PHDays VI СityF: Противостояние — центральная тема PHDays 2016. На этот раз вместо привычных соревнований CTF будут устроены настоящие военные действия. События на площадке максимально приблизятся к реальности: на полигоне PHDays VI СityF развернется масштабная эмуляция городской инфраструктуры. Хакеры смогут атаковать виртуальный город всеми доступными способами, а против них будут команды «защитников» и экспертные центры безопасности — Security Operations Center (SOC).
Команды участников формировались сами. По словам Михаила Левина из компании Positive Technologies, организатора состязаний, предварительный отбор атакующих не производился. Защитников и SOC’ов взяли без какого-то формального отбора, пообщались с партнерами и заказчиками.
«Не все SOC’и захотели афишировать свое участие, поэтому обойдемся без персоналий. Просто это топовые коммерческие SOC’и страны, которые каждый день выявляют и расследуют атаки хакеров.
Мы практически никак не ограничиваем защитников в выборе средств обороны. Они могут использовать как платное, так и бесплатное open-source-ПО — все, с чем им привычнее работать. Получилось так, что защитники используют разные подходы, и мы сможем оценить эффективность каждого», — комментирует Михаил Левин.
1. SOC’и (команда IZO:SOC / welZart)
2. Защитники (команды Vulners, You shall not pass, ACT, Green)
SOC’и (команда IZO:SOC / welZart)
Как вы относитесь к такому формату CTF?
Нам нравится новый формат. В отличие от прошлых лет, когда CTF был узкоспециализированным хакерским мероприятием, в этом году действо обещает быть более зрелищным. Немаловажно и то, что участие в таком формате позволит улучшить навыки обеспечения реальной безопасности всей нашей команде.
Что, по вашим ожиданиям, может пойти не так?
Не так может пойти все. Начиная от неработоспособности инфраструктуры игр, которая создавалась за очень ограниченное время, заканчивая конфликтами в команде от напряжения двух дней соревнований. Но мы же профессионалы, у нас много раз что-то шло не так, и мы к этому готовы.
Как думаете, какие объекты будут атаковать хакеры?
Все. Включая и те, которые атаковать нельзя по правилам игр. Другое дело, что, скорее всего, большая часть атак сосредоточится на традиционных объектах — банке и офисе, т. к. атаки на телеком и АСУ ТП требуют специфичных знаний. Но из-за этого же атаки на телеком и АСУ ТП будут, скорее всего, изощренными, и их проведут более квалифицированные участники.
Какие уязвимости будут эксплуатировать?
По правилам игр, мы не знаем, какие уязвимости оставили организаторы. Но я надеюсь, что наш RedTeam в составе SOC’а выявит их все, и какие уязвимости будут эксплуатировать нападающие, мы узнаем раньше нападающих.
Какова цель вашего участия в CityF? Как думаете, удастся ли ее достичь?
Мы участвуем в CTF двумя командами, которые реально предоставляют сервисы ИБ на рынке (SOC, анализ защищенности, защита от атак). И основной целью нашего участия в CTF является отработка в крайне тяжелых условиях массированных атак навыков обнаружения, противодействия нападениям и взаимодействия наших команд, которые обеспечивают реальную безопасность наших заказчиков. Вне зависимости от исхода игр эта цель будет достигнута.
Какой опыт планируете извлечь из участия в игре?
В первую очередь опыт обнаружения и противодействия реальным целевым атакам. Думаю, что такую концентрацию усилий хакеров на единицу времени и объект защиты мы в реальной жизни можем увидеть только в случае тотальной кибервойны, без которой, я надеюсь, мы обойдемся. Так что у нас есть уникальная возможность прокачать нашу команду с точки зрения обеспечения реальной безопасности.
Какие объекты будете защищать? И почему?
Мы защищаем энергетическую инфраструктуру CitiF — распределительная и магистральная подстанции, гидроэлектростанция, центральный и региональный диспетчерские пункты. Потому что мы любим и умеем это делать и еще потому что делаем это лучше других. Также наш SOC помогает защищать один из банков CitiF.
Как планируете строить защиту?
Совершенно так же, как это происходит в реальной жизни. Наши инженеры обследуют объект защиты, мы проанализируем векторы атак, разработаем систему защиты, согласуем с организаторами архитектуру системы защиты и используемые средства, внедрим СЗИ в инфраструктуру игр и настроим их. Наш SOC возьмет объекты на мониторинг. Наш RedTeam в составе SOC’а начнет проактивно выявлять уязвимости и сообщать о них защитникам. При этом система защиты, как и в реальной жизни, учитывает особенности работы инфраструктуры и приложений города CitiF. Простой пример: для снижения рисков эксплуатации уязвимостей веб-приложений необходимо как минимум обновить версии используемых платформ (Apache, nginx и т. д.). Обновление данных платформ может привести к неработоспособности конечного приложения. Поэтому необходимо применение компенсационных мер, например технологии виртуального патчинга. Также помимо применения наложенных средств защиты мы планируем по максимуму задействовать встроенные функции ИБ применяемых программных средств, с учетом рекомендаций и best practice производителей и нашего опыта.
Какие средства защиты планируете использовать?
В рамках SOC’а у нас развернут ряд систем сбора, обработки и мониторинга событий ИБ, таких как IBM qRadar, Microsoft OMS, SecurityMatters SilentDefence.
Состав СЗИ определяется прежде всего актуальными угрозами ИБ. Мы для себя выделили следующий набор подсистем ИБ: подсистема межсетевого экранирования,
подсистема защиты от APT-атак, подсистема антивирусной защиты, подсистема регистрации событий ИБ, подсистема обновлений.
Как вы оцениваете шансы противников?
У наших противников помимо хорошей подготовки есть еще и огромное численное преимущество. Поэтому шансы у них есть.
Защитники (команды Vulners, You shall not pass, ACT, Green)
Как вы относитесь к такому формату CTF?
Команда Green: Такой формат CTF кажется нам наиболее интересным. Во-первых, в нем могут принять участие не только хакеры и исследователи ИБ, но и специалисты по защите информации — как раз этот факт и дал мне возможность принять участие в CTF. Во‑вторых, в традиционном CTF участвует одна сторона — атакующие. Инфраструктура для атаки сформирована заранее и детерминирована — как правило, никаких дополнительных действий по защите не предпринимается. При таком же формате в игре участвуют обе стороны, и активные действия предпринимаются с двух сторон.
Команда Vulners: Насколько я знаю, это первый CTF, который проходит в таком формате, когда выделены отдельные команды защитников и хакеров. Практически всегда командам предоставляются равные условия и им приходится одновременно и защищать и атаковать. В итоге членам команды приходится выбирать, чему уделять больше времени — атаке или защите. Здесь же, надеюсь, команды будут заниматься тем, в чем они сильны.
Команда You shall not pass (Геннадий Шастин): Очень положительно относимся: новый формат обещает быть интересным и захватывающим, особенно с соответствующей визуализацией, когда в происходящее будут вовлечены все участники и посетители PHDays. CTF — это все же специфичный формат, и простому наблюдателю со стороны не всегда понятно, что происходит.
Что, по вашим ожиданиям, может пойти не так?
Команда You shall not pass (Геннадий Шастин): Ожидания? Даже не знаю, будет весело и нелегко, особенно если учесть информацию, которой поделились организаторы, вроде внезапного появления нового сервиса, доступного для атаки. Из опасений разве что медленная работа серверов из-за нехватки производительности, или же кто-нибудь из атакующих от отчаяния решит «уронить» всю инфраструктуру. Что-то более детально сказать сложно, так как это первое мероприятие в подобном формате — всем интересно, что из этого получится.
Команда Green: В рамках CTF есть определенные ограничения на защищаемую инфраструктуру, для придания игре большей состязательности. Это и общий IP‑адрес легальных пользователей и атакующих, и архитектурные ограничения, и ограниченное время на подготовку. С одной стороны, это осложняет защиту, а с другой — позволяет создать ситуации, которые очень маловероятны в реальном проекте, и посмотреть на практике, как будут развиваться события.
Поэтому в ходе игры обязательно будут возникать проблемы, которых, как правило, удается избежать в реальных проектах. Мы ожидаем, что будут проблемы с компрометацией внешних сервисов и последующими попытками развить атаку на объекты внутренней сети. Организаторы обещали в ходе игры устроить внедрение новых сервисов, которые необходимо будет оперативно включить в контур защиты. Насколько эффективно получится это сделать — пока неизвестно.
Как думаете, какие объекты будут атаковать хакеры?
Команда You shall not pass (Геннадий Шастин): Я думаю, что в первую очередь атакам подвергнутся различные веб-порталы и «сотрудники» компании как наиболее простые и эффективные способы нападения.
Команда You shall not pass (Дмитрий Галкин): Уверен, что под угрозой окажется все, что способно принимать сетевые пакеты и пинговаться. Каждый объект до последнего.
Команда Vulners: Думаю, что хакеры вначале начнут атаковать веб-приложения и затем перейдут на инфраструктурные серверы. Соревнований, во время которых можно атаковать системы SCADA или сети SS7, проводится не так много, поэтому их скорее всего будут атаковать единичные хакеры.
Команда АСТ: Нами был выявлен ряд критичных ресурсов в инфраструктуре, которую мы защищаем. Это типовые объекты для банка: автоматизированная банковская система, система дистанционного банковского обслуживания, корпоративный домен, почтовая система. Именно эти объекты, по нашему мнению, должны привлечь наибольшее внимание со стороны наших противников. Кроме того, мы ожидаем, что в процессе самого противостояния администраторами в «эксплуатацию» будут вводиться новые сервисы, в том числе уязвимые файловые и веб-ресурсы, что соответствует реальным процессам жизненного цикла банка и потребует оперативной реакции и перестроения системы защиты.
Команда Green: На мой взгляд, хакеры будут атаковать в первую очередь сервисы, которые предоставляются легальным пользователям (роботам-«чекерам»). Получив контроль над внешним сервером, хакеры будут развивать успех, атакуя объекты внутренней сети, ранее для них недоступные. Атаки на объекты инфраструктуры и средства защиты информации считаю маловероятными.
Основным вектором атак будут веб-серверы, т. к. эти ресурсы постоянно доступны хакерам. Ожидаем использование социальной инженерии через почтовые рассылки для «пользовательского» сегмента.
Какие уязвимости будут эксплуатировать?
Команда You shall not pass (Геннадий Шастин): Это непростой вопрос, так как после анализа инфраструктуры простор для творчества хакеров очень большой. Я думаю, что наиболее популярны будут слабые пароли и ошибки в конфигурации (неправильная настройка).
Команда АСТ: Мы предполагаем, что будут использоваться как известные уязвимости ОС и сервисов, так и методы социальной инженерии.
Команда Green: Предполагаю, что эксплуатировать будут в первую очередь уязвимости в опубликованных приложениях, известные уязвимости в неактуальных версиях ПО, ошибки конфигурирования, заранее размещенные в инфраструктуре стенда. Будет много SQL-инъекций, атак на уязвимые плагины веб-движков, вирусные атаки для повышения привилегий в инфраструктуре и многое другое.
Какова цель вашего участия в CityF? Как думаете, удастся ли ее достичь?
Команда АСТ: Главные цели нашего участия — практическая проверка используемых методов и механизмов защиты и повышение уровня сплоченности и организованности команды специалистов в экстремальных условиях, предполагаемых форматом CTF.
Команда You shall not pass (Дмитрий Галкин): Минимизировать количество проникновений в инфраструктуру. Вместе с тем, избежать проникновения целиком невозможно. В организациях с высоким уровнем зрелости все изменения в инфраструктуре согласовываются со службой ИБ, и выставление новых сервисов в интернет происходит после аудита безопасности. На полигоне же новые сервисы будут появляться хаотично, а потому наша цель заключается в том, чтобы найти их быстрее хакеров и устранить все возможные уязвимости.
Так или иначе, за два дня участия в состязании мы увидим больше атак и хакерских техник, чем можно пережить за годы работы. Это колоссальный опыт, и мы попросту не имеем права его игнорировать.
Команда Green: Основная цель — поучаствовать в игре «от первого лица», провести тестирование средств защиты в боевых условиях.
Какой опыт планируете извлечь из участия в игре?
Команда You shall not pass (Геннадий Шастин): Практический опыт, так как латать дырки после сканирования MaxPatrol’ом — это одно, а отражать атаку хакера — совсем другое.
Команда Green: Получить практические навыки реагирования на инциденты, повысить сплоченность команды. По своей сути CityF — это концентрированный опыт по защите информации. За эти два дня можно будет получить опыт обнаружения атак хакеров, их нейтрализации, или наоборот, горький опыт пропущенных атак, взаимодействие с SOC и пентестерами в «белых шляпах». На мой взгляд, этот опыт можно сравнить с несколькими месяцами нормальной работы.
Кроме того, тут можно относительно безопасно опробовать новые для себя методы и решения и сразу их проверить, посмотреть, как развиваются события в сложных ситуациях, и получить опыт выхода из них. То есть попробовать себя в непривычных и рискованных ситуациях.
Команда You shall not pass (Дмитрий Галкин): Опыт работы в команде. Каждый участник нашей команды должен отвечать за свою часть сети, оперативно мониторить и устранять уязвимости и, наконец, поддерживать контакт с другими членами команды.
Команда АСТ: Ожидаем получить опыт противостояния целенаправленным атакам в режиме жесткой временной концентрации.
Какие объекты будете защищать? И почему?
Команда You shall not pass (Геннадий Шастин): На долю нашей команды выпал телеком-сектор. Выбор таков, так как в нем планируемая сетевая схема показалась нам интереснее остальных.
Команда АСТ: Планируется защищать все объекты, включая АБС и инфраструктурные сервисы. В случае недостатка времени приоритеты будут смещены в сторону наиболее критичных для бизнеса банка сервисов.
Команда Green: Защищать планируем все объекты, особое внимание на системы, доступные извне. Во-первых, они должны работать, их доступность будет постоянно проверяться роботами, а во-вторых, мы считаем что это будет основным вектором атаки хакеров. Особое внимание будем уделять веб-серверам, контроллерам домена, а также мониторингу инфраструктуры в целом, чтобы оперативно обнаруживать факты компрометации серверов. Проиграть бой не страшно, главное — победа в войне.
Команда Vulners: Мы решили защищать банковское приложение. Это классический инфраструктурный объект, с набором веб-приложений, баз данных и рабочих станций. Поэтому векторы атак, скорее всего, будут разнообразными, и будет интересно постараться им противостоять.
Как планируете строить защиту?
Команда You shall not pass (Геннадий Шастин): Для начала закрыть максимум из того, что разрешат, чтоб избавиться от управляющих и небезопасных протоколов типа SSH, RDP, Telnet и т. д. в «публичной» сети. Убедиться, что у всех администраторов и пользователей нормальные пароли, а не qwerty. Установить обновления безопасности и патчи, закрывающие уязвимости. Затем контроль и мониторинг периметра и внутренней сети на случай «сюрпризов».
Команда Green: Используем эшелонированный подход, чтобы даже в случае успешной атаки на саму систему защиты злоумышленник не смог бы полностью перехватить контроль над инфраструктурой. Защиту планируем строить по всем правилам безопасной архитектуры (насколько это позволяет стенд): защита периметра, инфраструктурных сервисов, каждого узла сети в отдельности. Особое внимание на закрытие предполагаемых векторов атак. Планируем использовать стандартные средства защиты (FW, IPS, WAF, AV), а также несколько нестандартных, которые станут сюрпризом для хакеров.
Команда You shall not pass (Дмитрий Галкин): Эшелонированно, минимизируем сетевой периметр, на каждую точку входа в инфраструктуру поставим «защитника», подключим SOC для мониторинга и будем ловить хакеров.
Команда АСТ: Защита строится на нескольких уровнях, включая как встроенные механизмы защиты ОС и сервисов, сетевого оборудования, так и наложенные средства, используемые нами в реальных проектах.
Какие средства защиты планируете использовать?
Команда You shall not pass (Геннадий Шастин): Самые разные, начиная от обычных антивирусов и IDS/IPS и заканчивая песочницами. Будем использовать как средства, с которыми уже имели дело, так и те, которые всегда хотелось попробовать. К сожалению, большего сказать не могу.
Команда АСТ: Планируем использовать средства защиты как базового уровня — межсетевое экранирование, антивирусная защита, анализ защищенности, так и ряд новых средств, предлагаемых партнерами-производителями, как, например, средства защиты от целенаправленных атак на учетные записи доменных пользователей, облачные средства поведенческого анализа программного обеспечения и пр.
Как вы оцениваете шансы противников?
Команда You shall not pass (Геннадий Шастин): Для нас они темные лошадки, мы о них не знаем вообще ничего — сложно оценить то, о чем не знаешь. Так что готовимся к худшему, ведь всегда лучше переоценить противника, чем недооценить его.
Команда Green: PHD — это в некотором роде лотерея. Мы не можем защититься от всех атак в текущих условиях, да и в условиях любого проекта. Но мы можем обеспечить определенный гарантированный уровень безопасности по всем направлениям, руководствуясь лучшими практиками и стандартами в области. Выражаясь фигурально, мы можем построить вокруг объекта забор определенной высоты. А смогут ли атакующие перепрыгнуть этот забор — полностью зависит от них.
У хакеров больше опыта в мероприятиях формата CTF, однако на нашей стороне системы защиты enterprise-уровня. Рассчитываем на жесткую борьбу, будем стоять до последнего.
Команда You shall not pass (Дмитрий Галкин): Шансы хакеров высоки. Безусловно, мы установим множество разноплановых средств защиты, но, как всем хорошо известно, самой большой уязвимостью остается сам человек. Одно красивое фишинговое письмо — и вредонос уже распространяется по инфраструктуре. Мы назвали нашу команду известной репликой Гэндальфа — You Shall Not Pass, но уже видно, что противостояние будет жарким.
Команда АСТ: По нашим оценкам, противников достаточно много, это высококвалифицированные специалисты, в том числе исследователи в области ИБ, и шансы у них есть. В любой инфраструктуре есть уязвимые места. Но мы приложим все усилия, чтобы эти шансы уменьшить.
АТАКУЮЩИЕ (команды «Хакердом», More Smoked Leet Chicken, rdot, SpamAndHex, Bushwhakers, filthy thr33)
Как вы относитесь к такому формату CTF?
Команда «Хакердом»: Интересно попробовать, что получится. В классическом CTF командам приходится одновременно и защищать и атаковать. Но при этом атаковать, конечно, интереснее, и на защиту зачастую обращают меньше внимания. Кстати, забавно, что идея такого формата соревнований нашей команде тоже недавно приходила в голову, но мы пока не решились опробовать ее при проведении RuCTF(E).
Команда More Smoked Leet Chicken (Влад Росков): Все про приближенность к реальности говорят, а я тогда на контрасте сыграю. Фигню какую-то придумали! Нет ничего лучше старого доброго самобытного формата PHDays CTF, когда команды атакуют и жюри (как Jeopardy), и друг друга (как Attack-Defense). Вот ради такого мы первые несколько PHDays CTF дико ждали, они были офигенные. Я влюбится в PT.
Команда rdot: Формат весьма интересен, поскольку дается много разнообразных задач и конкурсов, большинство из которых практически полностью соответствуют задачам из повседневной рабочей практики.
Какие у вас ожидания от игры?
Команда rdot: Что-то может пойти не так, если правила окажутся слишком запутанными и сложными. Поскольку времени для соревнования немного, участникам нужно сразу вникнуть в правила, в которых могут оказаться уязвимости.
Например, есть ли какая-то защита от инсайдеров в командах защитников? ;)
Команда MoreSmokedLeetChicken (Влад Росков): В начале игры сеть не откроют сразу, потому что что-то не протестили до конца, а в середине что-то, как всегда, сломается, но организаторы быстро починят.
Команда Хакердом: Непонятно, как будут начисляться очки, как сравнивать атакующих и защитников для того, чтобы ранжировать их в скорборде. Командам-защитникам может быть скучновато. В прошлом году организаторы уже делали эксперимент с возможностью продавать эксплоиты другим командам на черном рынке. На наш взгляд, это не очень удачная идея — команды, в которых есть ребята, которые лучше умеют «торговаться», получают преимущество. Да, может быть, это действительно ближе к жизни, но одновременно это девальвирует технические скилы, и это демотивирует.
Команда SpamAndHex (Венгрия): Это наш первый приезд на PHDays, но мы уверены в хорошей организации мероприятия и что мы все получим от него большее удовольствие.
В то же время команды будут стремиться находить нестандартные пути взлома систем, что довольно обычно для игр CTF. В зависимости от сложности инфраструктуры с этим могут возникнуть сложности.
Что является вашей целью и почему?
Команда rdot: Как обычно: fun, обучение и высокий результат. Обычно КПД от участия в конкурсах на конференции выше, чем КПД от участия в самой конференции.
Команда Bushwhakers: В основном, чтобы получить уникальный опыт. Задания на PHDays CTF обычно весьма уникальны. На редко каком CTF выпадет возможность провести атаку на мобильную сеть или подстанцию.
Команда More Smoked Leet Chicken (Влад Росков): Поиграть в свое удовольствие.
Команда filthy thr33: Главная наша цель — получить удовольствие от мероприятия. Еще, конечно, интересно посмотреть на сам CityF и на то, как реальные системы защиты АСУ ТП справляются с реальными угрозами.
Я думаю, что никто не уйдет обиженным. Защитники успешно отловят часть атак, хакеры успешно обойдут системы защиты, а SOC зафиксирует все это безобразие :)
Какие объекты инфраструктуры вы планируете атаковать?
Команда rdot: Будет зависеть от мотивированности участников команды. Думаю, замахнемся на многое, включая банк и электростанцию.
Команда Bushwhakers: Это будет понятно только во время игры. Заранее нельзя сказать, какие именно уязвимости в каких сервисах будут и как они будут пересекаться с набором навыков членов команды. Вот что совершенно точно — это то, что мы будем атаковать бар :)
Какие технические средства вы будете использовать?
Команда rdot: Только ноутбуки, зарядные устройства для них, сетевые кабели.
Ноутбуки, средства радиосвязи и все остальное, что будет полезно. В прошлом году, например, пригодился тонер из картриджа лазерного принтера и зеркальный фотоаппарат для считывания информации с магнитной полосы банковской карты.
Как вы думаете, какие будут уязвимости?
Команда rdot: Ожидаем много промышленных протоколов и веб-уязвимостей.
Команда filthy thr33: Думаю, что обязательно будет несколько стандартных уязвимостей из джентельменского набора уязвимостей SCADA-систем. Наверное, их эксплуатацию защитники и будут выявлять в первую очередь. Ну и некоторые задания должны решаться с помощью 0day, как же без них.