Привет, Хабр! Меня зовут Илья, и три года подряд вместе с Jet Security Team - и последние два года в качестве ее капитана - я держал оборону виртуального города на киберполигоне The Standoff против атакующих команд. Раз за разом участвуя в обороне, мы прошли путь от первых проб и ошибок до победы в соревновании.
В этом году многое изменилось: кибербитва состоится впервые В сети , а наша компания стала его технологическим партнером.
Сейчас мы помогаем другим защитникам готовиться к соревнованиям, поэтому сегодня я хочу поделиться своим опытом и дать рекомендации тем, кому еще предстоит дать отпор нападающим в The Standoff. 
Команда Jet Security награждена на The Standoff в 2019 году.
Фото Positive Technologies
Немного занудства, или Зачем участвовать в The Standoff?
Прежде всего, определите свою цель.Участвуя в любом конкурсе, нужно прежде всего ответить на вопрос: зачем мне это нужно? Здесь важно не обмануться: цель, которую вы формулируете, должна быть четкой, реалистичной и достижимой.
Если вы хотите получить новый опыт, какой это будет опыт и как вы будете его использовать в будущем? Реально оцените свои силы и возможности.
Как показывает практика, многие специалисты и команды хотят участвовать в соревнованиях, но ближе к мероприятию некоторые из них «сдуваются».
Как собрать команду
Участие в The Standoff в обороне – это всегда командное мероприятие.Обычно организаторы регулируют количество участников команды исходя из возможности разместить всех участников на не очень большом пространстве.
Когда кибербитва проходила в оффлайне, в каждой команде могло быть около шести человек.
При этом можно было подключить удаленных участников.
Опыт работы интегратором говорит, что успех любого проекта на 100% зависит от команды.
Мы регулярно сталкиваемся с этим в жизни при реализации мер безопасности в крупных компаниях и к аналогичному выводу пришли после участия в кибербитве.
Для таких мероприятий, как The Standoff, мы определили следующий идеальный состав команды защиты:
- капитан;
- специалист СОК;
- специалист по различным инструментам безопасности хоста;
- сетевой инженер;
- инженер инфраструктуры;
- пентестер.
Капитан , очевидно, за все отвечает. Но, кроме этого, он должен уметь:
- организовывать и руководить командой;
- декомпозировать, планировать и контролировать выполнение задач;
- общаться и решать организационные вопросы;
- Отличное понимание защиты инфраструктуры.
Ведь даже если капитан имеет большой опыт защиты Windows, но обладает плохими организаторскими способностями, он вряд ли приведет команду к успеху.
Не менее важную роль в соревновании играют SOC-специалист .
По сути, это «глаза и уши» защитников.
Целесообразно иметь в команде несколько таких специалистов, так как во время мероприятия им необходимо иметь возможность оперативно обрабатывать большой поток запросов от защитников и уведомлять их о нештатных ситуациях.
Теперь о специалисты по средствам защиты .
Я не буду подробно описывать требования к ним, отмечу лишь, что соревнования — не лучшее место для экспериментов с базовыми средствами безопасности, например, антивирусом или фаерволом.
Члены команды, ответственные за эти решения, должны быть в них на 100% уверены и знать их в совершенстве.
Это, конечно, не отменяет апробации и испытаний других средств защиты, поскольку кибердиапазон как нельзя лучше подходит для того, чтобы увидеть их в действии в условиях, близких к «боевым».
Но повторюсь: ставку в плане защиты следует делать на те решения, в которых вы профи.
Инженеры сетевых и инфраструктурных служб На конкурсе предстоит много работы.
Ведь «фундамент» защиты закладывается на этапе настройки базового функционала безопасности компонентов инфраструктуры: сетей, операционных систем, системных сервисов и т. д. Поэтому нужно знать и уметь «подготовить» сеть.
, Linux и Windows. Должен поддержать команду специалист с опытом пентестинга .
Без него не обойтись на этапе подготовки: он поможет выявить основные векторы атак, проверить уровень безопасности, поможет в расследовании в случае компрометации защищаемых узлов.
Как и в любом командном соревновании, в The Standoff важно четко разделить роли и обязанности между всеми членами команды.
Координация и управление этими процессами возлагается на капитана команды.
Как тренироваться
Обучение — один из ключевых шагов к успешному участию в The Standoff. Пройдусь по основным моментам, которые наша команда для себя выделила.
Анализ потенциальных векторов атак
В этом случае нужно немного абстрагироваться от объекта защиты и подумать (посмотреть, прочитать отчеты атакующих команд).Если вспомнить правила кибербитв прошлых лет, можно составить некоторое представление о злоумышленниках и их истинных целях:
- у них есть командные соревнования;
- каждой команде необходимо заработать как можно больше очков;
- команда зарабатывает баллы, выполняя задания организаторов;
- Перед атакующей стороной стоят разные задачи: некоторые из них не связаны с командами защиты (взломать светофор, добыть монеты и т. д.), другие, наоборот, касаются их напрямую (получить доступ к почте, прослушать голосовое сообщение , доступ к файлу на рабочем столе и т. д.).
Когда простые задачи выполнены, переходят к более сложным.
Поэтому вам нужно постоянно спрашивать себя, что бы вы сделали, если бы оказались на их месте.
С этой задачей справиться будет намного проще, если хотя бы один из членов вашей команды имеет опыт проведения пентестов.
Но это еще не все: нужно вспомнить организаторов, которые планировали сделать мероприятие грандиозным – с элементами драйва и действия.
Согласитесь, вряд ли вам будет интересно следить за недельной серией безуспешных попыток команд победить своих оппонентов? Если злоумышленникам не удастся разгадать вас самостоятельно, организаторы могут немного помочь.
Представьте, что в вашей сети появилась беспроводная точка доступа без пароля под надписью «временно установлена администратором, поскольку подрядчик не смог подключиться к корпоративному Wi-Fi».
На самом деле это не такая уж надуманная ситуация.
Поэтому приоритетом здесь должно быть:
- анализ внешних векторов;
- анализ внутренних векторов (когда злоумышленник получил доступ к вашей сети).
Извините, что не по теме, но позволю себе немного лирики.
Меня всегда интересовали варианты введения злоумышленников в заблуждение или хотя бы варианты активного противодействия.
Сделайте бесконечное перенаправление в веб-сервисе или возможность перечислять бесконечно вложенные каталоги, разрешите TCP-трафик без возможности установить полный TCP-сеанс.
Это может замедлить некоторые автоматические проверки злоумышленников и выиграть вам немного времени.
Главное – помнить о своих целях и не слишком увлекаться ими.
Выбор средств защиты
На предыдущих мероприятиях мы не были ограничены в выборе средств защиты.Возможно, это было разумно и оптимально.
Поэтому, если вы хотите использовать какие-то экзотические решения, обсудите это с организаторами.
Но в любом случае подумайте, где и на какой срок вы будете получать лицензии, и какие ресурсы для этого потребуются.
Отработка скоординированных командных действий для быстрого выявления инцидентов и эффективного реагирования на них.
Недостаточно знать, что и как защищать.
Успех во многом будет зависеть от слаженной работы команды.
Соответственно, вы должны проработать цепочку действий исходя из ожидаемых векторов атак: выявление инцидентов, их блокировка, устранение последствий.
Например, представьте, что злоумышленники угадали пароль и подключились через VPN к корпоративной сети.
Каковы будут ваши действия? Или если пароль администратора вашего домена был украден? Рекомендации Соберите стенд, настройте меры безопасности при мониторинге.
Опишите сценарии и отработайте их с помощью пентестера.
Было бы идеально, если бы вы сделали плейбуки для разных типов атак.
Например, в прошлом году на The Standoff мы адаптировали сценарии, используемые Центром мониторинга информационной безопасности и реагирования на инциденты Jet CSIRT. При отработке действий важно не забывать о разделении ролей и обязанностей: кто-то управляет MS Active Directory, кто-то управляет межсетевым экраном, кто-то следит за развитием атаки в SIEM-системе и т. д. Лайфхак: как эффективно работать с SIEM на соревнованиях Научите каждого члена команды работать с SIEM, помогите создать необходимые дашборды, научите делать поиск, фильтры и, возможно, даже правила.
В этом случае нагрузка на SOC во время мероприятия немного снизится, а эффективность команды повысится.
Кстати, будет полезно, если участники поделятся друг с другом своими SIEM-разработками.
Это позволит нескольким членам команды одновременно участвовать в одной задаче в критической ситуации.
Инструменты для совместной работы
Во время обучения отработайте на практике инструменты, которые понадобятся вам для командной работы.По моему опыту вам понадобится следующее:
- Трекер задач .
Подойдут Jira, Яндекс.
Трекер или, например, Trello. Без декомпозиции задач, их формализации, постановки и контроля за их выполнением у вас будет хаос (как и в любом проекте).
- Обмен файлами .
У команды должен быть общий файловый ресурс.
Там вы можете хранить инвентарные таблички, игровые книги, конфигурации и т. д. Просто подумайте о безопасности; использование Google Таблиц или Диска на мероприятии кажется не очень безопасным.
Например, мы использовали наше корпоративное решение.
- Общее хранилище паролей .
Вам нужно будет поделиться паролями.
Заранее продумайте, как вы это организуете.
Вариантов много: Keepass, Passbolt и т.д.
А – Автоматизация
Если вы понимаете объект защиты, заранее продумайте автоматизацию рутинных операций.Например, это может быть запуск массовой установки обновлений на ОС Windows, настройка sshd по заранее подготовленным шаблонам, подготовка профилей для сканирования вашей инфраструктуры на уязвимости и соответствие требованиям.
Более того, многое можно придумать и автоматизировать, в том числе и активное противодействие.
Что не забыть накануне
Подготовка охраняемого объекта
Незадолго до мероприятия командам защитников предоставляется удаленный доступ к охраняемому объекту для изучения и настройки.Подробно весь процесс приготовления описывать не буду, так как получится утомительный и неинтересный трактат. Выделю основные моменты.
Необходимо обсудить с организаторами все нюансы работы с объектом охраны: что можно, а что нельзя.
Мой опыт подсказывает, что всегда можно договориться о целесообразных и аргументированных изменениях.
Например, о настройке архитектуры включения VPN-сервера при условии его работоспособности.
Инвентарь
Стандартная операция — понять защищаемый объект: какие версии, сервисы и уязвимости он содержит. Важно учитывать, что новые ресурсы могут появиться в вашей сети как во время подготовки, так и во время мероприятия.Будьте готовы к тому, что вам придется быстро разбираться, что это за ресурс, какие настройки к нему применить и какие меры защиты установить.
Обратите самое пристальное внимание на сервисы, представленные в условном Интернете.
Остановлюсь подробнее на одном важном моменте.
В прошлом году организаторы The Standoff запустили чекеры, проверяющие доступность защищаемых ресурсов (web, DNS, SMB и т. д.).
Если услуга через какое-то время не была доступна, с команд защиты списывались баллы.
Что это значит? Если злоумышленники нарушили работу вашей службы, ее необходимо восстановить как можно быстрее.
Для этого нужно понять, что это за сервис и на каком сервере он работает. Желательно иметь план восстановления, например, на случай потери важных файлов.
Делать снимок всего — не лучшая идея, поскольку это может снизить производительность среды виртуализации, в которой работают службы.
Ухищрение Распределите задачу инвентаризации среди членов команды.
Например, кто-то, кто отвечает за сканер безопасности, проводит базовую инвентаризацию и использует заранее подготовленные профили соответствия, специалист по сети следит за адекватностью сетевой архитектуры, а специалист WAF проводит детальную инвентаризацию веб-приложений.
Настройка инфраструктуры
Пожалуй, один из самых сложных и ответственных шагов.Вы должны укрепить инфраструктуру и в то же время обеспечить ее функциональность.
Как упоминалось выше, для этого необходимы хорошие знания и опыт работы с инфраструктурными сервисами и приложениями.
Например, обновить MS Exchange от уязвимостей удаленного выполнения кода не так-то просто.
Ваш установщик может зависнуть в процессе установки обновлений, и вам потребуется каким-то образом восстановить работоспособность Exchange. Настройка локальной политики безопасности также имеет свою специфику.
Есть серверы, которые невозможно обновить, так как установка обновлений может привести к сбоям в работе конкретного программного обеспечения, работающего на них.
Такое часто случается в реальной клиентской инфраструктуре.
Установка и настройка средств безопасности
Это одновременно простая и сложная задача.Сильная команда и большой опыт помогут автоматизировать этот процесс, чтобы все прошло гладко.
Конечно, бывают случаи, когда что-то идет не так или выбранное средство не работает должным образом.
Но предварительная подготовка и опыт позволяют не сделать это проблемой или останавливающим фактором.
До COVID-19 успех в The Standoff также во многом зависел от умения работать в комфортных условиях.
Не все заморачиваются, но я уверен, что так эффективность команды намного выше.
Поэтому нам было важно посетить объект накануне мероприятия и, по сути, провести его предпроектное обследование ***с точки зрения физики/размещения***, как это обычно бывает при реализации решения.
Например, мы просили заранее посмотреть места, выделенные для команд, и старались занять наиболее выгодные места.
Мы выбрали стол у стены, чтобы в наши мониторы могло заглядывать как можно меньше людей, или чтобы вокруг было немного больше места, чтобы комфортно разместиться всем участникам и группе поддержки.
Мы встретились с ответственными за организацию инфраструктуры на объекте и проверили, есть ли у нас весь необходимый доступ к сети.
Накануне вечером еще не все было готово, но мы уже точно знали, к кому обращаться утром в случае проблем.
Кроме того, было просто интересно посмотреть, как собирается сайт. С переносом мероприятия в онлайн-режим перед участниками встали новые задачи.
Вопросов очень много, поэтому я попросил организаторов кибербатла ответить на них.
Где будут собираться члены команды — локально или все будут удаленно? ПТ: Все будут удаленно.Каждая команда сама решит, собираться или нет. Какие средства использовать для оперативной связи, кроме стандартных мессенджеров? ПТ: Команды могут общаться друг с другом, как хотят: используют Slack, Discord, Zoom или другие сервисы.
Право выбора мы оставляем за участниками.
Как будет обеспечиваться связь с организаторами? П.
Т.
: Мы всегда использовали Telegram для оперативной связи и будем продолжать это делать.
День Х, или 4 совета защитникам во время соревнований
Не буду подробно рассказывать о том, что происходило на каждом мероприятии, но поделюсь основными рекомендациями, которые помогут будущим участникам соревнований.
- Держите связь с организаторами.
Например, в прошлом году мы активно обсуждали с организаторами The Standoff результаты проверки доступности наших сервисов их чекерами: выясняли, кто из них что проверял, почему они решили, что у нас что-то не работает и т. д.
- Оперативно устраняйте ложные срабатывания в SOC. Команда на мероприятии генерирует большую активность, важно отфильтровать «шум».
- Предоставлять обратную связь организаторам при выявлении инцидентов.
Объясните, почему вы сменили пароли, заблокировали учетную запись, выключили рабочую станцию или отключили службу.
Умение обосновать свои действия и предоставить доказательства показывает профессионализм команды.
- Отключите эмоции и включите здоровую оценку ситуации, начните анализировать результаты проделанной работы.
Так вы сможете понять, достигли ли вы тех целей, которые поставили перед собой.
Мы не паниковали.
Специалисты SOC обнаружили проблему, оперативно заблокировали аккаунт в домене, затем мы сбросили VPN-сессии и пароль аккаунта, а затем отправили отчет организаторам.
На все про все у нас ушло около 15 минут. Плюс заодно проанализировали последствия происшествия.
Вместо послесловия
Мой опыт участия в конкурсах в сфере информационной безопасности подсказывает, что на заключительном этапе подготовки к мероприятию всегда собирается команда неравнодушных коллег.Итак, на классический вопрос «Пошли бы вы с ним в разведкуЭ» Я отвечаю: «С ними да.
Команда – это сила! Удачи в противостоянии! Автор: Илья Сапунов, руководитель отдела защиты инфраструктуры Центра информационной безопасности «Инфосистемы Джет» Теги: #информационная безопасность #Конференции #ctf #противостояние
-
Сколько Стоит Веб-Хостинг Mac?
19 Oct, 24 -
Эмоциональное Лидерство
19 Oct, 24 -
Билайн Упал? Снова?
19 Oct, 24 -
Кризис Дошёл До Застройщиков
19 Oct, 24 -
Печатные Издания И Онлайн-Продажи
19 Oct, 24
