Confrontation Positive Hack Days: Хакерам Скучно Не Будет

«Цель противостояния — столкнуть две противоборствующие стороны друг против друга в более или менее контролируемой среде, чтобы увидеть, победят ли целенаправленные атаки или целенаправленная защита.

Роль защитников и SOC взяли на себя эксперты отрасли — интеграторы, вендоры и те, кто выполняет функцию информационной безопасности на стороне заказчика», — комментирует Михаил Левин, член оргкомитета PHDays. В этом году некоторые участники открыто заявили о себе и представляют каждый свою компанию.

Некоторые стремятся протестировать свои собственные продукты и услуги.

Например, «На рельсах!» Команда, представляющая IBM и практикующие штатные SOC-эксперты, решила попробовать свои силы в «Противостоянии» с решениями из портфолио IBM Security. Команда S.P.A.N также планирует испытать ряд новинок в боевых условиях.

«В рамках направления информационной безопасности компания «Сервионикс» разработала ряд услуг, предоставляемых по схеме «безопасность как услуга».

Мы уже накопили определенную проектную практику их использования и хотим протестировать ряд новых решений, в том числе решения от новых вендоров, с которыми сейчас обсуждаем сотрудничество», — поделился планами член команды Аскар Добряков.

Однако в чем-то цели нападающих и защитников совпадают: оба пришли на PHDays проверить силу команды и обменяться опытом с коллегами.

Например, команда расширенного мониторинга стремится проверить свои сильные стороны, повысить технологическую готовность к противодействию атакам и понять, какие векторы атак они могут упустить из виду.

Для команды False Positive «Противостояние» — это возможность «собрать команду людей, которым небезразлична информационная безопасность, и дать им возможность проверить свои гипотезы».

Среди участников уже есть какие-то «старички», успешно попробовавшие свои силы на прошлогоднем «Противостоянии».

«В прошлом году половина нашей команды состояла из сотрудников коммерческих и локальных центров мониторинга.

В этом году к нам присоединится еще пара легионеров.

Все ребята приходят со своими идеями и разработками, и мы хотим протестировать контент в боевых условиях – не только на заказчике, но и в такой сложной, хоть и искусственной, ситуации, когда противников очень много, и они атакуют одновременно и очень активно», — рассказал участник команды False Positive Владимир Дрюков.

Или, например, команда КРОК — GreenDef. «Мы проанализировали все особенности «Противостояния 2016», поработали над ошибками и готовы дать отпор киберзлу вместе с нашей сплоченной командой защитников», — рассказал Антон Голубков, эксперт по информационной безопасности КРОК.

Команда «Сервионики» также под впечатлением прошлого года и надеется, что новый турнир запомнится азартом борьбы, сложностью задач и радостью победы.

И конечно, никто не сбрасывает со счетов планы получить удовольствие от игры и пообщаться с коллегами.

Юрий Сергеев, капитан Jet Security Team, кстати, тоже рассматривает участие в «Противостоянии» как своего рода тимбилдинг.

«Находиться под таким сосредоточенным огнем, как во время «Противостояния», было очень интересным опытом.

Кроме того, не часто приходится работать в такой разношерстной команде, собранной со всех уголков отдела, и проводить мозговой штурм по совершенно нетипичной творческой задаче — например, защите наших цифровых границ в «Противостоянии», — объясняет он.

Не остался без внимания и набирающий популярность Интернет вещей: организаторы заполонили город различными умными устройствами.

Объекты защиты, в соответствии с правилами Противостояния, были распределены между командами защитников.

Команда GreenDef защищает офисный сегмент. Антон Голубков комментирует выбор команды: «Офис сочетает в себе большое количество сервисов и технологий, что дает нам большой простор для творчества и, как следствие, практический опыт проработки сложных защитных кейсов.

С точки зрения нападающих, офисный сегмент — один из самых вкусных кусков пирога, поэтому здесь будут самые жестокие столкновения, что, несомненно, добавит пикантности и азарта игре».

ОХВАТЫВАТЬ.

также выбрали офис для защиты, потому что он ближе к задачам, с которыми они сталкиваются в реальных проектах.

«Это наш типичный объект защиты, и здесь просто интересно потренироваться, чтобы в конце концов понять: а вдруг мы где-то в своих расчетах что-то упускаем», — комментирует Денис Батранков.

К ним присоединится команда False Positive, которая, кроме того, будет следить за безопасностью оператора связи.

«В прошлом году у нас был очень интересный совместный опыт с компанией защитников телекоммуникаций.

Мы хорошо поработали и нашли синергетические точки взаимодействия, поэтому решили продолжить сотрудничество, но в этом году круг защищаемых компаний будет шире.

Второй инфраструктурой, которую мы выбрали, стал офис.

По нашим ощущениям, она может быть более уязвимой с точки зрения внутреннего фактора», — поделился Владимир Дрюков.

Офисный сегмент будет поддерживаться командой SOC «Перспективный мониторинг».

Основным объектом защиты Jet Security Team являются предприятия по производству и транспортировке нефтепродуктов.

Капитан команды Jet Security считает, что все, до чего смогут добраться хакеры, будет подвергаться постоянным атакам.

С ним согласен и Владимир Дрюков: «Как и в прошлом году, есть ощущение, что всех сломают. Инфраструктура богатая, все имеет свои тонкости и нюансы.

Большой интерес для исследователей представляет сегмент автоматизированных систем управления технологическими процессами, а также сегмент офисной инфраструктуры.

Плюс все это очень тесно взаимосвязано, поэтому удачная атака на одну команду защитников очень быстро станет проблемой для остальных.

Времени у участников Противостояния, в том числе и у нападающих, достаточно, чтобы успеть опробовать все свои идеи на практике».

Антон Голубков объясняет это тем, что город — это единый организм с большим количеством взаимосвязей между компонентами, поэтому атаки будут осуществляться на все объекты.

По его прогнозам, наиболее массированным атакам окажутся офисный и банковский сегменты, поскольку они потенциально могут стать базой для атак на остальную инфраструктуру города.

Что касается схем атак, то, по словам Антона, в первую очередь атаке подвергнутся публичные ресурсы, такие как веб-ресурсы и беспроводные сети: «Это будет первая линия, которая обезопасит злоумышленника в рамках доверенного сегмента.

После этого хакеры, вероятно, попытаются получить привилегированный доступ к инфраструктуре и с ее помощью осуществить вредоносное воздействие на ключевые объекты: банк и промышленные предприятия с автоматизированными системами управления технологическими процессами».

По данным S.P.A.N. члены команды, вектор атаки останется таким же, как и в прошлом году: «Они будут эксплуатировать уязвимости веб-приложений; камуфляж, обход FW и IPS. Получив доступ к уязвимому веб-серверу, злоумышленники попытаются получить доступ из демилитаризованной зоны в локальную сеть».

«Скорее, мы ожидаем типичного поведения: сканирование портов, сканирование уязвимостей и множественные попытки перебора», — добавляют Аскар Добряков из Servionics и Денис Батранков из Palo Alto Networks. Команда Jet Security полагает, что будут классические сетевые атаки, поиск уязвимостей в логике информационных систем и исследования безопасности веб-технологий.

По данным одного из порталов On Rails! члены команды, вероятно, будут использованы массовые сканирования и попытки как можно быстрее использовать обнаруженные уязвимости.

Максим Коршунов, эксперт-исследователь центра мониторинга компании «Перспектива Мониторинг», делает ставку на телеком и офис, поскольку их протоколы и сервисы более известны, чем в производственном сегменте.

Руководитель центра мониторинга Perspective Monitoring Алексей Васильев уверен, что ему придется иметь дело с классической схемой killchain с различными модификациями.

«В прошлом году мы столкнулись с лобовой атакой, когда команда противника раз за разом пыталась прорваться через периметр и пройти известные уязвимости.

На нас напали совершенно бесхитростно, хотя массово и агрессивно.

Сейчас профиль атакующих команд сильно изменился, и есть ощущение, что атаки будут более медленными, но в то же время более тонкими и скрытными.

Хотелось бы, чтобы в этом году появился обратный вектор атак: спящие боты в сети, инсайдеры в инфраструктуре и т. д. Это значительно усложнит работу защитников и добавит динамичности Противостоянию», — заявил Владимир Дрюков.

И почти все правозащитники уверены, что им придется столкнуться с различными вариантами социальной инженерии.

Что ж, сбудутся ли все эти предсказания, мы узнаем буквально завтра.

Как участники будут распределять свой бюджет? На этот вопрос нам никто не ответил.

Но кое-что нам все же удалось узнать.

Например, Антон Голубков поделился уверенностью, что они планируют «мониторить все точки взаимодействия компонентов, обеспечивать целостность инфраструктуры и, конечно же, не забывать о потенциальных атаках на рабочие ноутбуки и социальной инженерии».

Кстати, чтобы обеспечить охрану инфраструктуры в режиме 24/7, бригада будет работать в несколько смен.

Команда Jet Security опирается на базовые системы защиты, проверенную классику, а также подготовила ряд специализированных инструментов для защиты SCADA. С.

П.

А.

Н.

Команда придерживается аналогичной тактики, выбрав среди обязательных мер безопасности брандмауэр, антивирус, встроенную ОС и доменные инструменты.

«Как показала практика, DLP-системы, SandBox и системы защиты от взлома в данном случае не особо эффективны, поскольку злоумышленники используют другие векторы атак», — поясняет Аскар Добряков.

Алексей Васильев отмечает, что им, как команде SOC, придется сосредоточиться на защитниках: «Мы посмотрим, что они выберут, и будем использовать все, что предоставляют защитники, откуда мы сможем получить логи для наших аналитических систем».

Максим Коршунов обещает, что в их арсенал войдут системы обнаружения вторжений на уровне сети и хоста, анализаторы аномалий, антивирусы, сетевое оборудование, система управления уязвимостями и система идентификации угроз.

Причём часть из вышеперечисленного являются нашими собственными разработками.

«Наши противники — это наши коллеги в повседневной жизни, поэтому в любом случае дружба победит. Обе стороны приложат максимум усилий и покажут свои лучшие навыки для достижения цели», — поделился Антон Голубков.

Роман Андреев из IBM (On Rails!) рассчитывает на победу своей команды: «Судя по названиям заявивших о себе команд-соперников и их послужным спискам, их шансы очень высоки.

Но мы будем защищаться и, я считаю, вполне успешно».

Максим Коршунов также делает ставку на защитников.

А вот Владимир Дрюков более осторожен в своих прогнозах: «Мы ожидаем, что в этом году нам будет гораздо сложнее, чем в прошлом.

Команда противника — профессиональные пентестеры с опытом работы как против активных защитников, так и против активных SOC. Так что ребята продемонстрируют все, на что они способны.

Плюс введенные в этом году ограничения на выбор средств защиты и обеспечение безопасности инфраструктуры добавят остроты Противостоянию.

Скучно точно не будет».

Аскар Добряков полностью уверен, что злоумышленникам удастся скомпрометировать некоторые общедоступные ресурсы.

По его мнению, важно не дать противнику получить контроль над серверами в демилитаризованной зоне и развить атаку дальше в локальной сети.

Юрий Сергеев, кстати, подозревает, что инфраструктура защитников гарантированно будет взломана, поскольку организаторы специально создают условия для закрепления злоумышленников, имитируя "реальную" жизнь, когда не везде установлены патчи и не все настроено в соответствии с лучшими практиками.

«Однако получить максимальную пользу от взлома будет сложнее, учитывая активное противодействие.

Соперникам скучно не будет», — обещает он.

Смогут ли защитники защитить город? Игра покажет. Так или иначе, Противостояние обещает быть жарким.