Вся информация о киберполигоне The Standoff и его задачах.
Информационная безопасность Информационная безопасность

Как появилась идея The Standoff? Что под капотом киберполигона: реальный софт или «синтетика»? На чем основан выбор объектов для инфраструктуры цифрового города?

Главная>Информационная безопасность>Раскрываем карты: всё о The Standoff и будущем киберполигона
Информационная безопасность Обзор

Раскрываем карты: всё о The Standoff и будущем киберполигона

Дата публикации:
03.09.2021
Посетителей:
1968
Просмотров:
1866
Время просмотра:
2.3

Авторы

Спикер
Михаил Помзов директор департамента базы знаний и экспертизы компании Positive Technologies

Как появилась идея The Standoff?

 

Что под капотом киберполигона: реальный софт или «синтетика»?

 

На чем основан выбор объектов для инфраструктуры цифрового города?

 

У истоков The Standoff стоял CTF

 

Весной 2021-го компания Positive Technologies в очередной раз провела The Standoff. Для тех, кто не знает: The Standoff — крупнейший открытый киберполигон, на котором мы моделируем технологические и бизнес-процессы реальных компаний из различных секторов промышленности (энергетика, финансы, транспорт и др.), а также устраиваем кибербитву за инфраструктуру цифрового мегаполиса. Участие в The Standoff позволяет бизнесу испытать свои системы на прочность и проследить типовые цепочки атак на самые распространенные корпоративные продукты. На полигоне сотрудники отделов ИБ могут научиться обнаруживать кибератаки в реальном времени и противодействовать им, а также познакомиться на практике с хакерским вооружением и сценариями реагирования на атаки и техники.

 

Раньше The Standoff проходил в рамках международного форума по практической безопасности Positive Hack Days, а сегодня превратился в самостоятельное мероприятие по кибербезопасности, где в роли нападающих и защитников выступают представители зарубежных и отечественных компаний. Как родилась идея The Standoff? Зачем создавали виртуальный полигон и красочный макет? Кому интересен такой формат киберучений? Прежде чем ответить на эти вопросы, стоит отметить, что центральное место в конкурсной программе PHDays всегда отводилось прикладным испытаниям, в ходе которых участники демонстрировали навыки взлома и защиты. Проект The Standoff во многом вдохновлен игрой «белых» хакеров CTF. Сначала на форуме мы проводили собственные CTF, которые даже стали одним из топовых мероприятий. Однако, хотя в целом мы были довольны результатом, с соревнованиями возник ряд сложностей. 

 

Во-первых, задачи, которые придумывали для CTF, не отражали детали того, как хакеры взламывают настоящие компании, да и суть самой игры — захватить больше абстрактных флагов, чем команда противников, — не была созвучна идее форума PHDays, а уровень практической применимости опыта и навыков, полученных пентестерами в ходе решения CTF-тасков, был минимальным. Второй камень, о который мы споткнулись, — непонимание со стороны бизнеса. Его представители, наблюдая за парнями с ноутбуками, не понимали, что и как взламывают на конкурсах, не видели, как и где можно применять результаты CTF, а главное — не осознавали, какие будут последствия, если, например, их бизнес атакуют киберпреступники. Кроме того, полноценно прокачать свои навыки на соревнованиях CTF могли только пентестеры. Вовлечь в такой формат инженеров по безопасности и киберзащитников оказалось попросту невозможно. 

 

И мы придумали The Standoff как раз для того, чтобы создать на PHDays настоящую площадку для диалога «пиджаков» и «футболок», максимально сократить отрыв от реальности, сделать практическую часть форума интересной для бизнеса и полезной для профессиональных пентестеров, а «безопасникам» дать возможность потренироваться в обнаружении кибератак, выявлении и расследовании инцидентов. Важным компонентом стал киберполигон: его инфраструктура схожа с типовой инфраструктурой реальных компаний, а значит, хорошо знакома защитникам. 

 

На полигоне обобщенно представлены средства, которые установлены в любой средней компании: современный софт (базовые сервисы, почтовые и файл-серверы, CRM- и ERP-системы, а также другое прикладное ПО) и настоящие контроллеры АСУ ТП, если у компании, например, есть производство.

 

Концепция мероприятия, в ходе которого на растерзание атакующим отдают инфраструктуру, а командам защиты и экспертным центрам безопасности предлагают выявлять и расследовать атаки, вызвала большой интерес у специалистов в сфере кибербезопасности, и первыми участниками со стороны «синих» стали эксперты индустрии ИБ — к примеру, команды таких компаний, как МТС, «Инфосистемы Джет», «Информзащита», ASP Labs, «Перспективный мониторинг», PaloAlto Networks. 

 

За несколько дней кибербитвы защитники, изучая методы атакующих и тренируясь в обнаружении атак и расследовании инцидентов, получают опыт, который в обычных условиях сложно приобрести даже за годы. Так, в реальной жизни центрам мониторинга информационной безопасности не каждый день приходится регистрировать атаки, а если посмотреть на собираемую крупными компаниями статистику инцидентов ИБ, то окажется, что в основном это различные события безопасности на периметре. С точки зрения обучения наибольший интерес для специалистов SOC представляют серьезные инциденты — например, такие, когда хакеры развивают атаку, закрепляются в инфраструктуре, повышают привилегии и проводят внутреннюю разведку с целью найти серверы, на которых хранится ценная информация. Здесь важна скорость реакции, и, чтобы уметь быстро реагировать, в первую очередь необходимо научиться обнаруживать злоумышленников, а также отслеживать их действия и раскручивать всю цепочку атаки. Также важно проверить, как действует команда защиты в боевых условиях. Удалось ли ей вовремя выявить хакерскую активность? Выполняются ли необходимые по плейбуку шаги и насколько они верны? Слаженно ли действует команда? Правильно ли выстроена коммуникация? 

 

Конечно, можно сказать, что уже давно существует классический пентест, где имитируются целенаправленные атаки на компанию. В чем же тогда ценность The Standoff? Преимущество наших киберучений состоит в том, что их условия дают возможность провести максимально честную тренировку: «ломая» инфраструктуру полигона, нападающие действуют так же, как хакеры в реальной жизни. Для атакующих команд нет ограничений, свойственных пентестам: никто не регламентирует, в какое время и какие ИТ-системы можно проверять на прочность, куда в инфраструктуре полигона ходить нельзя, а что взламывать разрешается. Предоставленная атакующим свобода действий позволяет довести вектор атаки до конца и посмотреть, к чему это приведет, — то есть увидеть реальную картину хакинга. Кроме того, техники и утилиты, которые используют десятки «красных» команд на полигоне, доступны и злоумышленникам. 

 

 

Как создается киберполигон

 

О выборе объектов

 

Главная фишка The Standoff — показать, каким угрозам подвержены ресурсы любого крупного города, поэтому на киберполигоне располагаются объекты, которые могли бы находиться и в настоящем городе. Мы стараемся представить основные отрасли экономики: промышленность, энергетику, транспорт, финансы и пр. Так, например, на майском The Standoff объектами являлись газораспределительная станция, химический завод, нефтехранилище, уличное освещение, рекламные билборды, железная дорога, аэропорт, морской порт, парк развлечений, электростанция, ветрогенераторы, магазин и много чего еще.

 

Взглянув на макет, участники с любым бэкграундом сразу понимают, что присутствующие там объекты встречаются в обычной жизни, причем с некоторыми из них они взаимодействуют почти ежедневно: ходят в магазин, обращаются в банк, летают на самолетах, ездят по дорогам, движение на которых регулируется светофорами… Благодаря такой визуализации уже не требуется объяснять, к каким последствиям может привести, например, кибератака на электростанцию. А когда атакующим удается реализовать какое-либо недопустимое событие из числа заложенных в объект, участники и зрители видят на макете причиненный жителям города ущерб.

 

Что под капотом

 

Задача полигона — создание среды, в которой можно:

 

  • провести настоящие хакерские атаки на инфраструктуру предприятия;
  • обнаружить слабые места в системе информационной безопасности;
  • проверить и отработать навыки по обнаружению и расследованию атак.

 

Для этого мы стараемся на любом объекте на нашем полигоне воспроизвести именно ту часть инфраструктуры, которая находится на периметре и видна злоумышленникам. Чтобы реализовать недопустимое событие, хакеры должны найти уязвимость, пробить периметр и проникнуть в инфраструктуру. 

 

В The Standoff участвуют в основном опытные специалисты, которые уже давно занимаются тестированием на проникновение и анализом защищенности и не понаслышке знают, что такое JNDI, XXE OOB и xp_cmdshell. Поэтому, если им удастся найти точку входа и начать дальнейшее продвижение по внутренней сети компании, исход ясен: получить контроль над критически важными системами они, без сомнения, смогут. Например, в мае этого года на The Standoff атакующие реализовали 33 уникальных недопустимых события — 54% от общего числа событий, заложенных в программу киберучений. Всего от «красных» команд было принято 84 отчета об успешно выполненных заданиях. Помимо этого, нападающие прислали в жюри 343 отчета об уязвимостях, выявленных в инфраструктурах компаний; самым популярным вектором проникновения в локальные сети стали незащищенные веб-приложения. 

 

При создании офисов на киберполигоне мы анализируем, какие системы встречаются в ИТ-ландшафте типовой компании, затем выделяем ключевые элементы и упрощаем их, сохраняя при этом баланс между реалистичностью инфраструктуры и ее сложностью. Чтобы в боевых условиях проверить, удастся ли атакующим пройти, мы по максимуму стремимся использовать реальный софт, выполнить настоящие настройки и «закрутить гайки безопасности». Например, базовая корпоративная инфраструктура объектов на полигоне состоит из современного офисного софта: почтового сервера, файлового сервера, CRM- и ERP-систем, а также другого прикладного ПО, которое мы все так или иначе используем для работы.

 

Софт обычно предоставляют партнеры The Standoff — зрелые в части ИБ компании, которые хотят испытать свои приложения и системы на прочность. Они открыты для взаимодействия с исследователями безопасности и разделяют наш подход: если решение можно взломать, то пусть это случится на полигоне, а не в реальности. В этом случае отчет глобального SOC, который следит за действиями как атакующих, так и защитников, покажет точку входа в инфраструктуру и поможет в расследовании атаки. Получив эту информацию, вендор после битвы сможет повысить надежность своего решения. Ведь чем больше уязвимостей выявлено, тем безопаснее становится продукт. 

 

Иногда, в отсутствие профильных партнеров, мы сами пишем софт, беря за основу решения open source. Например, если для корпоративного блока инфраструктуры необходимо воспроизвести ERP-систему, мы берем опенсорсный аналог проприетарных решений и реализуем типовые атаки на системы этого класса. 

 

Кроме того, чтобы приблизить условия киберполигона к реальности, в сегменте АСУ ТП используют настоящие контроллеры, для которых пишут несложные проекты, аналогичные реальным, и разворачивают широко применяемые SCADA-системы.

 

С практической точки зрения главное в создании объектов на полигоне — сохранить важные свойства инфраструктуры выбранных компаний. Необходимо обеспечить следующее:

 

  1. Достаточный размер инфраструктуры. У нас нет цели полностью воссоздать сеть крупного промышленного предприятия, в которой будут десятки тысяч узлов. Из-за своей сложности такие инфраструктуры бесполезны с точки зрения учений. Процесс их изучения защитниками и нападающими может занять месяцы, а нам все же необходимо сохранять условия битвы: чем больше офисов взломают атакующие, тем больше очков для победы они наберут. 
  2. С другой стороны, сеть из нескольких узлов тоже не сильно практична, так как ее мониторинг становится тривиальной задачей. Мы пришли к тому, что оптимальный размер инфраструктуры для одного предприятия — порядка сотни узлов (как серверов, так и клиентских компьютеров).
  3. По возможности точное клонирование архитектуры сети и службы каталогов. Устройство офиса компании на сетевом уровне и параметры службы каталогов во многом определяют подходы к обеспечению кибербезопасности и параметры средств защиты. Например, в представленных на полигоне объектах есть все ключевые подразделения, необходимые  для воссоздаваемого бизнеса: финансы, HR, IT, продажи, маркетинг, внутренняя разработка, а также профильные подразделения. За каждым типом пользователя закреплен определенный профиль доступа и поведения в инфраструктуре. Кроме того, на базе этой оргструктуры производится сегментирование сети.
  4. Использование типового для индустрии системного и прикладного ПО. Мы шли двумя путями. Первый — воссоздание копий определенных объектов наших заказчиков. Например, для «Азбуки вкуса» развернули полную копию всех ключевых сервисов, используемых в реальном магазине. Второй путь — установка ПО, принадлежащего к определенному классу решений. Уже было отмечено, что почти у каждой компании есть почтовые серверы, базы данных, средства ИБ (SIEM, IDS и пр.) и другие системы. Конкретные наименования могут отличаться, но, как правило, сценарии использования систем одного класса и подходы к атакам будут схожими.
  5. Применение реальных промышленных контроллеров и SCADA-систем. На полигоне воспроизводятся упрощенные модели технологических процессов. Причина в том, что подходы к взлому АСУ ТП в меньшей степени зависят от реализации конкретного процесса и в большей — от используемого оборудования, ПО и протоколов.

 

Кто делает полигон

 

Для каждой кибербитвы полигон готовит большая кросс-функциональная команда, в которую входят эксперты по ИБ, ИТ-инженеры, разработчики, пентестеры, специалисты по DevOps и по АСУ ТП и другие профессионалы. Например, пентестеры настраивают или пишут специально для учений веб-сервисы, в которые стараются заложить самые последние и трендовые уязвимости. Работу ЦОДа, в котором на время битвы разворачивают корпоративный сегмент инфраструктуры виртуального мегаполиса, поддерживает IT-команда Positive Technologies, а за визуальную часть полигона — макет и его подключение к настоящим контроллерам и SCADA-системам — отвечает отдел безопасности промышленных систем управления компании. 

 

Киберполигон постоянно развивают, он становится больше за счет добавления новых объектов инфраструктуры со своими бизнес-рисками. При этом над созданием инфраструктуры работают не только специалисты Positive Technologies, но и партнеры, которые интегрируют свои решения и бизнес-процессы в полигон, обеспечивая его максимальную реалистичность. Минувшей весной технологическими партнерами PHDays стали сеть продовольственных супермаркетов «Азбука вкуса» и ИТ-компания Osnova. 

 

В этом году мы впервые привлекли к работе над полигоном стратегического партнера прошедших кибербитв — компанию Innostage, которая также выступила соорганизатором десятого, юбилейного форума PHDays. Она развернула часть игровой инфраструктуры — три офиса, которые впоследствии мониторил их собственный SOC. Кроме того, специалисты интегратора помогали командам защитников изучать продукты Positive Technologies, расследовать реализованные атакующими недопустимые события и составлять отчеты об инцидентах, выявленных за четыре дня майского The Standoff.

 

Будущее The Standoff

 

Сейчас мы проводим The Standoff два раза в год и открываем киберполигон на несколько дней, но совсем скоро он будет доступен не только во время больших учений, но и круглый год — на постоянной основе. Несмотря на то что созданная специально для кибербитвы инфраструктура востребована компаниями, которые хотят проверить на прочность свои приложения и системы, а также пентестерами, исследователями ИБ и специалистами по киберзащите, сначала мы планируем открыть тестовый доступ для небольшого числа команд атакующих и защитников. «Красные» получат возможность исследовать интересные и сложные объекты, а «синие» — запускать программы bug bounty или подключаться в режиме мониторинга, чтобы отрабатывать навыки в области выявления и расследования кибератак.

Уведомления об обновлении тем – в вашей почте

А слона в кустах и не заметил...

Компании, оказывающие услуги физическим или юридическим лицам, т.е. имеющие большую клиентскую базу, сталкиваются с мошенничеством практически каждый день

Поймай меня, если сможешь

В одних компаниях мошенничество легко поддается оценке, выбрать способы защиты тоже не составляет труда

Защита систем дистанционного банковского обслуживания на базе решения Oracle Adaptive Access Manager

Информатизация практически всех банковских услуг и консолидация управления счетами в одном бизнес-приложении, доступ к которому осуществляется через интернет, определили рост объемов операций, совершаемых через сервисы удаленного обслуживания. При этом критичным фактором защищенности операций ДБО стал показатель безопасности среды выполнения платежных транзакций.

Бесконтактному платежу можно верить

Сегодняшние СМИ привлекли внимание читателей к новому типу мошенничества, нацеленного на банковские карты, работающие по технологии PayPass (бесконтактной передачи данных, не требующей ввода PIN или подписи на чеке при совершении покупки).

Антифрод-команда и мошенники разыгрывают классический «киношный» сюжет

В остросюжетном кино популярна ситуация, когда преступная группировка и служба безопасности крупного предприятия или банка одновременно продумывают, каждая со своей стороны, способы ограбления и защиты материально-финансовых ресурсов этой организации. И это соревнование идет на всем протяжении фильма.

О банковском мошенничестве в целом и многообразии внутреннего в частности

Как автоматизировать контроль прав линейных сотрудников банка? Что лежит в основе моделей выявления аномального поведения? От чего зависит безопасность банковских бизнес-операций?

Круглый стол: «Лаборатория Касперского», Positive Technologies, R-Vision, Group-IB, UserGate и «Гарда Технологии» об изменениях в ИБ-отрасли

Как изменилась роль ИБ-отрасли за последние месяцы? Какова кадровая ситуация в сфере информационной безопасности? Почему далеко не все отечественные ИБ-решения нуждаются в доработке? Как относиться к Open Source (спойлер — единого мнения нет)?

Мошенники не пройдут, или Выявление мошенничества с помощью RSA Transaction Monitoring

Мир интернет-мошенничества непрерывно меняется. Новейшие угрозы, такие как атака "человек посередине" (Man-in-the-Middle, или MITM) и троянские программы класса"человек в браузере" (Man-in-the-Browser), быстро развиваются и становятся все более широко распространёнными.

Личные кабинеты уже не личные? О предотвращении угона данных, баллов и денег

Личные кабинеты клиентов на сайтах компаний содержат множество персональных данных их владельцев. Вместе с информацией о тех же людях, представленной в интернете, они формируют пул сведений, которыми легко могут воспользоваться злоумышленники.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня