Вся информация о киберполигоне The Standoff и его задачах.
Информационная безопасность Информационная безопасность

Как появилась идея The Standoff? Что под капотом киберполигона: реальный софт или «синтетика»? На чем основан выбор объектов для инфраструктуры цифрового города?

Главная>Информационная безопасность>Раскрываем карты: всё о The Standoff и будущем киберполигона
Информационная безопасность Обзор

Раскрываем карты: всё о The Standoff и будущем киберполигона

Дата публикации:
03.09.2021
Посетителей:
760
Просмотров:
738
Время просмотра:
2.3

Авторы

Спикер
Михаил Помзов директор департамента базы знаний и экспертизы компании Positive Technologies

Как появилась идея The Standoff?

 

Что под капотом киберполигона: реальный софт или «синтетика»?

 

На чем основан выбор объектов для инфраструктуры цифрового города?

 

У истоков The Standoff стоял CTF

 

Весной 2021-го компания Positive Technologies в очередной раз провела The Standoff. Для тех, кто не знает: The Standoff — крупнейший открытый киберполигон, на котором мы моделируем технологические и бизнес-процессы реальных компаний из различных секторов промышленности (энергетика, финансы, транспорт и др.), а также устраиваем кибербитву за инфраструктуру цифрового мегаполиса. Участие в The Standoff позволяет бизнесу испытать свои системы на прочность и проследить типовые цепочки атак на самые распространенные корпоративные продукты. На полигоне сотрудники отделов ИБ могут научиться обнаруживать кибератаки в реальном времени и противодействовать им, а также познакомиться на практике с хакерским вооружением и сценариями реагирования на атаки и техники.

 

Раньше The Standoff проходил в рамках международного форума по практической безопасности Positive Hack Days, а сегодня превратился в самостоятельное мероприятие по кибербезопасности, где в роли нападающих и защитников выступают представители зарубежных и отечественных компаний. Как родилась идея The Standoff? Зачем создавали виртуальный полигон и красочный макет? Кому интересен такой формат киберучений? Прежде чем ответить на эти вопросы, стоит отметить, что центральное место в конкурсной программе PHDays всегда отводилось прикладным испытаниям, в ходе которых участники демонстрировали навыки взлома и защиты. Проект The Standoff во многом вдохновлен игрой «белых» хакеров CTF. Сначала на форуме мы проводили собственные CTF, которые даже стали одним из топовых мероприятий. Однако, хотя в целом мы были довольны результатом, с соревнованиями возник ряд сложностей. 

 

Во-первых, задачи, которые придумывали для CTF, не отражали детали того, как хакеры взламывают настоящие компании, да и суть самой игры — захватить больше абстрактных флагов, чем команда противников, — не была созвучна идее форума PHDays, а уровень практической применимости опыта и навыков, полученных пентестерами в ходе решения CTF-тасков, был минимальным. Второй камень, о который мы споткнулись, — непонимание со стороны бизнеса. Его представители, наблюдая за парнями с ноутбуками, не понимали, что и как взламывают на конкурсах, не видели, как и где можно применять результаты CTF, а главное — не осознавали, какие будут последствия, если, например, их бизнес атакуют киберпреступники. Кроме того, полноценно прокачать свои навыки на соревнованиях CTF могли только пентестеры. Вовлечь в такой формат инженеров по безопасности и киберзащитников оказалось попросту невозможно. 

 

И мы придумали The Standoff как раз для того, чтобы создать на PHDays настоящую площадку для диалога «пиджаков» и «футболок», максимально сократить отрыв от реальности, сделать практическую часть форума интересной для бизнеса и полезной для профессиональных пентестеров, а «безопасникам» дать возможность потренироваться в обнаружении кибератак, выявлении и расследовании инцидентов. Важным компонентом стал киберполигон: его инфраструктура схожа с типовой инфраструктурой реальных компаний, а значит, хорошо знакома защитникам. 

 

На полигоне обобщенно представлены средства, которые установлены в любой средней компании: современный софт (базовые сервисы, почтовые и файл-серверы, CRM- и ERP-системы, а также другое прикладное ПО) и настоящие контроллеры АСУ ТП, если у компании, например, есть производство.

 

Концепция мероприятия, в ходе которого на растерзание атакующим отдают инфраструктуру, а командам защиты и экспертным центрам безопасности предлагают выявлять и расследовать атаки, вызвала большой интерес у специалистов в сфере кибербезопасности, и первыми участниками со стороны «синих» стали эксперты индустрии ИБ — к примеру, команды таких компаний, как МТС, «Инфосистемы Джет», «Информзащита», ASP Labs, «Перспективный мониторинг», PaloAlto Networks. 

 

За несколько дней кибербитвы защитники, изучая методы атакующих и тренируясь в обнаружении атак и расследовании инцидентов, получают опыт, который в обычных условиях сложно приобрести даже за годы. Так, в реальной жизни центрам мониторинга информационной безопасности не каждый день приходится регистрировать атаки, а если посмотреть на собираемую крупными компаниями статистику инцидентов ИБ, то окажется, что в основном это различные события безопасности на периметре. С точки зрения обучения наибольший интерес для специалистов SOC представляют серьезные инциденты — например, такие, когда хакеры развивают атаку, закрепляются в инфраструктуре, повышают привилегии и проводят внутреннюю разведку с целью найти серверы, на которых хранится ценная информация. Здесь важна скорость реакции, и, чтобы уметь быстро реагировать, в первую очередь необходимо научиться обнаруживать злоумышленников, а также отслеживать их действия и раскручивать всю цепочку атаки. Также важно проверить, как действует команда защиты в боевых условиях. Удалось ли ей вовремя выявить хакерскую активность? Выполняются ли необходимые по плейбуку шаги и насколько они верны? Слаженно ли действует команда? Правильно ли выстроена коммуникация? 

 

Конечно, можно сказать, что уже давно существует классический пентест, где имитируются целенаправленные атаки на компанию. В чем же тогда ценность The Standoff? Преимущество наших киберучений состоит в том, что их условия дают возможность провести максимально честную тренировку: «ломая» инфраструктуру полигона, нападающие действуют так же, как хакеры в реальной жизни. Для атакующих команд нет ограничений, свойственных пентестам: никто не регламентирует, в какое время и какие ИТ-системы можно проверять на прочность, куда в инфраструктуре полигона ходить нельзя, а что взламывать разрешается. Предоставленная атакующим свобода действий позволяет довести вектор атаки до конца и посмотреть, к чему это приведет, — то есть увидеть реальную картину хакинга. Кроме того, техники и утилиты, которые используют десятки «красных» команд на полигоне, доступны и злоумышленникам. 

 

 

Как создается киберполигон

 

О выборе объектов

 

Главная фишка The Standoff — показать, каким угрозам подвержены ресурсы любого крупного города, поэтому на киберполигоне располагаются объекты, которые могли бы находиться и в настоящем городе. Мы стараемся представить основные отрасли экономики: промышленность, энергетику, транспорт, финансы и пр. Так, например, на майском The Standoff объектами являлись газораспределительная станция, химический завод, нефтехранилище, уличное освещение, рекламные билборды, железная дорога, аэропорт, морской порт, парк развлечений, электростанция, ветрогенераторы, магазин и много чего еще.

 

Взглянув на макет, участники с любым бэкграундом сразу понимают, что присутствующие там объекты встречаются в обычной жизни, причем с некоторыми из них они взаимодействуют почти ежедневно: ходят в магазин, обращаются в банк, летают на самолетах, ездят по дорогам, движение на которых регулируется светофорами… Благодаря такой визуализации уже не требуется объяснять, к каким последствиям может привести, например, кибератака на электростанцию. А когда атакующим удается реализовать какое-либо недопустимое событие из числа заложенных в объект, участники и зрители видят на макете причиненный жителям города ущерб.

 

Что под капотом

 

Задача полигона — создание среды, в которой можно:

 

  • провести настоящие хакерские атаки на инфраструктуру предприятия;
  • обнаружить слабые места в системе информационной безопасности;
  • проверить и отработать навыки по обнаружению и расследованию атак.

 

Для этого мы стараемся на любом объекте на нашем полигоне воспроизвести именно ту часть инфраструктуры, которая находится на периметре и видна злоумышленникам. Чтобы реализовать недопустимое событие, хакеры должны найти уязвимость, пробить периметр и проникнуть в инфраструктуру. 

 

В The Standoff участвуют в основном опытные специалисты, которые уже давно занимаются тестированием на проникновение и анализом защищенности и не понаслышке знают, что такое JNDI, XXE OOB и xp_cmdshell. Поэтому, если им удастся найти точку входа и начать дальнейшее продвижение по внутренней сети компании, исход ясен: получить контроль над критически важными системами они, без сомнения, смогут. Например, в мае этого года на The Standoff атакующие реализовали 33 уникальных недопустимых события — 54% от общего числа событий, заложенных в программу киберучений. Всего от «красных» команд было принято 84 отчета об успешно выполненных заданиях. Помимо этого, нападающие прислали в жюри 343 отчета об уязвимостях, выявленных в инфраструктурах компаний; самым популярным вектором проникновения в локальные сети стали незащищенные веб-приложения. 

 

При создании офисов на киберполигоне мы анализируем, какие системы встречаются в ИТ-ландшафте типовой компании, затем выделяем ключевые элементы и упрощаем их, сохраняя при этом баланс между реалистичностью инфраструктуры и ее сложностью. Чтобы в боевых условиях проверить, удастся ли атакующим пройти, мы по максимуму стремимся использовать реальный софт, выполнить настоящие настройки и «закрутить гайки безопасности». Например, базовая корпоративная инфраструктура объектов на полигоне состоит из современного офисного софта: почтового сервера, файлового сервера, CRM- и ERP-систем, а также другого прикладного ПО, которое мы все так или иначе используем для работы.

 

Софт обычно предоставляют партнеры The Standoff — зрелые в части ИБ компании, которые хотят испытать свои приложения и системы на прочность. Они открыты для взаимодействия с исследователями безопасности и разделяют наш подход: если решение можно взломать, то пусть это случится на полигоне, а не в реальности. В этом случае отчет глобального SOC, который следит за действиями как атакующих, так и защитников, покажет точку входа в инфраструктуру и поможет в расследовании атаки. Получив эту информацию, вендор после битвы сможет повысить надежность своего решения. Ведь чем больше уязвимостей выявлено, тем безопаснее становится продукт. 

 

Иногда, в отсутствие профильных партнеров, мы сами пишем софт, беря за основу решения open source. Например, если для корпоративного блока инфраструктуры необходимо воспроизвести ERP-систему, мы берем опенсорсный аналог проприетарных решений и реализуем типовые атаки на системы этого класса. 

 

Кроме того, чтобы приблизить условия киберполигона к реальности, в сегменте АСУ ТП используют настоящие контроллеры, для которых пишут несложные проекты, аналогичные реальным, и разворачивают широко применяемые SCADA-системы.

 

С практической точки зрения главное в создании объектов на полигоне — сохранить важные свойства инфраструктуры выбранных компаний. Необходимо обеспечить следующее:

 

  1. Достаточный размер инфраструктуры. У нас нет цели полностью воссоздать сеть крупного промышленного предприятия, в которой будут десятки тысяч узлов. Из-за своей сложности такие инфраструктуры бесполезны с точки зрения учений. Процесс их изучения защитниками и нападающими может занять месяцы, а нам все же необходимо сохранять условия битвы: чем больше офисов взломают атакующие, тем больше очков для победы они наберут. 
  2. С другой стороны, сеть из нескольких узлов тоже не сильно практична, так как ее мониторинг становится тривиальной задачей. Мы пришли к тому, что оптимальный размер инфраструктуры для одного предприятия — порядка сотни узлов (как серверов, так и клиентских компьютеров).
  3. По возможности точное клонирование архитектуры сети и службы каталогов. Устройство офиса компании на сетевом уровне и параметры службы каталогов во многом определяют подходы к обеспечению кибербезопасности и параметры средств защиты. Например, в представленных на полигоне объектах есть все ключевые подразделения, необходимые  для воссоздаваемого бизнеса: финансы, HR, IT, продажи, маркетинг, внутренняя разработка, а также профильные подразделения. За каждым типом пользователя закреплен определенный профиль доступа и поведения в инфраструктуре. Кроме того, на базе этой оргструктуры производится сегментирование сети.
  4. Использование типового для индустрии системного и прикладного ПО. Мы шли двумя путями. Первый — воссоздание копий определенных объектов наших заказчиков. Например, для «Азбуки вкуса» развернули полную копию всех ключевых сервисов, используемых в реальном магазине. Второй путь — установка ПО, принадлежащего к определенному классу решений. Уже было отмечено, что почти у каждой компании есть почтовые серверы, базы данных, средства ИБ (SIEM, IDS и пр.) и другие системы. Конкретные наименования могут отличаться, но, как правило, сценарии использования систем одного класса и подходы к атакам будут схожими.
  5. Применение реальных промышленных контроллеров и SCADA-систем. На полигоне воспроизводятся упрощенные модели технологических процессов. Причина в том, что подходы к взлому АСУ ТП в меньшей степени зависят от реализации конкретного процесса и в большей — от используемого оборудования, ПО и протоколов.

 

Кто делает полигон

 

Для каждой кибербитвы полигон готовит большая кросс-функциональная команда, в которую входят эксперты по ИБ, ИТ-инженеры, разработчики, пентестеры, специалисты по DevOps и по АСУ ТП и другие профессионалы. Например, пентестеры настраивают или пишут специально для учений веб-сервисы, в которые стараются заложить самые последние и трендовые уязвимости. Работу ЦОДа, в котором на время битвы разворачивают корпоративный сегмент инфраструктуры виртуального мегаполиса, поддерживает IT-команда Positive Technologies, а за визуальную часть полигона — макет и его подключение к настоящим контроллерам и SCADA-системам — отвечает отдел безопасности промышленных систем управления компании. 

 

Киберполигон постоянно развивают, он становится больше за счет добавления новых объектов инфраструктуры со своими бизнес-рисками. При этом над созданием инфраструктуры работают не только специалисты Positive Technologies, но и партнеры, которые интегрируют свои решения и бизнес-процессы в полигон, обеспечивая его максимальную реалистичность. Минувшей весной технологическими партнерами PHDays стали сеть продовольственных супермаркетов «Азбука вкуса» и ИТ-компания Osnova. 

 

В этом году мы впервые привлекли к работе над полигоном стратегического партнера прошедших кибербитв — компанию Innostage, которая также выступила соорганизатором десятого, юбилейного форума PHDays. Она развернула часть игровой инфраструктуры — три офиса, которые впоследствии мониторил их собственный SOC. Кроме того, специалисты интегратора помогали командам защитников изучать продукты Positive Technologies, расследовать реализованные атакующими недопустимые события и составлять отчеты об инцидентах, выявленных за четыре дня майского The Standoff.

 

Будущее The Standoff

 

Сейчас мы проводим The Standoff два раза в год и открываем киберполигон на несколько дней, но совсем скоро он будет доступен не только во время больших учений, но и круглый год — на постоянной основе. Несмотря на то что созданная специально для кибербитвы инфраструктура востребована компаниями, которые хотят проверить на прочность свои приложения и системы, а также пентестерами, исследователями ИБ и специалистами по киберзащите, сначала мы планируем открыть тестовый доступ для небольшого числа команд атакующих и защитников. «Красные» получат возможность исследовать интересные и сложные объекты, а «синие» — запускать программы bug bounty или подключаться в режиме мониторинга, чтобы отрабатывать навыки в области выявления и расследования кибератак.

Уведомления об обновлении тем – в вашей почте

Гарантирование доходов и противодействие мошенничеству в телекоммуникационных компаниях

В лексиконе крупных компаний, занимающихся розничной продажей товаров народного потребления, существует такое понятие как «shrinkage», (пер. с англ. – «сокращение, усушка, уварка»). Это термин означает потерю части товара (а значит, и потенциальной выручки) в результате его порчи, утери, воровства и т. п.

Личные кабинеты уже не личные? О предотвращении угона данных, баллов и денег

Личные кабинеты клиентов на сайтах компаний содержат множество персональных данных их владельцев. Вместе с информацией о тех же людях, представленной в интернете, они формируют пул сведений, которыми легко могут воспользоваться злоумышленники.

Взломай свою офисную АТС до того, как это сделают другие

Современные компании для организации связи все чаще используют офисные автоматические телефонные станции (УАТС или Private Branch Exchange, PBX), обладающие большим количеством «продвинутых» функций. Одновременно с этим, одним из наиболее распространенных видов мошенничества (фрода) для операторов фиксированной связи остается взлом и использование PBX их клиентов для совершения бесплатных вызовов.

Как у ритейлеров утекают деньги

Мы часто задаёмся вопросом, чем для ритейл-компаний является мошенничество. Это проблема, которую нужно оперативно решать, угроза, риски которой нужно постоянно учитывать, или факт, неизменно сопутствующий бизнесу компании?

Внутреннее мошенничество и каналы ДБО созданы друг для друга?

Мошенничество в каналах дистанционного банковского обслуживания (ДБО) как юридических, так и физических лиц актуально последние 6–7 лет

«Хотите защититься? Заведите «сейф» для мобильного банковского приложения»

Евгений Горбачев, начальник управления информационной безопасности Департамента по обеспечению безопасности Банка Москвы

Аудит функции Fraud Management & Revenue Assurance

На современном этапе развития телекоммуникационных операторов уже не подвергается сомнению тезис о необходимости особого контроля собираемой ими выручки. Функция контроля выручки у операторов связи реализуется в виде Fraud Management & Revenue Assurance (далее, FM&RA).

Современные Сизифы

Сизиф, царь Коринфа, был великим мошенником. Благодаря своей хитрости он собрал несметные сокровища.

«Золотое дно» микроплатежей

Злоумышленники вокруг нас! Заходишь в интернет и рано или поздно попадаешь на сайт, видишь баннер или просто очередной пост на каком-нибудь форуме со ссылкой на сомнительное предложение.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня