Как на киберполигоне The Standoff взламывали цифровых двойников банка, аэропорта и других объектов

29 команд нападающих и 6 команд защитников: более 250 экспертов из разных стран сражались за ресурсы цифрового двойника современного мегаполиса в течение 123 часов.

Материал подготовлен при поддержке The Standoff

The Standoff — это киберполигон, на котором воссозданы цифровые двойники городских объектов, — аэропорта, железной дороги, банка, системы телерадиовещания и уличного освещения, электростанции и многих других. А ведущие специалисты в области «нападающей» (Red Team) и «обороняющейся» (Blue Team) информационной безопасности противодействуют друг с другу в борьбе за виртуальный мегаполис.

Главное отличие от других соревнований, связанных с информационной безопасностью, в том, что на площадке моделируются копии реальной инфраструктуры компаний, сервисов и бизнес-процессов.

Перед командами нападения стоит задача найти уязвимости и до конца реализовать бизнес риски (что невозможно в реальности, так как чревато остановкой бизнеса или даже техногенной катастрофой). Это позволяет узнать, чем обернётся настоящая кибератака на тот или иной объект, получить опыт борьбы с ними и выработать сценарии реагирования. Принять участие и проверить свою систему и технологии на предмет уязвимостей может любая компания.

Параллельно с киберполигоном прошла конференция с докладами: в этом году десятки экспертов из шести стран рассказывали о текущей ситуации в кибербезопасности, новых уязвимостях и своём опыте борьбы с ними. Можно было послушать 200+ докладов и интервью, а мероприятие посетило 27+ тысяч зрителей.

123 часа атакующие команды нон-стоп искали возможности реализовать бизнес-риски: получить персональные данные клиентов организаций, похитить деньги из банка, пустить под откос поезд и прочее. А команды защиты расследовали случающиеся инциденты.

Атакующие смогли вывести из строя системы парка развлечений, газораспределительной станции, нефтедобывающей компании, аэропорта, электростанции. Потери понесли банк и деловой центр, а на рекламных экранах в городе взломщики могли показывать что угодно. В итоге на киберполигоне так или иначе пострадали все объекты, кроме железнодорожной станции и порта.

• На нефтехимическом заводе Nuft произошла авария и утечка ядовитых веществ. Атакующие смогли получить доступ к системе управления заводом, закрыли входной клапан в холодильный контур и вызвали перегрев.
• В парке развлечений 25 Hours упало колесо обозрения. Одна из команд получила доступ к управлению аттракционом и увеличила скорость вращения колеса до максимальной — результат оказался плачевным.
  
• В ходе атаки на банк нападающие смогли украсть деньги со счетов горожан, а также узнать данные клиентов: имя, остаток на счете, PAN карты и так далее.
  
• Первая уязвимость была найдена и использована командой n0x в системе нефтяной компании Nuft через 19 минут после старта соревнований.
  
• Два из 24 реализованных бизнес-рисков оказались новыми, не предусмотренными программой, — это стало возможным, потому что на киберполигоне почти нет ограничений и заранее заданных векторов для атак.
  
• В среднем Blue Team требовалось почти 12 часов на одно расследование со всей полнотой собранных фактов, но иногда они успевали гораздо быстрее — меньше, чем за час.

Лидерами среди атакующих стала команда Codeby, второе место заняла back2oaz, а третье DeteAct. В защите наилучшие показатели по скорости расследования показала команда IZ:SOC, по количеству расследованных бизнес-рисков — CyberTatars&MoscowMasters, а по доступности защищаемой инфраструктуры — m6q9.

Все объекты, которые были в этом году: аэропорт, морской порт, железная дорога, деловой центр, банк, парк развлечений, городские системы (светофоры и уличное освещение), система телерадиовещания, нефтедобывающая станция, электроподстанция, газораспределительная станция, тепловая электростанция, ветроэлектрическая установка, нефтехимический завод.

Видеозаписи всех докладов можно найти в разделе видео. Мы кратко расскажем о самых интересных.

Zoom только после нескольких скандалов с утечкой данных получил сквозное шифрование, а сейчас та же проблема касается и Microsoft Teams — платформа, по словам Морица Абрелла, не использует сквозное шифрование, а шлёт приватные ключи на сервера Microsoft.

Дмитрий Курбатов рассказал о том, что архитектура 5G во многом основана на технологиях сетей предыдущих поколений, и поэтому в ней остаются актуальными все уязвимости. А это делает возможным взлом смартфонов, подключённых к 5G, и беспилотных автомобилей (с последующим управлением).

Мы быстро приближаемся к технологиям, похожим на искусственный интеллект, но одна из самых больших проблем, связанных с машинным обучением, — это безопасность. Сергей Гордейчик представил результаты практического исследования уязвимостей в сегодняшней инфраструктуре вокруг ИИ: в конкретной системе видеонаблюдения с распознаванием лиц, серверах NVIDIA DGX GPU и фреймворках машинного обучения вроде Pytorch, Keras, Tensorflow.

Костин Райю подготовил доклад о том, что в 2020 году шифровальщики стали самой заметной проблемой в мире: «Если в 2017 году программы-вымогатели в основном просили маленький выкуп (от 100 до 300 долларов) и целями атакующих были частные пользователи и их персональные компьютеры, то с конца 2017 года этот тренд изменился и атаки стали сложнее».

Дальше на эту тему выступил Олег Скулкин: «Таким образом теперь стали атаковать крупные компании вроде Canon, а размеры выкупов значительно увеличились, например Garmin пришлось заплатить 10 млн. долларов».

Мечта каждого хакера — получить физический доступ к оборудованию или помещению. Роберт Селл рассказал, что хакеры делают в ходе тестовых попыток проникновения, как прячут инструменты для взлома замков и какие объяснения заготавливают в случаи поимки.

Джон Ламберт больше 20 лет проработал в Microsoft и возглавляет отдел по анализу угроз для Cloud и AI. Его доклад — про то, что информационной безопасности всё ещё нужно преодолеть разобщённость и создать ту площадку, где специалисты могли бы учиться на опыте и подходах других организаций.

The Standoff — это открытый киберполигон, среда, в которой компании могут моделировать критические ситуации (без реальных последствий) и тестировать свои технологии на прочность силами ведущих мировых экспертов в области «нападающей» безопасности (offensive security). Чтобы проверить навыки выявления уязвимостей, оценить масштабы кибератак в безопасной среде, и в конечном итоге делать более качественные и защищённые продукты.