Кибербитва Standoff: как Нетрис совершенствует безопасность своих систем

В киберпространстве вечная гонка: одни стараются защитить инфраструктуру, другие — найти и использовать её уязвимости. Кибербитва Standoff от Positive Technologies уже давно стала не просто полем сражения «защитников» и «атакующих», но и местом, где можно исследовать безопасность программного обеспечения в условиях, максимально приближенных к реальным.

В этой статье мы подробно рассмотрим, как компания Нетрис — известный разработчик решений для видеонаблюдения, которые используют как крупный бизнес, так и государственные структуры для реализации инфраструктурных проектов, в том числе регионального масштаба,— тестировала свою продукцию на киберполигоне, какие выводы сделала и почему кибербитва — источник ценных инсайтов для компаний, которые заботятся о безопасности своих цифровых решений.

Компания Нетрис: когда фокус на безопасность — не формальность

Нетрис специализируется на разработке и внедрении систем видеонаблюдения, а также решений для контроля и управления доступом. Сфера применения технологий компании крайне широка: от локальных видеорегистраторов в школах до платформ видеонаблюдения федерального масштаба с сотнями тысяч камер. Поэтому вопросы безопасности всегда стоят во главе угла.

Одним из активно развивающихся продуктов компании является видеорегистратор ITX – программный видеорегистратор, на основе которого можно строить системы видеонаблюдения регионального уровня. Или совершенствовать систему сложного предприятия с большим числом территориально распределенных объектов. Например, предприятия ОПК.

Учитывая уровень ответственности перед государственными заказчиками простым тестированием на этапе разработки или аудитом перед релизом дело не ограничивается. Для продуктовой команды Нетрис важно понимать, как их решения ведут себя под прицелом настоящих атак. Отчасти поэтому компания регулярно участвует в кибербитвах Standoff, где её решения проверяют на стойкость к самым актуальным угрозам.

На киберполигоне Standoff от Positive Technologies воссоздана инфраструктура целого государства (а с 2024 года — даже двух) с базовыми отраслями (металлургия, энергетика, нефтегаз, банковский сектор, ЖКХ, авиация и транспорт). В каждую из них заложены десятки уязвимостей. И в течение нескольких дней кибербитвы команды красных (атакующих, белых хакеров) пытаются найти и реализовать эти уязвимости, чтобы получить несанкционированный доступ к целевым системам. В случае успешной атаки разработчики и владельцы систем могут увидеть действия хакеров и получить понимание, насколько их решения готовы к «боевым» условиям.

Почему участие в Standoff так важно?

В кибербезопасности никогда нельзя терять бдительность и контроль. Новые угрозы появляются практически ежедневно, а злоумышленники быстро обучаются. Внутренние проверки и внешние аудиты, безусловно, полезны, но они иногда страдают от «синдрома замыленного взгляда»: инженеры компании могут упустить критические детали, которые внешние команды заметят мгновенно.

Кибербитва Standoff — это своего рода экзамен на стрессоустойчивость, в рамках которого проводятся реальные атаки от мотивированных и квалифицированных специалистов в полностью контролируемой виртуальной среде. И даже если они найдут бреши в безопасности, это не повод к панике. Скорее, это источник актуальных знаний о том, какие ошибки в настройке инфраструктуры или архитектуре продукта следует устранить, чтобы впредь такие сценарии стали невозможны.

Компания Нетрис уже имела успешный опыт проверок в рамках кибербитвы: продукт Netris istream ITX показал высокую устойчивость к попыткам взлома. Однако любая новая итерация технологий, любой поворот в модели использования — это и новые вызовы. Вот почему команда ITX решила предоставить свой продукт белым хакерам на Standoff 14 и посмотреть, смогут ли они найти изъяны безопасности, обойти защиту и нанести ущерб.

Что уникального в модели «программного решения»?

Видеорегистратор Netris istream ITX поставляется в формате «коробочного» программного комплекса с предустановленными параметрами и защитными механизмами. Это достаточно надёжная конструкция: заказчику остаётся лишь соблюсти базовые требования при установке.

На кибербитве Standoff 14 Positive Technologies совместно с компанией Нетрис решили поэкспериментировать и предложили «новую модель использования», чтобы проверить продукт компании «со всех сторон». В рамках предложенной модели заказчик получал исключительное программное обеспечение и инструкции по его установке на своих серверах. В дальнейшем была симулирована небрежность ИТ-специалистов со стороны условного клиента — сценарий, увы, нередкий в реальной жизни. В итоге получился своего рода «боевой эксперимент»: с одной стороны — интерес злоумышленников, с другой — неидеальные условия эксплуатации, а посередине — программный продукт, доказавший, что даже при провокационных обстоятельствах остаётся надежным и защищенным.

Как проходила проверка: легенда и условия «битвы»

На Standoff организаторы создают максимально реалистичную инфраструктуру, имитирующую ИТ-системы крупнейших компаний и госучреждений. Сетевые сегменты, рабочие станции, серверы приложений — всё на месте, и всё можно атаковать. Цель атакующих — обнаружить и реализовать критические события.

По легенде система видеонаблюдения и контроля доступа Нетрис ITX была развернута в корпоративной инфраструктуре бизнес-центра, где арендует офис нефтегазовая компания. Задача системы — управлять доступом на парковку, а также контролировать входы в здание. Усложнили ситуацию намеренно, допустив неточности в настройках, оставив в некоторых местах «дефолтные» пароли, а также создав «ошибки конфигурации», которые могли дать лазейку для злоумышленников.

По сути, таким образом воспроизводили типичную среду, когда человеческий фактор (не вовремя обновили пароль, случайно экспортировали конфигурацию, забыли закрыть тестовый порт) становится причиной последующих бед.

Обнаруженные уязвимости: ключевые уроки для Нетрис

Несмотря на то, что большинство попыток взлома системы видеонаблюдения и контроля доступа Нетрис оставалось безрезультатным, на второй день кибербитвы белым хакерам всё же удалось реализовать ряд критических событий. Примечательно, что они не касались архитектуры продукта как таковой, а были напрямую связаны с ошибками в настройке и эксплуатации.

Проблема первая: конфигурация базы данных

Команда красных обнаружила, что в системе по умолчанию оставались стандартные логины и пароли. В большинстве случаев это делается для упрощения первичной настройки продукта (условно говоря, «admin/admin»). Так и было задумано, чтобы белые хакеры могли «пощупать» видеорегистратор ITX со всех сторон.

Этот инцидент, по сути, «красная тряпка» для злоумышленников: получив доступ к базе, они могли создавать собственных пользователей, повышать их привилегии до уровня администратора и запускать предусмотренные штатными инструментами Нетрис действия. В результате некорректно конфигурированная база данных становилась воротами для проникновения.

Проблема вторая: ошибка конфигурации фреймворка

Второй момент связан с инструментом мониторинга, который в теории должен был только считывать статус системы. Но из-за неправильного разграничения доступа он мог предоставлять более детальные данные об «внутренностях» фреймворка, вплоть до дампа памяти. Анализ этого дампа позволял увидеть логин и пароль для базы данных, что в свою очередь открывало ту же точку входа для злоумышленников.

Иными словами, модуль мониторинга превратился в уязвимость. Но корень проблемы вновь упирался в человеческий фактор: не учли, что сервис предназначен исключительно для внутреннего использования.

Как именно злоумышленники нашли брешь?

На Standoff белые хакеры могут выбирать различные векторы атаки в зависимости от своей тактики и инструментов. Наиболее очевидный подход — взлом web-интерфейса системы через подбор паролей или эксплуатацию уязвимостей, таких как SQL-инъекции. Однако существуют и более сложные методы, например, компрометация рабочего устройства сотрудника, если на нём хранятся ключи без надёжной защиты, такой как аппаратное шифрование или изолированные хранилища.

Прямой штурм через веб-приложение

Анализ журнала PT Application Firewall показал феноменальные объёмы попыток взлома. Количество событий, классифицированных как средние и высокие угрозы, регулярно достигало нескольких сотен тысяч в час.

Однако ни одной успешной атаки именно через веб-интерфейс реализовано не было. Видеорегистратор ITX от Нетрис продемонстрировал высокий уровень защиты от подобных прямолинейных методов. В отчетах не было зафиксировано каких-то критических событий, хотя «шум» в логах был значительным.

Обходной манёвр через скомпрометированный ключ

Разумеется, участники не остановились на одной лишь «лобовой атаке». Альтернативным вектором стало хищение приватного SSH-ключа, который был не защищён паролем и хранился на рабочем компьютере одного из сотрудников. Для этого хакеры сначала нацелились на рабочую станцию, куда им удалось внедриться (по правилам Standoff, у атакующих есть право на «игровые» компрометации пользователей).

Обнаружив ключ, злоумышленники смогли беспрепятственно подключиться к серверам Нетрис и продолжить исследование. Именно так они нашли инструмент мониторинга с тем самым дампом памяти и смогли получить логин и пароль к базе данных. Далее дело техники: создаём нового пользователя, выдаём ему права администратора — и система взломана и под контролем.

Как Нетрис отреагировала на выявленные уязвимости

Архитектура и базовые принципы безопасности продукта остались на высоте, а проблемы возникли из-за неверной конфигурации. Тем не менее, были выработаны конкретные рекомендации, которые (при желании) можно было бы внедрить буквально за несколько минут:

• Изолировать доступы к контейнерам Docker, исключив доступ к «просмотрщику» дампов из внешней сети.
• Настроить нестандартные логины и сложные пароли по умолчанию, чтобы клиенты меняли их при первом запуске.

Чтобы дать возможность как можно большему числу атакующих пройти по этим векторам или найти новые, было принято решение не перекраивать конфигурации до конца «битвы», чтобы сохранить равенство условий для всех участников.

Почему кибербитвы полезны не только разработчикам, но и клиентам

Казалось бы, зачем быть «добровольцами», когда можно тихо заниматься внутренними тестами и не выносить возможные уязвимости на всеобщее обозрение? На самом деле, открытость — это выгодная стратегия как для компаний-разработчиков, так и для клиентов:

1. Объективная оценка рисков. Атакующая сторона не связана корпоративными политиками и внутренними правилами, она ищет уязвимости максимально изобретательно и по-доброму беспощадно. Это позволяет трезво взглянуть на уровень защищённости.
2. Улучшение процессов. Выявленные дыры не только заставляют «закрыть» конкретные технические проблемы, но и вынуждают менять подход к проектированию и эксплуатации, совершенствовать правила доступа, вести логи и т.д.
3. Повышение доверия клиентов. Когда продукт успешно проходит через испытания, компании видят реальные доказательства, что она готова отвечать за качество и безопасность своих решений.

Выводы и итоги: как Standoff повлиял на развитие продукта Нетрис

Опыт участия компании Нетрис в кибербитве Standoff подтвердил: даже тщательно спроектированная система может быть уязвима при некорректной настройке и эксплуатации. При этом видеорегистратор Нетрис ITX демонстрирует высокую устойчивость к атакам, когда его внедрение осуществляется строго по регламенту. Однако человеческий фактор остаётся ключевым риском, особенно в случаях самостоятельного развертывания системы клиентами. Это подчёркивает необходимость дополнительных мер контроля и защиты.

Но не стоит воспринимать кибербитву лишь как «стресс-тест». Она — часть непрерывного процесса, в котором производители совершенствуют решения, а специалисты по безопасности получают передовые навыки. В результате выигрывает весь рынок: «белые» хакеры обогащают сообщество знаниями, а вендоры делают продукты безопаснее и совершеннее.

Имеет ли смысл подвергать свои решения атакам со стороны десятков независимых экспертов по кибербезопасности? Компания Нетрис сознательно пошла на этот шаг, чтобы на практике оценить реальные сценарии угроз, выявить потенциальные уязвимости и усилить свою защиту. Этот процесс можно сравнить с тестированием технологий в автоспорте: экстремальные условия ускоряют развитие решений, которые впоследствии находят применение в массовых продуктах и повышают общий уровень безопасности.

Финальное слово: открытость и готовность к проверкам делают решения сильнее

Сегодня, когда количество кибератак растёт, а методы атакующих становятся всё изощрённее, только те компании, которые признают важность проверки своих продуктов в «боевых» условиях, смогут по-настоящему защитить себя и своих клиентов. История Нетрис доказывает, что участие в кибербитве — это не только демонстрация амбиций, но и эффективный способ обнаружить критические уязвимости и быстро их устранить.

В этом смысле кибербитва Standoff — очень полезный формат. Он объединяет специалистов со всего мира, даёт доступ к «живой» инфраструктуре, позволяет экспериментировать с различными сценариями и исследовать «пределы прочности» современных систем. Когда ваши продукты переживают такие испытания, они будут максимально защищены на реальном «поле боя» с киберпреступниками.

Разумеется, для Нетрис — это не последняя «кибербитва». Компания продолжит участвовать в подобных мероприятиях, ведь именно так она получает импульс для дальнейшего развития и повышения уровня безопасности своих продуктов. Защищенность государственных систем нужно постоянно совершенствовать. А когда речь идёт о наблюдении за жизненно важными объектами или контроле доступа на режимные предприятия, лишней перестраховки не бывает.

В итоге можно смело утверждать: участие в Standoff — это вызов, который помогает стать сильнее. И если у вашего продукта действительно «всё в порядке», вам нечего бояться. Наоборот, вы только укрепите репутацию и получите незаменимый опыт в противодействии современным киберугрозам.