01.01.2010

Паника на нефтехимическом заводе, ложные сведения от имени главы государства, разлив нечистот: осенний The Standoff завершен

64 тысячи человек из десятков стран наблюдали за самым масштабным в мире киберпротивостоянием нападающих и защитников. Собравшись на киберполигоне в Москве, 10 сильнейших команд этичных хакеров 35 часов нон-стоп испытывали системы города-государства на прочность. Подробные итоги соревнования сейчас готовятся, а пока расскажем о его результатах и приведем дайдждест интервью с гостями из мира ИБ, которые участвовали в мероприятии.

16 ноября командам атакующих удалось реализовать еще семь недопустимых событий (в общей сложности за 35 часов было реализовано 19 недопустимых событий). Сперва нападающие из Codeby&NitroTeam нарушили работу очистных сооружений в виртуальном государстве F: несколько миллионов литров нечистот вылилось в окружающие водоемы, местные реки, озера, леса и поля оказались залиты зловонной жижей, а виртуальные жители подавали массовые жалобы в управляющую компанию «Сити» и требовали срочно решить проблему.

Затем, уже утром виртуальные жители страны получили сообщение от системы оповещения при чрезвычайной ситуации. Взломавшие систему команды сформировали ложное сообщение об утечке опасного вещества на нефтехимическом заводе (это удалось осуществить командам Codeby&NitroTeam и True0xA3). В городе началась паника, работа предприятия была приостановлена.

В обед Codeby&NitroTeam удалось реализовать сразу два недопустимых события на Единой государственной IT-платформе. В результате этих атак персональные данные сотрудников платформы оказались на черном рынке, а учетная запись главы государства была скомпрометирована. К тому моменту как в пресс-службе правительства подтвердили информацию о взломе аккаунта, размещенные Codeby&NitroTeam сообщения не только вызвали ажиотаж в кассах компании Heavy Logistics и сказались на цене ее акций, но и заставили людей серьезно сомневаться в надежности Единой государственной IT-платформы.

Неудивительно, что команда Codeby&NitroTeam заняла первое место среди атакующих. На их счету реализация шести недопустимых событий. Второе место заняла команда True0x43. Третье место досталось команде, которой удалось зарепортить больше всех уязвимостей и реализовать самое первое недопустимое событие, — SpbCTF.

Всего за время кибербитвы недопустимые события были реализованы 19 раз, из них шесть были уникальными. Пострадали четыре компании — Heavy Logistics, УК «Сити», государственная IT-платформа и «ОйлХим». Транспортная компания Heavy Logistics стала основным объектом атак: все команды атакующих смогли устроить сбой системы информирования пассажиров на железной дороге. Жюри приняло 75 отчетов об уязвимостях в инфраструктуре государства F.

Реализовать самые опасные диверсии, заложенные в сценарий противостояния, у «красных» не получилось (за исключением аварии на очистных сооружениях). Интересный факт: все недопустимые события были основаны на реальных кейсах со всего мира. Например, на нефтехимическом заводе атакующими могла быть отключена система очистки подаваемых углеводородов, что привело бы к взрыву и человеческим жертвам (в реальности аналогичным образом чуть было не взорвали саудовский нефтеперерабатывающий завод). Нападающие не смогли также отключить городское освещение, остановить транспортировку нефтепродуктов в хранилища и реализовать другие угрозы. В этом заслуга синих команд — и средств защиты, которые они использовали.

Защитники выявили 173 инцидента. Больше всего отчетов об атаках было принято от команды GiSCyberTeam. Чаще всего команды защитников указывали, что смогли обнаружить подозрительные события с помощью SIEM-системы, системы NTA, WAF и песочницы. В промышленных сегментах защитники использовали cистему анализа технологического трафика. Команда Your shell not pass расследовала семь из десяти недопустимых событий, реализованных в транспортной компании. Среднее время расследования составило 16 часов 16 минут. Самое быстрое расследование было проведено за 3 часа 8 минут командой Your shell not pass.

Кибербез в масштабах страны: с чего начать?

 

В рамках разговора о профессиональном пути в сфере ИБ руководитель отдела анализа приложений Positive Technologies Дмитрий Скляров обсудил с экспертами по кибербезопасности, чтó можно сделать для повышения безопасности в масштабах целой страны. Эксперт Сергей Гордейчик считает, что начать нужно с устойчивости инфраструктуры. Необходимо достичь такого уровня, чтобы при отключении внешних соединений все прекрасно работало. «Это не только инфраструктура сетевая, это еще и цифровой суверенитет, локальные сервисы и так далее», — отметил Гордейчик, призвав сконцентрироваться на самых уязвимых областях — например, вывести федеральные органы исполнительной власти в облако и выстраивать в рамках этого «гособлака» централизованную безопасность.

Омар Ганиев (генеральный директор компании DeteAct) видит нехватку экспертизы и оценки той работы, которую делает безопасность. Он считает, что нужно внедрять институт quality assurance для всего, что происходит в ИБ. Также нужны более современные требования к поставщикам услуг, институт экспертизы.

В свою очередь ведущий аналитик по информационной безопасности Тинькофф Банка Александр Леонов полагает, что в России и мире не хватает полноценных решений базового уровня для vulnerability management, которые могли бы себе позволить средние компании. По его мнению, если отечественные вендоры сделают безлимитный сканер, который смог бы детектировать уязвимости на узлах, это подняло бы популярность vulnerability management на другой уровень. Кроме того, он считает, что нужно больше прозрачности в области VM, а также большая вовлеченность в процесс патчинга.

Тренды кибербеза в тяжелой промышленности

 

Наиболее актуальные задачи кибербезопасности в промышленной сфере обсудили директор по маркетингу и корпоративным коммуникациям Positive Technologies Владимир Заполянский и Андрей Нуйкин, начальник отдела обеспечения безопасности информационных систем в компании «ЕВРАЗ» — одной из крупнейших металлургических и горнодобывающих компаний мира. Наш гость рассказал, что его компания в свое время пострадала от вредоносного ПО NotPetya, атака которого привела к простою и прямому убытку. Еще одним серьезным риском для компании он назвал проникновения, которые могут воздействовать на производственный процесс, а основная целью своей службы считает обеспечение непрерывности производства. В период пандемии, по словам Нуйкина, удаленка из привилегии стала необходимостью, при этом периметр компании стал шире, за ним теперь сложнее следить, сложнее обеспечивать безопасность. В компании «ЕВРАЗ» неплохо работает SIEM, а служба ИБ выявляет в месяц около 10 тысяч подозрительных событий.

Рынок SIEM-систем в России ждет рост в 30–40%, а MaxPatrol SIEM станет ядром метапродуктов

 

Технологические тренды развития SIEM-систем, достижения Positive Technologies и возможности MaxPatrol SIEM Владимир Заполянский обсудил с Максимом Филипповым, директором Positive Technologies по развитию бизнеса и Ильей Шабановым, главным редактором Anti-Malware.ru. Объем рынка SIEM в России, по оценкам экспертов, достигает 7–8 млрд руб. и продолжает быстро расти из-за эффекта низкой базы и благодаря высокой потребности отечественных компаний в SIEM-продуктах. Positive Technologies здесь один из лидеров рынка: в 2020 году компания заработала на MaxPatrol SIEM 1,6 млрд, а рост продаж составил 85%. Максим Филиппов уверен, что рынок SIEM будет расти быстрее рынка ИБ в целом, на уровне 30–40%, а доля MaxPatrol SIEM тоже будет увеличиваться сопоставимыми темпами или даже быстрее.

По мнению Ильи Шабанова, еще несколько лет назад многим не верилось, что Positive Technologies сможет преуспеть на рынке SIEM — из-за высокой конкуренции. Но успеху компании поспособствовала, помимо хорошей отстройки самого продукта, тенденция на импортозамещение: кто-то из производителей ушел из России, а что-то покупать стало невыгодно.

Относительно перспектив MaxPatrol SIEM Максим Филиппов сказал, что это решение станет одним из базовых компонентов для новых метапродуктов, для MaxPatrol O2, который проходит испытания вживую на киберполигоне The Standoff. MaxPatrol SIEM должен будет предоставлять все более точную информацию для этих метапродуктов, призванных сделать неприемлемые события действительно невозможными.

Роль комьюнити в развитии ИБ и технологий

«Создать что-то крутое только своими силами, силами друзей и коллег очень сложно, — считает один из организаторов мероприятия со стороны red teams, Ярослав Бабин, руководитель отдела анализа защищенности веб-приложений Positive Technologies. — Комьюнити — это возможность значительно расширить свой опыт. У каждого эксперта свой бэкграунд, они по-разному шли к тому, что умеют сейчас. Хороший пример работы комьюнити — это bug bounty: в таких программах очень правильно используются силы огромного сообщества».

Ярослав делает закрытые митапы, где собираются исследователи, которые уже несколько переросли offensive и занимаются улучшением процессов и технологий безопасности в различных компаниях.

«Информационные технологии настолько бурно развиваются, что покрыть силами счетного числа специалистов весь скоуп проблем практически невозможно, — отметил Алексей Новиков, директор экспертного центра безопасности Positive Technologies (PT Expert Security Center). — Есть очень классные специалисты в узких доменах знаний, и чтобы не тратить силы на изобретение велосипеда, необходима коллаборация в рамках комьюнити».

Владимир Кочетков, основатель сообщества Positive Development User Group (более 600 участников из разных компаний) и один из ключевых экспертов Positive Technologies, считает, что комьюнити — это способ получить результаты в пограничных областях, как, например, на стыке программирования и безопасности. Positive Development User Group — это сообщество разработчиков и других IT-специалистов, которые стремятся создавать безопасные приложения. Участники регулярно выступают с докладами на конференциях и митапах, проводят мастер-классы для разработчиков, обсуждают проблемы ИБ в телеграм-канале. Сообщество PDUG развивает, в частности, приложение, которое позволяет встроить на многих языках программирования защиту от различных веб-атак, включая инъeкции. Касаясь вопроса о пользе для компании в поддержке подобных сообществ, Владимир отметил, что члены компьюнити — это зачастую потенциальные пользователи и администраторы продуктов компании, и они могут дать обратную связь, которая крайне полезна.

Эксперты обсудили и мобильное приложение «Комьюнити соинвесторов» компании Positive Technologies, которое выйдет в ближайшее время. «С его помощью мы попробуем привлечь специалистов к научно-исследовательской работе, повышению уровня экспертизы и улучшению наших продуктов. Мы хотим аккумулировать опыт лучших специалистов со всего мира. И если у нас получится мотивировать экспертов не только футболками, но и, например, участием в конференциях или деньгами (в приложении будет своя валюта под названием „Польза“), то идея может взлететь», — отметил Ярослав Бабин.

«Внутренняя валюта в приложении может быть конвертирована в различные блага, в том числе, возможно, и в акции Positive Technologies. Но обещать ничего не буду, это вопрос пока обсуждается», — рассказал Владимир Заполянский.

О подготовке защитников города

«Основная цель защитников постоянно меняется, в зависимости от каждой игры. Если на прошлом противостоянии у команд были инструменты по изменению инфраструктуры и закрытию уязвимостей, то сегодня у них нет средств активного противодействия», — рассказал руководитель направления по продвижению сервисов киберзащиты CyberART группы компаний Innostage Алексей Лобзин.

По словам Алексея, основная задача защитников — обеспечить 100-процентную видимость цепочек атак, начиная от точки проникновения до реализации неприемлемого события и тех бизнес-рисков, которые заложены в сценарий игры. Мы понимаем, что уязвимости нулевого дня появляются постоянно, и злоумышленник рано или поздно проникнет в инфраструктуру. Но чтобы добраться до критически важной системы, ему нужно пройти несколько шагов, и цель защиты — остановить его на этом пути.

У команд защитников окончательно оформилась новая роль — ментор. Функция такого игрока на The Standoff — сделать участие команд в игре наиболее продуктивным. Ментор помогает на этапе подготовке (командам на подготовку дается месяц), в том числе знакомит их с защитным инструментарием. Также ментор показывает приемы, которые помогают не растеряться в ситуации, когда в течение десятков часов инфраструктура находится под постоянным шквалом атак.

Специалисты CyberART группы компаний Innostage участвуют в мероприятии уже третий год, начав как одна из команд защиты, в этот раз команда расширилась уже до глобального SOC The Standoff, который должен отслеживать все, что происходит на киберполигоне. Для быстрого погружения защитников в концепцию киберучений и прокачки необходимых скилов специалисты CyberART подготовили воркшоп «Мертвый город». По сценарию такой город был уничтожен в результате нападения хакеров, но в его сетях остались следы атак, которые специалисты должны расследовать. Это также помогает повысить уровень подготовки тех, кто стоит на страже объектов The Standoff.

Биометрия: риски против удобства

О преимуществах и недостатках биометрии рассказали Александра Мурзина, ведущий специалист группы перспективных технологий Positive Technologies, и директор по продуктам компании ID R&D Олег Ковпак. По их словам, сегодня атаки на биометрию скорее носят таргетированный характер и вряд ли могут представлять серьезную опасность для рядовых пользователей. Эксперты подчеркнули, что биометрические технологии улучшаются, существенно модернизируются сенсоры и многие недавние уязвимости, например обход биометрии по фотографии, уходят в прошлое. Олег Ковпак рассказал, как обстоят дела со сбором биометрических данных в различных странах мира, и подчеркнул, что чрезмерное регулирование негативно сказывается на работе вендоров, тормозит создание удобных сервисов и продуктов.

«Стоит разумно подходить к сдаче биометрии, не разбрасываться своими данными, если вы не уверены в организации, которая их собирает, — рекомендует Олег Ковпак. — Тем не менее удобство использования биометрии будет несомненным драйвером прогресса, а этому не стоит сопротивляться, тем более что в ряде случаев использовать биометрию безопаснее, чем, скажем, те же пароли».

Среди основных проблем, связанных с биометрией, эксперты назвали инфраструктурную безопасность, атаки с использованием голосового и видеоспуфинга, а также обход биометрических сенсоров.

Отличия белых хакеров от черных

О том, кто такие белые хакеры и чем они отличаются от черных, рассказали эксперт Positive Technologies Тимур Юнусов и руководитель проектов информационной безопасности компании «Цифровые решения» и направления информационной безопасности школы HackerU Егор Богомолов. Эксперты рассказали о своем отношении к понятию «хакер» и отметили преимущества работы этичным хакером — пентестером, среди которых исследовательская созидательная миссия, высокие зарплаты и действие в рамках закона.

«Проблема существования черных хакеров не технологическая, а этическая, — подчеркнул Тимур Юнусов. — Нужно маргинализовать эту деятельность, которая ничем не отличается от любой другой преступной. Между черным хакером и преступником нет никакой разницы».

«В большинстве случаев на темной стороне действуют люди, которые не обладают высокими компетенциями. Они не изучают систему, а просто масштабируют атаки», — считает Егор Богомолов.

Кроме того, безопасность, по мнению Тимура Юнусова, все еще является так называемым побочным продуктом разработки, и говорить о безопасности by design станет возможным только тогда, когда это положение изменится. Это произойдет очень нескоро, считает эксперт. Егор Богомолов отметил «обслуживающую функцию» ИБ и тот факт, что исследователи безопасности вынуждены «играть в догонялки» с разработчиками, поставляющими все большее число продуктов и технологий.

России не хватает 18,5 тыс. специалистов по кибербезопасности

Отдельный технический трек на The Standoff Moscow в этом году был отдан тем, кто только начинает свой профессиональный путь. В потоке The Young Hats молодые специалисты по безопасности рассказывали о SSL-пиннинге и способах его обойти в приложениях на Android, о технологии unikernel, которую можно использовать как средство виртуализации, техниках обхода средств антивирусной защиты и EDR-решений, об особенностях эксплуатации уязвимостей типа «слепое внедрение команд» и многом другом.

В роли докладчиков выступили финалисты конкурса The Young Hats, организованного Positive Technologies совместно с ГК Innostage c целью поддержать молодых исследователей и дать им возможность представить комьюнити свои проекты и разработки наравне с признанными экспертами по кибербезопасности.

Об интересном семействе бэкдоров, за активностью которого в экспертном центре безопасности Positive Technologies начали следить с лета 2020 года, рассказал аналитик вредоносного ПО Станислав Раковский. Forest Keeper, по его словам, принадлежит китайской APT-группировке, которая в настоящее время активно атакует российские компании и правительственные учреждения. Особенностью, выделяющей бэкдор среди вредоносов этого класса, является огромный массив комплексной информации, собираемой о системе жертвы, а также различные способы проверки доступности управляющего сервера. «Ни один из известных сегодня зловредов не собирает данные настолько варварским способом, как это делает Forest Keeper», — заметил докладчик.

Ксения Наумова в докладе «Malware IOCs: трудно найти, легко потерять» рассказала о десятке самых интересных ресурсов в интернете, где можно найти свежие индикаторы компрометации для вредоносного ПО. В список вошли Malware-Traffic-Analysis.net, VirusTotal, ANY.RUN, urlscan и, конечно же, GitHub и Twitter. По мнению Ксении, эти источники пригодятся не только начинающим специалистам, но и бывалым исследователям.

Вымогательские атаки на крупнейшего в США производителя мяса JBS, IT-компанию Kaseya — каждый день мы узнаем, как очередной шифровальщик снова нарушил работу крупной организации. Любой взлом — это работа для специалистов по расследованию инцидентов. Михаил Онищенко, студент Воронежского государственного университета, выделил четыре этапа в расследовании киберпреступлений, которым важно следовать, чтобы представить в суде эффективную доказательную базу, а именно сбор, исследование, анализ и представление.

 

«Одно из преимуществ компьютерного криминалистического анализа в том, что сегодня нет устоявшихся методик. Например, никто не будет требовать использовать в суде алгоритм хеширования МD5 вместо SHA-256. Главное, чтобы ваш отчет был максимально понятен людям, знакомым с кибербезопасностью весьма поверхностно», — отметил Михаил.

Почему компаниям из сферы ИБ важно поддерживать молодых безопасников и как это способствует развитию инфобез-сообщества, рассказала директор образовательных программ и проектов Positive Technologies Мария Сигаева: «Согласно недавнему исследованию Минтруда, России не хватает 18,5 тыс. специалистов по кибербезопасности. Дефицит молодых кадров составляет 5 тыс. человек. В частности, есть острая потребность в администраторах СЗИ». Это общий технологический долг крупных IT-компаний перед различными отраслями экономики, растущий год от года, причем с накопительным эффектом, считает Мария. Чтобы на рынке появлялись квалифицированные молодые специалисты с новыми прорывными идеями, необходимо системно выращивать кадры для отрасли.

«Самый ценный актив сегодня — это талантливые юноши и девушки, которые интересуются кибербезопасностью. Поддержка молодежи — это такая же инвестиция в будущее, как и инвестиция в компанию или развитие ее продуктов. Более того, организация различных программ, содействующих развитию молодых специалистов, — это также инвестиции в собственные кадры и будущее своих клиентов. В этом году мы решили открыть дорогу начинающим исследователям, часть из которых еще учится в школе, создав для них молодежный трек в рамках The Standoff. Это совпадает с актуальным запросом индустрии кибербезопасности», — добавила Мария.

 

Победителей конкурса The Young Hats объявили в прямом эфире кибербитвы The Standoff Moscow. По итогам зрительского голосования авторами трех лучших докладов признаны Дмитрий Молокович (145 голосов), Сергей Антонов (135 голосов) и Жан Дауренулы (102 голоса). Ребят наградили дипломами и ценными призами от организаторов. Кроме того, все участники молодежного трека получили приглашения на международный форум Positive Hack Days, который пройдет в мае 2022 года.

Как хакер может украсть картину

Второй конкурс на мероприятии касался современного иссуства. The Standoff Digital Art — это симуляция галереи NFT-картин, посвященных городу будущего и человеку в цифровом мире. Каждая картина была представлена в виде уникального токена (NFT). Такие токены обеспечили CG-художникам возможность выхода на арт-рынок, возможность продавать. Свои работы для конкурса предоставили российские диджитал–художники Desinfo, Meta Rite, Артем Ткач, volv_victory, Anomalit Kate и Loit. Чтобы завладеть картиной, участникам конкурса предстояло найти уязвимости в смарт-контрактах путем анализа исходного кода.