BIS Journal №1(40)/2021

1 апреля, 2021

The Standoff 2020. Кибербитва на фоне глобальной конференции

Ряска повторной самоизоляции,затянув просветы KICC и CISO Форума, превратила событийный фон «ибэшных» мероприятий в унылое Zoom-виртуальное болото. Сообщение о командировке на The Standoff заставило взбодриться.

 

RED ПРОТИВ BLUE

Живое общение с организаторами позволило понять, что вожжи стремительно разворачивающейся «тачанки» The Standoff находятся в опытных руках Positive Technologies, а само по себе мероприятие – это почти то же самое, что и «масштабное хакерское соревнование, проведённое в ходе PHDays 2018» и «высокотехнологичный ночной клуб, воссозданный устроителями PHDays 2019». Только в прошлые годы слово The Standoff отходило на второй план, уступая первое место бренду PHDays.

Но SARS-CoV-2 вывел бренд TheStandoff в группу лидеров в короткой череде действительно масштабных дистанционных мероприятий в сфере ИБ. Шесть дней в режиме нон-стоп 29 команд redteam атаковали цифровой город, защищаемый шестью командами blue team. Среди объектов – транспортная инфраструктура (аэропорт, морской порт, железнодорожный узел), ТЭК (нефтяное месторождение, газораспределительная станция, нефтепереработка), банк и деловой центр, рекламно-информационная инфраструктура города, парк развлечений.

Конференция «при TheStandoff» тоже получилась впечатляющей: более 70 докладов и круглых столов, свыше 20 тыс. посещений.

 

С ПОПРАВКОЙ НА РЕАЛЬНОСТЬ

Продвинутые зрители следили за киберсражением, используя профессиональный инструментарий PositiveTechnologies и Cisco. Простые обыватели полагались на отчёты пресс-службы и видеотрансляции бесед с экспертами и участниками событий.

Учитывая, что участники спали мало, нерегулярно питались и не всегда были выбриты, данные пострелизов и устные заявления в режиме реального времени частенько расходились в деталях (реализованы по одним источникам 24 риска, по другим 29, деньги из взломанного банка по одним источникам выведены, по другим нет), но всегда верно отражали картину в целом. И картина эта была такой же живой и многомерной, как и само мероприятие. Соответственно, разные трактовки имели полное право на существование.

 

НЕКОТОРЫЕ ИТОГИ

К концу шестидневной битвы были выведены из строя системы аэропорта, парка развлечений, газораспределительной станции, нефтедобывающей компании и электростанции. Потери понесли банк и деловой центр. Под управление атакующих попали рекламные экраны.

 

Плачевные результаты?

Результаты такие, какие и должны быть при нынешнем состоянии ИТ-технологий и квалификации персонала, строящего и обслуживающего КИИ. Организаторы заложили в инфраструктуру города около 60 уникальных рисков, атакующие «реализовали» около половины этих рисков, причём – любопытный и неожиданный факт – два из «реализованных» не входили в число, изначально заложенных организаторами.

 

Так хороший результат или плохой?

Дмитрий Серебренников, директор по анализу защищённости Positive Technologies, в своём комментарии заявил, что в этом году уровень атакующих заметно вырос. «Мы не ожидали, что половина рисков будет реализована».

Против атакующих выстояли лишь морской порт и железная дорога. Банк и «нефтянка» подверглись нападению в первые же часы, сила атак не ослабевала постоянно. И хотя поначалу проникшие довольно быстро были изгнаны из банка, в конце концов пали и финансовая инфраструктура, и КИИ нефтегазового комплекса.

 

Такая тактика оправдана?

Вполне возможно, такой ход событий был спровоцирован методикой оценки результатов и стереотипами современного мышления, для которого финансы и «Газпром» являются олицетворением экономики. С практической же точки зрения, если сразу остановить транспорт, то и нефтедобыча, и нефтепереработка встанут сами по себе. И это следует учитывать и при оценке реальных рисков, и при разработке тактики кибервойны.

 

«КОММУНИЦИРУЕМ, ОБЩАЕМСЯ, ЛОМАЕМ»

Уже упомянутый Дмитрий Серебренников и Алексей Новиков, директор экспертного центра безопасности Positive Technologies, при подведении первых итогов отмечали, что они с интересом изучали новинки инструментария атакующих, техники и тактики атак команд, продемонстрировавших в этом году резко возросшие возможности проникновения. Среди оригинальных решений защитников Алексей Новиков отметил приём, при котором одна из команд защитников специально открыла пару серверов для атакующих и далее с интересом наблюдала за топтанием red-team-слонов в посудной лавке.

О бесценности вновь обретённого опыта упоминали и многие участники команд. Антон Куранда, технический директор RBK.money, компании, предоставившей свою финансовую платформу для оснащения киберполигона, высоко оценил возможность обкатки платформы в ходе киберучений и выразил желание продолжить сотрудничество с организаторами The Standoff.

«Коммуницируем, общаемся, ломаем», – так охарактеризовал три источника, три составные части пользы от участия в The Standoff лидер одной из команд-победительниц.

Уместно заметить (без каких-либо комментариев), что победные места по условиям The Standoff присваивались только командам атаки – по совокупному числу баллов, которые им присуждали за реализацию бизнес-рисков, отчёты «по внутренней багбаунти» и некоторые другие успехи.

Среди команд защиты победители не выделялись, однако вёлся рейтинг команд, учитывающий разные показатели: число проведённых расследований, доступность инфраструктуры, скорость расследования.

 

МУЗЫ НЕ МОЛЧАЛИ

Уместно вспомнить, что The Standoff 2020 – это не только битва в киберпространстве, но и конференция. И если бы в этой части мероприятия также были предусмотрены призы, возможно, награду за оригинальность темы получил бы Роберт Селл, президент компании Trace Labs. Он рассказал, как хакеры трудятся над получением физического доступа к оборудованию. А также о том, как преступники проводят разведку, что делают в ходе тестовых попыток проникновения (включая приготовление объяснений на случай поимки), а для наглядности представил подробное описание инструментов для физического взлома замков и способов сокрытия их в здании до момента использования.

Что касается основной части докладов и дискуссий, то классифицировать их можно вполне традиционно – (1) визионерство, (2) новости (breaking & hot) и (3) сообщения о планомерно развиваемых исследованиях.

В этой связи уместно отметить, что искусственный интеллект плавно перетёк в разряд (3) и теперь его возможности оцениваются профессионалами более чем трезво и достаточно рутинно применяются для фильтрации спама, пассивного анализа трафика, сбора информации, подбора паролей и т. д.

В разделе (2) запомнились обсуждения «фальшивой биометрии». Создание «синтетических» личностей становится всё проще, а борьба с ними – сложнее. Что, впрочем, не мешает экспертам выявлять ограничения технологий подмены и синтеза биометрических данных и предлагать их для обнаружения фактов компрометации биометрии. Этой теме был посвящён, в частности, доклад учёных из компании BBVA Next Technologies.

«Безопасное программирование», проверка качества кода – это пример сквозной, планомерно развиваемой темы в ИБ, как и использование Open Source-инструментария. Денис Макрушин из Huawei поделился опытом своей компании и рассказал, в частности, о SonarQube – платформе с открытым исходным кодом для анализа качества и защищённости программного кода. Сергей Горохов, архитектор решений компании EPAM, рассказал о важности тесного взаимодействия подразделений AppSec и Security Testing.

 

ДО НОВЫХ ВСТРЕЧ

В ближайших планах организаторов The Standoff – глубокий анализ данных, собранных на поле битвы. В планах на перспективу – организация новых учений. В инфраструктуру полигона могут быть добавлены медицинские учреждения и системы спутниковой связи. Рассматриваются возможности увеличения числа команд обороняющихся и доведение их количества до той цифры, что характеризует атакующую сторону. Изюминкой новой битвы может стать разрешение командам blue team атаковать «красных».

А мы будем следить ещё и за анонсами PHDays. Как уживутся два медведя в одной берлоге?

Смотрите также