Глазами "защитника":
как мы участвовали в Positive Hack Days CityF
"Противостояние".
Часть 2.
С частью 1 (общее
описание и введение) можно ознакомиться
постом
ранее.
Итак, наша сборная
команда защитников телекома в тандеме
с JSOC защищала публичные сервисы на базе
IP, характерные для оператора связи:
личный кабинет, портал, сервисы отправки
платных сообщений, прочий VAS и т.п.
Конечно, неотъемлемой частью нашей
задачи было обеспечение безопасности
сетевого оборудования.
По поводу команды: нам
пришлось работать с коллегами-конкурентами,
с которыми мы до этого не были знакомы,
и я, когда только узнал об этом, думал,
что сначала мы, как в "Мстителях",
пересобачимся друг с другом, определяя,
кто круче, а потом начнем дело делать.
К счастью, я оказался неправ, и причина
банальна: у нас не было на это времени.
Негласный принцип был такой: если ты
крут - красава, молодец, мы в тебя верим,
твой талант признаем и не оспариваем,
РАБОТАЙ! А я просто пересмотрелся
боевиков :)
В "виртуальном
городе", где происходили вышеописанные
события, было 5 объектов инфраструктуры,
за которые и шла борьба:
- городской офис;
- банк 1;
- банк 2;
- энергетическая компания;
- телекоммуникационная сеть.
Естественно, без нормального технического обеспечения ни город не работал бы, ни средства защиты. Для оперативного мониторинга событий информационной безопасности, предотвращения и отражения хакерских атак организаторы нам предоставили:
- удаленный доступ для предварительной настройки до начала состязаний;
- рабочие места на очную фазу соревнований;
- статистов-пользователей;
- карту сети;
- инфраструктуру сети и серверов;
- логины-пароли админа к уже подготовленным элементам (сеть, сервера);
- вычислительные мощности для развертывания систем обеспечения информационной безопасности и оперативного мониторинга;
- полную свободу выбора средств защиты;
- содействие в получении тестовых временных лицензий у производителей коммерческих средств защиты информации.
Само собой, удаленный доступ в свой сегмент мы получили немного заранее, для пуско-наладки необходимых нам систем обеспечения информационной безопасности. Иначе не успели бы ничего толком сделать. Жаль, конечно, что часть этого времени пришлась на Пасху и майские. Противостояние противостоянием, а картошка требует интеграции в почву, и тоже в сжатые сроки. Каждый расставлял приоритеты по-своему.
Отдельное спасибо нашему коллеге Геннадию Шастину, который, по сути, собрал всю команду и грамотно пинал всех с нужной силой и интенсивностью по нужным органам до точки невозврата. Раньше я его знал как просто хорошего квалифицированного специалиста, а тут еще и организаторские навыки проявились. Гена, ты, по сути, в одиночку с толкача завел паровоз, наша команда тебя нереально благодарит, но не зазнавайся :)
Рабочие места как таковые для нас отсутствовали, только ethernet для подключения ноутбуков и розетки электропитания. Но это нормально: мы бы только озадачили организаторов, чтобы унести ПК назад. За своим ноутом работать привычнее. Рабочие места в виде стационарных ПК были только у статистов-пользователей, которым надо было изображать активность среднестатистического юзера: читать почту, кликать вредоносные ссылки, сидеть в соцсетях и жаловаться, что мало платят. Взаимодействовать с пользователями было запрещено.
Карта сети содержала исключительно L3-информацию по
подсетям и их топологическому расположению. Что в какой сети находится -
нужно было выяснить самостоятельно. С одной стороны - усложнение
задачи, с другой - лишний впрыск драйва. То есть, чтобы найти и обезвредить сервера, мы использовали ARP-таблицы L3-терминирующих устройств и сканнеры, разворачивали элементы инфраструктуры типа всусов и т.п., обновляли, переконфигуряли, интегрировали... Все это, в том числе и сетевое оборудование, было на виртуалках. На установочной встрече Сергей Павлов из Позитивов обещал, что вычислительных мощностей будет, по крайней мере, больше, чем у него на домашнем компе, и, похоже, не обманул. Но потело это оборудование от нагрузки знатно, мы-то не стеснялись в запросах необходимых виртуалок, да и хакеры запускали вагон сканов одновременно.
По средствам защиты информации: я было полагал вначале, когда Гена только-только начал нас пинать, что Позитивы как организаторы будут пытаться навязать свои продукты и решения для их пиара, ан нет, была не только полнейшая свобода выбора любых средств, но и активное содействие в получении временных лицензий у любых коммерческих поставщиков. Это тоже легко объясняется: загоняя в рамки использования своих продуктов, организаторы ограничили бы защитников, резко превратив противостояние в публичное тестирование и дали бы пространство для обвинений в рекламе и манёвра по отмазкам в случае резонансного взлома. Да я и сам какой-нибудь жесткий косяк в защите старался бы списать в этом случае на впаренное решение, что греха таить. Плюс, если навязываешь для реального противостояния - изволь обучить довольно глубоко и бесплатно, да еще дай золотой саппорт на время конкурса, потеряв свои человекочасы, что явно не входило в планы организаторов :)
А так: уважаемые защитники и соки, вот вам глоток свободы, смотрите, не захлебнитесь. Будет все хорошо - ну и ладно, если же будет все не совсем хорошо, всегда можно сказать: "А вот если бы у вас был наш MaxPatrol сканнер или MaxPatrol SIEM...", а можно и не сказать, в зависимости от ситуации. Правда, не слышал пока, чтобы такое говорили или даже намекали.
В общем, подготовка к соревнованиям прошла очень даже неплохо. Конечно, не без нюансов типа перебоев с инфраструктурой, когда сеть курит бамбук из-за нагрузки на гипервизор, но это рабочие моменты, вполне нормальные для первого события подобного масштаба. В этом году набили шишки, теперь в следующем с подготовкой будет проще, предсказуемее, а следовательно, останется время на фантазию.
Комментариев нет:
Отправить комментарий