Совсем скоро Positive Hack Days в очередной раз устроит зарубу, столкнув лицом к лицу хакеров, безопасников, аналитиков и экспертов ИБ на The Standoff.
В этом году мы, смелые и решительные парни из Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT, усилим команду Jet Security Team — будем помогать нашим защитникам давать отпор атакующим. Обычно наши будни состоят из непрерывного контроля, анализа и поддержания уровня ИБ защищаемого сегмента, но челлендж в виде крутой кибербитвы нам тоже не помешает.
Мы идем на «Противостояние» впервые, однако в целом задачи, поставленные на соревновании, приближены к нашей повседневной работе: необходимо на неизвестной инфраструктуре выстроить и наладить процессы по обнаружению и расследованию инцидентов, а также по реагированию на них. Под настройку инфраструктуры нам дается крайне мало времени – всего лишь месяц. А это значит, что все майские удовольствия – шашлыки, посадку картошки и другие приключения – нам придется отложить. Сегодня нам хочется поделиться ожиданиями от предстоящей кибербитвы.
Начнем с хорошего: в инфраструктуре «Противостояния» защитникам можно крутить любые настройки, политики и ставить все, что пожелается разрешат организаторы. На реальных проектах всё обычно упирается в возможности заказчика, наличие тех или иных СЗИ на площадке и сводится к поиску золотой середины между возможностями и пожеланиями заказчика – часто не в ущерб обязательным аспектам, связанным с построением процесса мониторинга. Чтобы наладить процессы реагирования в нашем виртуальном городе, понадобится более тонкий подход. Просто так закрыть порты сервисов и заблокировать все адреса «жуликов» не получится, ведь организаторы со своей стороны будут проверять доступность/недоступность ресурсов инфраструктуры, да и вообще сделают все, чтобы обеспечить баланс защиты и нападения. При этом у нас есть четкое представление, что на момент начала соревнований инфраструктура не будет скомпрометирована. В то же время, по правилам игры, в ней точно запрячут кучу лазеек для хакеров. Как и другие команды защитников, мы знаем точное время начала и конца предполагаемых атак, и это наверняка поможет нам собрать все силы на отражение сконцентрированного количества атак в определенный период.
В этом году на The Standoff впервые пройдет хакатон для разработчиков приложений. Не трудно догадаться, что эти приложения разместят в инфраструктуре защитников, и все дыры разработчики будут латать на коленке прямо по ходу мероприятия. Это в основной степени создаст дополнительные векторы атаки, подготовиться к которым получится вряд ли. Зато мы получим новый опыт по построению взаимодействия с «внутренней» командой разработки и по выявлению и устранению уязвимостей в онлайн-режиме, что тоже круто.
В целом, The Standoff – это одно из самых масштабных мероприятий формата CTF. Наша главная цель – прочувствовать на себе таргетированные атаки на инфраструктуру, попробовать новые методы и сценарии выявления инцидентов, которые у нас нет возможности протестировать на реальных проектах. До встречи на PHDays!
Автор: CSIRT