Владимир Дмитриев: На The Standoff мы можем дойти до конца и реализовать недопустимое событие

Владимир Дмитриев: На The Standoff мы можем дойти до конца и реализовать недопустимое событие

Владимир Дмитриев

Руководитель направления сервисов киберзащиты ГК Innostage

Опыт в сфере ИТ — более 25 лет, в сфере ИБ — более 15 лет.

В 1992 году поступил в Казанский авиационный институт имени А. Н. Туполева (в настоящее время — КНИТУ-КАИ), получил квалификацию «инженер-системотехник».

После окончания института в разное время работал программистом в ИТ-компании, в финансовой организации и на производственном предприятии.

Профессиональный путь по направлению информационной безопасности начал в 2005 году.

На протяжении 12 лет работал в компании ICL и дошёл до позиции руководителя центра мониторинга и реагирования на компьютерные инциденты (SOC).

С 2019 года является руководителем направления сервисов киберзащиты ГК Innostage.

...

С редакцией Anti-Malware.ru пообщался Владимир Дмитриев, руководитель направления сервисов киберзащиты ГК Innostage. Он рассказал нам о том, чем интересен формат киберполигона The Standoff, как были организованы работа и судейство, о результатах учений и о роли компании Innostage. Также эксперт поделился информацией о перспективах развития этого сегмента и направления в CyberART.

Компания Innostage в этом году активно участвовала в работе киберполигона The Standoff. Чем вам интересен такой формат мероприятий?

В. Д.: Ни для кого в отрасли не секрет, что Innostage и Positive Technologies являются стратегическими партнёрами. Есть много направлений, где мы взаимодействуем. А участие в The Standoff позволяет нам реализовывать партнёрство на технологическом уровне. Здесь мы обмениваемся с коллегами из Positive Technologies опытом и знаниями и берём на себя часть задач в рамках подготовки мероприятия.

Какие именно задачи решала команда Innostage на The Standoff?

В. Д.: Отличительная особенность Innostage — комплексный подход к обеспечению кибербезопасности. В состав компании входят крупный ИБ-интегратор, провайдер сервисов кибербезопасности CyberART и вендор, разрабатывающий продукты для защиты информации. Эти три направления нам удалось применить в соорганизации The Standoff. В роли системного интегратора совместно с экспертами Positive Technologies мы решали задачу по развёртыванию инфраструктуры полигона и его поддержке. Центр предотвращения киберугроз CyberART выступил в роли глобального SOC. Его специалисты вели мониторинг противостояния и контролировали действия команд. Эксперты-аналитики компании выступили менторами нескольких команд защитников. И, наконец, на киберполигоне мы в «боевых» условиях проверили собственную разработку — платформу реагирования на киберинциденты Innostage IRP.

Целью и задачей вашей команды и компании было поддержать и развить компетенции сотрудников, получить практический опыт, или что-то ещё?

В. Д.: Это было важным моментом. Но основным намерением было всё-таки показать на The Standoff и полигоне те подходы, которые мы применяем на практике у наших заказчиков. А именно — продемонстрировать, как сделать инфраструктуру видимой, каким образом выстроить мониторинг, чтобы он мог выявить атакующих и локализовать, предотвратить или ликвидировать угрозы до того момента, когда будет нанесён непоправимый урон. Это то, что мы и хотели донести. И, как мне показалось, нам это удалось, что подтверждает и тот интерес со стороны гостей мероприятия, который мы получили, когда демонстрировали цепочки атак «красных», так называемых этичных хакеров.

Удалось ли, кроме этого, собрать полезную информацию о новых нестандартных действиях красных команд, которые также можно будет использовать для улучшения защиты ваших заказчиков, уже внутри CyberART?

В. Д.: Да, мы аккумулируем информацию, получаемую во время подготовки, мониторинга, изучения инструментария, новых интересных техник, которые применяют атакующие. Далее она используется нашими аналитиками и специалистами в решениях и подходах, которые мы реализуем у наших заказчиков.

Самые интересные моменты, по нашему мнению, были связаны с контейнеризацией, когда атакующие расправились с рядом систем реализованных на базе контейнеров. Это позволило нам увидеть, как «красные» могут скомпрометировать такие среды, которые всё шире используются в наше время.

А кем был разработан сценарий для проведения киберучений? Кто решал, что в этом месте нужно применять контейнеры, в другом — ещё что-то, здесь должны быть такие-то серверы, и так далее? Как всё это происходит?

В. Д.: Создателями, идеологами и основными архитекторами всего этого являются специалисты компании Positive Technologies. Они занимаются развитием The Standoff уже несколько лет и постоянно дорабатывают киберполигон, вносят в него дополнения, корректировки и улучшения, с тем чтобы сделать его больше похожим на реальные инфраструктуры. В команде Positive Technologies есть коллектив авторов, который занимается разработкой самой архитектуры, недопустимых событий и прочего. Далее уже соответствующие специалисты воплощают это в «железе».

Сам же киберполигон — это очень большая, обширная, интересная ИТ-площадка, где найдётся занятие как для атакующего, так и для защитника. В ней мы устанавливаем системы, домены, вводим машины в эти домены, настраиваем определённые параметры аудита и заботимся об исправности всего.

Следующий шаг нашего технологического партнёрства — стать одними из тех самых авторов. Мы сейчас взяли на себя несколько таких направлений, отраслей, где планируем выступить в этой роли.

В одном из наших эфиров очень много обсуждали возможность использования такого рода киберучений в формате The Standoff для проведения некой «боевой» проверки на аналоге или цифровом двойнике инфраструктуры заказчика, чтобы, играя на реальной части его архитектуры, показать наличие у него слабых мест. Перспективна ли такая схема и нужно ли её уже сейчас применять?

В. Д.: Уже сейчас на The Standoff мы реализуем различные типовые архитектуры для различных отраслей. Если говорить о переносе копии какой-то системы на The Standoff, то там есть регулярная практика с развёртыванием определённых продуктов для выявления в них уязвимостей. Если же речь — о цифровом двойнике какого-то предприятия, то мы на The Standoff показываем наиболее типовые инфраструктуры и их взаимосвязь и на этой базе демонстрируем принципы того, как атакующие могут пройти и реализовать недопустимые события в том или ином сегменте. Поэтому именно сейчас процесс идёт по пути разработки стандартизированных архитектур — например, типовых отраслей производства, энергетики, транспорта, управления ЖКХ, а также государственных ИТ-департаментов, которые предоставляют определённые ресурсы и услуги.

Наш опыт показал, что это встречается у большинства заказчиков, их инфраструктура зачастую схожа. Интересно именно посмотреть, насколько такие однотипные подходы устойчивы, и понять, как их контролировать. То, о чём вы говорили, верно: выстраивание цифрового двойника нужно, возможно и можно выполнять в виде отдельного проекта, что непросто. Также в дальнейшем можно подключать такие инфраструктуры к The Standoff.

Выше вы упомянули, что одной из ваших задач была роль глобального SOC. Чем именно вы занимались?

В. Д.: Нашей первоочередной задачей (как глобального SOC) было видеть всё, что происходит на площадке. Для этого мы должны обладать соответствующими технологиями, инструментариями, знаниями на всех уровнях, начиная с того, что происходит на уровне сети, и заканчивая тем, что делают на уровне пользователя. Для того чтобы за всем этим наблюдать, мы применяли соответствующие технологии и решения.

Для инвентаризации и выявления уязвимостей мы использовали сканеры сети и систему MaxPatrol Vulnerability Management. Чтобы отслеживать сеть, мы прибегали к технологии NTA — Network Traffic Analysis, точнее к продукту от Positive Technologies — PT Network Attack Discovery (NAD).

Чтобы анализировать веб-трафик, нужен был брандмауэр приложений. Поскольку мы задействовали в работе стек технологий Positive Technologies, вернее их продукты, а у них хороший Application Firewall, мы воспользовались именно им. Чтобы видеть конечные точки (endpoint), нам нужен был расширенный аудит, с этим помог Sysmon. На практике, чтобы обеспечить контроль конечных узлов, можно также использовать решения класса XDR. Был задействован MaxPatrol SIEM, который позволял консолидировать, собрать всё это, настроить аналитику и контролировать действия красной команды на площадке.

Также использовался наш продукт Innostage IRP — как точка сбора выявленных инцидентов, привязки их к ИТ-активам с распределением по отраслям (компаниям) и оценки критической значимости инцидента в соответствии со значимостью затронутого ИТ-актива и его влияния на реализацию неприемлемых событий, а также как инструмент предоставления статистических и исторических данных по инцидентам.

The Standoff — всё-таки автоматизированная инфраструктура. Это копия системы, в которой нет конечного пользователя — реальной кадровой службы, инженеров, директоров, менеджеров. Не секрет, что главным слабым звеном в любой защите является человек. Как киберполигон моделирует эту ситуацию?

В. Д.: В The Standoff человеческий фактор также предусмотрен. Есть специальные автоматизированные сценарии, которые моделируют не совсем ответственных пользователей. Один из них — это слежение за отправкой определённых писем с конкретным содержанием на заданные адреса. При обнаружении такой ситуации специальные роботы открывают их, запускают всё содержимое. Иными словами, эмулируется работа обычного пользователя: процесс чтения им такого письма, открытия вложений.

Как бы вы охарактеризовали итоги соревнований? Что получили красная и синяя команды? Возможно, что-то удивило в ходе проведения учений?

В. Д.: Мы уже не в первый раз на учениях. Инфраструктура площадки с каждым разом становится интереснее и реалистичнее. Я бы сказал, что команды справились со своими задачами. «Красные» смогли продемонстрировать различные инструменты и проверить устойчивость инфраструктуры — это то, для чего их, собственно, и приглашают. А «синие» получили тот самый «красный» трафик в виде реальных живых атакующих, а не заранее прописанных скриптов. Это помогло им собрать цепочки атак и получить то, за чем они пришли: опыт, экспертизу, аналитику и знания.

Правильно ли я понимаю, что на The Standoff «синие» приходят, чтобы проверить свою устойчивость?

В. Д.: Я бы сказал, что на The Standoff нужно приходить всем, а не только когда в составе команды безопасников есть натренированные звёзды и можно похвастаться уровнем подготовки. Это не разовая проверка. Для наглядности The Standoff можно сравнить с походом в спортзал. Чтобы были результаты, его нужно посещать регулярно: тренироваться, «качаться» и повышать выносливость. То же самое происходит на киберполигоне. Основная задача синей команды — видеть всё, что происходит в зоне ответственности, разбирать и собирать цепочки действий «красных». Такой опыт они больше нигде не получат.

Была обобщена соответствующая статистика, которая показала, что из заложенного 51 допустимого события «красные» реализовали 6. Не стояла задача сломать всё по максимуму. Главное — продемонстрировать возможные векторы атак, и мы увидели множество интересных тактик, техник и процедур.

В голове у любого специалиста по безопасности доминирует мысль «главное — защитить». При этом правила The Standoff говорят нам, что никаких активных действий по пресечению атак предпринимать нельзя. Как к этому относятся синие команды? Как они должны подготовиться к такому мероприятию?

В. Д.: Главная ценность для «синих» на мероприятии — это возможность увидеть, как тот или иной риск реализуется на практике. The Standoff интересен как раз тем, что на этой площадке можно дойти до конца, а не до какой то границы, которая, как правило, определяется во время проведения тестов на проникновение в реальной инфраструктуре. Возьмём для сравнения металлургическое предприятие. Никто не позволит дойти до домны и дать в её системе управления команду, которая привела бы к разливу металла. Даже близко не подпустят. Естественно, мы никогда не поймём, как сломать систему в жизни и можно ли это сделать на самом деле. Как правило, заканчивается это тем, что атакующие доходят до определённого сегмента, и тогда подтверждается факт либо того, что система уязвима, либо того, что она защищена. А может, есть несколько других обходных путей? Может быть и то, что текущих мер достаточно и даже если атакующий попал в этот сегмент, ему всё равно не удастся реализовать недопустимое событие, потому что там есть определённые защитные механизмы уже не на уровне ИТ, а на уровне производственных процессов.

The Standoff в этих случаях позволяет дойти до конца, и когда приходят «синие», мы стараемся убедить их в необходимости это принять. Объясняем им, что основная задача — не остановить «красного», а собрать всю цепочку атаки и посмотреть, как он, начиная с периметра, дошёл до целевой системы и реализовал недопустимое событие. Анализ этой цепочки помогает нам получить ту самую экспертизу, сведения, знания, которые ты можешь потом применять у себя на практике.

В качестве технологического партнёра мы выполняли и роль наставника для ряда синих команд, когда те готовились к учениям. Плюс наши менторы поддерживали их уже на самих учениях. Когда у них возникали вопросы, мы старались помочь, с тем чтобы для «синих» это было максимально эффективное мероприятие. А после завершения The Standoff мы предоставляем командам итоговые отчёты и проводим с ними мастер-классы, где разбираем всё, что было на мероприятии в их зоне ответственности.

Positive Technologies очень часто отмечали, что ценность этого формата — даже не в борьбе, а в том, что мы играем с реальными людьми, настоящими хакерами, пусть и «белыми». Встречались ли вам нестандартные шаги со стороны атакующих, которые действительно удивили? Такие, которых нельзя ожидать от роботов, от специализированных средств, от баз эмулирующих атаки?

В. Д.: Благодаря живым людям это действительно было интересно. Атакующие использовали на этом The Standoff множество различных C&C-доменов. На 10 команд атакующих мы зафиксировали более 30 разных C2-серверов, которые применялись ими для проведения атак. Причём участники действовали творчески, они регистрировали свои C&C-домены под названиями «PHD», «PHDays», «PTSecurity», «Standoff», максимально пытаясь сделать себя незаметными в этой инфраструктуре. Это не некие роботы, где ты, условно говоря, увидел одно название и далее настраиваешь и просто ищешь по нему. Красные команды действительно скрывались, пытались остаться невидимыми.

Ещё одна интересная история — когда одни атакующие использовали артефакты и закладки, оставленные другими командами. Такие случаи обнаруживались и при расследовании реальных атак, когда одна группировка применяет условные инструменты и закладки, которые были спрятаны другими.

Бывает ли, что в ходе такого рода киберучений кто-то обнаруживает уязвимость «нулевого дня» (0-day), о которой никто не знал, особенно когда мы говорим о промышленных системах, которые никто ранее не изучал?

В. Д.: С этой точки зрения на киберучениях есть программа «bug bounty», в рамках которой атакующие должны не только реализовать недопустимые события, но и выявлять уязвимости в системах, в том числе полученных от партнёров, которые хотят проверить устойчивость своих продуктов.

Для решения этой задачи в рамках The Standoff для «красных» есть такое направление деятельности. Кроме этого, мы увидели, что все атакующие используют свой инструментарий, и это тоже можно назвать своеобразной уязвимостью «нулевого дня». Все те инструменты, которые ими применялись, как правило, ребята готовили прямо к The Standoff, к соревнованиям, и они не детектируются никакими другими средствами. Здесь нашим аналитикам тоже бывает интересно потом разобраться с этим инструментарием, посмотреть на то, чем пользуются «красные» и до чего дошёл прогресс в этой части.

Как происходит оценка действий? Можете ли вы что-то об этом рассказать? Правильно ли я понимаю, что среди арбитров с вашей стороны тоже кто-то был? Как оценивают происходящее: прошла ли атака, сколько времени у защитников ушло на её расследование, отражение?

В. Д.: Оценка действий «красных» и «синих» на The Standoff происходит максимально объективно и коллегиально. Если «красные» сдают отчёт о реализованном недопустимом событии, то он проверяется фактически тремя независимыми командами. Первыми его проверяют авторы полигона, архитекторы — на предмет того, реализовали ли атакующие то, что закладывалось: отдали ли они ту самую команду, которая была нужна, внесли ли изменения в определённую базу данных, чтобы нарушить расписание поездов или перевести стрелки. Вторая часть подтверждается центром мониторинга — глобальным SOC — на предмет того, что такие события действительно имели место, и именно от этой команды. С помощью средств контроля — SIEM, NAD, WAF — специалисты глобального SOC убеждаются в том, что атака была выполнена так, как указано в отчёте, что её не выдумали и что «красные» действительно реализовали риск. И завершают проверку аналитики. У них, по нашему мнению, — самая сложная задача. Они сверяют шаги согласно логической цепочке атаки. Ведь можно не сообщить, как именно ты дошёл до целевой системы. Работа аналитика состоит как раз в том, чтобы проверить логическую цепочку атаки, пройтись по указанным шагам и убедиться, что атакующий может дойти по ним до этой системы и реализовать недопустимое событие.

Встречаются интересные ситуации, когда одну и ту же атаку команды выполняют по-разному. Кто-то использует уязвимость на уровне операционной системы, кто-то прибегает к недостатку конфигурации на уровне прикладного приложения, кто-то напрямую добавляет в базу данных нужные строки, которые требуются по заданию. Всегда полезно понаблюдать за тем, как потенциальные атакующие могут реализовать те или иные шаги и какие есть возможные пути.

Получается, судейство на деле гораздо сложнее, чем может показаться на первый взгляд. Потому что если судить по тому же макету, то риск засчитан уже тогда, когда на нём загорелась лампочка, что означает, например, факт разлива нефти. А на самом деле нужно смотреть на множество технических деталей, на то, как развивалась атака, и прочее.

В. Д.: Поясню ещё причину, зачем всё это нужно. По итогу синие команды, которые участвуют в The Standoff, получают подробные отчёты о том, что было в их контролируемой зоне, как и что реализовывалось, что они распознали, что пропустили. По факту для них The Standoff продолжается, когда закончился для других. И поэтому работа арбитра — не только подтвердить факт того, что была внесена нужная запись в определённую базу данных, но и видеть и понимать всё, что происходит на полигоне.

В текущем формате такого рода киберучения для синих команд больше заточены на обнаружение и на расследование?

В. Д.: Да, они именно на это и рассчитаны. У них нет никакого активного противодействия.

Общаясь в Казани, мы обсуждали, что для CyberART акцент делается именно на предотвращении, по крайней мере стратегически. В этом случае не получается обкатать предотвращение?

В. Д.: Наоборот. Наше предотвращение заключается в том, что ты видишь атаку и развитие сценария реализации недопустимого события в твоей системе на самых начальных шагах. То есть до того момента, как тебе нанесли неприемлемый ущерб, до того, как злоумышленник дошёл до твоей системы. С этой точки зрения отправная точка действий по предотвращению заключается в следующем: нужно видеть, что предупреждать. А это мероприятие даёт возможность понять, что такое поверхность атаки и как атакующие разными путями могут дойти до твоей системы. Такая информация позволяет понимать и видеть их на самых ранних этапах.

И пресекать.

В. Д.: Да. Так и в жизни: как только мы увидели такое развитие атаки, мы сразу же её предотвращаем. Тут мероприятия тоже понятны. Они больше зависят от специфики инфраструктуры и средств защиты, которые доступны для пресечения такой деятельности.

Если же ты не видишь, что происходит — например, что у атакующего остался один шаг, чтобы достичь твоей системы, — тогда, сколько ни тренируйся в скорости предотвращения, ты, скорее всего, будешь реагировать только на те атаки, которые уже прошли. Это как в поговорке: «Генералы всегда готовятся к прошедшей войне». При таком подходе будешь всегда ожидать только те инциденты, которые у тебя уже были. А киберучения на The Standoff дают как раз возможность посмотреть все вероятные способы атак потенциальных злоумышленников и приготовиться к ним.

В ходе этого мероприятия был анонсирован постоянно действующий киберполигон Standoff 365. Можете рассказать, что это? Принимаете ли вы в этом участие?

В. Д.: Standoff 365 — это история переноса большого Standoff в онлайн. Он не будет никого ограничивать во времени, что позволит красным командам выполнить все задуманные атаки, а синим командам предоставит шанс подольше за всем этим понаблюдать и собрать достаточно много информации. Это позволит нам расширить площадку и привлечь к ней большее количество участников. Сейчас для проведения офлайн-мероприятия выделяется три-четыре дня в ноябре и три-четыре дня в мае, поэтому отбирается определённое количество команд «красных» и «синих». В 365 же у нас может быть больше синих и красных команд. Проходит он примерно по тем же сценариям: есть недопустимые события, есть команды «красных», которым необходимо их реализовать, есть команды «синих», в задачи которых входит наблюдать за тем, что происходит на киберполигоне, собирать цепочки событий и анализировать, как действуют атакующие.

Правильно ли я понимаю, что это — уже монетизируемая история? Киберучения в таком виде уже можно будет продавать кому-то из заказчиков.

В. Д.: В том числе. Мы как партнёр Positive Technologies планируем продвигать этот новый продукт заказчикам, конечным пользователям, потому что это — одна из важных частей реализации концепции практической безопасности и тех подходов, про которые мы совместно с Positive Technologies и говорим. Он примечателен тем, что мы можем предлагать его как интеграторы. Также мы видим себя в роли технологического партнёра, который будет участвовать в разработке определённых частей инфраструктуры, в её поддержании и, кроме этого, выступать в роли глобального SOC.

Есть ли какие-то планы по развитию CyberART как коммерческого SOC или как компании? В каком направлении будете двигаться в ближайшее время, чего хорошего ожидать от вас рынку?

В. Д.: В целом, мы сейчас развиваемся. Наши команды расширяются в части сегмента АСУ ТП. Это та же самая практика, которую показывают на The Standoff. Для того чтобы уметь защищать, контролировать определённую технологию, нужно располагать соответствующими экспертами, разбирающимися в этой теме.

Например, нужны эксперты в вебе. У нас есть отдельная команда в рамках Standoff и нашего SOC, которая занимается вебом. Есть обособленная команда аналитиков, которая занимается инфраструктурой и тем, что в ней происходит. То же самое — в сегментах АСУ ТП: нужны отдельные эксперты и команды, которые знают то или иное направление. Мы сейчас развиваемся именно в этом сегменте. Есть такие понятия в зарубежных источниках: IT SOC, который мониторит ИТ-инфраструктуру, и OT SOC, который следит за сегментами АСУ ТП. Есть определённые подходы, которые говорят о том, что лучшие SOC могут синергетически делать и то и другое, поскольку принципы, тактики и техники злоумышленников примерно одинаковы, хотя инфраструктуры и цели различаются. Мы двигаемся как раз в эту сторону: хотим добавить OT SOC к нашему направлению IT SOC.

Тема перспективная. Желаем вам удачи в развитии этого сегмента рынка. Будем ждать результатов, анонсов и сотрудничества. За всем этим было бы интересно следить.

В. Д.: Спасибо, Илья.

Большое спасибо, Владимир, за интересную беседу. Желаю успехов!