В Москве завершилась четвертая конференция по практической кибербезопасности OFFZONE 2023 от партнера Сбера — компании BI.ZONE. Мероприятие объединило безопасников, разработчиков, исследователей, а также преподавателей и студентов технических вузов. Конференцию посетили более 2500 человек. В дни конференции на двух треках выступили 108 экспертов с 89 докладами. Спикеры рассказали, как изменилась отрасль кибербезопасности за последние 10 лет, поделились основными трендами кибермошенничества в финансовой сфере и методами противодействия, лайфхаками в области mobile DevSecOps, рассказали о необычных атаках с применением широко распространенных программ для удаленного управления и уязвимостях в коде, генерируемом нейросетями и затронули другие актуальные темы отрасли кибербезопасности. Стратегическим партнером мероприятия выступил Сбер.
Безопасность приложений
Одновременно с двумя треками докладов на конференции в этом году работали тематические зоны от специалистов по безопасности финансовых систем и банковской инфраструктуры (AntiFraud.Zone), экспертов по безопасной разработке и анализу защищенности приложений (AppSec.Zone), а также CTF.Zone и две площадки сообщества по безопасности. В этом году наиболее интересной темой для отечественных компаний стал раздел безопасности облачных приложений — DevSecOps. Связано это с тем, что облачные и контейнерные технологии позволяют оптимально произвести переход на отечественные разработки. Причем контейнерные среды обеспечивают тестирование новых приложений в сложных системах, проверку их безопасность и постепенное масштабировать их до размера всего предприятия, используя для этого доступные аппаратные платформы и операционные системы — контейнеризация и виртуализация позволяет абстрагироваться от аппаратной части.
В секции AppSec.Zone как раз и разбирали практически аспекты построения DevSecOps-среды, в рамках которой можно выявлять ошибки в разработке веб-приложений как можно раньше. В частности Staff Security Engineer компании «Aвито» Николай Хечумов рассказал о возможности интегрировать в платформу разработки веб-приложений механизма, который позволяет предупредить разработчика о возможной ошибке уже при попытке первый раз сохранить его в общем репозитории кода. Понятно, что чем раньше ошибка будет обнаружена, тем дешевле ее можно будет исправить.Еще одной интересной технологией безопасности является недавно опубликованный стандарт веб-аутентификации WebAuthn, разработанный и внедряемый консорциумом W3C. О том, как можно использовать в своих приложениях этот механизм рассказал в рамках конференции старший специалист группы экспертизы защиты приложений Positive Technologies Александр Чикайло. В целом сообщество отечественных разработчиков безопасных веб-приложений в цикле DevSecOps хорошо справляется с использованием современных инструментов защиты как процесса разработки, так и эксплуатации сложных многокомпонентных приложений в рамках облачной и контейнерной идеологий.
«Развитие комьюнити в сфере кибербезопасности — одна из ключевых целей, которую ставит перед собой компания BI.ZONE, – отметил директор по стратегии BI.ZONE Евгений Волошин. – Важно не только делиться практическим опытом, но и выстраивать связи между всеми, кто решил связать свою жизнь с этой отраслью: инженерами, студентами, CISO компаний, профильными специалистами разных направлений и уровней. Вместе с партнерами мы сделали конференцию OFFZONE без преувеличения одной из лучших площадок для профессионального нетворкинга и развития и не собираемся останавливаться на достигнутом».
Работа над ошибками
В рамках OFFZONE компания BI.ZONE также подвела итоги первого года работы платформы для коммерческого поиска уязвимостей BI.ZONE Bug Bounty. Общая сумма выплат за найденные уязвимости за год составила более 15 млн руб. Платформа компании также стала лидером среди российских платформ по числу публичных программ. В 2022-2023 гг. российский рынок коммерческого поиска уязвимостей значительно вырос. На это повлияло не только развитие отечественных платформ для поиска уязвимостей, но и отказ зарубежных площадок от сотрудничества с заказчиками и исследователями из России. Если год назад на 3 отечественных платформах были представлены всего 5 компаний, то сейчас только на BI.ZONE Bug Bounty размещена 51 программа от 17 организаций.
Наиболее активный интерес к коммерческому поиску уязвимостей проявляют компании из финансового сектора: по данным BI.ZONE, на них приходится 37% спроса на услуги багхантеров — специалистов по поиску уязвимостей. При этом тренд на особую востребованность программ поиска уязвимостей со стороны финансовых организаций совпадает с общемировым. Это связано с тем, что сложные цифровые экосистемы заинтересованы в максимальной комплексной защите. Другой важный фактор — сохраняющийся в отрасли высокий уровень киберугроз: только за 1-й квартал 2023 года российские банки отразили 2,7 млн атак, предотвратив хищения на сумму 712 млрд руб. Если два года назад к поиску уязвимостей сторонними исследователями относились как к экспериментальному инструменту, то сейчас такие платформы для организации исследований безопасности завоевали доверие со стороны не только бизнеса, но и государства. Яркий тому пример — проект Минцифры по поиску уязвимостей на Госуслугах, в реализации которого приняла участие BI.ZONE. А сейчас на платформе компании размещена первая в России программа по поиску уязвимостей в операционных системах. В качестве объекта изучения была совместно с ГК „Астра“ выбрана операционная система Astra Linux.
«Мы уже много лет развиваем собственную программу bug bounty, а выход на публичные платформы позволил расширить аудиторию багхантеров и обеспечить более тесное и эффективное сотрудничество, – пояснил важность программ коммерческого поиска уязвимостей вице-президент, директор департамента информационной безопасности «Тинькофф» Дмитрий Гадарь. – Для нас вопрос безопасной разработки имеет первостепенное значение. Мы постоянно проводим внешние аудиты от лучших компаний на рынке безопасности. Рады, что сейчас открывается всё больше возможностей для привлечения внешних исследователей и максимальной защиты наших клиентов. Тинькофф регулярно увеличивает выплаты багхантерам, а также вкладывается в развитие комьюнити специалистов по безопасности и будущего поколения кадров для отрасли в целом с помощью мероприятий, образовательных и стипендиальных программ».