Positive Technologies
Новости

46 этичных хакеров протестировали платформу для киберучений The Standoff 365

28 декабря 2021

В результате атак в виртуальном городе-государстве произошли массовые отключения электроэнергии, заражение шифровальщиком, утечка персональных данных

Бета-тестирование первой в России онлайн-платформы The Standoff 365 для проведения киберучений в режиме 24 часа в сутки и 365 дней в году завершилось 24 декабря. Платформа была представлена компанией Positive Technologies месяц назад. Этичные хакеры отметили реалистичность разработанной инфраструктуры. В будущем эксперты по безопасности смогут проверять на платформе защиту реальных компаний.

По оценкам Positive Technologies, озвученным компанией в 2020 году, емкость российского рынка киберполигонов составляет 0,5–1 млрд руб. в год. В России этот рынок только зарождается, в то время как в мире уже есть популярные платформы, где компании могут проверить защищенность своих систем.

The Standoff 365 станет круглогодичной версией киберполигона The Standoff, который проводится с 2016 года в формате трехдневных мероприятий и успел попасть в Книгу рекордов России. В первые годы The Standoff был частью ежегодного международного форума по практической безопасности Positive Hack Days. С 2020 года эта кибербитва проводится отдельно — оказалось, что трех дней для таких масштабных сражений недостаточно: в связи с высокой сложностью инфраструктуры и векторов атак требовалось минимум пять дней.

В отличие от The Standoff, новая онлайн-платформа The Standoff 365 позволяет специалистам по информационной безопасности проводить кибертренировки нон-стоп, не ограничиваясь временными рамками мероприятия. Для полного погружения киберучения должны проводиться продолжительное время — при реальных таргетированных атаках хакеры в многих случаях месяцами находятся в инфраструктуре жертвы, постепенно продвигаясь к цели. Например, среднее время присутствия группировки APT38 оценивалось в 155 дней.

За прошедший месяц тестирование онлайн-платформы осуществляли 46 этичных хакеров, часть которых были финалистами прошлых The Standoff. Цель на данном этапе — получить обратную связь, исправить обнаруженные ошибки. Все это поможет к старту официального релиза создать удобное пространство для комьюнити.

На платформе были смоделированы инфраструктуры двух объектов. Первый из них — электрогенерирующее предприятие Big Bro Group, которое обеспечивает энергией центральный район мегаполиса. На подстанции используются технологичные и высоконадежные силовые трансформаторы, внедрены цифровые системы релейной защиты и АСУ ТП. Обмен информацией между устройствами выполняется по протоколам стандарта МЭК 61850. Второй объект — IT-компания Hello World Systems, которая поддерживает ПО, в том числе решения и сервисы для государственных ведомств. В сети Hello World Systems развернуты типовые для инфраструктуры компаний веб-приложения, почтовый сервер, ERP- и CRM-системы, корпоративная сеть.

Первое место в бета-тестировании занял участник под ником hummelchen. Он реализовал девять недопустимых событий, заработав 17 000 очков за события и 1880 — за уязвимости. Hummelchen первым сумел отключить потребителей города-государства от электросети путем взлома электросчетчиков. Участник также подменил показания электросчетчиков, взломав веб-интерфейс и изменив коэффициенты трансформации, внедрил вредоносный код в процесс разработки ПО, украл персональные данные сотрудников и осуществил другие успешные атаки.

Серебро завоевал BadBlackHat — 10 000 очков за пять реализованных недопустимых событий и 480 очков за уязвимости. На третьем месте — clevergod, который получил 1030 очков за найденные уязвимости и реализовал три события, заработав за них 4500 очков.

«Считаю, что бета-тестирование прошло успешно. Атакующие отмечают, что новый формат участия позволяет лучше изучить инфраструктуру, разобраться с атаками на актуальные сервисы, попробовать новые инструменты, не опасаясь нарушить работу систем реальной компании. Мы, в свою очередь, протестировали подготовленные полигоны и к следующему релизу учтем нюансы, связанные с автоматизацией, векторами атак, наполнением систем и подсказками, чтобы добавить элемент обучения. Отдельно хочу поблагодарить всех атакующих, кто лояльно отнесся к первому запуску платформы в режиме 365/24/7 и внес полезные замечания по поводу инфраструктуры, а также поздравить финалистов — hummelchen, BadBlackHat и clevergod», — прокомментировал завершение бета-тестирования руководитель отдела анализа защищенности веб-приложений Positive Technologies и один из организаторов The Standoff Ярослав Бабин.

За прошедший месяц участники реализовали 9 из 14 уникальных недопустимых событий на двух полигонах и сдали 23 отчета о нахождении таких событий, из которых только 3 были не полными. Атакующие обнаружили 88 уязвимостей, заложенные организаторами: 32 у IT-специалистов в Hello World Systems и 56 — у энергетиков в Big Bro Group. В целом организаторы получили 128 отчетов.

«Мне очень понравилась идея столь масштабной сети с сотней машин, где можно исследовать веб, домены Active Directory, „пощупать“ различные внутренние сервисы и даже взаимодействовать с реальной SCADA, — отметил победитель бета-тестирования Ярослав Шмелев aka hummelchen. — Хочу выделить качественную имитацию действий пользователей, открывающую различные векторы и сценарии атак, — ничего подобного ранее я не видел на других платформах. Удобно, что нет жестких ограничений по таймингу, как на самом The Standoff, есть время разобраться в топологии сети и понять, как она устроена. Мне встречались отдельные баги с недостаточно протестированными векторами, из-за которых не получалось продвигаться дальше, но техподдержка достаточно быстро их исправляла».

В дальнейших планах организаторов The Standoff 365 — добавить новые объекты из различных отраслей экономики, доработать инфраструктуру с учетом полученного в ходе бета-тестирования опыта, визуализировать атаки, запустить систему репортов для команд защитников, позволяющую командам SOC или blue team обучаться на реальных атаках хакеров.

К маю 2022 года доступ к платформе будет открыт пользователям со всего мира. Тогда же в рамках платформы планируется запуск программы bug bounty с крупными денежными призами — как за найденные уязвимости, так и за реализацию ущерба, который компании считают для себя неприемлемым. Подобный формат обещает привлечь к проекту лучших этичных хакеров планеты.