»тоги форума Positive Hack Days IV: есть двери, открывать которые надо осторожно

image

“еги: PHDays, конференци€, киберугроза, waf, application firewall

Ќа ежегодной международной конференции демонстрировались такие киберугрозы, как атаки на энергетические и транспортные системы города, превращение Ђумного домаї в ловушку, опустошение хакерами виртуального банка и пр.

¬ысказывание ‘ридриха Ќицше про «бездну, котора€ всматриваетс€ в теб€» стало девизом форума по практической безопасности PHDays IV. Ќа ежегодной международной конференции демонстрировались киберугрозы, к которым цивилизаци€ пока не совсем готова: атаки на энергетические и транспортные системы города, превращение Ђумного домаї в ловушку, опустошение хакерами виртуального банка, — и обсуждались различные способы выживани€ в современных цифровых джунгл€х.

–ецепт, по которому делаетс€ PHDays, не мен€етс€ уже четвертый год: минимум рекламы и максимум полезной информации, голливудский размах конкурсов, неформальное общение Ђпиджаковї и Ђфутболокї, до предела насыщенные выступлени€ в несколько потоков, не всегда удобные вопросы на круглых столах, атмосфера исследовательской лаборатории на практических зан€ти€х Hands-on Labs.

21 и 22 ма€ форум посетили более 2500 человек из 18 стран мира: лидеры и специалисты подразделений информационной безопасности из 700 компаний (финансовых, телекоммуникационных, промышленных), молодые ученые и предприниматели, представители государственной власти и интернет-индустрии. ¬ числе спикеров и участников дискуссий на PHDays IV были представители ћ»ƒа, ÷ентробанка, ‘—Ѕ, —овета ‘едерации, а также политтехнологи, российские и зарубежные »Ѕ-эксперты. ¬ выступлени€х и соревновани€х участвовали 15 тыс€ч посетителей 19 площадок PHDays Everywhere в шести странах.

ЂЁто самое сильное событие в области информационной безопасности в –оссии. ќрганизаторы обеспечивают присутствие лучших экспертов, как из –оссии, так и из-за рубежа. ¬сегда насыщенна€ событи€ми программа, интересные доклады, а главное Ч очень много молодых людей, которые именно на таком меропри€тии, как PHDays, €сно вид€т преимущества применени€ своих талантов "на светлой стороне"ї, Ч отметил —ергей ’иманыч, глава внедрени€ проектов по информационной безопасности Ђћегафонаї.

—ценарии дл€ фильма-катастрофы

ћожет ли один-единственный злоумышленник парализовать целый город? ќтвет на этот вопрос искали участники конкурса Critical Infrastructure Attack, которым предсто€ло проверить на прочность системы ј—” “ѕ (SCADA), управл€ющие “Ё÷, транспортом, городским освещением, кранами и промышленными роботами-манипул€торами. Ќужно было найти у€звимости и продемонстрировать их использование на живом макете Ђумного городаї.

ќрганизаторы форума предоставили участникам насто€щую промышленную сеть, полностью готовую к работе. Ќесмотр€ на игрушечный вид макета, на всем представленном аппаратном обеспечении были установлены реальные, самые последние версии программных продуктов.

Ћучше всех оказалась јлиса Ўевченко. –оссийска€ Ћисбет —аландер обнаружила р€д критических у€звимостей в достаточно распространенной системе промышленной автоматизации, примен€емой крупнейшими компани€ми мира. ¬ реальной городской среде эксплуатаци€ большинства этих ошибок может привести к самым губительным последстви€м Ч отказу в обслуживании и нарушению функционировани€ систем управлени€ жизненно важными объектами. ћеста со второго по четвертое зан€ли Ќикита ћаксимов, ѕавел ћарков и ƒмитрий  азаков.

”иль€м ’ейджстад (William Hagestad II), эксперт в области военных информационных атак:

ЂPositive Hack Days Ч уникальное меропри€тие, которое дает возможность увидеть, как создаетс€ безопасность, и кто есть кто в этой области. ‘орум сильно выдел€етс€ на общем фоне благодар€ реалистичным соревновани€м, таким как CTF, конкурс Critical Infrastructure Attack по взлому SCADA-систем и преодоление полосы преп€тствий в "умном доме"ї.

¬ещи нового поколени€

¬ышедшие из-под контрол€ автомобили, входные двери, пылесосы и телевизоры только на первый взгл€д кажутс€ фантази€ми из книг —тивена  инга. „ерез некоторое врем€ практически любой обыватель может быть атакован в своем собственном доме, который может Ђсойти с умаї под вли€нием злоумышленника. ѕо прогнозу аналитической компании Gartner, к 2020 году количество бытовых устройств с интернетом превысит 26 млрд штук, а объем рынка достигнет 300 млрд долларов.  опи€ реальной квартиры, созданна€ организаторами PHDays и оборудованна€ различными электронными приборами и системой Ђумного домаї, оказалась насто€щим испытанием дл€ тех, кто в ней оказывалс€ (конкурс ЂЅезумный домї). »стории успешно выбравшихс€ из этой ловушки участников будут опубликованы в самое ближайшее врем€.

 оличество клиентов интернет-банкинга в ≈вропе и —Ўј превысило 120 млн человек, и защищенность таких систем посто€нно растет. Ќо на PHDays как всегда всЄ сломали! ¬ ходе конкурса ЂЅольшой ку$hї хакеры смогли вывести из виртуального банка практически все заложенные в него деньги (17 из 20 тыс. рублей), обнаружив несколько серьезных новых у€звимостей в ѕќ. ¬ конце второго дн€ форума состо€лс€ также мастер-класс по анализу защищенности банкомата и конкурс по его взлому Ч но на этот раз, в отличие от прошлого года, устройство никому взломать не удалось.

јрми€ будущего

ƒес€ть лет назад говорили, что в глобальной войне, котора€ будет вестись с помощью роботов, побед€т игроки в Counter-Strike. Ќо уже сейчас пон€тно, что войну выиграют хакеры, которые просто выключат эту т€желую артиллерию. ћасштабное соревнование хакерских команд, организованное по принципу Capture the Flag, стало одним из самых €рких событий форума. Ќесмотр€ на молодой возраст меропри€ти€, участвовать в нем престижно: победители PHDays CTF без конкурса проход€т в финал многих других CTF-соревнований по всему миру.

ќт других подобных сражений PHDays CTF отличают нестандартный игровой сценарий (герои бросают вызов мировому заговору), реальные у€звимости, вз€тые из насто€щих систем, и крута€ визуализаци€. »нтересно было не только участвовать, но и наблюдать за виртуальной битвой.

¬ отборочных соревновани€х прин€ли участие несколько сотен команд, а в финал вышли 10 коллективов из –оссии, »спании, ѕольши, —Ўј и ёжной  ореи. ¬ течение двух дней форума они сражались за доступ к секретной информации, искали у€звимости в системах противников и защищали собственные сети, устран€€ в них у€звимости.

—ильнейшими в CTF этого года стали хакеры из польского Dragon Sector, второе место зан€ла группа Int3pids из »спании, а российска€ команда из ћ»‘» BalalaikaCr3w вз€ла третье.

 иберпрогноз

Ќа деловых секци€х самым попул€рным было слово Ђфорсайтї Ч так назвали методы прогнозировани€ угроз и создани€ предупредительных методов защиты. »гра на опережение Ч не роскошь, а остра€ необходимость: об этом говорили на главной секции первого дн€ ЂЅезопасность критической инфраструктурыї. ќбсуждали, в частности, что делаетс€ дл€ кибербезопасности важных объектов в энергетике, банковском секторе, на транспорте, в телекоммуникаци€х; пытались систематизировать киберугрозы и оценить степень готовности к инцидентам. » вопросы эти поднимаютс€ весьма своевременно: в прошлом году на каждое крупное предпри€тие приходилось уже по 100 инцидентов »Ѕ различного типа. “акие данные были получены Positive Technologies в ходе исследовани€ состо€ни€ защищенности системообразующих предпри€тий, вход€щих в российский список топ-100. ќсновные причины сложившийс€ ситуации лежат на поверхности: это неустраненные у€звимости систем и приложений (возраст некоторых ошибок более 7 лет).

ќ необходимости активного прогнозировани€ угроз не раз упоминали в дискуссии о законах, регулирующих интернет, где основным лейтмотивом была еще одна фраза Ќицше: Ђ—ражающемус€ с чудовищами следует позаботитьс€ о том, чтобы самому не превратитьс€ в чудовищеї.

»з —колково позвон€т

PHDays IV Ч это не только трибуна дл€ опытных профессионалов, но и шанс дл€ увлеченных и талантливых молодых реб€т найти себ€ в Ђбеломї »Ѕ-сообществе, представить свое исследование, запустить собственный проект. Ќа форуме ежегодно проходит PHDays Young School Ч конкурс исследовательских работ студентов, аспирантов и молодых ученых, организуемый в рамках инициативы Positive Education. ¬ этом году участвовали 22 работы, причем впервые не только из –оссии, но и из других стран. ‘иналисты выступали в формате Fast Track, и первое место зан€ли ћари€  оростелева и ƒенис √амаюнов с работой Ђќбеспечение криптографически защищенных групповых коммуникаций с функцией отказуемостиї. ¬торое место досталось ≈лене ƒойниковой, а третье поделили ƒенис  олегов и Ќиколай “каченко. ¬се подробности вскоре на сайте PHDays.

ќ судьбе отечественных стартапов говорили участники дискуссии Ђѕерспективы инвестиций в области »Ѕї, котора€ была организована Positive Technologies совместно с кластером информационных технологий фонда Ђ—колкової. Ќа встрече обсуждались флагманские направлени€ в области »Ѕ дл€ банков, производства и государственных структур, а также продемонстрировали механизм организации стартап-меропри€тий. ‘онд Ђ—колкової объ€вил о запуске 2 июн€ 2014 года конкурса »Ѕ-проектов (isecurity.sk.ru), который продлитс€ до но€бр€. ‘онд предоставит победителю грантовое финансирование и менторскую поддержку ведущих профессионалов отрасли.

 уда идет »Ѕ

Ќа секции Ђ–ынок »Ѕ: новинки, вопросы, ответыї ведущие игроки представили свои продукты, которые, возможно, определ€т судьбу отрасли в ближайшие годы. ¬ марафоне новинок прин€ли участие Cisco, Intel Security, RSA, Positive Technologies, ЂЋаборатори€  асперскогої.

ѕо мнению выступавших, в насто€щее врем€ есть три-четыре основных направлени€, интерес к которым посто€нно растет.   примеру, среднему и малому бизнесу требуютс€ готовые инструменты »Ѕ, способные учитывать их специфику; крупному Ч продукты, позвол€ющие транслировать информацию об угрозах »Ѕ в терминах, пон€тных акционерам и риск-менеджерам.

Ќе менее актуальное направление Ч проактивна€ защита приложений (и веб, и обыкновенных), которыми пользуютс€ сотни миллионов людей во всем мире. ѕрежними методами обеспечить их безопасность уже невозможно, а количество их и важность только растет. ≈вгени€ ѕоцелуевска€, руководитель аналитической группы компании Positive Technologies, представила экосистему управлени€ безопасностью приложений, рассказав о новой парадигме защиты, реализованной в новых продуктах PT Application Inspector и PT Application Firewall, а также об их уникальных функци€х. «аметим, кстати, что система PT Application Firewall компании Positive Technologies, несмотр€ на свой Ђюныйї возраст (запуск продукта состо€лс€ в середине 2013 года), уже вошла в список надежных WAF, составленный исследовательской компанией Gartner, и была внедрена в компании Ђћегафонї.

ƒес€ть самых цитируемых докладов

„ерез несколько дней после завершени€ Positive Hack Days IV был составлен рейтинг наиболее цитируемых в соцсет€х докладов и секций форума. Ќаибольший интерес у аудитории вызвала тема конкурентной разведки Ч в тройку лидеров вошли доклады »гор€ јшманова, јндре€ ћасаловича, а также ƒмитри€  урбатова и —ерге€ ѕузанкова.

— полным списком наиболее обсуждаемых докладов PHDays IV можно ознакомитьс€ на ’абре, а записи всех выступлений представлены на сайте меропри€ти€.

Ћитературно-музыкальна€ пауза

ЂЌочь пожирателей киберпанкаї на PHDays тоже по-своему боролась с дырами, увлекательно заполн€€ временной вакуум между первым и вторым днем вдохновл€ющими истори€ми о люд€х, которые создают и ломают цифровые миры. ¬ первой части зрители встретились с проектом Ђћодель дл€ сборкиї, известным технической интеллигенции своим замечательным чтением фантастических произведений на радио: читались рассказы ћерси Ўелли и Ѕрюса —терлинга. ѕосле литературных чтений открылс€ ночной кинозал Ч герои виртуального фронта визуализировались на экране.

 то помогал делать форум

ѕартнерами меропри€ти€ выступили крупнейшие технологические компании, в их числе Cisco, EMC, Intel Security, ЂЋаборатори€  асперскогої, ЂICL- ѕќ ¬—ї, Mail.Ru. »нформационную поддержку форуму оказали 27 ведущих деловых и отраслевых —ћ», а ключевыми медиапартнерами выступили общенациональный деловой журнал ЂЁкспертї, деловой портал BFM.RU, журнал Ђ’акерї, интернет-порталы SecurityLab.ru, Anti-Malware.ru, информационное агентство Bankir.Ru.

ќ форуме Positive Hack Days

Positive Hack Days Ч международный форум по практической безопасности, организованный компанией Positive Technologies. Ѕеспрецедентный по масштабу »Ѕ-марафон, объедин€ющий на одной площадке специалистов с разных сторон баррикад, теорию и практику, профессиональную дискуссию и захватывающие соревновани€ по защите информации.

http://www.phdays.ru/

ќб организаторе

Positive Technologies Ч лидер в области информационной безопасности.  омпани€ входит в дес€тку ведущих разработчиков систем оценки у€звимостей, а также в п€терку самых быстроразвивающихс€ фирм в области обеспечени€ безопасности IT-систем в целом. —пециалисты компании обладают дес€тилетним опытом в обнаружении и управлении у€звимост€ми. ѕроведение исследований Ч залог успеха Positive Technologies, благодар€ им мы уверены, что наши продукты и услуги помогают клиентам снизить затраты, увеличить эффективность и управл€ть рисками.

ќфисы компании наход€тс€ в ћоскве, Ѕостоне, ƒубае, Ћондоне, ћумбаи, –име, —еуле и “унисе, а наш исследовательский центр €вл€етс€ одним из крупнейших в ≈вропе.


или введите им€

CAPTCHA