Категории

Cуществуют следующие способы оплаты за занятия:

  • Абонемент на 8 посещений (срок действия 1 месяц) - 300 грн.;
  • Абонемент на 4 посещения (срок действия 1 месяц) - 200 грн.;
  • Абонемент на 12 посещений(срок действия 1 месяц) - 400 грн.;
  • Разовое посещение - 60 грн.
(ДЛИТЕЛЬНОСТЬ ЗАНЯТИЙ ПО 1,5 ЧАСА)

Протистояння: хакерам нудьгувати не доведеться

  1. Команди захисту з відкритим забралом
  2. Практика понад усе
  3. Місто під куполом
  4. Потрібно готуватися до кругової оборони
  5. секретна зброя
  6. Переможе ... дружба?

Наше деловое партнерство www.banwar.org

Дата публікації: 22 травня 2017

до протистояння залишилися лічені години: напруга зростає, часу на підготовку все менше, хакери вже попередили, що налаштовані взяти реванш і щосили готуються до бою. Однак захисники, судячи з усього, готові дати серйозну відсіч: традиційно напередодні старту кібербітви ми намагаємося з'ясувати, що припасено в рукавах у обох сторін. Учасники команд захисту поділилися з нами своїми стратегічними планами.

Команди захисту з відкритим забралом

За правилами Протистояння хакерам протистоять команди захисників і експертних центрів моніторингу (SOС). «Мета Протистояння - зіштовхнути дві протиборчі сторони в більш-менш контрольованому середовищі, щоб подивитися, що переможе - цілеспрямовані атаки або цілеспрямований захист. На роль захисників і SOC прийшли експерти галузі - інтегратори, вендори і ті, хто виконує функцію ІБ на стороні замовників », - коментує член оргкомітету PHDays Михайло Левін.

Цього року деякі учасники відкрито заявили про себе і представляють кожен свою компанію. Отже, зустрічаємо команди захисників:

  • SPAN (збірна компаній «Сервіоніка» і Palo Alto Networks),
  • On Rails! (Збірна експертів ІБ, включаючи представників IBM),
  • Jet Security Team ( «Інфосистеми Джет»),
  • GreenDef (КРОК),
  • You shall not pass.

Команди SOC: «Перспективний моніторинг» і False Positive.

Практика понад усе

Мета участі в Протистоянні у кожної команди своя. Деякі прагнуть перевірити свої власні продукти і сервіси. Так, наприклад, команда On Rails! , Що представляє IBM і практикуючих експертів in-house SOC вирішила спробувати свої сили в Протистоянні з рішеннями з портфеля IBM Security. Перевірити в бойових умовах ряд нових продуктів планує і команда SPAN «У рамках напряму інформаційної безпеки в" Сервіоніке "розроблений ряд послуг, що надаються за схемою security as a service. Ми вже накопичили певну проектну практику їх застосування та хочемо перевірити ряд нових рішень, в тому числі рішення від нових вендорів, співпраця з якими зараз обговорюємо », - поділився планами учасник команди Аскар Добряков.

Втім, у дечому мети атакуючих і захисників збігаються: і ті й інші прийшли на PHDays, щоб перевірити на міцність команду і обмінятися досвідом з колегами по цеху. Наприклад, команда «Перспективного моніторингу» прагне випробувати свої сили, підвищити технологічну готовність до відбиття атак, а також зрозуміти, які вектори атак, можливо, вони не беруть до уваги. Для команди False Positive Протистояння - це можливість «зібрати команду небайдужих до ІБ людей і дати їм перевірити свої гіпотези».

Є серед учасників і вже свого роду «старички», успішно пробували свої сили в торішньому Протистоянні. «В минулому році наша команда складалася наполовину з співробітників комерційних і локальних центрів моніторингу. Цього року до нас приєднається ще пара легіонерів. Всі хлопці приходять зі своїми ідеями і напрацюваннями, і ми хочемо протестувати контент в бойових умовах - не тільки на замовника, а й в такій складній, нехай і штучної, ситуації, коли супротивників дуже багато, і вони атакують одночасно і дуже активно », - розповів учасник команди False Positive Володимир Дрюков. Або, наприклад, команда компанії КРОК - GreenDef. «Ми проаналізували всі особливості Протистояння 2016 року, зробили роботу над помилками і готові повторно дати відсіч кіберзлу нашої згуртованою командою захисників», - розповів Антон Голубков, експерт напрямки інформаційної безпеки компанії КРОК. Команда «Сервіонікі» також під враженням від минулого року і сподівається, що новий турнір запам'ятається азартом боротьби, складністю завдань і радістю перемоги. І звичайно, ніхто не скидає з рахунків плани отримати задоволення від гри і поспілкуватися з колегами. Юрій Сергєєв, капітан команди Jet Security Team, до речі, розглядає участь у Протистоянні ще й як свого роду тимбилдинг. «Опинитися під таким концентрованим вогнем, як на Протистоянні, - дуже цікавий досвід. Крім того, не так часто доводиться працювати в такій різношерстої команді, зібраної з усіх куточків департаменту, і побрейншторміть над абсолютно нетиповий творчої задачкою - як захист наших цифрових рубежів в Протистоянні », - пояснює він.

Місто під куполом

Місто під куполом

Захищати учасники будуть місто, в якому функціонують телеком-оператор, два офіси, ТЕЦ і підстанція, нафтова і залізнична компанія. Не обійшли стороною і все більш набирає популярність інтернет речей: організатори наповнили місто різними розумними пристроями. Об'єкти захисту, відповідно до правил Протистояння, команди захисників розподілили між собою.

Команда GreenDef захищає офісний сегмент. Вибір команди коментує Антон Голубков: «Офіс поєднує в собі велику кількість сервісів і технологій, що дає нам великий простір для творчості і, як наслідок, практичний досвід відпрацювання складних кейсів із захисту. З точки зору зловмисників офісний сегмент - один із найбільш ласих шматків пирога, тому тут будуть найзапекліші зіткнення, що, безсумнівно, додасть гостроти і ігрового азарту ». SPAN також вибрали для захисту офіс, оскільки це ближче до тих завдань, з якими вони стикаються в реальних проектах. «Це наш типовий об'єкт захисту, і тут як раз цікаво тренуватися, щоб зрозуміти в результаті: раптом ми щось десь втрачаємо в своїх розрахунках», - коментує Денис Батранков.

До них приєднається і команда False Positive, яка, крім цього, буде моніторити безпеку телеком-оператора. «У минулому році у нас був дуже цікавий спільний досвід з компанією захисників телекомів. Ми відмінно спрацювалися і знайшли синергетичні точки взаємодії, тому вирішили продовжити співпрацю, але в цьому році коло захищаються компаній буде ширше. Друга інфраструктура, яку ми вибрали, - офісна. За нашими відчуттями, вона може бути більш вразливою з точки зору внутрішнього фактора », - поділився Володимир Дрюков.

Підтримувати офісний сегмент буде команда SOC «Перспективний моніторинг». Основний об'єкт захисту Jet Security Team - підприємства з виробництва та транспортування нафтопродуктів. Безпека залізниць впала на плечі On Rails!

Потрібно готуватися до кругової оборони

Практично всі команди зійшлися на тому, що під ударом опиняться всі об'єкти інфраструктури. Капітан команди Jet Security Team вважає, що під безперервної атакою виявиться все, до чого хакери зможуть дотягнутися. З ним згоден і Володимир Дрюков: «Як і в минулому році, є відчуття, що ламати будуть всіх. Інфраструктура багата, скрізь є свої хитрощі і нюанси. Є сегмент АСУ ТП, який представляє дуже великий інтерес для дослідників, як і сегмент офісної інфраструктури. Плюс, все це дуже тісно взаємопов'язано, тому успішна атака на одну команду захисників дуже швидко стане проблемою і для інших. Часу достатньо багато, щоб учасники Протистояння, в тому числі атакуючі, встигли перевірити всі свої ідеї на практиці ».

Антон Голубков пояснює це тим, що місто являє собою єдиний організм з великою кількістю взаємозв'язків між компонентами, тому будуть вжиті атаки на всі об'єкти. За його прогнозами, найбільш масовим атакам піддадуться офісний і банківський сегменти, так як потенційно вони можуть бути базовою точкою для проведення атак на іншу інфраструктуру міста. Що стосується схем атак, то в першу чергу, на думку Антона, атакам піддадуться загальнодоступні ресурси, такі як веб-ресурси і бездротові мережі: «Це буде перший рубіж, для закріплення зловмисника всередині довіреної сегмента. Після цього, ймовірно, хакери спробують отримати привілейований доступ до інфраструктури, і з його допомогою здійснити шкідливі впливи на ключові об'єкти: це банк і промислові підприємства з АСУ ТП ».

На думку учасників команди SPAN, вектор атаки залишиться таким же, як в минулому році: «Будуть використовувати уразливості веб-додатків; маскування, обхід FW і IPS. Отримавши доступ до уразливому веб-сервера, нападники будуть намагатися отримати доступ з ДМЗ до локальної мережі ». «Швидше за чекаємо типового поведінки: сканування портів, сканування вразливостей і множинних спроб перебору», - додають Аскар Добряков з «Сервіонікі» і Денис Батранков з Palo Alto Networks.

Команда Jet Security Team вважає, що будуть класичні мережеві атаки, пошук вразливостей в логіці роботи інформаційних систем, дослідження захищеності веб-технологій. На думку одного з учасників команди On Rails !, будуть, можливо, застосовуватися і масовані сканування і спроби максимально швидкої експлуатації виявлених вразливостей. Максим Коршунов, експерт-дослідник центру моніторингу компанії «Перспективний моніторинг», робить ставку на телеком і офіс, так як їх протоколи і сервіси більше відомі, ніж у виробничому сегменті. Олексій Васильєв, керівник центру моніторингу «Перспективного моніторингу», впевнений, що доведеться зіткнутися з класичною схемою killchain з різними модифікаціями.

«В минулому році ми протистояли лобовій атаці, коли команда супротивників раз по раз намагалася пробити периметр, пробратися через відомі уразливості. Нас атакували досить нехитро, хоча масово і напористо. Зараз профіль атакуючих команд сильно змінився, і є відчуття, що атаки будуть повільнішими, але в той же час більш тонкими і замкнутими. Хочеться, щоб в цьому році з'явився зворотний вектор атак: сплячі боти в мережі, інсайдери в інфраструктурі і т. Д. Це зробить роботу захисників набагато складніше і додасть Протистояння динамічності », - розповів Володимир Дрюков.

І практично всі захисники впевнені, що доведеться мати справу з різними варіантами соціальної інженерії. Що ж, чи збудуться всі ці прогнози - ми дізнаємося буквально завтра.

секретна зброя

Цього року захисники виявляться в суворих умовах оптимізації витрат і будуть обмежені бюджетом в 10 000 Публій, на які вони зможуть купити необхідні їм засоби захисту інформації у місцевого дистриб'ютора або отримати послуги центрів моніторингу. Як розподілять свій бюджет учасники? На це питання нам не відповів ніхто ... Але дещо дізнатися нам все-таки вдалося.

Наприклад, Антон Голубков, поділився по секрету, що вони планують «контролювати всі точки взаємодії компонентів, забезпечувати цілісність інфраструктури і, звичайно, не забувати про потенційні атаки на робочі ноутбуки та соціальну інженерію». До речі, для забезпечення захисту інфраструктури в режимі 24/7 в команді буде кілька змін.

Jet Security Team робить ставку на базові системи захисту, перевірену класику, а також заготовили ряд спеціалізованих засобів для захисту SCADA. Схожа тактика і у команди SPAN, яка в числі обов'язкових засобів захисту вибрала міжмережевий екран, антивірус, вбудовані засоби ОС і домену. «Як показала практика, DLP-системи, SandBox і системи захисту від несанкціонованого доступу в даному випадку не особливо ефективні, так як нападники використовують інші вектори атаки», - пояснює Аскар Добряков.

Олексій Васильєв зазначає, що їм, як команді SOC, доведеться орієнтуватися на захисників: «Подивимося, що вони виберуть, а ми будемо використовувати всі, що нададуть захисники, звідки ми зможемо отримати логи для наших аналітичних систем».

Максим Коршунов обіцяє, що в їх арсеналі будуть системи виявлення вторгнень мережевого і вузлового рівнів, аналізатори аномалій, антивіруси, мережеве обладнання, система управління уразливими, система виявлення загроз. Причому частина перерахованого - власні розробки. Команда On Rails! в числі основних використовуваних засобів захисту згадує засоби контролю захищеності, запобігання вторгнень і моніторингу інцидентів лінійки продуктів IBM Security.

Переможе ... дружба?

дружба

Більшість учасників вважають, що шанси є у кожної сторони. «Наші противники - це наші ж колеги по цеху в звичайному житті, тому в будь-якому випадку переможе дружба. Обидві сторони докладуть усіх зусиль і проявлять свої кращі навички для досягнення поставленої мети », - поділився Антон Голубков.

Розраховує на перемогу своєї команди Роман Андрєєв з IBM (On Rails!): «Судячи з імен заявили про себе команд противників, їх послужним списками, шанси у них дуже великі. Але ми будемо захищатися і, я вірю, цілком успішно ». Максим Коршунов також ставить на захисників.

А ось Володимир Дрюков більш обережний у прогнозах: «Ми очікуємо, що в цьому році нам буде набагато складніше, ніж в минулому. Команда супротивників - це професійні пентестери з досвідом роботи як проти активних захисників, так і проти діючих SOC. Так що хлопці будуть демонструвати все, на що здатні. Плюс, введені в цьому році обмеження на вибір засобів захисту і забезпечення безпеки інфраструктури додадуть Протистояння гостроти. Нудно точно не буде ».

Аскар Добряков і зовсім впевнений, що нападники зможуть скомпрометувати деякі загальнодоступні ресурси. На його думку, важливо не дати противнику отримати контроль над серверами в ДМЗ і розвинути атаку далі в ЛВС. Юрій Сергєєв, до речі, підозрює, що інфраструктура захисників буде зламана гарантовано, тому що організатори спеціально створюють умови для можливості закріплення атакуючих, імітуючи «реальну» життя, коли не скрізь стоять патчі і не все налаштовано по кращим практикам. «Однак отримати від зломів максимум вже буде складніше, враховуючи активну протидію. Супротивникам нудно не буде », - обіцяє він.

Чи вдасться захисникам відстояти місто? Покаже гра. Так чи інакше, Протистояння обіцяє бути спекотним. Приходьте повболівати за учасників 23 і 24 травня в Центр міжнародної торгівлі в Москві! Квитки на Positive Hack Days можна купити тут .

Бізнес-партнер форуму Positive Hack Days - MONT, партнери форуму - компанії «Ростелеком», R-Vision, «Лабораторія Касперського», IBM, Microsoft, Solar Security, «ІнфоТеКС» і SAP; спонсори форуму - «Аксофт», Web Control, ГК ANGARA, Check Point, McAfee, Symantec; партнери Протистояння - Palo Alto Networks, «ICL Системні технології», Beyond Security; учасники Протистояння - компанії «Інформзахист», «Перспективний моніторинг», «Інфосистеми Джет», «КРОК»; в числі технологічних партнерів Cisco, CompTek, Acronis, Synack, ARinteg, Qrator Labs, Wallarm, Zecrion, «Актив», QIWI, PROSOFT і Advantech; генеральний інформаційний партнер Positive Hack Days - державне інформаційне агентство ТАСС.

Дружба?
Як розподілять свій бюджет учасники?
Дружба?
Чи вдасться захисникам відстояти місто?