Сеанс разоблачения магии российского «кибербеза». Аллюзии и иллюзии рынка ИБ на Positive Hack Days 11

25 мая, 2022

Сеанс разоблачения магии российского «кибербеза». Аллюзии и иллюзии рынка ИБ на Positive Hack Days 11

Обстановку у входа в ЦМТ 18 мая 2022 года можно было бы легко спутать с той, что была в относительно беспечные майские дни года этак 18-го. Однако предложенная сквозная тема Positive Hack Days 11 (PHDays 11/PHD 11) – вход в эру INdependence – возвращала в нынешнюю реальность российского кибербеза. Реальность, в которой сомнительно выглядело позиционирование Форума этого года как международного мероприятия и неуместным англоязычное наименование «новой эры российского кибербеза» на фоне окрысившегося «коллективного Запада» (ИМХО).

Хотя что-то в этом есть – ведь мир, судя по оценкам ряда авторитетных экономистов и политологов, стоит на пороге регионализации экономик и геополитических интересов. А стало быть, обеспечение безопасности в региональных «квартирах» уже не может строиться на основе глобальных цифровых технологий, рычаги управления обслуживанием и «ремонтами» которых (как и кнопка на полное отключение) находятся в неконтролируемом Центре. И это открывает для нашей страны горизонты сотрудничества в сфере информационной и кибербезопасности (ИБ&КБ) и на иностранных языках. Хотя нередко в прошлые годы наши заказчики учили русский.

 

Пара слов о The Standoff 2022

Среди базовых ценностей Positive Hack Days – возможность тесного общения «белых» хакеров, пентестеров, багбаунтисторов (или багбаунтистов?). И сегодня это не только много десятков выступлений и общение в «кулуарах», но и такая изюминка мероприятия, как учения на киберполигоне The Standoff.

Нынешний Positive Hack Days и киберполигон The Standoff работали при организационном участии казанской ГК Innostage. Эксперты Innostage взяли на себя задачу по развёртыванию инфраструктуры полигона и по его поддержке, специалисты центра предотвращения киберугроз Innostage CyberART вели мониторинг «киберпротивостояния» и обеспечили демонстрацию цепочек реализованных атак гостям Форума, а также выступили менторами одной из команд «защитников».

На момент выхода материала стало известно, что победителями нынешних киберучений со стороны атакующих стала команда Codeby (27 715 баллов), на втором месте True0xA3 (23 381 балл) и на третьем – Invuls (12 352 балла).

У защитников минимальное время расследования составило 1 час 13 минут, а среднее – 9 часов 15 минут.

Более детальный разбор «полётов» впереди.

 

PHDays 11 о проблемах отечественного «кибербеза»

По традиции на PHDays 11 была представлена сессия высокоуровневых «пленарок», панельных дискуссий и Круглых столов. Экспертам на них было предложено прокомментировать и подискутировать по таким темам, как «Тектонический сдвиг российского кибербеза», «Кибербезопасность для цифровой трансформации», «Обеспечение технологической независимости», обсудить «будни ИТ в период кибершторма» (вопросы предотвращения утечек информации были вынесены в отдельную секцию) и проблемы защиты того (или от того?), что туманно именуют англоязычным словосочетанием supply chain. И было бы слишком революционно даже для такого особенного мероприятия не затронуть вопросы Open Source и актуальной ситуации в сфере кадров.

Нельзя сказать, что описание всего сказанного на PHDays 11 по этим темам – это попытка объять необъятное. Но несколько страниц текста понадобилось бы, поэтому пока – о запомнившемся в первую очередь.

 

Не откладывай на завтра то, что нужно было сделать вчера

О завершении процессов цифровой трансформации (такую «удочку» забросил один из модераторов) не может идти и речи. Тем более, что компании, которые несколько лет назад приняли серьёзные программы обеспечения ИБ&КБ «после шалостей «петь» и «миш» в корпоративных ИТ-инфраструктурах» выдержали первый шквал сегодняшнего «кибершторма», загодя выстроив несколько линий защиты, и почти в плановом режиме продолжают процессы импортозамещения там, где есть чем замещать.

На PHDays 11 даже был представлен пример, когда вновь образуемая компания, осколок глобального бренда, пустившаяся в самостоятельное плавание в России, пережила отключение от глобальных ресурсов, сформировала независимую ИТ-инфраструктуру, с осторожным оптимизмом оценивает свою киберустойчивость на ближайшие полгода и намерена сохранить неприкосновенность своих ИТ-периметров и в дальнейшем. Посетовав, однако, на негибкость некоторых отечественных монополистов, отказывающихся обсуждать необходимые доработки. «Цвет булыжный, вся Москва носит» (с) (к/ф «Дайте жалобную книгу!»).

Хотя не все монополисты одинаковы, и уже на другом заседании можно было услышать, что «…отечественные продукты активно развиваются, в них появляются технологии, которых еще полгода назад не было» (это отметил эксперт ГК Innostage).

 

Сенатор Клишас говорит

В разговоре о технологической независимости было сказано немало банальностей о необходимости использования отечественного оборудования. О том, что он всегда об этом знал и говорил, напомнил на PHDays 11 Илья Массух, директор Центра компетенций по импортозамещению в сфере ИКТ.

Но (уже оценивая ситуацию со стороны) так случилось, что никто не взял на себя ответственность воплотить это знание в жизнь на государственном уровне, и никому не была поручена реализация этого воплощения.

Ведь так случилось, что задачи Центра компетенций по импортозамещению в сфере ИКТ «условно можно разделить на четыре группы – организационные, методические, технологические, а также аналитика и мониторинг в сфере импортозамещения» (по материалам сайта Центра), и в число технологических задач оказались включены лишь:

  • функциональное тестирование продуктов и решений из Единого реестра ПО, в том числе на совместимость между собой и с аппаратным обеспечением;
  • формирование рекомендуемых пакетов/наборов ПО на основе Единого реестра;
  • экспертиза проектов госзаказчиков в аспекте более эффективного использования российских продуктов и решений.

Наверное, именно поэтому председатель комитета Совета Федерации по конституционному законодательству Андрей Клишас и написал в своём Telegram-канале в дни Форума, что «Программа импортозамещения провалена полностью. Кроме бравурных отчетов отраслевых ведомств, нет ничего».

Правда, нельзя не вспомнить неоднократные заверения крупнейших корпораций, работающих в сфере авиации, судо- и двигателестроения о плановом внедрении программных российских ИТ-продуктов и ИТ-решений в свою офисную практику. А «Росатом» ещё и приводит примеры внедрения российского инженерного ПО, некоторые образцы которого им и разработаны. Однако речь всегда шла о ПО.

И на PHDays 11 о перспективах отечественного «железа» предпочитали почти ничего не говорить, выбирая между «или хорошо, или ничего».

Лишь отмечали, что внедрению отечественного «железа», когда оно появится, будет мешать отсутствие совместимого ПО. А появлению совместимого ПО мешает отсутствие отечественных аппаратных платформ. Вот такая складывается загогулина.

Ситуация немного напоминает анекдот про Ходжу Насреддина, рассчитывавшего на то, что через 10 лет или ишак сдохнет, или хан умрёт, или сам Ходжа уже не сможет отвечать по своим обязательствам.

 

Тектонический сдвиг или возвращение к истокам?

И тут вполне уместно перейти к комментариям PHDays 11 о «тектоническом сдвиге российского кибербеза». По образному описанию авторитетного эксперта компании «Ростелеком-Солар» сегодня «ферзь, ладья и другие сильные фигуры вдруг исчезли с доски защищающейся стороны. И эти фигуры надо спешно заменить, одновременно пытаясь какими-то способами увидеть атаки и отбить их пешками».

К сожалению, одной из сквозных технологий организации Форума является формат шоу, практически исключающий иную ответную реакцию, кроме аплодисментов в финале сессий.

Поэтому осталось непонятным в точности, что же подразумевалось под «сильными фигурами» на доске российских ИБ-шахмат – зарубежные вендоры или их оборудование. Более того, осталось «за кадром» на конкретной дискуссии обсуждение ситуации, когда эти сильные фигуры не просто исчезли, а «сменили цвет».

При этом следует иметь в виду, что ситуация с, образно говоря, «подменой ферзя» может неблагоприятно и неконтролируемо развиться во вполне себе реальном времени, когда удастся увидеть лишь последствия атаки.

О примере такой аварии вспомнил в ходе панельной дискуссии «Кибербезопасность для цифровой трансформации» Илья Массух. Причём произошёл описываемый инцидент ещё во времена СССР и, вполне возможно, имел аналоговые корни, но при этом иностранные.

И в свете этого удивительно выглядят признания некоторых лиц, принимающих решения, (ЛПРов), о том, что «дофевральские» модели угроз, используемые для выстраивания систем ИБ&КБ, не включали в качестве врага (злоумышленника) иностранного вендора или иностранное государство, от которого этот вендор зависит.

О подобного рода упущениях уже упоминалось на конференции «Информационная безопасность банков».

А PHD 11 подтвердил наличие иллюзорных представлений ЛПРов и аналитиков российского кибербеза о порядочности партнёров. Что свидетельствует о существенных провалах и в их «общем» образовании, и в оценке недавнего опыта работы с зарубежными поставщиками. Ведь не только давно вошли в оборот аббревиатура КОКОМ и словосочетание «поправка Джексона Веника», но и хорошо известно нынешнее «занудство» сейлов и аккаунт-менеджеров зарубежных поставщиков высокотехнологичного оборудования в рамках проектных поставок. И объясняется это «занудство» не только нуждами планирования.

Предотвратить угрозы подмены ферзя могло бы использование отечественного оборудования, но … (далее см. раздел «Сенатор Клишас говорит»).

Среди рассуждений о «тектоническом сдвиге российского кибербеза» в ходе PHD 11 в числе «положительных моментов» упоминалось об объединении после 24 февраля ключевых игроков рынка ИБ&КБ в части обмена информацией «по TI, по утечкам, по поставкам ПО». По словам директора Департамента обеспечения кибербезопасности Минцифры Владимира Бенгина в нашей стране впервые получилось скоординировать усилия участников отрасли ИБ на таком уровне.

Неужели игроки рынка только после 24 февраля узнали об НКЦКИ и ГосСОПКА?

Полагаю, что знали и раньше, но «строгость российских законов искупается не обязательностью их исполнения» (с).

 

Джентльменам на слово больше не верят

На дискуссии о тектоническом сдвиге «за кадром» осталось обсуждение ситуации, когда эти «сильные фигуры» не просто исчезли с шахматной доски российского кибербеза, а «сменили цвет».

Частично эта ситуация была рассмотрена на секции «Без третьих лишних: защита supply chain», однако это рассмотрение касалось важных, но некритических ситуаций. Например, случаи со встраиванием лживого «контента» на сайты СМИ и госучреждений, или сознательная вредоносная порча «открытого кода».

Эти ситуации можно условно отнести к «некритичным», потому что и вне реализации угроз supply chain СМИ нередко заполнены недостоверной или лживой информацией, а некорректность стороннего кода, используемого в разработках, может быть своевременно выявлена в компаниях с высокой культурой разработки (или просто культурой ?, ведь культура, как и свежесть может быть только одна ?). Ведь противостояние диверсиям в среде Open Source не слишком отличается от стандартной процедуры проверки качества любого стороннего кода.

Проблема в том, как сделать «некультурных» разработчиков нерукопожатыми в ИТ-сообществе.

И тут «есть два путя» (с) (к/ф Адъютант его превосходительства).

Первый – указ Президента Российской Федерации от 1 мая № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», во исполнение которого разработчики должны ответственно подходить к исправлению уязвимостей. «И если обнаружена уязвимость, которая требует срочного исправления, нельзя молчать и бояться наказаний – нужно бежать и исправлять» (Владимир Бенгин, директор Департамента обеспечения кибербезопасности Минцифры).

А второй путь – это внедрение технологий «открытого кода». Как известно внимательным читателям BIS Journal «Стратегия развития программного обеспечения с открытым кодом в России до 2024 года» развеяла 5 мифов об Open Source. А Positive Hack Days уже второй год подряд рассказывает о единственной ценности «открытого кода» – его безупречной «причёсанности» на момент выкладки каждого релиза в открытый доступ.

 

О друзьях российского кибербеза

По итогам PHD 11 напрашивается вывод о том, что нынешняя ситуация в сфере ИБ&КБ хуже, чем хотелось бы, и лучше, чем можно было бы ожидать. А для повышения градуса оптимизма есть два основания.

Первое – это приходящее понимание о наличии вендора в модели угроз, что заставляет отечественный кибербез «искать свой путь, чтобы в дальнейшем мы были конкурентоспособны как в области ПО, так и в элементной базе – создании совместных предприятий полного цикла, специальных инвестиционных зон и прочего» (директор центра комплексных проектов направления «Solar Интеграция» компании «РТК-Солар» Николай Белобров).

А второй – стратегия национальной безопасности России, рассматривающая кибервойну в качестве основания для несимметричного ответа.

Смотрите также