— Дима, привет! Ты участвовал в StandOff на в качестве капитана команды. Можешь подробнее рассказать об этом опыте, и как все происходило?
— Да, действительно, у меня был опыт участия в международном киберфестивале PHDays. Мне поступило предложение возглавить одну из команд-защитников в StandOff, подготовить для этого инфраструктуру и представить два доклада о решениях по безопасности, которые мы применяли для защиты.
— Что делала твоя команда? Какая цель ставилась перед вами?
— В кибергороде мы защищали направление нефтепереработки. В цветовой терминологии мы были «синей командой» — Blue Team. Одной из основных задач была валидация отчетов об обнаруженных атаках, которые команда должна была предоставлять организаторам. Эти отчеты содержали всю необходимую информацию, такую как индикаторы, используемые уязвимости и векторы атак.
StandOff — это знаковое событие в отрасли. Каждый участник хотел получить ценный опыт реагирования и отражения атак от высокомотивированных и профессиональных хакеров. С самого начала целью команды было ознакомиться с возможностями решений для защиты и понять, чего не хватает в процессах каждого из участников для успешного противостояния массовым атакам.
— Расскажи о своей команде
— Наша команда Threatshelter была собрана буквально за день до мероприятия из ИТ- и ИБ-специалистов наших достаточно крупных заказчиков. Я отвечал за общее руководство командой, распределение ролей и ресурсов, взаимодействие с организаторами мероприятия. Сложность заключалась в том, что мы не были сыгранной командой, но зато получили уникальный опыт.
— Какие еще были сложности?
— Сейчас уже так не делают, но наш StandOff длился 2,5 суток без перерыва, и за это время команде пришлось столкнуться с хорошо подготовленными хакерами. Соревнование требовало постоянной концентрации и вызвало физическое и эмоциональное истощение участников. При этом не все могли посвятить себя мероприятию полностью, возникали сложности с ротацией людей.
В течение дня все в команде ещё активно участвовали. Потом было видно, что люди «выгорали», тогда на их место приходили другие. А вот это погружение, управленческая часть процесса требовали достаточно много сил и времени от меня, и не было возможности отдохнуть.
— Вы столкнулись с массированными и целенаправленными кибератаками. А как атакующие готовятся к StandOff?
— Во-первых, перед атакой злоумышленники проводят тщательную разведку, чтобы выявить уязвимости в инфраструктуре и найти наиболее эффективные способы проникновения.
Во-вторых, хакеры разрабатывают специализированное вредоносное ПО, которое ранее не было обнаружено и нигде еще не применялось, чтобы повысить шансы на успешное проникновение. Они реально понимают, что это одноразовая вещь, что в дальнейшем это ПО уже будет обнаруживаться. Но это мероприятие настолько знаковое для них, что они сильно заранее готовятся и очень высоко мотивированы.
И в-третьих, злоумышленники нацелены на конкретные объекты и готовы к длительной и изнурительной борьбе, чтобы достичь своих целей.
Существуют известные уязвимости в программном обеспечении, для которых выпущены патчи, но они до сих пор присутствуют в инфраструктурах заказчиков, представляя собой точки входа для атак. К сожалению, в силу сложностей взаимодействия ИТ- и ИБ-служб и особенностей конкретного объекта, эти уязвимости могут оставаться много лет не прикрытыми.
Если на стадии разведки выясняется, что сеть заказчика может быть взломана более лёгким путём, то будут использоваться готовые инструменты. Экономически более выгодно для самих атакующих получить то, что им нужно без лишних трудозатрат.
— Ты говоришь про те самые уязвимости, о которых заранее известно в разных версиях продуктов, и хакеры могут их использовать для проникновения?
— Да. Помимо этого, существуют и неизвестные уязвимости, успешно эксплуатируемые хакерами, но о которых широкая общественность не знает.
— Служба безопасности может контролировать известные уязвимости?
— По сути это управление рисками. Понятно, что устранять абсолютно все уязвимости может быть крайне дорогостоящим мероприятием. Организации вынуждены принимать решения об управлении рисками, поскольку устранение всех уязвимостей может быть экономически нецелесообразным. Они применяют компенсирующие меры, такие как установка дополнительных средств мониторинга и изоляция уязвимых сегментов.
Некоторые уязвимости закрыть тем или иным способом сложно, например, промышленное оборудование либо какой-то программный аппаратный комплекс, который невозможно обновить. Если мы поставим патч на операционную систему или программу, есть риск, что они просто перестанут работать. Тогда используют компенсирующие меры: фаерволы, песочницы, дополнительные средства мониторинга или изолируют сетевой сегмент, который содержит эти потенциально уязвимые устройства. Есть целый ряд компенсирующих мер.
— Вернемся к StandOff. Вам пришлось столкнуться с целенаправленными атаками красных, которые заранее подготовившись пробивали инфраструктуру защищаемых вами объектов. Как развивались события?
— Да, у нас было несколько объектов: нефтеперерабатывающий завод, офисные сегменты, в которых работал персонал, и другие. Все началось с пробития веб-сайта и через него была развита атака. Злоумышленники смогли получить доступ к учетным данным и повысить их до привилегированной админской учетки, что позволило им проникнуть в сегмент промышленного оборудования и привести к остановке работы нефтеперерабатывающего завода.
Мы за всем этим наблюдали, но вот возможности своевременно реагировать на такие массовые атаки у нас не было. В какой-то момент по статистике на наш сегмент атаки составляли 98% от общего числа.
Благодаря участию в команде Дмитрия Лаппо, который является экспертом в области пентеста и понимает психологию и применяемые техники хакеров, нам удалось сдержать самый первый натиск, когда нас одновременно атаковали сразу несколько команд красных. Это был неоценимый вклад, который дал нам время и позволил провести слаживание команды.
— Какие впечатления были у ИТ- и ИБ- специалистов после StandOff? Было ли у них что-то подобное в их практике? Что им дал этот опыт? Делились ли они, возможно, какими-то своими впечатлениями?
— Заказчики были морально готовы к сложностям, предполагали целенаправленные атаки.
 Для команды защитников все, что происходило на StandOff, превзошло все их ожидания. Они столкнулись с реальностью, которая оказалась гораздо сложнее, чем предполагалось. Это стало изнурительным и физически тяжелым испытанием. |
У многих участников сложилось впечатление, что отсутствуют целенаправленные атаки на их инфраструктуры. Это немножко расслабляет и притупляет бдительность. Но такая спокойная жизнь может измениться в любой момент. И немаловажно то, что нет практического опыта отражения такого рода атак, а на StandOff они были достаточно серьёзными.
Данный опыт показал всем участникам важность тщательной подготовки и применения комплексных мер защиты, особенно для критически важных объектов инфраструктуры, которые чаще всего подвержены целенаправленным кибератакам.
Злоумышленники тщательно готовятся, разрабатывая специализированное вредоносное ПО и проводят разведку. Хакеры эксплуатируют как известные, так и неизвестные уязвимости для проникновения в инфраструктуру.
Организации должны тщательно оценивать риски и принимать взвешенные решения об управлении ими, учитывая экономические факторы. Когда невозможно устранить все уязвимости, применять компенсирующие меры, такие как дополнительные средства мониторинга и изоляция уязвимых сегментов. Несмотря на сложности, важно своевременно устранять известные уязвимости путем установки доступных патче и всегда быть готовыми к быстрому и эффективному реагированию на целенаправленные кибератаки.
— Расскажи, пожалуйста, как подготовиться к StandOff? Что дает такое участие специалисту и в целом компании?
— Участие в StandOff — это уникальная возможность продемонстрировать свои профессиональные навыки и получить признание со стороны коллег и руководства. Чтобы успешно выступить, необходимо пройти предварительную подготовку: усвоить теоретические знания, пройти необходимые курсы от разных вендоров, в целом получить понимание, что такое информационная безопасность и для чего она нужна. Воркшопы, организованные нашей компанией Wone IT, могут стать промежуточным шагом перед участием в StandOff, позволяя ИТ- и ИБ-специалистам проверить свои знания и «обкатать» навыки в приближенных условиях.
| PHDaуs — знаковое мероприятие для всей отрасли с международным статусом. Можно сказать StandOff — это высшая лига! |
Участие в кибербитве дает ценнейший опыт, возможность демонстрации своих профессиональных навыков, повышает ранг ИБ-специалистов как в своих собственных глазах, так и в глазах окружающих. Успешное выступление является признанием высокой экспертизы специалиста. Сама подготовка к мероприятию способствует развитию профессиональных компетенций.
— А ты? Что лично тебе дало участие в PHDaуs и StandOff?
— Здесь происходит такой обмен опытом и взаимное обогащение знаниями и практикой. Это поистине великолепное мероприятие, которое позволило мне выступить в качестве лидера команды и докладчика. Мои профессиональные умения были оценены окружающими. Следует отметить, что из 20 человек в команде за 2.5 суток смогли продержаться до конца только 5. Это было настоящим испытанием.
| Этот опыт оказался бесценным. Усвоенные уроки помогли мне расширить свои навыки в проблемных областях и оставили незабываемое впечатление. Это было по-настоящему круто. До сих пор я остаюсь под впечатлением, несмотря на прошедшие годы. |
— Дмитрий, благодарю тебя, что нашел время поделиться своим ценным опытом. Действительно проблема высококвалифицированных кадров стоит остро и я надеюсь, что это интервью поможет ребятам смелее принимать участие в такого рода соревнованиях, как StandOff. В этой кибербитве нет проигравших. И возможно, бизнес-подразделения также задумаются о направлении своих экспертов для участия в подобных мероприятиях.
В следующем интервью мы подробнее поговорим о других способах подготовки и совершенствования команды ИТ- и ИБ-специалистов. Читайте продолжение .
главный менеджер по маркетингу
в сфере информационной безопасности Wone IT
— лидер в области противодействия киберугрозам. Основные направления деятельности компании: изучение современных угроз безопасности и создание продуктов и сервисов для борьбы со взломом информационных систем.
— системный интегратор, поставщик решений в сфере информационной безопасности, инфраструктуры, бизнес-приложений и заказной разработки. Миссия компании – гарантировать беспрерывность бизнес-процессов и предоставить технологическую независимость клиентам в условиях постоянных глобальных изменений.
