19/11/20
К концу последнего дня на киберполигоне The Standoff атакующие взломали периметр всех шести организаций и закрепились в корпоративных сетях. Однако реализовать бизнес-риски оказалось сложнее: хакерам противостояли опытные команды специалистов по защите. Были выведены из строя системы аэропорта, парка развлечений, газораспределительной станции, нефтедобывающей компании и электростанции. Потери понесли банк и деловой центр. На рекламных экранах взломщики могли показывать что угодно. Но морской порт и железная дорога устояли.
По горячим следам рассказываем обо всем, что происходило во время The Standoff. В ходе онлайн-выступлений экспертов слушатели узнали, например, как получить физический доступ в помещение, подделать голос за пять секунд, расшифровать испорченные вирусом-вымогателем данные и перехватывать данные смартфона в сети 5G.
Победила команда Codeby (27 123 баллов), на втором месте back2oaz (24 463 баллов), за ними следуют DeteAct (18 508 баллов). Атакующим удалось реализовать 47% заложенных рисков. Два реализованных киберриска из 24 оказались новыми, не предусмотренными в программе соревнования. Всего жюри приняло более 50 отчетов об успешно выполненных заданиях.
Команды защитников смогли выявить более 200 инцидентов ИБ в своих инфраструктурах. Больше всего инцидентов обнаружили команды IZ:SOC и CT&MM. Команды провели 21 расследование инцидентов. В среднем на расследование с необходимой полнотой собранных фактов командам требовалось 11 часов 50 минут.
Все компании столкнулись с последствиями кибератак. Перечислим наиболее серьезные:
- На нефтехимическом заводе Nuft произошла авария и утечка ядовитых веществ. Атакующим удалось получить доступ к системе управления заводом, они закрыли входной клапан в холодильный контур, что привело к перегреву и нарушению производственного процесса. А вскоре нападающие смогли полностью его остановить.
- Из-за кибератаки остановилась работа нефтедобывающего оборудования, что привело к прекращению добычи нефти. Кроме того, нападающие смогли получить доступ к системе управления хранилищами нефтепродуктов и нарушили процесс транспортировки нефти в хранилище. Позже им удалось остановить работу контроллера, управляющего транспортировкой нефтепродуктов.
- В парке развлечений 25 Hours упало колесо обозрения. Одна из команд получила доступ к системе управления аттракционом и увеличила скорость вращения колеса до максимальной — результат оказался плачевным. Затем нападающие остановили работу контроллера, управляющего колесом обозрения, чтобы посетители не могли покинуть аттракцион, и отключили его освещение.
- Отметим и успешные атаки на банк, в ходе которых нападающие смогли украсть деньги со счетов горожан, а также узнать данные клиентов ДБО (имя, остаток на счете, PAN карты и т. п.).
- В двух компаниях были украдены ценные документы, а похитить персональные данные сотрудников атакующие смогли из пяти компаний.
- Уже в последние минуты соревнования команда back2oaz получила доступ к системе управления кондиционированием и смогла изменять температуру воздуха в офисных зданиях.
- Реализация некоторых киберрисков была непосредственно связана с недостаточной защитой сайтов компаний. Например, сбои в работе онлайн-касс парка аттракционов, сервиса по продаже авиабилетов и системы регистрации пассажиров на рейс на сайте аэропорта.
- Но в основном нападающим сначала нужно было получить доступ к локальной сети компании. И здесь мы тоже видим, что в первую очередь атакующие искали уязвимости в веб-приложениях и через них проникали в инфраструктуру. Об успешных попытках эксплуатации таких уязвимостей сообщали и команды защитников.
- Первая уязвимость была найдена командой n0x в системе компании Nuft через 19 минут после старта соревнований. Жюри приняло 433 отчета о найденных уязвимостях. Почти половину из них составило внедрение SQL-кода и еще четверть — недостатки, позволяющие выполнить произвольный код на сервере. Две трети всех уязвимостей выявили в компаниях Nuft и Big Bro Group.
Самое большое число рисков — восемь — было реализовано в инфраструктуре компании 25 Hours, которая управляет деловым центром города, системой кондиционирования, светофорами и парком развлечений, на втором месте — нефтяная компания Nuft, где было реализовано семь уникальных рисков. Незатронутыми остались только железнодорожная станция и морской порт.
Каждый третий риск опасен для людей
По оценке Максима Филиппова, директора Positive Technologies по развитию бизнеса в России, треть рисков, представленных на киберполигоне, могут так или иначе влиять на физическую безопасность людей. Выступая на бизнес-сессии ИД «Коммерсантъ» в рамках The Standoff, он напомнил, что в этом году у киберпротивостояния есть ряд важных нововведений.
«Каждому объекту на киберполигоне присущи те или иные бизнес-риски: остановка производства, утечка персональных данных, потеря конфиденциальных документов и т. п., — рассказал Максим Филиппов. — Здесь нет векторов атак. Мы отдаем площадку в распоряжение атакующих команд (red teams), которые ломают системы, исследуют их. Мы же наблюдаем, как взламываются системы, анализируем трафик и цепочки атак. На выходе получаем ценную экспертизу, которая затем идет в наши продукты».
«Мы не ожидали, что половина рисков будет реализована, — поделился впечатлениями Дмитрий Серебрянников, директор по анализу защищенности Positive Technologies. — Это очень много, особенно учитывая, что было мало времени. В этом году уровень атакующих сильно вырос».
«В этом году защита должна была доказать, что может отследить инцидент поэтапно. Основная цель была следить за работой сервисов и как можно быстрее устранять сбои, вызванные действиями атакующих, — рассказал директор департамента базы знаний и экспертизы Positive Technologies Михаил Помзов. — Эффективность команд защитников оценивалась по количеству зафиксированных атак, по среднему времени расследования инцидента — и времени доступности инфраструктуры: чем этот параметр ниже, тем слабее действуют защитники, а атакующие наносят больше вреда».
The Standoff завершен. Подробный анализ соревнования еще будет опубликован на наших страницах — следите за новостями на сайте standoff365.com и в соцсетях (Twitter, Telegram, Facebook, YouTube). С промежуточными отчетами о мероприятии можно ознакомиться на сайте The Standoff (там опубликованы рассказы про первые два дня и вторые два дня).
