Тяжело в киберучениях, легко в кибербезопасности. Итоги The Standoff Moscow

Что такое The Standoff

The Standoff - это битва двух противоборствующих лагерей. С одной стороны «красные» (этичные хакеры), с другой - «синие» (ИБ-специалисты, работающие в соответствующих компаниях). Виртуальный полигон представляет из себя огромный макет условного государства F, в котором присутствуют все необходимые элементы инфраструктуры (транспорт, энергетика, коммуникации и т. д.). Поскольку речь идет о макете, каждый инфраструктурный элемент является многократно уменьшенной копией реального прототипа. Однако для управления ими используются настоящие промышленные контроллеры и SCADA. Задача участников команды «красных» состояла в том, чтобы вывести из строя или каким-либо образом нарушить работу информационных систем и инфраструктуры государства F, реализовав тем самым бизнес-риски, а цель «синих» - зафиксировать нарушения и выявить всю цепочку событий, приведших к инциденту, чем обычно занимаются специалисты SOC и ИБ-департаментов на предприятиях. «Синие» внимательно изучали все инциденты, как удачные, в ходе которых «красным» удалось реализовать свои планы, так и «неудачные».

Как устроен полигон

В архитектурном плане киберполигон The Standoff представлял собой виртуальную инфраструктуру, состоящую из множества виртуальных машин (рабочих мест), сетей и подсетей, а также промышленный сегмент: систему управления, также размещенную на виртуальных машинах и подключенную к настоящим контроллерам промышленного оборудования. Такие контроллеры эксплуатируются предприятиями во всем мире в реальных отраслях транспорта, добычи ресурсов и т. д. При обнаружении уязвимости либо возможности несанкционированного доступа к такому оборудованию, формируется отчет и рекомендации для его производителя.

За что идет сражение

Киберучения The Standoff проводятся уже не первый год. До недавнего времени киберполигон The Standoff представлял собой сеть разветвленных «офисов». Команда «красных» могла атаковать любой из этих «офисов» по выбору, а за каждой командой «синих» был закреплен отдельный, свой собственный офис. В этом году было построено общее пространство, в котором «красные» могли атаковать любой объект, точно так же, как и «синие» могли осуществлять мониторинг и защиту любого из объектов. Также были выделены отдельные отрасли, за защиту которых отвечала та или иная команда. Сетевая инфраструктура была декомпозирована, поэтому разные бизнес-сервисы находились в различных подсетях.

Второе изменение текущего The Standoff заключалось в стратегии реагирования команды «синих» на инциденты. Раньше ее участники могли активно реагировать на атаки и нештатные ситуации, то есть оперативно предотвращать их. В результате «хакеры» зачастую оставались на периметре подсети и не могли проникнуть внутрь. В этом году организаторами решили, что «синие» будут только выявлять нарушения. Это было сделано для более полного изучения паттернов поведения потенциальных злоумышленников, развития у «синих» навыков мониторинга и расследования инцидентов. «Красным» было сложно адаптироваться к новым правилам, особенно на первоначальном этапе атаки. Некоторые потратили немало времени, чтобы попасть внутрь систем. «Синие», в свою очередь, быстро приспособились к новым условиям.

Кто участвует в битве

Уровень подготовки участников киберучений растет. Сегодня это уже не любители, пользующиеся готовым инструментарием, а профессионалы, способные написать собственные скрипты для защиты или «вредоносное ПО» с нуля. Большинство участников команд «синих» — это практикующие ИБ-специалисты, для которых The Standoff предоставляет отличную возможность повысить свой профессиональный уровень, отточить мастерство в боевых условиях, изучить и принять на вооружение опыт коллег.

Что командам удалось реализовать

Роль судей досталась соорганизатору соревнований - компании Innostage. Как нам рассказал Антон Калинин, руководитель группы аналитиков центра предотвращения киберугроз CyberART ГК Innostage, команда развернула ряд сервисов, которые работали на полигоне и поддерживали информационные системы. Поддержка подразумевает оперативное восстановление систем, ставших жертвой атак «красных». Аналитики под руководством Антона Калинина также занимались проверкой корректности отчетов, которые сдавали судьям соревнования команды «красных» и «синих». После проверки участники получали соответствующий вердикт. При этом уделялось внимание синхронизации шагов «нападающих» и «расследующих». Так, если в отчете «красных» фигурировало пять шагов, в ходе которых был реализован инцидент, в отчете «синих» должны быть отмечены те же пять шагов.

Всего судейским SOC было зафиксировано более 200 инцидентов. Речь идет об атаках, которые могли привести к тем или иным последствиям. Из этих атак складывались цепочки. В то же время участники пяти команд «синих» заметили более 150 инцидентов. Что же касается полных цепочек недопустимых событий, то их было всего 19. Это меньше, чем во время прошлых киберучений, и отчасти было обусловлено новыми правилами и более жестким таймингом нынешних соревнований. Игорь Лейпи, ГК Softline: Объем поставок российских операционных систем в ближайшие годы увеличится как минимум вдвое

Как отметил Антон Калинин, для «синих» более характерен переход в практическую плоскость безопасности, привязку рисков к конкретным бизнес-системам и воплощение их в виде реальных проблем, которые может получить компания в случае их реализации. В результате такого анализа намечаются пути, по которым на самом деле могут пройти атакующие злоумышленники. В рамках реальных проектов эти лазейки максимальным образом должны быть защищены, а в ходе соревнований The Standoff им следует уделять максимум внимания во время мониторинга. Здесь, по словам Антона, недостаточно какого-либо одного универсального средства. Необходим комплексный подход, охватывающий мониторинг трафика, анализ необычного поведения и многие другие аспекты. В 90 процентах случаев «синие» предугадали тот путь, которым затем пошли атакующие. Лишь в 10 процентах инцидентов «красные» пошли нетривиальным путем. Самая часто используемая тактика «красных» в ходе соревнований заключалась в использовании тех или иных команд на скомпрометированных и захваченных машинах.

Нападение на нефтехимическое предприятие

Одним из наиболее интересных и показательных инцидентов, продемонстрированных на киберучениях, Антон Калинин назвал атаку на условное нефтехимическое предприятие. Цепочка атаки началась с фишинговых писем по адресам компании. Хакеры разослали зараженные файлы с резюме HR-службе предприятия. Полигон эмулировал действия пользователей, которые «открыли» эти письма. В результате злоумышленники захватили компьютеры HR-службы, получив плацдарм для дальнейших действий. В дальнейшем «красные» скомпрометировали одну из учетных записей HR-пользователя и попытались осуществить различные операции. После обнаружения VPN-подключения они смогли получить доступ к важным бизнес-приложениям условного предприятия. Просканировав уязвимости, они нашли машину уже в привилегированном бизнес-сегменте, которую затем захватили, путем сканирования вычислили нужный хост и смогли запустить систему оповещения о чрезвычайной ситуации, то есть выполнили задание организаторов. В системе оповещения также присутствовал баг, но сложнее всего было именно найти и добраться до нее, как подчеркнул Антон.

Среди других реализованных в ходе киберучений рисков: взлом системы оповещения о железнодорожных перевозках, показ нелегитимного контента на рекламных видеоэкранах, взлом подтвержденного аккаунта главы условного государства F в условной социальной сети с публикацией ложных постов от его имени, похищение персональных данных сотрудников из ERP-системы, а также уже упомянутое нарушение работы очистных сооружений со всеми вытекающими последствиями.

На этом противостояние этичных хакеров и специалистов по ИБ на заканчивается. Следующая кибербитва The Standoff состоится в мае 2022 года.