Обзор The Standoff

[обновлено 12.05.2021]

 

В связи со сложившейся эпидемиологической ситуацией юбилейный Positive Hack Days было решено перенести, а вместо него в режиме онлайн прошла кибербитва "The Standoff".

 

Как отметили организаторы: "The Standoff — киберполигон, где лучшие offensive- и defensive-специалисты России и зарубежья борются друг с другом за ресурсы виртуальной копии нашего мира. Здесь воссозданы цифровые двойники компаний различных отраслей с соответствующими производственными цепочками, бизнес-сценариями и технологическим ландшафтом."

 

В рамках мероприятия также звучали доклады, затрагивающие актуальные темы информационной безопасности, были интервью со спикерами и участниками, круглые столы, а также выступления вендоров.

 

Ниже обзор докладов, которые мне понравились.

 

Мыслить как "преступник"-программист. Дмитрий Скляров (руководитель отдела анализа приложений Positive Technologies) поведал историю о том, как он создал декриптор для расшифровки файлов, испорченных вирусом-шифровальщиком. Автору удалось угадать методы и алгоритмы, которые использовал злоумышленник для зашифровки файлов, и рассказать о сложных вещах простым и понятным языком.

 

 

Threat intelligence: разбираемся в понятиях на практике. Калинин Антон (руководитель группы аналитиков CyberART) свой доклад начал с теории: основные термины; отличия IoC от IoA и их детектирование в IT-инфраструктуре; источники информации об угрозах; виды фидов и способы их сбора; проверка на релевантность. В практической части Антон подробно рассказал о том, как организованы TI-процессы в их компании.

 

Панельная дискуссия "SOC, который работает и окупается". В качестве спикеров были приглашены Александр Бабкин (Газпромбанк), Эмиль Алтынбаев (Гринатом) и Дмитрий Гадарь (Тинькофф банк). Участники обсуждали следующие темы: история развития SOC в их организациях; сложности, с которыми столкнулись при внедрении; задачи SOC; KPI; ресурсы для внедрения и сопровождения SOC; пентестеры и red team против SOC; использование опенсорса и самописного ПО для задач SOC; автоматизации первой линии; подготовка кадров и передача опыта; взаимодействие SOC с другими подразделениями.

 

"Как заработать на ИБ? Можно ли при этом развить индустрию и выйти в мировые лидеры?" Сергей Мацоцкий (основатель и совладелец группы ИТ-компаний «ГС-Инвест»), Александр Галицкий (со-основатель и Управляющий Партнер Almaz Capital Partners) и Юрий Максимов (генеральный директор Positive Technologies) обсуждали, смогут ли российские ИТ-решения занять лидирующие позиции на мировой арене и как этого достичь; можно ли заработать на высоких технологиях, ИТ и ИБ не только компаниям, но и простым людям; по каким критериям выбирать компанию для инвестиций и как привлечь инвесторов. В целом инвестиции растут, но они стали более избранными. В Росси есть только интерес к данной области.

 

"Гитхабификация информационной безопасности" (читать статью на Хабре).  Джон Ламберт (Microsoft Threat Intelligence Center) представил в виде пирамиды процесс обмена опытом в ИБ-сообществе для эффективного противостояния злоумышленникам: накопление и сохранение знаний (MITRE ATT&CK), методы обнаружения (Sigma), анализ данных (Jupyter) и распространение знаний  (GitHub-репозитории ИБ-проектов). Кроме того, спикер утверждает, что данный подход ускоряет рост профессиональных компетенций ИБ-специалистов.

 Далее Джон рассказал, как эксперт/организация может внести свой вклад в ИБ-сообщество.

С похожей темой выступил Антон Кутепов (старший специалист отдела экспертных сервисов и развития, Positive Technologies). В презентации "Улучшение общего состояния безопасности, или Как работает Open Security Collaboration Development" спикер сделал краткий экскурс в OSCD, огласил результаты первого и второго спринтов, а также привел примеры написания и проверки тестов Atomic Red Team и правил Sigma.

"Дорогая, я автоматизировал Honeypot! Инфраструктура и автоматизация Honeypot". Маттиас Майдингер (инженер по разработке ПО в компании VMRay) описал схему своей хонейпот-инфраструктуры, поделился достоинствами и недостатками процесса автоматизации хонейпотов, а также рассказал, как он использовал полученные данные.

Общие впечатления.

Что понравилось:

- бесплатная регистрация;

- новый формат киберполигона;

- новые секции с докладами.

Что не понравилось:

- записи докладов прерываются на вопросах (порой ответы представляют бОльшую ценность, чем сам доклад);

- некоторые записи докладов на Youtube имеют ограниченный доступ;

- нет ссылок на презентации.

P.S. По традиции я просмативаю все доклады данного мероприятия. Как правило, это занимает около 6 месяцев. Поэтому буду выкладывать информацию по мере ознакомления с ней.