Стартовало крупнейшее противостояние хакеров и специалистов по информационной безопасности — The Standoff.
Вы бы сели в пассажирское кресло беспилотного автомобиля, чтобы прокатиться по центру города? Многие уверенно скажут «да». Но беспилотный автомобиль — это настоящий компьютер, собственно, как и светофор, который мирно висит над дорогой. И если хакер взломает — пусть даже не вашу машину, но хотя бы светофор, — то может произойти авария. Современная жизнь в городе немного похожа на такой автомобиль: она почти полностью цифровизована. И это делает всех нас очень уязвимыми.
Чтобы понять, какие цифровые инциденты могут произойти в государстве, несколько лет назад была организована самая масштабная открытая кибербитва (входит в Книгу рекордов России) — The Standoff, которая разворачивается в эти дни (14–16 ноября) в Москве. На мероприятии идут полным ходом и другие активности: трек для молодых ученых The Young Hats, конкурс по взлому цифровых картин The Standoff Digital Art, круглые столы с участием ведущих экспертов по ИБ крупнейших компаний.
The Standoff — это киберполигон, на котором моделируются технологические и бизнес-процессы реальных компаний и отраслей экономики. The Standoff помогает бизнесу увидеть недостатки инфраструктуры, понять, как именно хакеры могут ее взломать. Сотрудники отдела информационной безопасности отрабатывают на полигоне навыки защиты от кибератак, последствия которых недопустимы для бизнеса. К осени 2021 года он превратился в город-государство с отраслями, включающими в себя объекты металлургии, транспорта, логистики, нефтехимии, энергетики и городского хозяйства. Все технологические процессы контролируются с помощью настоящих систем и контроллеров, используемых на реальных объектах. В мероприятии принимают участие 10 команд нападения и пять команд защиты.
Кто атакует и защищает город
«Десять атакующих команд — оптимальное количество, — уверен один из организаторов мероприятия со стороны red team, Ярослав Бабин, руководитель отдела анализа защищенности веб-приложений Positive Technologies. — Когда на площадке находятся большее число команд, они начинают друг другу мешать». В этом The Standoff в нападении участвуют 10 топовых команд по итогам майской кибербитвы:
- True0xA3 — в 2019 году команда заняла первое место, а в 2020 году — второе. И в этом году весной они были снова на вершине пьедестала. Намерены стать трехкратными победителями The Standoff.
- Codeby&NitroTeam — в состав международной команды входят эксперты из codeby.net и Nitro Team, казахстанской red team.
- Invuls — специалисты из различных областей ИБ, члены команды выступали на Black Hat, ZeroNights, The Standoff и других соревнованиях CTF. Двукратные победители соревнования IoT CTF DEF CON USA.
- SPbCTF — образовалась на митапах одноименного сообщества spbctf.ru и впервые приняла участие в The Standoff в 2019 году. Возможно, единственная команда, в составе которой есть школьники.
- Bulba Hackers — белорусские студенты, которые развивают движение по компьютерной безопасности bulbahackers.by. Команда начала свой путь с победы в CTF на уровне страны и теперь стремится развивать сообщество по информационной безопасности в Республике Беларусь.
- EvilBunnyWrote — весной 2020 года получили среди прочего доступ к конфиденциальным сведениям о пассажирах, обсуживаемых в аэропорту виртуального города F.
- TSARKA — топовая казахстанская команда хакеров. Финалисты трех The Standoff и единственная команда из Казахстана, которая заняла первое место в 2017 году.
- Antibuddies — группа энтузиастов по кибербезопасности со всего мира. Часть команды — победители турниров The Standoff 2019 и The Standoff Абу-Даби. В команду входят также представители Bi.Zone, Huawei, «Информзащиты» и Network Optix.
- SCS — ветераны The Standoff 2018 и The Standoff 2019.
- Unlim — молодая амбициозная команда из Тюмени. Нашли критически опасные уязвимости во время пентестов региональных организаций — банков, медиа и правительственного дата-центра. Заняли третье место на CTF Russian Cup и второе — на Innopolis CTF Challenge.
«Атакующие приходят на The Standoff за новым опытом, — отметил Ярослав Бабин. — Здесь они прокачивают экспертизу. Кроме того, престижно быть победителем The Standoff, ребята искренне этим гордятся, это хорошая строчка в резюме. Есть и материальная мотивация для этичных хакеров: победители получают финансовое вознаграждение».
Основная задача защитников — обнаруживать инциденты в инфраструктуре и быстро их расследовать. Как рассказал Дмитрий Ушаков, руководитель архитектуры киберполигона, оборону The Standoff держат пять команд:
Kosmos (защищает УК «Сити» и гос. IT-платформу), G.A.R.M. (защищает Tube, гос. IT-платформу), }{01m$ Investigation (защищает «ОйлХим», «МеталлиКО», гос. IT-платформу), GiSCyberTeam (защищает Heavy Logistics, электроэнергетику, гос. IT-платформу), Your shell not pass (защищает Heavy Logistics, гос. IT-платформу).
«На The Standoff команды защитников могут проверить возможность реализации недопустимых событий защищаемых объектов, — рассказал Михаил Помзов, директор департамента базы знаний и экспертизы Positive Technologies. — Кроме того, они могут протестировать собственные подходы к кибербезопасности, потренироваться, чтобы узнать, насколько быстро и эффективно они реагируют на атаки, и, возможно, скорректировать навыки защиты в реальной жизни».
Оба спикера также поделились некоторыми секретами будущего онлайн-киберполигона, на создание которого сейчас брошены серьезные ресурсы, рассказав, каким объектам будет уделено первоочередное внимание (спойлер: банковская отрасль и энергетика).
«Выход в онлайн позволит значительно расширить аудиторию киберполигона, — считает Ярослав Бабин. — Сейчас мы можем позволить себе десяток красных команд, это 120 участников. Онлайн-киберполигон дает безграничные возможности в этом плане. К весне мы рассчитываем расширить эту цифру до 200–300. В идеале я вижу 500 участников. Это, конечно, потребует трансформации инфраструктуры, что мы и планируем сделать, но цифра представляется мне вполне реальной. Тестирование онлайн-киберполигона запланировано на конец ноября, куда получат приглашение 50 этичных хакеров, которые уже участвовали в The Standoff».
Сражения в Городе F
Все события в инфраструктуре города-государства традиционно мониторит глобальный SOC The Standoff, который в этом году развернул партнер мероприятия ― ГК Innostage. Инфраструктурно SOC базируется на ключевых продуктах Positive Technologies и собственных разработках ГК Innostage. Его основной задачей является общий мониторинг событий кибербитвы как со стороны команд нападения, так и со стороны команд защиты.
«К полудню 14 сентября несколько команд „красных“ (атакующих) смогли вызвать сбой системы информирования пассажиров железной дороги, — рассказал Владимир Дмитриев, руководитель направления сервисов киберзащиты CyberART ГК Innostage. Были атакованы системы, выводящие информацию на табло железнодорожного вокзала города-государства F, в результате чего на нем появлялись дезинформирующие пассажиров сообщения». Транспортная компания Heavy Logistics попала под удар сразу нескольких атакующих команд (True0xA3, Codeby&Nitro Team, Invuls, SPbCTF, Bulba Hackers, Antibuddies, SCS и Unlim), и сбой системы информирования пассажиров ж.-д. был реализован семь раз. На расследование этого инцидента команде защитников your shell not pass потребовалось примерно 10 часов 15 ноября.
Основными источниками событий стали решения класса NTA (глубокий анализ сетевого трафика) и WAF (защитный экран для веб-приложений). Среди наиболее частых событий — получение первоначального доступа (58%) и перемещение внутри периметра (14%).
Заместитель директора экспертного центра безопасности Positive Technologies по сервисам мониторинга и реагирования Алексей Гончаров обратил внимание на высокую степень вовлеченности красных, однако отметил, что по большей части атаки пока не слишком эффективны. Также оба спикера посоветовали защитникам «приглядывать за нефтянкой» и не спускать глаз с государственных IT-систем полигона.
Уже в первые часы было видно, что защитники используют разные стратегии: кто-то отрабатывает слаженность взаимодействия внутри команды, кто-то изучает поведение средств защиты и их оптимальные настройки, другие команды ведут борьбу за минимальное время расследования.
Лидерами по количеству отчетов об атаках стала команда команда G.A.R.M Атаки, о которых сообщали защитники к концу первого дня кибербитвы, уже не были связаны с проникновением — в основном это был сбор информации, закрепление и продвижение. Также защитники сообщают о подозрительной активности в нефтегазовой компании Tube, которая, в соответствии с легендой города-государства, занимается добычей ресурсов из недр земли, а также их транспортировкой и хранением. По их заявлениям, атакующие уже получили привилегии локального администратора на одном из узлов. Атакующим удалось получить доступ и к ресурсам нефтехимического комбината «ОйлХим». Возможно, следующее недопустимое событие произойдет в одной из этих компаний.
К вечеру 15 ноября жюри приняло еще 13 отчетов об уязвимостях, и в 69% из них были уязвимости, связанные с удаленным выполнением кода. По сравнению с прошлым днем их стало заметно меньше, видимо, атакующие сконцентрировались на основных объектах инфраструктуры и всеми силами пытаются вмешаться в работу критических для государства F компаний.
Дмитрий Гадарь, Тинькофф Банк: «Я знаю, что я ничего не знаю»
В рамках серии прямых эфиров The Standoff в беседе с Дмитрием Скляровым, руководителем отдела анализа приложений Positive Technologies, крупнейшие эксперты по ИБ из трех крупных компаний рассказали о том, как пришли в профессию, поделились своим мнением о том, что можно было бы сделать для развития ИБ и какими навыками должен обладать безопасник.
Карим Валиев, руководитель подразделения ИБ в Mail.ru Group: «Нужно создавать для пользователей возможность выбирать между конкурирующими компаниями. Правильное регулирование, здоровые инициативы и насаждение умных стандартов со стороны государства могут создать мотивацию для конкуренции компаний за доверие пользователя».
Дмитрий Гадарь, вице-президент, директор департамента ИБ Тинькофф Банка: «Для безопасника важно критическое мышление и желание постоянно учиться. Нужно почаще говорить себе „я знаю, что ничего не знаю“ и копать глубже, постоянно прокачивая свои исследовательские навыки».
Денис Горчаков, директор департамента развития ИБ «Ростелекома»: «Экспертизу, которую накапливают крупные игроки рынка ИБ, необходимо передавать в некую общую базу знаний, чтобы экспертиза была доступна, в частности, более мелким игрокам».
Тему работы в сфере кибербеза затронул и Алексей Захаров, основатель Superjob. Он сравнил рост зарплат программистов с котировками акций ведущего производителя электромобилей и спрогнозировал усиление дефицита кадров в среде разработки: «У нас сильная школа программистов, но для этой школы не хватает сырья. Молодежи больше не становится, и воронка будущих специалистов все меньше и меньше... Минимум процентов на 30 вырастут зарплаты [в сфере кибербезопасности в следующем году]. Работодателям нужно готовиться. В последние два года зарплатный индекс в сфере кибербезопасности на портале Superjob выглядит так же, как выглядят котировки акций Tesla: зарплатные предложения для квалифицированных специалистов в области кибербезопасности росли примерно с такой же скоростью и в таких же пропорциях».
Про топор, ведро и 90-процентный рост атак на промышленность
Проблема общей базы экспертизы стоит и перед промышленным кибербезом. Владимир Заполянский, директор по маркетингу и корпоративным коммуникациям Positive Technologies, поговорил о трендах в защите критической информационной инфраструктуры с Антоном Кокиным, начальником управления средств защиты IT-инфраструктуры «Трубной металлургической компании». Владимир отметил, что, по данным Positive Technologies, в 2020 году число кибератак на промышленные объекты выросло на 90% по сравнению с 2019 годом.
«За последние 4–5 лет защищенность промышленного производства сильно повысилась, многие стали уделять этому больше внимания. Но о стопроцентной уверенности говорить нельзя, — рассказал Антон Кокин. — Всегда есть вероятность различных исходов, инцидент с Colonial Pipeline тому подтверждение. Но это повод не пугаться, а начать изменения. Одна из проблем промышленности заключается в том, что у нас не создан аналог банковского ФинЦЕРТа. Это точка обмена опытом, данными об инцидентах, индикаторами компрометации — это очень важно. Что касается объектов на The Standoff, то серьезные опасения вызывают атаки на металлургическое производство, реализованные в рамках The Standoff, так как в реальной жизни они могут привести к длительным простоям. Также важнейшей целью хакеров может стать электрогенерирующая компания. Киберучения важны, их проводим и мы. Защитники — такие же солдаты, им необходима тренировка. Как и в случае пожара, люди должны знать, где находятся топор и ведро».
Молодежь изучает нейросети, OSINT и MITM-атаки
Будущие специалисты в области ИБ — студенты, начинающие кибербезопасники — выступали в рамках трека The Young Hats. Конкурс был проведен совместно с ГК Innostage, соорганизатором кибербитвы. Принципы работы security-продуктов, уязвимости нейросетей, MITM в современном ландшафте и новые методы форензики — вот лишь некоторые вопросы, которые занимают умы молодых. Финалисты конкурса были приглашены представить свои идеи и разработки в рамках The Standoff Moscow.
Михаил Сухов в своем выступлении «101 для специалиста по нейросетям» затронул тему безопасности нейросетей, которые используются сегодня в совершенно разных сферах — от банков до современного искусства, и рассказал, что о них стоит знать специалисту по ИБ и какую опасность они представляют для корпоративной инфраструктуры.
Продолжила тему нейросетей и машинного обучения Ксения Змичеровская. Перечислив главные проблемы SOC, которые могут сыграть на руку злоумышленникам, она отметила, что более совершенный подход требуется сегодня для обнаружения ранее неизвестных и сложных киберугроз: из-за растущего числа событий ИБ, в том числе false positive, их легко могут пропустить аналитики центров мониторинга. «Используя технологии машинного обучения совместно с process mining, можно проводить идентификацию сценариев поведения пользователей и последовательности атаки, связывая их в единый таймлайн, помогающий не только детектировать, но и расследовать инциденты», — заключила Ксения.
Капитан CTF-команды Invuls Илья Шапошников свой доклад посвятил утилите Pentest Collaboration Framework, которую разработал вместе с товарищами по команде. «Пять основных проблем, которые возникают в ходе тестов на проникновение, — это работа с начальными данными, хранение информации о сети и предыдущих проектах, генерация отчетов и быстрая передача заказчику информации — например, сведений об обнаруженной критически опасной уязвимости. Большинство из перечисленного позволяет решить наш кроссплатформенный, опенсорсный — а главное, бесплатный — фреймворк PCF», — поделился Илья.
О старом, но не теряющем актуальности методе атаки на корпоративную инфраструктуру рассказала студентка МИФИ Дарья Сухова. Именно атака «человек посередине» (man in the middle, MITM) часто становится способом продвижения злоумышленника по локальной сети. По словам Дарьи, многие сайты до сих пор работают через протокол HTTP и не поддерживают автоматическое перенаправление на версию с протоколом HTTPS. Это позволяет использовать против пользователей атаки, направленные на внедрение вредоносного JavaScript-кода и подмену скачиваемых файлов. В локальных сетях эта проблема стоит еще более остро: чтобы защититься от подобных атак, требуются высокая квалификация IT-службы и большие временные затраты.
В рамках технического трека новое поколение специалистов по киберзащите коснулось таких тем, как применение OSINT для выявления утечек данных и идентификации источников угроз, подготовка специалистов по ИБ начиная со школьной скамьи, конфигурация кластера Kubernetes и его польза для атакующих.
Публичная часть осенних учений на полигоне The Standoff 2021 завершится 16 ноября. Вечером мы узнаем победителей и назовем самые успешные команды защитников. Оставайтесь с нами!