21 апреля в клубе GIPSY ИД «Коммерсантъ» совместно с QIWI провели мероприятие «Хакер, вендор, клиент: безопасность без купюр». По мере роста интереса к информационной безопасности формировать направление в ней стали не реальные угрозы, а маркетинговые акции, направленные на создание необходимых «страшилок» для увеличения продаж своих продуктов. Вирусы, IoT, DDOS — все эти термины стали популярны, и их значение знает любой человек. Но насколько это действительно опасно? Организаторы постарались собрать наиболее честных представителей «мира ИБ», чтобы обсудить эти вопросы без купюр.
На мероприятии присутствовали руководители ИТ- и ИБ-компаний, разработчики финтехсервисов, представители департаментов инфраструктурных решений, представители white hat, а также предприниматели, государственные служащие, юристы, инвесторы и представители федеральных и отраслевых СМИ.
Начал мероприятие Дмитрий «Cr4sh» Олексюк, independent security researcher: low level, reverse engineering, software analysis, который рассказал про стандарт PCI Express и все, что с этим связано. Спикер отметил возможные угрозы безопасности для PCI-устройств, представил подробный обзор слотов PCI Express, объяснил, в чем разница между старым PCI и PCE-E, представил DIY-платформу для анализа PCI-E, помимо все прочего, он рассказал, как противодействовать DMA-атакам, и ответил на вопросы из зала.
Во второй сессии попытались разобраться, в чем разница между «цветами» хакеров, Black, White, Gray Hat (если она вообще есть) и кому выгодно противостояние в ИБ? Спикерами выступили Андрей «petand» Петухов, руководитель SolidLab, Антон «Bo0oM» Лопаницын, специалист по информационной безопасности веб-приложений компании ОНСЕК, Глеб Чербов, заместитель директора департамента аудита защищенности Digital Security, Лев «Shadowsoul», специалист по информационной безопасности оборудования, Алиса, консультант по безопасности.
В ходе дискуссии эксперты обсудили вопросы хакерской этики, «цветовое разнообразие шляп», попытались разобраться, кто же такие хакеры. «Просто злоумышленники» или все же хакер — это человек-исследователь, который стремится познать самую суть вещей, который никогда не бросает решение интересной задачи на полпути (как коммерческий менеджер) и который просто не может жить без осознания того, как устроен окружающий мир, и использует полученную информацию в тех или иных целях. Поговорили про природу противостояния хакеров и корпораций, хакер vs. хакер, поразмышляли, кто в итоге от этого выигрывает, должен ли white-хакер передавать данные об уязвимости вендору, так ли необходимо массовое распространение данных об уязвимости и насколько этично выкладывание эксплойтов.
В роли плохого и хорошего полицейских, то есть в роли модераторов, выступили Олег «090h» Купреев, специалист по информационной безопасности, и Артем Шишкин, Positive Technologies.
Далее про интернет вещей всем собравшимся рассказал Артем Гавриченков, технический директор Qrator Labs, который наглядно объяснил причины возникновения IoT, причем начав издалека, ни много ни мало с глобального потепления климата, прошелся по огромному рынку китайского ширпотреба: от видеокамер до холодильников. Артем попытался объяснить, какова роль маркетинга во всей этой истории и каким должно быть (или его не должно быть) решение по безопасности для рядового обывателя, есть ли разумные границы у compliance и как появляются реальные решения. «Интернет вещей — это реальная угроза или нет, я не знаю, а синоптики обещают, что лето будет жарким (ни это, так следующее)»,— закончил свое выступление Артем. Во всяком случае, интернет вещей и новые угрозы сейчас намного интереснее, чем строить нормальную систему безопасности.
Весьма провокационной получилась заключительная сессия про «лженауку». Спикеры обсудили тренды в ИБ со стороны вендоров и клиентов. Основной тезис заключался в том, что большое количество современных продуктов в индустрии информационной безопасности созданы не для того, чтобы решить какую-то реальную проблему, а для того, чтобы разрешить маркетинг, который был начат немного раньше. Речь шла про науку практических решений по ИБ без маркетинга, без купюр. Эксперты обсудили, какие реальные риски существуют, как правильно просчитать вероятность и оценить ущерб от реальной угрозы, был ли реальный опыт атак, ущерб от которых в несколько раз превышал бы бюджет на ИБ компании? Об этом говорили спикеры сессии, среди которых Кирилл Ермаков, технический директор QIWI, Дмитрий Гадарь, директор департамента информационной безопасности ПАО БФКО, Олеся Шелестова, генеральный директор RUSIEM, Денис Батранков, специалист по информационной безопасности Palo Alto Networks, Вадим Подольный, независимый эксперт.
«Руководитель ИБ должен строить вокруг себя соцсеть доверенных людей из профсообщества, чтобы получать и делиться информацией об атаках с той же оперативностью, с какой хакеры обмениваются данными на закрытых форумах в Darknet»,— отметил Эльман Бейбутов из IBM в России и СНГ.
Модератором сессии выступил Омар «Beched» Ганиев, специалист по информационной безопасности Incsecurity.
Генеральным партнером мероприятия «Хакер, вендор, клиент: безопасность без купюр» выступил международный платежный сервис QIWI.
Видео доступно по ссылке.