Чем удивил и вдохновил посетителей киберфестиваль Positive Hack Days-2

26 мая в Москве завершился второй международный киберфестиваль Positive Hack Days (PHDays). В прошлом году формат эволюционировал из «форума для своих» в открытый цифровой фестиваль. В этом году проект прокачался еще основательнее и переместился на территорию олимпийского комплекса «Лужники».

Место встречи

Деловая и неформальная программа едва вместилась в четыре насыщенных дня. При том, что активности велись параллельно в режиме нонстоп на 10+ площадках.

Кстати, в названии Positive Hack Days скрыта игра слов: это не просто «Позитивные хакерские дни». Это большой праздник, устроенный ИТ-компанией Positive Technologies и ее глобальным партнером Innostage для киберзащитников и «белых» хакеров, которые находят уязвимости исключительно для того, чтобы их оперативно устранили.

Таким образом, фестиваль — место встречи экспертов в области кибербезопасности с обоих полюсов: нападения и защиты. А центральная точка сбора разнополюсных специалистов — традиционная, уже 13-ая по счету кибербитва Standoff. Это одно из крупнейших в мире соревнований, в котором команды спортивных хакеров пытаются взломать ИТ-системы виртуального государства, а киберзащитники — обнаруживают и расследуют их действия.

К слову, государств-мишеней на этот раз стало два, что позволило увеличить количество команд-участниц и существенно повысить уровень сложности для их оппонентов. В обоих государствах развиваются нефтегазовая, металлургическая, транспортная, финансовая и другие отрасли, атаки в которых могут привести к непоправимым последствиям. Например, атакуя виртуальную атомную электростанцию, хакеры могут остановить турбину реактора, оставив без электричества бизнес и население. А чтобы многочисленным зрителям было интереснее наблюдать за процессом, результативные атаки выводятся на интерактивный макет с мини-копиями зданий, железных дорог и других инфраструктурных объектов.

Одновременно со Standoff правилам проходила вторая всероссийская студенческая кибербитва — ее в Москву привезла ИТ-компания Innostage. Можно сказать, что Standoff — это суперлига, а студенческая кибербитва — «премьерка», где зажигаются новые звезды. В соревновании также участвуют команды атакующих и защитников. Но есть обязательное условие — все участники должны быть действующими студентами российских вузов. Впервые такой формат был представлен на Kazan Digital Week в сентябре 2022 года и может стать традиционным событием форума.

Ломая, зарабатывают миллионы

В этом году финал Standoff 13 проводился на цифровых двойниках ИТ-инфраструктуры российских компаний-лидеров кибербеза. И по условиям сильнейшие команды хакеров должны были в течение 6-8 часов реализовать определенные критические инциденты, которые в реальности могут «убить» бизнес.

За исполнение условий победители могли получить от 5 до 7,5 миллионов рублей. В частности, в плей-ин Innostage выставила цифровой двойник своей инфраструктуры. И за вознаграждение в 5 миллионов рублей командам атакующих предлагалось реализовать два недопустимых события: зашифровать файловое хранилище с проектной документацией или получить доступ к CRM-системе и украсть информацию о клиентах и договорах.

Но киберзащита не поддалась, и на этот раз куш хакеры сорвать не смогли. Казалось бы, надо радоваться, но организаторы объявили об этом с нотами грусти в голосе, пообещав в следующий раз повысить вознаграждение. Вот такая логика цифрового мира — компании готовы платить миллионы тем, кто их взломает и покажет, как именно ему это удалось. К тому же взаимодействие должно происходить на специальной багбаунти платформе, по установленным правилам и с гарантиями цифровой безопасности по завершении сделки.

«Багбаунти» — слово, которое все чаще слышат даже те, кто далек от ИТ-мира. О выходе на программу с таким названием периодически объявляют крупные компании и государственные сервисы, включая Госуслуги. Фактически, это означает старт конкурса для независимых исследователей кибербезопасности, где им на «растерзание» отдаются отдельные ИТ-продукты или целые системы. Задача участников — искать «баги» — то есть ошибки и уязвимости и первыми подавать отчет о своих находках, получая вознаграждение. Можно сказать, что компания нанимает неограниченное количество аудиторов кибербезопасности, а платит только тем из них, кто найдет ошибки и зафиксирует их в отчете. Экономически это очень выгодно.

Впрочем, по мнению экспертов, уже получают развитие и более эффективные форматы, чем классическое багбаунти. Так, во время PHDays ИТ-компания Innostage объявила о выходе на открытые кибериспытания. На старте программы хакерам готовы заплатить от 5 миллионов, если им удастся перевести со счета компании сумму до 2000 рублей. И если в финале Standoff командам на подобную атаку давали всего несколько часов, то в случае с открытыми кибериспытаниями на планирование и проведение взлома независимым исследователям кибербезопасности дается несколько месяцев.

Активности на любой вкус 

Гости Positive Hack Days могли найти себе увлечение на любой вкус. Для широкой аудитории был спроектирован специальный кибергород с вокзалом, мэрией, цифровым лесом, Штабом хакеров и другими объектами, которые можно было исследовать самостоятельно или в режиме квеста. Прогуливаясь от одной локации до другой, можно было слушать лекции по разным тематикам: от разработки продуктов и расследования атак до выгорания и биохакинга. Заинтересовало — присмотрел свободное кресло-грушу и вот уже, сам того не замечая, гость начинает свое погружение в мир кибербезопасности.

Большое количество активностей было рассчитано на студентов ИТ и ИБ специальностей. Их приглашали на образовательные программы и стажировки, вовлекали в интерактивы и т.д.

Свою обширную программу на правах глобального партнера и соорганизатора подготовила компания Innostage.  Одной из ключевых локаций компании стал Кибердром — просторный шатер, в котором параллельно проводились активности для посетителей с разными уровнями погруженности в кибербезопасность.

Уличная зона бренда привлекала внимание посетителей спортивными автомобилями от AG Team, ведущей российской команды по автоспорту. Innostage выступает их спонсором уже много лет. 

В шатре в дополнение к основным площадкам был организован собственный лекторий, где спикеры делились своей экспертизой по ИТ-продуктам, подготовке ИБ специалистов и другим актуальным темам. Внутри Кибердрома расположился компактный гоночный трек киберустойчивости. Управляя мини-карами, участники узнавали о методологии CyberYool, разработанной экспертами Innostage.

Гостям рассказывали о результатах тестирования PT NGFW, презентовали собственные разработки, услуги и решения компании, а также приглашали их стать участниками интерактивного приключения Deep Purple Space. 

Интерес государства

Отдельными треками шла деловая программа, ориентированная на бизнес и госструктуры. Среди участников были делегации региональных профильных министерств из Татарстана, Мурманской, Сахалинской, Оренбургской областей.

В частности, министр цифрового развития и связи Оренбургской области Денис Толпейкин из спикерского кресла делился наблюдениями, как цифровые угрозы меняют приоритеты топ-менеджмента. А заместитель губернатора — министр цифрового развития Мурманской области Елена Семенова подписала на полях фестиваля договор с Innostage о создании в Заполярье Студенческого SOC. Напомним, что пилотная стадия проекта была реализована и успешно развивается в Татарстане.

Утро субботы на Лужниках провел и федеральный министр цифрового развития Максут Шадаев. На пленарной дискуссии, посвященной безопасному кибер-будущему, Максут Игоревич сделал прогноз, что лидерами цифровизации в ближайшие годы будут медицина, транспортная инфраструктура и госуправление.

Вероятно, за отраслями-лидерами внимательно будут следить хакеры. Но, хочется верить, что благодаря таким мероприятиям как Positive Hack Days, любые атаки будут эффективно отражены.