Всем привет! Меня зовут Саша Коробко, в Positive Technologies я работаю больше года и уже активно вовлечен в процессы разных продуктов и сервисов: с ребятами из команды MaxPatrol EDR у нас, как говорится, одинаково засучены рукава. 

В декабре вышли анонсы нового Positive Hacks Days, и пока вы думаете об экспертных докладах и треках, которые вам интересны как слушателям или спикерам, я расскажу про один мой день на киберфестивале прошлого года. А точнее об очень важной его части — кибербитве Standoff 13. 

В мае 2024 года мне повезло впервые попасть на киберфестиваль Positive Hacks Days. Да, для вас это может быть не ново, многие там были в качестве партнеров, крутых исследователей, пытливых умов, представителей именитых вендоров и т. п. А я за 14 лет работы в ИТ так ни разу и не пришел на него. Понятное дело, слышал, впитывал увлеченные рассказы коллег, которые участвовали. Было прикольно наблюдать за этим: пока не был, но хочешь попасть. И я тут как раз про встречи, нетворкинг, вызывающие приколы, новые фишки, как кого ломали, какие тренды, кто как научился новые тулы применять…

Positive Hacks Days в 2024 году получился реально крутой. Несколько дней, солнечная погода, большое пространство, свобода. Мне не довелось увидеть открытие, но я не жалею об этом, ведь у меня на PHDays была изначально другая задача. Всю площадку посмотрел за день до 23 мая — официального начала феста. Не потому, что был в составе организаторов, а потому, что 22 числа началась кибербитва Standoff 13.

Мне было важно, и спасибо команде проекта, что такая возможность представилась, побывать в гуще событий именно на стороне защитников. Знаю, ранее мы уже давали в руки синим командам наши разные продукты, в том числе они могли реагировать на атаки. И вот теперь, во второй раз, защитники по полной использовали возможности решений Positive Technologies. Мне было дико интересно, что «синие» будут со всем этим делать, как начнут отражать атаки и, что не менее важно, насколько наш MaxPatrol EDR этим людям будет понятен и удобен.

Что такое кибербитва Standoff 13

Кибербитва Standoff 13 — это состязание, в котором специалисты по ИБ на протяжении четырех дней (с 22 по 25 мая) проверяли киберзащищенность компаний из разных отраслей экономики виртуальных государств.

В соревнованиях были предусмотрены критические события — последствия для виртуальной инфраструктуры, за реализацию которых хакеры получали больше всего очков. Для виртуального города, например, это могли быть включение пожарной тревоги, остановка систем кондиционирования. Для производства — остановка автоматизированных систем управления технологическими процессами (АСУ ТП), нарушения производственного цикла, вывод турбин из эксплуатации и многое другое.

Во время кибербитвы 25 команд атакующих («красных» на языке Standoff):

• боролись за общий призовой фонд в 15 млн рублей;

• атаковали два виртуальных государства со своими инфраструктурами и отраслями;

• искали слабые стороны защиты, практиковали трендовые техники атак.

А 11 команд защитников («синих»):

• отражали атаки на свои отрасли;

• проверяли, к каким атакам готовы;

Не буду хвастаться результатами этих команда, ребята из Standoff специально не делали рейтингов защитников. О том, как все прошло, вы можете узнать сами и решить, насколько это важно или полезно, по турнирным таблицам и по покрытию матрицы MITRE ATT&CK. Приглашаю самостоятельно принять участие в следующей кибербитве Standoff!

Две команды состязались в режиме реагирования, то есть использовали все доступные функции MaxPatrol EDR.

Это опытные спецы, которые уже сталкивались с белыми хакерами на соревнованиях и даже на киберполигонах. В виртуальной среде они фактически строили свой SOC, создавали процессы обеспечения киберзащиты (обработка событий, сбор данных для расследования, оформление отчетов об инцидентах), формировали таблицы с инцидентами: у кого-то для этого был поднят свой IRP (Incident Response Platform, софт для обработки инцидентов), у кого-то — оперативный мессенджер и гарнитуры для работы, а у кого-то были ребята из пентест-команды. И мне разрешили побыть вместе с одной из них! Это была команда из 20 с лишним человек, которая защищала атомную промышленность. В ней было свое разделение спецов на роли (пентест, аналитика, мониторинг, threat hunting, реагирование).

Standoff 13 проходил на малой спортивной арене «Лужников». Объемы строительства киберполигона колоссальные, за кулисами был интересный симбиоз советской постройки и наших современных конструкций: чёрная драпировочная ткань, километры проводов, неоновый свет и прочий кибервизуал.

В павильоне уже царила атмосфера виртуального сражения: все работало, трибуны «красных» стояли напротив «синих», были возведены полигоны атакуемых инфраструктур, какие-то прожекторы повсюду… и тишина. Только еле уловимый гул переговоров в каждой из команд (а их было очень много). Они уже работали в своем пространстве, даже до открытия фестиваля. На тот момент еще не было зрителей и ведущего, спикеров на сцене, анонсов результатов. Потому-то мне и запомнилась эта тишина, работающие шуруповерты и периодическая проверка звука.  

Я примерно понимал, где мое место в этом помещении, нужно было найти команду и сесть на хоть какой-нибудь свободный стул. Ничего сложного, когда все строительные леса убраны и ты видишь, где расположены лестницы. Итого: я на месте, на трибуне «синих» в команде из 20+ человек. Они нашли мне рабочее место с монитором и стул. Все участники команды, которую мне довелось менторить (я сопровождал ребят и отвечал на вопросы по продукту, которые у них возникали: у команды ранее не было опыта работы с MaxPatrol EDR), разделились на группы: мониторинг с MaxPatrol SIEM, регистрация инцидентов, реагирование с помощью MaxPatrol EDR, работа с сетевым трафиком PT NAD, проактивный поиск угроз и проверка гипотезы по следующим шагам атакующих. У меня не было доступа к инфраструктуре ребят, и я решил просто достать рабочий ноутбук, фиксировать отзывы команды о работе с продуктом, возникающие вопросы или проблемы.

День предстоял долгий: узкое пространство, много людей, таких еще четыре впереди. Я заварил свой любимый пуэр в термосе и потихоньку им наслаждался. Жаль, что первым делом этот термос сам же и опрокинул на свой ноутбук и стол соседей. Такое вот «вливание в команду». Благо, все обошлось: ничего не коротнуло, техника осталась в порядке. И я заметил, что ребята принесли свои утыканные стикерами боевые машины. Мне было не по себе от случившегося и оставалось надеяться только на то, что 700 граммов вяленой говядины, которую я готовлю сам и вежливо раздаю, позволят мне остаться в их рядах. Так и случилось.

Первые часы шли, народ примерялся к инфраструктуре, синхронизировался по отчетам и работе с жюри. Уже через 4 часа кибербитвы начали появляться первые инциденты. Участники команды заносили их в общую таблицу, с которой работали (не сразу, но они дали мне доступ к ней), дополняли данными из систем мониторинга, предлагали варианты реагирования, чтобы не допустить продвижения хакеров.

Почти сразу я стал слышать за своей спиной «Дима, давай блокируй…так, блокируем хост…». Это обращались к участнику команды, который отвечал за MaxPatrol EDR. Он знал, какие инциденты в работе и что делают хакеры, совместно с командой принимал решение, когда надо останавливать активности атакующих. Мы с ним быстро нашли общий язык, поскольку он действительно интересовался продуктом и до кибербитвы с ним не работал. Удивительно, но сразу, не имея опыта, без чтения документации — начал применять. Мое почтение ребятам из состава менторов: они готовят участников к инфраструктуре, рассказывают, что есть на онлайн-полигонах и какие из наших инструментов будут использоваться.

Дмитрий с командой за четыре дня прошел через целый поток атак, применяя множество техник реагирования. Мне оставалось лишь вовремя отвечать на вопросы и показывать интерфейс. Само собой, нашли парочку неоптимальных кейсов, багов, но в целом команда оценила, насколько мощный и действенный инструмент оказался у них в руках, и ощутила уверенность при противостоянии хакерам.

Механика кибербитвы не предполагала автоматизации реагирования, а некоторые запреты не могли быть наложены навсегда, по правилам состязаний это было запрещено. Это серьезный чит, а использовать их в любой игре — нечестно, согласитесь? То есть если бы защитники просто изолировали ключевые узлы от сети, то они, конечно, отрезали бы атакующих, не давая им реализовывать критические события (проще говоря, проводить атаки). Но это бы существенно снизило проценты доступности инфраструктуры (параметр, влияющий на результативность команды). Поэтому они четко следили за тем, чтобы как-то реагировать, а через 15 минут откатывать ограничения назад. По правилам соревнований был введен таймер — реагирование, в ходе которого что-то изолируется (компьютер, учетная запись, сеть), ограничено пятнадцатью минутами.

Ни одна команда защитников на Standoff 13, работавшая в режиме реагирования, не ставила перед собой цели полностью заблокировать любой возможный доступ к инфраструктуре — они всегда давали атакующим продвинуться в своих атаках. Цели «синих» — изучать техники, расследовать инциденты, а не только блочить. Весьма осознанный подход, который позволяет прокачивать навыки для реальной работы в своем SOC.

Команды реагирования смогли добиться хороших результатов:

• защитили отрасли «Энергетика» и «Атомная промышленность», представленные в инфраструктуре нашего виртуального Государства S;

• предотвратили в общей сложности 117 инцидентов, расследовали 23 критических события;

• добились минимальных сроков реагирования на инциденты — 24 минуты;

• работали как настоящие SOC: с разделением ролей, линий аналитиков, с процессом обработки инцидентов (заведение, обогащение, реагирование, отчет);

• в 20% заведенных инцидентов использовали MaxPatrol EDR для реагирования (всего у команд было более 800 таких инцидентов).

В атаках встречались такие названия семейств вредоносного ПО:

• Cobalt Strike;

• Metasploit;

• Impacket;

• Hot Potato;

• LaZagne.

Мне было совершенно непривычно, но приятно наблюдать, как ребята все больше запросов отправляли моему новому знакомому Диме. И все с фразами вроде «Так, сканируют сеть с хоста, блокируем… от учетки Hubbard идет активность, надо блочить ее… проверили файл, вот это надо удалять везде и процессы стопить».

Некоторые варианты реагирования вызвали сложности у ребят: они впервые нажимали эти кнопки в консоли продукта. Но надо сказать, что в итоге задачи решались. Потом они рассказали, что в целом без документации легко начать работать, не все понятно интуитивно, но большая часть работает «с колес».

Какие техники реагирования защитники смогли использовать:

• блокировка трафика по конкретному IP-адресу (это помогало выявлять случаи, когда атакующие сканировали сеть с каких-то скомпрометированных узлов и связывались с C2-серверами);

• частичная сетевая изоляция (хорошо помогало, когда нужно было не допустить продвижения, разобраться с узлом, изучить активность на нем тщательнее);

• проверка файлов в песочнице и по хеш-суммам — удаление файлов (print.exe, d.exe, wmihost.exe, juicypotato.exe, nmap.exe и другие варианты названий популярных эксплойтов);

• остановка процессов (в целом важно для остановки PowerShell);

• блокировка УЗ (один из новых на тот момент модулей, с помощью которого можно было изолировать локальные учетные записи на устройствах, чтобы остановить попытки эскалации привилегий).

В результате кибербитвы у команды Standoff появилась и совершенно обширная версия матрицы MITRE ATT&CK. Она показала, какие техники в действительности использовали атакующие и какие их них наши продукты за эти четыре дня увидели и остановили.

• Эти атаки актуальны и для реальных условий, все техники и тактики используют злоумышленники «из дикой природы».

• Почти 70% техник из MITRE ATT&CK, которые мы заложили в задания, нашли и использовали «красные».

• В реальных инфраструктурах нужны решения, способные защищать не от конкретных файлов с ВПО, а от ТТР. Требуются продукты, способные как можно раньше определить цепочку действий атакующих.

• MaxPatrol EDR покрывает актуальные для конечных устройств атаки, и мы постоянно расширяем экспертизу в продукте.

Помимо выводов с самой кибербитвы, в которой лидеры показали себя, мои коллеги отработали сложные сценарии, вывели онлайн-полигон и соревнования на международный уровень, мне повезло собрать немало обратной связи и для развития продукта.

• У нас есть шесть интервью с пользователями, четыре дня мощного погружения, обратная связь от участников, телеметрия, показатели, которые мы сможем тщательно изучить, улучшая качество обнаружения и реагирования.

• Идеи для изменения или обновления интерфейса, чтобы тот давал понимание пользователю о том, как система выполнила желаемое действие (например, файл уже удален, переименован, перемещен, но не удается удалить его; или когда пользователю неочевидно, какие возможности доступны для Linux- или Windows-устройств).

• Пожелания по развитию возможностей на Linux (это, в частности, изоляция узлов; а вот remote shell мы уже добавили ?).

• Пожелания к сценарию удаления файлов по хеш-суммам. Это один из новых модулей, и нам еще предстоит добавить в него новые сценарии для пользователей.

Что дальше?

Для начала, мы в R&D очень рады, что наш MaxPatrol EDR продолжают активно использовать в бою — на «нагруженных» ивентах.

Мы готовимся к таким мероприятиям, стараемся дать клиентам самые действенные и свежие инструменты. Это было и в случае MaxPatrol EDR 6.0, релиза, который мы старались представить в срок, специально к кибербитве Standoff 13. И это получилось. За кулисами было многое сделано: перестроение процессов, повышение качества, выполнение договоренностей, формирование прозрачной картины развития продукта для клиентов.

Обязательно используем полученные знания и необработанные данные с онлайн-полигонов. Для чего? Для тестирования, анализа техник, для добавления самой подходящей экспертизы в продукт.

Пока писал статью, прошла новая кибербитва Standoff 14. Она состоялась полностью онлайн, но от этого не стала менее захватывающей и драматичной: c новой версией продукта, с учетом пожеланий наших клиентов и тех, кто пользовался продуктом впервые на 13-й кибербитве, с новыми ухищрениями атакующих, попытками обхода MaxPatrol EDR, и, конечно, реагированием на угрозы командами защитников. Впрочем, это уже совсем другая история :)

А вы были на кибербитве Standoff? Что вам понравилось и зацепило больше всего? Поделитесь воспоминаниями и своим опытом.