Κοινή χρήση γνώσεων στο 44CON

44CON — Λονδίνο — Μετά από ένα διάλειμμα δύο ετών, το συνέδριο για την ασφάλεια πληροφοριών του Λονδίνου 44CON επέστρεψε στις 16-16 Σεπτεμβρίου 2022. Παθιασμένοι ευαγγελιστές ασφάλειας ενώθηκαν από αρχιτέκτονες και διευθυντές από κορυφαίες εταιρείες τεχνολογίας για να απολαύσουν ένα διήμερο φεστιβάλ έρευνας για την ασφάλεια στον κυβερνοχώρο από παγκόσμια πρωτοσέλιδα. Οι άνθρωποι ήρθαν για να συναντηθούν, να κάνουν επιχειρήσεις, να μιλήσουν και να μάθουν, με το πλήρωμα του 44CON να προσφέρει διασκέδαση, εξαιρετικό φαγητό και ψυχαγωγία με θέμα την ασφάλεια στον κυβερνοχώρο.

Μοιάζει λίγο με το Babylon 5 της βρετανικής κοινότητας infosec.

Ρώτησα τον Adrian Mahieu, τον ιδρυτή του 44ΚΩΝ και η κινητήριος δύναμη πίσω από την ανάσταση του συνεδρίου, αυτό που τον παρακίνησε να ξεκινήσει ξανά μετά την COVID. «Ήθελα να κάνω ένα συνέδριο στο οποίο θα ήθελα να πάω, με μερικές σοβαρές σε βάθος τεχνικές συζητήσεις, μερικούς ενδιαφέροντες χορηγούς που δεν είναι οι συνήθεις ύποπτοι που θα δείτε σε άλλα συνέδρια τεχνικής ασφάλειας, αλλά πιο ενδιαφέροντες για μένα κάνει τους ανθρώπους να μιλούν και να μαθαίνουν ο ένας από τον άλλον», λέει.

Αυτή η εστίαση φαίνεται ακόμη και σε απλές πτυχές, όπως ο τρόπος με τον οποίο οι διοργανωτές του συνεδρίου αφιέρωσαν έναν μεγάλο κοινόχρηστο χώρο σε τραπέζια, επιτρέποντας στους παρευρισκόμενους να μοιραστούν τον καφέ, να απολαύσουν κάποιο εξαιρετικό φαγητό ή απλώς να κάνουν αυτοσχέδιες συνεδρίες με πουλιά. Άνθρωποι σε όλα τα στάδια της σταδιοδρομίας τους στον τομέα της κυβερνοασφάλειας είναι παρόντες, από πρόθυμους πρόσφατους πτυχιούχους που κάνουν συνδέσεις μέχρι ηγέτες του κλάδου στον εντοπισμό ταλέντων και τη συγκρότηση ομάδων, καθώς και ένας μεγάλος αριθμός ανθρώπων που δικαιολογούν τον περιγραφικό όρο «ειδικός».

Εκπροσωπήθηκαν πολλοί κλάδοι, συμπεριλαμβανομένων των παρόχων υπηρεσιών ψυχαγωγίας εκπομπής και cloud. «Λέω στους πωλητές ότι το μόνο που χρειάζεται να φέρουν είναι ένα σκηνικό για το τραπέζι των εκθετών τους», εξηγεί ο Mahieu. «Δεν θέλω αυτά τα μεγάλα ανακτορικά περίπτερα να καταλαμβάνουν τον κοινόχρηστο χώρο, θέλω όλοι να αισθάνονται ελεύθεροι να μιλήσουν μαζί!»

Η ψυχαγωγία της βραδιάς περιελάμβανε ένα πολεμικό παιχνίδι επικοινωνιών ασφαλείας που σχεδιάστηκε και φιλοξενήθηκε από καινοτόμους προγραμματιστές παιχνιδιών Πέτρινο ψαλίδι χαρτιού. Το Threat Condition προσομοιώνει τα προβλήματα και τα ζητήματα που προκύπτουν μετά από μια επιβλαβή για τη φήμη κυβερνοεπίθεση και υπογραμμίζει τις επακόλουθες οργανωτικές και επικοινωνιακές προκλήσεις. Το SPS σχεδίασε αυτό που πιστεύω ότι μπορεί να είναι το καλύτερο επιτραπέζιο σενάριο για την αποκατάσταση καταστροφών που έχω δει ποτέ.

Ένα πράγμα που διαφοροποιεί το 44CON από άλλα συνέδρια είναι οι προφυλάξεις του για τον COVID-19. Η 44CON εγκατέστησε καθαριστές αέρα υψηλής ισχύος σε όλο τον χώρο για να παρέχει καθαρό, αναπνεύσιμο αέρα στους συμμετέχοντες.

Chatham House Chats

Οι συζητήσεις διεξάγονται υπό την Κανόνας του Chatham House, επιτρέποντας στους ανθρώπους να μιλήσουν και να μοιραστούν την έρευνά τους ελεύθερα. Υπό αυτή την ιδιότητα, μπόρεσα να έχω μια εις βάθος συζήτηση με έναν από τους ειδικούς σε θέματα ασφάλειας cloud στον κόσμο. Συζητήσαμε το είδος των γεγονότων που βλέπει και ποια είναι τα συμβάντα «συναγερμού πυρκαγιάς».

«Η ταυτότητα είναι πάντα πρώτη», είπε. "Το CIRT μας ανταποκρίνεται μέσα σε λίγα λεπτά σε μια διαρροή διαπιστευτηρίων σε ένα δημόσιο αποθετήριο πηγαίου κώδικα." Όταν εξετάζουμε την ασφάλεια της ταυτότητας πρώτα, το πρόβλημα των συνεργατών, των μετακινήσεων και των αποχωρούντων γίνεται μεγάλο, καθώς το μόνο που βλέπει ο πάροχος υπηρεσιών cloud είναι ένα διακριτικό. «Είμαστε αντιμέτωποι με μια επιλογή όταν συντονίζουμε τη διάρκεια ζωής του token — πολύ σύντομη και η εμπειρία χρήστη γίνεται χάλια με υπερβολικά συχνές προκλήσεις σύνδεσης. υπερβολικά μεγάλο χρονικό διάστημα και το διακριτικό γίνεται ευάλωτο σε περιπτώσεις όπως η κλοπή τελικού σημείου." Η αξιολόγηση κινδύνου κάθε συναλλαγής από το τελικό σημείο είναι δυνατή. Αλλά δεδομένου του εύρους δραστηριότητας για κάθε χρήστη της υπηρεσίας cloud, αυτό γρήγορα καταρρέει στο φράγμα επεκτασιμότητας της ασφάλειας.

Πάντα περίεργος για το πώς εξελίσσεται το πρόβλημα των εσωτερικών πληροφοριών, άρπαξα την ευκαιρία να ρωτήσω πώς οι κορυφαίοι πάροχοι υπηρεσιών cloud αντιμετωπίζουν παραδοσιακά δύσκολα προβλήματα όπως το DLP και πώς μεταφέρεται σε περιβάλλον cloud. Πολλοί επαγγελματίες ασφάλειας εξακολουθούν να αντιμετωπίζουν προβλήματα με τη μετατροπή της νοοτροπίας παλαιού τύπου τους σε εγγενή στο cloud. Ο εμπειρογνώμονάς μου σε θέματα ασφάλειας ήταν πρόθυμος να εξηγήσει: «Βλέπουμε ένα κοινό πρόβλημα όπου ένας χρήστης επιχειρηματικών εφαρμογών θα διευρύνει πληροφορίες σε προσωπικούς κάδους AWS. Αυτό σημαίνει ότι το αρχείο καταγραφής cloud βρίσκεται στον προσωπικό τους κάδο και η επιχείρηση δεν έχει καμία ορατότητα. Ωστόσο, υπάρχει μια απλή απάντηση — συμβουλεύουμε τους επιχειρηματικούς πελάτες να δημιουργήσουν μια πολιτική με επίγνωση των υπηρεσιών που περιορίζει την πρόσβαση σε κάδους σε κάδους που ανήκουν σε εταιρείες».

Αυτό σημαίνει ότι πολλοί επαγγελματίες ασφάλειας εξακολουθούν να περιορίζονται σε παλαιού τύπου σκέψη και αρχιτεκτονικά μοντέλα, ένας βασικός δείκτης του οποίου είναι όταν οι επαγγελματίες προσπαθούν να φιλτράρουν με βάση τη διεύθυνση IP, προσπαθώντας βασικά να αναδημιουργήσουν το παραδοσιακό τους κέντρο δεδομένων σε περιβάλλον υπηρεσιών cloud. Οι περιπτώσεις σύννεφων είναι εφήμερες από τη φύση τους, επιτρέποντας σε έμπειρους αρχιτέκτονες και προγραμματιστές να δημιουργούν και να καταστρέφουν παρουσίες κατά παραγγελία. Οι διευθύνσεις IP απλώς δεν έχουν σημασία σε αυτό το πλαίσιο.

Συμμετοχή και Παρουσίαση

Τα συμβάντα Capture-the-flag (CTF) αποτελούν βασικό στοιχείο για πολλά συνέδρια για την ασφάλεια στον κυβερνοχώρο, αλλά ακόμη και εδώ, το 44CON έχει τη δική του περιστροφή. Το φετινό CTF διοργανώθηκε από την Trace Labs, έναν καναδικό μη κερδοσκοπικό οργανισμό που συνεργάζεται με τις υπηρεσίες επιβολής του νόμου για να αξιοποιήσει τη δύναμη της συλλογής OSINT με βάση το crowdsource για να βοηθήσει σε συνεχείς έρευνες για αγνοούμενους. Αντί να εκτοξεύουν τα κιτ εκμετάλλευσης τους σε έναν στόχο, οι διαγωνιζόμενοι κλήθηκαν να «χρησιμοποιήσουν τις δυνάμεις τους για καλό» και να αναλάβουν πραγματικές υποθέσεις αγνοουμένων και κυνήγι για κομμάτια νοημοσύνης ανοιχτού κώδικα που λείπουν, ή σημαίες. Όσο περισσότερες σημαίες βρίσκει μια ομάδα, τόσο περισσότερους πόντους παίρνει, συμβάλλοντας ταυτόχρονα στο να γίνει πιο ολοκληρωμένη η βάση δεδομένων των αγνοουμένων.

Και κρατώντας το καλύτερο για το τέλος — τις συνομιλίες! Με τίτλο από τον James Forshaw του Google Project Zero, οι παρουσιάσεις ήταν υπέροχες διαθέσιμος, επιτρέποντας σε όλους μας να μάθουμε για τις πιο πρόσφατες ευπάθειες και την εκμετάλλευση, είτε είστε κόκκινη είτε μπλε ομάδα. Ο Erlend Andreas Gjære, συνιδρυτής και Διευθύνων Σύμβουλος του συμβούλου εκπαίδευσης ασφαλείας Secure Practice, μίλησε για την ανάγκη για μια ανθρώπινη επαφή στην ασφάλεια στον κυβερνοχώρο και ο μυστηριώδης ξένος που προσδιορίστηκε μόνο ως «cybergribbons» εξήγησε πώς πήρε τον έλεγχο των κρουαζιερόπλοιων, των πετρελαϊκών σκαφών και άλλα πλοία του εμπορικού ναυτικού σε μια ομιλία που ονομάζεται "Είμαι ο καπετάνιος τώρα!"

Τελευταίο αλλά εξίσου σημαντικό ήταν μια εμπνευσμένη ομιλία του Haroon Meer, ο οποίος έκλεισε το συνέδριο προτρέποντας όλους τους συμμετέχοντες να απελευθερώσουν την καινοτομία τους και να δημιουργήσουν προϊόντα ασφαλείας που χρειάζεται ο κόσμος. Ο Meer παρατήρησε πόσα από τα προϊόντα που κυκλοφορούν αυτή τη στιγμή στην αγορά είναι λάδι φιδιού, που πωλούνται από άτομα που δεν θα άφηνες μόνους στο σπίτι σου με τη γιαγιά σου. Τόνισε επίσης ότι ο δρόμος για μια κερδοφόρα επιχείρηση SaaS είναι απλώς να βρει κάτι που 1,000 άνθρωποι θα θέλουν να χρησιμοποιήσουν — ίσως η καλύτερη συμβουλή για εκκολαπτόμενους επιχειρηματίες από τότε Το γήπεδο πέντε διαφανειών του Ρον Γκούλα.