«Мы все уронили»: тестируем модель города на полигоне

Пока весь мир на карантине, команда Positive Technologies спустилась в бункер и пообщалась с ИБ-комьюнити в рамках онлайн-шоу «ИБшник на удаленке». С конца марта они провели десяток трансляций шоу, где эксперты в сфере инфобеза обсудили темы, актуальные в период изоляции и перестройки всех деловых процессов. Например, поговорили, как отправить по домам сотрудников банков, не остановив при этом процессы и обеспечив должный уровень защиты. А еще затронули секреты распознавания фишинга и мониторинга ИБ при переходе на удаленку. Сегодня предлагаем читателям Хабра погрузиться в тему грядущего эфира шоу (24 апреля) и поговорить о полигоне The Standoff — модели реального города, которая имитирует современный цифровой мегаполис. Под катом — подробности о полигоне и том, как на нем соревнуются нападающие и защитники в офлайн-формате. Спойлер: на шоу Positive Technologies презентуют новый онлайн-формат The Standoff и пригласят в нем поучаствовать.

ИБ в мегаполисе: визуализируй это
Один из главных факторов, ускоряющих внедрение инноваций — это наглядность. Однако информационные технологии, в основном, скрыты от глаз, а технологии ИБ в особенности. Предприниматели и топ-менеджеры, которые принимают решения о внедрении систем — это люди, которые исследуют аналитические отчеты и технические руководства, но при этом еще и доверяют своим глазам и интуиции. Так возникает проблема: именно этим людям особенно важна наглядность, и именно ее обеспечить сложно и дорого.
Для сегодняшнего рынка услуга ИБ-испытаний на полигоне с реальной инфраструктурой является новой. Стандарт — это тестирование периметра на проникновение, пентест. По итогам такого теста первое лицо компании получает отчет, в котором объясняется, каким образом взломщик может получить доступ к конкретному компьютеру или системе. Однако отчет не делает риски наглядными. Первое лицо компании продолжает недоумевать, в чём, собственно, угроза? «С этого компьютера можно отключить подачу электричества» — объясняют специалисты. «Так не отключили же!» — парирует первое лицо. В общем, как говорится, лучше один раз увидеть, чем сто раз услышать. Эту возможность и предоставляет полигон The Standoff.
Задача визуализации угроз — привлечь внимание и заставить прислушаться.
В Positive Technologies ищут решение задачи по «визуализации угроз» при помощи моделирования. В миниатюрном виртуальном городе F (на фото ниже) функционируют банк и нефтеперерабатывающий завод, железная дорога и электростанция. Есть даже медиахолдинг. На полигон, где располагается город, ежегодно приглашают команды хакеров для того чтобы все это разрушить, и команды защитников, чтобы все это спасти. Но по большому счету, The Standoff — это модель будущего, которая поможет сделать реальный мир безопаснее.
Полигон The Standoff — это макет города площадью 17 квадратных метров, для создания которого было использовано более 3000 искусственных деревьев, 467 различных фигурок, 153 метра миниатюрных рельсов и более 300 метров проводов.
Банкир и медиамагнат, мэр и нефтяник своими глазами видят, как нападающие отключают в городе электричество, пускают под откос поезда и майнят криптовалюту в чужих ЦОДах. Владельцы бизнеса наблюдают работу города с настоящими ИТ-системами. Команды атаки «ломают» эти системы так же, как это смогли бы сделать хакеры. И возникает мысль: почему бы не тестировать новые системы на киберполигоне, как модель самолета — в аэродинамической трубе?
Так появилась большая идея The Standoff: тестовая среда позволяет отыграть различные сценарии атак, визуализировать чрезвычайные ситуации и выявить уязвимости реальных IT-систем в ускоренном времени.
В городе F все по-настоящему
Любую систему можно взломать — это аксиома. Теоретически в любом городе возможно сделать блэкаут, вопрос в объеме затраченных средств. Способ защиты можно продумать: подготовиться, расставить приоритеты в обеспечении кибербезопасности в городе.
Но как убедиться, что такие меры сработают? — Поставить полноценные контроллеры, установить реальные ИСЗ и смоделировать настоящие атаки, цель которых — причинить видимый вред.
В городе F установлены промышленные контроллеры, которые управляют всеми процессами. В частности, электрической подстанцией, системами автоматического управления городским освещением, обогрева и кондиционирования зданий, шлагбаумами и стрелками на железной дороге, дорожными светофорами, технологическими процессами на перерабатывающих и промышленных предприятиях и даже современными развлекательными аттракционами. Случается, организаторы показывают посетителю на макете контроллер и слышат: «У меня такой же стоит». Инфраструктура на 95% совпадает с тем, что встречается в реальной жизни — таково мнение одного из победителей The Standoff.
Часть инфраструктуры предоставлена компаниями-партнерами, которые воспроизводят для стенда близкую к реальной инфраструктуру предприятий. Такие партнеры особенно ценны для организаторов и участников форума, ведь представленные модели обеспечивают доказательную базу.
Выявить угрозы — дело двух дней
В инфраструктуре города F участники реализуют различные сценарии атак. Двое суток кибербитвы нон-стоп — тот промежуток времени, который позволяет увидеть, какие вектора атак работают, как реагируют разные команды, как действуют злоумышленники и как защитники. И после сделать выводы о том, как избежать коллапсов в настоящей инфраструктуре городов.
Основная задумка The Standoff — это моделирование критической ситуации в условиях цифрового города, а в перспективе — страны и мира.
Сжатые временные рамки — это еще одно условие, которое необходимо учитывать при моделировании. На практике злоумышленники готовят атаки не один день, а внедряются в систему постепенно. Поскольку на кибербитву отведено всего два дня, возникает вопрос, не является ли это слабостью модели?
The Standoff — это не война, а военные учения, и главное тут — не буквальное копирование условий реальности, а итоговое предотвращение катастроф.
Атакующие тут могут развернуть полноценную атаку, а защитники — увидеть финальный этап этой атаки и отразить ее.
Итак, бизнесмены могут своими глазами увидеть катастрофу в городе F. А что видят команды нападающих и защитников?
Хакеры и безопасники: как взломать и защитить город за 48 часов
На последнем The Standoff в 2019 году на хакерской стороне числилось 250 человек в составе 18 команд из разных стран мира — от Японии до Испании. Хотя присоединиться к испытаниям хотели гораздо больше человек. Из-за предварительного отбора до игры дошли не все.
Чтобы попасть на соревнования, нужно сформировать команду и подать заявку. Эту заявку организаторы прочитают, зададут вопросы, и решат, какие команды допускать к битве. The Standoff будет успешным и интересным только в том случае, если все команды профессионально подкованы.
Но в игре оказываются совершенно разные команды атакующих, их формируют и профессиональные пентестеры, и молодые специалисты, и просто любители технологий и адепты принципов безопасности. Это позволяет проследить различие подходов к достижению цели.
Для команд профессионалов пентесты — это их работа, у есть опыт и технологии. А у начинающих нет готовых скриптов, они видят задачу и набрасываются на неё.
Но в реальной жизни не так уж важно, кто тебя взломал — профессионал или начинающий. Нужно учитывать разные подходы.
Если защититься только от профессионалов, то внезапно могут нагрянуть новички и пробить защиту нестандартным, а может, и случайным образом. Поэтому нужны непохожие друг на друга команды и истории.
Организаторы планируют ввести для хакерских команд квалификационные испытания. При этом важны будут не баллы сами по себе, а ход мышления и действий команды. Ведь чтобы победить, как говорят сами чемпионы, важно все: опыт, командная работа, внимание к деталям и условиям игры и даже физическая форма — ведь атаковать город надо двое суток. И всегда быть готовым к нестандартным подходам, находчивость — основа социальной инженерии. Например, игроки одной из команд-хакеров с камерой в руках под видом журналистов взяли интервью у защитников, а потом использовали услышанное в успешной атаке.
На полигоне работает несколько команд защитников. Они составлены из сотрудников организаций, профиль которой соответствует отрасли, защищаемой в рамках The Standoff. Да, у защитников есть профильный опыт, и готовиться к игре они начинают заранее. Набрасывают векторы атак, готовят корреляционные правила, системы аудита и мониторинга.
Кажется, что это нечестно — ведь у нападающих такой подготовки нет, что будет, если взлом не получится? Ведь тогда разрушится замысел визуализации: ничего не сломается и не рванет, бизнес не испугается и не захочет использовать ИБ-решения.
Поэтому приходится создавать ситуации, которыми могут воспользоваться нападающие, и которые для защитников являются неприятными сюрпризами. Так, например, однажды организаторы «слили» хакерам учетные записи одной из систем. Защитники не успели сменить пароли, и «хакеры» смогли внедриться.
SOC-центры: как понять, чем заняты команды
В игре, помимо хакеров и защитников, участвуют три команды SOC. Они не вмешиваются в процесс защиты, но мониторят происходящее, и в итоге сообщают о зарегистрированных атаках.
В отдельной комнате установлены мониторы. Туда разрешается заглянуть предпринимателям, которым стало мало макета и которые хотят понять, что именно происходит сейчас в игре. В этой комнате можно увидеть аномалии в трафике, посмотреть, как программы классифицируют, категоризуют и блокируют инциденты.
Организаторы тоже в режиме реального времени наблюдают за происходящим, чтобы зафиксировать успешную атаку. Им видно трафик, атаки и векторы, которые нащупывают те или иные команды. Однажды, правда, не заметили, как команда хакеров перекусила провода под столом, но такую атаку город F больше не пропустит.
Все успешные хакерские прорывы фиксируются на видео, чтобы никто не усомнился в результатах. Если же атака привела к разрушениям, то видео не требуется — каждый может видеть результат на макете. Например, после успешной атаки на светофоры все они загорятся зеленым.
Что будет дальше
Организаторы соревнований прислушиваются к мнению игроков, когда вводят локальные изменения в игру. Так, некоторые участники пожаловались, что город предлагает слишком мало векторов проникновения для атак. Это не совсем так (некоторые векторы никто даже и не пытался эксплуатировать), но создатели полигона готовы пойти навстречу.
Так, например, нападающим традиционно в ходе соревнований предоставлены широкие возможности для социальной инженерии и фишинга. Например, у одной из игровых организаций адреса почты сотрудников и HR-отдела были указаны прямо на сайте. И конечно, на них можно было отправлять письма.
В заключение — важная новость: 24 апреля (уже в эту пятницу) в очередном выпуске шоу «ИБшник на удаленке» команда Positive Technologies расскажет о новом онлайн-формате соревнований The Standoff. Заглавная тема выпуска — «От истоков The Standoff — к безопасному будущему». Речь пойдет о том, как зарождался новый формат соревнований, для кого он предназначен и как отвечает на вызовы кибербезопасности. Кроме того, эксперты Positive Technologies поделятся со зрителями опытом создания киберреальности: расскажут о том, как нарабатывают опыт, переносят его в виртуальную среду и как создают цифрового двойника реального мира.
Участвуйте в трансляции шоу, задавайте вопросы организаторам и, как говорится, stay tuned!

Комментарии 1

    0
    Вау?

    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.