 |
|
|
|
Positive Hack Days VI CityF. Противостояние глазами Защитника
Positive Hack Days VI CityF 17-18 мая в Москве прошла VI ежегодная конференция PHDays, посвященная практическим аспектам информационной безопасности. Кроме конференции, разделенной на бизнес- итехнический потоки, мастер-классов и конкурсов, организаторы сделали акцент на соревновании, похожем на Capture The Flag (CTF), но гораздо более масштабном
События происходили в «виртуальном городе». Для участников состязания было подготовлено пять инфраструктурных объектов, которые нужно было одним – взломать, другим – защитить:
Сторон Противостояния было три:
Поскольку автор статьи участвовал в составе команды Защитников телекоммуникационного сектора, ракурс обзора будет соответствующий. На каждый инфраструктурный объект для его защиты и оперативного реагирования назначалась пара Защитник + SOC. С нашей сборной командой телеком-защитников «You Shall Not Pass» из крупных операторов связи в тандеме работал Solar JSOC, команда «False Positive».
Сборная команда телеком-защитников «You Shall Not Pass» из крупных операторов связи и Solar JSOC, команда «False Positive» За две недели до начала соревнований Защитникам и SOC был предоставлен удаленный доступ в свой сегмент инфраструктуры для его инвентаризации, установки ипредварительной настройки средств защиты, а также интеграции защищаемых ресурсов с SIEM-системами. Вычислительная инфраструктура, предоставленная для сражения, была полностью виртуализирована, поэтому средства обеспечения информационной безопасности также требовалось разворачивать в виде виртуальных машин. Аппаратные решения разрешались только переносные, не требующие установки в серверную стойку. На этом ограничения ксамим средствам защиты заканчивались. Разрешалось использовать решение любого производителя, платное или бесплатное, на усмотрение команд. В случае необходимости организаторы оказывали содействие вполучении временных лицензий на коммерческие средства обеспечения информационной безопасности. 17-18 мая на площадке команды обороняющего тандема и хакеров поместили в разные концы одного большого зала. Защитникам и SOC предоставили по одному столу на шесть человек каждой команде с возможностью подключения к сети электропитания и Ethernet в защищаемую инфраструктуру. У атакующей и защищающей сторон были определенные ограничения в перечне действий. Ограничения для хакеров:
Ограничения для Защитников и SOC:
Началось Противостояние в 11:00 17 мая, закончилось в 16:00 18 мая. Запреты для Защитников и SOC, несмотря на заверения о «максимальном приближении к реальности» на официальном сайте конференции [1], делали уровень защиты сети намного ниже, чем принято в телекоме. Но организаторам необходимо было привлечь внимание общества, бизнеса и государства к необходимости защиты «Интернета вещей» и других подключаемых к публичным сетям систем управления критической инфраструктурой, а также соблюдения мер информационной безопасности при работе с банковскими сервисами.
Для этого соревнования должны содержать элементы шоу с резонансными взломами [2], привлекающие внимание общественности к проблемам информационной безопасности современных систем. Поэтому в некоторых случаях понижение уровня безопасности защищаемых систем было беспрецедентным. Но стоит отдать должное – шоу с взломом ГЭС изатоплением города [3], переданное затем по новостным каналам, было эффектным. Краткий перечень мер, предпринятых командами Защитников и SOC для обеспечения безопасности защищаемых элементов:
Кроме описанного выше краткого перечня мер, пришлось применить одно довольно нестандартное решение. Для того чтобы хакеры после неудавшихся попыток взлома не теряли интерес к атакуемому сегменту, организаторы периодически без предупреждения защищающих включали новые серверы, содержащие уязвимости в ПО и/или некоторые настройки по умолчанию. Дальше – кто быстрее: «найти и взломать» или «найти и обезвредить».
Объект защиты и нападения – участок железной дороги, частично взломанный хакерами Особенно высокая интенсивность появления уязвимых серверов была на второй день соревнований. Новые сервисы на базе различных UNIX-систем практически все были подвержены уязвимости CVE-2015-5600 SSH-сервиса, закрытую не во всех репозиториях. Уязвимость позволяет подключившемуся по SSH пользователю/машине выполнять перебор паролей либо вызвать отказ в обслуживании в связи с использованием ресурсов CPU. В нашей ситуации – более чем реальный вариант развития событий. Для того чтобы не выполнять обновление из исходных кодов в срочном порядке, трафик SSH и RDP, инициированный в сторону серверов DMZ из всех подсетей, кроме Защитников и SOC, настройками активного сетевого оборудования был перенаправлен через Balabit Shell Control Box. Как правило, данное решение используется для неотключаемого протоколирования действий пользователей, но в ситуации Противостояния ключевым фактором оказались неуязвимость проксирующего модуля zorp-ssh уязвимости CVE-2015-5600 и возможность регулирования количества вводов пароля на стороне SCB. В результате Противостояния из элементов нашей инфраструктуры хакерами была проэксплуатирована уязвимость только одного веб-сервера без влияния на «виртуальный бизнес», за что хакеры получили единственный «флаг» в течение всего соревнования. Сервер был из числа «дырявых», включенных на второй день организаторами. Взлом был обнаружен через пять минут, после чего соответствующая сигнатура IPS была переведена из режима мониторинга в блокировку, проведено обновление сервера и изменены атрибуты доступа.
Объект защиты и нападения – электроэнергетическая компания, у которой была нарушена работа ГЭС и затоплен город В целом впечатления от соревнования положительные, особо хочется отметить профессионализм SOC, с которым мы плечом к плечу работали 29 часов подряд. Как всегда, в мероприятии, которое проводится впервые, есть что улучшать. Я бы обратил внимание организаторов на такие аспекты:
На следующий год необходимо будет как минимум провести конкурс на том же уровне, чтобы не разочаровать участников, зрителей и общественность. Более официальную информацию можете найти на сайте организатора [1], неофициальную – в моем блоге [4].
Подготовил Андрей Дугин |
Комментарии отсутствуют
| Добавить комментарий |
|
Комментарии могут оставлять только зарегистрированные пользователи |
|
