Рассказывают эксперты Positive Technologies.
Материал подготовлен при поддержке Positive Technologies
Для многих компаний в России 2022-й стал испытанием: кибератаки на критическую инфраструктуру продолжались весь год. В открытый доступ попали паспорта, водительские удостоверения, номера, адреса и другие чувствительные данные многих из нас. Обиднее всего, что данные утекают как в результате нападений, так и по невнимательности самих сотрудников. Если даже те, кто регулярно проходит киберликбезы на работе, всё равно теряют пароли и не соблюдают правила безопасности, то что говорить о рядовых пользователях? Компаниям остаётся лишь укреплять защиту (и молиться).
Реагируя на ситуацию, компания по кибербезопасности Positive Technologies в этом году решила провести новое мероприятие — Moscow Hacking Week (в неё включат и традиционные ежегодные киберучения Standoff). На Moscow Hacking Week с 18 по 26 ноября компания постарается зацепить как можно больше представителей крупного и среднего бизнеса, опытных безопасников и специалистов, которые только планируют переходить в эту сферу.
Под ударом — вся инфраструктура государства и все граждане
Алексей Новиков
Директор PT Expert Security Center
Хуже всего в 2022 году было госпредприятиям — на них пришлось 30% всех атак. Уязвимыми оказались и ИT-компании (16%), а также банки, энерго- и промышленные предприятия (по 10% случаев на каждый).
На макете, созданном кибердомом, можно будет увидеть, что случится, если хакеры остановят добычу нефти.
Positive Technologies зафиксировала в 2022 году на 25% больше атак на госорганы, чем годом ранее. Лидер — медучреждения: они уже пятый год подряд остаются в тройке самых атакуемых организаций. При этом в 80% случаев из-за атак утекали персональные данные (ФИО, даты рождения, адреса, телефонные номера, реквизиты счетов и номера карт, информация о страховке, номер водительского удостоверения, адрес электронной почты), а порой — и медицинская информация. Например, в России у клиентов лаборатории «Гемотест» в сеть попали как личные данные, так и результаты анализов.
Кому нужна куча разрозненных данных? Много кому. Систематизировать их и превратить в полноценное досье на конкретного человека можно даже с помощью несложных ботов. Досье — отличная основа для социальной инженерии: чем больше у мошенников конкретики, тем страшнее и убедительнее звучат запугивания и тем легче им поверить. И в итоге потерять деньги. Социальная инженерия — первый по популярности метод у мошенников, по словам Positive Technologies. Часто используется фишинг — письма или сообщения с вредоносными вложениями. Реже злоумышленники проникают через уязвимости в CMS и Bitrix на рабочих устройствах или через корпоративные серверы.
А это макет энергетической отрасли, развернутый в кибердоме, — участники Standoff попытаются здесь отключить линии электропередачи.
Взлом одной отдельно взятой инфраструктуры может привести к краху кучи других компаний и организаций. Как это происходит, Positive Technologies собирается наглядно показать на грядущем Moscow Hacking Week. Для этого кибердом — площадка мероприятия — создал огромный интерактивный макет виртуального государства: на нём воссоздали ключевые секторы экономики и промышленности. Все их — светофор, ветрогенератор, вокзал, нефтяную вышку и даже Центральный банк — будут пытаться взломать белые хакеры. А посетители смогут увидеть, к чему это приведёт. Все сценарии атак — основаны на реальных происшествиях. Например, ветропарк внезапно прекратил свою работу, поскольку хакерам удалось получить доступ к системе управления ветрогенераторами. В проект планировала вложиться инвестиционная компания. Партнёры возмущены, сделка под угрозой. Смогут ли защитники спасти ситуацию в подобном кейсе и на Moscow Hacking Week?
Такие симуляции Positive Technologies называет киберучениями Standoff, в этом году они пройдут в двенадцатый раз. Но впервые на них можно будет хакнуть настоящий космический спутник (его и всю соответствующую инфраструктуру для экспериментов любезно предоставил участник Standoff, компания RUVDS). Гости Moscow Hacking Week увидят противостояние: «красные» — этичные хакеры — попытаются захватить контроль над оборудованием для отправки команд на орбиту, а «синие» — защитники — будут расследовать произошедшие атаки. Битву обещают сопроводить киношными спецэффектами.
На космическом макете кибердома участники Standoff попробуют взломать доступ к наземной приёмной станции.
Злоумышленники — эффективные менеджеры
В 2022 году, уходя с рынка, некоторые западные вендоры просто выключали оборудование. Это примерно так же неприятно, как если бы у вашего дома внезапно исчезли забор, окна и двери и про это одновременно рассказали всем в округе, говорит Алексей Новиков из Positive Technologies. Хакеры были к этому готовы и атаковали незащищённый бизнес: забрать желаемое им было куда проще.
На киберучениях Standoff специалистов готовят к такого рода вторжениям. Цель — выявить и исправить уязвимости настолько быстро, насколько это возможно.
Хакеры чётко считают свои затраты на атаку. Если цель — добыть деньги, атакуют того, у кого проще их получить. Поэтому нужно создавать настолько защищённые компании, чтобы хакерам было слишком накладно их атаковать.
Елена Молчанова
Бизнес-лидер киберполигона Standoff 365
Киберучения Standoff проходят всего 4 дня. С одной стороны, это позволяет корпоративным защитникам получить уникальный опыт множественных и сложных кибератак. А с другой — весь штат корпорации на такие киберучения не запишешь. Команда обычно состоит из специалистов по ИБ-мониторингу. В реальных же противостояниях киберпреступникам участвуют разные специалисты, в том числе и из ИТ-отделов. Атаки могут длиться неделями и месяцами. Чтобы постоянно работать над стратегией защиты, нужен инструмент, к которому есть доступ постоянно, — такой, как онлайн-киберполигон Standoff 365.
Елена Молчанова говорит, что онлайн-киберполигон Standoff 365 будет полезен даже компаниям и специалистам, которые не участвуют в краткосрочных киберучениях (например, ИТ-службам компаний). По её словам, там они могут поэкспериментировать: например, использовать разные настройки программного обеспечения и средств защиты и посмотреть, какие лучше отрабатывают. А также убедиться, что команда умеет с ними работать.
На макете финансовой отрасли, воссозданном в кибердоме, «проиграют» типичный сценарий — утечку персональных данных клиентов банка.
Ярослав Бабин
Директор продукта Standoff 365
Такие мероприятия, как Standoff, помогают создать точку притяжения комьюнити в кибербезопасности — это важно для развития отрасли. Когда я сам только попал в сферу, мне больше всего не хватало именно возможности посоветоваться с профессионалами, обсудить интересные задачи, разобраться, куда и как можно расти. В этом году на Moscow Hacking Week будет не только кибербитва Standoff, так что гости и участники смогут выбрать то, что им ближе. Лучших хакеров пригласят на закрытое мероприятие — Standoff Hacks. Для айтишников, которые хотят ворваться в кибербез, у нас будет Standoff 101. А для опытных специалистов — Standoff Talks, где можно будет послушать выступления про интересные кейсы и инструменты.
От «плохих» хакеров защитят хорошие
Анатолий Иванов
Руководитель направления багбаунти Standoff 365
Чтобы создать эффективную систему безопасности в компании, нужен тандем. Белый хакер атакует как злоумышленник, а безопасник выстраивает систему защиты так, чтобы действия атакующего не были успешными.
Google, Microsoft, Apple платят крупные гонорары в багбаунти — программах, где любой сторонний специалист может искать уязвимости в безопасности компании. На длительной дистанции такой подход не только серьёзно экономит им бюджеты, но и помогает сделать сервисы безопаснее для пользователей.
Экосистему хакеры тоже попробуют взломать — и отключат всё уличное освещение.
Анатолий Иванов подчёркивает, что запускать программы багбаунти выгодно достаточно защищённым компаниям, и в идеале они должны работать бесконечно (поскольку с каждой новой функцией могут появляться и новые уязвимости). Помимо площадки для багбаунти, Positive Technologies также создали Standoff Hacks — закрытое мероприятие, где несколько десятков лучших хакеров ломают новые продукты компаний.
Подобные мероприятия в мире проводятся уже лет пять-шесть, а Positive Technologies — первые и пока единственные, кто делает их в России, говорит Анатолий Иванов. Первый Standoff Hacks компания провела в мае 2023-го в Москве, второй — в августе в Сочи. А третий состоится в последний день Moscow Hacking Week — 26 ноября.
Анатолий Иванов рассказывает, что в августе на Hacks три компании — VK, Wildberries и «Тинькофф» — выплатили за найденные уязвимости 10 млн рублей. На мероприятии компании предлагают проверить их новые сервисы. Для хакеров это интересно, потому что такие задачи — «свежак», который до них ещё никто не видел. А для компаний — способ сконцентрировать внимание лучших специалистов на своих задачах.
Сегодня взламывают серверы, электростанции и корпоративные почты, завтра фокус сместится на киберимпланты и другие новшества. Искоренить кибермошенничество как явление — утопия, считают в Positive Technologies. Гораздо прагматичнее, чтобы высокий уровень информационной безопасности был в компаниях по умолчанию.
Один из способов не оставаться в стороне — участвовать в Moscow Hacking Week, которая пройдёт с 18 по 26 ноября в московском «кибердоме». Там развернётся кибербитва Standoff — противостояние безопасников и хакеров. Заявки на участие уже не принимают. А вот попасть на лекции и воркшопы для начинающих (Standoff 101) и опытных специалистов (Standoff Taks) можно, если подать заявку заранее на сайте мероприятия. Там же можно будет посмотреть и трансляцию.
Реклама, АО «Позитив Текнолоджиз», 16+
Основным проектом для позитивщиков в 2023 году была посадка Сачкова
Комментарий недоступен
Можете развернуть свою мысль? Вы считаете, что это мноходовка от PT?
Кибербезопасность во многих российских IT-системах сейчас на очень высоком уровне: таск-трекеры, системы для управления проектами, онлайн-банки так вообще впереди планеты всей! :)
Не понял, это сарказм или нет
Бессмысленный пост бота для саморекламы
100%. Бессмысленный пост
Крик души
Кибербезопасность в России сажают в тюрьму 😡
"VK, Wildberries и «Тинькофф» — выплатили за найденные уязвимости 10 млн рублей."
такими суммами белые хакеры могут стать на распутье, а надо ли им выдавать очередную уязвимость или продать ее где нибудь еще
Хотел прочитать как дела с кибербезопасностью в России, а прочитал рекламу Moscow Hacking Week
Комментарий удален модератором
"Реже злоумышленники проникают через уязвимости в CMS и Bitrix на рабочих устройствах" - имеется ввиду приложение Битрикс для ПК?
Комментарий недоступен
"У нас всё просто: нету кибера - нету безопасности"
Поставил минус за жуткую блямбу в углу экрана. Стыдно должно быть так уродовать сайт.
Все чаще и чаще замечаю как на ютубе, сайтах, блогах используют нейросети для картинок. Если нейросети пока не отобрали работу у дизайнеров, то точно проредили нишу
Интересно, а замена паспорта на новый (например пару раз подряд в течение пары месяцев) убережет от методов несоциальной инженерии? Паспортные данные после этого нигде специально не обновлять, ждать пока заблокируют доступ в ЛК банков и проверить, что произойдет после этого с Госуслугами заодно. По идее, если в ЛК банка не заблокируют доступ, то будет ли юридически действительным получение кредита после взлома ЛК на не действительный паспорт (новых ПД у мошенников нет, т.к. вы поменяли паспорт и данные о нем никуда не заносили).
Как вариант, рабочий?