20 мая 2025 года в Москве прошла пятая конференция CIRF — мероприятие, которое традиционно объединяет специалистов информационной безопасности и бизнеса. Здесь не рассуждали в теории, а делились только тем, что работает на практике. Конференция стала пространством для обмена опытом, где обсуждали конкретные угрозы, инструменты и рабочие подходы к построению эффективной ИТ-инфраструктуры.

Первым выступил Олег Безик («Лаборатория цифровых исследований»), который посвятил свою презентацию вопросам защиты интеллектуальных прав на программное обеспечение, а точнее, особенностям сравнения исходных кодов в рамках судебных споров. Олег объяснил, почему такие споры становятся все более актуальными: разработка программ — ключевой актив в ИТ-бизнесе, и случаи незаконного использования чужих решений нередко приводят к разбирательствам в арбитраже. Он представил решение этой проблемы — специализированное программное обеспечение, разработанное его командой. Система автоматизирует весь процесс: от загрузки исходных кодов и получения первичных статистических отчетов до построчного сравнения и формирования итогового заключения.

Тема защиты цифровых активов продолжилась в выступлении Владислава Азерского (F6), который сосредоточился на технических угрозах, напрямую влияющих на информационную безопасность. Его доклад был посвящен методам триажа инцидентов ИБ на рабочих станциях под управлением macOS. Он показал, что, вопреки распространенному мнению, экосистема Apple становится все более уязвимой: количество вредоносного ПО для macOS растет, а его функциональность усложняется. На примерах Banshee, FrigidStealer, XCSSET и других Владислав рассказал, как злоумышленники обходят защитные механизмы, внедряются в систему через фальшивые обновления, плагины и легитимные приложения. Особое внимание он уделил сбору артефактов с зараженных устройств, в том числе истории браузеров и кэшей, баз TCC и системных логов.

В продолжение разговора о сложных технических вызовах, Никита Вьюгин («МКО Системы») сосредоточился на расследовании инцидентов в системах, где используются виртуальные машины. Никита объяснил, какие особенности имеет работа с такими системами, с какими сложностями сталкиваются специалисты по безопасности и какие инструменты помогают находить следы нарушений. Также он рассмотрел реальные угрозы и разобрал, как можно выявлять такие случаи с помощью анализа памяти, виртуальных дисков и сетевой активности. В качестве примера он привел расследование утечки данных, в котором разработчик использовал виртуальную машину для передачи файлов через мессенджер. Все это помогло составить представление о том, как сегодня возможно выстроить расследование в условиях растущей виртуализации и как важно учитывать специфику работы с виртуальными средами.

О том, почему важно не только анализировать инциденты, но и правильно выстраивать систему безопасности с учетом бизнес-целей, говорил Александр Дмитриев («Нейроинформ»). Он рассказал, почему информационная безопасность должна начинаться не с технических вопросов, а с понимания бизнес-рисков. Александр наглядно показал, как киберинциденты могут парализовать работу компании, привести к потерям, испортить репутацию и сорвать сделки, независимо от масштаба бизнеса. Он использовал термин «правило фисташки»: масштаб компании абсолютно не важен, важна только легкость взлома. Александр подчеркнул, что системная ИБ — это управляемый процесс, который требует активного участия руководства, и предложил конкретные шаги: определение недопустимых событий, анализ ключевых активов, формирование бизнес-требований к ИТ-системам и выстраивание взаимодействия между бизнесом и ИТ. Он напомнил, что без вовлеченности топ-менеджмента никакая защита не будет эффективной.

Следующее выступление Анастасии Ивановой («Билайн») продолжило тему взаимодействия бизнеса и ИТ с акцентом не на инфраструктуре, а на самих сотрудниках. Анастасия рассказала о том, как сегодня выстраиваются коммуникации внутри компаний, чтобы формировать культуру осознанного отношения к киберрискам. Презентация затронула темы построения ИБ-аварнесса и подходы к вовлечению сотрудников: как изучать восприятие ИБ внутри компании, какие инструменты использовать, как работать с сопротивлением, стереотипами и уровнем зрелости процессов. Анастасия также поделилась практическими методами из behavioral science, маркетинга и PR, которые помогают сделать темы ИБ ближе и понятнее для сотрудников. В завершение она показала, как можно сдвигать культуру в сторону осознанной безопасности — через диалог, юмор, личные примеры и четкую связь между действиями и последствиями.

Если выступление Анастасии было посвящено внутренней культуре безопасности, то Максим Суханов (CICADA8) вернулся к теме внешних угроз с рассказом о новых техниках DDoS-атак, с которыми сталкивались российские организации в 2025 году. Он объяснил, как злоумышленники комбинируют отражение трафика (reflection) и усиление (amplification), чтобы обойти геофильтры и заблокировать доступ к ресурсам. Среди трендов последних лет — тактика Carpet Bombing, при которой атака распределяется сразу на десятки IP-адресов, включая сетевую инфраструктуру операторов связи. Максим поделился своей экспертизой о том, почему классические фильтры уже не справляются, а также рекомендациями по анализу трафика, фиксации инцидентов и проверке признаков спуфинга.

Созвучным теме обработки значительных объемов информации при киберинцидентах стало выступление Юрия Тихоглаза (Zero eDiscovery), который рассказал, как даже при ограниченных ресурсах можно эффективно обрабатывать большие объемы данных в рамках eDiscovery. Он представил кейс, в котором команда развернула eDiscovery-платформу прямо на ноутбуке клиента, не вынося данные за пределы периметра. Было обработано более 100 Гб переписки, с дедупликацией, фильтрацией и извлечением ключевых фрагментов. Юрий подчеркнул, что грамотная настройка системы и четкое понимание целей анализа позволяют обойтись без мощной инфраструктуры и при этом получить нужный результат.

Завершил сессию докладов Дмитрий Беляев (АБТ), который посвятил свое выступление интеграции информационной безопасности в бизнес-стратегии компании. Он подчеркнул, что ИБ — полноценный инструмент управления рисками, влияющий на устойчивость и развитие бизнеса. На примере кейса из банковского сектора Дмитрий показал, как грамотная стратегия безопасности помогает не только соответствовать отраслевым требованиям, но и опережать конкурентов за счет доверия со стороны клиентов и партнеров. Особое внимание он уделил тому, как вовлеченность топ-менеджмента, обучение сотрудников и четкая структура управления рисками позволяют сделать ИБ реальным конкурентным преимуществом. Дмитрий призвал компании перестать рассматривать ИБ как издержку и начать воспринимать ее как стратегический актив.

Идея о том, что информационная безопасность — не изолированное направление, а часть бизнес-процессов, стала сквозной темой конференции. Многие спикеры отметили: безопасность давно вышла за рамки ИТ-отдела. CIRF показала, как ИБ становится не просто поддержкой бизнеса, а его полноценным участником. «Цирфарианцам» удалось обсудить главное: как наладить совместную работу ИБ и бизнес-подразделений, чтобы безопасность стала частью ежедневной практики, а не существовала отдельно, в своей параллельной вселенной.