Команды защиты с открытым забралом
По правилам Противостояния хакерам противостоят команды защитников и экспертных центров мониторинга (SOС). «Цель Противостояния — столкнуть две противоборствующие стороны в более или менее контролируемой среде, чтобы посмотреть, что победит — целенаправленные атаки или целенаправленная защита. На роль защитников и SOC пришли эксперты отрасли — интеграторы, вендоры и те, кто выполняет функцию ИБ на стороне заказчиков», — комментирует член оргкомитета PHDays Михаил Левин.
В этом году некоторые участники открыто заявили о себе и представляют каждый свою компанию. Итак, встречаем команды защитников:
- S.P.A.N. (сборная компаний «Сервионика» и Palo Alto Networks),
- On Rails! (сборная экспертов ИБ, включая представителей IBM),
- Jet Security Team («Инфосистемы Джет»),
- GreenDef (КРОК),
- You shall not pass.
Команды SOC: «Перспективный мониторинг» и False Positive.
Практика превыше всего
Цель участия в Противостоянии у каждой команды своя. Некоторые стремятся проверить свои собственные продукты и сервисы. Так, например, команда On Rails!, представляющая IBM и практикующих экспертов in-house SOC решила попробовать свои силы в Противостоянии с решениями из портфеля IBM Security. Проверить в боевых условиях ряд новых продуктов планирует и команда S.P.A.N. «В рамках направления информационной безопасности в "Сервионике" разработан ряд услуг, предоставляемых по схеме security as a service. Мы уже накопили определенную проектную практику их применения и хотим проверить ряд новых решений, в том числе решения от новых вендоров, сотрудничество с которыми сейчас обсуждаем», — поделился планами участник команды Аскар Добряков.
Впрочем, кое в чем цели атакующих и защитников совпадают: и те и другие пришли на PHDays, чтобы проверить на прочность команду и обменяться опытом с коллегами по цеху. Например, команда «Перспективного мониторинга» стремится испытать свои силы, повысить технологическую готовность к отражению атак, а также понять, какие векторы атак, возможно, они упускают из виду. Для команды False Positive Противостояние — это возможность «собрать команду неравнодушных к ИБ людей и дать им проверить свои гипотезы».
Есть среди участников и уже своего рода «старички», успешно пробовавшие свои силы в прошлогоднем Противостоянии. «В прошлом году наша команда состояла наполовину из сотрудников коммерческих и локальных центров мониторинга. В этом году к нам присоединится еще пара легионеров. Все ребята приходят со своими идеями и наработками, и мы хотим протестировать контент в боевых условиях — не только на заказчике, но и в такой сложной, пусть и искусственной, ситуации, когда противников очень много, и они атакуют одновременно и очень активно», — рассказал участник команды False Positive Владимир Дрюков. Или, например, команда компании КРОК — GreenDef. «Мы проанализировали все особенности Противостояние 2016 года, сделали работу над ошибками и готовы повторно дать отпор киберзлу нашей сплоченной командой защитников», — рассказал Антон Голубков, эксперт направления информационной безопасности компании КРОК.
Команда «Сервионики» также под впечатлением от прошлого года и надеется, что новый турнир запомнится азартом борьбы, сложностью задач и радостью победы. И конечно, никто не сбрасывает со счетов планы получить удовольствие от игры и пообщаться с коллегами. Юрий Сергеев, капитан команды Jet Security Team, кстати, рассматривает участие в Противостоянии еще и как своего рода тимбилдинг. «Оказаться под таким концентрированным огнем, как на Противостоянии, — очень интересный опыт. Кроме того, не так часто приходится работать в такой разношерстной команде, собранной со всех уголков департамента, и побрейнштормить над совершенно нетиповой творческой задачкой — как защита наших цифровых рубежей в Противостоянии», — поясняет он.
Город под куполом
Защищать участники будут город, в котором функционируют телеком-оператор, два офиса, ТЭЦ и подстанция, нефтяная и железнодорожная компания. Не обошли стороной и все более набирающий популярность интернет вещей: организаторы наполнили город различными умными устройствами. Объекты защиты, в соответствии с правилами Противостояния, команды защитников распределили между собой.
Команда GreenDef защищает офисный сегмент. Выбор команды комментирует Антон Голубков: «Офис сочетает в себе большое количество сервисов и технологий, что дает нам большое пространство для творчества и, как следствие, практический опыт отработки сложных кейсов по защите. С точки зрения злоумышленников офисный сегмент — один из самых лакомых кусков пирога, поэтому здесь будут самые ожесточенные столкновения, что, несомненно, придаст остроты и игрового азарта». S.P.A.N. также выбрали для защиты офис, поскольку это ближе к тем задачам, с которыми они сталкиваются в реальных проектах. «Это наш типовой объект защиты, и тут как раз интересно тренироваться, чтобы понять в итоге: вдруг мы что-то где-то упускаем в своих расчетах», — комментирует Денис Батранков.
К ним присоединится и команда False Positive, которая, кроме этого, будет мониторить безопасность телеком-оператора. «В прошлом году у нас был очень интересный совместный опыт с компанией защитников телекомов. Мы отлично сработались и нашли синергетические точки взаимодействия, поэтому решили продолжить сотрудничество, но в этом году круг защищаемых компаний будет шире. Вторая инфраструктура, которую мы выбрали, — офисная. По нашим ощущениям, она может быть более уязвимой с точки зрения внутреннего фактора», — поделился Владимир Дрюков.
Поддерживать офисный сегмент будет команда SOC «Перспективный мониторинг». Основной объект защиты Jet Security Team — предприятия по производству и транспортировке нефтепродуктов. Безопасность железных дорог упала на плечи On Rails!
Нужно готовиться к круговой обороне
Практически все команды сошлись на том, что под ударом окажутся все объекты инфраструктуры. Капитан команды Jet Security Team считает, что под непрерывной атакой окажется все, до чего хакеры смогут дотянуться. С ним согласен и Владимир Дрюков: «Как и в прошлом году, есть ощущение, что ломать будут всех. Инфраструктура богатая, везде есть свои хитрости и нюансы. Есть сегмент АСУ ТП, который представляет очень большой интерес для исследователей, как и сегмент офисной инфраструктуры. Плюс, все это очень тесно взаимосвязано, поэтому успешная атака на одну команду защитников очень быстро станет проблемой и для остальных. Времени достаточно много, чтобы участники Противостояния, в том числе атакующие, успели проверить все свои идеи на практике».
Антон Голубков объясняет это тем, что город представляет собой единый организм с большим количеством взаимосвязей между компонентами, поэтому будут предприняты атаки на все объекты. По его прогнозам, наиболее массовым атакам подвергнутся офисный и банковский сегменты, так как потенциально они могут являться базовой точкой для проведения атак на остальную инфраструктуру города. Что касается схем атак, то в первую очередь, по мнению Антона, атакам подвергнутся общедоступные ресурсы, такие как веб-ресурсы и беспроводные сети: «Это будет первый рубеж, для закрепления злоумышленника внутри доверенного сегмента. После этого, вероятно, хакеры попытаются получить привилегированный доступ к инфраструктуре, и с его помощью осуществить вредоносные воздействия на ключевые объекты: это банк и промышленные предприятия с АСУ ТП».
По мнению участников команды S.P.A.N., вектор атаки останется таким же, как в прошлом году: «Будут использовать уязвимости веб-приложений; маскировка, обход FW и IPS. Получив доступ к уязвимому веб-серверу, нападающие будут пытаться получить доступ из ДМЗ к локальной сети».
«Скорее ждем типового поведения: сканирования портов, сканирования уязвимостей и множественных попыток перебора», — добавляют Аскар Добряков из «Сервионики» и Денис Батранков из Palo Alto Networks.
Команда Jet Security Team полагает, что будут классические сетевые атаки, поиск уязвимостей в логике работы информационных систем, исследования защищенности веб-технологий. По мнению одного из участников команды On Rails!, будут, возможно, применяться и массированные сканирования и попытки максимально быстрой эксплуатации обнаруженных уязвимостей. Максим Коршунов, эксперт-исследователь центра мониторинга компании «Перспективный мониторинг», делает ставку на телеком и офис, так как их протоколы и сервисы больше известны, чем в производственном сегменте. Алексей Васильев, руководитель центра мониторинга «Перспективного мониторинга», уверен, что придется столкнуться с классической схемой killchain с разными модификациями.
«В прошлом году мы противостояли лобовой атаке, когда команда противников раз за разом пыталась проломить периметр, пробраться через известные уязвимости. Нас атаковали достаточно бесхитростно, хотя массово и напористо. Сейчас профиль атакующих команд сильно изменился, и есть ощущение, что атаки будут более медленными, но в то же время более тонкими и скрытными. Хочется, чтобы в этом году появился обратный вектор атак: спящие боты в сети, инсайдеры в инфраструктуре и т. д. Это сделает работу защитников гораздо сложнее и добавит Противостоянию динамичности», — рассказал Владимир Дрюков.
И практически все защитники уверены, что придется иметь дело с различными вариантами социальной инженерии. Что ж, сбудутся ли все эти прогнозы — мы узнаем буквально завтра.
Секретное оружие
В этом году защитники окажутся в суровых условиях оптимизации расходов и будут ограничены бюджетом в 10 000 публей, на которые они смогут купить требуемые им средства защиты информации у местного дистрибьютора или получить услуги центров мониторинга. Как распределят свой бюджет участники? На этот вопрос нам не ответил никто… Но кое-что узнать нам все-таки удалось.
Например, Антон Голубков, поделился по секрету, что они планируют «контролировать все точки взаимодействия компонентов, обеспечивать целостность инфраструктуры и, конечно, не забывать про потенциальные атаки на рабочие ноутбуки и социальную инженерию». Кстати, для обеспечения защиты инфраструктуры в режиме 24/7 в команде будет несколько смен.
Jet Security Team делает ставку на базовые системы защиты, проверенную классику, а также заготовили ряд специализированных средств для защиты SCADA. Схожая тактика и у команды S.P.A.N., которая в числе обязательных средств защиты выбрала межсетевой экран, антивирус, встроенные средства ОС и домена. «Как показала практика, DLP-системы, SandBox и системы защиты от НСД в данном случае не особо эффективны, так как нападающие используют другие векторы атаки», — поясняет Аскар Добряков.
Алексей Васильев отмечает, что им, как команде SOC, придется ориентироваться на защитников: «Посмотрим, что они выберут, а мы будем использовать все, что предоставят защитники, откуда мы сможем получить логи для наших аналитических систем».
Максим Коршунов обещает, что в их арсенале будут системы обнаружения вторжений сетевого и узлового уровней, анализаторы аномалий, антивирусы, сетевое оборудование, система управления уязвимостями, система выявления угроз. Причем часть перечисленного — собственные разработки. Команда On Rails! в числе основных используемых средств защиты упоминает средства контроля защищенности, предотвращения вторжений и мониторинга инцидентов линейки продуктов IBM Security.
Победит… дружба?
Большинство участников считают, что шансы есть у каждой стороны. «Наши противники — это наши же коллеги по цеху в обычной жизни, поэтому в любом случае победит дружба. Обе стороны приложат все усилия и проявят свои лучшие навыки для достижения поставленной цели», — поделился Антон Голубков.
Рассчитывает на победу своей команды Роман Андреев из IBM (On Rails!): «Судя по именам заявивших о себе команд противников, их послужным спискам, шансы у них весьма велики. Но мы будем защищаться и, я верю, вполне успешно». Максим Коршунов также ставит на защитников.
А вот Владимир Дрюков более осторожен в прогнозах: «Мы ожидаем, что в этом году нам будет гораздо сложнее, чем в прошлом. Команда противников — это профессиональные пентестеры с опытом работы как против активных защитников, так и против действующих SOC. Так что ребята будут демонстрировать все, на что способны. Плюс, введенные в этом году ограничения на выбор средств защиты и обеспечение безопасности инфраструктуры добавят Противостоянию остроты. Скучно точно не будет».
Аскар Добряков и вовсе уверен, что нападающие сумеют скомпрометировать некоторые общедоступные ресурсы. По его мнению, важно не дать противнику получить контроль над серверами в ДМЗ и развить атаку дальше в ЛВС. Юрий Сергеев, кстати, подозревает, что инфраструктура защитников будет взломана гарантированно, так как организаторы специально создают условия для возможности закрепления атакующих, имитируя «реальную» жизнь, когда не везде стоят патчи и не все настроено по лучшим практикам. «Однако получить от взломов максимум уже будет посложнее, учитывая активное противодействие. Противникам скучно не будет», — обещает он.
Удастся ли защитникам отстоять город? Покажет игра. Так или иначе, Противостояние обещает быть жарким. Приходите поболеть за участников 23 и 24 мая в Центр международной торговли в Москве!