой зажигалки за полтора доллара Арун реализовал различные электромагнитные эффекты (лестница Иакова, «глушилка») и нацелился на модуль памяти своего тестового устройства. После нескольких попыток исследователь добился сбоя ядра и вошел в режимы, которые позволили ему установить другую прошивку и считать содержимое eMMC».

В нашей стране, в своё время, для адекватного информирования общества о работах в области ракетной техники и космонавтики были предприняты специальные усилия для отбора и подготовки журналистского пула, компетентного в новой области техники.

Адекватное информирование разных слоёв общества и разных профессиональных сообществ в сфере ИТ и кибербезопасности задача ещё более важная в связи с большим прикладным значением темы.

Ждать шагов от государства в этом направлении было бы наивно.

«Что скажет купечество?»

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

11.10.2024
Очередная медицинская организация США стала объектом интереса хакеров
11.10.2024
Рыбалка вредит морякам. Морской SOC выявил главные угрозы для судоходства
11.10.2024
Регулятор обязал банкиров ускориться
11.10.2024
Краснов: Работа ведомственных антихак-подразделений должным образом не ведётся
11.10.2024
Минцифры отпустило идею создания национального репозитория
10.10.2024
ЦСР: К 2028 году объём российского рынка ИБ достигнет 715 млрд рублей
10.10.2024
22 октября в Москве пройдёт V Конференция по информационной безопасности ПрофИБ
10.10.2024
Это уже слишком. Теперь весь интернет знает, что вы едите «Огненное Воппер Комбо на двоих» в одиночку
10.10.2024
Эксперты UserGate обнаружили критическую уязвимость в Zangi
10.10.2024
«Вне зависимости от мотивации преступников успешная атака на крупный бизнес выглядит привлекательнее всего»

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных