вторник, 23 октября 2018 г.

Обзор презентаций шестой конференции по промышленной кибербезопасности (Сочи, 19-21.09.2018)

source

«Лаборатория Касперского» опубликовала пресс релиз о шестой конференции по промышленной кибербезопасности (Сочи, 19-21.09.2018), организатором которой она же и являлась.

Организаторы любезно предоставили слайды презентаций, обещают скоро выложить в сеть и видео докладов. На конференции мне побывать, к сожалению, не удалось, но с презентациями я решил ознакомиться и не разочаровался. Все выглядит актуально, полезно, и даже вдохновляюще. И еще, впечатляет размах тематики, создается впечатление, что «Лаборатория Касперского» занимается «всем», как в плане вертикальных, так и горизонтальных рынков. Я сначала сделал обзор «для себя», а потом все же решил опубликовать.

Всего в программе конференций 40 докладов, я разделил их на несколько категорий. Классификация эта моя собственная и не претендует на единственно правильную, поскольку часть докладов можно отнести сразу к нескольким категориям. Однако, некоторые обобщения это сделать позволит. Итак, на конференции была представлена следующая тематика.

1. Обзоры о состоянии дел в промышленной кибербезопасности в целом – 5 докладов

Из обзорных докладов, безусловно, надо отметить «Think like a hacker, but act like an engineer» (Marty Edwards, International Society of Automation), который открывал конференцию и задавал ей тон. Здесь и сравнительный анализ информационных и операционных технологий (IT-OT), и тренды в недостатках киберзащиты по мотивам U.S. ICS-CERT, и анализ последствий инцидентов, и типовой сценарий атаки и многое другое, с одной стороны, очевидное и известное, с другой стороны, системно и оригинально изложенное. Прозвучали два тренда, которые представляются мне важными: сближение с областью safety (функциональная безопасности) и важность применения фреймворка NIST по кибербезопасности. Многоаспектный интересный обзор с качественной инфографикой представлен в «50 shades of ICS security controls» (Ibrahim Samir Hamad, An Oil & Gas Company). Интересной и познавательной статистикой впечатлил доклад «Five myths of industrial cybersecurity» (Evgeny Goncharov, Kaspersky Lab).

2. Презентации компаний и продуктов – 10 докладов

«Продуктовые» или «продажные» презентации вызывают больше всего нареканий, хотя все и понимают, что вендоры едут на конференции, чтобы «продавать». В Сочи, мне думается, баланс был соблюден, поскольку презентации продуктов сопровождались и общей теоретической составляющей, и интересными техническими подробностями. Особенно интересными, на мой взгляд, получились «KICS*HICS=Tested and protected» (Ruslan Stefanov, Honeywell), а также «A complex approach to industrial cyberdefense in the age of digitalization» (Yan Sukhikh, Schneider Electric).

3. Отдельные технологии обеспечения кибербезопасности – 7 докладов

В области технологий можно уйти в попытку объять необъятное, или в очевидные вещи, или в сложные технические подробности, понятные лишь хакерам. Организаторам же удалось представить несколько интересных и важных направлений: проблемы облачных технологий, анализ атак с использованием удаленных средств администрирования, honeypots fingerprinting, мониторинг угроз, компрометация отключенных от интернета систем. Отличный анализ целевых APT (Advanced Persistent Threat) атак сделан в докладе «Attribution in a world of cyber espionage» (Yury Namestnikov, Kaspersky Lab).
Пожалуй, одна из самых важных презентаций конференции – это «Security PHA review for analyzing process plant vulnerability to cyberattack» (Edward Marszal, Kenexis). Эдвард стал заниматься кибербезопасностью, имея огромный опыт в области анализа рисков и функциональной безопасности. Поэтому, основной его тезис – кибербезопасность должна основываться на рисках процесса. Такая оценка базируется на методе HAZOP (Hazard and Operability study) и его разновидности для процессов, PHA (Process Hazard Analysis). Методы эти несколько десятков лет применяются в области функциональной безопасности. В докладе говорится только о количественной оценке (детерминированный подход), хотя, если в таблицы добавить вероятности событий, то можно перейти к количественной оценке. На сайте Kenexis много полезной информации (что редкость для консалтинговых компаний): шаблоны таблиц для анализа, руководства, статьи. Пишут, что даже базовую версию своего инструментального средства, OPEN PHA, они предоставляют бесплатно.

4. Особенности обеспечения кибербезопасности в отдельных промышленных отраслях – 7 докладов

Все презентации очень познавательны, поскольку рассказывают об особенных сферах, с которыми мы сталкиваемся не каждый день, и, зачастую, даже не догадываемся об их удивительной специфике. Хороший обзор тенденций современного автопрома представлен в «How digital transformation enables Ferrari to be even faster» (Remigio Armano, Ferrari), хотя непосредственно про кибербезопасность там сказано не так уж и много. Феерична история захода «Лаборатории Касперского» на автомобильный рынок: сначала спонсируем гоночную команду, а потом обеспечиваем кибербезопасность. Очень интересный доклад был по применению IoT-решений на яхтах «Swimming IoT: A hackers journey into the secrets of modern yacht (in)security» (Stephan Gerling, Rosen Group), настоящая романтика кибербезопасности. На конференции не было презентаций от «традиционных» отраслей (энергетика, авионика, химия, нефтегаз). Пожалуй, информация об этих отраслях больше на виду, а организаторы копнули в сторону «экзотики», поскольку были представлены системы водоснабжения, «умные» дома, железнодорожный транспорт, системы видеонаблюдения.

5. Нормативно-правовая основа кибербезопасности – 4 доклада

Презентации затрагивали, в основном, ФЗ-187.

6. R&D – 4 доклада

Речь в докладах шла о машинном обучении, о блокчейне, и, несколько неожиданно для меня, о MILS (Multiple Independent Levels of Security).

7. Человеческий фактор и управление персоналом – 2 доклада

Прозвучал доклад, посвященный созданию команд реагирования на инциденты, и доклад, посвященный организации тренингов.

8. Социологические аспекты кибербезопасности – 1 доклад

Был представлен доклад о влиянии масс медиа на общественное восприятие проблем кибербезопасности. Как и следовало ожидать, имеем много искажений реальности.

Как видим, покрытие тематики индустриальной безопасности достаточно широкое. Для меня, пожалуй, самым важным оказалась общая тенденция, которая явно прослеживается в докладах – в среде кибербезопасности есть определенное движение в сторону принятия и применения наработок в области функциональной безопасности. Видимо, в ISA в важности этого твердо убеждены, а они задают в этом тон всему миру. Остальные пока больше говорят, чем применяют что-то на практике. В итоге, многие вещи из области safety «открываются» для security заново (те же примеры – «заново открытые» HAZOP и MILS).

Из того, что не прозвучало на конференции (хотя, возможно, и могло бы прозвучать):
- не было ничего про вероятностную оценку кибербезопасности; возможно, или не добрались еще до этого специалисты по ИБ (хотя до HAZOP и MILS уже добрались), или это не очень актуально с практической точки зрения; с другой стороны, вероятность отказа функции ИБ было бы и можно, и нужно посчитать, это был бы аналог SIS (Safety Instrumented Function);
- не было подробных докладов о международной нормативной базе, лучших практиках и т.п.; наверно, или слишком «академично», или всем уже надоело.

Из небольших дополнений или предложений (это делают организаторы других конференций). Когда я пытался разложить «по полкам» 40 докладов, мне показалось, что было бы удобно для реферирования использовать короткий общий ключ. Можно сделать или сквозную нумерацию всех презентаций по порядку или нумерацию по секциям, например, пленарные доклады: Р1, Р2 и т.д., Business Track: BT1, ВТ2 и т.д. Это, конечно, не самое главное.

Самое главное – это заметные позитивные стороны конференции, а именно:
- хороший уровень конференции чувствуется даже дистанционно, поскольку выступило много «сильных» спикеров;
- программа конференции обеспечила всесторонний охват самых важных аспектов промышленной кибербезопасности без «перекосов» в ту или иную сторону;
- конференция получилась действительно международная, а то часто организуются «международные» конференции, куда случайно попадают несколько «иностранных консультантов»; в Сочи все было «по-честному»; хотя основная масса участников была из РФ, делать слайды на английском, чтобы зарубежные участники понимали, о чем идет речь – это хорошая практика, даже если речь в презентациях идет о ФЗ;
- как правило, организаторы конференции могут внести в программу сколько угодно своих докладов, и это порой вызывает определенные нарекания; докладов от «Лаборатории Касперского» было немало, но все они были объективно качественными, и они, скорее, повысили общий уровень конференции, чем наоборот.

Все получилось, спасибо организаторам за отличный ивент!