С 16 по 19 мая команда сотрудников «Газинформсервис» принимала участие в кибербитве The Standoff, на стороне защиты. О том, как это было, рассказал участник проекта, Никита Платов инженер-проектировщик группы защиты АРМ и серверов «Газинформсервис».
Полигон
Киберполигон The Standoff – это виртуальная копия города, имитирующая его инфраструктуру – в нем есть банковская система, энергетический сектор, заводы, вокзалы, аэропорты и многое другое. Информационные системы города развернуты на серверах, виртуальных машинах и ПЛК, состояние инфраструктуры в реальном времени отражается на рабочем макете города, расположенном на площадке киберполигона в Москве. На нем можно увидеть некоторые последствия от действий хакеров, например, пожар на макете электростанции.
В полигоне заложена возможность реализации более 100 недопустимых событий – все они потенциальный шанс для белых хакеров отточить свое мастерство поиска уязвимостей, а для команд защитников – тренировка по поиску и предотвращению взломов или минимизации их последствий.
Распределение ролей в команде
Наша команда GIS CyberTeam состояла из 10 человек, роли в ней были распределены по ответственности за определенные средства защиты информации – члены команды отслеживали события с защищаемых хостов в SIEM и ISIM, действия пользователей в ASAP, сетевой трафик в PT NAD, веб атаки в PT AF и выявляли использование вредоносного ПО с помощью PT Sandbox.
Зоны ответственности распределялись в зависимости от знаний и умений конкретного человека – некоторые из членов команды не работают на постоянной основе над расследованием инцидентов, но являются проектировщиками, отлично представляющими векторы и типы атак.
Набор средств защиты определялся организаторами The Standoff на основе усредненного набора средств защиты информации в SOC крупной компании.
Как это было
В этом году ключевой задачей для нашей команды было протоколирование и расследование инцидентов на объектах электроэнергетической отрасли.
Каждый день кибербитвы начинался с мониторинга консолей средств защиты, так как активность атакующих (благодаря использованию автоматизированных скриптов на скомпрометированных серверах), не останавливалась полностью даже ночью.
Все дни мероприятия мы практически не отходили от средств защиты – волна атак от шестнадцати команд Red team просто не давала это сделать. Каждое успешно реализованное атакующими недопустимое событие сопровождалось узнаваемым звуковым сигналом на полигоне.
Всего в этом году в защите играли 5 команд, которые за 4 игровых дня подали 287 отчетов по инцидентам, наша команда зафиксировала 47 из них.
Объекты энергетического сектора достаточно сложная цель для взлома, поэтому первые два дня атакующие предпочитали выбирать более легкие мишени, заваливая нас событиями сканирования сети и сервисов.
Активная фаза атак на энергетический сектор пришлась на третий день проекта. Атакующие использовали вредоносное ПО для кражи учетных данных и установки бэкдоров в целевые системы, старались пробиться через зону ДМЗ и из нее просканировать продуктивную зону.
При выявлении подозрительной активности, команды защиты определяли цели атакующих, собирали подтверждение нелегитимных действий в СрЗИ и писали отчет для организаторов, с полным описанием атаки и рекомендациями по защите и минимизации риска.
В целом, The Standoff был довольно сильно похож на работу реального SOC – с отличиями в том, что необходимо было осуществлять только мониторинг, а не блокирование атак, и с осознанием всех команд защиты, что в течении мероприятия их точно взломают, атак будет очень много, и проводиться они будут непрерывно все четыре дня. The Standoff учит быстро расследовать инциденты, работать в напряжении несколько дней подряд, а также позволяет понять основные направления и новые методы атакующих, чтобы в последствии применять полученный опыт в работе.
Стоит ли участвовать в проекте?
Участие в проекте позволило нам «в живую» понять, как именно предпочитают действовать хакеры, какие угрозы наиболее распространены и как оптимальным образом стоит расследовать реальную атаку на инфраструктуру. Такие мероприятия позволяют постоянно стимулировать интерес к работе и, в некотором роде, бодрят, не дают забывать о том, что атаки на информационные системы ведутся постоянно.
