161,36
Рейтинг
Инфосистемы Джет
Системный интегратор

Как подготовиться к The Standoff. Советы защитникам

Блог компании Инфосистемы ДжетИнформационная безопасностьКонференцииCTF
Привет, Хабр! Меня зовут Илья, и три года подряд вместе с командой Jet Security Team — а два последних в роли её капитана — я держал оборону виртуального города на киберполигоне The Standoff против команд нападения. Участвуя раз за разом на стороне защиты, мы прошли путь от первых проб и ошибок до победы в соревновании. В этом году многое изменилось: кибербитва впервые проходит онлайн, а наша компания стала её технологическим партнёром. Теперь мы помогаем другим защитникам готовиться к соревнованию, поэтому сегодня я хочу поделиться опытом и дать рекомендации тем, кому только предстоит отражать попытки атакующих на The Standoff.


Награждение команды Jet Security Team на The Standoff в 2019 г. Фото Positive Technologies

Немного занудства, или Зачем участвовать в The Standoff?


Первым делом определите цель. При участии в любом соревновании нужно сначала дать себе ответ на вопрос: зачем мне это? Тут важно не обмануться: цель, которую вы сформулируете, должна быть понятной, реалистичной и достижимой. Если вы хотите получить новый опыт, то какой именно, и как вы будете использовать его в дальнейшем?

Реально оцените свои силы и возможности. Как подсказывает практика, в соревнованиях хочет участвовать много специалистов и команд, но ближе к мероприятию часть из них «сдувается».

Как собрать команду


Участие в The Standoff на стороне защиты — всегда командное мероприятие. Обычно организаторы регламентируют количество членов команды, исходя из возможностей разместить всех участников в не очень большом пространстве. Когда кибербитва проходила в формате офлайн, каждая команда могла включать порядка шести человек. При этом можно было подключать удаленных участников.

Опыт работы в интеграторе говорит, что успех любого проекта на 100% зависит от команды. С этим мы регулярно сталкиваемся в жизни при внедрении средств защиты в крупных компаниях и к аналогичному выводу пришли после участия в кибербитве. Для мероприятий типа The Standoff мы определили следующий идеальный состав команды защиты:

  • капитан;
  • специалист SOC;
  • специалист по разным хостовым средствам защиты;
  • сетевой инженер;
  • инфраструктурный инженер;
  • пентестер.

Расскажу вкратце о требованиях к каждой роли.

Капитан, очевидно, в ответе за всё. Но, кроме этого, он должен уметь:

  • организовать и возглавить команду;
  • декомпозировать, планировать и контролировать выполнение задач;
  • коммуницировать и решать организационные вопросы;
  • отлично разбираться в защите инфраструктуры.

На самом деле требования выше я перечислил в порядке убывания важности. Ведь даже если у капитана большой опыт в части защиты Windows, но плохие организаторские способности, едва ли он приведёт команду к успеху.

Не менее важную роль на соревновании играет специалист SOC. По сути это — «глаза и уши» обороняющихся. Желательно, чтобы в команде таких специалистов было несколько, так как на мероприятии им необходимо успевать оперативно обрабатывать большой поток запросов от защитников и оповещать их о нештатных ситуациях.

Теперь о специалистах по средствам защиты. Не буду подробно расписывать требования к ним, отмечу лишь то, что соревнования — не лучшее место для экспериментов с основными средствами защиты, например, антивирусом или межсетевым экраном. Отвечающие за эти решения участники команды должны быть в них уверены на 100% и знать их в совершенстве. Это, естественно, не отменяет апробацию и тестирование других средств защиты, так как киберполигон как нельзя лучше подходит для того, чтобы посмотреть на них в действии в условиях, близких к «боевым». Но повторюсь: ставка в части защиты должна быть сделана на те решения, в которых вы профи.

Инженеров по сетевым и инфраструктурным сервисам на соревновании ждёт очень много работы. Ведь «фундамент» защиты закладывается на этапе настройки базового функционала безопасности инфраструктурных компонент: сети, операционных систем, системных сервисов и т. п. Поэтому нужно знать и уметь «готовить» и сеть, и Linux, и Windows.

Команду обязательно должен поддерживать специалист с опытом проведения пентеста. Без него не обойтись на этапе подготовки: он поможет определить основные векторы атак, проверит уровень защищённости, поможет с расследованием в случае компрометации защищаемых узлов.

Как в любом командном соревновании, на The Standoff важно чётко разделить роли и зоны ответственности между всеми участниками команды. Координация и управление этими процессами — за капитаном команды.

Как тренироваться


Тренировка — один из ключевых шагов к успешному участию в The Standoff. Пройдусь по основным моментам, которые для себя выделила наша команда.

Анализ потенциальных векторов атак


В данном случае нужно немного абстрагироваться от объекта защиты и подумать (посмотреть, почитать отчёты команд атакующих). Если вспомнить правила кибербитвы прошлых лет, можно получить некоторое представление об атакующих и их истинных целях:

  • у них командное соревнование;
  • каждой команде нужно заработать как можно больше баллов;
  • команда зарабатывает баллы, выполняя задачи организаторов;
  • перед стороной нападения стоят разные задачи: некоторые из них не связаны с командами защиты (взломать светофор, майнить коины и т. п.), другие, напротив, касаются их напрямую (получить доступ к почте, прослушать голосовое сообщение, получить доступ к файлу на рабочем столе и т. п.).

Если вкратце, то в первую очередь атакующие будут искать лёгкие цели и решать быстрые задачи. Когда простые задачи закончатся, они перейдут к более сложным. Поэтому вам нужно постоянно задаваться вопросом, что бы вы сделали на их месте. Справиться с этой задачей будет гораздо проще, если хотя бы у одного из участников вашей команды есть опыт проведения пентестов.

Но и это ещё не всё: нужно помнить об организаторах, задумавших сделать мероприятие грандиозным — с элементами драйва и экшена. Согласитесь, вряд ли вам будет интересно следить за чередой безуспешных попыток команд победить противника длиной в неделю? Если атакующим не удастся «расковырять» вас самостоятельно, организаторы могут немного помочь. Представьте, что в вашей сети появляется беспроводная точка доступа без пароля под легендой «админ временно поставил, т. к. подрядчик не мог подключиться к корпоративному Wi-Fi». На самом деле не такая уж и выдуманная ситуация. Поэтому приоритет тут должен быть такой:

  • анализ внешних векторов;
  • анализ внутренних векторов (когда нарушитель получил доступ в вашу сеть).

Охватить все векторы невозможно, поэтому приоритизируйте наиболее актуальные и отрабатывайте именно их: выявление, блокирование, реагирование.

Простите за оффтоп, но позволю себе немного лирики. Меня всегда интересовали варианты пустить атакующих по ложному следу или как минимум варианты активного противодействия. Сделайте на веб-сервисе бесконечный редирект или возможность листинга бесконечно вложенных директорий, разрешите tcp-трафик без возможности установить полноценную TCP-сессию. Это может затормозить некоторые автоматизированные проверки атакующих, и вы выиграете немного времени. Главное — помнить о ваших целях и сильно этим не увлекаться.

Выбор средств защиты


На предыдущих мероприятиях нас не ограничивали в выборе средств защиты. Возможно, он был обоснованным и оптимальным. Поэтому если вы хотите использовать какие-то экзотические решения, обсудите это с организаторами. Но в любом случае продумайте, где и на какой срок вы возьмёте лицензии, какие ресурсы для этого потребуются.

Отработка слаженных действий команды для быстрого выявления и эффективного реагирования на инциденты


Знать, что и как защищать, недостаточно. Успех во многом будет зависеть от слаженной работы команды. Соответственно, вы должны по предполагаемым векторам атаки отрабатывать цепочку действий: выявление инцидентов, их блокирование, устранение последствий. Например, представьте, что атакующие подобрали пароль и подключились по VPN к корпоративной сети. Какими будут ваши действия? Или если у вас увели пароль доменного администратора?

Рекомендации
Соберите стенд, настройте средства защиты в мониторинге. Опишите сценарии и отработайте их вместе с пентестером. Идеально, если вы сделаете плейбуки для разных типов атак. Например, в прошлом году на The Standoff мы адаптировали плейбуки, которыми пользуется Центр мониторинга и реагирования на инциденты ИБ Jet CSIRT.

При отработке действий важно не забыть о разделении ролей и ответственности: кто-то управляет MS Active Directory, кто-то — межсетевым экраном, а кто-то отслеживает развитие атаки в SIEM-системе и т. п.

Лайфхак: как эффективно работать с SIEM на соревнованиях
Научите каждого члена команды работать с SIEM, помогите им создать нужные дашборды, научите делать поиск, фильтры и, может быть, даже правила. Нагрузка на SOC во время мероприятия в этом случае немного снизится, а эффективность команды повысится. Кстати, полезно будет, если участники поделятся друг с другом наработками в SIEM. Это позволит в критичной ситуации включаться в одну задачу сразу нескольким членам команды.

Средства совместной работы


Во время тренировки отработайте инструментарий, который вам понадобится для коллективной работы. По моему опыту вам потребуется следующее:

  • Task Tracker. Подойдёт Jira, Яндекс.Трекер или, например, Trello. Без декомпозиции задач, их формализации, постановки и контроля выполнения у вас будет хаос (впрочем, как и в любом проекте).
  • Совместная работа с файлами. У команды должна быть совместная файловая шара. Там можно хранить таблички с инвентаризацией, плейбуки, конфигурации и т. п. Только подумайте над безопасностью, использование Google Таблиц или Диска на мероприятии звучит не очень секьюрно. Мы, например, использовали своё корпоративное решение.
  • Совместное хранение паролей. Вам потребуется совместный доступ к паролям. Продумайте заранее, как вы это организуете. Вариантов много: keepass, passbolt и т. п.

А — Автоматизация


Если вы понимаете объект защиты, проработайте заранее автоматизацию рутинных операций. Например, это может быть запуск установки массовых обновлений на ОС Windows, настройка sshd по заранее подготовленным шаблонам, подготовка профилей сканирования вашей инфраструктуры на предмет уязвимостей и compliance. Да ещё много чего можно придумать и автоматизировать, в том числе активное противодействие.

О чём не забыть накануне


Подготовка объекта защиты


Незадолго до мероприятия командам защитников выдаётся удалённый доступ к объекту защиты для изучения и настройки. Не буду расписывать весь процесс подготовки в деталях, так как получится нудный и неинтересный трактат. Выделю основные моменты. Нужно обговорить с организаторами все нюансы работы с объектом защиты: что можно и нельзя делать. Мой опыт говорит о том, что всегда можно договориться о целесообразных и аргументированных изменениях. Например, о том, чтобы скорректировать архитектуру включения VPN-сервера при условии обеспечения его работоспособности.

Инвентаризация


Стандартная операция — понять объект защиты: какие версии, сервисы и уязвимости в нём есть. При этом важно учитывать, что новые ресурсы в вашей сети могут появиться и в процессе подготовки, и в процессе мероприятия. Будьте готовы к тому, что вам придётся быстро разобраться, что это за ресурс, какие настройки к нему применить и какие средства защиты поставить. Самое пристальное внимание уделите сервисам, выставленным в условный Интернет.

Остановлюсь подробнее на одном важном моменте. В прошлом году организаторы The Standoff запустили чекеры, которые проверяли доступность защищаемых ресурсов (веб, DNS, SMB и т. п.). Если сервис не был доступен через некоторое время, с команд защиты списывали баллы. Что это значит? Если атакующие нарушают работу вашего сервиса, его нужно восстановить и как можно быстрее. Для этого необходимо понимать, что это за сервис, и на каком сервере он работает. Желательно иметь план восстановления на случай, если, например, будут потёрты важные файлы. Делать snapshot всего и вся не очень хорошая идея, так как это может привести к снижению производительности среды виртуализации, в которой работают сервисы.

Лайфхак
Распределите задачу инвентаризации между членами команды. Например, тот, кто отвечает за сканер безопасности, делает базовую инвентаризацию и использует заранее подготовленные профили compliance, сетевой специалист следит за адекватностью архитектуры сети, специалист по WAF детально инвентаризирует веб-приложения.

Настройка инфраструктуры


Пожалуй, один из самых сложных и ответственных шагов. Вы должны сделать hardening инфраструктуры и при этом обеспечить её работоспособность. Как было сказано выше, тут нужны хорошие знания и опыт работы с инфраструктурными сервисами и приложениями. Например, выполнить обновление MS Exchange от уязвимостей remote code execution не так просто. У вас может зависнуть инсталлятор в середине установки обновлений, и нужно будет каким-то образом восстановить работу Exchange. Тюнинг локальной политики безопасности тоже имеет специфику. Бывают серверы, которые нельзя обновлять, так как установка обновлений может привести к сбою в работе запущенного на них специфического софта. Такое часто бывает и в реальной инфраструктуре заказчиков.

Установка и настройка средств защиты


Это — одновременно и простая, и сложная задача. Автоматизировать этот процесс так, чтобы всё шло как по маслу, поможет сильная команда и большой опыт работы. Безусловно, бывают случаи, когда что-то идёт не так или выбранное средство защиты не работает, как надо. Но предварительная подготовка и опыт позволяют не делать это проблемой или стоп-фактором.

До COVID-19 успех на The Standoff также во многом зависел от возможности работать в комфортных условиях. Не каждый заморачивается, но я уверен, что так эффективность команды гораздо выше. Поэтому нам было важно посетить площадку накануне мероприятия и, по сути, сделать её предпроектное обследование ***в части физики/размещения***, как это обычно бывает при внедрении решений. Например, мы просили заранее показать места, выделенные для команд, и старались занимать наиболее выгодные локации. Выбирали стол у стены, чтобы в наши мониторы могли подсмотреть как можно меньше людей, либо с чуть большим пространством вокруг для комфортного размещения всех участников и группы поддержки. Знакомились с ответственными за организацию инфраструктуры на площадке, проверяли, что у нас есть все необходимые сетевые доступы. Накануне вечером могло быть не всё готово, зато мы уже точно знали, к кому обратиться утром в случае проблем. К тому же увидеть, как происходит сборка площадки, было попросту любопытно.

С переходом мероприятия в онлайн у участников появились новые челленджи. Вопросов немало, поэтому я попросил ответить на них организаторов кибербитвы.

Где соберутся участники команды — локально или будут все удалённо?

PT: Все будут удалённо. Собираться вместе или нет, решит каждая команда.

Какие средства использовать для оперативной коммуникации, кроме стандартных мессенджеров?

PT: Команды между собой могут общаться, как хотят: использовать Slack, Discord, Zoom или другие сервисы. Мы оставляем право выбора за участниками.

Как будет обеспечена коммуникация с организаторами?

PT: Для оперативной коммуникации мы всегда использовали Telegram и продолжим это делать.


День Х, или 4 совета защитникам во время соревнования


Не буду подробно рассказывать, что происходило на каждом мероприятии, а поделюсь основными рекомендациями, которые помогут будущим участникам на соревнованиях.

  1. Держите оперативную связь с организаторами. Например, в прошлом году мы активно обсуждали с организаторами The Standoff результаты проверки доступности наших сервисов их чекерами: выясняли, какие из них что проверяли, почему они считали, что у нас что-то не работало и т. п.
  2. Оперативно устраняйте ложные срабатывания в SOC. Команда на мероприятии генерирует очень много активностей, «шум» важно отсеивать.
  3. Давайте обратную связь организаторам при выявлении инцидентов. Объясните, почему вы сменили пароли, заблокировали учётную запись, выключили рабочую станцию или отключили сервис. Умение обосновать свои действия и привести доказательства показывает профессионализм команды.
  4. Выключите эмоции и включите здравую оценку ситуации, начните анализировать результаты проделанной работы. Так вы сможете понять, достигли ли целей, которые ставили перед собой.

Пример из прошлогоднего The Standoff
Атакующим «слили» учётную запись, и они подключились к нам удалённо. Мы не стали паниковать. Специалисты SOC обнаружили проблему, оперативно заблокировали учётку в домене, дальше мы сбросили VPN-сессии и пароль учётной записи, после чего отправили отчёт организаторам. На всё про всё у нас ушло минут 15. Плюс параллельно мы анализировали последствия инцидента.

Вместо послесловия


Мой опыт участия в соревнованиях в области ИБ подсказывает, что на финальной стадии подготовки к мероприятию всегда собирается команда неравнодушных коллег. Так что на вопрос классика «А ты бы пошел с ним в разведку?» я отвечаю: «С ними — да. Команда — сила!».

Успехов на The Standoff!

Автор: Илья Сапунов, руководитель отдела защиты инфраструктуры Центра информационной безопасности компании «Инфосистемы Джет»
Теги:the standoff
Хабы: Блог компании Инфосистемы Джет Информационная безопасность Конференции CTF
+13
1,3k 11
Комментарии 1

Похожие публикации

Лучшие публикации за сутки

Информация

Дата основания
1991
Местоположение
Россия
Сайт
jet.su
Численность
1 001–5 000 человек
Дата регистрации

Блог на Хабре