対立の前夜：PHDays VI CityFの参加者が誰について話します

10、9、8 ...-猛烈なスピードでのカウントダウンタイマーにより、Positive Hack Days VIフォーラムが終了します。 もう少し、私たち全員がPHDays VI CityF：Confrontationを目撃します。参加者の抽象的な割り当ての代わりに、サイバースペースでの戦闘の大規模で最大限に現実的なモデルが待っています。 ポジティブテクノロジーズの事業開発副部長であるボリスシミスによると、「競争の重要な目標の1つは、州および地方自治体、銀行および金融機関の情報セキュリティの専門家、電気通信会社、産業企業の情報セキュリティのトピックへの関心を引くことです。国の生活の機能。」



したがって、ハッカー、ディフェンダー、およびセキュリティの専門家センター（SOC）の深刻な戦闘チームの1つのサイトで数日で衝突します-わずか24チーム 。 彼らは誰ですか？ PHDays VI CityFの前夜、チームの代表者と話をし、対立の結果に関する彼らの予測を聞き、彼らの戦略計画の詳細を見つけました。 しかし、まず最初に。

誰が誰

対立の参加者のほとんど-現実の世界では、情報セキュリティの世界の本当の代表者-は、「軍事秘密」を参照して、あえて名前を付けませんでした。 さて、議論しないでください。 確かに、2人はまだマスクを脱いでおり、どちらもハッカーであることに興味があります。 「私たちは白い帽子です、隠す必要はありません！」とハッカーダムチームのメンバーであるコンスタンチン・プロトニコフはコメントしました。



だから、私たちはインタビューのヒーローに会います。



ハッカー：Rdotの代表者、Bushwhackers、不潔なthr33、SpamAndHexチーム、More Smoked Leet ChickenのメンバーVlad Roskov、およびHackerdomのチームKonstantin Plotnikovのメンバー。



ディフェンダー：Green、You Shall Not Pass、Vulners、ASTチーム、SOC-IZo：SOC / welZartのチーム。

ファン、練習、勝利

チームは対立に参加することから何を期待しますか？ 判明したように、ほとんどの参加者の目標は経験を積むことです：防御側にとって攻撃とは、攻撃を検出して中和し、SOCと対話することです。ハッカーにとっては、複雑なオブジェクト（ICS、モバイルネットワーク）の攻撃です。 ただし、CTFのベテランはそれほど深刻ではなく、ゲームを楽しんで楽しむことを計画しています。



合格してはいけません ：コンテストに2日間参加すると、長年の仕事よりも多くの攻撃とハッキングのテクニックが見られます。 これは素晴らしい経験であり、私たちにはそれを無視する権利がありません。



AST ：私たちの参加の主な目標は、使用される保護の方法とメカニズムの実際的な検証と、極端な条件でのチームの結束と組織のレベルの向上です。



IZo：SOC / welZart ：大規模な攻撃の状況に設定されており、攻撃の検出と対策、およびチームの相互作用を実現しています。これらのスキルはすべて、お客様に真のセキュリティを提供します。 現実の世界では、完全なサイバー戦争の場合にのみ、単位時間あたりのハッカーの努力の集中（および保護の目的）を得ることができます-それなしで、それがまだできることを願っています。



filthy thr33 ：私たちの主な目標はイベントを楽しむことです:) CityF自体と実際のICS保護システムが実際の脅威にどのように対処するかを見るのは興味深いです。



Konstantin Plotnikov ：もちろん、勝ちます！ そして、必ず新しい知識とファンを獲得してください。

「支持者、SOC、ハッカー-すべてが人生と同じです！」

今回は、主催者は通常のCTF形式から離れました。 以前はハッカーにとって非常に特化したイベントであった場合、アクションはより壮観になると約束されています。攻撃者と防御者の両方が最もアクティブなアクションを実行します。 そして、多くの人がこのアイデアを気に入っているようです。



あなたは合格してはいけません ：支持者、SOC、ハッカー-すべてが現実の生活のようです！ 新しいフォーマットは、エキサイティングなものになることを約束します。 従来のCTFは非常に具体的です。外部からの単純な観察者は、何が起こっているのかを常に理解しているわけではありません。 PHDays VI CityFではインタラクティブな視覚化が期待されています-PHDaysフォーラムへのすべての訪問者はゲームに参加します。 そして誰もがそれがどうなるのか興味があります。



Rdot ：これは私たちにとって興味深い形式です。なぜなら、これにはさまざまなタスクが含まれており、そのほとんどが日常業務のタスクとほぼ完全に一致しているからです。



そして、 もう少しスモークされたリートチキンだけが古き良きCTFについてため息をつきます。 チームがju審員（Jeopardyなど）と互い（攻撃防御など）を攻撃する古き良きPHDays CTF（2012-2013）ほど優れたものはありません。

「シェフ！ すべてがなくなった！」

CityFの最悪の悪夢とは何ですか？ チームは、トレーニング場で起こりうる最悪のシナリオを描きました。 もちろん、あなたは期待することができます-あなたもする必要があります！ -何でも。 cなオーガナイザーは多くの驚きを準備し、ゲーム中に攻撃に利用可能な新しいサービスが突然現れるかもしれないとすでに警告しています。 しかし、これは参加者を怖がらせるようには見えません。反対に、彼らは主催者からより多くの行動を期待します：「彼らは時間通りに火に燃料を加えることが重要です！」



グリーン ：ゲーム中に、実際のプロジェクトで通常回避できる問題が確実に発生します。 CTF内では、保護されたインフラストラクチャに特定の制限があります：法的ユーザーと攻撃者の共通IPアドレス、およびアーキテクチャ上の制限。 さらに、参加者には準備する時間がほとんどありません。 外部サービスの侵害や、内部ネットワーク上のオブジェクトへの攻撃の試みには困難が伴うと予想されます。 また、このようなハッカーの流入に耐えられないインフラストラクチャまたはセキュリティシステムに問題がある可能性があります。 しかし、このような不測の事態に対応するための既成の計画があります。



合格してはいけません ：唯一の懸念事項は、パフォーマンスの低下によりサーバーの実行が遅くなること、または攻撃者の1人がインフラストラクチャ全体を「ドロップ」することです。



IZo：SOC / welZart ：ゲームインフラストラクチャの動作不能から始まり、チーム内の競合で終わるすべてがうまくいかない可能性があります。 しかし、私たちは何にでも対応できます。



Rdot ：ルールが複雑すぎて複雑になった場合、多くのことが間違っている可能性があります。 競争する時間はあまりないので、参加者はすぐにルールを調べる必要がありますが、これも脆弱な場合があります。 たとえば、ディフェンダーチームのインサイダーに対する保護はありますか？ ;）

サイト上のイベント：誰もが危険にさらされます

防御チームとSOCは、ハッカーの肌を試着し、CityF市のどのオブジェクトが攻撃されるかを伝えました。 彼らは、アプリケーション、Webアプリケーション、OSとサービスに脆弱性があり、構成エラー、弱いパスワードが攻撃者に積極的に悪用されることを示唆しています。 そしてもちろん、ソーシャルエンジニアリングの方法がなければ実現しません。



緑 ：主な攻撃ベクトルは、ハッカーが常に利用できるため、他の公開リソースと同様にWebサーバーになります。 「ユーザー」セグメントのメーリングリストを介したソーシャルエンジニアリングの使用を期待しています。 インフラストラクチャおよび防御に対する攻撃がある可能性はほとんどありません。



AST ：私たちが擁護した都市のインフラストラクチャには、多くの重要なリソースがあります。 これらは、銀行の典型的なオブジェクトです。自動銀行システム、リモート銀行サービスシステム、企業ドメイン、メールシステムです。 私たちの意見では、これらのオブジェクトが敵の注意を引き付けるはずです。 さらに、対立の際に、管理者は脆弱なファイルやWebリソースなどの新しいサービスを「委託」することを期待しています。これは常に実際の銀行で行われ、セキュリティシステムを迅速に対応して再構築する必要があります。



脆弱性 ：最初にWebアプリケーションの攻撃を開始し、次にインフラストラクチャサーバーに切り替えると考えています。 SCADAシステムまたはSS7ネットワークを攻撃できる競合はそれほど多くないため、個々のハッカーによってのみ攻撃される可能性があります。



IZo：SOC / welZart ：ゲームのルールに従って攻撃できないという事実を含め、 誰もが攻撃します。 おそらく、ほとんどの攻撃は、従来のオブジェクト（銀行、オフィスなど）に焦点を合わせます。これは、テレコムおよび自動プロセス制御システムをハッキングするには特定の知識が必要だからです。 一方、たとえ彼らが「壊れた」としても、最も資格のある参加者はそれを行います-そして洗練されたスキームに従って。

「バーを攻撃します！」

もちろん、ハッカーの誰もが急いですべての秘密を明かすことはできませんが、彼らは何かを見つけることができました。 発電所は、攻撃者にとって最も興味深いものであることが判明しました。



Rdot ：チームメンバーのモチベーションに依存します。 銀行や発電所など、たくさん行くと思います。



SpamAndHex ：個人的には、重要なインフラストラクチャ（たとえば、発電所）に脆弱性があると思います。 また、構成の欠陥（たとえば、ネットワークトポロジ、明確に定義された封じ込めポリシーの欠如）、およびさまざまな仮想マシンを公開するサービスの実際の脆弱性もあります。



不潔なthr33 ：紳士のSCADAシステムのセットには、いくつかの標準的な脆弱性があることは間違いないと思います。 おそらく、防御者はこれらの脆弱性の悪用を最初に特定するでしょう。 さて、いくつかのタスクは0日を使用して解決する必要がありますが、これがないとどうなるでしょう。



Bushwhackers ：どのサービスにどのような脆弱性があり、どのようにチームメンバーのスキルと交差するのかを正確に事前に言うことはできません。 しかし、間違いなくバーを攻撃します:)

ラップトップに対する「重砲」

防御側とSOCチームは対決に真剣に準備し、標準的な防御（従来のウイルス対策とIDS / IPSから始まり、FWとWAFで終わる）と非標準の防御の両方を装備する計画を立てています。 ）



IZo：SOC / welZart：SOCのフレームワーク内で、IBM qRadar、Microsoft OMS、SecurityMatters SilentDefenceなど、情報セキュリティイベントを収集、処理、監視するための多くのシステムを展開しました。 SPIの構成は、主に現在の脅威によって決まります。 私たちは、ファイアウォールサブシステム、APT攻撃に対する保護、ウイルス対策保護、ISイベントロギング、および更新というISサブシステムのセットを特定しました。



AST ：基本レベルと製造パートナーが提供するいくつかの新しいツールの両方でセキュリティツールを使用する予定です（たとえば、ドメインユーザーアカウントに対する標的型攻撃に対するセキュリティツール、クラウドベースのソフトウェア行動分析ツール）。



同時に、ハッカーは主にラップトップで武装した素手で戦いを始める予定です。



Konstantin Plotnikov ：ラップトップ、無線通信、そして私たちに役立つかもしれないすべてのものを取ります。 たとえば、昨年、レーザープリンターカートリッジと一眼レフカメラのトナーは、銀行カードの磁気ストリップから情報を読み取るのに役立ちました。

PHDays VI CityFは宝くじです



誰が勝ちますか？ 予測することはまだ困難であり、チームはまだ控えめにお互いを評価しています-そして、もちろん、誰もあきらめません。 まあ、またはほとんど誰も...しかし、すでに私たちは戦いが暑いと言うことができます。



脆弱性 ：これは新しいCTF形式であるため、すべてのチームのチャンスは等しくなります。 インフラストラクチャを調査するために防御者に事前に時間が与えられたという事実にもかかわらず、主催者は、完全に構築された防御ラインでさえクラックされることができるように、いくつかの驚きを準備することを約束しました。



AST ：私たちの反対者は、情報セキュリティの分野の研究者を含む高度な資格を持つ専門家です。 そして誰もが勝つチャンスがあります。 インフラストラクチャには脆弱性がありますが、ライバルの可能性を減らすために最善を尽くします。



グリーン ：私の予測は50〜50です。 これは宝くじです。 私たちは、現在の状況で、そしてどんなプロジェクトでも、すべての攻撃に対して防御することはできません。 しかし、ベストプラクティスと業界標準に基づいて、あらゆる分野で特定の保証レベルのセキュリティを提供できます。 オブジェクトの周囲に特定の高さのフェンスを構築できます。攻撃者がこのフェンスを飛び越えることができるかどうかは、完全にそれらに依存します。



不潔なthr33 ： 誰も気分を害することはないと思います。 防御側は攻撃の一部をうまくキャッチし、ハッカーは防御システムをバイパスし、SOCはこのような不名誉をすべて記録します。



Vlad Roskov ：勝ちます。 勝ちに来なかったので...楽しんでください。

***

ハッカーやセキュリティの専門家は誰ですか？ 誰を応援していますか？ 賭けをして、講堂の席に着きます。 楽しいでしょう！ このフォーラムは、2016年5月17〜18日にモスクワ世界貿易センターで開催されます。 正のハック日チケット： runet-id.com/event/phdays16