Протистояння: новий формат і нова реальність



Відгримів Positive Hack Days VI. Тепер, коли його події вже стали сторінкою минулого, саме час підбити підсумки і намітити курс на наступний рік. Лейтмотивом шостого PHDays стало протистояння: ідея, яка з перших днів створення PHDays блукала в головах організаторів, нарешті знайшла своє втілення у вигляді «PHDays VI СityF: Протистояння». Ключовою конкурс форуму з вузькоспеціалізованої хакерської гри перетворився в дводенну мегабитву.

Перша спроба змінити вітрила і наблизити практичні змагання до реального життя була зроблена ще в минулому році, на п'ятому PHDays. За сюжетом кожна команда CTF являла собою угруповання, що діє в вигаданому державі. Всі події були зав'язані на підпільній біржі праці, на якій учасники отримували замовлення на злом тих чи інших об'єктів. У цьому році творці форуму пішли далі і розбавили хакерський міжсобойчик командами захисників та експертних центрів безпеки (SOC). З легкої руки організаторів в гру були залучені реальні представники світу інформаційної безпеки — ті, хто в житті будують системи захисту, протидіє атак, розслідує інциденти.

«Як правило, в CTF беруть участь тільки хакерські команди. У той час як люди, що відповідають за безпеку реальних об'єктів, наприклад, інтегратори, SOC, ІБ-експерти, не беруть участь в цьому змаганні. Велика частина ІБ-індустрії була поза грою. Завданням «PHDays VI СityF: Протистояння» було зробити так, щоб якомога більше людей побачили практичну сторону безпеки. Нам здався дуже цікавим формат, коли вузькоспеціалізовані команди захисту і нападу займаються тим, чим вони майстри команди захисників і SOC будують системи захисту і відбиваються від атак, а хакери нападають», — коментує Борис Симис, заступник гендиректора Positive Technologies з розвитку бізнесу.

Консультант з безпеки Cisco Олексій Лукацький зазначає, що минув захід — це свого роду «нове слово в організації заходів щодо реальної кібербезпеки». «CityF відрізняється від традиційних киберучений і CTF, що живуть за певними сценаріями, тим, що у протистоянні брали участь обидві сторони. По суті мова йде про принцип red team vs blue team, коли одна команда атакує компанію, а інша її захищає. У випадку з CityF в якості такої компанії був обраний побудований міні-місто, а в якості червоних і синіх команд — представники ринку ІБ, які могли на ділі, а не на словах продемонструвати свої компетенції у забезпеченні інформаційної безпеки», — пояснює він.

Москва не відразу будувалася...

Всі події розгорталися в деякому місті F, який функціонально практично нічим не відрізнявся від звичайного мільйонника. В ньому працювали банк, телеком-оператор, електроенергетична компанія, офіс великого холдингу і «розумний» будинок. На території міста було розгорнуто власний інтернет з новинними і розважальними сайтами і соцмережами.

Творець створив світ за шість днів, однак на зведення міста F часу пішло куди більше — цілих півроку знадобилося «будівельникам». Завдяки спільним зусиллям організаторів і партнерів в рекордні терміни вдалося розгорнути всі макети і стенди, які з технічної частини були максимально наближені до життя. Вийшла на диво складна з точки зору інформаційної безпеки інфраструктура.

Розповідає менеджер по просуванню продуктів Positive Technologies, член оргкомітету PHDays, член оргкомітету PHDays Михайло Левін: «За обчислювальних потужностей це був реальний місто. Нам потрібні колосальні ресурси — мережеве, серверне програмне забезпечення. Ми побудували місто власними зусиллями, але, звичайно, величезну підтримку нам надали наші партнери — компанії Cisco і Check Point, які надали необхідне обладнання, а також активно допомагали в його установці і настройці».

Зокрема, були використані нові рішення: контролер Cisco APIC (Cisco Application Policy Infrastructure Controller), комутатори Cisco Nexus 9000, файрвол Cisco ASA 5585, Check Point Next Generation Firewall.

«З компанією Positive Technologies нас пов'язують давні відносини — не тільки професійні, але й дружні. Тому ми з радістю і вже не перший рік допомагаємо в організації технічної інфраструктури PHDays. У цьому році завдання стала більш масштабною, так як знадобилося набагато більшу кількість мережевого обладнання та серверів, ніж це було в минулому. Але ми впоралися. Сказати, що ми переслідували якісь особливі чи комерційні цілі, я не можу. Просто було бажання допомогти хорошим людям в організації доброї справи», — уточнює Олексій Лукацький.

Потрібно відзначити, що в підготовці конкурсу взяли участь не тільки великі компанії — були серед учасників і справжні стартапи. Наприклад, компанія Loomoon надала банку міста CityF свою систему ДБО. Більшу частину макету «розумного будинку» підготували компанії Advantech і ПРОСОФТ.

Не менш серйозно підготувалися і безпосередні герої протистояння. За умовами гри команди захисників заздалегідь отримали доступ до інфраструктури для налаштування засобів захисту своїх об'єктів, і тут для них не було ніяких обмежень. Ключовими інструментами захисників стали перевірені ними на практиці міжмережеві екрани рівня додатків, засоби захисту мережевого периметра, виявлення і запобігання атак, кошти кореляційного аналізу та навіть SIEM. Вендори також були представлені, що називається, в асортименті: використовувалися HP ArcSight, IBM QRadar SIEM, Microsoft Operations Management Suite, Qualys, Bot-Trek TDS, система на базі Security Onion, Balabit Shell Control Box, Windows Server Update Services, різні IDS/IPS.

Втім, деякі з команд захисників і SOC не змогли відмовити собі в задоволенні спробувати нестандартні рішення в бойових умовах CityF. Наприклад, команда False Positive використовувала кілька власних розробок з розслідування інцидентів, а команді You Shall Not Pass знадобилися навіть старенький телефон Motorola С118 і віртуальна машина Ubuntu для моніторингу GSM-мережі.

Якщо захисники озброїлися не на жарт, то атакуючі, навпаки, кинулися в бій практично з голими руками, озброївшись ноутбуками і стандартних хакерських набором. В основному це були інструменти для проведення атак на веб-додатки Burp Suite, сканування IP-мереж Nmap, захоплення і аналізу мережевого трафіку Wireshark, відновлення паролів Cain & Abel, створення і налагодження експлойтів Metasploit.

Ламаємо по живому

Протистояння стало викликом не тільки для організаторів, а й для учасників, яким опинилися в новинку і правила, та ігровий світ. Абстрактні завдання залишилися в минулому, цього разу перед учасниками стояли реальні цілі. За словами керівника відділу безпеки банківських систем Positive Technologies, члена оргкомітету PHDays Тимура Юнусова, «класичний CTF, незважаючи на всі свої переваги, все ж відірваний від реальності: все зводиться до вирішення головоломок і виконання штучних завдань». Головна ж задача, яку переслідували організатори, — наочно показати, як насправді ламають і захищають живі системи (та ще так, щоб події було зрозуміло і тим, хто мало знайомий з хакерським світом). В якості завдань хакерам запропонували вкрасти гроші з банку, забезпечити себе безлімітним мобільним зв'язком, влаштувати аварію на гідроелектростанції, залишити без світла розумний будинок, а командам захисників і SOC — протистояти атакуючим. Власне, все як у житті.

Звичайно, будь-який подібний захід пов'язане з труднощами. На щастя, виникли труднощі вдалося подолати, і, незважаючи на всі перипетії, більшість учасників позитивно оцінюють досвід, отриманий під час змагання.

«Незважаючи на деякий сумбур в організації, пов'язаний як з масштабом заходу, так і зі зміною формату, ми зарядилися драйвом на рік вперед. В процесі CityF були деякі накладки і нерозуміння правил і принципів визначення рахунку, але нагородження зняло всі питання», — коментує Іван Мелехин, технічний директор компанії «Інформзахист», яка, між іншим, відправила в CityF цілих дві команди — izo:SOC і weIZart (захисників і SOC).

Проте декому таки не вистачило вогника: деякі хотіли позмагатися не тільки з хакерами, але й з колегами по цеху. Звичайно ж, знайшлися і ті, кому ближче принципи старого доброго CTF.

«Враження від гри неоднозначні: цікава ідея, підготовлені практичні завдання, але недостатньо налагоджено ігрове взаємодія і система очок і штрафів (особливо для захисників)», — вважає учасник команди Rdot Омар Ганієв. Підтримує його і учасник filthy thr33 Кирило Шилиманов: «Змагання залишило змішані почуття. Перший день для атакуючих практично пішов даремно, оскільки до сервісів просто не було доступу. Коли вони відкрилися і почалися зломи, стало набагато веселіше. Зазначимо, що сервіси були підготовлені складні, цікаві, за що велике спасибі організаторам».

30-годинна битва

Протистояння тривало близько тридцяти годин, це був справжній марафон з протидії масованим атакам. У розпорядженні учасників було п'ять об'єктів, які захищали п'ять команд захисників і три команди SOC. За два дні судді зафіксували від 3 до 20 тисяч подій безпеки на кожному об'єкті захисту і всього близько 200 серйозних атак, велика частина з яких призвела до значних результатів.
У 99% випадків атаки були сконцентровані на периметрі захищених об'єктів. Як і в реальному житті, найбільш поширеним вектором стали атаки на веб. Втім, це не було сюрпризом для захисників, вони заздалегідь припускали такий хід подій і були готові до оборони.

«Ми захищали офісну інфраструктуру, особливу увагу приділяючи захисту веб-серверів. Як виявилося, не дарма: хакери використовували безліч інструментів для пентеста, і якщо з експлойта для операційних систем IPS справлялася, то витончені атаки на веб-сервери і атаки на логіку роботи додатків можна було виявити тільки в ручному режимі, аналізуючи логи WAF, веб-серверів і розширені логи операційних систем», — розповідає Дмитро Березін, експерт з інформаційної безпеки компанії «КРОК», учасник команди Green.
Всупереч очікуванням захисників, ще один популярний на практиці вектор — атаки з використанням соціальної інженерії — не був активно задіяний учасниками протистояння. Лише одна команда хакерів скористалася неуважністю противника і сфотографувала логіни і паролі від внутрішнього форуму команди захисників. Однак ці дані не призвели ні до якого серйозного інциденту. «Ми дуже чекали застосування соціальної інженерії, але атакуючі практично не використовували такі технології», — скаржиться керівник Solar JSOC компанії Solar Security Володимир Дрюков, учасник команди False Positive.

Пізніше захисники зізналися, що готувалися до гіршого, тому були озброєні до зубів і підготували пастки. Чекали абсолютно все: експлуатації вразливостей в додатках, веб-додатках, ОС і сервісах, помилок конфігурації. На ділі все виявилося інакше.

«Наша команда захищала всі об'єкти — робочі станції операторів, сервери, корпоративну пошту, домен, ДБО, системи відеоконференцзв'язку, електронного документообігу та обміну миттєвими повідомленнями. Значна частина підготовлених рубежів захисту не знадобилася: хакери не проникли у внутрішню мережу. Ми не побачили атак на мережевий протокол аутентификації Kerberos типу Golden Ticket і Pass-the-Hash, атак за допомогою троянів, бекдорів. Також хакери не залізли ні на один підготовлений honeypot. Ніхто з хакерів навіть не спробував зламати уразливий сервера proFTPD», — розповідає керівник напрямку AST Group Інна Сергієнко, учасниця команди «ACT».
Команда False Positive похвалилася, що захищається їм інфраструктурі зловмисникам вдалося отримати тільки один прапор: «Організатори ввели близько семи нових сервісів на периметрі одночасно, і ми з захисниками трохи запізнилися з забезпеченням профілю безпеки останньої системи, налаштовуючи інші шість. Але недовго атакуючі святкували перемогу: вже через кілька хвилин нам вдалося відновити стан системи і її безпеку».

До речі, в рамках гри показала свою ефективність спільна робота команд захисників і SOC. За оцінками суддів, всі команди SOC зібрали найбільш повну картинку того, що відбувається на об'єктах, в той час як захисники змушені були оперативно реагувати на інциденти. Наприклад, в ситуації, коли за умовами гри захисники промислових систем вимкнули захист, команда SOC, яка здійснює моніторинг промислової системи, детально вивчила дії атакуючих, початок атаки, її реалізацію. У реальному житті це б відповідало можливості оперативних дій щодо припинення атак навіть без втручань інструментів захисту.



«Команда «Інформзахист» захищала гідроелектростанцію і підстанції 500 і 10 кВ. За сценарієм гри ввечері першого дня змагання ми почали послаблювати захист, до кінця дня практично всі СЗІ були вимкнені. Тільки SOC здійснював моніторинг. За час, поки об'єкт був під захистом, жодної успішної атаки на інфраструктуру проведено не було. Всі інші зломи і затоплення відбувалися тоді, коли інфраструктура була не захищена», — коментує події учасник Іван Мелехин.
Разом хакерам успішно вдалося:

  • викрасти облікові записи, в тому числі кілька доменних;
  • провести атаки на фізичне обладнання АСУ (було проведено скидання води, відключені лінії, спалені дроти ЛЕП);
  • проникнути в технологічну мережу АСУ через уразливості корпоративної мережі;
  • провести мережеві атаки на системи розумного будинку (відключити обладнання від мережі);
  • вкрасти гроші з банку (близько 22 000 рублів) і отримати дані банківських карт;
  • вкрасти і в деяких випадках видалити резервні копії системних файлів, дисків, архівів, що належать офісу CorpF;
  • провести атаки на GSM/SS7 з подальшою крадіжкою грошей шляхом підробки USSD-запитів;
  • провести взаємні атаки на співробітників команди захисту, так і на команди нападників (хакери, використовуючи методи социнженерии, вкрали пароль від форуму захисників, а команда захисників Vulners зламала комп'ютери хакерів;
  • провести дефейси безлічі веб-ресурсів, в їх числі сайт офісу CorpF;
  • виявити одного інсайдера — співробітника офісу CorpF.

Підсумки

Форум наочно показав, що фахівці з інформаційної безпеки в силах забезпечити дуже високий рівень захисту без порушення технологічного процесу. Фінальної мети — захопити домен міста і виграти змагання — ні одній команді хакерів досягти не вдалося. Такий результат виявився несподіваним і для організаторів: вони прогнозували перемогу хакерів. За підсумками гри журі не змогло назвати явних переможців, призові місця зайняли команди хакерів, які виявилися кращими по ходу гри. Команди захисників і SOC були нагороджені різних номінаціях.

Олексій Качалін, заступник директора з розвитку бізнесу компанії Positive Technologies в Росії, член оргкомітету PHDays коментує підсумки протистояння: «Перемогли всі — і організатори, і учасники. Це унікальна подія і складно виробити чіткі правила, не погравши. Сподіваємося, що ті, хто прийняв участь в цьому році, прийдуть до нас в наступному і допоможуть у підготовці гри. Ми будемо залучати команди захисту і нападу для формування правил і формату».

Однозначно можна сказати, що PHDays VI вдався, з цим згодна і директор форуму PHDays Вікторія Алексєєва:

«PHDays — це насамперед люди, на ентузіазмі яких робиться це захід. Цілий рік понад 100 осіб робили все, щоб форум став не просто «івентом», а справжнім святом. Кожен раз ми, організатори, долаємо себе, робимо крок вперед, ставимо нові рекорди. Я вважаю, що все вдалося: 4200 учасників — тому підтвердження. Хочу висловити подяку всім, хто допоміг нам в організації PHDays!».

Поки важко прогнозувати, під яким гаслом відбудуться форум та конкурси в наступному році, але організатори мають намір розвинути концепцію протистояння. Кажуть, що нас очікує розвиток ігрового сюжету: буде більше екшену, социнженерии і подій, пов'язаних, наприклад, із звільненням працівника, більше змін в бізнес-процесах, з'являться денні і нічні сценарії. І, звичайно, в майбутньому CityF обіцяє стати ще більш «населених».

«Ми бачимо, як в останні роки стрімко змінюється навколишній світ. Кібербезпека все сильніше проникає в повсякденні технології. Загрози стають все складніше, атаки — більш витонченими, а збитки від них — все відчутніше. Будувати системи захисту по-старому вже не виходить — потрібно швидко удосконалювати методи захисту, але ще швидше розвиватися нам самим. Під стать цьому змінюється і PHDays. Ми раді, що в цьому році наша конференція знайшла ще один сенс: дати можливість різним представникам індустрії взяти участь у протистоянні і отримати реальний досвід захисту об'єктів критично важливої інфраструктури. І палаючі очі хлопців після 30 годин битви для нас найкраща нагорода. Але ми не хочемо зупинятися на досягнутому, і в наступному році ми розширимо список учасників протистояння професійними пентестерами та іншими представниками IT-сфери», — ділиться ідеями генеральний директор Positive Technologies Юрій Максимов.

Вже зараз багато партнери і команди висловили готовність взяти участь у наступних змаганнях. Наприклад, Олексій Лукацький пропонує не скидати з рахунків Cisco в планах на PHDays VII: «Думаю, що у такого формату блискучі перспективи і CityF поставив дуже високу планку для CTF, які будуть організовуватися в майбутньому. І якщо геополітична ситуація в світі не погіршиться, то компанія Cisco знову стане технологічним партнером PHDays. Безумовно, варто розглядати нас і в якості спікерів майбутнього заходу і, можливо, навіть в якості захисників якого-небудь сегмента CityF. Але цю ідею нам ще треба обміркувати всередині компанії».

Яким буде PHDays VII, — покаже час. Однак вже зараз ми впевнено можемо сказати, що сьомого форуму бути!


Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.