Os visitantes do espaço aberto do festival cibernético, a cidade cibernética, aprenderam a evitar os enganos de golpistas nas plataformas de marketplace, a usar o ChatGPT para os fins de segurança cibernética, como escolher uma VPN segura e tiveram contato com os outros assuntos de TI e segurança da informação. Durante a conferência do ciberfestival, os profissionais discutiram a transição das agências públicas e empresas privadas para o uso do conceito da segurança assertiva, focada em resultados; as estratégias para unir a comunidade; os métodos de desenvolvimento seguros e o crescimento do mercado de recompensas por erros. A competição cibernética Standoff terminou após quatro dias de esforço intenso no país fictício F (com sistemas reais de controle e defesa). O grupo de ataque consegui desencadear os eventos não toleráveis 204 vezes, enquanto o grupo de defesa investigou 43 ataques. Se os profissionais de cibersegurança que participaram da competição enfrentarem atividades maliciosas semelhantes em suas próprias empresas, eles agora estarão preparados para responder aos ataques de forma eficaz.

Proteção garantida como resultado final: quem é responsável?

Durante o segundo dia da conferência, o assunto de cibersegurança focada em resultados tinha o destaque e realce maiores.

Vladimir Bengin, Diretor de Segurança Cibernética ficou maravilhado com a sala lotada no sábado de manhã. Ele lembrou a todos que os profissionais em cibersegurança precisam assumir a responsabilidade direta por seus resultados.

“Nós estávamos esperando que o mundo dos negócios nos ouvisse, e agora ele nos ouviu. As empresas não se importam com as medidas de segurança implementadas; elas preocupam-se com os resultados e entendem quem é responsável por esses resultados. Infelizmente, os profissionais em segurança muitas vezes não conseguem explicar quais serão esses resultados. Implantar algum sistema de segurança conhecido não é um resultado. Um verdadeiro resultado aparece quando um especialista em segurança informa à administração sobre as vulnerabilidades específicas da empresa que estão sendo eliminadas de fato, digamos, dentro de 127 dias, e isso é muito arriscado. Elas devem ser eliminadas em 12 horas em segmentos essenciais. E isso exigirá muitos milhões de rublos”, admitiu Vladimir Bengin.

Aidar Guzairov, CEO da Innostage (coorganizadores do Positive Hack Days 12), disse que as mudanças ocorridas no último ano em termos de estabelecimento de metas, conscientização e tudo mais que está acontecendo no espaço de cibersegurança são comparáveis a um período de cinco anos em tempos mais calmos.

“Há dois anos no PHDays, falamos sobre como é seria ótimo se executivos começassem a pensar seriamente sobre a segurança da informação. Bem, cuidado com o que deseja: agora muitos gerentes ganharam experiência em primeira mão sobre a importância de segurança da informação. Por outro lado, a questão de quem é o responsável pelos resultados é agora entendida de forma diferente na indústria de cibersegurança. Se fosse há dois anos eu poderia simplesmente ligar para nossa empresa “integradora”, agora nós somos muito mais do que isso: somos responsáveis pelos resultados, por garantir que os hackers não ameacem os negócios de nossos clientes. Para nós, nossos riscos são, principalmente, de reputação. Estamos começando a pensar em como alcançar resultados na área de cibersegurança de uma maneira diferente e mais eficaz”, enfatizou Aidar Guzairov.

Sergey Sherstobitov, CEO da Angara Security, concordou que o setor de cibersegurança na Rússia passou por cinco anos de mudanças dentro de um único ano. Ele observou que os desenvolvedores de software nacionais são os que mais se beneficiam da atual janela de oportunidade.

“Estão surgindo muitos produtos interessantes. Os clientes estão migrando para o uso de serviços. Se anteriormente discutimos apenas como os serviços de segurança da informação podem entregar resultados excelentes em um prazo razoável, agora os serviços estão tornando-se demanda em quase todas as áreas. A única exceção são os serviços de seguro, que por algum motivo não estão alinhados à tendência”, disse Sergey Sherstobitov.

“A maior mudança no último ano é a nova atitude de donos de empresas em relação às questões de segurança da informação”, disse Pavel Kulikov, CTO da CDEK. “Muitas empresas foram hackeadas, por consequência temos uma mudança do paradigma que passou de ‘a cibersegurança é sobre melhoria contínua e treinamento’ para o foco em resultados concretos. Ter empresas no mercado da Rússia que conseguem entregar resultados imediatamente, em vez de demorar seis meses ou um ano, é uma boa notícia. Quando deparamo-nos com a necessidade urgente de proteger nosso e-mail, conectamo-nos ao serviço em três dias, ao passo que se fosse nos tempos calmos, de acordo com a estimativa inicial, poderia, levar cerca de 3,5 meses para organizar-nos para esse trabalho. Porém nas circunstâncias atuais, não temos esse tempo. Estamos em transição da continuidade perpétua para sermos mais concretos”.

Sobre a recompensa por erros (Bug Bounty) como um elemento de segurança focada em resultados

Não é possível falar sobrecibersegurança focada em resultados sem mencionar os programas de recompensa por erros, que ao longo do ano passado foram amplamente discutidos. Os resultados específicos que podem ser obtidos por meio de aplicação de tais programas foram discutidos durante a seção de negócios do festival cibernético.

Vladimir Bengin, Diretor de Cibersegurança do Ministério de Desenvolvimento Digital da Rússia, observou:

“A recompensa por erros é uma excelente maneira de realizar o teste de estresse a um enorme número de processos internos da sua organização. Lançamos um programa em duas plataformas comerciais ao mesmo tempo: Standoff 365 e BI.ZONE Bug Bounty. Em geral, nós estávamos confiantes na segurança do Gosuslugi: nossos sistemas foram testados por quase todas as empresas russas de cibersegurança. No total, cerca de 8 mil pessoas participaram do nosso programa de recompensas por erros. Centenas de relatórios foram apresentados em ambas as plataformas, como efeito encontramos mais de 30 vulnerabilidades confirmadas. Além disso, foram encontradas algumas falhas criticamente perigosas. A recompensa máxima foi 350 mil rublos. No futuro, nós vamos pensar em como ampliar essa experiência. Para uma empresa ou instituição que deseja testar sua segurança, não há nada mais barato e eficaz do que um programa de recompensa por erros.”

De acordo com Alexander Khamitov, Chefe de Segurança de Aplicativos da Wildberries, a comunidade de recompensa por erros não apenas verifica vulnerabilidades, mas também é capaz de oferecer ideias interessantes.

“Recebemos propostas inesperadas sugeridas por participantes do programa da recompensa por erros sobre a para organização remota de testes em pontos específicos da coleta de pedidos”, disse Alexander Khamitov.

Ao mesmo tempo, muitas empresas ainda não têm pressa para lançar um programa de recompensa por erros.

“Alguns profissionais em segurança da informação podem acreditar que já conhecem todas as vulnerabilidades dos sistemas da sua empresa, então, eles adiam os testes de recompensa por erros. Outras organizações pensam que se lançar um programa, terá que admitir que há brechas na segurança da empresa. A administração pode tratar as vulnerabilidades como uma falha do departamento de segurança e tomará as medidas cabíveis. Provavelmente, há também um medo de que uma recompensa por erro poderia ser explorada por hackers “do mal”. De fato, é totalmente o contrário: a recompensa por erros permite monetizar as vulnerabilidades dentro de um quadro jurídico, então, as pessoas não conseguem nem tentar a vender as informações na Dark Web. Minha opinião é que participar de um programa de recompensa por erros é uma necessidade primordial”, disse Dmitry Gadar, Vice-Presidente e Chefe de Segurança da Informação do banco Tinkoff.

Ilya Safronov, Diretor de Proteção de Infraestrutura em VK, concordou com o colega:

“Somos uma empresa de TI madura, então, não tínhamos medo de participar de um programa de recompensas por erros na plataforma Standoff 365 . É claro que não é muito agradável quando você acha que tinha verificado todas as potenciais vulnerabilidades potenciais e, em seguida, na recompensa por erros, descobre um monte de vulnerabilidades novas. Mas quando a empresa tem três lançamentos por dia, é impossível verificar tudo imediatamente. Programas de recompensa por erros ajudam muito nisso”.

Os especialistas observaram que o programa de recompensa por erros é um processo contínuo, o que faz com que ele seja mais vantajoso com relação ao Pentest, por exemplo. Os resultados do Pentest tornam-se obsoletos no mesmo dia em que o teste termina: a infraestrutura muda surgem, novas brechas de segurança e há TI invisível em operação de que a empresa não está ciente . Nos programas de recompensa por erros, paga-se pela quantidade de vulnerabilidades encontradas e não pelo serviço em si. No entanto, essa não é uma solução universal, ela é apenas uma das ferramentas do conjunto de procedimentos de verificação de segurança.

“Não se sabe o que está acontecendo dentro da infraestrutura e não é necessário que todas as vulnerabilidades sejam encontradas como parte de um programa de recompensa por erros. É aí que vem o SOC . A propósito, em nossa empresa, cada falha descoberta é verificada: por que o WAF não foi configurado corretamente, por que a equipe AppSec não encontrou a vulnerabilidade nos estágios iniciais usando os instrumentos apropriados, e assim por diante. Revisamos a cadeia toda e tentamos eliminar as falhas de segurança futuras”, explicou Dmitry Gadar.

Comunidade e a metodologia de segurança da informação focada em resultados

Outro tema abordado no festival cibernético foi o papel que a comunidade desempenha em moldar as abordagens de segurança focada em resultados: foi apresentada a plataforma, na qual a comunidade pudesse reunir os frameworks destinados à construção da segurança assertiva, focada em resultados. A comunidade aberta rezbez.ru foi criada para permitir que especialistas em segurança da informação, troquem conhecimentos e experiências com foco nos resultados práticos. Para garantir um alto nível de resiliência cibernética, a plataforma assumirá uma abordagem integrada baseada em 10 domínios que abrangem diferentes áreas de segurança da informação. Implementar etapas e práticas propostas em cada um dos domínios não só ajudará as empresas a cumprir as exigências regulatórias, mas também irá incentivá-las a desenvolver com confiança no espaço digital. Nos próximos dias, mais métodos e recomendações, modelos e exemplos, listas de verificação e outros materiais úteis serão adicionados ao site.

Os participantes da discussão concordaram que a comunidade precisava de tal plataforma, e que os fornecedores deveriam assumir a responsabilidade pela criação e desenvolvimento de tais plataformas. Ao mesmo tempo, para atrair profissionais, é importante garantir a transparência em termos de direitos de propriedade intelectual. Além disso, na primeira fase, incentivos financeiros provavelmente serão necessários.

Roman Chaplygin, Diretor de Consultoria Empresarial na Rostelecom-Solar, observou que os resultados são necessários em vários aspectos da segurança cibernética, incluindo processos, e que a comunidade precisa aceitar que o estabelecimento de metas deveconsiderar os resultados que deverão ser atingidos.

Sergey Gordeychik, CEO da CyberOK, disse que qualquer atividade deveria ser passível de ser medida:

“A questão de mensurabilidade de segurança e métricas de segurança são sempre relevantes. Portanto, se você está iniciando algum tipo de atividade no campo da segurança da informação, é necessário entender quais são os objetivos, qual é o processo e como você acompanhará seu progresso”.

Certo número de participantes relatou que na Rússia, não há plataformas sistematicamente construídas e organizadas para a comunidade como as do ocidente. No entanto, existem projetos que devem ser trabalhados e sistematizados de alguma maneira. De acordo com Andrey Yankin, Diretor do Centro de Segurança da Informação da Jet Infosystems, entre “um monte de canais do Telegram silenciados” e o excesso de regulamentação, existe a falta de uma plataforma aberta onde profissionais comuns poderiam comunicar-se livremente.

O ano passado demonstrou que somente é possível combater os ciberataques com esforço coletivo. Contudo, apesar da participação de representantes de muitas empresas na chamada sede operacional criada para combater ameaças cibernéticas, nem todos os participantes do mercado nacional de cibersegurança estão dispostos a compartilhar suas melhores práticas. Indicadores de ataque, assinaturas e regras de correlação são apenas algumas das muitas ferramentas que as empresas preferem não compartilhar com a comunidade.

Nikolay Arefiev, CEO e Cofundador da RST Cloud, explicou por que as empresas não estão dispostas a compartilhar indicadores de comprometimento:

“Tecnicamente, é possível compartilhar os indicadores de comprometimento, mas haveria problemas relacionados ao contexto. Via de regra, as próprias empresas fazem coleta, limpam e enriquecem os dados manualmente. Em tese provavelmente poderia ser possível fornecer os indicadores reais, mas por outro lado, o custo real de mão de obra – recursos humanos e dinheiro da empresa – foi investido na sua criação. Como compartilhar isso é uma questão a ser resolvida”.

Já Vladimir Dryukov, Diretor do Centro de Monitoramento e Resposta a Ataques Cibernéticos da Rostelecom-Solar, chamou a atenção para os aspectos morais e éticos de uma empresa que torna pública a informação sobre seu trabalho:

“Agora todo mundo está sendo atacado através do Exchange. Eu considerei isso meu dever social de compartilhar regras para detectar ameaças cibernéticas em vez de esperar que os clientes sejam hackeados”.

De acordo com Teymur Kheirkhabarov, Chefe do Centro de Defesa Cibernética da BI.ZONE, um padrão é necessário para encorajar os fornecedores de segurança da Rússia a compartilharem mais as informações com o mercado de cibersegurança:

“Atualmente enfrentamos a deficiência na padronização de protocolos, interfaces de interação e formatos de troca de dados. Cada fornecedor cria um API de suas soluções como  acha certo; cada um tem seus próprios formatos e regras. É simplesmente impossível colaborar sem os padrões”.

Andrey Yankin, diretor do centro de segurança da informação da Jet Infosystems, acrescentou que para fins de cooperação, é necessária uma plataforma que possa reunir empresas de segurança da informação .

“Para muitos participantes menores, isso daria a oportunidade de juntar-se ao grupo de segurança cibernética e rapidamente começar a colaborar. Essa plataforma não deve ter como sua base a competição”, disse ele.

Sergey Soldatov, Chefe do Centro de Monitoramento de Cibersegurança da Kaspersky, falou sobre as possíveis barreiras burocráticas no caminho para a criação da plataforma, e que o governo tem um papel importante para facilitar a comunicação entre as empresas.

Sobre o desenvolvimento de alta tecnologia, DevSecOps e perspectivas para sistemas operacionais domésticos

O futuro da indústria de alta tecnologia foi discutido por diretores de desenvolvimento e donos de negócios. A saída de fornecedores estrangeiros do mercado russo criou oportunidades de avanço para diversos segmentos tecnológicos. Os monopolistas que detinham 100% de seus nichos desapareceram. Mas os usuários ainda esperam o mesmo nível de produtos e serviços de antes.

“O primeiro salto tecnológico urgente que a indústria nacional precisa realizar é igualar o nível de produção e manutenção de software ao oferecido pelos fornecedores estrangeiros”, diz Alexey Totmakov, CTO da VK Tech.

Konstantin Osipov, Cofundador da Picodata, nomeou os sistemas SCADA e ERP, bancos de dados e sistemas de Projeto Auxiliado por Computador (CAD) entre os segmentos prioritários para redução progressiva de importações.

Além disso, há também a demanda fundamental para tecnologias de processador aberto e sua implementação com base nos padrões abertos.

“Nós precisamos investir em design de hardware de código aberto. Atualmente, essa área foi monopolizada por fornecedores de fora”, comenta Igor Lopatin, Diretor de P&D do Yadro Research and Development Center.

Como o segundo vetor de investimento importante, citou o financiamento que permitiria que os fornecedores criassem bibliotecas otimizadas e “outros blocos para a construção desses processadores, que irão se somar até formar um ecossistema de software para as novas arquiteturas abertas”. Igor estava moderadamente otimista em relação às perspectivas do hardware nacional. No entanto, ele enfatizou que é improvável que sucessos rápidos em CPUs, que são componentes altamente complexos, possam se concretizar.

“Há áreas das quais os fornecedores russos se mantiveram afastados conscientemente por não terem experiência em engenharia. Agora que os participantes estrangeiros saíram, simplesmente teremos que entrar nessas áreas por causa da necessidade”, disse Alexey Andreev, Diretor Administrativo da Positive Technologies. “Por outro lado, os nichos vagos serão supridos por fornecedores nacionais. Em especial, eu me refiro ao segmento de segurança de rede e o nicho de firewall da próxima geração. Em áreas onde temos competência complementar, estamos engajados com os avanços tecnológicos”.

Em 2022–2023, o tema DevSecOps tornou-se ainda mais popular e o perfil do usuário mudou.

De acordo com Denis Korablev, Diretor de Produto da Positive Technologies, o tópico DevSecOps agora é muito mais popular do que era um ano antes.

“Depois que muitos fornecedores ocidentais deixaram o mercado russo, vários produtos tiveram que ser desenvolvidos do zero. Eu fico feliz em ver que a maioria dos fornecedores tem segurança em foco desde o início, trazendo-a para o fluxo de trabalho de produção. Realmente uma grande diferença do que tínhamos antes. Dada a situação atual e o número de ataques generalizados, as pessoas simplesmente não podem ignorar a segurança ao escolher as abordagens”, confessa o especialista.

Rami Muleys, Gerente de Produtos de Segurança da Yandex Cloud, notou um aumento triplo no número de usuários da plataforma de gestão DevOps GitLab dentro da infraestrutura Yandex Cloud. De acordo com ele, a retirada parcial de fornecedores ocidentais tornou o desenvolvimento mais difícil:

“As coisas tornam-se mais complicadas pelo fato de que há cada vez menos soluções prontas para o DevSecOps. Vemos que a aposta é feita nas soluções de segurança de código aberto”.

De acordo com Yury Sergeev, Fundador e Sócio-Gerente da Swordfish Security, deve-se lembrar que todos os fornecedores que utilizam soluções de código aberto tornam-se responsáveis pela segurança das mesmas.

Após a saída de fornecedores estrangeiros, a situação no campo de sistemas operacionais domésticos também mudou: os fornecedores estão confiantes com as perspectivas e conseguem enxergar novas oportunidades. Assim, de acordo com Vladimir Telezhnikov, Chefe de Pesquisa Científica no Astra Group of Companies,

“isso não foi tão fácil, mas a empresa recuperou-se do estresse e agora está buscando o desenvolvimento de produtos com calma, seguindo em frente: temos acumulado uma boa experiência de implantação e retorno positivo de nossos usuários”.

Roman Alyautdin, Chefe de Desenvolvimento, Aurora OS (plataforma de desenvolvimento mobile aberta), tem certeza de que os sistemas operacionais russos terão sucesso:

“Os fornecedores russos estabeleceram uma base sólida para construir seu ecossistema, enquanto competem no mercado, inclusive com tecnologias que o mercado nos treinou a consumir. Temos tudo que precisamos para isso: pessoas, tecnologias e competência”.

Cibercidade: visitantes do parque aprendem sobre os recursos do ChatGPT e como não se tornar vítima de um golpe

Um espaço aberto para todos os visitantes do Parque Gorky (trilha PopScience) forneceu um espaço de discussão sobre os assuntos de maior interesse. Representantes de varejo contaram sobre as características que indicam uma loja online não confiável. O CTO da CDEK, Pavel Kulikov, aconselhou os usuários a evitarem levar as conversas com vendedores para as plataformas externas ao negociar acordos sobre compra e venda dos produtos no marketplace, pois os golpistas costumam aproveitar-se muito disso.

“Durante a pandemia, muitos varejistas não conseguiram dar conta da quantidade de encomendas recebidas, o que criou uma oportunidade para agentes mal-intencionados a construírem sites falsos ou intermediários disfarçados, por exemplo, como o supermercado Azbuka Vkusa. Na melhor das hipóteses, os clientes acabariam pagando mais pelo que receberam; na pior, não veriam nem suas compras nem seu dinheiro. Verifique o site que está usando para fazer pagamento, pelo menos as credenciais bancárias da pessoa jurídica que os sites legais sempre fornecem”, foi a orientação dada por Dmitry Kuzevanov, Diretor Técnico da Azbuka Vkusa.

Valentin Malykh, Pesquisador de NLP na Huawei, falou sobre a operação interna do ChatGPT, um sistema moldado pela influência de centenas de profissionais ocidentais, incluindo Elon Musk e Steve Wozniak. Ele enfatizou a necessidade da aplicação de regras para assistentes intelectuais. .

“O ChatGPT está em todos os lugares nos últimos seis meses, então, deixe-me tentar explicar como a tecnologia funciona. O termo NLP se refere a como nos comunicamos com textos. Cada um de nós tem um modelo de linguagem que nos ajuda a transmitir nossos pensamentos. A definição mais básica de linguagem se relaciona, por assim dizer, a um “prompt” que traz a próxima palavra. Se alguém começa com “melhor tarde”, a resposta imediata de todos será “do que nunca”. Os assistentes de ML usam exatamente os mesmos modelos de geração da próxima palavra, porém milhares de vezes mais sofisticados”, disse Valentin Malykh.

Egor Bayandin, CIO e Cofundador do Whoosh (serviço de compartilhamento rápido), fez uma comunicação sobre os patinetes elétricos: se eles podem coletar dados ambientais e do usuário, e se podem ser hackeados de modo a controlar remotamente sua velocidade e outros parâmetros. De acordo com Egor, os patinetes elétricos não sabem quase nada sobre seus pilotos. Além disso, durante os quatro anos a prática do serviço, os dados dos usuários nunca foram roubados. O especialista também alertou sobre a importância da segurança física ao usar os patinetes elétricos, em especial, o imperativo de que um patinete nunca deve ser usado por duas pessoas mesmo tempo. Ele explicou que mesmo os pilotos de motocicletas são colocados em risco de acidentes devido a ações impróprias de seus passageiros.

Yana Yurakova (Analista Sênior de Segurança da Informação da Positive Technologies) e Sergei Polunin (Gazinformservis) deram dicas como escolher um serviço de VPN seguro, a tecnologia que ficou em alta devido ao bloqueio de recursos na Internet. De acordo com Yana, o vazamento de dados confidenciais só pode ocorrer em serviços de VPN oferecidos por pessoas de má índole e se a conexão for estabelecida através do protocolo HTTP não seguro (sem o pequeno ícone de cadeado no navegador). Sergey destacou que as VPNs são caras para manter e deve-se analisar o modelo de monetização utilizado pelos serviços gratuitos para descobrir com que o usuário pagará (tempo para assistir aos anúncios ou dinheiro roubado).

Na batalha cibernética Standoff e outras competições

Durante a batalha cibernética de quatro dias, os invasores conseguiram desencadear 204 eventos não toleráveis nos setores da economia simulados no cyber range. De 148 eventos não toleráveis únicos, 64 foram acionados. A equipe Codeby, no momento a única vencedora de quatro batalhas cibernéticas, foi responsável pelo número maior de eventos. Nenhum segmento podia resistir ao ataque das equipes vermelhas. Os eventos acionados com frequência maior foram “Vazamento de informações confidenciais” (32 vezes) e “Infecção por ransomware” (31 vezes). O número máximo de ataques realizados ocorreu no Sistema Bancário (44) e Sistema de Habitação e Distribuição (44), com a MetalliKO em terceiro lugar (37), e Setor de Energia Atômica por último (27).

Durante a competição cibernética que assolou o País fictício F, os invasores enviaram 209 relatórios de vulnerabilidade, incluindo vulnerabilidades com nível de risco crítico (58%), alto (24%) e médio (17%). A execução remota de código (RCE) acabou como o tipo mais popular de vulnerabilidade detectada.

Os defensores apresentaram 667 relatórios de incidentes, principalmente, no segmento de tubulação (37%) e investigaram 43 ataques.

A equipe Codeby ficou em primeiro lugar entre as equipes de ataque com um total de 193.454 pontos, a True0xA3 ficou em segundo (143.264 pontos) e a Bulba Hackers em terceiro (58.796 pontos).

O festival cibernético contou com um abundante programa de disputas. No IDS Bypass, os competidores estavam testando as defesas de rede; enquanto a $natch tratava de hackear um ATM, um banco móvel e uma caixa registradora. Falando nisso, essa última foi hackeada pelo menos cinco vezes.

Cerca de 10 competidores tentaram sua sorte na competição difícil chamada ETHical Hacking. Os participantes foram conduzidos através de um número de desafios para hackear os contratos inteligentes na rede Ethereum: dependendo do desafio, precisavam retirar todo o dinheiro de um contrato inteligente ou mudar o valor da variável booleana do contrato) para “true”. Seis pessoas passaram em pelo menos um desafio.

Vamos cobrir os resultados de todos as competições em nossos materiais adicionais: procure mais notícias e reportagens sobre os eventos do festival cibernético. As palestras, sessões, batalhas e competições foram transmitidas on-line no site da PHDays. Os vídeos da maioria das apresentações serão publicados em breve. Acompanhe as novidades no nosso site.