Впечатления от RSA Conference/Expo

На неделе 12-17 февраля в Сан-Франциско прошла очередная, уже 26-я, конференция и выставка RSA, которая является крупнейшим событием в области информационной безопасности в мире. В этом году это мероприятие посетило 43 тысячи человек. Я планирую посвятить этому мероприятию несколько заметок (есть еще и непубличный обзор технологий, но его я оставлю для себя), тем более что там было что посмотреть и что узнать, а пока я хотел бы поделиться краткими зарисовками с RSAC, которые дополнят мои прошлогодние записи ( тут, тут, тут и тут).


Начну с патриотического :-) В этом году на выставке RSA были стенды уже трех наших компаний (EgoSecure не в счет - они упорно отказываются признавать, что ими владеют русские) - Лаборатория Касперского, ERPScan и Wallarm. Также на выставке я видел большую делегацию из 6 человек от Positive Technologies, а на конференции часто пересекался с чуть менее многочисленной делегацией Инфотекса.

Стенд Wallarm

Касперский уже не первый год активно седлает тему безопасности промышленных сетей. Они и выступают по ней (кстати, других наших я что-то в программе не заметил), и спонсируют отдельный раздел выставки под названием ICS Sandbox. В этом году, помимо своего (вроде как свежего стенда по АСУ ТП), показывали еще концепцию виртуального симулятора промышленного предприятия для отработки на нем различных сценариев негативных воздействий. Пока это только концепция и симулятор имеет только один сценарий, но выглядит перспективно. Я слышал о таких разработках по заказу МинЭнерго США, а тут разработка отечественной компании (пусть и создавал ее американец).

Виртуальный симулятор от ЛК

Стенд от ЛК

Продолжая тему патриотизма хочу сказать и про русских хакеров, которые в прошлом году были одной из пугалок RSAC (еще до взлома демпартии США и других "медвежьих" атак). В этом году про русских хакеров "в погонах" почти не говорили. Исключая выступления Альперовича из CrowdStrike, замеченного в особой любви к России, и выступления аналитика по киберразведке из американского МинОбороны, который оперировал классическими клише и не представлял никаких доказательств.

Аналитик киберразведки иллюстрировал рассках о русских хакеров картинками с сайта ФБР

Вот он, крестный отец русской кибермафии

На выставке в этом году в качестве раздатки были популярны книги - как из классической серии "для чайников", так и более интересные и объемные по материалу. Экспоненты начинают понимать, что макулатура уже мало кого интересует и пытаются маскировать свои продукты и технологии под видом полезного контента; местами действительно полезного.


Китайцев стало больше; существенно больше - и с точки зрения участников, и с точки зрения стендов. Они стали более грамотные и действительно стараются ориентироваться на американский рынок. Если в прошлом году у них раздатка была вся на китайском, то в этом они почти все перевели на английский язык и даже стендисты у них понимают азык той страны, в которой они выставляются. Тихой сапой, но они действительно завоевывают рынок кибербезопасности.

Группы китайцев фотографирутся после конференции

Не буду сильно погружаться в технологические новации, которые я видел на стендах, хотя я и делал большой обзор всех новаций, но для внутреннего потребления. В условиях импортозамещения это не столь актуально для отечественного потребителя - многие продукты никогда до России не дойдут. А отечественным вендорам, которые хотят улучшить свои решения, стоит самим посетить такое мероприятие (или хотя бы лондонскую Infosecurity). Но я отметил, что на выставке практически не было SIEMов (тема сдулась похоже) и сканеров безопасности (кроме традиционных Qualys и Tenable). С последними все понятно - в круглосуточном режиме копаться в уязвимостях систем могут далеко не все - это требует своего исследовательского центра и соответствующих компетенций, что на рынке ИБ редкость. Зато было много Threat Intelligence, аналитики ИБ (это не совсем SIEM), UEBA, обманных систем, а также услуг по расследованию инцидентов, повышению осведомленности персонала, борьбе с фишингом. Красной нитью через многие стенды проходила идея применения искусственного интеллекта. Даже в аэропорту, когда я улетал в Москву, меня настигла реклама одной из компаний, которая утверждает, что у нее атаки ловит исскуственный интеллект. Правда, результаты независимых тестов показывают что искусственный интеллект еще слаб и система защиты пропускает вредоносные программы, что привело к судебному иску со стороны авторов рекламы. У упомянутой выше CrowdStrike, кстати, схожая проблема.

Традиционно, RSA - это место, куда стремятся стартапы и где они могут продатьпоказать себя. Ходя по стендам и разговаривая с некоторыми из стартапов сделал для себя несколько наблюдений. Во-первых, стартапам становится сложно выбирать имена. Поэтому они поступают просто - берут название любой собаки, овоща, "еще чего-нибудь" и добавляют к ним слово Security (например, Avocado Security). Простенько и со вкусом :-) Второе наблюдение касается одежды стартаперов. Они не утруждают себя выбором чего-то адекватного месту, куда они приходят. По тому, как одет персонал на стенде, можно понять, кто является основным заказчиком у компании и что это за компания. Например, у BAE Systems стендисты были людьми в годах и все в пиджаках - солидные люди для МинОбороны США. У стартапов же "фаундеры" и "кофаундеры" одеваютя презанятнейше. Если они и одевают пиджаки, то выглядят при этом несуразней некуда. Ну и третье наблюдение. На одном из заинтересовавших меня стендов я попробовал выяснить детали представляемой технологии и не смог. "Фаундер" сломал ногу, катаясь в Тахо (это курорт на границе Калифорнии и Невады), что и обусловило его отсутствие на выставке. А без него никто не мог объяснить, что же такого прорывного в продукте компании. Этот случай показывает риски работы со стартапами. Да, они динамичны, незабюрократизированы, гибки. Но при этом у них очень высока зависимость от основателя. Стоит ему заболеть, сломать ногу, попасть в декрет или автокатастрофу, потерять интерес к бизнесу и все, компания умирает :-( Интересно посмотреть на списки участников сколковского конкурса стартапов по ИБ, в котором ежегодно участвует несколько десятков компаний, в финал пробиваются обычно уже и не совсем стартапы, а оставшиеся за рамками финалистов обычно не выживают в течение года :-(

Отдельно хотелось бы отметить работу организаторов конференции. Я, бывая на многих мероприятиях, нигде не видел сурдопереводчиков, которые бы переводили слушателям с ограниченными возможностями озвучиваемый контент. А на RSAC я это увидел и это было реально круто.


Собственно, как и обеспечение безопасности на мероприятии - выборочный осмотр сумок, охрана, собаки, ищущие взрывчатку и т.п. И никаких рамок-металлодетекторов, которые бы превратились в узкое горлышко на событии для нескольких десятков тысяч человек.


При этом ярко проявляется демократия - около конференции активно бастовали демонстранты, обвинявшие HP в израильском аппартеиде и никто их не трогал. Ну протестуют и пусть...


Среди докладчиков, а также стендистов, было немало бывших представителей американских спецслужб - анбшников, црушников, спецагентов Минобороны или ФБР. В отличие от наших специалистов, американские не стесняются своего прошлого места службы, а даже рассматривают это как принадлежность к избранным, которые обладают сокровенным знанием. Правда не без курьезов. Например, страничка одного из спикеров в приложении конференции выглядит так, что достаточно странно для людей, которые привыкли выставлять напоказ свои достижения. Но когда видишь имя этого спикера все встает на свои места - это бывший директор АНБ, основавший с сослуживцами после ухода со службы свою компанию.


Что еще можно отметить применительно к RSA? Традиционно проводимые киберучения в виде мозговых штурмов и CTF, различные форматы дискуссий, мастер-классов, фасилитаций (вот уж дурацкий, но прижившийся у нас термин)... Даже тему борьбы с дронами не забыли.

CTF от SANS

Борец с дронами

Пожалуй, это пока все. В остальных заметках я уже более подробно освещу отдельные темы, на которые меня натолкнула выставка и конференция RSA.