Киберучения The Standoff 2022 — одна из самых масштабных в мире открытых кибербитв от компании Positive Technologies. Сильнейшие хакеры сражаются там за ресурсы виртуальной страны — отражения цифровой реальности России. Команды учились противостоять целевым атакам на ключевые объекты. За действиями хакеров наблюдали гости Positive Hack Days 11. Как устроен The Standoff изнутри? Выясняем вместе с командой Innostage — компании, которая осуществляла поддержку киберучений.
- Введение
- Киберполигоны
- The Standoff 2022
- Уникальность полигона The Standoff 2022
- The Standoff 2022 изнутри
- The Standoff 2022 и компания Innostage
- Как работает мониторинг The Standoff 2022
- Судейство на The Standoff 2022
- Кибератаки и поиск уязвимостей
- Оценка результатов команд
- Выводы
Введение
Одним из наиболее ярких зрелищ в ходе майского международного форума по практической безопасности Positive Hack Days 11 стала крупнейшая в мире открытая кибербитва The Standoff. 160 исследователей безопасности из 17 команд собрались, чтобы найти слабые места в защите компаний из разных отраслей экономики, и попытались парализовать жизнь виртуального «Государства F». На киберполигоне были представлены три производственные отрасли: энергетика, нефтяная промышленность и чёрная металлургия, а также банковская система, объекты ЖКХ и транспортного сектора.
За событиями форума наблюдали онлайн более 130 тыс. зрителей. Саму же выставочную площадку в Москве посетили 10 000 гостей.
Как устроена кибербитва 2022 года? Для обычных зрителей это осталось за кадром. Представители Anti-Malware.ru по приглашению компании Innostage побывали в Казани, где работала команда глобального SOC The Standoff 2022.
Рисунок 1. Площадка The Standoff на Positive Hack Days 11 в 2022 году. Источник: Positive Technologies
Киберполигоны
Киберполигоны — уникальный формат противостояния команд: так называемых «этичных хакеров» и «защитников». Хакеры могут исследовать и взламывать инфраструктуру, а защитники — отслеживать действия нападающих, чтобы знакомиться с новыми техниками и тактиками и получать опыт. Третья сторона этого процесса — реальные компании, которые могут встраивать в полигон свою инфраструктуру и проверять степень своей защищённости. В результате таких киберучений выигрывают все — получая практические навыки и опыт в кибербезопасности.
Чем-то это напоминает проверку защищённости ИТ-систем через Bug Bounty, когда реальные участники рынка предоставляют свою инфраструктуру, а исследователи ищут уязвимости за вознаграждение. Кстати, на онлайн-площадке The Standoff 365 в этом году запущена собственная платформа Bug Bounty.
Ранее мы уже публиковали список киберполигонов в России. Были представлены системы Ampire («Перспективный мониторинг»), BI.ZONE Cyber Polygon, Jet CyberCamp, The Standoff (Positive Technologies), «Киберполигон» (ООО «Киберполигон») и Национальный киберполигон с платформой «Кибермир» («Ростелеком»).
Киберполигон The Standoff среди них — не только самый крупный, но и наиболее развитый в отношении представленных технологий, эксклюзивной разработки компании Positive Technologies. Сам полигон ведёт свою историю с 2016 года, когда он состоялся впервые как соревнование в формате CTF в рамках форума Positive Hack Days.
The Standoff 2022
Согласно классическому формату, в учениях на киберполигонах принимают участие две группы исследователей безопасности: «красные» (Red Team) и «синие» (Blue Team).
Команда «красных» — это нападающие. Их задача — взломать систему безопасности. Согласно правилам The Standoff, можно предпринимать любые действия: методы социальной инженерии, пентесты, снифинг, клонирование сетевой активности. Команда проводит анализ уязвимостей, применяет методы реверс-инжиниринга. «Красным» доступны также другие креативные методы, которые ранее могли не встречаться в практике киберучений.
Задача команды «синих» — отслеживать перемещения атакующих внутри инфраструктуры, изучать техники и тактики злоумышленников, расследовать инциденты, нарабатывать опыт предотвращения недопустимых событий. В её арсенале — любые средства анализа текущего состояния кибербезопасности. При подготовке к кибербитве защитники выявляют уязвимости и недостатки конфигурации в их офисах, после чего подготавливают системы мониторинга для детектирования компьютерных атак и вредоносной активности. Во время самих киберучений участники команд «синих» фиксируют атаки, выявляя их путём анализа цифрового следа, проведения DNS-аудита, контроля логов брандмауэров и программ защиты конечных точек, мониторинга сетевой активности. Они могут применять различные средства, способные ограничить нежелательный доступ к защищаемой инфраструктуре.
Весенние киберучения The Standoff 2022 проходили четыре дня — с 16 по 19 мая. В ходе учений в инфраструктуре регистрировались самые разнообразные инциденты: остановка добычи нефти в нефтегазовой компании, остановка нефтепродуктопровода, нарушение функционирования очистных сооружений. Пострадавшими (в той или иной степени) были признаны пять компаний, полностью защитить себя смогла только банковская система. Чаще всего атаковали транспортную компанию Heavy Logistics. «Красным» удалось реализовать 22 недопустимых события в этом сегменте, из них 6 были уникальными. В систему продажи железнодорожных билетов смогли вмешаться 14 из 17 красных команд.
Рисунок 2. Площадка The Standoff на Positive Hack Days 11 в 2022 году. Источник: Positive Technologies
За четыре дня The Standoff атакующие 63 раза реализовали недопустимые события, 30 из них были уникальными. Для сравнения: в ходе прошлой кибербитвы The Standoff в ноябре 2021 года было реализовано лишь 6 уникальных рисков.
За четыре дня киберучений 17 команд «красных» предоставили 295 отчётов об уязвимостях. Наибольшее количество брешей было обнаружено в транспортной компании. 5 команд «синих» сдали 287 отчётов об инцидентах и 10 отчётов о расследованиях. Минимальное время расследования составило 1 час 13 минут, среднее время — 9 часов 15 минут.
Уникальность полигона The Standoff 2022
На первый взгляд, полигон The Standoff 2022 — это игра. Декорации вполне могут вызывать ассоциации с детским конструктором. Однако здесь проходят реальные испытания защищённости информационных систем и проверка их киберустойчивости под реальными хакерскими атаками. На полигоне отсутствуют сценарные атаки, здесь работают только настоящие хакеры, пентестеры и исследователи с разнообразным опытом, поэтому команды защиты обучаются в условиях максимально приближенных к реальным.
При внедрении на предприятиях ИТ-систем обычно принимают во внимание только очевидные риски. Но как станут развиваться события в реальности, если появятся новые уязвимости, которые будут раскрыты позднее? Часто такие риски остаются без внимания. Киберполигон The Standoff позволяет выявить их и наглядно продемонстрировать, как могут разворачиваться атаки хакеров в реальности.
Рисунок 3. Бэк-офис полигона The Standoff 2022 — площадка Innostage
The Standoff 2022 изнутри
За сценой красиво выстроенных домиков полигона The Standoff 2022 стоят операционные и бизнес-процессы из реальной практики. Нынешний киберполигон демонстрировал работу трёх основных отраслей — энергетики, нефтяной промышленности и чёрной металлургии. Также были представлены банковская система, ЖКХ и транспортный сектор.
Прообразом можно считать выстроенную год назад инфраструктуру для майского полигона 2021 года. Однако инфраструктура киберполигона за год стала ещё интереснее и реалистичнее: здесь появились целые отрасли. Ранее участникам противостояния предлагалось провести тестирование инфраструктуры другого типа — растущего города-государства F, который мог столкнуться с угрозами разлива нефти, взрыва на газопроводе, отключения электропитания на подстанции и т. д.
Важной новацией в архитектуре киберполигона следует признать межотраслевые события. Они отражают перекрёстные связи между работающими на разных предприятиях информационными системами. К примеру, успешная атака на нефтепровод может остановить работу целого аэропорта. Все события, которые заложены здесь, могут произойти и происходят в реальной жизни. Такая связанность привносит в течение событий на киберполигоне эффект неожиданности, обусловленный «принципом домино». Новый сценарий добавляет «синим» больше работы и заставляет быть более изобретательными «красных», перед которыми открывается перспектива «положить» сразу несколько объектов государства F или закрепиться в них. Всё как в реальной жизни: риски перестают быть изолированными, инциденты по одному направлению порождают цепную реакцию в смежных областях.
The Standoff 2022 и компания Innostage
Эксперты ГК Innostage взяли на себя задачу по развёртыванию инфраструктуры полигона и его поддержке. Специалисты центра предотвращения киберугроз CyberART вели мониторинг противостояния, контролировали действия команд и выступали менторами одной из них. Физически команда глобального SOC работала из Казани.
Участие Innostage в киберучениях The Standoff началось ещё осенью 2020 года. Тогда представители компании выступили в качестве одной из команд «синих». «Мы получили хороший практический опыт и прокачали навыки, полученные ранее на проектных работах. Как и все участники, мы занимались расследованиями и готовили отчёты. Участие позволило нам развивать партнёрские отношения с Positive Technologies», — рассказал Антон Калинин, руководитель группы аналитиков центра предотвращения киберугроз CyberART ГК Innostage. Именно эта группа стоит за технической поддержкой всех событий, которые происходили на The Standoff 2022.
Рисунок 4. Антон Калинин, руководитель группы аналитиков центра предотвращения киберугроз CyberART ГК Innostage
«Богатый проектный опыт и наличие команды SOC позволили нам принять участие в следующем The Standoff уже в качестве соорганизаторов. В ноябре 2021 года The Standoff стал ареной, где Innostage уже играла роль глобального судейского SOC-центра. Компания участвовала также в развёртывании инфраструктуры полигона».
С открытием постоянного полигона The Standoff 365 в Innostage теперь появится непрерывно работающая команда исследователей. Они будут вести наблюдение за активностью на этой постоянно действующей площадке — киберполигоне нового типа.
Как работает мониторинг The Standoff 2022
Как уже говорилось, на майском The Standoff 2022 представлено условное государство с тремя основными производственными отраслями. Силу воды, ветра и пара тут используют для получения электроэнергии, компания Tube добывает газ и производит нефтепродукты, а комбинат «МеталлиКО» — сталь, чугун и их прокат. В государстве F функционирует развитая банковская система. За водоснабжение, уличное освещение, систему видеонаблюдения и парк аттракционов отвечает управляющая компания City, а морские, железнодорожные и авиаперевозки осуществляет транспортная компания Heavy Logistics.
Как рассказал Антон Калинин, работа команды исследователей выстроена по двухуровневому принципу. Первая линия занимается мониторингом событий в режиме 24×7. Она работает с базами данных, оценивает события и взаимодействие элементов инфраструктуры, следит за журналами средств защиты. На выходе всех систем выдаются логи с командами и сообщениями. Они передаются аналитикам второй линии. Каждый аналитик работает по своему направлению: веб-приложения, веб-безопасность, промышленные решения, инфраструктурные атаки.
Организационно по каждому направлению The Standoff формируется своя мини-команда. Она состоит из 10–15 человек, а её работу возглавляет капитан — опытный участник киберучений, для которого это уже не первый The Standoff.
Капитан выстраивает взаимодействие внутри команды. Он контролирует, что и когда надо делать, куда направлять усилия других участников. На него возложена задача по оценке текущей ситуации, выявлению рисков, в том числе тех, которые могли быть упущены или оказались в разработке сразу у нескольких членов его команды.
Рисунок 5. В команде исследователей
В своей работе исследователи применяют средства мониторинга из арсенала Positive Technologies, такие как MaxPatrol SIEM, PT AF, PT NAD, PT Sandbox, PT ISIM. Этот набор программных инструментов стандартизирован в рамках The Standoff и позволяет проводить анализ всей инфраструктуры: сети, конечных хостов, файловых систем и т. д. Инструменты применяются в полуавтоматическом режиме. С их помощью подсвечиваются параметры, которые имеют критическое значение. Это помогает выявлять риски и отслеживать эффективность проведения атак.
В Казани команда глобального SOC, состоящая из сотрудников Innostage, организационно выбрала формат Open Space, т. к. важно было собрать специалистов на одной площадке. Он показался более удобным, поскольку позволяет участникам быстро обмениваться мнениями. Конечно, можно общаться и через мессенджеры, но, как показывает практика, живое общение позволяет добиться более высокой слаженности и лучших результатов.
На предыдущих полигонах использовался закрытый формат: каждый участник сидел в своём отдельном рабочем пространстве. Считалось, что такой формат помогает сконцентрироваться на задаче. Однако впоследствии было определено, что он менее эффективен.
Судейство на The Standoff 2022
То, что видят зрители The Standoff 2022, — это отражение действий команд после того, как по ним принято решение со стороны жюри. Для этого команды отправляют отчёты. Задача жюри — убедиться, что «красные» реализовали заявленную уязвимость, а «синие» нашли инцидент.
Не все отчёты принимаются, бывают и отказы. В этом случае жюри выдаёт комментарии, в которых указываются причины отказа с объяснением. Отказ не означает, что проделанная исследователями работа была напрасной. Отказ может возникать, если задача не получила полноценной реализации. Повторный отчёт по прежней уязвимости может быть засчитан как успешный, когда все препятствия устранены.
Кибератаки и поиск уязвимостей
Как реализуются кибератаки? Есть ли общий сценарий для этого или командам предлагается действовать по собственному усмотрению?
Как рассказал Антон Калинин, организаторы киберполигона The Standoff 2022 нацелены на исследование новых уязвимостей 2022-2023 гг. Это требует от исследователей знания новых уязвимостей и способов их детектирования. Такой подход интересен в том числе вендорам: они получают реальный опыт в отношении того, какие атаки могут проводить хакеры.
«Организаторы киберполигона обычно закладывают в тестовую инфраструктуру определённый набор недопустимых рисков. Для этого выбираются машины, которые можно отнести к числу потенциально уязвимых. Участники обеих команд знают об этом».
В то же время набор заложенных рисков не отражает полной картины безопасности. В инфраструктуре полигона работают сервисы партнёров. Там уязвимости не закладываются специально, но риски потенциально могут проявляться в любом месте. Они выявляются в процессе противостояния.
За счёт этого количество «дыр» может разрастаться динамически. Если «красные» или «синие» смогли найти то, что не закладывали организаторы, информация о выявленных уязвимостях передаётся потом разработчикам. В этом есть практическая польза для партнёров.
Рисунок 6. Исследователи киберполигона The Standoff 2022 в работе
Закладывают ли организаторы новые уязвимости в процессе кибербитвы? Со слов Антона Калинина, такие инъекции сейчас не делаются.
Опыт подобного рода инъекций уже есть. В ходе одного из недавних событий на полигоне организаторы добавляли новые машины и сервисы, имевшие заложенные уязвимости. В результате происходило динамическое обновление конфигурации безопасности. Но, как показала практика, такой шаг сильно усложняет и замедляет противостояние. Поэтому организаторы пока отказались от таких нововведений.
В то же время, добавил Антон Калинин, это не лишает The Standoff внутренней динамики. Последнюю создают боты, которые эмулируют команды пользователей. Боты «ходят» на доступные сервисы, открывают письма, документы и т. д. Происходящее напоминает то, как это происходит в реальной жизни.
Благодаря ботам на прошлых киберучениях уже встречались динамические атаки посредством фишинга. Атакующая сторона отправляла письма на внутренние адреса в инфраструктуре. «Ничего не подозревающий» бот открывал их и осуществлял обработку. Это давало атакующей стороне важную информацию по тому, как развивать свою атаку.
Необходимо отметить, что логика работы бота весьма сложна и приближена к работе подготовленного пользователя. Он не открывает исполняемые файлы по прямой ссылке, для открытия доступны только файлы в формате DOCX или XLSX. При этом «красные» не могут напрямую общаться со внутренними ботами, «провоцируя» их на незаконные действия. Если «красным» удаётся развить атаку, то это даёт им дополнительные баллы.
В ходе битвы на полигоне исключены также прямые контакты членов команд «красных» и «синих». В то же время такой вариант фишинга формально не запрещён. У участников есть пространство для креативного воплощения своих замыслов, и это тоже является возможностью для реализации атаки.
Используются ли на полигоне элементы реальной инфраструктуры для придания противостоянию «драйва»? Как отметил Антон Калинин, в этом случае любая ошибка может нанести непоправимый вред. Это не является целью. Главное — не азарт любой ценой, а сбор полезной информации, которая позволит защитить инфраструктуру. Хотя участники работают с реально применяемыми на практике контроллерами АСУ ТП, их действия не могут повлечь за собой катастрофических последствий. «Драйв» в ходе полигона создаётся не риском реальной катастрофы, а непредсказуемостью действий «красных», отсутствием ограничений для них.
Оценка результатов команд
Действия каждой команды оцениваются по заранее составленному набору критериев. 17 команд «красных» получают очки за реализованные недопустимые события, команды «синих» — за правильно проведённые расследования инцидентов. Это даёт возможность получить количественные оценки уровня мастерства. Индивидуальное оценивание не ведётся, что позволяет командам действовать слаженно и не создавать конкуренции между участниками.
«Методика выставления оценок формируется силами Positive Technologies. Она закладывает на каждый риск определённое количество баллов. При назначении баллов принимаются во внимание условия, которые складываются в процессе игры. В зависимости от реализованной уязвимости команда “красных” может получить более высокий балл, чем тот, что закладывался как эталонное значение», — отметил Антон Калинин.
Скоринг в команде «синих» более прост: чем больше найденных атак, тем лучше.
При реализации инцидентов учитываются дополнительные факторы. Например, если команде «красных» удалось модифицировать цену билета транспортной компании, то учитывается, что изменения были внесены в уже существующий билет. Искусственно созданный билет — это другая уязвимость. Такое разделение позволяет устранить «сериальность», когда одно действие может породить сразу несколько связанных уязвимостей.
Отчёты могут отклоняться, если команда не дала подробной информации о том, как ей удалось достичь поставленной цели. Тем самым арбитры киберполигона ограничивают «накрутки», показывая, что главная цель — это не просто получить список уязвимостей, а выявить методы для их реализации.
В итоге выпускаются отчёты по расследованным и нерасследованным рискам. Они помогают оценить эффективность работы команд. Что касается оценки времени, затраченного на выявление уязвимостей, то явный контроль сейчас не ведётся. Задача «синих» — уложиться в SLA, где указано недопустимое для определённого события время.
Рисунок 7. Бэк-офис полигона The Standoff 2022 — площадка Innostage
Выводы
Инфраструктура киберполигона The Standoff с каждым разом становится интереснее и реалистичнее. В очередной раз все его участники смогли достичь поставленных целей. «Красные» продемонстрировали различные инструменты и проверили устойчивость инфраструктуры. «Синие» получили «красный» трафик в виде реальных живых атакующих, а не заранее прописанных скриптов. Они собрали цепочки атак и получили то, за чем пришли: опыт, экспертизу, аналитику и знания.
