Мы уже рассказывали, что Acronis участвовал в международной конференции Black Hat 2021 как Diamond-спонсор. Но мы решили не ограничиться этим и отправили агентов послушать разные доклады. В результате VP Acronis по исследованиям в сфере киберзащиты Кандид Вуест и аналитик по киберзащите Тофер Тебоу отправились слушать доклады, чтобы поделиться с нами самыми важными выводами по итогам конференции. Собственно, о них мы и рассказываем под катом.
Киберзащита требует нового отношения
Посетив несколько сессия в первый день мероприятия Black Hat 2021 Кандид и Тофер рассказали, что они увидели много примеров “старого мышления”, которые нужно менять в соответствии с текущим ландшафтом ИТ-угроз.
Мероприятие начиналось с выступления Мэта Тэйта (Matt Tait), и про его выступление Кандид сказал следующее: “Презентация была действительно хороша, в ней были подчеркнуты проблемы, возникающие в связи с уязвимостями. Например, важен тот факт, что исследователи по-прежнему часто не публикуют результаты своего работы, потому что боятся юридических претензий со стороны компаний. Но это плохо для всех. Да, так называемые “bug bounties” (награда за обнаружение ошибок) важны, но общее отношение к безопасности должно измениться.”
Вывод напрашивается сам собой. Только при большей открытости в вопросах обсуждения своего опыта, обнаруженных инцидентах и стратегиях защиты можно добиться эффективного взаимодействия. Вместе специалисты по киберзащите смогут лучше противодействовать современным, быстро развивающимся угрозам.
Тофер также отметил потребность в смене отношения к киберзащите: “Направление киберзащиты в целом нуждается в серьезном ментальном сдвиге, если мы собираемся остаться адекватными реальности. Нам нужно вернуться к практике, когда специалисты по защите занимают позицию на шаг вперед по сравнению со злоумышленниками. Но сегодня уже не 1998 год, и время для старого подхода безвозвратно ушло. Это касается всех аспектов бизнеса — не только процедур и инструментов, которые мы используем, но и практик найма персонала и корпоративной культуры. Мы должны заново обдумать и переоценить все, что привыкли считать правдой на сегодняшний день.”
Ransomware продолжает доминировать
Наверное, неудивительно, что множество дискуссий о Ransomware были посвящены тому, как обнаруживать и как можно быстрее восстанавливаться от таких атак.
“После активизации атак Ransomware в этом году, многие компании попросту напуганы, — сказал Тофер. — И если раньше фраза “Вопрос не в том, атакуют вас, а в том, когда вас атакуют” казалась просто забавным каламбуром, сегодня ее произносят, можно сказать, с тяжестью на сердце. Но есть и хорошие новости: уже сегодня есть компании, которые серьезно оценивают потенциальную угрозу подобных атак и начинают искать способы улучшения своей защиты.”
В своем выступлении Тэйт подчеркнул масштабы некоторых из недавно совершенных атак. После обсуждения тематики использования методик класса supply-chain, он отметил, что правительственные агентства не смогут защититься от подобных атак, ведь вопросы безопасности остаются на стороне поставщиков платформ.
Кандид также высказал свое мнение после выступления Дерека Мэнки (Derek Manky) из Fortinet, который вел секцию Dark Reading News. “Лучшие практики говорят о том, что компании не должны платить выкуп вымогателям, — сказал Кандид. — Но столкнувшись с реальной угрозой, люди могут вести себя иначе. Именно поэтому очень важно работать над предотвращением атак, а значит — открыто обсуждать проблему угроз и их влияния”.
“7 граммов предотвращения…”
Вопросы предотвращения атак были еще одной актуальной темой на Black Hat, которую отметили оба участника от Acronis.
Кандид отметил, что доклад Next-Gen DFIR Mass Exploits and Supplier Compromise был действительно полезным. “Коллеги рассмотрели ряд недавних кейсов, таких как атаки на SolarWinds и Kaseya, а также уязвимости Microsoft Exchange. В докладе содержались полезные советы по работе с подобными атаками”.
В частности, специалисты посоветовали использовать техники threat hunting, чтобы четко представлять, что именно происходит в вашей сети. Также речь шла про обучение и подготовку к защите до того, как происходят реальные инциденты.
К сожалению, эксперты отметили, что большинство спонсорских выступлений были посвящены тому, что делать организациям после обнаружения взлома. А это только половина решения в сфере киберзащиты. А это настоящая головоломка для специалистов по ИБ.
После участия в этих сессиях, Кандид выразил следующую мысль: “С одной стороны, это значит, что спикеры ожидают, что взлом вероятнее всего произойдет и не будет обнаружен вовремя”. То есть компании предлагают решения для подобных ситуаций. “Но с другой стороны, это также означает, что все технологии, которые были разработаны за последние годы, не позволили добиться необходимого уровня защиты”, — добавил он.
Да, не существует таких решений, которые могут остановить 100% атак каждый момент времени. Поэтому важно разрабатывать технологии реагирования на инциденты. Но еще более важно в текущих условиях эффективно предотвращать становящиеся все более сложными атаки.
Лучшее за день
Учитывая, что не все желающие смогли посмотреть доклады с Black Hat 2021 — кто-то из-за нехватки времени, а кто-то потому что конференция была на английском — Тофер и Кандид поделились своими отзывами на лучшие сессии первого дня конференции.
Кандид особенно выделил сессию от Darktraces, которая называлась AI Red Team and Attack Path Modeling. “Эта сессия была интереснейшим введением в такую тему как защита AI, а также поднимала вопросы автоматизации тестов на внедрение. Чаще всего дискуссия переводится в плоскость Adversarial AI (попытки обмануть модели ML) и манипуляции искусственным интеллектом. Это сложная сфера, потому что пропатчить модель AI бывает не так просто, особенно если в ней была обнаружена серьезная уязвимость. Вероятно, в ближайшем будущем мы увидим все больше атак на AI/ML, а также кейсов использования существующих AI/ML злоумышленниками для своей выгоды”.
Еще одна сессия, которая понравилась нашему вице-президенту, это Smashing the ML Stack for Fun and Lawsuits. “Они рассмотрели существующие методы защиты для моделей ML, которые не дают атакующим проникнуть в систему. Конечно, такие блоки не гарантируют полную безопасность от атак — ведь хакеры по-прежнему могут использовать реверс-инжиниринг. Но зато подобная практика создает правовой базис для дальнейшего преследования тех, кто пытается украсть или скопировать ML-модель. Такой подход может также использован для защиты интеллектуальной собственности и коммерческих секретов. И сам вопрос “Как защитить те знания, которые вы интегрируете в свои ML-модели?” оказывается очень интересным”.
“Лично для меня в числе самых интересных докладов оказался The Ripple Effect: Building a Diverse Security Research Team, — поделился своими впечатлениями Тофер. — Орайан де Паз и Омер Яир (Oryan De Paz and Omer Yair) рассказали, как они перешли от полностью мужской команды к компании из 50% состоящей из женщин и поделились уроками, которые выучили на этом пути. Один из самых важных выводов в этом вопросе — это не стремиться к соотношению0 50/50 между мужчинами и женщинами, а создать реальную атмосферу инклюзивности. В вопросах формирования команды нужно идти глубже вопросов пола или расы, но фокусироваться на навыках, которыми должна располагать команда”.
Тофер пояснил, что спикеры рекомендовали нанимать персонал с длительной перспективой: искать подходящих сотрудников, которые могут многому научиться внутри команды и сделать ее сильнее.
“Не стоит думать, что кто-то не подойдет для работы в команде по кибербезопасности просто потому, что у него пока нет навыков в этой сфере. Если у человека есть умения, которые можно применить в этой сфере, возможно, стоит дать ему возможность проявить себя. И, конечно, важна атмосфера приема на работу. Стоит преодолеть предубеждения и дать каждому свободу учиться и расти как профессионал — и не важно, какой опыт есть у человека, и как долго он работает в компании”.
Онлайн — хорошо, но лично все-таки лучше
Что же, это была действительно полезная конференция. Надеемся, что наши спикеры дали вам интересные поводы размышлений, вы можете лично посмотреть понравившиеся Кандиду и Тоферу доклады, посетив сайт BlackHat 2021. Организаторы в скором времени обещают вложить записи выступлений, так что, как говорится, keep your eyes on it. )
Онлайн-формат, безусловно, внес свои плюсы, и желающие смогли посмотреть все интересующие их сессии. Но и Кандид, и Тофер отметили, что им не хватало личного контакта, и после этой конференции не было того ощущения обмена информацией и полезными идеями, которые обычно проходят в кулуарах. Так что будем вместе с нашими спикерами надеяться на возвращение традиционных форматов ведущих ИТ-конференций, но с возможностью онлайн-участия для всех желающих!
