Grifon

Что удивило и вдохновило посетителей киберфестиваля Positive Hack Days — 2

26.05 в Москве завершился 2-й Международный киберфестиваль Positive Hack Days (PHDays). В прошлом году формат превратился из ‘форума для себя’ в открытый цифровой фестиваль. В этом году проект был прокачан еще более основательно и перенесен на территорию Олимпийского комплекса ‘Лужники’.

Место проведения

Деловая и неформальная программы с трудом уместились в 4 насыщенных дня. Несмотря на то, что мероприятия проходили параллельно в режиме нон-стоп более чем на 10 площадках.

Кстати, в названии positive hack days есть скрытая игра слов: это не просто ‘дни позитивного хакера’. ‘Это большой праздник, организованный it-компанией Positive Technologies и ее глобальным партнером Innostage для киберзащитников и ‘белых’ хакеров, которые обнаружили уязвимости, чтобы быстро их устранить..

Таким образом, фестиваль является местом встречи профессионалов в области кибербезопасности, представляющих как атакующий, так и оборонительный полюса. А центральным местом сбора экспертов в области многополярности является традиционное, уже 13-е по счету кибербатло standoff. Это одно из крупнейших соревнований в мире, где команда спортивных хакеров пытается взломать IT-системы в виртуальном состоянии, а киберзащитники обнаруживают и расследуют их действия.1

Кстати, в этот раз было 2 целевых государства, что позволило нам увеличить количество команд-участниц и значительно повысить сложность противников. В обеих странах развиваются нефтегазовая, металлургическая, транспортная, финансовая и другие отрасли, и происходят атаки, которые могут привести к непоправимым последствиям. Например, атакуя виртуальную атомную электростанцию, хакеры могут отключить турбины реактора и оставить предприятия и население без электричества. А чтобы многим зрителям было интереснее наблюдать за процессом, в Интернете проводится эффективная атака с использованием мини-копий зданий, железных дорог и других объектов инфраструктуры.

Одновременно с ‘правилом противостояния’ состоялась вторая всероссийская студенческая кибербатла — ее привезла в Москву IT-компания Innostage. Можно сказать, что standoff — это Суперлига, а студенческая кибербатла — это ‘премьера’, в которой зажглась новая звезда. В соревнованиях также участвуют команды нападающих и защитников. Но есть обязательное условие — все участники должны быть действующими студентами российских вузов. Подобный формат будет впервые представлен на Kazan Digital Week в 2022-2029 годах и может стать традиционным мероприятием форума.

Сломанные, они зарабатывают миллионы

В этом году финал standoff 13 проходил в цифровом аналоге ИТ-инфраструктуры российского лидера в области кибербезопасности. И согласно этому условию, сильнейшая команда хакеров должна будет в течение 6-8 часов провести определенные серьезные инциденты, которые на самом деле могут ‘убить’ бизнес.

За выполнение условий победитель мог получить от 500 до 750 тысяч рублей. В частности, Innostage установила цифровой двойник своей инфраструктуры в рамках розыгрыша. А за вознаграждение в размере 500 тысяч рублей атакующей команде было предложено реализовать 2 неприемлемых события.Зашифровать хранилище файлов в проектных документах или получить доступ к CRM-системам и украсть информацию о клиентах и контрактах.

Но киберзащита не поддалась, и на этот раз хакерам не удалось сорвать джекпот. Казалось бы, мы должны радоваться, но организаторы объявили об этом вслух с ноткой грусти и пообещали увеличить вознаграждение в следующий раз. Такова логика цифрового мира — компании готовы платить миллионы тем, кто их взломает и покажет, как именно они это сделали. Кроме того, диалог должен проходить на специальной платформе bug bounty, в соответствии с установленными правилами, обеспечивающими цифровую безопасность при завершении транзакции.

‘Баг баунти’ — это слово, которое все чаще слышат люди, далекие от мира IT. Государственные службы, в том числе крупные компании и госуслуги, регулярно объявляют о запуске программ с таким названием. Фактически это означает начало конкурса для независимых исследователей кибербезопасности, так что отдельные ИТ-продукты или целые системы ‘разрываются на части’. Задача участников — искать ‘баги’ — то есть ошибки и уязвимости, сначала представить отчет о своих находках, а затем получить награда. Можно сказать, что в компании работает неограниченное количество аудиторов по кибербезопасности и платят только тем, кто находит ошибки и исправляет их в отчете. Экономически это очень выгодно.

Но, по мнению экспертов, уже разработан более эффективный формат, чем классический bug bounty. Так, во время PHDays IT-компания Innostage объявила о запуске открытого киберпробега. В начале программы хакеры готовы заплатить от 500 тысяч, если смогут перевести со счета компании до 2000 рублей. И если команде final standoff было дано всего несколько часов на такую атаку, то в случае открытого кибернетического теста независимому исследователю кибербезопасности были даны месяцы на планирование и осуществление взлома.

Мероприятия на любой вкус

Гости Positive Hack Days смогли найти себе хобби на любой вкус. Для широкой аудитории был создан специальный кибергород с железнодорожным вокзалом, мэрией, цифровым лесом, штаб-квартирой хакеров и другими объектами, которые можно исследовать самостоятельно или в режиме квеста. Переходя из одного места в другое, я мог слышать лекции на самые разные темы, от разработки продуктов и исследований атак до эмоционального выгорания и биохакинга. Мне было интересно — я увидел пустой стул-грушу, и теперь, сам того не замечая, гость начинает свое погружение в мир кибербезопасности.

Многие мероприятия были разработаны для студентов, специализирующихся в области информационных технологий. Они были приглашены на образовательные программы и стажировки, участвовали в интерактивных мероприятиях и т.д.

Innostage готовит широкий спектр программ в качестве глобального партнера и соорганизатора. 1. Одним из ключевых объектов компании был Кибердром — просторный шатер, в котором параллельно проходили мероприятия для посетителей с разным уровнем погружения в кибербезопасность.

Уличная зона бренда привлекала внимание посетителей спортивными автомобилями команды AG team, которая является представителем российской команды по автоспорту. Innostage уже много лет является их спонсором.

Помимо основной площадки, в шатре был оборудован собственный зрительный зал, где спикеры делились своим опытом в области IT-продуктов, обучения специалистов по информационной безопасности и многого другого. Внутри Cyberdrome находится компактная гоночная трасса по киберустойчивости. Участники познакомились с методологией CyberYool, разработанной экспертами Innostage, за рулем мини-автомобиля.

Гостям рассказали о результатах тестирования PT NGFW, представили собственные разработки, сервисы и решения компании, а также пригласили стать участниками интерактивного приключения Deep Purple Space.

Национальные интересы

Были предусмотрены отдельные направления для деловых программ, ориентированных на бизнес и государственные структуры. Среди участников были делегации министерств по связям с регионами из Татарстана, Мурманской, Сахалинской и Оренбургской областей.

В частности, Денис Толпейкин, министр цифрового развития и связи Оренбургской области, поделился своими наблюдениями о том, как цифровые угрозы меняют приоритеты высшего руководства. А заместитель губернатора — министр цифрового развития Мурманской области Елена Семенова в кулуарах фестиваля подписала соглашение с Innostage о создании студенческого SOC в Арктике. Напомним, что пилотный этап проекта был реализован и успешно развивается в Татарстане.

Субботнее утро в ‘Лужниках’ также провел федеральный министр цифрового развития Максут Шадаев. В ходе пленарной дискуссии, посвященной безопасному кибернетическому будущему, Максут Игоревич спрогнозировал, что лидерами цифровизации в ближайшие несколько лет станут здравоохранение, транспортная инфраструктура и государственное управление.

Хакеры, скорее всего, будут внимательно следить за лидерами отрасли. Но мне хотелось бы верить, что любая атака будет эффективно отражена благодаря такому мероприятию, как positive Hack Days.

Надеемся, что вам понравилась данная статья, делитесь своим мнением в комментариях!

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *