Отчёт о 12 форуме Positive Hack Days
Вот и отгремел Positive Hack Days (PHDays), проводимый компанией Positive Technologies в 12 раз. В 2023 году форум по кибербезопасности, доступный только специалистам по информационной безопасности, превратился в городской киберфестиваль. Мероприятие было решено провести не в помещении, а на открытом воздухе. Причём в центральном парке города Москвы — Парке Горького. И как любой городской фестиваль, PHDays был открыт широкой публике. Для этого был построен кибергород с квестами, конкурсами, заданиями, помогающими посетителям проверить уровень своей кибергигиены и повысить свою киберграмотность. Для отраслевых специалистов все дни фестиваля работала «Зона безопасности», где выступали и делились опытом специалисты по информационной безопасности.
Информационная служба Хабра начала посещение фестиваля с нулевого дня. Он был посвящён экскурсиям по площадке и круглому столу по проблемам российского NGFW. Немного отойду от темы — я работал системным инженером и системным администратором, но с удивлением недавно узнал, что те фаерволы, которые использовались на IT‑периметре моих работодателей, и были этими так называемыми Next Generation Fire Wall (NGFW).
Вернёмся к круглому столу. На нём обсуждались проблемы, связанные с существованием отечественных NGFW, и оказалось, что всё не так плохо. На дискуссии присутствовали представители компаний Positive Technologies, UserGate, «Код Безопасности», «Ростелеком‑Солар». И оказалось, что у всех в каком‑то виде есть своё NGFW‑решение.
Если делать выжимку из этого круглого стола, то опять всё упирается в чипы и литографию. И если с литографией всё не так плохо, то чипы — это краеугольный камень всей IT‑электроники, включая и фаерволы. В первую очередь нужны они, всё остальное наживное.
Первый день мероприятия удивил наличием огромной очереди на вход. В прошлые фестивали тоже было много народа, но в этот раз мне показалось, что его больше в два раза, чем в прошлом году. Как рассказали организаторы, в закрытой части форума было более 15 тысяч посетителей, в открытой — тоже исчисляется тысячами.
Программа мероприятия сулила ещё больше лекций, чем на предыдущих мероприятиях, поэтому недолго думая я решил идти на заинтересовавшие выступления. Тут я опять сильно удивился, потому что на доклад, куда я спешил, просто не смог попасть. Сидячие места были заняты все, а стоящих людей было три ряда. И да храни Омниссия прямой эфир и последующие выкладываемые его записи. Мне удалось послушать и посмотреть доклад. Это было выступление Дмитрия Махаева под названием «Киберразведка — это просто, и чем она отличается от «пробива», OSINT и HUMINT». Весь доклад пересказывать не буду. Во‑первых, он выложен, во‑вторых, мне удалось поговорить с Дмитрием, поэтому про киберразведку и на нашем сайте есть отдельный материал. Из того, что стоит внимания — киберразведка появилась недавно, сейчас она активно развивается и представляет собой некий сплав между техническими признаками атаки и её проявлением в социальных сферах.
Параллельно с этой лекцией шла не менее интересная лекция Артёма Семенова из RTM Group под названием »20 нестандартных применений ChatGPT в кибербезе». На ней тоже было битком народа, поэтому прорваться к выступлению не удалось. И опять меня спасла трансляция. Меня заинтересовало выступление, и после лекции я взял интервью у Артёма, материал уже выложен. Из того, что хочется отметить — это конечно же, материал Артёма, выпущенный на Хабре, статья немного не по теме доклада, но ознакомиться стоит.
Далее я отправился ходить по стендам компаний. С увеличением площадки, количества посетителей увеличилось и количество активностей, за них можно было выиграть различный мерч. Опросить стенды в этот раз, как и на «Астарконф», мне не удалось, но не потому, что никто общаться не хотел, просто все стенды были до отказа заполнены людьми, и я не стал влезать в очередь и отвлекать работников стендов.
Вообще, ложка дёгтя была в этой цистерне мёда: я не знаю, возможно, Парк Горького, а возможно, сами организаторы не рассчитали, но была толкучка, очень много людей и не так много пространства. Во второй день людей было поменьше. Однако в первый прорваться к кибербашне на площадку Standoff было проблематично, а уж к модели города подойти было невозможно.
Это единственное, что немного портило настроение. В остальном размах лекций был огромный, как и работа онлайн‑студий. В это раз их было 2 плюс постоянное вещание с кибербитвы.
Что интересно — на кибербитве в Парке Горького по итогам Standoff 11 ни одна отрасль Государства F не устояла. На киберполигоне атакам подверглись банковская система страны, металлургический комбинат, железная дорога, аэропорт и морской порт, атомная электростанция, ТЭЦ и ГЭС, ветрогенераторы и солнечная станция, водозаборные и водоочистные сооружения, нефтеперерабатывающий завод, трубопроводы с насосными станциями и другие объекты.
Ну и так как я уже отметил два доклада, продолжу рассказывать о выступлениях. Опять, если не получилось побывать на фестивале, то есть целый плейлист лекций на сайте и на Youtube, кому что удобнее, можно выбрать, как и нужные лекции. На сайте мероприятия они разделены по тематическим разделам, очень удобно для специалистов, не надо искать в общем списке, а выбрать нужную тему и нужную лекцию.
Возвращаемся к лекциям. Следующее выступление, которое хотелось бы отметить, это доклад Константина Полишина из Positive Technologies «Социальная инженерия: тенденции red team, технические аспекты kill chain и проектный опыт». Довольно интересно было послушать непосредственно про работу red team social engineering. Также в выступлении рассказывается о работе специалистов по социальной инженерии в рамках ИБ‑компании. В докладе приведена статистика работы Red Team SE Константина за два года. Часть выступления мне было немного сложно воспринимать, так как у меня хромала теоретическая база, но специалистам, сидящим в зале, было интересно и познавательно слушать этот доклад.
Весь доклад стенографировать не буду. Приведу только некоторые тезисы. Константин привёл пример неэффективности работы Red Team SE через отправку нагрузки с вложениями в электронных письмах, в силу зрелости ИБ‑решений на периметре многих заказчиков это даст результат. Также мне понравился прогноз на 2025 год. Этот прогноз связан с переходом на отечественные решения сервисов электронной почты. При импортозамещении и переходе на российские решения отечественные компании может ждать масса фишинговых атак. Поэтому за 2 года создатели антиспам‑, антифишинг‑, антифрод‑решений должны научиться отражать все атаки, а не определённое количество.
В общем, рекомендую доклад к просмотру всем, кто работает в Red Team SE или собирается там работать.
В моём интервью с Артёмом Семёновым была затронута тема Promt Injection. Поэтому я решил послушать выступление, посвящённое этой атаке, под названием «Prompt Injection и все‑все‑все: вытаскиваем максимум из AI‑сервиса» Владислава Тушканова из компании Kaspersky.
Часть доклада была посвящена самим языковым моделям, их отличиям, как они работают и как строятся. Prompt Injection — это способ атаки на чат‑бот, когда через определённый запрос, через пользовательские данные происходит перехват модели. Помимо Prompt в докладе было представлено, что такое Promt Extraction — извлечение инструкций из чат‑бота с помощью Prompt Injection. Как можно через непрямой Prompt Injection перехватить управление чат‑ботом с помощью сторонних данных. В докладе был освещён малоизвестный способ атаки на чат‑бот особым образом сформированным запросом, который идентифицирует базовую модель (forbidden tokens). Последняя атака наоборот была широко освещена — это запрос, обходящий механизмы безопасности с помощью специально сконструированного запроса (затравки). Она называется jailbreak.
После этого Владислав представил примеры этих атак из реальной жизни.
Далее хотелось бы отметить лекцию «Вредонос по подписке: как работает Malware‑as‑a-Service в даркнете» Александра Забровского из компании Kaspersky. Оказывается, что в даркнете существует такое понятие — «ВПО как услуга». То есть какая‑то хакерская группировка предоставляет своим менее опытным или менее компетентным коллегам возможность использовать вредоносное ПО для своих нужд наподобие услуг PaaS, SaaS и IaaS. Однако группировки, предоставляющие Malware‑as‑a-Service (MaaS), не всегда могут предоставлять хостинг ВПО. Причём у MaaS, как у любого IT‑бизнеса, есть рабочая команда, возможен хостинг, есть административная панель (как у любой услуги *aaS), подписка (или надо платить процент от прибыли, если ВПО вымогательское), обновления (улучшения зловреда), билды ВПО и даже поддержка (иногда 24/7). Я понимаю, остальные ИБ‑специалисты в курсе, но для меня это было удивлением. В докладе была приведена статистика за 2022 год по MaaS. В целом довольно интересный доклад, рассказывающий про подноготную MaaS и этого теневого бизнеса, причем вплоть до определённых правил, за которые клиент сервиса может быть исключён из программы MaaS.
Ещё хотелось бы отметить буквально одной строкой две лекции эксперта по OSINT, цифровой разведке по кибербезопасности, Youtube‑блогера Андея Масаловича. На прошлом PHDays я отмечал его лекцию по OSINT, про киберразведку или цифровую разведку лекции я отметил в этом материале. Поэтому просто советую посмотреть два доклада Масаловича.
Ну и закончился фестиваль опять по-особому. В прошлый раз был рок-концерт, в этот раз был «Маякфест», концерт, посвящённый Владимиру Маяковскому, где ведущим была цифровая копия самого великого поэта, а исполнители пели песни на его стихи. Концерт был с оркестром.
Опять обзор мероприятия чуть задержался. Я вообще хотел его выпустить через неделю, но создание заняло больше времени. Однако прошу простить, потому что я взял два интервью и решил не делать ошибок, как с «Магниткой», и в первую очередь решил оформить их, а не обзор мероприятия.
Больше всего в фестивале запомнилось количество тематических лекций, потому что обмен интересным опытом очень важен в любой отрасли. Тем более опыт, подтверждённый данными, наработками и другими доказательствами проделанной работы. Надеюсь, этот обмен продолжится и дальше. К тому же, благодаря такому размаху фестиваля популяризация ИБ привлечёт внимание людей, не связанных с отраслью, и они поймут её важность и начнут лучше относиться хотя бы к парольной политике и скачиванию данных из Интернета.
После фестиваля я задумался, а где следующий PHDays будет проходить? Ведь Парк Горького уже был, может, будет какой-нибудь стадион? Ладно, придёт следующий год, увидим площадку. Я хотел сравнить PHDays с ComicsCon от мира ИБ, но он всё-таки более официальный, поэтому я бы сравнил PHDays с музыкальным фестивалем, потому что много разных сцен, много народу на хэдлайнеров и интересные выступления. ComicsCon больше напоминает другой фестиваль — OFFZONE. Однако сами мероприятия сравнить не получится, и хорошо. Всегда можно побывать везде и получить общую картину об ИБ-сообществе и всей отрасли.