SOC Forum 2024: подводя итоги
В Москве прошёл X юбилейный SOC Forum, который расширил рамки традиционной тематики Security Operations Center и был посвящён комплексной кибербезопасности — Security Opportunities and Challenges. В программу мероприятия вошли многочисленные пленарные сессии, регуляторный и международный треки, обсуждение вопросов построения центров мониторинга и реагирования, практические кейсы расследования инцидентов и Кибербитва 2024. SOC Forum 2024 стал ключевым и одним из самых масштабных мероприятий Недели кибербезопасности в Москве, которая проводилась в музеях, вузах и даже на улицах города.
Государство и бизнес
О роли и месте кибербезопасности в государстве и бизнесе, вопросах построения развивающегося цифрового общества и проблемах, связанных с этим, говорили участники первого дня Форума. Представители Минцифры, Минпромторга, ФСБ, ФСТЭК и Банка России, топ-менеджеры ведущих российских технологических и финансовых компаний обсудили вопросы обеспечения кибербезопасности и ответственности государства, организаций и граждан, цифровой гигиены и грамотности, социальной ответственности бизнеса и защиты данных.
Представители госструктур и регуляторов рассказали о мерах, принимаемых ведомствами для защиты интересов компаний и граждан, законодательных инициативах, уже принятых и реализуемых поправках, направленных на борьбу с мошенничеством и утечками данных, а также о готовности противостоять новым угрозам и вызовам.
Так, участники планерной сессии «Информационная безопасность как фундамент цифрового общества и бизнеса» сообщили, что:
- в открытом доступе лежат ПДн 90% совершеннолетних россиян — так заявил зампред правления «Сбербанка» Станислав Кузнецов;
- за январь — октябрь текущего года «Сбер» предотвратил хищения на сумму более 270 млрд рублей;
- решение по оборотным штрафам для компаний за утечки персональных данных будет принято до конца года — об этом сообщил глава Минцифры Максут Шадаев;
- Минцифры совместно с правоохранителями и Банком России подготовило комплекс мер по снижению и предупреждению случаев кибермошенничества;
- «Билайн» первым в России назвал безопасность своим главным конкурентным преимуществом;
- Минцифры работает над вопросами дефицита кадров и качества их подготовки.
Участники пленарной сессии «Государство и бизнес: совместная стратегия обеспечения безопасности» — представители Совета Безопасности РФ, Минцифры, Минпромторга, ФСБ, ФСТЭК и НКЦКИ — подвели первые итоги уходящего года и дали прогнозы на будущее с точки зрения регуляторов. Они анонсировали последние законодательные изменения в отрасли, поделились статистикой мониторинга защищённости и обозначали новые вызовы и требования к отрасли в 2025 году.
Диалог с регуляторами
В рамках диалога отрасли с регуляторами, представители НКЦКИ и ФСТЭК дали ответы на актуальные вопросы и обсудили проблемы взаимодействия профессионального сообщества с регулирующими органами, рассказали о перспективах развития законодательства в области защиты КИИ и о работе центров ГосСОПКА.
Начальник Управления ФСТЭК России Елена Торбенко продолжила ранее поднятую коллегами тему исполнения Указов президента России и защиты критической информационной инфраструктуры (КИИ). Она отметила, что не все субъекты КИИ выполнили требования законодательства в части категорирования значимых объектов КИИ. Выявлены более 500 нарушений технического и организационного характера, в том числе повторные. Именно через неклассифицированные объекты КИИ нарушители проникают в инфраструктуру компаний, заявила спикер.
Сергей Бондаренко (ФСТЭК России) доложил о методике оценки текущего состояния защиты информации и обеспечения безопасности объектов КИИ. По его данным, на сегодня 49% объектов получили низшую оценку защищённости, ещё 31% — среднюю. Всего 11% организаций находятся на базовом уровне защищённости и готовы противостоять киберугрозам. Спикер рассказал о создании автоматизированной системы для работы с объектами КИИ и органами государственной власти, которая позволит проводить мероприятия по оценке и публиковать результаты в личных кабинетах для компаний. Эту информацию можно будет выгружать в машиночитаемом виде через API, отметил спикер.
Представитель НКЦКИ Иван Минаев сообщил, что только 30% работающих с ГосСОПКА компаний имеют отношение к КИИ. При этом кибератаки угрожают практически каждой организации, поэтому ГосСОПКА должна распространиться на все информационные ресурсы, взлом которых угрожает безопасности страны. Эксперт добавил, что создание единой информационной среды, которую можно отслеживать посредством национальной системы мониторинга компьютерных атак и обмена информации, потребует участия Минцифры России, Роскомнадзора и иных заинтересованных ведомств.
О порядке процесса аккредитации центров ГосСОПКА рассказал ещё один специалист НКЦКИ Дмитрий Зенцов. Он обосновал необходимость этой процедуры как растущей активностью злоумышленников, так и недостаточным уровнем подготовки ряда существующих центров, которые неспособны выполнять указания НКЦКИ в части противодействия кибератакам. Аккредитации будут подлежать все центры вне зависимости от их нынешних соглашений с НКЦКИ, отметил спикер. Будут проведены как документальная проверка центров, так и оценка теоретических знаний и практических навыков их сотрудников. Срок аккредитации будет составлять пять лет.
Завершили регуляторный трек участники дискуссии «Аналитика киберугроз — для бизнеса и страны». Представители финансовых организаций и вендоров обсудили вопросы, связанные с управлением уязвимостями в условиях ухода западных компаний и отсутствия доверенного источника аналитических данных о киберугрозах. Виталий Лютиков (ФСТЭК России) посетовал, что вендоры неактивно предоставляют данные в Банк данных угроз безопасности информации (БДУ) ФСТЭК России, который ведёт сбор, анализ и обмен информацией обо всех источниках угроз. Нужен работающий механизм, который обяжет компании активно включиться в этот процесс, оперативно закрывать уязвимости и принимать компенсирующие меры, полагает представитель регулятора. Ещё одна актуальная проблема — атаки на цепочки поставщиков, где чаще всего задействованы ИТ компании. ФСТЭК России не может вмешиваться в отношения между заказчиком и подрядчиком, поскольку эта плоскость — гражданско-правовые отношения — находится вне рамок компетенций регулятора.
Вопросы защиты веб-приложений и периметра компаний, удалённого доступа и многофакторной аутентификации, часть из которых, казалось бы, осталась в прошлом, вновь актуальны, заметили участники дискуссии. И если противостоять только что созданной группировке, которая ведёт взлом по скриптам, достаточно просто, то отражать атаку опытной группировки — значит вести борьбу за устойчивость компании, уверены эксперты. Поэтому необходим постоянный контроль периметра.
Радикальными методами борьбы с тем, кто не готов противостоять угрозам безопасности, путём закрытия компаний и увольнения директоров по ИБ причине низких показателей кибербезопасности поделился с коллегами Сергей Лебедь («Сбер»).
Подводя итоги сессии, Алексей Качалин («Сбер») констатировал, что сегодня необходимо развивать направление по обмену информацией об угрозах и уязвимостях, формировать доверие к решениям с точки зрения их качества и отношения вендора, а также оперативности реагирования на уязвимости.
Международный трек
Международный трек SOC Forum 2024, прошедший во второй день мероприятия, включал три сессии, в которых приняли участие представители МИД РФ, российского и международного ИБ-сообщества из стран Латинской Америки, Юго-Восточной Азии и Ближнего Востока. Они обсудили текущее состояние кибербезопасности в мире, наиболее уязвимые отрасли и меры по их защите в своих странах (в том числе российскими решениями).
О том, что спрос на российские технологии высок, несмотря на введённые санкции, сообщили и представители МИДа РФ, и сотрудники российских компаний, отвечающих за международное сотрудничество. Так, Анна Кулашова («Лаборатория Касперского») поделилась опытом работы своей компании, которая пользуется высоким доверие в мире. Услуги «Лаборатории Касперского» и её эксперты востребованы во многих странах, в том числе на государственном уровне, а сервисы по анализу угроз продолжают пользоваться спросом даже в США.
Эксперты обозначили три мировых центра ИБ в мире — США/Израиль, Китай и Россию — и заключили: для повышения узнаваемости российских брендов за рубежом необходимы не только помощь государства и продвижение решений под маркой «Made in Russia», но и готовность компаний к локализации продуктов, частичной передаче технологий и обучению специалистов на местах.
Помимо обсуждения глобальных вопросов, участники SOC Forum 2024:
- поговорили о российских межсетевых экранах нового поколения с ведущими вендорами NGFW;
- изучили специфику создания SOC в госструктурах и применимость услуг Managed Security Service Provider (MSSP) провайдеров. В частности, они отметили, что SOC по модели подходит компаниям, стремящимся найти готовое решение с предсказуемым бюджетом, а также дочерним компаниям и подрядным организациям;
- вспомнили историю создания отечественных центров мониторинга и реагирования на компьютерные угрозы, удачные и неудачные примеры построения SOC своими силами и на аутсорсинге.
О последнем подробнее: Сергей Шерстобитов (Angara Security) напомнил, что первая попытка создания SOC в России была предпринята в 2007-2008 гг., но завершилась ничем. Бум построения SOC своими силами пришёлся на 2017-2019 гг., на тот момент рынок не был готов к работе с внешними провайдерами. Сегодня развивается сервисная модель SOC и она будет всё больше востребована в будущем, считает эксперт.
Алексей Волков («ВымпелКом»), Муслим Меджлумов (BI.ZONE) и Андрей Каширин (ГК «Черкизово») затронули тему зрелости заказчиков и провайдеров и обсудили потребности рынка в аутсорсинге. Необходимо сместить фокус с доверия на зрелость контрагента, уверены спикеры. В случае взаимоотношения незрелого заказчика и зрелого провайдера, важно учить заказчика, поднимать его уровень. Оптимальная картина складывается при достаточной зрелости обеих сторон, одна из которых предоставляет услуги, а другая даёт обратную связь. По мнению Алексея Волкова, важна доступность сервиса для клиентов и удовлетворенность клиента сервисом.
Практический разбор кейсов
Третий день мероприятия был посвящён практическому разбору кейсов. О работе APT-группировок против России на пленарных сессиях говорили регуляторы. Кучерин Георгий («Лаборатория Касперского») рассказал об атрибуции атак и цепочек заражения, которые организовала группировка APT31 — она на протяжении уже многих лет атакует российские организации. Пять российских компаний объединили усилия для противодействия хакерам.
Об истории развития семейства вредоносов GoblinRAT, которые работают под Linux, в свою очередь рассказали специалисты компании «Солар». С помощью GoblinRAT злоумышленники смогли получить полный контроль над инфраструктурой своих жертв. На сегодня это одна из самых сложных и скрытных атак на российские госкомпании, с которыми аналитикам доводилось сталкиваться. Безопасники призвали представителей других организаций присоединиться к ним и продолжить исследование истории этого семейства вредоносов.
Также эксперты компаний делились опытом расследования инцидентов и поиска следов активности злоумышленников как в среде Windows («Лаборатория Касперского»), так и в Linux-based инфраструктурах (Angara Security), а также на мобильных устройствах с ОС Android (Angara Security). Рассказали про инструменты и утилиты, которые используют злоумышленники и специалисты исследователи (F.A.C.C.T.), и предоставили отчёт по инцидентам за IV квартал 2023 — III квартал 2024 года (Positive Technologies). По данным организаторов, всего на SOC Forum 2024 прозвучало более 150 докладов.
Кибербитва SOC Forum
Помимо деловой части, имела место и условно развлекательная. 200 участников, поделённых на 20 «синих» и 20 «красных» команд, сражались за Марс на Киберполигоне «Солара» в рамках Кибербитвы SOC Forum. Команды атакующих более 800 раз захватывали хосты на 20 инфраструктурах киберзащитников, защитники 747 раз возвращали хосты под контроль. В финале восьмичасовой битвы команда киберзащитников из Беларуси уступила коллегам из России.
Победителем среди «красных» стала команда Invuls, лидер Кибербитвы 2023. Следом расположились команды HackerLife и Dsec.
В командном зачёте Кибербитвы 2024 победу одержали «синие», они набрали более 130 тыс. очков и со счетом 8 к 1 обошли «красных». Кибербитва 2024 прошла на базе платформы Solar CyberMir 6.0, а технологическим партнёром соревнований стала «Лаборатория Касперского».