CIRF 2023 – без галстуков и без рекламы. Осенняя встреча представителей ИБ-комьюнити
9 ноября 2023 г. в пространстве «Старт Хаб» на Красном Октябре прошла конференция CIRF (Corporate Incident Response and Forensics) для специалистов служб информационной безопасности, организованная компанией «МКО Системы». Гости и приглашенные эксперты встретились, чтобы обсудить актуальные вопросы в сфере ИБ, поделиться открытиями и зарядиться отличным настроением.
Генеральный директор компании «МКО Системы» Ольга Гутман поприветствовала всех гостей и участников конференции, обратив внимание на то, что главная цель CIRF – это общение и обмен опытом.
Генеральный директор компании «МКО Системы» Ольга Гутман поприветствовала всех гостей и участников конференции, обратив внимание на то, что главная цель CIRF – это общение и обмен опытом.
Программа комьюнити включала в себя выступление семи приглашенных экспертов, интерактивные игры OSINT- и DFIR-play, а также итоговый открытый микрофон под названием «Подорожник для ИБ».
Первым слово взял сооснователь «Лаборатории криминалистического анализа данных» Zero eDiscovery Юрий Тихоглаз с рассказом об использовании машинных алгоритмов при расследовании корпоративных инцидентов. Эксперт сделал акцент на том, что при анализе большого объема неструктурированных данных самую важную роль играет качественная подготовка информации. В этом процессе специалисту помогут такие шаги, как различные виды дедупликации, распознавание текста (OCR), приведение слов к нормальной форме и исключение из рассмотрения стоп-слов, построение алфавитного указателя и частотных словарей для корпуса исследуемых документов, шинглирование и др.
Юрий обратил внимание на то, что, чем тщательнее будут подготовлены данные, тем более эффективным будет результат использования машинных алгоритмов. Но он также добавил, что в настоящее время не существует алгоритмов, предоставляющих безошибочный результат, и при использовании любой модели необходимо учитывать их точность и возможный уровень ошибки.
Далее выступил Андрей Масалович aka Кибердед из компании «Безопасность 360» с докладом на тему «OSINT и форензика – два столпа новой криминалистики». Специалист отметил, что цифровой след, который тянется за любым человеком в наши дни, гораздо больше, чем может показаться. Мир в окружении современных технологий перестает быть приватным настолько, что однажды вы можете случайно встретить в социальных сетях свою фотографию из уборной комнаты, сделанную роботом-пылесосом! Да-да, и это реальный случай.
Подобные устройства действительно могут быть оснащены камерами и программным обеспечением для обработки изображений с целью эффективного перемещения по дому. И это лишь один из множества примеров того, что цифровой след может быть обнаружен там, где его совсем не ждешь. Это делает инструменты сбора и анализа информации, полученной из открытых источников (OSINT), все более востребованными и актуальными при расследовании инцидентов.
Затем на сцене появился эксперт из компании «Шард» Григорий Осипов с рассказом на тему «Практика криптовалютных расследований с шифровальщиками и криптовымогателями». По словам специалиста, согласно статистике, количество случаев вымогательства продолжает расти и охватывают практически все сферы бизнеса, представляя угрозу и для корпоративного сегмента. В случае блокировки программного обеспечения или появления «синего экрана» с требованием перевода на криптокошельки мошенников корпорации сталкиваются с невероятными рисками, ставящими под угрозу их бизнес-процессы. Согласно исследованиям, за первое полугодие 2023 года вымогатели получили более 500 млн долларов.
Григорий рассказал об актуальных методах расследования и получения информации о вымогателях, которые требуют и получают выкуп на свои криптокошельки. С помощью специального инструментария возможно отследить, куда именно были выведены средства.
Далее модератор конференции Дмитрий Борощук после небольшого рассказа о методах OSINT провел интерактивную игру OSINT-play, пригласив к участию всех желающих. Он предложил гостям расследовать нашумевшее дорожно-транспортное происшествие с участием российского актера, повлекшее за собой возбуждение уголовного дела. Победителями стали те, кто озвучили самые точные и небанальные инструменты и технологии OSINT, которые могли быть использованы в кейсе.
Затем слово взял Максим Суханов, эксперт из компании МТС RED, который рассказал про уязвимости в драйверах файловых систем. Упоминая о парсерах файловых систем на примере Windows, он перечислил драйвер режима ядра, библиотеку пользовательского режима, драйверы в менеджере загрузки и в загрузчике ядра, архиваторы, антивирусы, EDR/XDR-агенты, а также BitLocker To Go, программы для восстановления данных и др. Максим отметил, что в случае обнаружения какой-либо уязвимости необходимо проверить, присутствует ли она по вышеперечисленному списку.
Эстафета перешла к создателю журнала «Хакер» Дмитрию Агарунову, рассказавшему об особой системе психологического типирования «Модель процесса коммуникации» (Process Communication Model), благодаря которой можно сделать бизнес-коммуникации, в том числе в сфере IT, более эффективными. По словам эксперта, формат общения так же важен, как и содержание, а иногда даже важнее, поэтому следует уделить большое значение стилю посланий, которые мы транслируем.
Согласно этой системе, существует шесть различных типов личности, каждый из которых имеет те или иные доминирующие черты. В процессе жизни мы развиваем их все, но какие-то остаются превалирующими. Коммуникация, как известно, ключ к успеху в любом деле, и IT – не исключение. Уникальность метода заключается в том, что, определив тип собеседника, будь то коллега, начальник или клиент, возможно расположить его к себе и донести свою мысль максимально эффективно. Например, IT-специалист принадлежит к так называемому типу «Логик» (Thinker), тогда как начальство или представители отдела продаж – к другим типажам, например, «Бунтарь» (Rebel) или «Мечтатель» (Imaginer). Учитывая уникальные потребности и стиль общения того или иного типа, можно быстрее прийти к согласию и работе в формате «+/+», когда обе стороны получат удовлетворение от процесса взаимодействия, что положительно скажется на развитии бизнеса и разрешении спорных ситуаций.
Затем настало время немного перезагрузиться. Гости, желающие принять участие в игре «DFIR-play: Инсайдерство» объединились в три команды, каждой из которых предстояло в течение 50 минут пройти по следу цифровых улик и раскрыть дело об утечке информации при помощи ПО от компании «МКО Системы». Не было никаких сомнений, что все три команды успешно вычислят злоумышленника, ведь за работу взялись самые увлеченные специалисты своего дела!
Затем настало время немного перезагрузиться. Гости, желающие принять участие в игре «DFIR-play: Инсайдерство» объединились в три команды, каждой из которых предстояло в течение 50 минут пройти по следу цифровых улик и раскрыть дело об утечке информации при помощи ПО от компании «МКО Системы». Не было никаких сомнений, что все три команды успешно вычислят злоумышленника, ведь за работу взялись самые увлеченные специалисты своего дела!
Далее Артем Мелехин из компании Positive Technologies представил доклад на тему «Hardening – неотъемлемая часть ИБ». Эксперт отметил, что, в результате исследований около 60 компаний, проведенных Positive Technologies, ни одна из них не оказалась «непробиваемой» и на 100 % неуязвимой для атак. Во внутреннем периметре дела обстоят еще хуже. Чаще всего подвергаются нападениям финансовые, промышленные организации и госучреждения. Ошеломляющим открытием стало то, что злоумышленникам часто требуется всего 1 или 2 шага, чтобы добраться до домена.
Артем обратил внимание на различные способы устранения уязвимостей, в том числе на необходимость укрепления парольной политики компании для снижения рисков. Ненадежные пароли чаще всего обнаруживаются в домене, веб-приложениях, СУБД, ОС и FTP. Но вместе с тем он рекомендовал избегать жестких ограничений, чтобы не провоцировать сотрудников на действия в обход запретов, как это часто бывает. «Не ограничивай, но контролируй», – резюмировал эксперт.
Завершила серию презентаций Елена Юлова из Forensic Alliance и Московской коллегии адвокатов «Юлова и партнеры» с докладом «Локальные нормативные акты как контур ИБ. Внутренняя проверка как мера предупреждения инцидентов в компании». По словам Елены, создание локальных нормативных актов является неотъемлемой частью информационной безопасности компании и каждому работодателю следует осознавать их необходимость. В первую очередь, подобные кодексы призваны отделить личные процессы от служебных в рабочее время. Если сотрудник информирован, то у него не будет возможности ссылаться на вмешательство в свою личную жизнь при проведении проверки на рабочем месте, что защитит работодателя в случае наступления каких-либо инцидентов в сфере ИБ.
В качестве еще одного ИБ-инструмента Елена рекомендовала обязательное проведение внутренних служебных проверок, которые будут способствовать предотвращению инцидентов, выявлению фактов правонарушений, помогут выяснить обстоятельства произошедшего и оценить ущерб.
В завершение вечера выступившие эксперты в компании Ольги Гутман снова поднялись на сцену, чтобы ответить на самые горячие вопросы гостей на сессии открытого микрофона. На этом официальная часть конференции CIRF, уже полюбившейся многим представителям ИБ-комьюнити, была завершена, но гости не спешили расходиться, продолжив общение в неформальной обстановке.