Ряска повторной самоизоляции,затянув просветы KICC и CISO Форума, превратила событийный фон «ибэшных» мероприятий в унылое Zoom-виртуальное болото. Сообщение о командировке на The Standoff заставило взбодриться.
RED ПРОТИВ BLUE
Живое общение с организаторами позволило понять, что вожжи стремительно разворачивающейся «тачанки» The Standoff находятся в опытных руках Positive Technologies, а само по себе мероприятие – это почти то же самое, что и «масштабное хакерское соревнование, проведённое в ходе PHDays 2018» и «высокотехнологичный ночной клуб, воссозданный устроителями PHDays 2019». Только в прошлые годы слово The Standoff отходило на второй план, уступая первое место бренду PHDays.
Но SARS-CoV-2 вывел бренд TheStandoff в группу лидеров в короткой череде действительно масштабных дистанционных мероприятий в сфере ИБ. Шесть дней в режиме нон-стоп 29 команд redteam атаковали цифровой город, защищаемый шестью командами blue team. Среди объектов – транспортная инфраструктура (аэропорт, морской порт, железнодорожный узел), ТЭК (нефтяное месторождение, газораспределительная станция, нефтепереработка), банк и деловой центр, рекламно-информационная инфраструктура города, парк развлечений.
Конференция «при TheStandoff» тоже получилась впечатляющей: более 70 докладов и круглых столов, свыше 20 тыс. посещений.
С ПОПРАВКОЙ НА РЕАЛЬНОСТЬ
Продвинутые зрители следили за киберсражением, используя профессиональный инструментарий PositiveTechnologies и Cisco. Простые обыватели полагались на отчёты пресс-службы и видеотрансляции бесед с экспертами и участниками событий.
Учитывая, что участники спали мало, нерегулярно питались и не всегда были выбриты, данные пострелизов и устные заявления в режиме реального времени частенько расходились в деталях (реализованы по одним источникам 24 риска, по другим 29, деньги из взломанного банка по одним источникам выведены, по другим нет), но всегда верно отражали картину в целом. И картина эта была такой же живой и многомерной, как и само мероприятие. Соответственно, разные трактовки имели полное право на существование.
НЕКОТОРЫЕ ИТОГИ
К концу шестидневной битвы были выведены из строя системы аэропорта, парка развлечений, газораспределительной станции, нефтедобывающей компании и электростанции. Потери понесли банк и деловой центр. Под управление атакующих попали рекламные экраны.
Плачевные результаты?
Результаты такие, какие и должны быть при нынешнем состоянии ИТ-технологий и квалификации персонала, строящего и обслуживающего КИИ. Организаторы заложили в инфраструктуру города около 60 уникальных рисков, атакующие «реализовали» около половины этих рисков, причём – любопытный и неожиданный факт – два из «реализованных» не входили в число, изначально заложенных организаторами.
Так хороший результат или плохой?
Дмитрий Серебренников, директор по анализу защищённости Positive Technologies, в своём комментарии заявил, что в этом году уровень атакующих заметно вырос. «Мы не ожидали, что половина рисков будет реализована».
Против атакующих выстояли лишь морской порт и железная дорога. Банк и «нефтянка» подверглись нападению в первые же часы, сила атак не ослабевала постоянно. И хотя поначалу проникшие довольно быстро были изгнаны из банка, в конце концов пали и финансовая инфраструктура, и КИИ нефтегазового комплекса.
Такая тактика оправдана?
Вполне возможно, такой ход событий был спровоцирован методикой оценки результатов и стереотипами современного мышления, для которого финансы и «Газпром» являются олицетворением экономики. С практической же точки зрения, если сразу остановить транспорт, то и нефтедобыча, и нефтепереработка встанут сами по себе. И это следует учитывать и при оценке реальных рисков, и при разработке тактики кибервойны.
«КОММУНИЦИРУЕМ, ОБЩАЕМСЯ, ЛОМАЕМ»
Уже упомянутый Дмитрий Серебренников и Алексей Новиков, директор экспертного центра безопасности Positive Technologies, при подведении первых итогов отмечали, что они с интересом изучали новинки инструментария атакующих, техники и тактики атак команд, продемонстрировавших в этом году резко возросшие возможности проникновения. Среди оригинальных решений защитников Алексей Новиков отметил приём, при котором одна из команд защитников специально открыла пару серверов для атакующих и далее с интересом наблюдала за топтанием red-team-слонов в посудной лавке.
О бесценности вновь обретённого опыта упоминали и многие участники команд. Антон Куранда, технический директор RBK.money, компании, предоставившей свою финансовую платформу для оснащения киберполигона, высоко оценил возможность обкатки платформы в ходе киберучений и выразил желание продолжить сотрудничество с организаторами The Standoff.
«Коммуницируем, общаемся, ломаем», – так охарактеризовал три источника, три составные части пользы от участия в The Standoff лидер одной из команд-победительниц.
Уместно заметить (без каких-либо комментариев), что победные места по условиям The Standoff присваивались только командам атаки – по совокупному числу баллов, которые им присуждали за реализацию бизнес-рисков, отчёты «по внутренней багбаунти» и некоторые другие успехи.
Среди команд защиты победители не выделялись, однако вёлся рейтинг команд, учитывающий разные показатели: число проведённых расследований, доступность инфраструктуры, скорость расследования.
МУЗЫ НЕ МОЛЧАЛИ
Уместно вспомнить, что The Standoff 2020 – это не только битва в киберпространстве, но и конференция. И если бы в этой части мероприятия также были предусмотрены призы, возможно, награду за оригинальность темы получил бы Роберт Селл, президент компании Trace Labs. Он рассказал, как хакеры трудятся над получением физического доступа к оборудованию. А также о том, как преступники проводят разведку, что делают в ходе тестовых попыток проникновения (включая приготовление объяснений на случай поимки), а для наглядности представил подробное описание инструментов для физического взлома замков и способов сокрытия их в здании до момента использования.
Что касается основной части докладов и дискуссий, то классифицировать их можно вполне традиционно – (1) визионерство, (2) новости (breaking & hot) и (3) сообщения о планомерно развиваемых исследованиях.
В этой связи уместно отметить, что искусственный интеллект плавно перетёк в разряд (3) и теперь его возможности оцениваются профессионалами более чем трезво и достаточно рутинно применяются для фильтрации спама, пассивного анализа трафика, сбора информации, подбора паролей и т. д.
В разделе (2) запомнились обсуждения «фальшивой биометрии». Создание «синтетических» личностей становится всё проще, а борьба с ними – сложнее. Что, впрочем, не мешает экспертам выявлять ограничения технологий подмены и синтеза биометрических данных и предлагать их для обнаружения фактов компрометации биометрии. Этой теме был посвящён, в частности, доклад учёных из компании BBVA Next Technologies.
«Безопасное программирование», проверка качества кода – это пример сквозной, планомерно развиваемой темы в ИБ, как и использование Open Source-инструментария. Денис Макрушин из Huawei поделился опытом своей компании и рассказал, в частности, о SonarQube – платформе с открытым исходным кодом для анализа качества и защищённости программного кода. Сергей Горохов, архитектор решений компании EPAM, рассказал о важности тесного взаимодействия подразделений AppSec и Security Testing.
ДО НОВЫХ ВСТРЕЧ
В ближайших планах организаторов The Standoff – глубокий анализ данных, собранных на поле битвы. В планах на перспективу – организация новых учений. В инфраструктуру полигона могут быть добавлены медицинские учреждения и системы спутниковой связи. Рассматриваются возможности увеличения числа команд обороняющихся и доведение их количества до той цифры, что характеризует атакующую сторону. Изюминкой новой битвы может стать разрешение командам blue team атаковать «красных».
А мы будем следить ещё и за анонсами PHDays. Как уживутся два медведя в одной берлоге?
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных