Противостояние-2019 глазами защитника и SOC

Наша команда "You Shall Not Pass" в этом году уже четвёртый раз принимает участие в "Противостоянии", которое проводится в рамках конференции Positive Hack Days. Фактически, единственные, кто в роли защитников играет в эту игру с самого начала её существования. В этом году мы выступили в составе двух команд: телеком-защита и SOC. Обе команды назывались "You Shall Not Pass".

Наш SOC на PHDays мониторил инфраструктуру двух команд: собственной и клиента. В реальной жизни все происходит аналогично: у нашей компании есть корпоративный SOC, который обеспечивает защиту своей инфраструктуры, и коммерческий, предоставляющий услуги SOC внешним клиентам. По сути, для нас Противостояние каждый год является своего рода киберучениями, где мы тестируем свои методы защиты от атак, которые на тестовой среде не воспроизведешь, а на продуктиве - слишком рискованно. Поэтому псевдопродуктив площадки очень в этом помогает.

PHDays-2017. Противостояние глазами защитника. Часть 2. Объекты защиты

Итак, продолжаю свой рассказ о "Противостоянии" на PHDays-VII в 2017 году. Вводная часть, чуть менее пространная, чем прошлогодняя, была опубликована ранее. В этом году я не самый первый начал описывать процесс, и на просторах Интернета уже начались толки-перетолки. Буду потихоньку расставлять все на свои места.



Наша команда You Shall Not Pass и в этом году играла на стороне телеком-защиты. Но, если по сценарию прошлого года наш фрагмент сети больше напоминал среднего размера офис с небольшой серверной, а от телекома были только околотелефонные сервера типа личного кабинета абонента, то в этом году инфраструктура стала реально похожа на сеть небольшого провайдера.

PHDays-2017. Противостояние глазами защитника. Часть 1. Введение

Обленился я немного. В прошлом году через 2 недели после "Противостояния" я уже 5 заметок написал, а в этом году - еще ни одной. При том, что о PHDays-VII и "Противостоянии" на нем уже многие высказались, даже те, кто и не думал участвовать. Событие популярное, почему бы и не обсудить. Но наиболее ожидаемые читателями заметки - от самых непосредственных участников, поэтому пришла и моя очередь.

В 2017 году 23-24 мая проходила международная конференция по информационной безопасности Positive Hack Days VII. В рамках неё, как и год назад, проводились соревнования CTF "Противостояние".
В этом году наша команда You shall not pass тоже участвовала в "Противостоянии" в качестве телеком-защитников. Большей частью все было как в прошлом году. Мы, как и в в прошлый раз, работали в тандеме с SOC False Positive от JSOC. Который, в отличие от меня, уже успел описать свою часть саги о противостоянии. Конечно, нам предлагали выступить и со своим выделенным телеком-SOC, о котором я рассказывал 23 мая 2017, но без влияния на ИБ-процессы нам было сложно на полных 2 дня снять с работы людей для ролей и защитников, и SOC в этом году. "Противостояние" - это хорошо, но защита бизнеса компании прежде всего.

PHDays CTF: "Противостояние" глазами "защитника". Часть 5. Сражение

Глазами "защитника": как мы участвовали в Positive Hack Days CityF "Противостояние". 

Часть 5. Сражение
С частью 4 (ограничения для защитников и SOC)  можно ознакомиться постом ранее.

Итак, ранее я описал суть соревнований, техническое обеспечение и процесс подготовки, а также определенные ограничения для тандема из "защитников" и SOC. Также, если интересно, мнение о взломе ГЭС.

Стоит приступить к описанию самого процесса противостояния - так сказать, битвы, которая длилась 29 часов - с 11:00 17 мая 2016 по 16:00 18 мая 2016.

Предварительно командами защиты и оперативного реагирования было проведено:

• исследование сети;
• инвентаризация инфраструктуры;
• установка и преднастройка необходимых средств защиты;
• реконфигуринг и патчинг дырявых серверов;
• смена паролей, которые можно хотя бы запомнить.

Естественно, первое, что было сделано незадолго до начала - проверка работоспособности и инвентаризация ресурсов. Cразу же были обнаружены некоторые, доселе неизвестные нам, сервера, причем многие из них по факту скана оказались довольно дырявыми. Как я уже неоднократно писал, организаторы хотели шоу, и без таких фокусов было бы не очень весело.

PHDays CTF: "Противостояние" глазами "защитника". Часть 4. Ограничения

Глазами "защитника": как мы участвовали в Positive Hack Days CityF "Противостояние". 

Часть 4. Ограничения для команд защиты и оперативного мониторинга.
С частью 3 (мнение о взломе ГЭС)  можно ознакомиться постом ранее.

На официальном сайте конференции есть довольно пафосная цитата:

На этот раз вместо привычных соревнований CTF, мы устраиваем настоящие военные действия. События на площадке будут максимально приближены к реальности: на полигоне PHDays VI СityF развернется масштабная эмуляция городской инфраструктуры.

Вот насчет выделенного жирным и хотелось бы поговорить.

PHDays CTF: "Противостояние" глазами "защитника". Часть 3. Мнение о резонансном взломе ГЭС

Бои без правил. Организуется поединок между бойцами Орком и Гоблином. Бойцы начинающие, но публика козырная и при деньгах. Влиятельный любитель таких боев, чиновник, крышующий организаторов, делает очень крупную ставку на то, что Гоблин победит. И тут Орк наносит хороший удар в корпус, после которого Гоблин "плывет". Судья, вопреки правилам, засчитывает это как удар в пах, отводя в сторону Орка со штрафным очком и предоставив время на восстановление Гоблина. В процессе быстро шепчет Орку: "Тебе нужно лечь. Папа сказал". И Орк, отлично понимая, что даже если он победит и заберет приз, то в будущем карьера бойца в этой организации для него закрыта, начинает быстро соображать, глядя на постепенно приходящего в себя Гоблина, как подставиться под "нокаутирующий" удар, чтобы было правдоподобно и убедительно для зрителя.

Уже на следующий день после конференции PHDays-2016 весь Интернет пестрел новостями о том, как школьник взломал электростанцию и как хакеры после успешного взлома остановили ГЭС и затопили город. 
Я участвовал в составе "защитников" телекома, поэтому мнение основано на анализе ситуации и аналогиях с моей колокольни, но без знания деталей взлома SCADA.

PHDays CTF: "Противостояние" глазами "защитника". Часть 2. Подготовка

Глазами "защитника": как мы участвовали в Positive Hack Days CityF "Противостояние". 

Часть 2. 

С частью 1 (общее описание и введение) можно ознакомиться постом ранее.

Итак, наша сборная команда защитников телекома в тандеме с JSOC защищала публичные сервисы на базе IP, характерные для оператора связи: личный кабинет, портал, сервисы отправки платных сообщений, прочий VAS и т.п. Конечно, неотъемлемой частью нашей задачи было обеспечение безопасности сетевого оборудования.

По поводу команды: нам пришлось работать с коллегами-конкурентами, с которыми мы до этого не были знакомы, и я, когда только узнал об этом, думал, что сначала мы, как в "Мстителях", пересобачимся друг с другом, определяя, кто круче, а потом начнем дело делать. К счастью, я оказался неправ, и причина банальна: у нас не было на это времени. Негласный принцип был такой: если ты крут - красава, молодец, мы в тебя верим, твой талант признаем и не оспариваем, РАБОТАЙ! А я просто пересмотрелся боевиков :)

PHDays CTF: "Противостояние" глазами "защитника". Часть 1. Описание

Глазами "защитника": как мы участвовали в Positive Hack Days CityF "Противостояние". Часть 1.

17-18 мая 2016 года на конференции Positive Hack Days в Москве проводился характерный для крупных событий по практической информационной безопасности конкурс Capture The Flag (CTF). В этом году организаторы несколько модифицировали состязание, придав ему формат "противостояния" сил добра и зла в виртуальном городе, как и анонсировалось на сайте конференции PHDays-2016.

Естественно, что желающих попробовать свои силы в конкурсе было немало. Участников разделили не на 2, а на 3 функциональных направления:

• Хакеры - естественно, их целью было получить несанкционированный доступ к защищаемым ресурсам.
• Защитники - как очевидно из названия, главной задачей является предотвращение взлома и/или быстрое устранение его причин и последствий.
• SOC - оперативный мониторинг подозрительных событий информационной безопасности, оповещение "защитников", совместный анализ и реагирование на инциденты.

Поскольку я участвовал в этом соревновании в качестве члена команды "защитников" инфраструктуры телекоммуникационного оператора, то дальше расскажу о мероприятии глазами инженера по защите информации.