Территория безопасности: всё PRO ИБ
В Москве прошел первый Форум «Территория безопасности: все PRO ИБ». В нем приняли участие более 750 специалистов и 85 спикеров. Под одной крышей участники мероприятия могли посетить четыре конференции, посвященные управлению процессами информационной безопасности: обнаружению угроз, расследованию инцидентов, управлению уязвимостями и безопасной разработке.
В рамках деловой программы форума состоялись четыре конференции: PRO расследования инцидентов, PRO обнаружение угроз, PRO управление уязвимостями и PRO безопасную разработку, каждая из которых включала панельную дискуссию, аналитические и технологические треки, практические сессии и мастер-классы от ведущих экспертов отрасли.
PRO расследования инцидентов
На конференции «PRO расследования инцидентов» Михаил Шеховцов («Гарда») провел обзор самых громких инцидентов последних лет в российской кибербезопасности и отметил тенденции 2024 года, среди которых выделил рост числа атак шифровальщиков через уязвимости нулевого дня и атак через цепочку поставщиков, атаки с целью хищения данных и вывода из строя инфраструктуры без извлечения прямой финансовой выгоды, а также усиление координации между группировками и проведение ими совместных кампаний. В области ИБ докладчик отметил развитие собственных полноценных SOC крупными предприятиями и как следствие этого, увеличение кадрового голода. Для минимизации части кадровых проблем компании все чаще проводят киберучения, а также развивают институты на базе крупных коммерческих, корпоративных или государственных SOC. Со стороны вендоров докладчик отметил развитие моновендорных экосистем.
Леонид Безвершенко (Лаборатория Касперского) поделился подробностями расследования атаки на iOS-устройства — от обнаружения до полного анализа — в рамках операции «Триангуляция».
Пленарную сессию «Киберцунами и нашумевшие атаки. Оценка состояния и рецепты выживания» провел Алексей Лукацкий (Positive Technologies). Он обсудил ключевые практические аспекты, связанные с управлением инцидентами и минимизацией их последствий, в том числе с точки зрения бизнеса, с ведущими специалистами в кибербезопасности Моной Архиповой, Алексеем Волковым и Олегом Кузьминым, а также Дмитрием Гадарь («Тинькофф»), Андреем Нуйкиным («ЕВРАЗ»), Павлом Торопиным (ГМК «Норильский никель»).
Практическую часть сессии «PRO расследование инцидентов» продолжили Игорь Кубышко (Тинькофф), который остановился на вопросах внедрения процесса Threat Intelligence в процесс выявления и реагирования на инциденты; Максим Лагутин (Б-152) провел апгрейд процесса реагирования на инциденты, чтобы не платить или платить меньше Роскомнадзору. Михаил Толчельников (Positive Technologies) измерил финансовые и операционные метрики процесса реагирования на инциденты и предложил методы их оптимизации.
PRO обнаружение угроз
В ходе сессии «Технологический прилавок №2 «Прицел ночного видения: новые возможности и средства обнаружения угроз», которая прошла в рамках мероприятия «PRO обнаружение угроз», Константин Родин («АйТи Бастион») отметил, что 78% успешных атак в четвертом квартале прошлого года имели целенаправленный характер. Он посвятил свой доклад вопросам анализа сессий удаленных подключений и доступа к событиям закрытых сегментов. Иван Чернов (UserGate) представил доклад «Технологии обнаружения вторжений». Он отметил, что система обнаружения и предотвращения вторжений (IDPS), реализованная в экосистеме UserGate SUMMA позволяет реагировать на атаки злоумышленников, использующих известные уязвимости, а также дает возможность распознавать вредоносную активность внутри сети. Андрей Вишняков (ГК Гарда) обратил внимание участников конференции на возможности системы для обеспечения безопасности СУБД и независимого аудита операций с базами данных и бизнес-приложениями «Гарда DBF». Юрий Шабалин (Стингрей Технолоджиз) в докладе «Мобильные приложения, точка входа в вашу инфраструктуру или атаки на клиента?» отметил, что 83% мобильных приложений содержат критические уязвимости, а Сергей Ефремов («Аметист») поделился практическим опыт системного интегратора и комплексным подходом к импортозамещению на примере межсетевых экранов. Продолжила сессию Анна Павловская (Лаборатория Касперского), которая рассказала как обнаруживать угрозы в дарквебе и защищать себя, а Павел Кравцов (ГК «Инфотактика») представил CoreBit.NGFW — новое слово на отечественном рынке кибербезопасности.
Перед завершающим мастер-классом мероприятий «PRO обнаружение угроз» интервью на сцене провели Рустэм Хайретдинов (ГК Гарда) и независимый эксперт Алексей Волков, который рассказал о своем пути в ИБ и о том, как он решал нетривиальные задачи в сфере кибербезопасности. Лайфхаками улучшения охоты на угрозы с помощью TI и NDR поделился Алексей Семенычев (ГК «Гарда»).
Алексей Лукацкий завершил сессию мастер-классом «Киберперестройка процессов обнаружения угроз или что такое Detection Engineering и Detection-as-a-Code». Он отметил, что перестройка необходима из-за ухода иностранных производителей решений по обнаружению угроз или банкротства TI-компаний, роста числа и частоты атак. Докладчик подчеркнул, что многое ВПО является уникальным и создаваемым под конкретную жертву, также необходимо учитывать бюллетени от регуляторов. И поскольку компании часто не могут на 100% доверять своим вендорам ИБ, им стоит выстраивать свой процесс обнаружения. В связи с тем, что угрозы меняются быстро, то и процесс обнаружения должен быть схож с CI/CD, то есть DR-DLC, отметил докладчик. Он подробно остановился на процессе detection engineering и инструментах, которые позволяют компаниям не зависеть от вендоров и их решений, выстроить весь процесс детектирования и обнаруживать угрозы самостоятельно, а также протестировать результат. Докладчик отметил, что специалист по обнаружению угроз должен понимать, с чем он работает. Поэтому посоветовал начать с обычных сигнатур, индикаторов, правил, триггеров, и только потом задуматься о собственных моделях машинного обучения. Процесс detection engineering является частью процесса работы с угрозами: обнаружения, Threat hunting, реагирования и пр., подчеркнул А. Лукацкий. Он отметил, что ответ на финальный вопрос «Готовы ли мы купить подобный продукт за большие деньги или попытаться выстроить эту функцию у себя самостоятельно?» в России однозначен. Если на Западе продуктов, целиком автоматизирующих функцию detection engineering уже больше десятка, то в нашей стране нет ни одного вендора, который позволяет компаниям адоптировать детекты под нужды заказчика.
В рамках Форума компаниями-партнерами мероприятия были представлены технологические новинки и разработки.
Организатор конференции — ГК ComNews. Генеральный информационный партнер — Медиа Группа «Авангард».