Игры разума, или как масштабные кибербитвы помогают специалистам по ИБ. Часть II
4 августа 2017
За 30 часов непрерывных атак на «офис» непокорный объект так и не сдался врагу: согласитесь, в реальной жизни офисная инфраструктура редко может тягаться по степени надежности, например, с банковской. В данном случае вышло с точностью до наоборот, хотя мы пользовались исключительно стандартным набором средств. Как же нам это удалось? Давайте разберем подробнее схему нашей защиты.
В прошлой публикации мы уже упоминали, что делали ставку на аудит инфраструктуры до игры (и приз в номинации «Глубокое сканирование» стал, в общем, закономерным результатом), а также полный контроль над сетью и предотвращение атак, которые могли совершаться на базе всех известных типов уязвимостей. Это стало основой нашей стратегии защиты, но одновременно мы готовились и к атакам, выходящим за рамки существующих шаблонов.
Аудит нашего участка сети мы начали не за день или два, а за целых три недели до «Противостояния», чтобы затем спроектировать и настроить все элементы защиты. Первый инструмент, который пошел в ход — предоставленная организаторами система контроля защищенности и соответствия стандартам MaxPatrol, которая через несколько часов нарисовала достаточно безрадостную картинку по наличию и типам уязвимостей. Получив этот отчет, мы провели «мозговой штурм» и поняли, что «ломать» нашу сеть будут и со стороны интернета, и через наш собственный VPN, и из сетей других защитников. И, как быстро выяснилось в ходе игры, — как в воду глядели. Но основной удар — мы понимали это — стоит ждать в сегменте DMZ на веб-сервисы офиса, а там было порядка 30 серверов.
Так мы начали выставлять «щит» вокруг сети вверенного нам «офиса». При этом каждое изменение в инфраструктуре требовалось согласовать с организаторами. Нужно сказать, что за «публи» (игровая валюта «Противостояния») мы не покупали средства защиты. В бюджет не нужно было укладываться, как первично задумывалось организаторами и было указано в условиях участия «Противостояния», но организаторы очень следили за защитой, чтобы она была максимально приближена к реальным условиям, и поэтому согласования с ними требовал буквально «каждый чих». Для сегментирования сети мы выбрали решение Palo Alto Networks NGFW. Также мы включили межсетевой экран в разрыв всех доступных нам каналов связи.
Теперь все информационные потоки проходили через межсетевой экран. Вдобавок в режим блокировок были включены все виды защиты: контроль приложений с запрещением «плохих» приложений (пр. ICMP/DNS туннели) и явным разрешением «хороших» (подход нулевого доверия «Zero Trust»), IPS, антивирус, песочница Wildfire, anti-spyware, который «видит» каналы управления, защита от сканирования по портам TCP/UDP. Кроме того, мы установили блокировки на передачу файлов и загрузку файлов на серверы. А чтобы не дать нам переборщить, организаторы добавили в свою сеть специальные «чекеры» для проверки доступности сервисов.
Казалось бы, в этот момент уже можно было выдохнуть, но мы хотели стопроцентной уверенности и потому призвали на помощь продукт Skybox View. Загрузив в него файлы конфигураций сетевого оборудования, мы всего за 5-10 минут получили подробную схему нашей сети (на ее отрисовку вручную ушло бы не менее двух дней) и полный анализ инфраструктуры на наличие уязвимостей. Сделав ставку на Skybox, мы сразу получили результат и обнаружили уязвимость в пограничном маршрутизаторе: он оказался доступен по telnet из внешней сети, и для него был подходящий эксплойт. Skybox обладает обширным аналитическим функционалом и предоставляет возможности моделирования и имитации угроз, позволяет оценить поверхность атаки и показать индикаторы риска, чем мы и воспользовались.
Кроме периметра сети в защите нуждались конечные рабочие станции и серверы. Сроки уже поджимали, и мы оперативно сделали следующее: провели «ревизию» пользователей в Active Directory, поменяли пароли, подготовили политики безопасности и установили обновления Windows. Затем на все серверы был установлен Secret Net Studio, а на рабочие станции — Palo Alto Networks Traps.
В ходе игры мы постоянно мониторили атаки с помощью Application Firewall от Positive Technologies (PT AF), включенного в режим мониторинга (ограничение от организаторов, «в разрыв» не позволили). На графике показана статистика атак на DMZ-сегмент.
Действий хакеров мы ждали во всеоружии: с консолями NGFW и WAF на наших мониторах мы полностью контролировали трафик. И благодаря этому в дебрях сетевого трафика обнаружили атаки разных типов: сканирование, перебор паролей (в том числе к Linux-машинам с учетными данными — office.cityf\Administrator), SQL-инъекции, XSS и так далее. Особую трудность для атакующих представили «кастомные» сигнатуры IPS и приложений, а также специальные категории URL, которые создавались «на ходу» на NGFW силами специалистов команды S.P.A.N.
Подготовка к «Противостоянию» оказалась для нас похожа на типовой проект по построению комплексной системы ИБ. Как и в реальном проекте, мы прошли этапы аудита, проработки архитектуры, подбора необходимых методов и средств защиты информации, согласования всех изменений с организаторами, внедрения и настройки, тестирования и эксплуатации выбранных средств защиты в «боевых» условиях. Несмотря на то, что организаторы хотели дать шанс хакерам и ограничили защитников в выборе и количестве средств защиты, наша команда смогла подобрать оптимальные решения и применить их в деле, что в итоге дало 100% результат!
Главный итог: при защите виртуального офиса ни один бит не пострадал!
