Онлайн-полигон Standoff 365 позволяет повысить реальную защищённость компании с помощью тысяч хакеров, не подставив под удар инфраструктуру. Расскажем о его главных возможностях.
- Введение
- Почему именно киберполигон Standoff 365? О мотивации «красных» и «синих»
- Другие варианты использования онлайн-киберполигона
- Выводы
Введение
Сегодня любая компания может не только проверить свои сервисы на уязвимость в рамках программы вознаграждений (баг-баунти), но и поэкспериментировать с настройками средств защиты информации и корпоративной сети, а также улучшить навыки обнаружения атак, реагирования и расследования инцидентов. Сделать это можно на киберполигоне Standoff 365 — виртуальной ИТ-инфраструктуре, где воспроизводятся кибератаки разной степени сложности. Выявлять слабые места компаниям помогают более семи тысяч зарегистрированных исследователей безопасности.
В настоящее время Standoff существует в двух форматах: офлайн и онлайн. Офлайн-кибербитва проводится дважды в год. Такое масштабное мероприятие — отличная возможность для обучения и развития навыков в экспресс-режиме. Но для подобного формата необходимо собрать и подготовить команду, выделить время и ресурсы. Нередко после интенсивных киберучений компании-участники просят оставить им доступ к полигону для продолжения расследований в более спокойном режиме. Поэтому в 2023 году мы сделали онлайн-полигон Standoff 365 доступным как для атакующих, так и для защитников. На платформе смоделированы бизнес-процессы компаний разных отраслей (в онлайн-киберполигоне пока три отрасли, но по запросу заказчиков легко развернуть любой из 10 уже готовых отраслевых сегментов), также мы можем помочь компаниям воссоздать и их собственные базовые инфраструктуры.
Почему именно киберполигон Standoff 365? О мотивации «красных» и «синих»
Для атакующих команд («красных») использование онлайн-киберполигона Standoff 365 совершенно бесплатно. В отличие от других площадок, мы предоставляем для экспериментов не отдельные рабочие станции (хосты / машины / виртуальные машины), а комплексные виртуальные инфраструктуры со сложными связями, большим количеством подсетей, Windows-доменами — и не берём за это денег. Обычно доступ к подобным полигонам исследователи могут получить только на коммерческой основе.
Участие в Standoff 365 повышает ценность исследователя, так как портфолио игрока, которое он собирает на киберполигоне, становится отличным дополнением к резюме. Вскоре ссылкой на профиль в Standoff 365 можно будет делиться с потенциальными работодателями.
Кроме того, вокруг киберполигона сейчас создаётся большое сообщество специалистов по наступательной кибербезопасности. Строительство горизонтальных связей (нетворкинг) — основная ценность любого сообщества. Участники, которым интересны одни и те же темы, могут получить ответы на интересующие их вопросы, найти единомышленников, работу и друзей.
Как признаются некоторые участники команд защиты («синих»), за несколько дней участия в кибербитве Standoff они сталкиваются с таким большим количеством разнообразных атак, которого в обычных условиях не увидишь и за год. Поэтому киберучения для защитников — хороший способ развить навыки и подготовиться к реальному вторжению. Существуют площадки, которые учат «синих» на заранее записанном трафике и старых кейсах. Онлайн-киберполигон Standoff 365 отличается от конкурентов наличием живого «красного» трафика, а также тем, что он доступен для пользователей в режиме онлайн 24×7.
Широкий спектр технологий и софта: от системы межбанковских расчётов до SCADA
Сегодня на онлайн-киберполигоне Standoff 365 представлены три виртуализованные инфраструктуры: банковская, ИТ-компании и металлургического предприятия. В финансовой системе, к примеру, любой бизнес-процесс функционирует с помощью используемого в настоящих банках ПО, есть даже эмуляция автоматизированной системы межбанковских расчётов (АРМ КБР). В одной из атак на онлайн-полигоне исследователи взломали мерчант-портал, получив доступ со стороны банка к личному кабинету сети магазинов, и извлекли информацию о сотрудниках и продажах каждого магазина. Кроме того, «красные» сформировали QR-коды на продажу запрещённых товаров. В реальной жизни подобная атака привела бы к нечестной конкуренции, большим штрафам для банка и репутационному ущербу. Реализовав другое критическое событие, исследователи нашли уязвимость в виртуализованном банке, получили доступ к панели управления Kubernetes и нашли способ вывести деньги со счетов любого клиента. Случись такая ситуация с действующим банком, последствия были бы тоже не самыми приятными.
Помимо специализированного отраслевого софта мы добавляем современные ИТ-практики. Реализовываем также эмуляцию процесса разработки со встроенным анализатором PT Application Inspector для желающих заработать очки на обходе механизмов DevSecOps. Так, при атаке на ИТ-компанию NetFusionPro на киберполигоне участники смогли проникнуть в её внутреннюю сеть и закрепиться в сегменте разработки сервиса по продаже билетов HLFlights. Получив доступ к репозиторию с кодом, они обошли механизмы безопасной разработки и внедрили вредоносное содержимое, которое дало им возможность выполнять произвольный код на компьютере с тестовой версией приложения. Случись это в реальной жизни, пользователи могли бы столкнуться с проблемами при покупке и возврате билетов.
Наиболее интересное на киберполигоне происходит при попытках реализации недопустимых для компаний событий. В частности, на вымышленном металлургическом предприятии Metal&Tech атакующие сумели нарушить работу доменной печи, остановить прокатный стан, скомпрометировать информацию о государственных оборонных заказах вымышленного города Хакербурга. К моменту публикации количество исследователей, у которых получилось реализовать хотя бы одну критическую угрозу, превысило 170 человек. Некоторые задания с максимальным уровнем сложности пока не выполнены, поэтому исследователям ещё есть над чем работать.
Тестирование и результативная кибербезопасность
Когда мы запускали первые кибербитвы, компании несколько опасались вала интенсивных атак. Они могли столь сильно «закрутить гайки» в своей инфраструктуре, что у атакующих оставалось крайне мало шансов получить доступ куда-либо. Аналогичная ситуация применительно к действующей корпоративной сети нередко возникает при запланированном тестировании на проникновение, о котором известно службам ИБ и ИТ. Такой подход не слишком реалистичен: грубо говоря, если вы выключите компьютер из розетки, то хакер его не взломает, но и бизнес-процессы остановятся. На киберполигоне, как онлайн, так и офлайн, компаниям не надо соревноваться с атакующими, используя экстренные методы борьбы с атаками, поскольку виртуализированная модель инфраструктуры призвана отражать реальные процессы. Более достоверна концепция онлайн-киберполигона и для хакеров: им не нужно атаковать по 12 часов в день в течение нескольких дней, как на кибербитве офлайн. Они могут постепенно находить новые способы проникновения, проверять гипотезы, выбирать удобное время для атаки.
Онлайн-полигон даёт возможность экспериментировать с различными вариантами средств защиты и конфигурационными настройками. Команды «синих» могут запрашивать добавление определённой программной системы либо технологии — например, Kubernetes или CI / CD (Continuous Integration / Continuous Delivery, непрерывная интеграция и доставка). Такой подход особенно актуален, если технологию предстоит внедрить, но клиент пока не понимает в точности, как правильно осуществлять мониторинг. На Standoff 365 можно протестировать и новую часть инфраструктуры, которая ещё не вышла в продуктив. Подключив её к киберполигону, можно выяснить, насколько стабильно будут работать используемые в ней продукты. Другая интересная возможность связана с безопасной проверкой навыков у новых сотрудников центра мониторинга (SOC).
На киберполигоне можно отработать и различные чувствительные вопросы, такие как взаимодействие служб ИБ и ИТ (или служб эксплуатации и ИБ на производстве). Регуляторы могут проводить турниры среди подведомственных компаний, а крупные предприятия — оценивать защищённость подрядчиков или филиальной сети. Совместные тренинги на киберполигоне позволяют значительно улучшить взаимопонимание и координацию действий.
Мы готовы подстраиваться под «синие» команды и вносить определённые изменения в инфраструктуру Standoff 365. Приветствуем, когда компания приносит на полигон новые технологии, оригинальный софт и специфическое отраслевое оборудование. Для нас это — дополнительное разнообразие, а для участников с обеих сторон — большая реалистичность.
Мониторинг результатов, менторство и обучение
На кибербитве результаты участников верифицируют не автоматизированные системы или модераторы на фрилансе, а полноценный SOC компании Positive Technologies. В онлайне же специалисты подключаются к оценке самых сложных атак либо во всех случаях, когда их привлечение необходимо. Эксперты с опытом работы на крупнейших событиях в стране (от ЧМ-2018 по футболу до выборов) наблюдают за «красными» командами и в то же время проверяют результаты «синих» — например, насколько качественно было проведено расследование. Данные с обеих сторон собираются у условного жюри.
После первых трёх пилотных проектов на онлайн-полигоне стало понятно, что менторство «синих» команд со стороны экспертов Positive Technologies станет востребованной услугой — мы планируем её запуск в ближайшей перспективе. В некоторых случаях развитие навыков защитников может начинаться с режима так называемого «мёртвого города» — демонстрационных заданий на трафике с предыдущих кибербитв Standoff.
Будут добавлены и механизмы обучения для начинающих исследователей, частично в этом поможет сообщество вокруг киберполигона. Здесь важно разделить тренировку и обучение. Тренировка — это самостоятельное повышение своего уровня в процессе решения задач, тогда как в обучении будут предложены сценарии, которые необходимо будет повторить. Процесс обучения, скорее всего, мы построим на базе отдельного виртуального офиса на киберполигоне.
Сколько времени нужно для запуска работы «синих»
В инфраструктуре онлайн-киберполигона достаточно ресурсов, чтобы организовать появление нового коллектива защитников на готовой площадке в короткие сроки. Если компания нуждается в модернизации виртуализированного окружения под свои задачи и понимает, что именно ей требуется, обычно срок запуска варьируется от двух недель до двух месяцев. По запросу на киберполигоне может быть создан и новый отраслевой сегмент. Следует учитывать, что в отдельных случаях перед выходом в онлайн может понадобиться тренировка в режиме «мёртвый город», о котором упоминалось выше.
Другие варианты использования онлайн-киберполигона
Глобальным жюри и мониторинговым центром на Standoff 365 является SOC компании Positive Technologies. В конце 2023 года мы запустили сценарий реагирования на кибератаки. Специалисты «синих» могут как пресекать атаки, так и укреплять сеть, осуществляя так называемый харденинг. В сценарии реагирования будет, помимо прочего, прорабатываться умение соблюдать баланс, чтобы научиться предотвращать угрозы, не нарушая работу сервисов слишком жёсткими мерами.
Игры на киберполигоне являются также неплохим стимулом для сотрудников: это интересно и познавательно. При необходимости специалист может доказать руководству необходимость перевода на другую линию SOC, идеально соответствующую его способностям. Судя по нашему опыту, проходя через такие игры, сотрудники открывают много нового в своей профессии и начинают больше ценить нынешнее место работы, что немаловажно в условиях дефицита кадров в ИБ.
Выводы
Сегодня мы видим большой неудовлетворённый спрос на услуги таких киберполигонов, как Standoff 365. Виртуализированные инфраструктуры позволяют безопасно тестировать и улучшать защищённость компании, развивать навыки специалистов SOC и их мотивацию. Компания Positive Technologies намерена активно совершенствовать этот онлайн-формат: добавлять новые отрасли, повышать скорость развёртывания индивидуализированных инфраструктур («офисов»), предоставлять услуги киберполигона по подписке. Будет модернизирована и рейтинговая система, которая позволит «красным» переходить на другие уровни сложности. Также появятся профили с достижениями игроков. В ближайших планах — запуск системы сертификации защитников и атакующих.
В 2024 году одним из основных критериев попадания на офлайн-кибербитвы Positive Hack Days и Standoff будет работа компании-участника с онлайн-полигоном. Полученный опыт позволит провести эти мероприятия наиболее зрелищно.
Реклама. Рекламодатель АО "ПОЗИТИВ ТЕКНОЛОДЖИЗ" ИНН 7718668887, ОГРН 1077761087117
Erid: LdtCKSUc9
