Вот и отгремел Positive Hack Days (PHDays), проводимый компанией Positive Technologies в 12 раз. В 2023 году форум по кибербезопасности, доступный только специалистам по информационной безопасности, превратился в городской киберфестиваль. Мероприятие было решено провести не в помещении, а на открытом воздухе. Причём в центральном парке города Москвы — Парке Горького. И как любой городской фестиваль, PHDays был открыт широкой публике. Для этого был построен кибергород с квестами, конкурсами, заданиями, помогающими посетителям проверить уровень своей кибергигиены и повысить свою киберграмотность. Для отраслевых специалистов все дни фестиваля работала «Зона безопасности», где выступали и делились опытом специалисты по информационной безопасности.
Информационная служба Хабра начала посещение фестиваля с нулевого дня. Он был посвящён экскурсиям по площадке и круглому столу по проблемам российского NGFW. Немного отойду от темы — я работал системным инженером и системным администратором, но с удивлением недавно узнал, что те фаерволы, которые использовались на IT‑периметре моих работодателей, и были этими так называемыми Next Generation Fire Wall (NGFW).
Вернёмся к круглому столу. На нём обсуждали��ь проблемы, связанные с существованием отечественных NGFW, и оказалось, что всё не так плохо. На дискуссии присутствовали представители компаний Positive Technologies, UserGate, «Код Безопасности», «Ростелеком‑Солар». И оказалось, что у всех в каком‑то виде есть своё NGFW‑решение.
Если делать выжимку из этого круглого стола, то опять всё упирается в чипы и литографию. И если с литографией всё не так плохо, то чипы — это краеугольный камень всей IT‑электроники, включая и фаерволы. В первую очередь нужны они, всё остальное наживное.
Первый день мероприятия удивил наличием огромной очереди на вход. В прошлые фестивали тоже было много народа, но в этот раз мне показалось, что его больше в два раза, чем в прошлом году. Как рассказали организаторы, в закрытой части форума было более 15 тысяч посетителей, в открытой — тоже исчисляется тысячами.
Программа мероприятия сулила ещё больше лекций, чем на предыдущих мероприятиях, поэтому недолго думая я решил идти на заинтересовавшие выступления. Тут я опять сильно удивился, потому что на доклад, куда я спешил, просто не смог попасть. Сидячие места были заняты все, а стоящих людей было три ряда. И да храни Омниссия прямой эфир и последующие выкладываемые его записи. Мне удалось послушать и посмотреть доклад. Это было выступление Дмитрия Махаева под названием «Киберразведка — это просто, и чем она отличается от „пробива“, OSINT и HUMINT». Весь доклад пересказывать не буду. Во‑первых, он выложен, во‑вторых, мне удалось поговорить с Дмитрием, поэтому про киберразведку и на нашем сайте есть отдельный материал. Из того, что стоит внимания — киберразведка появилась недавно, сейчас она активно развивается и представляет собой некий сплав между техническими признаками атаки и её проявлением в социальных сферах.
Параллельно с этой лекцией шла не менее интересная лекция Артёма Семенова из RTM Group под названием «20 нестандартных применений ChatGPT в кибербезе». На ней тоже было битком народа, поэтому прорваться к выступлению не удалось. И опять меня спасла трансляция. Меня заинтересовало выступление, и после лекции я взял интервью у Артёма, материал уже выложен. Из того, что хочется отметить — это конечно же, материал Артёма, выпущенный на Хабре, статья немного не по теме доклада, но ознакомиться стоит.
Далее я отправился ходить по стендам компаний. С увеличением площадки, количества посетителей увеличилось и количество активностей, за них можно было выиграть различный мерч. Опросить стенды в этот раз, как и на «Астарконф», мне не удалось, но не потому, что никто общаться не хотел, просто все стенды были до отказа заполнены людьми, и я не стал влезать в очередь и отвлекать работников стендов.
Вообще, ложка дёгтя была в этой цистерне мёда: я не знаю, возможно, Парк Горького, а возможно, сами организаторы не рассчитали, но была толкучка, очень много людей и не так много пространства. Во второй день людей было поменьше. Однако в первый прорваться к кибербашне на площадку Standoff было проблематично, а уж к модели города подойти было невозможно.
Это единственное, что немного портило настроение. В остальном размах лекций был огромный, как и работа онлайн‑студий. В это раз их было 2 плюс постоянное вещание с кибербитвы.
Что интересно — на кибербитве в Парке Горького по итогам Standoff 11 ни одна отрасль Государства F не устояла. На киберполигоне атакам подверглись банковская система страны, металлургический комбинат, железная дорога, аэропорт и морской порт, атомная электростанция, ТЭЦ и ГЭС, ветрогенераторы и солнечная станция, водозаборные и водоочистные сооружения, нефтеперерабатывающий завод, трубопроводы с насосными станциями и другие объекты.
Ну и так как я уже отметил два доклада, продолжу рассказывать о выступлениях. Опять, если не получилось побывать на фестивале, то есть целый плейлист лекций на сайте и на Youtube, кому что удобнее, можно выбрать, как и нужные лекции. На сайте мероприятия они разделены по тематическим разделам, очень удобно для специалистов, не надо искать в общем списке, а выбрать нужную тему и нужную лекцию.
Возвращаемся к лекциям. Следующее выступление, которое хотелось бы отметить, это доклад Константина Полишина из Positive Technologies «Социальная инженерия: тенденции red team, технические аспекты kill chain и проектный опыт». Довольно интересно было послушать непосредственно про работу red team social engineering. Также в выступлении рассказывается о работе специалистов по социальной инженерии в рамках ИБ‑компании. В докладе приведена статистика работы Red Team SE Константина за два года. Часть выступления мне было немного сложно воспринимать, так как у меня хромала теоретическая база, но специалистам, сидящим в зале, было интересно и познавательно слушать этот доклад.
Весь доклад стенографировать не буду. Приведу только некоторые тезисы. Константин привёл пример неэффективности работы Red Team SE через отправку нагрузки с вложениями в электронных письмах, в силу зрелости ИБ‑решений на периметре многих заказчиков это даст результат. Также мне понравился прогноз на 2025 год. Этот прогноз связан с переходом на отечественные решения сервисов электронной почты. При импортозамещении и переходе на российские решения отечественные компании может ждать масса фишинговых атак. Поэтому за 2 года создатели антиспам‑, антифишинг‑, антифрод‑решений должны научиться отражать все атаки, а не определённое количество.
В общем, рекомендую доклад к просмотру всем, кто работает в Red Team SE или собирается там работать.
В моём интервью с Артёмом Семёновым была затронута тема Promt Injection. Поэтому я решил послушать выступление, посвящённое этой атаке, под названием «Prompt Injection и все‑все‑все: вытаскиваем максимум из AI‑сервиса» Владислава Тушканова из компании Kaspersky.
Часть доклада была посвящена самим языковым моделям, их отличиям, как они работают и как строятся. Prompt Injection — это способ атаки на чат‑бот, когда через определённый запрос, через пользовательские данные происходит перехват модели. Помимо Prompt в докладе было представлено, что такое Promt Extraction — извлечение инструкций из чат‑бота с помощью Prompt Injection. Как можно через непрямой Prompt Injection перехватить управление чат‑ботом с помощью сторонних данных. В докладе был освещён малоизвестный способ атаки на чат‑бот особым образом сформированным запросом, который идентифицирует базовую модель (forbidden tokens). Последняя атака наоборот была широко освещена — это запрос, обходящий механизмы безопасности с помощью специально сконструированного запроса (затравки). Она называется jailbreak.
После этого Владислав представил примеры этих атак из реальной жизни.
Далее хотелось бы отметить лекцию «Вредонос по подписке: как работает Malware‑as‑a-Service в даркнете» Александра Забровского из компании Kaspersky. Оказывается, что в даркнете существует такое понятие — «ВПО как услуга». То есть какая‑то хакерская группировка предоставляет своим менее опытным или менее компетентным коллегам возможность использовать вредоносное ПО для своих нужд наподобие услуг PaaS, SaaS и IaaS. Однако группировки, предоставляющие Malware‑as‑a-Service (MaaS), не всегда могут предоставлять хостинг ВПО. Причём у MaaS, как у любого IT‑бизнеса, есть рабочая команда, возможен хостинг, есть административная панель (как у любой услуги *aaS), подписка (или надо платить процент от прибыли, если ВПО вымогательское), обновления (улучшения зловреда), билды ВПО и даже поддержка (иногда 24/7). Я понимаю, остальные ИБ‑специалисты в курсе, но для меня это было удивлением. В докладе была приведена статистика за 2022 год по MaaS. В целом довольно интересный доклад, рассказывающий про подноготную MaaS и этого теневого бизнеса, причем вплоть до определённых правил, за которые клиент сервиса может быть исключён из программы MaaS.
Ещё хотелось бы отметить буквально одной строкой две лекции эксперта ��о OSINT, цифровой разведке по кибербезопасности, Youtube‑блогера Андея Масаловича. На прошлом PHDays я отмечал его лекцию по OSINT, про киберразведку или цифровую разведку лекции я отметил в этом материале. Поэтому просто советую посмотреть два доклада Масаловича.
Ну и закончился фестиваль опять по-особому. В прошлый раз был рок-концерт, в этот раз был «Маякфест», концерт, посвящённый Владимиру Маяковскому, где ведущим была цифровая копия самого великого поэта, а исполнители пели песни на его стихи. Концерт был с оркестром.
Опять обзор мероприятия чуть задержался. Я вообще хотел его выпустить через неделю, но создание заняло больше времени. Однако прошу простить, потому что я взял два интервью и решил не делать ошибок, как с «Магниткой», и в первую очередь решил оформить их, а не обзор мероприятия.
Больше всего в фестивале запомнилось количество тематических лекций, потому что обмен интересным опытом очень важен в любой отрасли. Тем более опыт, подтверждённый данными, наработками и другими доказательствами проделанной работы. Надеюсь, этот обмен продолжится и дальше. К тому же, благодаря такому размаху фестиваля популяризация ИБ привлечёт внимание людей, не связанных с отраслью, и они поймут её важность и начнут лучше относиться хотя бы к парольной политике и скачиванию данных из Интернета.
После фестиваля я задумался, а где следующий PHDays будет проходить? Ведь Парк Горького уже был, может, будет какой-нибудь стадион? Ладно, придёт следующий год, увидим площадку. Я хотел сравнить PHDays с ComicsCon от мира ИБ, но он всё-таки более официальный, поэтому я бы сравнил PHDays с музыкальным фестивалем, потому что много разных сцен, много народу на хэдлайнеров и интересные выступления. ComicsCon больше напоминает другой фестиваль — OFFZONE. Однако сами мероприятия сравнить не получится, и хорошо. Всегда можно побывать везде и получить общую картину об ИБ-сообществе и всей отрасли.
