Осенний The Standoff завершён: паника на нефтехимическом заводе, ложные сведения от имени главы государства, разлив нечистот

Приблизительно 64 тысячи человек из десятков стран наблюдали за самым масштабным в мире киберпротивостоянием нападающих и защитников. Собравшись на киберполигоне в Москве, 10 сильнейших команд этичных хакеров 35 часов нон-стоп испытывали системы города-государства на прочность. Подробные итоги соревнования сейчас готовятся, а пока расскажем о его результатах и приведем дайдждест интервью с гостями из мира ИБ, которые участвовали в мероприятии.

16 ноября командам атакующих удалось реализовать еще семь недопустимых событий (в общей сложности за 35 часов было реализовано 19 недопустимых событий). Сперва нападающие из Codeby&NitroTeam нарушили работу очистных сооружений в виртуальном государстве F: несколько миллионов литров нечистот вылилось в окружающие водоемы, местные реки, озера, леса и поля оказались залиты зловонной жижей, а виртуальные жители подавали массовые жалобы в управляющую компанию «Сити» и требовали срочно решить проблему.

Затем, уже утром виртуальные жители страны получили сообщение от системы оповещения при чрезвычайной ситуации. Взломавшие систему команды сформировали ложное сообщение об утечке опасного вещества на нефтехимическом заводе (это удалось осуществить командам Codeby&NitroTeam и True0xA3). В городе началась паника, работа предприятия была приостановлена.

В обед Codeby&NitroTeam удалось реализовать сразу два недопустимых события на Единой государственной IT-платформе. В результате этих атак персональные данные сотрудников платформы оказались на черном рынке, а учетная запись главы государства была скомпрометирована. К тому моменту как в пресс-службе правительства подтвердили информацию о взломе аккаунта, размещенные Codeby&NitroTeam сообщения не только вызвали ажиотаж в кассах компании Heavy Logistics и сказались на цене ее акций, но и заставили людей серьезно сомневаться в надежности Единой государственной IT-платформы.

Неудивительно, что команда Codeby&NitroTeam заняла первое место среди атакующих. На их счету реализация шести недопустимых событий. Второе место заняла команда True0x43. Третье место досталось команде, которой удалось зарепортить больше всех уязвимостей и реализовать самое первое недопустимое событие, — SpbCTF.

Всего за время кибербитвы недопустимые события были реализованы 19 раз, из них шесть были уникальными. Пострадали четыре компании — Heavy Logistics, УК «Сити», государственная IT-платформа и «ОйлХим». Транспортная компания Heavy Logistics стала основным объектом атак: все команды атакующих смогли устроить сбой системы информирования пассажиров на железной дороге. Жюри приняло 75 отчетов об уязвимостях в инфраструктуре государства F.

Реализовать самые опасные диверсии, заложенные в сценарий противостояния, у «красных» не получилось (за исключением аварии на очистных сооружениях). Интересный факт: все недопустимые события были основаны на реальных кейсах со всего мира. Например, на нефтехимическом заводе атакующими могла быть отключена система очистки подаваемых углеводородов, что привело бы к взрыву и человеческим жертвам (в реальности аналогичным образом чуть было не взорвали саудовский нефтеперерабатывающий завод). Нападающие не смогли также отключить городское освещение, остановить транспортировку нефтепродуктов в хранилища и реализовать другие угрозы. В этом заслуга синих команд — и средств защиты, которые они использовали.

Защитники выявили 173 инцидента. Больше всего отчетов об атаках было принято от команды GiSCyberTeam. Чаще всего команды защитников указывали, что смогли обнаружить подозрительные события с помощью SIEM-системы, системы NTA, WAF и песочницы. В промышленных сегментах защитники использовали cистему анализа технологического трафика. Команда Your shell not pass расследовала семь из десяти недопустимых событий, реализованных в транспортной компании. Среднее время расследования составило 16 часов 16 минут. Самое быстрое расследование было проведено за 3 часа 8 минут командой Your shell not pass.

Кибербез в масштабах страны: с чего начать?

В рамках разговора о профессиональном пути в сфере ИБ руководитель отдела анализа приложений Positive Technologies Дмитрий Скляров обсудил с экспертами по кибербезопасности, чтó можно сделать для повышения безопасности в масштабах целой страны. Эксперт Сергей Гордейчик считает, что начать нужно с устойчивости инфраструктуры. Необходимо достичь такого уровня, чтобы при отключении внешних соединений все прекрасно работало. «Это не только инфраструктура сетевая, это еще и цифровой суверенитет, локальные сервисы и так далее», — отметил Гордейчик, призвав сконцентрироваться на самых уязвимых областях — например, вывести федеральные органы исполнительной власти в облако и выстраивать в рамках этого «гособлака» централизованную безопасность.

Омар Ганиев (генеральный директор компании DeteAct) видит нехватку экспертизы и оценки той работы, которую делает безопасность. Он считает, что нужно внедрять институт quality assurance для всего, что происходит в ИБ. Также нужны более современные требования к поставщикам услуг, институт экспертизы.

Тренды кибербеза в тяжелой промышленности

Наиболее актуальные задачи кибербезопасности в промышленной сфере обсудили директор по маркетингу и корпоративным коммуникациям Positive Technologies Владимир Заполянский и Андрей Нуйкин, начальник отдела обеспечения безопасности информационных систем в компании «ЕВРАЗ» — одной из крупнейших металлургических и горнодобывающих компаний мира. Наш гость рассказал, что его компания в свое время пострадала от вредоносного ПО NotPetya, атака которого привела к простою и прямому убытку. Еще одним серьезным риском для компании он назвал проникновения, которые могут воздействовать на производственный процесс, а основная целью своей службы считает обеспечение непрерывности производства. В период пандемии, по словам Нуйкина, удаленка из привилегии стала необходимостью, при этом периметр компании стал шире, за ним теперь сложнее следить, сложнее обеспечивать безопасность. В компании «ЕВРАЗ» неплохо работает SIEM, а служба ИБ выявляет в месяц около 10 тысяч подозрительных событий.

Рынок SIEM-систем в России ждет рост в 30–40%, а MaxPatrol SIEM станет ядром метапродуктов

Технологические тренды развития SIEM-систем, достижения Positive Technologies и возможности MaxPatrol SIEM Владимир Заполянский обсудил с Максимом Филипповым, директором Positive Technologies по развитию бизнеса и Ильей Шабановым, главным редактором Anti-Malware.ru. Объем рынка SIEM в России, по оценкам экспертов, достигает 7–8 млрд руб. и продолжает быстро расти из-за эффекта низкой базы и благодаря высокой потребности отечественных компаний в SIEM-продуктах. Positive Technologies здесь один из лидеров рынка: в 2020 году компания заработала на MaxPatrol SIEM 1,6 млрд, а рост продаж составил 85%. Максим Филиппов уверен, что рынок SIEM будет расти быстрее рынка ИБ в целом, на уровне 30–40%, а доля MaxPatrol SIEM тоже будет увеличиваться сопоставимыми темпами или даже быстрее.

Роль комьюнити в развитии ИБ и технологий

«Создать что-то крутое только своими силами, силами друзей и коллег очень сложно, — считает один из организаторов мероприятия со стороны red teams, Ярослав Бабин, руководитель отдела анализа защищенности веб-приложений Positive Technologies. — Комьюнити — это возможность значительно расширить свой опыт. У каждого эксперта свой бэкграунд, они по-разному шли к тому, что умеют сейчас. Хороший пример работы комьюнити — это bug bounty: в таких программах очень правильно используются силы огромного сообщества».

Ярослав делает закрытые митапы, где собираются исследователи, которые уже несколько переросли offensive и занимаются улучшением процессов и технологий безопасности в различных компаниях.

«Информационные технологии настолько бурно развиваются, что покрыть силами счетного числа специалистов весь скоуп проблем практически невозможно, — отметил Алексей Новиков, директор экспертного центра безопасности Positive Technologies (PT Expert Security Center). — Есть очень классные специалисты в узких доменах знаний, и чтобы не тратить силы на изобретение велосипеда, необходима коллаборация в рамках комьюнити».

Владимир Кочетков, основатель сообщества Positive Development User Group (более 600 участников из разных компаний) и один из ключевых экспертов Positive Technologies, считает, что комьюнити — это способ получить результаты в пограничных областях, как, например, на стыке программирования и безопасности. Positive Development User Group — это сообщество разработчиков и других IT-специалистов, которые стремятся создавать безопасные приложения. Участники регулярно выступают с докладами на конференциях и митапах, проводят мастер-классы для разработчиков, обсуждают проблемы ИБ в телеграм-канале. Сообщество PDUG развивает, в частности, приложение, которое позволяет встроить на многих языках программирования защиту от различных веб-атак, включая инъeкции. Касаясь вопроса о пользе для компании в поддержке подобных сообществ, Владимир отметил, что члены компьюнити — это зачастую потенциальные пользователи и администраторы продуктов компании, и они могут дать обратную связь, которая крайне полезна.

О подготовке защитников города

«Основная цель защитников постоянно меняется, в зависимости от каждой игры. Если на прошлом противостоянии у команд были инструменты по изменению инфраструктуры и закрытию уязвимостей, то сегодня у них нет средств активного противодействия», — рассказал руководитель направления по продвижению сервисов киберзащиты CyberART группы компаний Innostage Алексей Лобзин.

По словам Алексея, основная задача защитников — обеспечить 100-процентную видимость цепочек атак, начиная от точки проникновения до реализации неприемлемого события и тех бизнес-рисков, которые заложены в сценарий игры. Мы понимаем, что уязвимости нулевого дня появляются постоянно, и злоумышленник рано или поздно проникнет в инфраструктуру. Но чтобы добраться до критически важной системы, ему нужно пройти несколько шагов, и цель защиты — остановить его на этом пути.

У команд защитников окончательно оформилась новая роль — ментор. Функция такого игрока на The Standoff — сделать участие команд в игре наиболее продуктивным. Ментор помогает на этапе подготовке (командам на подготовку дается месяц), в том числе знакомит их с защитным инструментарием. Также ментор показывает приемы, которые помогают не растеряться в ситуации, когда в течение десятков часов инфраструктура находится под постоянным шквалом атак.

Биометрия: риски против удобства

О преимуществах и недостатках биометрии рассказали Александра Мурзина, ведущий специалист группы перспективных технологий Positive Technologies, и директор по продуктам компании ID R&D Олег Ковпак. По их словам, сегодня атаки на биометрию скорее носят таргетированный характер и вряд ли могут представлять серьезную опасность для рядовых пользователей. Эксперты подчеркнули, что биометрические технологии улучшаются, существенно модернизируются сенсоры и многие недавние уязвимости, например обход биометрии по фотографии, уходят в прошлое. Олег Ковпак рассказал, как обстоят дела со сбором биометрических данных в различных странах мира, и подчеркнул, что чрезмерное регулирование негативно сказывается на работе вендоров, тормозит создание удобных сервисов и продуктов.

«Стоит разумно подходить к сдаче биометрии, не разбрасываться своими данными, если вы не уверены в организации, которая их собирает, — рекомендует Олег Ковпак. — Тем не менее удобство использования биометрии будет несомненным драйвером прогресса, а этому не стоит сопротивляться, тем более что в ряде случаев использовать биометрию безопаснее, чем, скажем, те же пароли».

Отличия белых хакеров от чёрных

О том, кто такие белые хакеры и чем они отличаются от черных, рассказали эксперт Positive Technologies Тимур Юнусов и руководитель проектов информационной безопасности компании «Цифровые решения» и направления информационной безопасности школы HackerU Егор Богомолов. Эксперты рассказали о своем отношении к понятию «хакер» и отметили преимущества работы этичным хакером — пентестером, среди которых исследовательская созидательная миссия, высокие зарплаты и действие в рамках закона.

«Проблема существования черных хакеров не технологическая, а этическая, — подчеркнул Тимур Юнусов. — Нужно маргинализовать эту деятельность, которая ничем не отличается от любой другой преступной. Между черным хакером и преступником нет никакой разницы».

«В большинстве случаев на темной стороне действуют люди, которые не обладают высокими компетенциями. Они не изучают систему, а просто масштабируют атаки», — считает Егор Богомолов.

России не хватает 18,5 тыс. специалистов по кибербезопасности

Отдельный технический трек на The Standoff Moscow в этом году был отдан тем, кто только начинает свой профессиональный путь. В потоке The Young Hats молодые специалисты по безопасности рассказывали о SSL-пиннинге и способах его обойти в приложениях на Android, о технологии unikernel, которую можно использовать как средство виртуализации, техниках обхода средств антивирусной защиты и EDR-решений, об особенностях эксплуатации уязвимостей типа «слепое внедрение команд» и многом другом.

В роли докладчиков выступили финалисты конкурса The Young Hats, организованного Positive Technologies совместно с ГК Innostage c целью поддержать молодых исследователей и дать им возможность представить комьюнити свои проекты и разработки наравне с признанными экспертами по кибербезопасности.

Об интересном семействе бэкдоров, за активностью которого в экспертном центре безопасности Positive Technologies начали следить с лета 2020 года, рассказал аналитик вредоносного ПО Станислав Раковский. Forest Keeper, по его словам, принадлежит китайской APT-группировке, которая в настоящее время активно атакует российские компании и правительственные учреждения. Особенностью, выделяющей бэкдор среди вредоносов этого класса, является огромный массив комплексной информации, собираемой о системе жертвы, а также различные способы проверки доступности управляющего сервера. «Ни один из известных сегодня зловредов не собирает данные настолько варварским способом, как это делает Forest Keeper», — заметил докладчик.

Ксения Наумова в докладе «Malware IOCs: трудно найти, легко потерять» рассказала о десятке самых интересных ресурсов в интернете, где можно найти свежие индикаторы компрометации для вредоносного ПО. В список вошли Malware-Traffic-Analysis.net, VirusTotal, ANY.RUN, urlscan и, конечно же, GitHub и Twitter. По мнению Ксении, эти источники пригодятся не только начинающим специалистам, но и бывалым исследователям.

Вымогательские атаки на крупнейшего в США производителя мяса JBS, IT-компанию Kaseya — каждый день мы узнаем, как очередной шифровальщик снова нарушил работу крупной организации. Любой взлом — это работа для специалистов по расследованию инцидентов. Михаил Онищенко, студент Воронежского государственного университета, выделил четыре этапа в расследовании киберпреступлений, которым важно следовать, чтобы представить в суде эффективную доказательную базу, а именно сбор, исследование, анализ и представление.

«Одно из преимуществ компьютерного криминалистического анализа в том, что сегодня нет устоявшихся методик. Например, никто не будет требовать использовать в суде алгоритм хеширования МD5 вместо SHA-256. Главное, чтобы ваш отчет был максимально понятен людям, знакомым с кибербезопасностью весьма поверхностно», — отметил Михаил.

Как хакер может украсть картину

Второй конкурс на мероприятии касался современного иссуства. The Standoff Digital Art — это симуляция галереи NFT-картин, посвященных городу будущего и человеку в цифровом мире. Каждая картина была представлена в виде уникального токена (NFT). Такие токены обеспечили CG-художникам возможность выхода на арт-рынок, возможность продавать. Свои работы для конкурса предоставили российские диджитал–художники Desinfo, Meta Rite, Артем Ткач, volv_victory, Anomalit Kate и Loit. Чтобы завладеть картиной, участникам конкурса предстояло найти уязвимости в смарт-контрактах путем анализа исходного кода.

В этом году соорганизатором The Standoff выступала группа компаний Innostage. Мероприятие поддерживали инженерная компания «Прософт-Системы», «Газинформсервис» и «Атомик Софт».

ptsecurity.com