Каждый год в мае на пару дней добрая половина Центра информационной безопасности компании «Инфосистемы Джет» снимается с рабочих мест и отправляется на одно из ключевых мероприятий в области ИБ в России – форум Positive Hack Days.
Андрей Янкин, заместитель директора Центра информационной безопасности, компания «Инфосистемы Джет»
Каждый год в мае на пару дней добрая половина Центра информационной безопасности компании «Инфосистемы Джет» снимается с рабочих мест и отправляется на одно из ключевых мероприятий в области ИБ в России – форум Positive Hack Days. Центральным его событием является Противостояние ─ соревнование, которое начиналось с классического CTF, а сейчас превратилось в зрелищную борьбу «хакерских» команд с командами «защитников». В этот раз мы решили принять участие в Противостоянии на стороне защитников. Опыт для нас новый, но мы уверены, что это будет интереснейшее сражение, продолжающееся непрерывно более 30 часов. Так что проверим мы не только знание и командную работу, но и выносливость.
В качестве объекта защиты нам досталось промышленное предприятие, которое занимается транспортировкой и переработкой нефтепродуктов. А это значит, что к традиционным ИТ-системам добавятся разнообразные АСУ ТП. Конечно же мы учли это при формировании команды.
Нам было бы куда спокойнее, если бы сердце нашего завода ─ системы АСУ ТП, были бы отделены от внешних сетей толстым слоем диэлектрика, как завещал нам ФСТЭК России. Однако цель организаторов заключается не только в том, чтобы соревнования получились как можно более зрелищными и богатыми на события, но и приближенными к реальному миру, в котором службы ИБ должны взаимодействовать с другими подразделениями компании, сталкиваются с влиянием человеческого фактора, да и что уж там скрывать, банально вынуждены укладывать в имеющийся бюджет свои желания по использованию тех или иных средств защиты. Поэтому технические системы наших заводов будут частично торчать напрямую в местный интернет, а на часть инфраструктуры будет запрещено устанавливать средства защиты (тут явно чувствуется виртуальная рука служб эксплуатации АСУ, опасающихся влияния средств защиты на технологический процесс). От этой новости у нашего главного специалиста команды по ИБ АСУ ТП до сих пор нервно дергается глаз.
Первым делом мы сформировали команду, получившую гордое название Jet Security Team, в которую вошли:
Соревнования позволили нам собрать вместе специалистов самых разных направлений. Мы думаем, что лучшего тимбилдинга и площадки обмена опытом внутри команды и придумать себе сложно.
Каждой команде защитников выделяется определенное количество виртуальной валюты ─ так называемых «публей». На нее можно приобрести средства защиты. Цена устанавливается за определенные классы средств защиты информации, а конкретных вендоров выбирает команда. Задача осложняется тем, что «публей» катастрофически мало, а инфраструктура соревнований только строится и финальный ее вариант мы увидим практически уже на самих соревнованиях. Поэтому при выборе средств защиты мы стараемся останавливаться на том, что может быть очень быстро внедрено и настроено, даже если функционал решения где-то не дотягивает до конкурентов.
Раскрывать детали по нашим системам защиты мы не станем, но в целом мы формируем классический джентельменский набор СЗИ. И, хотя скромный запас «публей» не даст нам особо разгуляться, мы делаем ставку на принцип Парето, в соответствии с которым в умелых руках и 20% средств защиты действительно закроют 80% атак. Для базовой защиты отмеренных нам «публей» вполне достаточно.
Злоумышленникам дается примерно 30 часов на то, чтобы изучить и взломать системы защиты компаний. Ситуация осложняется тем, что компоненты экономики Противостояния взаимосвязаны. Удар по одним отзывается и на других. Например, связь между офисом и заводами будет поддерживать местный оператор связи, взлом которого приведет как минимум к потере канала, а значит поставит под угрозу стабильность работы наших производств.
Однако, если превратить каждую защищающуюся компанию в цифровую крепость, то Противостояние может получиться совершенно неинтересным. Поэтому, как и в классических CTF, организаторы искусственно ограничивают возможности по защите своих систем. Приятного для нас в этом мало, но мы понимаем, что иначе соревнования могли бы получиться очень скучными как для публики, так и для нас, как для участников. В качестве компенсации правила предполагают для защитников получение бонуса за своевременное обнаружение и расследование атаки.
Тем не менее, мы, команда Jet Security Team, приложим все силы к тому, чтобы виртуальные жители нашего города радостно заправлялись бензином, поставляемым с наших заводов, и спокойно ехали на работу, а не наблюдали в промзоне «грибы» взрывов и озера разлившейся нефти.
В общем, ждите новостей и приходите болеть за нас в перерывах между интереснейшими докладами на Positive Hack Days!
Спойлер: она начинается с подписки на наш канал