В рамках традиционного форума по практической безопасности PHDays 9 российского производителя средств защиты Positive Technologies 21 и 22 мая были проведены хакерская игра CTF, множество мастер-классов, заслушаны технические доклады. В этом году в форуме приняли участие более 8 тыс. человек. В течение двух дней на площадке прошло множество конкурсов. На стенде Network Village эксперты по безопасности рассказывали о сетевом фаззинге, SSL-пиннинге, MITM-атаках, атаках на веб-приложения и USB-устройства и многом другом. Участники узнали о видах и векторах атак и тут же отрабатывали полученные знания в конкурсе E&E Exploit Express, где участникам нужно было пройтись по нескольким уязвимым сервисам и собрать флаги. В конкурсе IDS Bypass участники должны были взломать пять уязвимых узлов и добыть с них флаги, но сделать это в обход системы обнаружения вторжений. Одна из новинок 2019 г. – конкурс по расследованию инцидентов ESCalation Story: Spin-Off.
В рамках PHDays компания Positive Technologies традиционно представляет результаты аналитических отчетов. В этом году был представлен анализ киберугроз I квартала текущего года. В нем отмечается, что тенденция увеличения стоимости майнинга криптовалют заставляет злоумышленников переходить с методов скрытого майнинга на шифровальщики с выкупом за криптовалюту. Так, доля скрытого майнинга уменьшилась с прошлого квартала с 9 до 7%, в то время как доля шифровальщиков увеличилась с 9 до 24% за тот же период. При этом криптомайнеры все чаще снабжаются функциями шпионского ПО для воровства ценной информации, которую также можно продать на черном рынке.
Впрочем, и шифровальщики не всегда используются для выкупа. Иногда ими прикрывают воровство коммерческой тайны, медицинских секретов и персональных данных. В частности, в числе лидеров по количеству атак шифровальщиков – медицинские учреждения и промышленные компании. Целью более половины атак (54%) в соответствии с отчетом является доступ к секретам, еще около 30% – получение финансовой выгоды. На хактивизм и кибервойны приходится всего 16% инцидентов. Из данных воров больше всего привлекают персональные (28%) и учетные (25%). Еще 16% случаев воровства информации связаны с реквизитами пластиковых карт, по 9% – с медицинской информацией и коммерческими секретами.
Основная цель более половины атак (58%) – инфраструктура. Это говорит о том, что она по-прежнему требует серьезной защиты, несмотря на давление регуляторов. Еще два популярных вектора атак – веб-ресурсы (18%) и рабочие места сотрудников (13%). Атак на банкоматы, POS-терминалы и другие IoT-устройства зафиксировано всего 4%.
На форуме обсуждались и общие проблемы рынка информационной безопасности в России. На нем отмечаются два основных направления – тотальное регулирование, которое пропагандировал заместитель директора Главного вычислительного центра Гаральд Бандурин, и свобода в ИБ, мнение сторонников которой которых было представлено заведующим кафедрой информационной безопасности НИУ ВШЭ Александром Барановым. Последователи регулирования утверждают, что необходимо разработать глобальную модель информационной безопасности РФ, назначить для ее реализации главного конструктора и инженера и постепенно реализовывать запланированные меры безопасности.
Последователи свободы рынка предлагают другой сценарий: ввести ответственность не за несоблюдение требований регулятора, а за инциденты, как это сделано в большинстве западных стран. Как только первые жертвы понесут серьезные убытки от инцидентов, все владельцы информационных систем самостоятельно научатся применять адекватные меры безопасности. Такой подход, возможно, имеет право на существование, однако большинство наиболее ценных информационных активов находится в руках государственных компаний и ведомств, где рыночные механизмы работают плохо, а вот регулирование с помощью генеральных конструкторов – вполне привычно.