Противостояние — ежегодное мероприятие, в котором специалисты по информационной безопасности пробуют свои силы в атаке и защите, используя различные системы и программные платформы. Обычно проводится соревнование в виде реального противостояния двух команд. Первая команда атакует системы безопасности, которые поддерживаются командой защитников и экспертных центров мониторинга. Само мероприятие проводится в рамках Международного форума по практической безопасности Positive Hack Days. «Цель Противостояния — столкнуть две противоборствующие стороны в более или менее контролируемой среде, чтобы посмотреть, что победит — целенаправленные атаки или целенаправленная защита. На роль защитников и SOC пришли эксперты отрасли — интеграторы, вендоры и те, кто выполняет функцию ИБ на стороне заказчиков», — рассказывает о мероприятии член оргкомитета форума Михаил Левин.
Каждый год команды, принимающие участие в «Противостоянии», преследуют свои цели. В этом плане текущий год ничем не отличается от предыдущих. Одна из команд, On Rails!, которая представляет IBM и практикующих экспертов in-house SOC, пробовала свои силы в Противостоянии с решениями из портфеля IBM Security. Само мероприятие уже прошло, и о нем не раз и не два рассказывали в сети. Настало время и нам сделать небольшое review участия команды «On Rails!» в противостоянии «The Standoff». Команда была сформирована в конце апреля из экспертов, с которыми не страшно было пойти в бой против хакеров: Эльман Бейбутов, Роман Андреев, Андрей Курицын, Сергей Кулаков, Сергей Романов, Владимир Камышанов и другие, пожелавшие остаться неизвестными героями. Многие были знакомы между собой и даже работали в прошлом в одних компаниях, поэтому быстро удалось скоординироваться и обсудить тактику защиты.
Команде было предложено на выбор две инфраструктуры для защиты – железнодорожная или энергетическая компания. После недолго обсуждения большинство защитников отдали свои голоса за обеспечение безопасности железнодорожных перевозок. Вскоре после этого появилось название команды – «On Rails!» – и простой, но очевидный логотип дорожного знака с паровозом.
Первый момент. У команды было достаточно мало времени на подготовку, аудит защищаемой инфраструктуры и выбор средств защиты. План «А» — это упор на закрытие уязвимостей, смену дефолтных учетных записей и установку свежих версий ПО в представленной инфраструктуре. Это минимальный набор действий, который единогласно был одобрен и не требовал никаких затрат из без того ограниченного бюджета. Ключевыми технологиями защиты стали обнаружение вторжений с помощью решения IBM XGS, а в качестве системы мониторинга инцидентов ИБ использовалось решение IBM QRadar SIEM. Также использовалось opensource решение OSSEC для обнаружения вторжений на уровне хостов – им покрыли прежде всего все ноутбуки самих защитников, а также установили агентов на все ключевые сервера и рабочие станции в инфраструктуре – охватили 12 хостов сети.
Конечно, когда начался отсчет времени «The Standoff», наши средства защиты ещё не были полностью настроены, а безопасная конфигурация объектов защиты не внедрена. На самом деле это здорово: ведь, как и в реальной жизни, хакеры не будут ждать, пока безопасники наконец-то всё приведут в порядок. Поэтому в самые первые часы схватки работать пришлось в ускоренном темпе. В качестве плана «Б» Сергей Романов предложил сделать ставку на Active Response и подготовил небольшой набор скриптов для автоматизированной обратной реакции по результатам корреляции событий. Это могло пригодиться в случае, если бы хакерам удалось преодолеть периметр.
Второй момент. У нас были не все учётные записи к служебным системам. Порой организаторы их просто не предоставляли под различными предлогами, поэтому в особых ситуациях их приходилось подбирать самостоятельно. С этим проблем не возникло: все участники нашей команды пришли с Kali. Теперь мы могли вносить изменения и сразу их проверять.
Третий, самый важный момент проявился в ночь со вторника на среду, когда из участников конференции остались только хакеры, защитники и организаторы. Ночь можно было охарактеризовать фразой: «Развлекались, как могли!» Ребята из «Vulners» пытались установить свою «железку» в разрыв с нашими подключениями. Очевидно, для организации атаки типа Man-in-the-Middle. Другая команда осторожно попыталась подключиться напрямую к оборудованию в стойках защитников. Как оказалось, правила даже это допускают. Пришлось заниматься настоящей физической безопасностью и прогонять их.
Действуя под покровом ночи, несколько участников «On Rails!» получили дополнительную информацию, попросту надев толстовки с капюшонами и пересев в зону хакеров за один из освободившихся столов (наверно, некоторые хакеры решили поспать). Итогами такой партизанской контрразведки стало раскрытие карты сети, которую организаторы предоставили хакерам, а также получение ценной информации о том, что команда «ЦАРКА», лидер соревнования, до железнодорожной инфраструктуры пока не добралась.
Утро тоже было интересным. Не спать совсем нам не удалось, человеческие ресурсы были все же ограничены и держать контроль 24х7 оказалось непростой задачей. На утро мы, к сожалению для себя, обнаружили, что span порт для нашей IDS не работает. Роман Андреев экстренно переключился на непрерывный мониторинг инцидентов в IBM QRadar SIEM (мы предусмотрительно завели туда Netflow), а Сергей Романов предложил остальным заняться Threat Hunting’ом. Threat Hunting подразумевает подход, при котором считается, что система уже скомпрометирована, и задача, найти этому свидетельства.
По итогу соревнований мы показали 100% SLA. Хакеры нас не взломали.
«Участие в подобном мероприятии очень тонизирует. Сжатые сроки, обилие технических задач, как по защите, так и по взлому, позволяет оценить экспертам себя со стороны, понять, насколько хорошо ты справился. Показательным является и работа в команде профессионалов, когда каждый участник команды чувствует ответственность за других, видит, чем они занимаются, и самостоятельно берет в работу незакрытые направления. Это отличный опыт, который можно применять для развития команды информационной безопасности каждому в своих компаниях уже по возвращении на работу», — вспоминает Сергей Романов о своем участии в противостоянии с командой On Rails!
«Противостояние «The Standoff» позволят лучше понимать хакеров, корректировать приоритеты в технической составляющей защиты. В итоге, сохраненный уровень защищенности еще и подтверждает высокий уровень слаженности работы команды», — говорит Эльман Бейбутов, координатор команды On Rails!