Итак, продолжаю свой рассказ о "Противостоянии" на PHDays-VII в 2017 году. Вводная часть, чуть менее пространная, чем прошлогодняя, была опубликована ранее. В этом году я не самый первый начал описывать процесс, и на просторах Интернета уже начались толки-перетолки. Буду потихоньку расставлять все на свои места.
Наша команда You Shall Not Pass и в этом году играла на стороне телеком-защиты. Но, если по сценарию прошлого года наш фрагмент сети больше напоминал среднего размера офис с небольшой серверной, а от телекома были только околотелефонные сервера типа личного кабинета абонента, то в этом году инфраструктура стала реально похожа на сеть небольшого провайдера.
Вместо плоской сети, от которой ничего не зависело (2016), нам дали IP/MPLS-сеть, которая реально объединяла другие объекты, защищающие себя самостоятельно:
Вопреки ассоциациям со словом "телеком", защищать радиоэфир GSM-сети нам не давали ни в прошлом году, ни в этом. Не давали от слова "вообще". Максимум, что мы могли - снифать дамп трафика и определять в нем аномалии, а также видеть то же самое, что и хакеры. А это не синоним слову "защищать". Из околотелефонных вещей доступ для конфигурирования нам дали только к устройству IP-телефонии. И то потом с ним были отдельные свистопляски. Об этом я отдельно напишу.
Пытались настоять, но ответ был один: не положено, такие условия, защищайте IP/MPLS. И мы защищали.
Наша команда You Shall Not Pass и в этом году играла на стороне телеком-защиты. Но, если по сценарию прошлого года наш фрагмент сети больше напоминал среднего размера офис с небольшой серверной, а от телекома были только околотелефонные сервера типа личного кабинета абонента, то в этом году инфраструктура стала реально похожа на сеть небольшого провайдера.
Вместо плоской сети, от которой ничего не зависело (2016), нам дали IP/MPLS-сеть, которая реально объединяла другие объекты, защищающие себя самостоятельно:
- Банк
- Офис 1
- Офис 2
- Нефтеперерабатывающая компания
- Железнодорожная компания
- Энергетическая компания
- Сетевое оборудование IP/MPLS
- GSM (IP-интерфейсы управления)
- Абоненты фиксированной сети
- Сервера
- Интернет вещей
- Свои рабочие станции
Вопреки ассоциациям со словом "телеком", защищать радиоэфир GSM-сети нам не давали ни в прошлом году, ни в этом. Не давали от слова "вообще". Максимум, что мы могли - снифать дамп трафика и определять в нем аномалии, а также видеть то же самое, что и хакеры. А это не синоним слову "защищать". Из околотелефонных вещей доступ для конфигурирования нам дали только к устройству IP-телефонии. И то потом с ним были отдельные свистопляски. Об этом я отдельно напишу.
Пытались настоять, но ответ был один: не положено, такие условия, защищайте IP/MPLS. И мы защищали.
Как
стало ясно потом из хроник: в SMS, по сценарию, бегала ценная информация, которую хакеры должны были проснифать и доложить организаторам. Дополнительные средства защиты от перехвата на GSM
сделали бы участие хакеров совсем тяжким и унылым, заставив забить на эту сторону вопроса. Как ни крути, организаторам
нужно превращать "Противостояние" в шоу, иначе никто не будет интересоваться. А шоу без резонансных событий, о которых
можно потом заявить с трибуны и в прессе, не получится. Если применить средства
защиты абсолютно на все системы, то "Противостояние" в глазах зрителей
будет скучной онлайн-битвой задротов,
вооруженных ноутбуками. Причем битвой с серьезным преимуществом со стороны защиты и нулевым драйвом для праздношатающихся. Зрелища не получится, внимание общества не привлечешь.
Поэтому без поддавков хакерам в "Противостоянии" никак.
Поэтому без поддавков хакерам в "Противостоянии" никак.
Абоненты фиксированной сети не были абонентами в полном смысле этого слова, с аутентификацией, авторизацией и учетом, домосвичиками, BRAS'ами, RADIUS-сервером, биллингом и т.п. Хотя, в этой связке тоже можно было сделать много интересного для хакеров и сложного для защиты. Абоненты просто получали IP-адрес и доступ в сеть Интернет. Нашей задачей было защитить их от взлома, при этом не нарушив функционирование предоставляемого сервиса.
После прошлогоднего взлома ГЭС и затопления города тема ИБ АСУ ТП резко поднялась в популярности и, конечно, бюджетировании. За последние полгода популярнее в ИБ, чем АСУ ТП, начал становиться только Интернет вещей. Именно Интернету вещей, насколько я понял, и собирались посвятить "Противостояние" 2017 года, но резонансного взлома IoT не произошло, причем очень сильно из-за наших мер защиты. Я несколько месяцев назад предположил несколько вариантов защиты IoT и искал возможность поэкспериментировать. Теме IoT в соревнованиях и наших действиях я уже посвятил выступление на Инфофоруме в Ханты-Мансийске, обязательно посвящу отдельную заметку в блоге. Уж очень удачно "Противостояние" подвернулось для тестирования архитектуры защиты IoT.
Сервера в нашем ведении делились на защищаемые и незащищаемые. Защищаемые - то, что мы админили (DNS, NTP, личный кабинет etc) и то, что мы якобы хостили (гитхаб локального разлива, еще пара серверов). Защищаемые сервера мы админили и были вольны делать с ними что угодно, что бы не нарушило их работоспособность. То, что хостили, по условиям, нельзя было защищать никак. Это были сервера, предназначенные для помощи хакерам. На них находилась либо ценная легкодоступная информация, либо учетные записи со слабыми паролями.
Наши рабочие станции, как и рабочие станции админов (организаторов) были недоступны из псевдоинтернета, поэтому особой защиты от хакеров не нужно было.
Вкратце такие у нас были объекты защиты. Продолжение следует.
Комментариев нет:
Отправить комментарий