итак собственно кто помнит школьный курс русского языка мы не рады рабы немы вот сегодня могу говорить
про то что мы не крепостные на самом деле мы крепостных чистом виде вот ИИдея моего выступления
она заключается в том что мы сами себя загоняет достаточно жесткие рамкИИ это не наша вина во
многом когда мы занимаемся строительством тех систем безопасности почему неважно речь идет о
кибербезе или о физической безопасностИИли может быть а ментальной безопасностИИ так далее мы живем
в условиях крепостного мышления условий периметра и вот эта идея что безопасно там где вокруг нас
построена некая стена она с одной стороны существует с другой стороны мы и успешно пытаемся хранить и
я думаю последние годы на большинстве мероприятий вы слышали о том что периметр умер о том что есть
такое понятие как теперь метризация и так далее так далее на самом деле несмотря на все заявления
о том что периметр умер в реальности ничего не произошло в реальности мы продолжаем строить
стены мы продолжаем стоит периметры мы продолжаем стоить крепости вокруг тех илИИных корпоративных
ценностей вокруг наших собственных ценностей причем не только материальных но и конечно же
цифровых ценностей мы покупая дачу или живя на даче родителей строим высокие заборы и так далее
И это на самом деле часть нашего кода, которая зашита даже не годамИИ не столетиями.
По большому счету, речь идет о тысячелетиях.
На фоне всей истории, это, конечно, капля в море, но в реальности это достаточно сильно влияет на нас.
Потому что мы привыкли думать, что стена нас защищает.
Она же защищала нас действительно сотни лет, пока не появились какие-то современные технологии вооружений,
о которых мы тоже дальше поговорим.
И соответственно, когда стена начинает переставать работать,
начинает фейлить, мы начинаем что делать?
Мы начинаем строить стену повыше, потолще,
и это не только касается крепостей,
это касается заборов на даче,
это касается границ государственных.
Сейчас мы это прекрасно видим в рамках железного занавеса,
который потихонечку опускается.
Мы это видим в виде турникетов на входе в различные места
общественного пользования входные двери тоже стараемся делать по надежнее по железнее чтобы
ее не взломали не задумываясь о том а как собственно реальности думает взломщик грабитель
и так далее как он будет проникать в нашу собственную квартиру и мир меняется а вот
идея периметра она к сожалению именно к сожалению не умирает и я не скажу что идея периметра она
изначально плохая со времен облато мая часть идеальные было центром стратегии любой безопасности
сейчас мы тоже не отказываемся от периметра но к сожалению он уже перестает работать хотя периметр
еще не до конца умер в реальности он уже не решает тех задач которые на самом деле он решать должен
то есть они являются центром стратегии я приведу пример я долго и годы работал в американские
корпорации циско и циско занималась продажами большого количества вешать его хитрана была там
номером один на рынке по продажам этого средства защиты но сама у себя в инфраструктуре и шутевые
экраны не использовала потому что задача безопасности решалась совершенно по-другому
то есть не было периметра как такового вообще то есть уже тогда как бы компания думала немного
в другой парадигме чем большинство думает ты продолжает думать сейчас закупая различные там
файрволы и другие решения в названии которых и что-то с гейтом с выем с волом и так далее так
далее и это понятно потому что действительно есть мы есть они есть свои есть чужие есть граница
которая нас разделяет есть ворота через которые выпускаем своих не пускаем чужих есть соответственно
Стражи, которые контролируют дополнительно, но это создает иллюзию контроля.
Иллюзию, в которой мы привыкли в ней жить, и мы хотим в ней жить.
Мы не хотим разрушать этИИллюзии, и мы не хотим, собственно, чтобы этИИллюзии вокруг нас разрушались.
Ну а есть всегда находятся те, кто не смотрит на культурный код, а занимается его взломом.
реверс-инженера, ну в широком смысле
слово реверс-инженер
не тот, кто занимается анализом чего-то,
чтобы разобрать, как это работает,
как это железка и так далее,
а люди, которые обходят
правила, к которым привык весь мир
и, собственно, за счет этого
они достигают своих целей.
Если мы посмотрим на отечественный рынок
средств безопасности, опять же,
неважно, кибербезопасности,
физические безопасности, практически
все решения
называются либо застава, барьер, граница,
кольчуга, бастион, рубикон, рубеж,
что-то в названии гейт,
что-то с названием эдж,
что-то с названием вол,
какой-нибудь файрвол,
это может быть веб,
аппликейшн файрвол,
это может быть эдж файрвол,
ну и так далее, и так далее.
То есть идея культурного кода,
она даже если компания разъявляет о том,
что она против периметра,
и она уже давно ушла в будущее,
На самом деле она продолжает продвигать концепцию периметра, концепцию крепости, концепцию очерчивания стены и границы вокруг неких защищаемых активов.
И в целом крепость, вот эта крепостная история, это не про технологию.
Крепость это способ думать, это крепостное мышление, во многих смыслах слово крепостной,
которое, к сожалению, сегодня уже начинает сбоить, и сбоить достаточно активно.
И первые звоночки появились еще в средние века, когда появились первые пушки.
Пушки, собственно, не победили стену.
ОнИИзменили ее экономику.
Если раньше, для того, чтобы бороться с врагом, с хищниками, с какими-то армиями,
ну в то время армия это была несколько сот человек, это уже была армия,
для того, чтобы с ними бороться, стены делали выше.
После того, как появились пушки, не убрали стены, от них никто не отказался.
Стены стали ниже, но толще.
Они стали сложнее, появились бастионы, появилась сложная геометрия,
появилась сегментация, появились несколько рубежей внутри основной, внешнепериметровой стены, крепостной стены и так далее.
Но при этом сама концепция крепости, она осталась неизменной.
И, собственно, если посмотреть, и когда мы смотрим различные голливудские блокбастеры и так далее,
мы это видим и даже не задумываемся.
Та же самая Хельмова пать во Властелине колец.
Яркий пример вот этого крепостного мышления, собственно, как у героев самого романа, так и мы, когда на это смотрим, у нас не возникает вопросов. Хотя, с другой стороны, когда мы смотрим или читаем то же самое «Илия Дугомера» или смотрим фильм «Троя», мы же видим, как крепостное мышление ломается на раз-два с помощью троянского коня.
Да, это осознание пришло не сразу, а спустя 10 лет осады неприступной Трои.
Но оно пришло, и это было несколько тысяч лет назад.
И, собственно, обычный троянский конь, с которого пошел термин в кибербезии, продемонстрировал, что крепостные стены – это не единственный способ защищать нечто ценное от внешних нарушителей.
Но мы продолжаем строить стены, потому что, опять же, на уровне нашего даже бессознательного, я уж не говорю сознательного, мы привыкли, что если нас что-то пугает, мы должны занести это в какие-то стены.
Сейф, я думаю, у многих есть какие-то сейфы, хотя мы понимаем, что сейф купленный в АйбИИли в Ашане, но не выдерживает никакой критикИИ взламывается за 10-15 минут даже не очень квалифицированным взломщиком.
на самом деле даже быстрее если поэкспериментировать это делается очень легко мы делаем то же самое со
входными дверьми у себя на даче забывая про то что прекрасно залезут через окно его просто разбит
и никто не успеет приехать на то же самое делаем вас сходными дверями у себя в доме где стоит тот же
самый домофон почему так вот от домофона знают все но деньги на мощную железобетонную дверь как бы мы
Мы собираем успешно, и правление дома каждый год собирает новые деньги на установку шлагбаумов.
Но почему-то у всех соседей оказывается код от этого шлагбаума, либо онИИспользуют приложения, которые вроде как онИИспользовать не должны, ну и так далее.
То есть мы действительно продолжаем жить в крепостном мышлении, но жизнь нам показывает, что это уже не так, и это не работает.
Вот как раз мы сейчас подходим к истории с дронами, потому что дроны вот сейчас кардинально поменяли способ ведения военных действий. То есть мы привыкли, что если не брать ядерное вооружение, то в высокопотных войнах основной способ ведения боевых действий это танк.
Ну, соответственно, про артиллерию, само собой, танк как движущаяся история, которая позволяет захватывать все новые и новые территории.
И тут вдруг появляются как бы дроны, там, и в пивишке стоимостью в несколько сотен долларов.
И у нас есть танк, который стоит, соответственно, миллионы, а то и десятки миллионов долларов.
И мы понимаем, что противник не обязан быть равным.
Потому что раньше мы привыкли вот в этой парадигме, живя в крепостном мышлении, что противник нам равен. На этом построены практически все военные стратегии после Второй мировой войны.
Ну, до, само собой, то же самое Клаузелец, то же самое СуньзИИ так далее
Они писали, исходя из того, что армия атакует армию
И армия противоборствует другой армии
Равные борются друг с другом
И побеждает наиболее опытные, только используя технологии обмана и так далее
А сейчас мы видим, ну, на самом деле, конечно, не только сейчас
А последние порядка 20 с небольшим лет
Мы видим, что картина поменялась
И нет армии против армии. То есть у нас есть хакер, который атакует компанию и атакует успешно. При том, что хакер потратил на свой инструментарий несколько сотен долларов, ну может быть чуть больше, а компания тратит миллионы долларов и она не является эффективной при борьбе с хакером.
То же самое, как сейчас в рамках либо СВО, либо других конфликтов, дроны прекрасно выводят те же самые танки, дорогостоящие из строя, и дроны очень легко заменяемые.
Дрон показал, что крепость, а собственно танк это тоже яркий пример крепостного мышления, крепость уже не выдерживает никакой критики.
Потому что нападающий действует обычно дешевле, быстрее, меньше, он менее формализован, у него нет никаких требований по лицензированию, аккредитации, сертификации, повышению квалификациИИ так далее.
Он нерегулируемый, ну или может быть чуть-чуть совсем зарегулированный.
Он менее зависим от согласований всяких опров, печати, попадания в реестр отечественного и реестр неотечественного и так далее.
Он менее озабочен устойчивостью, потому что если он фейлит, он выбросил и поменял на что-то более устойчивое, более надежное, более эффективное. Он готов к потере ресурсов и, соответственно, он готов повторять свои попытки почти бесплатно.
бесплатно. В то время как
те, кто занимается
защитой, опять же, не важно,
защитой в киберпространстве или
защитой в мире физическом,
у них все дорого, у них все медленно,
у них куча юридических ограничений,
как бы чего не вышло,
у них зависимость от бизнеса,
который тоже далеко не все готов
использовать и применять
для своей защиты.
Мы, как защитники,
обязаны не ломать систему,
в то время как у того же самого
нападающего нет таких ограничений мы обязаны соблюдать и объяснять а зачем нам это требование
бюджетирования никто не отменял мы обязаны соблюдать процессы и мы не можем просто попробовать
потому что мы боимся сделать ошибку мы боимся что нас не поймут что нас накажут за результат который
мы не достигли хотя вроде как и обещали поэтому обкладываем с огромным количеством бумажек и с
точки зрения бумаг все идеально но только с точки зрения безопасности все к сожалению не работает это
крепостное мышление опять же показывает на что мы увы проигрывает проигрываем войну проигрываем
сражения проигрываем отдельные бои весь на слайде показано 7 бойтов которые вам позволит понять а
А если у вас крепостное мышление?
То есть вот если вы хотя бы по трем из этих семи скажете «Да, я так думаю»,
то вы еще являетесь заложником вот этого самого крепостного мышления,
потому что оно будет вам мешать.
Если вы строите систему защиты, оно будет вам мешать строить.
Если вы принимаете чью-то работу, оно будет вам мешать принимать эту работу.
Если вы устанавливаете правила, оно будет вам мешать устанавливать правила, соответствующие современным адекватным угрозам, которые осуществляются, или тем самым техникам, тактикам зломышленников, которые реализуются.
То есть если мы считаем, что главное не пустить, не пропустить и так далее, это ошибка, потому что у злоумышленника задача может быть в другом.
ВывестИИз строя, не дать доступа к тому, что мы защищаем, а не получить доступ к тому, что мы защищаем и так далее.
Строить защиту вокруг границы, а не вокруг сценариев ущерба.
Кто был на C-Level Панельке, Павел Розумовский очень неплохо сказал, что бизнес думает сценарии. И это действительно так. С точки зрения безопасности мы тоже должны думать не то, что мы должны поставить сегмент вокруг центра обработки данных, или поставить файрволы вокруг периметра своего, или пустить весь трафик через одну точку входа, на которую поставить новомодный Next Generation Firewall.
Увы, нет. Сегодня ключевая задача думать с сценариями, которые могут произойтИИ которые могут быть реализованы теми же самыми плохими парнями.
Дальше мерить зрелость количеством стен. Действительно, мы до сих пор на многих мероприятиях рассказываем о том, какие мы продукты используем, какой у нас уровень зрелости по какому-то непонятному стандарту, который никто не читал, кроме нас.
Потому что хакеры их точно не читают, и когда происходят какие-то военные действия, не армия против армии, потому что все учились плюс-минус в генштабах, примерно, я в академии, при генштабах, примерно по одинаковым книгам, по одинаковым пособиям.
Начиная с Сунзы и заканчивая тем самым Клаузевицем или более современными военными стратегами.
А в мире, в котором мы живем сейчас, когда небольшие группки, отдельные люди атакуют нас, атакуют наши активы и так далее, они этого всего не читали.
Они зачастую действуют по наитию, они не знают, что вот так нельзя, что так никто не воюет и так далее.
Они действуют так, как им удобно, привычно, наиболее эффективно и почему-то достигают тех целей, которые не достигают целой армии, которые очень хорошо обучены ИИмеют большие оборонные бюджеты.
Дальше. Думать, что комплайнс это обороноспособность, но это классическая история про бумажную безопасность.
Она существует и в киберпространстве, и в физическом пространстве. Ничего не меняется.
То есть думая, что мы получили какой-то сертификат, аттестат, соответствие, что мы защищены, но это путь в никуда, точнее, к провалу, если нами действительно кто-то реально заинтересуется.
Больше согласований, конечно же, не больше безопасности, а больше защиты под жопу.
Для кого-то это тоже бывает нормальная стратегия, но, к сожалению, опять же, злоумышленники, плохие парни ничего не знают о том, что и с кем мы согласовывали.
они осуществляют свои действия, исходя из своих каких-то целей.
Ну и, конечно же, хакерс-майнсет, история, которая продвигается последние, наверное, лет 15 в российском комьюнити,
о том, что специалист по безопасности, несмотря на то, что он называется по безопасности,
он должен думать, как сделать опасно.
То есть у него должен быть хакерский майнсет, он должен думать, как пойдет хакер, как он будет действовать,
а не то, как у меня написано в ТЗ, не то, как у меня написано в архитектуре с кучей подписей согласовано, и не то, как думает регулятор, когда выпускает свою нормативку, которая застыла где-то там в 2018 году.
Это, кстати, тоже неплохо, потому что выпустить в 1926 году документы, которые базируются на знаниях 2018 года, это хорошо.
Потому что до этого эти знания базировались на документах 2012 года, а то и раньше.
Поэтому есть некое движение поступательное вперед, но, к сожалению, не такое быстрое, как того хотелось бы.
И мы прекрасно понимаем, что в современном мире мало кто будет реально атаковать стену.
Так же, как и хакеры не будут атаковать в лоб файрвол, так же, как никто в лоб никогда не атакует криптографию.
То есть атакуют обходными путями, соответственно, злоумышленники пойдут не напрямую, а через обходные пути, через подрядчика, через генерального директора, через ребенка генерального директора и куча других способов проникнуть в инфраструктуру и, соответственно, нанести нам ущерб.
несмотря на то что у нас на дашбардак все зеленая рисков нет или они находятся в допустимой зоне но
при этом нас появили а мы даже и не знаем об этом злоумышленный походит с карманами полными денег
туда виртуальных денег илИИных каких-то активов потому что сегодня такую собственно не стену а
атакуют наше мышление наше время и соответственно наше внимание которое размывается мы сосредоточились
на стене мы сосредоточились на файл воли обустотка точились на входных воротах а злоумышленник уже
10 раз вошел и вышел и мы про него даже не знаем потому что как бы фокусировались на другом опять
потому что у нас крепостное мышление которое нас сбивали регулятора своей нормативкой презентации
от виндоров федеральным государством образовательным стандартом голливудские блокбастеры и так далее
то есть мы до сих пор мыслим понятиями крепость и здесь возникает собственно вопрос а что делать
что к чему нам готовится и соответственно как на перестраивать систему своей безопасности
ну старая цель не пустить врага внутрь мы его перечеркиваем забываем про неё за редким
исключением что бывают все таки ситуации где эта цель работает защита средней составляющей густой
ну и так далее так далее но в массе своей наверно 99 процентов ситуации совершенно иная цель сделать
так чтобы проникновение сбой потому что далеко не всегда службы будет проникать систему может
осуществить просто сбой в этой самой системе или компрометация задачи чтобы они не превратились в
катастрофу если раньше взгляд на безопасность был не допустить любого инцидента сейчас картина
должна коренным образом меняться и мы должны исходить из немного других принципов во первых
Не толщина стены, а малый радиус поражения. То, что Сергей в своем первом выступлении на большой сцене говорил про бласт радиус, это как раз про это. Мы понимаем, что злоумышленные при желании все равно нас взломают, к нам залезят. Тем илИИным способом. Задача не дать ему залезть, залезя, скажем так, в компанию нанести максимальный ущерб.
То есть залез в один сегмент, в DMZ, либо на сервер какого-то разработки, либо на рабочую станцию бухгалтера, и дальше он не продвинулся. То есть малый радиус поражения. Мы признаем возможность поражения, но сразу ограничиваем его именно небольшим радиусом за счет сегментации, за счет правдоступа, минимума привилегий и так далее. Да, это банальщина, но без нее, к сожалению, сегодня уже нормально строить защиту невозможно.
Дальше, не абсолютная защита, а дешевое защитное действие. Не всем это доступно, кому-то требуется применять только сертифицированные средства защиты по требованиям регулятора, а они стоят как крыло от Боинга.
но те кто не попадает под регуляторику или понимает что даже а если к вам придут регуляторы предъявят
претензии максимум что они могут вам предъявить это 20 тысяч рублей штрафа о как то в этом случае
мы можем строить прекрасную защиту на дешевом на опенсорсном инструментарии с не меньше
эффективности да это потребует чуть больше квалификациИИ чуть больше геморроя чтобы
превратить это в целостную систему все-таки корпоративные продукты отличаются от о консорса
тем что неудобно управлять или красивые картинки даже барды и так далее но мы говорим все-таки о
конечной задачи они о том чтобы все было красиво на панельках которому показываем начальству дальше
контролируем не всего а только важное вот кто смотрит за истории с плот мифа с то наверное видел
шумиху о том что новая моделька антропика ну и собственно та же самая история с g5 сайга
от папана я находит огромное количество уязвимостей и количество действительно растет по экспоненте и
растет на порядке не просто линейный рост а экспоненциальный рост но может быть потом будет
степенной но пока он экспоненциальный и это говорит о том что мы не можем по старинке бороться с
уязвимостями айтишники точно не будут почек также как быстро находит уязвимость и отсюда возникает
вполне логичный вопрос что раз мы не можем пропасть все надо почить самое главное защищать тоже не
можем все на защищать самое главное для этого опять же возвращаясь панельки о чем говорил наталья о
чем говорил павел надо понять сценарии плохого что может быть плохого произойтИИ фокусироваться на
этом потому что то что плохо для специалистов которые занимаются безопасностью не значит что
это плохо для бизнеса бизнес может быть вообще положил болт на то что мы считаем плохо тот же
самый фронт о котором владимир упоминал у одного мобильного оператора затраты на фронт заложены
в тарифы на обслуживание абонентов то есть вы уже платите за то что мошенники будут против вас
и оператор будет выплачивать вам компенсацию.
То есть это уже заложено в тарифы.
Никто с этим бороться не будет в реальности.
Потому что вероятность того, что вы дойдете до суда и получите компенсацию
из 100% пострадавших, от силы 1% попробует эту задачу пройти.
И то не факт. С нашими судами получить компенсацию тоже задача нетривиальная.
Поэтому, скорее всего, закроем глаза на это.
А значит и компании нет смысла с этим бороться, если все равно ущерба никакого.
Хотя, с точки зрения любого безопасника, фронт, да, это опасность, им надо что-то делать.
Дальше.
Контроль, ну про контроль все сказал.
Не вера в доверенную внутренность, а постоянная проверка.
Не буду говорить слово Zero Trust.
Вот, оно уже тоже набило оскомину и превратилось в некую волшебную пилирульку,
хотя еще никто нормально Zero Trust не внедрял по-большому.
Но идея заключается в том, что у нас нет изначально доверенных компонентов.
Ни вендоров доверенных, ни сотрудников доверенных, никого.
У нас все изначально недоверено, значит мы должны всех проверять.
Независимо от того, нравится это кому-то, не нравится.
Но главное желательно это сделать незаметно, чтобы действительно не возникало каких-то дополнительных конфликтов.
Ну и последние вещи, они скорее про то, что сейчас модно говорить, киберустойчивостью или антихрупкостью.
Идеи, которые заключаются в том, что мы не строим крепость, а мы живем в условиях постоянной атаки
В условиях постоянной атаки наша основная задача не отбивать эти атаки, а чтобы бизнес продолжал работать
Если он продолжает работать, да и хрен с ним, что у нас атак огромное количество
Бизнес зарабатывает деньги, мы укладываемся в соответствующий риск аппетита
Ну и прекрасно, бизнес нам скажет только спасибо
Он не будет от нас ждать, как мы думаем, снижение количества инцидентов до нуля.
Вот если бы эти вопросы задавались или в Куларху спросили Наталью, как бывшего гендиректора Росбанка, или Павла, как человека, который отвечает за риски, они скажут, нет, никто никогда не стремится довести количество рисков до нуля.
Нужен определенный баланс.
Главное, чтобы бизнес продолжал работать.
Для этого надо понимать, на чем он зарабатывает и строить защиту вокруг самого важного, а не вокруг всего.
Поэтому дрон против крепости, это, конечно, не про дрон, как техническое изделие, и не про крепость, как фортификационное сооружение.
Дрон против крепости, это про крепостное мышление и про то, что одна сторона этого противостояния живет уже в новой логике, в логике дрона.
быстро, дешево
нанес ущерб и свалил.
А другая сторона,
крепость, все еще живет
в парадигме сертифицированной
кирпичи для постройки
стены и строителей только
из реестра отечественных.
Вот, соответственно, вот эта
парадигма сегодня меняет
Кибербест. Кто этого не понимает,
наверное, будет выброшен на свалку истории,
к сожалению. Ну, а кто сможет
вовремя понять вот эту идею,
что дрон против крепости это не про СВО как таковое, а про реальный кибербез, с которым мы с вами живем, это совершенно другое мышление и более эффективное развитие и получение всяких плюшек и так далее, о которых мы также говорили на большой сцене.
Ну и, конечно, самая большая ошибка сегодня продолжать проектировать систему безопасности,
будь то физическая безопасность, ментальная безопасность, цифровая безопасность,
позиции вот этой самой крепостной истории, с точки зрения крепостного мышления.
Надо его менять.
Ну а к чему готовиться?
Я не буду, наверное, сильно рассказывать, что же здесь показано.
Презентация будет доступна.
Это такой взгляд на войны будущего.
Дешевые против дорогого, скорости совершенно иные
Вместо единичных централизованных систем войны роев
Соответственно, мультидоменные войны, которые объединяют сразу несколько направлений
А они живут только в одном домене
Адаптация постоянная, люди плюс машины, а не только человек против человека
Поэтому, кто не осваивает искусственный интеллект, также будет выброшен на свалку истории.
Войны логистикИИ восстановления, то есть выигрывает не тот, у кого лучше танки, а у кого лучше работает логистика.
Поэтому обеспечение отказа устойчивой архитектуры, инфраструктуры, это неотъемлемая часть ровно.
Поэтому надо уметь дружить с айтишниками, с девапсами, а не жить как кошка с собакой, потому что в конце концов именно безопасники окажутся крайними.
Ну и война за доверие это то, что в ближайшее время также будет занимать умы, причем доверие не только к человеку, но и доверие к машине и доверие к искусственному интеллекту. Я это выделяю как третью сущность, хотя сейчас идут философские споры на то отдельная ли это сущность или просто программа, но для меня это действительно отдельная сущность, у которой отдельные требования будут по кибербезу.
Ну и последний слайд, наверное, про брос в том, о чем я говорил с самого начала, и еще более раннюю историю.
Крепости появились не просто так. Крепости это результат наблюдения человека за природой.
Если мы посмотрим на термитники, это классическая крепость или муравейники.
Если мы посмотрим на то, как, например, стада бизонов, вымерших, но тех же самых зубров и так далее, защищают молодняк.
и свои, соответственно, будущие поколения, они выстраиваются в стену вокруг них.
Если мы посмотрим на то, как строятся бобровые хатки, мы тоже поймем, что это тоже определенная стена.
Правда, выглядит она не как стена, но в реальности она именно такая, туда пробраться не так просто и так далее.
мы поймем, что все, что мы делаем в безопасности,
в физической безопасностИИли в кибербезопасности,
пришло из прошлого, пришло из животного мира.
Не зря те же самые китайские бойцы изучали повадки животных,
отсюда появились звериные стили.
Не случайно Леонардо да Винчи смотрел за животными,
потом у него появлялись идеи его аппаратов.
Не случайно появилась бионика и биомиметика,
которые как раз берут идеИИз животного мира.
Вот то же самое надо делать и специалистам по безопасности,
потому что животный мир, природа в целом,
генерит огромное количество технологий, взглядов, концепций,
которые в безопасностИИ в кибер, в том числе, могут быть применены,
но мы до сих пор не применяем.
Если вы посмотрите на истории с пентестами, с бакбаном и так далее,
это все есть в животном мире.
поэтому смотрим на то как нас окружают собачки кошечки тараканы богомола и так далее наблюдаем
делаем выводы и потом собственно строить систему защиты опираются же на совершенно
иные принципы они на крепостное мышление большое спасибо если есть вопросы
есть вопросы у нас а вот уже есть я думал что я буду все вопросы сдав
есть такая стратегия вообще актуальна
раньше прям стигматизм и компаниИИ страны начинают
ну а мой взгляд это не ответ это просто немного другая история отомстить есть тоже в природе наверно
человеку человеку животных как того понятия вместе в явном виде не существует а человек
пытается мстить но это путь никуда если мы начинаем осуществлять контр-атаки мы получим
контратаку в ответ и в какой-то момент времени это может выйтИИз-под контроля но сейчас мы наверное в
мире физическом идем по этому пути вот поэтому здесь кто умнее кто-то становится первым наверное
все буду смотреть за якобы слабость но в реальности оказался умном и предотвратил катастрофу поэтому
в киберпространстве попытки осуществлять контр-атаки но они конечно пытаются быть объяснены и обоснованы
но частью наверно для многих из нас середички точки зрения сделать это нельзя и все равно будет
нарушение законодательства любой страны мира и это могут себе позволить только государства это
никогда явно виде они про это не расскажут только может быть спустя годы на мой взгляд это не ответ
не выжили те кто не участвовал хабейки а просто смотрел за этим со стороны
тогда никто не выживет и собственно природа наконец освободится
кстати давайте продолжим тему вот эту же тему но другим примером а я знаю что некоторые люди которые
живут там в районе белгорода и устали от дронов они начинают сами думать как бы им не дожидаясь
большой спасательной операции с этим бороться например на собственные машины ставят маленькие
антидроновые системы ну типа лидар да чтобы хотят предупреждениями это приводит к мысли что вот все
меры по которой рассказал они вообще должны быть другим типом компаний и других видов продуктов то
есть не небольшая корпорация который медленно соображает а маленькие компании которые возможно
продают маленькие и гибкие товары и вплоть до но вот это не любима у нас но любимой в америке идея
что в принципе если ты гражданин вооруженный то в тебе в дом не полезут и как бы не всегда нужно
полицию достаточно у себя на даче ружьё иметь и как бы люди знаю что у всех может могут быть
ружьё лишний раз не полезно если полезут ты сам персонально ответишь то есть может быть в этом
решение вот этой вот борьбы с роли до что не знаю вооружить население или как минимум дать
возможность осуществлять отбор каким-то другим группам кроме гигантских корпорации которые из
на мой взгляд это есть ответ как раз когда у тебя появляется асимметрия в ответе тебе не надо
полагаться на что-то крупная аля армию которая как бы медленная неповоротливая дорогая и так далее
ты берешь это в свои руки но для этого должна быть определенная зрелость у государства которое захочет
потерять определенный контроль над безопасностью государства ну и соответственно потенциально потерять
вообще контроль над всем то что определенных на структурах это путь в анархию может привести к
этому поэтому наверное это был бы ответом но наверное не в россии понятно еще вопрос
направление и
на мой взгляд ну ключевая история что точно изучаете искусственный интеллект
причем с разных его проявлений искусственный интеллект ВБ и БИИИИ и это уже очень серьезный задел на
будущем, потому что потом можно идти во многие направления. Обсек в разном его проявлении,
потому что цифры будут становиться больше, соответственно софта больше, его надо делать
более безопасным, потому что строить стены вокруг небезопасного софта бессмысленно, лучше изначально
делать более безопасно и третья история на мой взгляд это айотИИ может быть здесь это уже такая
история больше про киберпанк история в биохакинг после если маску удастся довести до финала его
эксперимент с вживлением чипов в мозг и подключить старлинки сразу к чипам нового века на более
интересна задача для кибербеза то что никакой сертифицированный в чип не воткнешь а вот а значит
совершенно другие принципы безопасности должны быть вот поэтому на первых парах и во всем его
многообразии на втором это безопасная разработка и обсе в целом и третье это а ведь и это то что
будет перспективно на ближайшие на мой взгляд десятилетия ну что вот еще на вопросе сейчас давайте
давайте-то тут доберемся
Спасибо
Вот скажите, пожалуйста
я в своей практике
периодически встречался с тем, что
у безопасности
и удобства сотрудников
в абстрактной организации
есть такая граница
если очень безопасно, очень неудобно
если очень удобно, очень небезопасно
условно
на такой сдвиг между ними
И чем людям неудобнее, тем больше они склонны нарушать внутреннее состояние безопасности организации.
Ну, то есть, они пытаются сделать свою работу, а им мешают, грубо говоря.
Они это не любят.
А вот когда мы пытаемся в новой парадигме...
То есть, сейчас у нас есть стена, да, за стеной безопасно, внутри стены удобно.
Если можно...
Может быть.
Ну, например, вот так.
Во-первых, да, я могу быть, в принципе, неправ.
Вот в новой парадигме, когда мы пытаемся именно сократить радиус поражения внутри компании, приведет ли это к тому, что людям станет еще неудобнее?
Например, вот будет ли такое смещение? И как научиться мыслить в новых условиях, чтобы сделать хорошо безопасно, но при этом, чтобы всем было комфортно?
У меня ответ очень будет простой. На самом деле вот эта парадигма, что безопасно, значит неудобно, это еще одно порождение, к сожалению, не очень грамотных безопасников, потому что в реальности безопасность может быть прозрачной и при этом обеспечивать достаточно высокие уровни защищенности.
Если посмотреть на историю, то в 75-м году в свое время была опубликована такая, ну сейчас бы это назвали манифестом, про основные принципы построения защищенных систем.
Один из принципов был как раз про психологическую приемлемость, который означал, что механизм защиты, который внедряется в систему, не должен быть для пользователя непривычным и не должен мешать ему выполнять свои типичные действия.
про этот принцип все забыли потому что вот ей я там словно достаточно давно работаю в кибербезе
и прекрасно помню как российские компании на первые годы своего существования вообще не имели
юай отделов то есть они не занимались ни эргономикой не изобилить и тестированием не проводили об
тесты и так далее то есть у них была функциональная проверка требованиям регулятора и даже иногда
продукт мог не работать но и на сертификат потому что выполнял требования на тестовой среде вот отсюда
пошло все с точки зрения того что безопасность это всегда неудобно в реальности вот если мы сейчас
посмотрим криптографии вообще не знаем как это криптография но она работает как защищает паски
мы заходим в системы многофакторная аутентификация но мы не запоминаем не пароли ничего значит это
можно сделать здесь вопрос только правильное проектирование тестирование и соответственно
привлечение различных групп которые на которых мы будем на кошечках тестировать илИИные продукты
с точки зрения безопасности новый удобства и тогда продукты поменяются можно очень интересно
проследить за историям развития microsoft а с точки зрения именно удобства пользования механизмов
безопасность есть на тему интересные книжки там очень хорошо это прослеживается как у них было
в начале и как стало сейчас гораздо более удобно и более безопасно но на больших чистых она конечно
показывает что они дырял и но если сопоставлять с теми же самыми linux они так далее они гораздо
более безопасная платформа и при этом удобно ИИспользуем поэтому здесь надо менять просто чуть
парадигму они думают что раз безопасно значит точно неудобно поэтому будущем если об этом задуматься
мы вернемся и безопасным и удобным систем и пользователь скажет спасибо буду за это еще и
платить будущее вспомнил пароль на работе сейчас не менее 20 символов я его каждый день набираю очень
удобно да я не убираю у нас так ладно последний вопрос
Привет.
Есть два тезиса.
Тезис номер раз – это тезис о том, что атака стала
на роевой системе.
Тезис номер два – о том, что…
Чьи тезисы?
Первый тезис из твоей преза.
Второй тезис из общих вайбов последних полутора лет
конференций – то, что наш периметр становится
все более и более размытым.
Размытие периметра как влияет?
это ответ это реакция на то что у нас меняются атакИИли атаки стали появляться из-за того
что размывается периметр как нас этим жить от и не сначала пришла до я там как раз отвечал на
историю про не периметр изации размытия периметра и роли это просто изменение временИИ появление
новых более дешевых способов проведения атаки когда нет центрального удара а есть распределенность и
это распределенность используется не только условно в облачении но и при проведении атак
через там и рой агентов которые сейчас применяются для этого вполне себе укладываются в устойку
но мне кажется что естественным образом все таки периметр сначала расползает то есть вдруг появляется
мобильное устройство а потом только все начинают думать как атаковать и как защищать сначала
мобилу должна появиться каждом кармане вот это испорченный периметр и стать частью периметра даже
так илИИначе ты называть это будешь изменившимся периметр но появились мобилы он на самом деле уже
разношен да то есть так что к определения дошло до кого-то не дошло вот так вот а доходит после
первой атаки на этот разрушенный периметр вот и все что не было так я думаю что просто какой-то
момент они переходят границу финансовый скайна все но может алексей попавит да но я думаю что
с самого начала появления мобил ну по крайней мере вот в компании где я работаю до начала 2000
годов первые мобильные вирусы уже тогда являлись атаками только ничего не делали вирус который
ходит по блютусу и с одной нотки на другую вот старая нокия тогда но ничего не происходит не
не уграл миллионы и ладно и хрен с ним вот вот когда через десять лет тоже bluetooth стали
использовать апт да там кого-то это раздражало до этого все ломается потом это кого-то достает
моя версия такая пока говорится нет они не плюнет петух мужик не крестится скорее всего так не не
только мужик до родительного ради не крестится еще вопрос есть к Алексею нет тогда спасибо спасибо