С 16 по 19 мая команда сотрудников «Газинформсервиса» приняла участие в кибербитве The Standoff на стороне защиты.
О том, как это произошло, рассказал участник проекта Никита Платов, инженер-конструктор группы защиты рабочих станций и серверов «Газинформсервис».
Полигон
Киберполигон Standoff представляет собой виртуальную копию города, имитирующую его инфраструктуру — здесь есть банковская система, энергетика, заводы, вокзалы, аэропорты и многое другое.Информационные системы города развертываются на серверах, виртуальных машинах и ПЛК Состояние инфраструктуры в реальном времени отражается на действующей модели города, расположенной на полигоне кибертестирования в Москве.
На нем можно увидеть некоторые последствия действий хакеров, например, пожар на модели электростанции.
Тестовый полигон содержит возможность реализации более 100 недопустимых событий — все они являются потенциальным шансом для хакеров в белой шляпе отточить свои навыки поиска уязвимостей, а для команд защитников — обучения поиску и предотвращению взломов или минимизации их последствий.
Распределение ролей в команде
Наша ГИС-киберкоманда состояла из 10 человек, роли в ней были распределены по ответственности за те или иные средства ИБ - члены команды отслеживали события с защищенных хостов в SIEM и ISIM, действия пользователей в ASAP, сетевой трафик в PT NAD, веб-атаки в PT AF и обнаружил использование вредоносного ПО с помощью PT Sandbox. Зоны ответственности были распределены в зависимости от знаний и навыков конкретного человека — некоторые члены команды не занимаются на постоянной основе расследованием инцидентов, а являются дизайнерами с отличным пониманием векторов и типов атак.
Набор средств защиты был определен организаторами The Standoff исходя из среднего набора средств защиты информации в SOC крупной компании.
Как это было
В этом году ключевой задачей нашей команды стало фиксирование и расследование инцидентов на объектах электроэнергетики.Каждый день кибербитвы начинался с наблюдения за консолями безопасности, поскольку активность злоумышленников (благодаря использованию автоматических скриптов на скомпрометированных серверах) не прекращалась полностью даже ночью.
Все дни мероприятия мы практически не оставляли средства защиты – волна атак шестнадцати красных команд просто не позволила нам это сделать.
Каждое недопустимое мероприятие, успешно реализованное злоумышленниками, сопровождалось узнаваемым звуковым сигналом на полигоне.
Всего в этом году в защите играло 5 команд, которые за 4 игровых дня подали 287 сообщений о происшествиях, из них наша команда зафиксировала 47. Объекты энергетической сферы являются достаточно сложной целью для взлома, поэтому первые два дня злоумышленники предпочитали выбирать более легкие цели, забрасывая нас событиями сканирования сетей и сервисов.
Активная фаза атак на энергетический сектор произошла на третий день проекта.
Злоумышленники использовали вредоносное ПО для кражи учетных данных и установки бэкдоров в целевых системах, пытаясь прорваться через DMZ-зону и оттуда просканировать производственную зону.
При обнаружении подозрительной активности группы защиты определяли цели злоумышленников, собирали доказательства неправомерных действий в системе информационной безопасности и писали для организаторов отчет с полным описанием атаки и рекомендациями по защите и минимизации рисков.
В целом The Standoff был весьма похож на работу настоящего SOC – с той разницей, что нужно было осуществлять только мониторинг, а не блокировку атак, и с осознанием всеми командами защиты того, что во время мероприятия они обязательно будут взломали, атак будет много, и они будут проводиться непрерывно все четыре дня.
«Стандофф» учит быстро расследовать инциденты, работать под давлением несколько дней подряд, а также позволяет понять основные направления и новые методы злоумышленников, чтобы впоследствии применить полученный опыт в своей работе.
Стоит ли участвовать в проекте?
Участие в проекте позволило нам «вживую» понять, как именно предпочитают действовать хакеры, какие угрозы встречаются чаще всего и как лучше расследовать реальную атаку на инфраструктуру.Подобные мероприятия позволяют постоянно стимулировать интерес к работе и в некотором роде взбодрить, не дают забыть о том, что атаки на информационные системы осуществляются постоянно.
Теги: #информационная безопасность #личный опыт #защита информации #киберполигон #практическая безопасность #защитники
-
Vivaldi 5.1 Для Пк – Расширение Возможностей
19 Oct, 24 -
Движок Unreal 4. Секвенсор Вместо Matinee
19 Oct, 24 -
Оценка Требований В Scrum
19 Oct, 24 -
Тестирование
19 Oct, 24 -
Нелокальный Алгоритм Сглаживания Изображений
19 Oct, 24 -
Письмо Деду Морозу!)
19 Oct, 24
