Подписаться
Читать в телеграм
Как появилась идея The Standoff?
Что под капотом киберполигона: реальный софт или «синтетика»?
На чем основан выбор объектов для инфраструктуры цифрового города?
У истоков The Standoff стоял CTF
Весной 2021-го компания Positive Technologies в очередной раз провела The Standoff. Для тех, кто не знает: The Standoff — крупнейший открытый киберполигон, на котором мы моделируем технологические и бизнес-процессы реальных компаний из различных секторов промышленности (энергетика, финансы, транспорт и др.), а также устраиваем кибербитву за инфраструктуру цифрового мегаполиса. Участие в The Standoff позволяет бизнесу испытать свои системы на прочность и проследить типовые цепочки атак на самые распространенные корпоративные продукты. На полигоне сотрудники отделов ИБ могут научиться обнаруживать кибератаки в реальном времени и противодействовать им, а также познакомиться на практике с хакерским вооружением и сценариями реагирования на атаки и техники.
Раньше The Standoff проходил в рамках международного форума по практической безопасности Positive Hack Days, а сегодня превратился в самостоятельное мероприятие по кибербезопасности, где в роли нападающих и защитников выступают представители зарубежных и отечественных компаний. Как родилась идея The Standoff? Зачем создавали виртуальный полигон и красочный макет? Кому интересен такой формат киберучений? Прежде чем ответить на эти вопросы, стоит отметить, что центральное место в конкурсной программе PHDays всегда отводилось прикладным испытаниям, в ходе которых участники демонстрировали навыки взлома и защиты. Проект The Standoff во многом вдохновлен игрой «белых» хакеров CTF. Сначала на форуме мы проводили собственные CTF, которые даже стали одним из топовых мероприятий. Однако, хотя в целом мы были довольны результатом, с соревнованиями возник ряд сложностей.
Во-первых, задачи, которые придумывали для CTF, не отражали детали того, как хакеры взламывают настоящие компании, да и суть самой игры — захватить больше абстрактных флагов, чем команда противников, — не была созвучна идее форума PHDays, а уровень практической применимости опыта и навыков, полученных пентестерами в ходе решения CTF-тасков, был минимальным. Второй камень, о который мы споткнулись, — непонимание со стороны бизнеса. Его представители, наблюдая за парнями с ноутбуками, не понимали, что и как взламывают на конкурсах, не видели, как и где можно применять результаты CTF, а главное — не осознавали, какие будут последствия, если, например, их бизнес атакуют киберпреступники. Кроме того, полноценно прокачать свои навыки на соревнованиях CTF могли только пентестеры. Вовлечь в такой формат инженеров по безопасности и киберзащитников оказалось попросту невозможно.
И мы придумали The Standoff как раз для того, чтобы создать на PHDays настоящую площадку для диалога «пиджаков» и «футболок», максимально сократить отрыв от реальности, сделать практическую часть форума интересной для бизнеса и полезной для профессиональных пентестеров, а «безопасникам» дать возможность потренироваться в обнаружении кибератак, выявлении и расследовании инцидентов. Важным компонентом стал киберполигон: его инфраструктура схожа с типовой инфраструктурой реальных компаний, а значит, хорошо знакома защитникам.
На полигоне обобщенно представлены средства, которые установлены в любой средней компании: современный софт (базовые сервисы, почтовые и файл-серверы, CRM- и ERP-системы, а также другое прикладное ПО) и настоящие контроллеры АСУ ТП, если у компании, например, есть производство.
Концепция мероприятия, в ходе которого на растерзание атакующим отдают инфраструктуру, а командам защиты и экспертным центрам безопасности предлагают выявлять и расследовать атаки, вызвала большой интерес у специалистов в сфере кибербезопасности, и первыми участниками со стороны «синих» стали эксперты индустрии ИБ — к примеру, команды таких компаний, как МТС, «Инфосистемы Джет», «Информзащита», ASP Labs, «Перспективный мониторинг», PaloAlto Networks.
За несколько дней кибербитвы защитники, изучая методы атакующих и тренируясь в обнаружении атак и расследовании инцидентов, получают опыт, который в обычных условиях сложно приобрести даже за годы. Так, в реальной жизни центрам мониторинга информационной безопасности не каждый день приходится регистрировать атаки, а если посмотреть на собираемую крупными компаниями статистику инцидентов ИБ, то окажется, что в основном это различные события безопасности на периметре. С точки зрения обучения наибольший интерес для специалистов SOC представляют серьезные инциденты — например, такие, когда хакеры развивают атаку, закрепляются в инфраструктуре, повышают привилегии и проводят внутреннюю разведку с целью найти серверы, на которых хранится ценная информация. Здесь важна скорость реакции, и, чтобы уметь быстро реагировать, в первую очередь необходимо научиться обнаруживать злоумышленников, а также отслеживать их действия и раскручивать всю цепочку атаки. Также важно проверить, как действует команда защиты в боевых условиях. Удалось ли ей вовремя выявить хакерскую активность? Выполняются ли необходимые по плейбуку шаги и насколько они верны? Слаженно ли действует команда? Правильно ли выстроена коммуникация?
Конечно, можно сказать, что уже давно существует классический пентест, где имитируются целенаправленные атаки на компанию. В чем же тогда ценность The Standoff? Преимущество наших киберучений состоит в том, что их условия дают возможность провести максимально честную тренировку: «ломая» инфраструктуру полигона, нападающие действуют так же, как хакеры в реальной жизни. Для атакующих команд нет ограничений, свойственных пентестам: никто не регламентирует, в какое время и какие ИТ-системы можно проверять на прочность, куда в инфраструктуре полигона ходить нельзя, а что взламывать разрешается. Предоставленная атакующим свобода действий позволяет довести вектор атаки до конца и посмотреть, к чему это приведет, — то есть увидеть реальную картину хакинга. Кроме того, техники и утилиты, которые используют десятки «красных» команд на полигоне, доступны и злоумышленникам.
Как создается киберполигон
О выборе объектов
Главная фишка The Standoff — показать, каким угрозам подвержены ресурсы любого крупного города, поэтому на киберполигоне располагаются объекты, которые могли бы находиться и в настоящем городе. Мы стараемся представить основные отрасли экономики: промышленность, энергетику, транспорт, финансы и пр. Так, например, на майском The Standoff объектами являлись газораспределительная станция, химический завод, нефтехранилище, уличное освещение, рекламные билборды, железная дорога, аэропорт, морской порт, парк развлечений, электростанция, ветрогенераторы, магазин и много чего еще.
Взглянув на макет, участники с любым бэкграундом сразу понимают, что присутствующие там объекты встречаются в обычной жизни, причем с некоторыми из них они взаимодействуют почти ежедневно: ходят в магазин, обращаются в банк, летают на самолетах, ездят по дорогам, движение на которых регулируется светофорами… Благодаря такой визуализации уже не требуется объяснять, к каким последствиям может привести, например, кибератака на электростанцию. А когда атакующим удается реализовать какое-либо недопустимое событие из числа заложенных в объект, участники и зрители видят на макете причиненный жителям города ущерб.
Что под капотом
Задача полигона — создание среды, в которой можно:
- провести настоящие хакерские атаки на инфраструктуру предприятия;
- обнаружить слабые места в системе информационной безопасности;
- проверить и отработать навыки по обнаружению и расследованию атак.
Для этого мы стараемся на любом объекте на нашем полигоне воспроизвести именно ту часть инфраструктуры, которая находится на периметре и видна злоумышленникам. Чтобы реализовать недопустимое событие, хакеры должны найти уязвимость, пробить периметр и проникнуть в инфраструктуру.
В The Standoff участвуют в основном опытные специалисты, которые уже давно занимаются тестированием на проникновение и анализом защищенности и не понаслышке знают, что такое JNDI, XXE OOB и xp_cmdshell. Поэтому, если им удастся найти точку входа и начать дальнейшее продвижение по внутренней сети компании, исход ясен: получить контроль над критически важными системами они, без сомнения, смогут. Например, в мае этого года на The Standoff атакующие реализовали 33 уникальных недопустимых события — 54% от общего числа событий, заложенных в программу киберучений. Всего от «красных» команд было принято 84 отчета об успешно выполненных заданиях. Помимо этого, нападающие прислали в жюри 343 отчета об уязвимостях, выявленных в инфраструктурах компаний; самым популярным вектором проникновения в локальные сети стали незащищенные веб-приложения.
При создании офисов на киберполигоне мы анализируем, какие системы встречаются в ИТ-ландшафте типовой компании, затем выделяем ключевые элементы и упрощаем их, сохраняя при этом баланс между реалистичностью инфраструктуры и ее сложностью. Чтобы в боевых условиях проверить, удастся ли атакующим пройти, мы по максимуму стремимся использовать реальный софт, выполнить настоящие настройки и «закрутить гайки безопасности». Например, базовая корпоративная инфраструктура объектов на полигоне состоит из современного офисного софта: почтового сервера, файлового сервера, CRM- и ERP-систем, а также другого прикладного ПО, которое мы все так или иначе используем для работы.
Софт обычно предоставляют партнеры The Standoff — зрелые в части ИБ компании, которые хотят испытать свои приложения и системы на прочность. Они открыты для взаимодействия с исследователями безопасности и разделяют наш подход: если решение можно взломать, то пусть это случится на полигоне, а не в реальности. В этом случае отчет глобального SOC, который следит за действиями как атакующих, так и защитников, покажет точку входа в инфраструктуру и поможет в расследовании атаки. Получив эту информацию, вендор после битвы сможет повысить надежность своего решения. Ведь чем больше уязвимостей выявлено, тем безопаснее становится продукт.
Иногда, в отсутствие профильных партнеров, мы сами пишем софт, беря за основу решения open source. Например, если для корпоративного блока инфраструктуры необходимо воспроизвести ERP-систему, мы берем опенсорсный аналог проприетарных решений и реализуем типовые атаки на системы этого класса.
Кроме того, чтобы приблизить условия киберполигона к реальности, в сегменте АСУ ТП используют настоящие контроллеры, для которых пишут несложные проекты, аналогичные реальным, и разворачивают широко применяемые SCADA-системы.
С практической точки зрения главное в создании объектов на полигоне — сохранить важные свойства инфраструктуры выбранных компаний. Необходимо обеспечить следующее:
- Достаточный размер инфраструктуры. У нас нет цели полностью воссоздать сеть крупного промышленного предприятия, в которой будут десятки тысяч узлов. Из-за своей сложности такие инфраструктуры бесполезны с точки зрения учений. Процесс их изучения защитниками и нападающими может занять месяцы, а нам все же необходимо сохранять условия битвы: чем больше офисов взломают атакующие, тем больше очков для победы они наберут.
- С другой стороны, сеть из нескольких узлов тоже не сильно практична, так как ее мониторинг становится тривиальной задачей. Мы пришли к тому, что оптимальный размер инфраструктуры для одного предприятия — порядка сотни узлов (как серверов, так и клиентских компьютеров).
- По возможности точное клонирование архитектуры сети и службы каталогов. Устройство офиса компании на сетевом уровне и параметры службы каталогов во многом определяют подходы к обеспечению кибербезопасности и параметры средств защиты. Например, в представленных на полигоне объектах есть все ключевые подразделения, необходимые для воссоздаваемого бизнеса: финансы, HR, IT, продажи, маркетинг, внутренняя разработка, а также профильные подразделения. За каждым типом пользователя закреплен определенный профиль доступа и поведения в инфраструктуре. Кроме того, на базе этой оргструктуры производится сегментирование сети.
- Использование типового для индустрии системного и прикладного ПО. Мы шли двумя путями. Первый — воссоздание копий определенных объектов наших заказчиков. Например, для «Азбуки вкуса» развернули полную копию всех ключевых сервисов, используемых в реальном магазине. Второй путь — установка ПО, принадлежащего к определенному классу решений. Уже было отмечено, что почти у каждой компании есть почтовые серверы, базы данных, средства ИБ (SIEM, IDS и пр.) и другие системы. Конкретные наименования могут отличаться, но, как правило, сценарии использования систем одного класса и подходы к атакам будут схожими.
- Применение реальных промышленных контроллеров и SCADA-систем. На полигоне воспроизводятся упрощенные модели технологических процессов. Причина в том, что подходы к взлому АСУ ТП в меньшей степени зависят от реализации конкретного процесса и в большей — от используемого оборудования, ПО и протоколов.
Кто делает полигон
Для каждой кибербитвы полигон готовит большая кросс-функциональная команда, в которую входят эксперты по ИБ, ИТ-инженеры, разработчики, пентестеры, специалисты по DevOps и по АСУ ТП и другие профессионалы. Например, пентестеры настраивают или пишут специально для учений веб-сервисы, в которые стараются заложить самые последние и трендовые уязвимости. Работу ЦОДа, в котором на время битвы разворачивают корпоративный сегмент инфраструктуры виртуального мегаполиса, поддерживает IT-команда Positive Technologies, а за визуальную часть полигона — макет и его подключение к настоящим контроллерам и SCADA-системам — отвечает отдел безопасности промышленных систем управления компании.
Киберполигон постоянно развивают, он становится больше за счет добавления новых объектов инфраструктуры со своими бизнес-рисками. При этом над созданием инфраструктуры работают не только специалисты Positive Technologies, но и партнеры, которые интегрируют свои решения и бизнес-процессы в полигон, обеспечивая его максимальную реалистичность. Минувшей весной технологическими партнерами PHDays стали сеть продовольственных супермаркетов «Азбука вкуса» и ИТ-компания Osnova.
В этом году мы впервые привлекли к работе над полигоном стратегического партнера прошедших кибербитв — компанию Innostage, которая также выступила соорганизатором десятого, юбилейного форума PHDays. Она развернула часть игровой инфраструктуры — три офиса, которые впоследствии мониторил их собственный SOC. Кроме того, специалисты интегратора помогали командам защитников изучать продукты Positive Technologies, расследовать реализованные атакующими недопустимые события и составлять отчеты об инцидентах, выявленных за четыре дня майского The Standoff.
Будущее The Standoff
Сейчас мы проводим The Standoff два раза в год и открываем киберполигон на несколько дней, но совсем скоро он будет доступен не только во время больших учений, но и круглый год — на постоянной основе. Несмотря на то что созданная специально для кибербитвы инфраструктура востребована компаниями, которые хотят проверить на прочность свои приложения и системы, а также пентестерами, исследователями ИБ и специалистами по киберзащите, сначала мы планируем открыть тестовый доступ для небольшого числа команд атакующих и защитников. «Красные» получат возможность исследовать интересные и сложные объекты, а «синие» — запускать программы bug bounty или подключаться в режиме мониторинга, чтобы отрабатывать навыки в области выявления и расследования кибератак.
