Весенняя встреча ИБ-комьюнити «CIRF Spring 2023»
26 мая 2023 года подмосковный спа-отель Arthurs Spa Hotel by Mercure гостеприимно распахнул свои двери для участников ИБ-комьюнити «CIRF Spring 2023». Организатор мероприятия, компания «МКО Системы», решила вынести его за пределы шумного и душного мегаполиса на природу, подчеркнув этим его неформальный дух. Со стороны могло показаться, что компания друзей просто выехала в Подмосковье на пикник.

Программа мероприятия была разнообразной и насыщенной и включала в себя, помимо традиционной сессии презентаций, еще и различные активности в виде квестов и практических занятий. Каждый гость и участник мероприятия получал на стойке регистрации бейдж с указанием только имени — никаких должностей и фамилий. И это неудивительно, ведь большинство гостей и спикеров «CIRF Spring 2023» давно знакомы друг с другом и привыкли общаться «на ты и без галстука».

Генеральный директор «МКО Системы» Ольга Гутман лично встретила всех гостей и спикеров. Перед началом деловой программы комьюнити организаторы предоставили гостям достаточно времени для общения.
Деловую часть ИБ-комьюнити открыл модератор «CIRF Spring 2023», руководитель агентства BeholderIsHere Consulting, исследователь в области кибербезопасности Дмитрий Борощук. Именно он задал бескомпромиссный тон мероприятию, попросив гостей и спикеров не стесняться и выносить на обсуждение самые злободневные вопросы в области информационной безопасности. И это было вполне логично, ведь в зале собрались друзья, а какие могут быть между ними секреты?

С приветственным словом к участникам обратилась Ольга Гутман. Она так же подчеркнула, что ждет честной и острой дискуссии на актуальные темы в сфере ИБ.

Сессию докладов открыл основатель компании «Интернет-Розыск» Игорь Бедеров. Свою презентацию он посвятил интересной и актуальной теме — основам исследования криптовалют. В начале своего доклада он определил криптовалюты как новый вид цифровых финансовых активов (ЦФА), не требующих внешнего регулятора (Центробанка), обращение которых осуществляется путем ведения публичного реестра транзакций в сетях блокчейн. Также он выделил четыре ключевых особенности криптовалют:
  1. Криптовалютные транзакции публичны и контролируются только блокчейном.
  2. Группы транзакций смешиваются в блоки.
  3. Данные владельцев криптокошельков скрыты.
  4. Возможность генерации уникальных адресов для криптокошельков не ограничена.
Но несмотря на то, что данные владельцев криптовалютных кошельков скрыты и к одному кошельку можно привязать несколько различных адресов, все равно, используя определенный инструментарий, можно отследить отправителя и получателя криптовалюты благодаря специальным методам. К ним относятся:
  1. Прямое соотнесение.
  2. Эвристический анализ.
  3. Кластерный анализ.
  4. Графовый анализ.
Серьезную помощь в исследовании криптовалют способны оказать обычные поисковые системы. Благодаря им в режиме расширенного поиска можно обнаружить важные данные, например, почтовый адрес владельца криптокошелька, отзывы о нем и другую информацию. Помогают в исследовании и математические методы анализа, а также различные онлайн-обозреватели криптовалют.
Когда исследователь соберет достаточное количество данных перед началом расследования, необходимо их визуализировать. Это поможет избавиться от незначащей информации и сделает представление данных более удобным для восприятия.
После теоретической части Игорь поделился с гостями несколькими практическими кейсами своих исследований, а также рассказал о различных инструментах, которые помогут специалисту в его работе.
Интересным бонусом для гостей стал рассказ Игоря об используемых мошенниками методах анонимизации криптовалют и о технологии их преодоления. В частности он выделил следующие основные приемы анонимизации:
  1. Обмен криптовалюты (в т.ч. p2p).
  2. Использование т.н. «миксеров».
  3. Анонимные криптовалюты.

Затем он рассказал о том, как работает каждый из них, и поделился методами анализа информации в случае использования данных технологий.
В заключении своего рассказа Игорь ответил на множество вопросов, поступивших от гостей мероприятия.


Затем эстафету принял CEO SECURITM Николай Казанцев с презентацией «Не техникой единой. Как управлять ИБ: от стратегии до операционки». Свое выступление он начал с краткого рассказа о возможностях разработанного его компанией SGRC (Security Government Risk and Compliance) ПО SECURITM. Главная задача SECURITM — помочь службам ИБ средних и крупных компаний автоматизировать процессы управления безопасностью на базе единой платформы.
Для этого в SECURITM реализован следующий функционал: управление рисками безопасности, контроль соответствия требованиям нормативных актов, управление активами (ITAM), планирование, задачи и процессы, технические уязвимости (VM) и опросы. Чтобы обеспечить корректную работу программы, разработчики предусмотрели в ней карточки защитных мер.
В них заносятся все основные данные о мере, такие как: название меры с описанием и при необходимости инструкцией, ответственный за внедрение, используемые инструменты, периодичность, классификация, способ реализации, влияние на риски и статус.
Применяя SECURITM, специалисты ИБ могут быстро определить, требования каких регламентирующих документов уже выполнены на предприятии, какой уровень защиты они обеспечивают, и понять, насколько система ИБ соответствует текущим стандартам. Используя SECURITM, можно быстро оценить влияние различных принятых мер на состояние системы ИБ предприятия в целом, а также понять, что еще необходимо сделать для повышения уровня информационной безопасности компании.

Затем Николай подробно остановился на важном вопросе: когда именно следует начинать внедрять стандарты ИБ в компании? Он посоветовал начинать серьезно заниматься информационной безопасностью практически сразу при старте деятельности компании. Ведь соответствие требованиям стандартов в сфере ИБ — это не самоцель, а необходимость для бизнеса. Проще начать строить и постепенно расширять систему ИБ в процессе роста компании, чем экстренно внедрять ее в аварийном порядке, когда произойдет утечка данных или взлом корпоративных ресурсов.

Ведь в первом случае процесс внедрения идет постепенно и не требует слишком больших затрат. Все расходы можно спланировать заранее и выделить нужные средства. А когда систему ИБ начинают внедрять вследствие инцидентов в срочном порядке, затраты существенно возрастают и компания может понести существенные убытки. Вот и получается, что чем раньше специалисты начнут внедрять полноценную ИБ-систему, тем дешевле она обойдется!
Весьма подробно Николай остановился и на вопросе экономической эффективности инвестиций в систему ИБ. Здесь он в первую очередь обратил внимание на типичные проблемы, возникающие в процессе развития системы ИБ, такие как:
  1. Высокая зависимость от человеческого фактора.
  2. Непрозрачность инвестиций в безопасность.
  3. Нехватка и дороговизна кадров.
  4. Высокие операционные затраты на рутину.
Для того чтобы избежать излишних инвестиций в сферу ИБ, необходимо постоянно соотносить текущие риски в сфере ИБ для бизнеса компании, текущие требования регулятора и потребности бизнеса в защите от рисков.


Сравнивая и анализируя эти три переменных, следует выбирать оптимальные меры безопасности, которые необходимо внедрить в компании.

В заключение, в ходе сессии вопросов, Николай остановился на том, что в ПО SECURITM постоянно обновляется база требований законодательных актов, поэтому пользователи системы всегда будут в курсе самых актуальных требований к ИБ.

Гости задали Николаю вопрос о том, какие стандарты ИБ более эффективны — отечественные или зарубежные. Николай ответил, что эффективность обеих групп стандартов примерно одинакова, а вот, с точки зрения реализации, отечественные стандарты гораздо удобнее, ведь они написаны по принципу «бери и делай».


Тему информационной безопасности в компании продолжил генеральный директор ООО «Нейроинформ» Александр Дмитриев с презентацией «Как провести пентест и не сойти с ума?!». Он не стал останавливаться на теоретических аспектах пентеста, а сразу начал свой рассказ с трех практических кейсов.

Первый кейс был посвящен анализу защищенности веб-приложения. Казалось бы, что в этом необычного? Заказчик попросил исследовать веб-приложение на наличие уязвимости, но при этом хотел провести тестирование на рабочей системе! И никакие доводы и предупреждения о последствиях такого шага он не принимал, упорно настаивая на том, чтобы специалисты ООО «Нейроинформ» тестировали именно рабочее веб-приложение.
В результате после начала тестирования Александр начал получать звонки от взволнованного заказчика, сообщающего об огромном количестве запросов к их приложению и о странных лидах в них. После объяснения, что это и есть процесс тестирования приложения, заказчик попросил перестать «ломать» их приложение. Такой вот «неожиданный» результат…

Второй кейс назывался «Это был обычный пентест, и ничего не предвещало...». В ООО «Нейроинформ» обратился представитель компании с просьбой провести пентест корпоративной сети. Специалисты ООО «Нейроинформ» за несколько дней, используя уязвимости в одном из сетевых принтеров компании, получили права администратора домена и полное управление над ESXi. По результатам проверки был написан отчет. Казалось, что история закончилась, но не тут-то было!

Через некоторое время с Александром связались представители заказчика теста и обвинили его в хищении двух терабайт корпоративных данных и преднамеренном взломе сети компании! Александр потратил немало нервных клеток и сил на поиск истинного виновника.

После анализа скриншотов действий взломщиков удалось установить, что злоумышленники обнаружили уязвимость в принтере задолго до начала пентеста. И используя ее, скачали два терабайта корпоративных данных, а начало пентеста использовали в качестве операции прикрытия. Такой вот, весьма необычный и «грамотный», взлом.
Третий кейс был посвящен проведению пентеста крупной компании в сжатые сроки и за небольшие деньги. В этом кейсе в ООО «Нейроинформ» обратился субподрядчик с просьбой провести пентест крупной компании. Специалисты ООО «Нейроинформ» взялись за работу. Просканировав периметр, они обнаружили уязвимости в одном сервисе. Начали работать, но при этом о своей находке они сообщили руководству компании на еженедельном совещании. Специалисты ИБ компании-заказчика оперативно закрыли уязвимость, не дав завершить тест. Дальше события развивались по похожим сценариям: как только заказчик узнавал о найденных уязвимостях, он их оперативно закрывал, не давая специалистам завершить тест.

В результате пентест из нормального рабочего процесса превратился в постоянную борьбу со службой ИБ заказчика, которая не позволяла полноценно завершить тест.

После рассказа об этих кейсах Александр еще раз напомнил гостям о том, что, прежде чем заказывать пентест, следует ясно представлять, что это такое, а также понимать, какие цели и задачи необходимо решить с его помощью. Без ответов на эти вопросы заказывать его не стоит.

В заключение гости попросили Александра рассказать о самом запоминающемся пентесте. Он рассказал о проведении пентеста на складе одной крупной компании. Александр в оговоренное время подъехал к складу и, не выходя из автомобиля, сумел взять под контроль всю систему видеонаблюдения. Разговор с заказчиком начался с демонстрации на экране ноутбука изображения с видеокамер, установленных на складе. Естественно, сомнения заказчика в необходимости проведения пентеста мгновенно улетучились.

После окончания первой сессии презентаций гостям мероприятия было предложено принять участие в увлекательном квесте с призами от организатора — «Найди шпиона в компании». Для этого из числа спикеров были случайным образом выбраны три главнокомандующих поисковыми отрядами — генералы. Затем они также случайным образом укомплектовали свои поисковые команды, которым предстояло провести извлечение и исследование данных из устройств потенциальных шпионов, а также определить место, где спрятаны кейсы с призами.
В ходе выполнения квеста участники смогли проверить в работе ПО «Мобильный Криминалист» и оценить его возможности. Все три команды быстро справились с заданиями и, конечно, получили памятные призы от «МКО Системы».


После перерыва второй блок мероприятия открыл научный руководитель направления профайлинга компании SearchInform Алексей Филатов. Его презентация была посвящена теме «Психология инсайдера. Простые алгоритмы детекции лжи».

Напомним, что инсайдеры — это сотрудники с доступом к конфиденциальной информации организации, которую они используют в личных корыстных целях с ущербом для компании. На инсайдерство сотрудников побуждает пять основных причин: халатность, месть или обида, возможность получить выгоду, мошенничество и идейные соображения.
Согласно исследованиям, проведенным психологами, примерно 40 % инсайдеров, совершающих серьезные нарушения ИБ, никак себя не проявляют в сетевой среде до инцидента. Они ведут себя как обычные сотрудники и ничем не выделяются среди коллег.

Но при этом у более чем 80 % инсайдеров имеются значимые личностные и поведенческие особенности, при выявлении и оценке которых возможно рассчитать риск нарушения правил ИБ и ЭБ конкретным сотрудником.

Также Алексей отметил, что, к сожалению, большинство распространенных анкет и тестов не выявляет инсайдеров, поскольку многие сотрудники при их заполнении выдают социально желаемые ответы.

Типичный портрет инсайдера выглядит следующим образом:
  1. До 80 % инсайдеров до совершения утечки имели различные виды негативного корпоративного поведения.
  2. Более 90 % инсайдеров сталкивались с конфликтами и профессиональной демотивацией.
  3. 40-60 % инсайдеров в момент утечки исполняли свои профессиональные обязанности.
  4. 85 % инсайдеров заняты на технических позициях, из них до 40 % — руководители.
  5. 76 % инсайдеров — мужчины 30-40 лет.
  6. 65 % инсайдеров характеризовались своими коллегами как «токсичные» сотрудники.
  7. 57 % инсайдеров до утечки открыто выражали свое недовольство руководству.
  8. Более 65 % инсайдеров имеют мотив мести и около 25 % — деньги.
Если говорить о коммуникативном портрете инсайдера, то можно выделить следующие основные черты:
  1. Высокая избирательность в общении.
  2. Присутствие фаворитов и «козлов отпущения».
  3. Манипулятивный и токсичный стиль коммуникации.
  4. Замкнутость.
  5. Неадекватная реакция на стресс.
Для обнаружения потенциальных инсайдеров специалистам ИБ следует применять профайлинг.
Профайлинг в ИБ — это набор инструментов, позволяющий на основе анализа цифрового следа сотрудника составить его психологический портрет для расчета рисков в области ИБ, а также для определения, ограничения и уменьшения потенциальных групп риска без каких-либо наводок и оперативной информации.

Для этого можно использовать модуль профайлинга SearchInform ProfileCenter. Он позволяет решать следующие задачи:
  • Проводить оценку кадровых рисков и вероятности их проявления.
  • Определять типовое поведения сотрудника и использовать его в оценке и прогнозе рисков.

  • Составлять аналитические отчеты для руководства, служб HR и безопасности.
  • Использовать встроенный инструментарий для лучшего понимания персонала и его психологии, сильных и слабых сторон.
Данное решение может быть полезно не только службе ИБ, но и HR, поскольку позволяет выявлять потенциально неблагонадежных кандидатов еще на этапе приема на работу.

Также Алексей остановился еще на двух важных методах, помогающих выявлять потенциальных инсайдеров, а именно — на беседе с психологом и опросе на полиграфе. Оба этих метода также могут оказать существенную помощь специалистам ИБ при выявлении инсайдеров.

По окончании презентации гости задали Алексею вопрос о том, насколько точны и достоверны данные исследования сотрудников на полиграфе.

Отвечая на этот вопрос, Алексей подчеркнул, что при проведении исследования на полиграфе следует разделять две составляющих — техническую и аналитическую.

Техническая составляющая — это набор физиологических характеристик человека (пульс, давление, изменение ритма дыхания, кожно-гальванический рефлекс и др.), которые фиксирует аппаратура в процессе тестирования. На этом этапе ошибок быть не может: данные фиксируются объективно, и точность их регистрации зависит только от точности аппаратуры.

А вот на этапе анализа точность интерпретации зависит исключительно от опыта психолога-полиграфолога и того, как составлены вопросы для тестирования. Именно на этом этапе могут совершаться различные ошибки, вызванные, например недостаточным опытом специалиста. В заключение Алексей еще раз подчеркнул, что обычному человеку обмануть полиграф практически невозможно.
А в качестве приятного бонуса для гостей мероприятия Алексей предоставил специальный опросник, помогающий определить инсайдеров в компании.


Эстафету от Алексея принял независимый эксперт ИБ Юрий Тихоглаз с докладом на тему «eDiscovery и продвинутая аналитика «Быстрые инструменты» в расследованиях».

Что касается термина eDiscovery, под ним понимают этап сбора и депонирования доказательств в ходе крупных арбитражных процессов. Как правило, eDiscovery выполняется в рамках внутреннего или внешнего расследования в целях раскрытия информации суду, регулятору, а также для принятия внутренних управленческих решений. Электронная разновидность eDiscovery зародилась в 80-х годах прошлого века, когда стало массово увеличиваться количество цифровых доказательств.
Главные преимущества eDiscovery:
  1. Работа с большими объемами разнородных данных (образы устройств и содержащаяся в них неструктурированная информация).
  2. Отсутствуют четко сформулированные вопросы (очень часто неизвестно, что искать. Пример вопроса: «Выяснить обстоятельства сделки с компанией X»).
  3. Результаты работы включают в себя выгрузку информации в заранее установленном формате. Заключение эксперта или специалиста — опционально.
Отдельно Юрий заметил, что технологии постоянно развиваются и на смену eDiscovery постепенно приходит новый инструментарий TAR — Technology Assisted Review.
Сейчас существуют три версии TAR:
1. TAR 1.0 — One Time Training.
2. TAR 2.0 — Continuous Active Learning (CAL).
3. TAR 3.0 — Advanced Analytics & Concept Search.


И уже на подходе — TAR 4.0, которая будет сочетать в себе новые, расширенные возможности поиска и обучения на базе искусственного интеллекта. После этого Юрий познакомил гостей комьюнити с практическими примерами применения продвинутой аналитики, в частности был продемонстрирован поиск по «концептам» и NER — извлечение именованных сущностей.

Со своей презентацией «Интернет-разведка в условиях СВО» гостей ИБ-комьюнити познакомил генеральный директор компании «СЕУСЛАБ» Евгений Рабчевский. Он отметил, что в последний год у сотрудников HR и служб безопасности компаний серьезно расширился круг обязанностей. В частности служба безопасности перестала быть «сборщиком справок». Сейчас на первое место вышла проверка будущих сотрудников на возможные связи с различными запрещенными формированиями, а также выявление потенциальных инсайдеров. И в этом процессе большую роль играет технология, помогающая анализировать активность потенциального кандидата в социальных сетях.

Применение поисковой системы «СЕУС» позволяет сотрудникам HR и СБ решать эти задачи максимально быстро и эффективно. Евгений особо обратил внимание на наличие в системе уже готовых поисковых шаблонов, облегчающих поиск нужной информации в социальных сетях. Также он сообщил, что для поиска и анализа изображений в поисковой системе используется нейронная сеть собственной разработки, которую обучают и совершенствуют сотрудники компании.

С помощью поисковой системы сотрудники СБ смогут быстро составить цифровое досье. Для этого можно использовать следующие возможности:
  1. Поиск контента, в том числе удаленного.
  2. Биометрический поиск по лицам, историчность аватаров и фотопотока.
  3. Версионность данных профилей пользователей.
  4. Просмотр материалов, размещенных конкретным пользователем.
  5. Анализ связей на графах.
  6. Сопоставление различных аккаунтов.
  7. Дообогащение данными из разных источников.
Также Евгений в ходе презентации продемонстрировал несколько практических кейсов, которые проиллюстрировали возможности системы, и ответил на вопросы гостей.

После окончания второй сессии докладов модератор комьюнити Дмитрий Борощук предложил гостям и спикерам принять участие в увлекательной игре. Не секрет, что лучший способ получить доступ к коммерчески ценным данным — незаметно проникнуть в серверное помещение и скачать их напрямую с серверов. Но серверная комната всегда заперта, и чтобы попасть туда, хакеру придется проявить навыки «медвежатника» и вскрыть замки.
Именно этим гости и спикеры могли заняться в перерыве между докладами. Желающие могли попробовать свои силы во вскрытии разнообразных замков. А чтобы подогреть интерес к конкурсу, организаторы объявили о том, что два участника викторины, первыми открывшие замки, получат памятные призы. Конкурс вызвал огромный интерес среди гостей и докладчиков комьюнити.

Третий блок ИБ-комьюнити «CIRF Spring 2023» открыл специалист в области извлечения и анализа данных из персональных компьютеров, автоматизированных рабочих мест, серверов и других устройств компании «МКО Системы» Даниэль Клюев. Его презентация называлась «ИБ-расследование: диверсант на удаленке». Во вступлении Даниэль отметил, что в настоящее время все больше компаний в своей ежедневной деятельности пользуются услугами сотрудников, работающих в удаленном режиме, а также многие сотрудники все чаще используют для работы собственные ноутбуки и другие устройства. Эта тенденция будет только нарастать по мере развития ИТ, и, как результат, сотрудникам ИБ предстоит защищать корпоративную сеть от возможных атак со стороны сотрудников, работающих дистанционно.

И если с контролем за деятельностью сотрудника, использующим для удаленной работы оборудование компании, проблем нет, то при использовании работником собственных устройств задача усложняется. И в этом специалистам службы ИБ может помочь ПО класса DFIR, например, «МК Enterprise», которое позволяет осуществлять:
  1. Дистанционное исследование рабочих станций под управлением Windows, macOS, GNU/Linux.
  2. Исследование групп рабочих станций.
  3. Извлечение данных из устройств на базе Android и iOS.
  4. Получение доступа к информации, находящейся в облачных хранилищах.
  5. Анализ коммуникаций владельца устройства или учетной записи.
  6. Построение полной хронологии инцидента.
  7. Изучение полной файловой базы объекта исследования.
  8. Поиск данных внутри извлечения по заданным параметрам.
А используя Центр Управления Агентами «МК Enterprise», возможно проводить дистанционное извлечение и анализ данных из любого ПК или сервера в корпоративной сети предприятия или удаленного сотрудника. Используя специально настроенного агента, можно быстро извлечь и провести анализ файлов, программ, реестра, системных артефактов на наличие различного вредоносного кода и ПО, а также выявить следы их активности.

Отдельно Даниэль отметил существенное отличие систем DFIR от DLP. Дело в том, что для корректного сбора доказательств и предотвращения атак система DLP должна быть установлена на ПК или серверах до начала вторжения. Если ее использовать после атаки, то ничего найдено не будет. С «МК Enterprise» — ситуация иная: возможно запустить агента как после, так и во время атаки, и в обоих случаях все необходимые данные будут корректно собраны, зафиксированы и проанализированы.

После этого Даниэль поделился с гостями комьюнити практическим кейсом поиска диверсанта, работающего в удаленном режиме и уничтожившего важные отчеты ключевых сотрудников компании. Для его поиска использовался аналитический инструментарий, встроенный в ПО «МК Enterprise», а также Центр Управления Агентами для дистанционного извлечения данных. В результате злоумышленник был найден и привлечен к ответственности.

Представители компании Positive Technologies, продакт маркетинг-менеджер Никита Юдин и лидер практики продуктов направления защиты конечных точек Кирилл Черкинский, продолжили серию докладов с презентацией на тему «Чем порадовать свой SOC — как XDR-решения помогают остановить злоумышленников на примере реальной атаки».

Они начали свой рассказ с информации о том, что, согласно исследованиям, проведенным специалистами Positive Technologies в 2021 году, только 14 % компаний используют для защиты ИТ-инфраструктуры EDR-решения.

При этом почти 2/3 опрошенных команд ИБ заявили о нехватке квалифицированных кадров и отметили, что потребность в кадрах растет примерно в 2 раза быстрее, чем число специалистов, выходящих на рынок труда. Все это в целом стало причиной того, что, по данным Cost of a Data Breach Report 2021 (Ponemon Institute), время, которое проводят хакеры внутри инфраструктуры компаний до момента их обнаружения, выросло до 287 дней!

Именно поэтому структуры ИБ компаний нуждаются в решениях, содержащих в себе экспертизу и возможности автоматизации. Наиболее логичным решением для защиты ИТ-инфраструктуры в условиях дефицита кадров является использование XDR-системы. Она позволяет:
  1. Объединять различные средства защиты в единую экосистему.
  2. Осуществлять обнаружение угроз на качественно новом уровне.
  3. Автоматизировать процессы SOC.
  4. Проводить гибкую настройку сценариев реагирования на различные угрозы.
XDR-система от Positive Technologies включает в себя серверную и агентскую часть. При этом собственно серверная часть состоит из управляющего сервера и сервера агентов.

Управляющий сервер — главный компонент системы, который позволяет специалисту осуществлять все настройки функций через веб-интерфейс. А сервер агентов — это приложение для управления агентами и модулями, а также для осуществления их взаимодействия с внешними системами (MaxPatrol SIEM, MaxPatrol VM, PT Sandbox, сервер syslog).
Агент представляет собой приложение, устанавливаемое на конечное устройство для обеспечения работы программных модулей и связи с сервером агентов. Агентов можно установить на ОС Windows, Linux и macOS.

В состав системы XDR также входят различные модули, предназначенные для выполнения целевых задач продукта: модуль доставки и установки, модуль сбора, модуль обнаружения, модуль реагирования и модуль интеграции.

Для легкого и быстрого запуска в XDR-систему встроен набор стандартных политик безопасности. При необходимости он может быть легко отредактирован и дополнен специалистами ИБ.


В заключение представители Positive Technologies отметили, что, помимо системы XDR, они предлагают рынку еще и инновационное технологическое решение в виде EDR-системы с открытым исходным кодом. Это решение уже доступно для тестирования и представляет собой очень гибкий инструмент, который каждая служба ИБ может настроить под конкретные потребности.

Для иллюстрации работы XDR-системы Никита и Кирилл рассказали гостям мероприятия о том, как специалисты Positive Technologies с ее помощью обнаружили атаку Lazarus Group под условным названием «Работодатель года».
После демонстрации практического кейса специалисты Positive Technologies ответили на вопросы, большинство из которых касалось возможностей фирменной EDR-системы с открытым исходным кодом.


Завершила рабочую часть ИБ-комьюнити «CIRF Spring 2023» основательница Forensic Alliance, председатель Московской коллегии адвокатов «Юлова и партнеры» Елена Юлова. Она рассказала о порядке проведения внутренней проверки (расследования) инцидентов.

Елена напомнила гостям мероприятия, что в юриспруденции очень важна точность формулировок, и поэтому, с точки зрения законодательных актов, в коммерческих компаниях некорректно использовать термины «служебная проверка» и «служебное расследование». Наиболее правильным, с точки зрения закона, для применения в коммерческих организациях следует считать термин «внутреннее расследование».
Под ним понимают внутреннее мероприятие компании (чаще всего проводимое специальной комиссией), которое заключается в сборе, проверке, анализе информации и оформлении доказательств.
Далее Елена подробно рассказала о целях и задачах, которые решаются в ходе внутреннего расследования, а также о том, какими нормативными документами следует руководствоваться при его инициации и проведении.

Особое внимание она уделила процессу сбора доказательств, напомнив гостям ИБ-комьюнити, что, согласно российскому законодательству, суд признает только письменные и вещественные доказательства, предусмотренные ст. 55 ГПК РФ, ст. 74 УПК РФ, ст. 64 АПК РФ и ст. 26.2 КоАП РФ. Помимо этого, собранные доказательства должны удовлетворять трем условиям: быть допустимыми, относимыми и достоверными.
Отдельно Елена остановилась на юридическом оформлении процесса сбора доказательств. Все письменные доказательства обязательно должны сопровождаться, например, актом, в котором фиксируются все действия по их сбору. Также в нем должны быть ссылки на приказ о проведении внутреннего расследования и/или оказание юридической помощи адвокатом.

Можно оформить письменные доказательства у нотариуса, сделав, например, скриншот экрана и заверив его.

Вещественные доказательства предоставляются на физических носителях, например, флеш-картах, внешних жестких дисках и др. Все они должны быть упакованы надлежащим образом и опечатаны для исключения несанкционированного вскрытия.
Отдельной большой темой в выступлении Елены стало освещение роли адвокатов, аудиторов и других специалистов, которые могут быть привлечены к проведению внутреннего расследования.

Также в ходе презентации гости мероприятия познакомились с практическим кейсом Елены и задали ей свои вопросы.


По традиции, спикеры мероприятия были награждены подарками от организатора комьюнити. Не остались без внимания и гости, задавшие самые острые вопросы, — все они получили памятные подарки от организатора и партнеров ИБ-комьюнити.

На этом официальная часть ИБ-комьюнити «CIRF Spring 2023» была завершена, но гости не спешили разъезжаться, несмотря на позднее время. Большинство из них охотно продолжили общение со спикерами и коллегами, задавая им актуальные вопросы уже в неформальной обстановке.

Подводя итоги «CIRF Spring 2023», можно отметить, что организатору комьюнити, компании «МКО Системы», удалось не только удержать дружескую атмосферу, созданную на первой встрече, но и вывести ее на еще более непринужденный уровень. Можно без преувеличения сказать, что на «CIRF Spring 2023» она стала еще более теплой, усилился драйв и позитивный настрой всех присутствующих. Это было хорошо видно по тому, как общались между собой гости и спикеры в перерывах между сессиями докладов и по окончании мероприятия.

А мы не прощаемся с вами! До встречи на осеннем «CIRF 2023»!