Сегодня современные предприятия или организации в любых отраслях экономики представляют собой среды, где все бизнес-процессы влияют друг на друга, и их зависимости между собой непрозрачны для топ-менеджмента, подразделений компаний и службы информационной безопасности (ИБ). При этом для каждой организации существуют события, реализация которых нанесет непоправимый ущерб бизнесу.
Чтобы компания работала без перебоев, необходимо определить такие события и обеспечить уровень ИБ, который бы гарантировал, что они не произойдут в результате кибератаки. Компании выстраивают многоуровневую защиту, однако как проверить у персонала техническую и организационную готовность противостоять атакам?
В этом случае на помощь может прийти экспертиза с рынка. Один из методов переноса опыта эффективного решения проблем в сфере кибербезопасности - отработка на практике готовность команды ИБ противодействовать хакерам. Как это сделать? Например, с помощью киберполигонов.
Что такое киберполигон и зачем он нужен
15–16 ноября специалисты по информационной безопасности собрались на крупнейшей в мире открытой кибербитве The Standoff, организованной компанией Positive Technologies при участии ГК Innostage. Формат The Standoff - это киберполигон, на котором ведущие специалисты по кибербезопасности делятся на две команды - нападающие (так называемые этичные хакеры) и защитники - и борются за ресурсы виртуальной копии города.
Полигон воссоздает технологический ландшафт, производственные цепочки и бизнес-сценарии, характерные для различных отраслей экономики. Инфраструктура киберполигона характерна для городов и отраслей экономики, поэтому у атакующих команд есть возможности взломать логистику, транспорт, добывающие и распределительные энергетические системы, системы умного городского хозяйства, финансовую, телекоммуникационную структуры и т. д.
Цель - попрактиковать в боевых условиях навыки выявления и противодействия хакерам, узнать о самых актуальных тактиках и техниках атак, чтобы затем предотвращать и останавливать их на реальной инфраструктуре. Для специалистов это прежде всего возможность получить новые знания и практические навыки выявления кибератак и противодействия им, изучить сценарии реагирования на известные и неизвестные риски, исследовать взаимосвязи кибербезопасности и бизнеса.
Экологическая катастрофа и "слитый" аккаунт главы государства
На киберполигоне The Standoff этого года "хакеры" пытались парализовать работу целого виртуального города-государства, где были представлены объекты металлургии, транспорта и логистики, энергетики, химической отрасли и городского хозяйства.
Задачей нападающих было провести в действующей инфраструктуре виртуального города ряд диверсий, которые воспроизводили кибератаки, реально происходившие в последнее время в разных странах по всему миру. При этом у атакующих был полный карт-бланш на действия - они могли нападать на любые объекты, используя любые методы, чтобы застать "защитников" врасплох. Также они могли реализовать цепочку атаки целиком, включая последний шаг - реализацию недопустимого события.
Всего за мероприятием наблюдали 65 тыс. человек из десятков стран, десять сильнейших команд "этичных хакеров" 35 часов испытывали системы города-государства на прочность. Всего за это время было реализовано 6 из 51 уникального недопустимого события.
К примеру, нападающие нарушили работу очистных сооружений в виртуальном государстве: несколько миллионов виртуальных литров нечистот вылилось в окружающие водоемы - местные реки, озера, леса и поля оказались залиты зловонной жижей, а виртуальные жители подавали массовые жалобы в управляющую компанию "Сити" с требованием срочно решить проблему. Ситуация практически повторила случай, который в этом году произошел в США, - хакеры взломали систему очистных сооружений в округе Пинеллас, штат Флорида, из-за чего в городе возникла угроза экологической катастрофы.
Известны случаи кибератак на объекты инфраструктуры, которые приводили к серьезным сбоям в работе тех или иных служб и предприятий. К примеру, в июле 2021 года в Иране вследствие кибератаки была нарушена работа железнодорожной сети, из-за чего сотни рейсов были перенесены или вовсе отменены. А в Лос-Анджелесе хакеры взломали электронные системы регулирования движения и "сломали" таким образом светофоры на нескольких городских перекрестках, из-за чего возникли серьезные заторы.
В рамках The Standoff нападающие реализовали еще несколько инцидентов: ложное сообщение об утечке опасного вещества на нефтехимическом заводе, утечку персональных данных сотрудников государственной IT-платформы и компрометацию учетной записи главы государства. Основным объектом атак стала транспортная компания: все команды атакующих смогли устроить сбой системы информирования пассажиров на железной дороге.
Также в рамках киберучений выступали ИБ-эксперты. На отдельной сессии с аналитиками обсуждалось влияние хакерской активности на инвестиционную привлекательность отрасли и перспективы вложений в сферы IT и кибербезопасности. Кроме того, на мероприятии прошел трек The Standoff Young Hats для молодых специалистов по ИБ, которые представили свои доклады на исследовательскую тему.
Круглосуточная отработка киберугроз
Одним из главных продуктов, представленных на The Standoff, стала онлайн-платформа для проведения киберучений The Standoff 365. Как объясняют в Positive Technologies, созданию платформы предшествовал сбор экспертизы о киберучениях, который стал возможен благодаря проведению The Standoff, а также многолетний опыт компании.
Так, за шесть лет в мероприятиях The Standoff приняли участие более 1 тыс. экспертов по безопасности, благодаря чему вокруг него сформировалось одно из крупнейших сообществ этичных хакеров.
"Более пяти лет подряд мы создаем инфраструктуру киберполигона, используя нашу уникальную экспертизу и опыт реализации проектов по противодействию актуальным киберугрозам, - рассказывает директор департамента базы знаний и экспертизы Positive Technologies Михаил Помзов. - В этом году киберполигон вырос до виртуального государства, где представлены энергетическая отрасль, объекты металлургии, транспорта, логистики, химической отрасли и городского хозяйства".
Появление киберполигона было продиктовано тем, что в индустрии появился запрос на измеряемую и результативную защищенность, подразумевающую, что критические риски для компании, отрасли или страны не могут быть реализованы. Имея инфраструктуру, близкую к реальной, пользователи платформы The Standoff 365, к примеру, могут самостоятельно моделировать реальные ситуации, - но виртуально.
При этом, как поясняет руководитель отдела анализа защищенности приложений Positive Technologies Ярослав Бабин, на The Standoff 365 не предусмотрено никаких ограничений по сценариям, поскольку объекты на полигоне атакуют реальные исследователи безопасности - каждый со своим бэкграундом, навыками и набором инструментов.
"А это значит, что даже мы не знаем, как будут разворачиваться события. Благодаря этому сценарии атак на онлайн-полигоне каждый раз могут быть новыми, что дает возможность практиковать различные способы защиты в непредсказуемых условиях", - добавляет Бабин.
Что касается наполненности платформы, то сейчас она представляет собой виртуальный киберполигон, на котором воссозданы операционные и бизнес-процессы топливно-энергетического комплекса и небольшой IT-компании.
Бета-тестирование The Standoff 365 стартовало 24 ноября. Первыми участниками стали 50 сильнейших специалистов, приглашенных по итогам прошлых кибербитв. Следующий этап развития платформы - сделать ее открытой для всех желающих - как атакующих, так и защитников - в режиме 24 часа в сутки и 365 дней в году. Запуск платформы планируется в мае 2022 года в рамках международного форума по кибербезопасности Positive Hack Days.
Также в ближайших планах компании - запуск платформы Bug Bounty. С ее помощью будет удобно собирать отчеты об уязвимостях, а обнаружившие их этичные хакеры смогут получать вознаграждения. Bug Bounty будет проходить как в традиционном формате поиска уязвимостей, так и в новом - когда для каждой бизнес-системы формируется реестр недопустимых для нее событий и вознаграждение выплачивается не за обнаруженную уязвимость, а за реализацию того ущерба, который компания считает для себя неприемлемым, рассказывает директор центра компетенции Positive Technologies Андрей Бершадский.
Открытые киберучения на реальной инфраструктуре
Одним из центральных событий на The Standoff стало проведение первых в России и мире открытых киберучений на реальной инфраструктуре Positive Technologies. На мероприятии любой желающий мог в реальном времени наблюдать за тем, как нападающие атакуют компанию, посмотреть, где они находятся в конкретный момент и получается ли у них взломать флагман российской кибербезопасности.
Бизнес требует изменений - в индустрии появился запрос на измеримую и результативную защищенность, подразумевающую, что критические риски для компании, отрасли или страны не могут быть реализованы.
Positive Technologies, будучи лидером российского рынка ИБ, на своем примере показала возможность реализации результативной кибербезопасности, предполагающей построение защиты на основе недопустимых для бизнеса событий. Опыт, полученный в ходе открытых киберучений, будет использован для дальнейшего развития метапродуктов компании, в частности - MaxPatrol O2, который позволяет силами одного человека автоматически обнаруживать и останавливать атаки злоумышленников с измеримым эффектом. Метапродукт призван решить проблему серьезного дефицита квалифицированных кадров в индустрии и поможет защитить бизнес по всему миру, сделав результативную кибербезопасность доступной для отдельных компаний, отраслей и даже государств.
Во время открытых киберучений в роли спарринг-партнера Positive Technologies выступила сборная команда высокопрофессиональных исследователей безопасности из нескольких компаний с наиболее сильной экспертизой в сфере этичного хакинга, у каждого из них есть опыт нахождения уязвимостей нулевого дня. Практически каждая атака Red Team заканчивается успехом.
Задача нападающих - реализовать в действующей инфраструктуре ряд событий, которые в Positive Technologies определены как недопустимые. При этом ограничений у атакующих практически не было, что разительно отличает такой формат от пентестов: атакующие могут использовать любые технические средства, социальную инженерию и атаковать какие угодно элементы инфраструктуры, причем в любое время суток, не подстраиваясь под время работы целевой компании.
Давая возможность широкой аудитории наблюдать за ходом киберучений, Positive Technologies желает:
- Продемонстрировать на собственном опыте верность гипотезы о том, что реально сделать невозможными недопустимые для бизнеса события, которые приводят к разрушительным последствиям.
- Создать для рынка публичный прецедент получения и измерения результата кибербезопасности.
- Подтвердить выработанную и уже апробированную на себе методологию достижения результативной кибербезопасности, чтобы ее могли использовать другие участники рынка для построения своих систем защиты.
- Оценить эффективность использования метапродукта MaxPatrol O2 в боевых условиях - параллельно работают классический SOC, представленный специалистами центра мониторинга PT Expert Security Center и использующий продукты Positive Technologies (MaxPatrol SIEM, PT Application Firewall, MaxPatrol 8, PT ISIM), и эксперт, использующий MaxPatrol O2 в тандеме с теми же продуктами, выступающими уже в качестве сенсоров, которые покрывают атакуемую инфраструктуру. Это позволит определить результативность метапродукта в выявлении и отражении сложной кибератаки.
Positive Technologies планирует провести следующие открытые киберучения в первом квартале 2022 года и так же, как и сейчас, дать всему миру возможность наблюдать за их ходом в интернете.