Содержание статьи
Что такое Standoff
Standoff — это в первую очередь киберучения. Команды атакующих учатся лучше взламывать реально встречающиеся в жизни системы, а команды защитников (SOC — Security Operation Center) — своевременно и эффективно реагировать на действия хакеров.
Первый Standoff в таком виде, как он есть сейчас, состоялся в 2016 году, а в 2019-м он впервые покинул пределы России и прошел в Эмиратах. С тех пор он проводится каждый год, а с 2020 года — целых два раза ежегодно: весной как часть конференции PHDays и осенью как отдельное соревнование.
Главная фишка Standoff, которая отличает его от любых видов CTF-соревнований, — это игровое окружение. Тут нет одинаковых сервисов, которые надо защищать от других игроков, и нет олимпиадных задач. Вместо этого у тебя есть целый город, который можно атаковать любыми мыслимыми методами!
«Я бы не назвал Standoff CTF’ом из‑за того, что он не попадает ни под одно его определение. Это скорее новый вид соревнований по кибербезопасности, в котором основной упор делается на имитацию действий злоумышленника при атаке на компанию», — участник из команды Invuls
info
О том, что такое CTF и какими они бывают, читай в статье «CTF: Capture the Flag. Как взлом стал спортивным состязанием». О том, как организовать свой CTF, ты можешь узнать из статьи «Make the Flag! Как сделать свои соревнования для хакеров».
В какой‑то мере Standoff можно назвать симулятором APT, только сложные и многоуровневые атаки сильно сжаты во времени. Но это и хорошо, ведь даже эти три‑четыре дня даются игрокам нелегко.
Сам город существует в виде макетов — можно круглые сутки следить за ними онлайн или найти их на PHDays в зоне Standoff. Если что‑то случается, это видно и на макете. То есть, когда ты пускаешь под откос поезд, он по‑настоящему сходит с рельсов и ты можешь в прямом эфире наблюдать за результатами своих (и чужих) атак.
Все объекты — это не просто подделки под реальные системы, а настоящие SCADA-контроллеры, аналогичные тем, что используются на реальных объектах вроде заводов или систем очистки воды. Такой подход позволяет убить двух зайцев сразу: игроки с обеих сторон получают опыт, максимально приближенный к реальному, а службы безопасности потом смогут защитить настоящие предприятия от обнаруженных атак.
Новый год, новый город
В этом году участников ждали семь отраслей, которые есть практически в каждом государстве:
- банковская система — несколько банков и платежная система с пластиковыми карточками и системой эквайринга;
- металлоперерабатывающая промышленность — металлургический комбинат «МеталлиКО»;
- логистическая система;
- менеджмент в лице управляющей компании City (к ней относилась в том числе больница);
- энергетическая система;
- атомная промышленность (была представлена атомной станцией);
- нефтегазовая промышленность.
Где‑то треть инфраструктуры была новой и на прошлых соревнованиях не встречалась. Среди новинок: атомная станция, больница, банковская система и карточки. Инфраструктуру металлургической и нефтегазовой компании тоже серьезно изменили, да и управляющая компания не осталась прежней. Забегая вперед, скажу, что все отрасли пострадали в ходе атак, но некоторые объекты оказались настолько большими, что ни одна команда не смогла исследовать их полностью.
Реальные угрозы
Фактически на Standoff атакующим представляется возможность своими руками прикоснуться к самым важным объектам в жизни любого города — от банка до атомной станции. В реальности такие проделки закончились бы тюрьмой, но Standoff позволяет попробовать запретный плод без всяких рисков. Для тех, кому интересно, как это выглядит изнутри, такие киберучения — идеальная возможность.
«Во время пентестов реального заказчика никто не даст остановить колесо обозрения или сломать атомную станцию. На Standoff есть возможность дойти до конца: украсть деньги, нарушить работу нефтеперерабатывающего завода или металлургического комбината. Красным командам это интересно: они могут реализовать большинство своих задумок без каких‑либо ограничений», — Антон Калинин, руководитель группы экспертного обучения и наставничества Innostage
Хакеры не только нападают на инфраструктуру виртуального города, но и должны затем написать отчет, иначе не получить баллы (всё как в жизни!). Такие отчеты помогают защитникам лучше понять, что происходит и как бороться с такими атаками в будущем.
Недопустимые события
В Standoff есть так называемые недопустимые события — критичные для бизнеса ситуации, при возникновении которых компания‑жертва понесла бы убытки. Кроме очевидных, вроде остановки ядерного реактора или разливания жидкого металла на работников завода, есть и менее зрелищные, но не менее разрушительные для бизнеса: утечка данных клиентов или распространение во внутренней сети вируса‑вымогателя.
Нужно правильно оформить каждое недопустимое событие и отправить отчет организаторам — они подтвердят, что событие действительно произошло, и помогут улучшить отчет, если с ним что‑то не так. Эти события заранее описаны, так что все команды находятся в равных условиях и не могут получать баллы за разбушевавшуюся фантазию. А жаль, ведь иногда заранее определенных рисков не хватает.
Векторы атак очень сильно напоминают те, что встречаются в реальной жизни: одни хакерские группировки иногда используют наработки других, и их совместная атака развивается еще быстрее.
«Первое недопустимое событие далось достаточно просто: какая‑то из команд везде отключила антивирусы на системах, куда можно было добраться через фишинг, и это помогло нам быстро получить доступ во многие сети, включая City. А далее по использованным в предыдущих Standoff векторам мы получили доступ к документам компании», — участник из команды Invuls
«Мы быстро сориентировались благодаря опыту предыдущих соревнований и с наскоку остановили гидроэлектростанцию», — участник из команды DRT & Cult
Соревнование
Хоть в этот раз Standoff был приурочен к конференции PHDays (19–20 мая), сама кибербитва началась на несколько дней раньше — 17 мая. За эти несколько дополнительных дней команды атакующих успели исследовать сеть и закрепиться на некоторых объектах.
«С каждым разом организаторы и создатели киберполигона вносят изменения, улучшая и оптимизируя процесс игры. Инфраструктура Standoff стала заметно стабильнее, техподдержка стала работать оперативнее, появилось много новых интересных недопустимых событий», — участник из команды DRT & Cult
Продолжение доступно только участникам
Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
Вариант 2. Открой один материал
Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.
Я уже участник «Xakep.ru»
