Скоро состоится очередной Positive Hack Days, в рамках которого традиционно пройдет «Противостояние» – многочасовая кибербитва между Защитниками и Атакующими и, пожалуй, самая напряженная часть всего мероприятия.
Мы участвовали в «Противостоянии» в прошлом году. Было тяжело, но, без сомнения, очень круто. В этом году мы продолжим традицию, но правила «Противостояния» серьезно поменялись, и в этой заметке хотелось бы рассказать, в чем состоят эти изменения, насколько новые условия игры похожи/не похожи на реальную жизнь и как они повлияют на ход борьбы.
Базовая инфраструктура
Инфраструктура в этом году поменялась очень существенно и сразу по нескольким направлениям.
Во-первых, в городе появились сервисы и организации, которые находятся вне сферы активности Защитников и SOCов, хотя играют важную роль в городской жизни. Говорит ли это о том, что их совсем не будут защищать, неизвестно, организаторы оставляют некоторое пространство для сюрприза. Но на общем балансе это, безусловно, отразится, особенно если учитывать, что разные инфраструктуры тень гораздо теснее связаны между собой. Первая попытка провести эту интеграцию была еще в прошлом году (перехват SMS позволял проводить атаку на Банк, инфраструктура центра города позволяла атаковать любой объект), но сейчас этих связей гораздо больше.
Если перейти к характеристике «все как в жизни», то здесь тоже появилось очень интересное новшество – часть инфраструктуры вообще неподвластна Защитникам и SOCам. Ее невозможно ни защитить, ни пропатчить. Внутреннее чутье подсказывает, что именно в этой части стоит ждать основных сюрпризов с точки зрения древного legacy софта, дефолтных паролей, уязвимостей из времен перестройки и настоящей уличной магии. Действительно, в реальной жизни так часто и бывает: у клиентов есть сервисы, которые сделаны в стародавние времена и «by design» устроены так, что с ними ничего нельзя сделать. Приходится жить с некоторым объемом проблем и уязвимостей в инфраструктуре, учитывать их в профиле угроз и пытаться работать на уровне компенсирующих мер и мониторинга (который там зачастую тоже ограничен). Естественно, такие элементы и сервисы станут основной головной болью для Защитников, основным вектором внимания SOCов и точкой максимального первого усилия Атакующих, потому что, зацепившись за инфраструктуру, двигаться к своей цели им будет значительно проще.
Экономика игры
Одно из сильных и крутых нововведений – это, конечно, ограничение на возможность использования средств защиты и механизмов отражения атаки. Появилась настоящие бюджетные ограничения. Теперь нужно думать, что для тебя важнее – эффективнее защитить периметр, воткнуть песочницу или закрыть свои веб-сервисы. И, учитывая профессионализм Атакующих, это похоже на сборку неполного доспеха – «что мне важнее, голова или живот». При этом стоимость одного и того же средства защиты оценивается очень по-разному в зависимости от того, стоит оно в режиме мониторинга или в разрыв. То есть если система IDS становится IPS, или если WAF автоматически блокирует атаки, они начинают стоить гораздо дороже. И хотя, на первый взгляд, это совсем не похоже на реальность, подход имеет право на существование. Хотя стоимость лицензии для вендора, как правило, не зависит, от пассивного или активного режима, надо учитывать полные расходы на эксплуатацию. Поддержание актуальных сигнатур, тюнинг правил под изменяющийся приклад и веб-ресурсы во избежание ложных срабатываний и блокирования легитимных вопросов – все это выливается в круглую сумму, поскольку требует экспертизы людей, обслуживающих систему, обеспечения режима 24*7 для непрерывности эксплуатации и прочих «приятных» мелочей в расходных статьях бизнеса и ИТ.
Из подарков защитникам – opensource абсолютно бесплатен. Поэтому маги безопасности от Защитников, работающие в режиме скриптов, кастомных сигнатур и тюнинга базовых конфигурационных правил, получают существенное преимущество. Хотя в реальности такой подход в enterprise-среде не слишком популярен, т.к. всегда комфортнее опираться не только на свой собственный опыт, но и на наработки и экспертизу вендоров.
Что нас, как команду SOCа, смущает, так это высокая стоимость услуг SOC во внутренней игровой валюте. В игре сервисы SOC съедают половину ИБ-бюджета компании, хотя охватывают только задачи мониторинга и контроля защищенности. В реальной жизни распределение бюджетов несколько отличается:).
Внешний мир
Из странных, но тоже обоснованных отличий инфраструктуры «Противостояния» от реальной жизни, – очень непривычный «Интернет». Все соединения и в прошлом году, и в этом будут приходить из-под одного NATируемого адреса. Причина подхода понятна – очень высоко искушение для Защитников пренебречь правилами fair play и временно блокировать сессии атакующих по ip (тем более, что в реальной жизни при фокусной атаке такие способы иногда применяются даже с некоторыми рисками для бизнеса). Но, с другой стороны, это кардинально меняет жизнь Защитников и SOCов: автоматически перестанут работать все правила и сценарии детектирования, нацеленные на профилирование внешних активностей, превышение статистики и энтропии с адресов и прочие статистические модели. Благо, обо всем этом известно заранее, и у SOCов есть время переработать свой контент в соответствии с другими критериями и ключевыми характеристиками.
Не обойдет это изменение и жизнь Защитников: вместо возможности заблокировать ip и взять паузу на 5-10 минут для выработки противомер, теперь придется принимать решения в условиях непрерывной атаки, параллельно пытаясь погасить попытки более глубокого проникновения. Да и противомеры понадобятся более изощренные. Это может быть написание кастомных сигнатур или непрерывное отрубание вредоносных сессий в полуавтоматизированном режиме. Это добавит «Противостоянию» динамики и интеллектуальной борьбы.
Само мероприятие называется «Враг внутри», поэтому можно надеяться, что помимо внешних «лобовых» атак появятся спящие ботнеты и вредоносное ПО в инфраструктуре, социальная инженерия и прочие прелести текущих подходов к сложным атакам. Поскольку это действительно один из самых актуальных векторов атаки в настоящей жизни, высокоэффективный и при этом относительно «дешевый» для злоумышленников, Защитникам и SOCам крайне интересно будет проверить свои наработки. Ведь для быстрого противодействия надо очень хорошо понимать свою инфраструктуру и очень внимательно за ней следить.
Очередное мероприятие создает отличную атмосферу и полигон для тестирования и проверки гипотез: Атакующие в очередной раз проведут интересную для себя работу по попытке незаметной атаки на «настороженную» и защищенную инфраструктуру, защитники проверят свою скорость реакции и готовность жить в режиме нехватки времени на принятие решение, центры мониторинга – насколько раскинутые ими «щупальца» успешно накрывают инфраструктуру заказчика и детектируют экзотические атаки. В любом случае, будет нескучно, поэтому всем советуем добраться до PHDays и хоть небольшую толику времени уделить проходящему «Противостоянию».
Автор: Solar Security