www.samag.ru
     
Поиск  
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Сетевой агент
О журнале
Журнал «БИТ»
Информация для ВАК
Звезды «СА»
Подписка
Где купить
Авторам
Рекламодателям
Магазин
Архив номеров
Мероприятия
Форум
Опросы
Ищу/Предлагаю работу
Спроси юриста
Игры
Контакты
   
Слайд шоу  
Представляем работы Виктора Чумачева
Виктор Чумачев – известный московский художник, который сотрудничает с «Системным администратором» уже несколько лет. Именно его забавные и воздушные, как ИТ, иллюстрации украшают многие серьезные статьи в журнале. Работы Виктора Чумачева хорошо знакомы читателям в России («Комсомольская правда», «Известия», «Московские новости», Коммерсант и др.) и за рубежом (США, Германия). Каждый раз, получая новый рисунок Виктора, мы в редакции улыбаемся. А улыбка, как известно, смягчает душу. Поэтому смотрите на его рисунки – и пусть у вас будет хорошее настроение!

  Опросы
Дискуссии  
17.09.2014г.
Просмотров: 14827
Комментарии: 3
Красть или не красть? О пиратском ПО как о российском феномене

Тема контрафактного ПО и защиты авторских прав сегодня актуальна как никогда. Мы представляем ...

 Читать далее...

03.03.2014г.
Просмотров: 18764
Комментарии: 1
Жизнь под дамокловым мечом

Политические события как катализатор возникновения уязвимости Законодательная инициатива Государственной Думы и силовых структур, ...

 Читать далее...

23.01.2014г.
Просмотров: 26805
Комментарии: 3
ИТ-специалист будущего. Кто он?

Так уж устроен человек, что взгляд его обращен чаще всего в Будущее, ...

 Читать далее...

1001 и 1 книга  
16.02.2017г.
Просмотров: 3974
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 6806
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 8910
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 10508
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 7325
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

Друзья сайта  

Форум системных администраторов  

sysadmins.ru

 Positive Hack Days VI CityF. Противостояние глазами Защитника

Архив номеров / 2016 / Выпуск №6 (163) / Positive Hack Days VI CityF. Противостояние глазами Защитника

Рубрика: Безопасность /  Событие

Positive Hack Days VI CityF
Противостояние глазами Защитника

17-18 мая в Москве прошла VI ежегодная конференция PHDays, посвященная практическим аспектам информационной безопасности. Кроме конференции, разделенной на бизнес- итехнический потоки, мастер-классов и конкурсов, организаторы сделали акцент на соревновании, похожем на Capture The Flag  (CTF), но гораздо более масштабном

События происходили в «виртуальном городе». Для участников состязания было подготовлено пять инфраструктурных объектов, которые нужно было одним – взломать, другим – защитить:

  • Городской офис
  • Банк 1
  • Банк 2
  • Электроэнергетическая компания
  • Телекоммуникационный оператор

Сторон Противостояния было три:

  • Хакеры – участники соревнования, задачей которых было получение несанкционированного доступа к атакуемым объектам, выполнение злонамеренных действий, компрометирующих защищаемую инфраструктуру и наносящих урон «виртуальному бизнесу»: отключение электростанции, снятие денег со счета и т.п.
  • Защитники – специалисты, чья задача была диаметрально противоположной: организация защиты вверенной инфраструктуры техническими средствами.
  • Security Operations Center (SOC) – экспертные центры безопасности, выполняющие оперативный мониторинг и устранение инцидентов безопасности.

Поскольку автор статьи участвовал в составе команды Защитников телекоммуникационного сектора, ракурс обзора будет соответствующий.

На каждый инфраструктурный объект для его защиты и оперативного реагирования назначалась пара Защитник + SOC. С нашей сборной командой телеком-защитников «You Shall Not Pass» из крупных операторов связи в тандеме работал Solar JSOC, команда «False Positive».

Сборная команда телеком-защитников «You Shall Not Pass» из крупных операторов связи и Solar JSOC, команда «False Positive»

Сборная команда телеком-защитников «You Shall Not Pass» из крупных операторов связи и Solar JSOC, команда «False Positive»

За две недели до начала соревнований Защитникам и SOC был предоставлен удаленный доступ в свой сегмент инфраструктуры для его инвентаризации, установки ипредварительной настройки средств защиты, а также интеграции защищаемых ресурсов с SIEM-системами.

Вычислительная инфраструктура, предоставленная для сражения, была полностью виртуализирована, поэтому средства обеспечения информационной безопасности также требовалось разворачивать в виде виртуальных машин. Аппаратные решения разрешались только переносные, не требующие установки в серверную стойку. На этом ограничения ксамим средствам защиты заканчивались.

Разрешалось использовать решение любого производителя, платное или бесплатное, на усмотрение команд. В случае необходимости организаторы оказывали содействие вполучении временных лицензий на коммерческие средства обеспечения информационной безопасности.

17-18 мая на площадке команды обороняющего тандема и хакеров поместили в разные концы одного большого зала. Защитникам и SOC предоставили по одному столу на шесть человек каждой команде с возможностью подключения к сети электропитания и Ethernet в защищаемую инфраструктуру.

У атакующей и защищающей сторон были определенные ограничения в перечне действий.

Ограничения для хакеров:

  • Доступ из интернета в сегмент напрямую невозможен, только локально либо через VPN. Цель очевидна: защита инфраструктуры «виртуального города» от DDoS, уверенность в том, что атаки проводят именно участники соревнований.
  • Запрещены DDoS на инфраструктуры участников и генерация паразитного трафика большого объема. DoS/DDoS-атаки уровня приложения разрешены.
  • Запрещены атаки на элементы инфраструктуры, образующей «виртуальный город» (обеспечивающие работу сегментов участников и управляемые организаторами), рабочие места жюри и технической поддержки соревнований.

Ограничения для Защитников и SOC:

  • Запрещена блокировка по IP-адресу атакующего. В целях определения подобных действий все атакующие, клиенты и система проверки доступности сервисов транслировались в один IP-адрес.
  • Запрещено закрывать доступ к серверам из DMZ со стороны интернета, в том числе и по управляющим протоколам (SSH, Telnet, RDP, SNMP) и базам данных (MySQL, Oracle). Разрешено применить списки доступа только на интерфейсы управления сетевым оборудованием.
  • Отсутствие доступа к интерфейсам управления сетевым оборудованием уровня L2-access.
  • Запрещена реконфигурация сетевого оборудования, если она вызывает потерю сервиса.
  • Кроме перечисленных команд, существовали группы статистов, эмулирующих работу пользователей корпоративной сети организации. Запрещалось входить с ними в контакт иинструктировать.

Началось Противостояние в 11:00 17 мая, закончилось в 16:00 18 мая.

Запреты для Защитников и SOC, несмотря на заверения о «максимальном приближении к реальности» на официальном сайте конференции [1], делали уровень защиты сети намного ниже, чем принято в телекоме.

Но организаторам необходимо было привлечь внимание общества, бизнеса и государства к необходимости защиты «Интернета вещей» и других подключаемых к публичным сетям систем управления критической инфраструктурой, а также соблюдения мер информационной безопасности при работе с банковскими сервисами.

Шоу с взломом ГЭС и затоплением города, переданное затем по новостным каналам, было эффектным

Для этого соревнования должны содержать элементы шоу с резонансными взломами [2], привлекающие внимание общественности к проблемам информационной безопасности современных систем. Поэтому в некоторых случаях понижение уровня безопасности защищаемых систем было беспрецедентным. Но стоит отдать должное – шоу с взломом ГЭС изатоплением города [3], переданное затем по новостным каналам, было эффектным.

Краткий перечень мер, предпринятых командами Защитников и SOC для обеспечения безопасности защищаемых элементов:

  • Постоянная инвентаризация инфраструктуры.
  • Периодическое сканирование на наличие уязвимостей серверов и сетевого оборудования.
  • Устранение уязвимостей.
  • Мониторинг всех действий и запускаемых процессов на серверах и сетевом оборудовании.
  • Мониторинг событий с активного сетевого оборудования и анализ трафика NetFlow.
  • Использование in-line IPS.

Кроме описанного выше краткого перечня мер, пришлось применить одно довольно нестандартное решение. Для того чтобы хакеры после неудавшихся попыток взлома не теряли интерес к атакуемому сегменту, организаторы периодически без предупреждения защищающих включали новые серверы, содержащие уязвимости в ПО и/или некоторые настройки по умолчанию. Дальше – кто быстрее: «найти и взломать» или «найти и обезвредить».

Объект защиты и нападения – участок железной дороги, частично взломанный хакерами

Объект защиты и нападения – участок железной дороги, частично взломанный хакерами

Особенно высокая интенсивность появления уязвимых серверов была на второй день соревнований. Новые сервисы на базе различных UNIX-систем практически все были подвержены уязвимости CVE-2015-5600 SSH-сервиса, закрытую не во всех репозиториях. Уязвимость позволяет подключившемуся по SSH пользователю/машине выполнять перебор паролей либо вызвать отказ в обслуживании в связи с использованием ресурсов CPU.

В нашей ситуации – более чем реальный вариант развития событий. Для того чтобы не выполнять обновление из исходных кодов в срочном порядке, трафик SSH и RDP, инициированный в сторону серверов DMZ из всех подсетей, кроме Защитников и SOC, настройками активного сетевого оборудования был перенаправлен через Balabit Shell Control Box. Как правило, данное решение используется для неотключаемого протоколирования действий пользователей, но в ситуации Противостояния ключевым фактором оказались неуязвимость проксирующего модуля zorp-ssh уязвимости CVE-2015-5600 и возможность регулирования количества вводов пароля на стороне SCB.

В результате Противостояния из элементов нашей инфраструктуры хакерами была проэксплуатирована уязвимость только одного веб-сервера без влияния на «виртуальный бизнес», за что хакеры получили единственный «флаг» в течение всего соревнования. Сервер был из числа «дырявых», включенных на второй день организаторами. Взлом был обнаружен через пять минут, после чего соответствующая сигнатура IPS была переведена из режима мониторинга в блокировку, проведено обновление сервера и изменены атрибуты доступа.

Объект защиты и нападения – электроэнергетическая компания, у которой была нарушена работа ГЭС и затоплен город

Объект защиты и нападения – электроэнергетическая компания, у которой была нарушена работа ГЭС и затоплен город

В целом впечатления от соревнования положительные, особо хочется отметить профессионализм SOC, с которым мы плечом к плечу работали 29 часов подряд.

Как всегда, в мероприятии, которое проводится впервые, есть что улучшать. Я бы обратил внимание организаторов на такие аспекты:

  • вычислительные ресурсы виртуальной инфраструктуры – на этапе подготовки довольно часто происходили перебои в работе, а во время соревнований периодически чувствовалось, что оборудование работает под высокой нагрузкой;
  • слишком близкое расположение к сцене и чрезмерно громкий звук.

На следующий год необходимо будет как минимум провести конкурс на том же уровне, чтобы не разочаровать участников, зрителей и общественность.

Более официальную информацию можете найти на сайте организатора [1], неофициальную – в моем блоге [4].

  1. PHDays – Positive Hack Days. CityF Правила – http://www.phdays.ru/program/ctf.
  2. На PHDays московский десятиклассник взломал электрическую подстанцию небольшого города – http://www.phdays.ru/press/news/62000.
  3. PHDays VI: нарушена работа ГЭС и затоплен город – http://www.securitylab.ru/news/482206.php.
  4. Andrey Dugin @blog – http://aodugin.blogspot.ru/search/label/PHDays.

Подготовил Андрей Дугин


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-41
Fax: (499) 277-12-45
E-mail: sa@samag.ru