Игры разума, или как масштабные кибербитвы помогают специалистам по ИБ
31 июля 2017
Компании, занимающиеся разработкой решений в области информационной безопасности (ИБ), приглашают специалистов, умеющих находить уязвимости в различных системах — пен-тестеров — в качестве экспертов: смоделировать возможные сценарии атак и понять, над какими узкими местами следует дополнительно поработать. Но самое интересное — когда отточить навыки защиты, мониторинга и нападения можно на специальных тестовых стендах, где условия максимально приближены к «боевым». Такие кибербитвы больше похожи на математическую олимпиаду, чем на боевик, но азарта и драйва в них не меньше, чем в блокбастере.
В мае одна из наиболее масштабных кибербитв состоялась в Москве, в рамках авторитетного отраслевого форума Positive Hack Days. Когда такой конкурс, получивший название «Противостояние», был проведен впервые, его приняли «на ура» все: защитники, пен-тестеры и вендоры. Тогда, в частности, участникам удалось обнаружить уязвимость нулевого дня в браузере Safari для Windows, а в следующем году — в Windows XP и FreeBSD 8.3.
Год от года организаторы меняли тестовую среду, которую предлагалось взломать, в зависимости от того, что было в этот момент наиболее актуально для безопасников. На «Противостоянии» атаковали и защищали виртуальные промышленные объекты, «умные» автомобили и объекты городской инфраструктуры. За несколько лет хакерам довелось участвовать в перехвате управления с помощью дронов, взломать iPhone 4S, несколько раз «ограбить» виртуальные банки через системы дистанционного обслуживания. Полем битвы «PHDays VII: Противостояние» вновь стал целый виртуальный город.
Главные принципы PHDays — минимум маркетинга и максимум практики, неформальное общение противоборствующих сторон («пиджаков» и «футболок»), а также энергичная атмосфера исследовательского полигона. На «Противостоянии» в течение 30 часов в режиме non-stop команды защитников обеспечивали безопасность и бесперебойную работу виртуальной городской инфраструктуры. И здесь, как у Лукьяненко в «Лабиринте отражений», защитникам и хакерам пришлось нырнуть на виртуальную глубину, чтобы встретиться друг с другом. В общем, играли в «deep divers», и номинации были соответствующие.
Эти 30 часов выдались довольно жаркими для защитников: город значительно вырос в размерах и по численности населения по сравнению с прошлым годом. Помимо традиционных объектов таких, как офис, телеком-оператор, ТЭЦ, банк, железнодорожная компания — целями хакеров в этот раз стали нефтеперерабатывающий завод, «умные вещи» и различные IoT-устройства. Кроме того, хакерский состав был усилен представителями компаний, специализирующихся на пентестах и киберучениях. Да и «глубина» оказалась довольно мутной: хотя правила и были детально прописаны, информации о сетях защитникам дали крайне мало.
Как только защитники распределили объекты между собой, атакующие пошли в нападение, используя все доступные по регламенту средства. Как выяснилось позднее, в ход шли даже способы социальной инженерии. Например, они мониторили профили участников противоборствующих команд в соцсетях и даже использовали поддельные пропуска организаторов и журналистов, стремясь проникнуть на территорию защитников.
Через два часа «Противостояния» были найдены уязвимости в системе «умного» дома, через четыре — хакеры взломали городские светофоры, затем перехватили SMS самого мэра города и получили доступ к важному компромату. А ночь, как было в очередной раз доказано, стала настоящим временем хакеров: взломать смогли практически всё. Несколько команд украли из городского банка более 4 миллионов «публей» (так называлась валюта виртуального города), а утром, после успешных атак на телеком-оператора, получили логины и хэши паролей всех пользователей в городе.
К 12-00 второго дня хакеры добрались до промышленного сектора и остановили работу сразу двух предприятий — ТЭЦ и нефтеперерабатывающего завода. Увы, энергетический сектор города никто не защищал: так сделали специально для правдоподобия, ведь в реальной жизни многие важные объекты также работают без ИБ-прикрытия. А следом казна городского банка опустела еще на несколько миллионов публей и снова встал нефтеперабатывающий завод.
Возникает вопрос, где же были защитники, как хакерам удалось наделать столько шума чуть больше, чем за сутки? При подготовке нынешнего «Противостояния» организаторы учли проблему прошлого года, когда защита оказалась чересчур подготовленной, хотя в жизни такое случается редко. Поэтому теперь защита была намного реалистичнее: с организаторами согласовывали применение различных СЗКИ (почти как стратегию и бюджет — перед руководством «в реальной жизни»), был ограничен выбор функционала средств, а информации о защищаемой сети предельно мало. В общем, нашей команде пришлось поломать голову, выбирая оптимальное соотношение средств защиты по параметрам цена/функционал/эффективность.
Старались мы не зря: за 30 часов никто так и не смог взломать «офис», на страже которого стояла команда S.P.A.N. (защитники, сборная компаний «Сервионика» и Palo Alto Networks). Хотя офисную инфраструктуру атаковали непрерывно, особенно в ночное время. В итоге «офис» оказался надежнее, чем большинство компонентов виртуального города. Как нам это удалось?
В первую очередь, за счет предварительного аудита инфраструктуры (забегая вперед, скажем, что приз Positive Hack Days наша команда получила именно в номинации «Глубокое сканирование»), а также работы «на опережение» против всех известных типов эксплойтов. Основной нашей задачей в ходе игры стал всесторонний контроль элементов инфраструктуры как на уровне сети, так и на уровне приложений. Ведь любая пропущенная уязвимость на сетевом оборудовании или конечных хостах могла привести к потере контроля над системой.
Для достижения поставленной цели мы выбрали ряд решений от Palo Alto Networks (NGFW), Positive Technologies (PT Application Firewall, MaxPatrol8), SkyBox Security, а защита конечных точек (хостовых машин) под управлением ОС Linux и Windows была реализована на базе решений Traps (Palo Alto Networks) и Secret Net Studio компании «Код Безопасности», а также встроенными механизмами защиты ОС. SkyBox Security, например, позволил нам провести аудит инфраструктуры в десятки раз быстрее, чем если бы это осуществлялось «вручную».
В итоге мы видели, как нападающие обнаруживали уязвимые сервисы и начинали искать в них уязвимости. Атаковали достаточно стандартно, как на курсах: перебирали пароли, искали эксплойты в интернете и пробовали их применять против серверов и роутеров. Но мы видели каждое соединение и журналировали его. И в итоге «офис», который мы защищали, оказался одним из надежных звеньев городской инфраструктуры.
Подробнее о нашей стратегии защиты мы обязательно расскажем в следующей колонке и в процессе ее подготовки готовы учесть ваши вопросы.
