02.06.2017

"Противостояние" как отражение реалий настоящего мира ИБ

Пора написать о впечатлениях от PHDays, которые дополнят то, что я писал в прошлом году. Для меня PHDays это четыре больших возможности, о каждой из которых я скажу пару слов:

  • Возможность посоревноваться в "Противостоянии"
  • Возможность послушать
  • Возможность встретиться и пообщаться с коллегами
  • Возможность поработать (на стенд / на модерация секции / на выступлении).


Вторую возможность я в этом году упустил. Точнее я слушал всего две секции - антипленарку, где выступал и, попутно, слушал коллег с их зажигательными спичами, и секцию "(Не)безопасность Интернета вещей", которую модерировал. Остальные доклады я пропустил, хотя и хотел ряд из них прослушать вживую. Одно радует - есть записи всех потоков, которые можно просмотреть.


В этом году заглавной темой мероприятия стал Интернет вещей, преимущественно промышленный, который нам более привычно называть аббревиатурой АСУ ТП. Про него было много разных секций и докладов, которые местами шли параллельно. Это, кстати, был один из косяков организаторов - секцию по ИБ АСУ ТП поставили в параллель с "моей" про промышленный Интернет вещей, что поделило аудиторию и привело к некоторой рассинхронизации.

"Противостояние" тоже во многом было посвящено атакам и защите АСУ ТП (наряду с рядом других компонентов). С каждым годом стенд Positive Technologies становится все объемнее и интереснее, превращаясь в целый город и становясь все больше похожим на SANS CyberCity.

Возможность встретиться с друзьями и коллегами я смог реализовать в Cisco Coffee Point, которая была устроена на втором этаже, с которого открывался прекрасный вид на весь зал, на команду защитников, на стенд "Противостояния", на снующих туда-обратно людей...


Первоначально я был достаточно зол на организаторов, которые так запрятали вход на второй этаж, что найти его было очень непросто. Позже я оценил все преимущества такого варианта. Получилось тихое и спокойное место для встреч, где можно было поработать, поговорить о делах, просто пообщаться и выпить кофе.


В "Противостоянии" я не участвовал, но сама концепция мне понравилась. Она очень хорошо отражает текущее состояние отрасли ИБ в России - хакеры, защитники, SOCи. Особенно интересно было читать комментарии после окончания соревнований. У меня возникло недоумение по поводу одновременного награждения "хакеров", которые вроде сломали все, и "защитников", которые обеспечили 100%-ю безопасность. Но если вторые защитили, то как первые могли все сломать? А если первые все сломали, то что тогда защитили вторые? Например, упоминание произошедшего в рамках соревнования взлома GSM привело к заявлению одной из команд по эту сторону баррикад, что GSM не входил в scope (в область рассмотрения). Забавно, не правда ли? Хакеры ищут любую лазейку, а защитники обсуждают ТЗ, по которому работать. Еще один забавный случай произошел с взломом банка, со счетов которого сняли чуть ли не все деньги. По словам участников, его, оказывается, в ночь с первого дня на второй никто не защищал и не мониторил (хотя по комментариям других защитников банк вообще никто не защищал и в остальное время). Ну ведь до боли похоже на многие службы ИБ, которые работают только в рабочие часы и ссылаются на отсутствие своей вины во взломе того, что не входило в изначальный scope работ.


Возможно это был косяк организаторов, а возможно GSM и банк остались без контроля специально, но выглядело это все как-то не очень. На следующий год стоит, наверное, включить в список сценариев атаки со стороны инсайдеров (в этом году это частично пытались сделать "хакеры" из победившей команды "ЦАРКА"), а также иные жизненные кейсы, например, приходы регуляторов к защитникам или задержание хакеров :-) Последние два кейса мы отрабатывали в рамках киберучений в Магнитогорске. Да, это будет совсем не CTF, и даже не формат "Attacker-Defense", но зато очень близко к реальности.


Кстати, ребята из "ЦАРКИ" оказались большими шутниками. Они не только под видом представителей СМИ ходили по командам защитников и организаторам и подглядывали за происходящем по эту сторону баррикад, но и всупили в противоборство с командами хакеров, кого-то ломая, у кого-то уведя деньги, ранее украденные из банка.


Одним из провалов PHDays стало мобильное приложение, которое... не делает ничего. Я вообще не понял, зачем его делали. Возможно, идея и была какая-то, но довести ее до ума так и не смогли. Приложение только для новостей и программы мероприятия? Ну не знаю. Ни тебе собственного расписания, ни напоминалок о интересных докладах, ни возможности следить за "Противостоянием", ни материалов с докладов. Даже рекламы спонсоров и то не было.


В целом на PHDays мне понравилось, как и все предыдущие шесть раз. Живенько и незаезженно. Хотя понятно, что мероприятие уже достигло своего максимума. В первый день пришло 4 тысячи человек, а всего вроде как их там было около 6 тысяч. ЦМТ уже не справляется с такой массой людей. А иных площадок в Москве под такое количество участников и нет. Либо надо застраивать (а это дорого) ангары ВВЦ или Крокуса, либо фокусироваться, либо разносить по разным местам города (хакеры и бизнес). В общем на следующий год организаторам предстоит непростая задача. Удачи им в этом.

ЗЫ. В прошлый раз я делился своей взрослой мечтой - увидеть себя лысым. Мы с Алекссем Качалиным в прошлый раз поменялись личностями и нам это понравилось. В этом году мы решили повторить опыт. Посмотрите на меня лысого :-)