The Standoff 2021. 18 мая начнется кибербитва за цифровой город

The Standoff 2021. 18 мая начнется кибербитва за цифровой город

Как ни парадоксально, но именно ковидная паранойя вывела The Standoff на большую арену: несколько лет подряд этот киберполигон был обязательной составляющей международной конференции Positive Hack Days, а в прошлом году превратился в самостоятельное, действительно масштабное онлайн-мероприятие в сфере ИБ.

МАЛЕНЬКОЕ РАССЛЕДОВАНИЕ

Подробностей предстоящего в мае киберсражения пока немного. Поэтому BIS Journal провел свое маленькое расследование.

Изучив киберсражение прошлого года, мы обратили внимание на команду защитников «КиберТатары и Московские мастера» (или CT&MM), а потом и на подготовивший ребят Центр кибербезопасности (SOC) CyberART, входящий в группу компаний Innostage.

Напомним, команда CT&MM опоздала и вступила в бой на киберполигоне что называется «с колёс», имея минимальное время для подготовки, но выступила успешно, эффективно применяя инструментарий, предоставленный организаторами (в основном продукты Positive Technologies – PT Application Firewall; PT Network Attack Discovery; PT Sandbox; MaxPatrol 8; MaxPatrol SIEM и др.).

И вот, используя этот инструментарий, «blue team» CT&MM по итогам шести дней обеспечила один из самых высоких показателей доступности ИТ-инфраструктуры – 96%, зафиксировала 49 инцидентов (второй показатель среди защитников) и завершила наибольшее число расследований бизнес-рисков, реализованных атакующими.

Эти официальные данные рассказали нам лишь об одном из эпизодов жизни CT&MM, а вот о том, что это не случайность свидетельствовало другое: хорошая «родословная» команды. И продолжать поиск следовало именно в этом направлении. 

Раз уж мы заговорили об умелом использовании инструментария, принесшем успех татаро-московской команде, стоило выяснить, что технологическим ядром SOC CyberART, в котором выросла и оттачивает свои компетенции CT&MM, является программное обеспечение Innostage IRP, позволяющее реализовывать важнейшие функции ИБ (управление ИТ-активами; управление инцидентами ИБ; управление уязвимостями; взаимодействие с ГосСОПКА) на основе высокого уровня автоматизации рабочих процессов.

Отсюда следующее заключение. Атмосфера работы в современном автоматизированном SOC CyberART позволила ГК Innostage создать коллектив, который, будучи выведенным на учения The Standoff 2020 что называется «по тревоге», сумел подготовиться к работе на незнакомой ИТ-инфраструктуре за 10 дней (срок в три раза меньший, чем потратили на изучение полигона другие участники), проведя за это время инвентаризацию ИТ-активов и анализ их защищённости, с последующим закрытием «брешей» в рамках правил, принятых на полигоне.

В связи с последними, кстати, работа защитников на киберполигоне некоторым образом напоминала «бег в мешках», так как легенда киберучений подразумевала, что в инфраструктуре присутствуют риски (уязвимости, настройки доступа, особенности конфигурации), которые исправлять нельзя, а можно лишь «учитывать».

При таких непростых «начальных» условиях успех «blue team» CT&MM весьма впечатляет.

Приведённые результаты исследования привели BIS Journal к руководству компании из Татарстана. И первый вопрос был прямым, ибо от ответа на него зависела судьба нашего маленького расследования.

ЗОЛОТАЯ ЖИЛА

BIS Journal. Учитывая опыт прошлого года, планирует ли компания Innostage сотрудничать с The Standoff?

Виктор Вячеславов, технический директор Innostage. Да, в планах Innostage – стать стратегическим партнёром The Standoff. Уже сейчас наша компания является оператором учений, которые состоятся в мае 2021 г. Мы выполняем широкий круг задач, начиная от развёртывания и технического сопровождения ИТ-инфраструктуры киберполигона The Standoff и заканчивая ролью арбитра для половины команд защитников и атакующих, принимая и оценивая отчёты об их действиях.

Мы планируем и далее наращивать сотрудничество в этом направлении, и в перспективе, совместно с компанией Positive Technologies, организовывать киберполигоны The Standoff на различных площадках и с разными форматами участия, как широкодоступными, так и приватными, исходя из требований и задач различных компаний – участников и заказчиков подобных киберполигонов.

BIS Journal. Как в компании Innostage оцениваются перспективы киберполигонов для повышения квалификации и развития навыков служб ИБ?

Виктор Вячеславов. Киберполигон The Standoff сейчас – наиболее эффективный способ повышения квалификации сотрудников всех уровней: от технических специалистов до руководителей служб мониторинга.

Он позволяют моделировать реальные ситуации и отрабатывать решения практических задач по компьютерной безопасности, что называется, на «мышечном уровне». Выявлять потенциальные узкие места и уязвимости не только в программном обеспечении систем и средствах их защиты, но также и в архитектуре систем, и в процессах компании по обеспечению кибербезопасности.

Важное преимущество киберполигона TheStandoff передпентестами на реальной инфраструктуре – это возможность «дойти до конца»: когда атакующие не ограничены в методах и возможностях реализации рисков и могут попытаться вывести из строя даже реально работающий макет – «цифровой двойник» какой-то критически важной для компании системы. Например, системы автоматизации транспортного узла или системы снабжения газом потребителей, что в реальной жизни вызвало бы техногенную аварию. При этом защитники могут пробовать разные методы и подходы к выявлению и предотвращению атак, пока не найдут те, что не будут мешать корректно работать существующим бизнес- или технологическим процессам компании.

Благодаря этому киберполигоны в ближайшее время станут неотъемлемой частью систем обеспечения компьютерной безопасности всех компаний, которые стремятся выстроить результативную защиту и эффективно противостоять киберугрозам.

УРОКИ ВИРТУАЛЬНОЙ ЖИЗНИ

BIS Journal также обратился к руководителю Центра кибербезопасности CyberART Владимиру Дмитриеву, попросив его прокомментировать опыт, полученный его командой в ходе киберучений The Standoff 2020.

Владимир Дмитриев, руководитель SOC CyberART. В ходе учений The Standoff 2020 команда CyberART получила уникальный практический опыт защиты сложной, распределённой и многокомпонентной ИТ-инфраструктуры на примере «цифрового двойника» современного большого мегаполиса – виртуального делового центра города.

В защищаемом нами виртуальном деловом центре были «небоскрёбы», оборудованные управляемой подсветкой, большими рекламными экранами и умными системами климат-контроля. Здесь была регулируемая автодорожная сеть и парк развлечений с системой онлайн-касс и различными аттракционами, которые находились под центральным контролем. Также в зону нашей ответственности попала и управляющая компания, предоставляющая сервисы для жителей через портал услуг, на котором хранились и обрабатывались персональные данные жителей города. Атакующие старались реализовать в инфраструктуре делового центра виртуального города бизнес-риски из реальной жизни: украсть персональные данные, удалить информацию по штрафам, нарушить систему кондиционирования в небоскрёбах, остановить работу светофорной сети, разрушить колесо обозрения в парке развлечений и вызвать сбой в работе онлайн-касс.

В ходе учений команда CyberART защищала свои объекты, выявляя и отражая атаки на их инфраструктуру. Это позволило нам проверить навыки наших специалистов по выявлению и расследованию реальных кибератак со стороны профессиональных хакеров, а также провести стресс-тест и оценить возможности нашей команды по противостоянию множественным атакам. Все это позволяет нам быть уверенным, что при возникновении аналогичных инцидентов в инфраструктуре реально защищаемых нами компаний, похожие стресс-ситуации никак не повлияют на способность наших специалистов отработать оперативно и без ошибок, чтобы своевременно заметить возникновение нештатной ситуации и не допустить реализацию нежелательных событий для защищаемых нами компаний.

ЧЕГО ЖДАТЬ В МАЕ?

BIS Journal. Учитывая, что Innostage в этом году выступает в роли соорганизатора TheStandoff, чего нового ждать участникам на TheStandoff 2021?

Виктор Вячеславов. The Standoff в этом году снова пройдет вместе с Positive Hack Days и продемонстрирует работу с реальными атаками еще нагляднее. В условиях «тумана войны» на киберполигоне мы планируем испытать в деле нашу разработку Innostage IRP, которая поможет нам, как команде оператора. С помощью интеграции IRP с MaxPatrol SIEM наша команда сможет регистрировать и собирать статистику по всем инцидентам, полученным автоматизировано из SIEM, также мы планируем подгружать в Innostage IRP выявленные инциденты ИБ из отчетов команд. Таким образом, на основании собранной информации, сможем вести полную базу всех инцидентов ИБ на вверенной нам зоне мониторинга. Так что, на случай апелляции от команд, у нас будет полная база инцидентов ИБ в рамках всего мероприятия. Кроме того, использование IRP даст возможность отображать статистику и ключевые показатели противостояния на вверенной нам зоне мониторинга: топ атакуемых объектов защиты с разбивкой на критические и нет, количество инцидентов ИБ и динамика их возникновения и так далее. Больше данных – больше информации для дальнейшей работы.

В рамках The Standoff предусмотрен и формат менторства: команду сопровождает эксперт, который помогает по ходу учений с подготовкой в целом, дает рекомендации по настройке средств защиты, консультирует по организации процессов внутри команды, делится экспертизой в процессе расследования инцидентов и проводит завершающий мастер-класс с результатами киберучений. И в этом году команда Innostage может выступить в роли такого ментора для кого-то из защитников.

Так что, пользуясь случаем, приглашаем всех на The Standoff 2021!

BIS Journal. Спасибо, обязательно будем!