対決：新しいフォーマットと新しい現実

Positive Hack Days VIが死亡しました。 彼のイベントが過去のページになったので、次の年に向けて在庫を取り、コースのチャートを作成します。 第6回PHDaysのライトモチーフは対立でした。PHDaysの作成の最初の日から主催者の心の中を歩き回り、最終的に「 PHDays VI CityF：Confrontation 」の形でその具現化を発見したという考えです 。 フォーラムの主要な競争は、高度に専門化されたハッカーゲームから2日間のメガバイトに進化しました。



帆を変えて実際の競技会を実際の生活に近づける最初の試みは、昨年の第5回PHDaysで行われました。 ストーリーでは、各CTFチームは架空の状態で活動している派factでした。 すべてのイベントは地下労働者交換に結び付けられ、参加者は特定のオブジェクトをハッキングする命令を受け取りました。 今年、フォーラムの作成者はさらに進んで、ハッカーの口論をディフェンダーとエキスパートセキュリティセンター（SOC）のチームで希釈しました。 ゲームのオーガナイザーは、情報セキュリティの世界の本当の代表者を手に取りました。人生のセキュリティシステムを構築し、攻撃に対抗し、インシデントを調査する人たちです。



「原則として、ハッカーチームのみがCTFに参加しています。 インテグレータ、SOC、情報セキュリティの専門家など、実際のオブジェクトのセキュリティを担当する人々は、この競争には参加しません。 情報セキュリティ業界のほとんどはオフサイドでした。 PHDays VI CityFの目標：対決は、できるだけ多くの人々にセキュリティの実際的な側面を認識させることでした。 高度に専門化された防衛および攻撃チームが熟練したことを行うと、この形式が非常に興味深いことがわかりました。防御チームとSOCのチームが防御システムを構築し、攻撃を撃退し、ハッカーが攻撃します。



シスコセキュリティコンサルタントのアレクセイルカツキーは、このイベントは一種の「実際のサイバーセキュリティイベントの開催における新しい言葉」であると指摘しています。 「CityFは、双方が対立に参加したという点で、特定のシナリオの下で生活する従来のサイバー令状やCTFとは異なります。 実際、一方のチームが会社を攻撃し、もう一方のチームが会社を防御する場合、赤チームと青チームの原則について話します。 CityFの場合、構築されたミニシティがそのような会社として選ばれ、情報セキュリティ市場の代表者が実際に情報セキュリティを確保する能力を実証し、言葉ではなく、赤と青のチームとして選ばれました」と彼は説明します。

モスクワはすぐには建てられませんでした...

すべてのイベントは都市Fで展開されましたが、機能的には実際には普通の億万長者と違いはありませんでした。 銀行、電気通信事業者、電力会社、大規模持株会社のオフィス、スマートホームが働いていました。 市の領土には、ニュースおよびエンターテイメントサイトとソーシャルネットワークを備えた独自のインターネットが展開されています。



作成者は6日間で世界を創造しましたが、都市Fの建設にはさらに時間がかかり、建設者は6か月もかかりました。 主催者とパートナーが記録的な速さで共同作業を行ったおかげで、技術的には生活に可能な限り近いすべてのモックアップとスタンドを展開することができました。 情報セキュリティの点で驚くほど複雑なインフラストラクチャであることが判明しました。



Positive Technologies製品プロモーションマネージャー、PHDaysの組織委員会のメンバー、PHDaysの組織委員会のメンバー、ミハイルレビンは次のように述べています。 ネットワーク、サーバー、ソフトウェアなど、膨大なリソースが必要でした。 私たちは自分で都市を建設しましたが、もちろん、必要な機器を提供し、設置と構成を積極的に支援してくれたパートナーであるシスコとチェックポイントは、私たちに大きなサポートを提供してくれました。



特に、新しいソリューションが使用されました：Cisco APIC（Cisco Application Policy Infrastructure Controller）、Cisco Nexus 9000スイッチ、Cisco ASA 5585ファイアウォール、Check Point Next Generation Firewall。



「私たちは、ポジティブテクノロジーと長年の関係を持っています-プロだけでなく、フレンドリーでもあります。 したがって、私たちは何年もの間PHDaysの技術インフラストラクチャを整理するのを手伝って喜んでいます。 今年は、以前よりはるかに多くのネットワーク機器とサーバーが必要になったため、このタスクはより野心的になりました。 しかし、我々はそれをやった。 特別な目標や商業的な目標を追求したとは言えません。 良い人々が良いビジネスを組織するのを助けたいという願望でした」とアレクセイ・ルカツキーは言います。



大企業だけが競争の準備に参加したわけではないことに注意すべきです-参加者の間で本当のスタートアップがいました。 たとえば、LoomoonはCityFシステムをCityBankシステムに提供しました。 「スマートホーム」レイアウトのほとんどは、アドバンテックとPROSOFTによって準備されました。



対立の直接の英雄たちは、まじめに準備されていました。 ゲームの条件では、防御チームは事前にインフラストラクチャにアクセスして、施設の保護手段を設定しましたが、制限はありませんでした。 防御者の主要なツールは、実際にテストしたアプリケーションレベルのファイアウォール、ネットワーク境界保護ツール、攻撃の検出と防止、相関分析ツール、さらにはSIEMでした。 彼らが言うように、ベンダーは、HP ArcSight、IBM QRadar SIEM、Microsoft Operations Management Suite、Qualys、Bot-Trek TDS、Security Onionに基づくシステム、Balabit Shell Control Box、Windows Server Update Services、さまざまなIDSを使用しましたIPS



しかし、防御チームの一部とSOCは、CityFの戦闘条件で非標準的なソリューションを体験する喜びを否定できませんでした。 たとえば、False Positiveチームはいくつかの独自開発を使用してインシデントを調査し、You Shall Not PassチームはGSMネットワークを監視するために古いMotorola C118電話とUbuntu仮想マシンを考案しました。



防御側が真剣に武装した場合、反対に、攻撃者はラップトップと標準的なハッカーキットで武装し、ほぼ素手で戦闘に突入しました。 これらは主に、Burp Suite Webアプリケーションの攻撃、Nmap IPネットワークのスキャン、Wiresharkネットワークトラフィックのキャプチャと分析、Cain＆Abelパスワードの回復、Metasploitエクスプロイトの作成とデバッグのためのツールでした。

ライブ速報

対立は主催者だけでなく、ルールとゲームの世界に慣れていない参加者にとっても挑戦でした。 抽象タスクは過去に残ったが、今回は参加者が本当の目標を持っていた。 PHDays組織委員会のメンバーであるPositive Technologiesの銀行システムセキュリティ部門の責任者であるTimur Yunusov氏によると、「従来のCTFは、すべての利点にもかかわらず、現実とは離婚している。すべては、パズルを解き、人工的なタスクを完了する」 オーガナイザーが追求した主なタスクは、生きているシステムを実際に破壊して保護する方法を明確に示すことでした（それでも、ハッカーの世界に精通していない人にとっては何が起こっているのか理解できます）。 タスクとして、ハッカーは銀行からお金を盗み、無制限のモバイル通信を提供し、水力発電所で事故を手配し、光のないスマートな家を出て、防御者とSOCチームが攻撃者に抵抗するように提案されました。 実際、すべてが人生のようです。



もちろん、そのようなイベントには困難が伴います。 幸いなことに、私たちは生じた困難を克服することができ、すべての浮き沈みにもかかわらず、ほとんどの参加者は競技中に得られた経験を積極的に評価しました。



「イベントの規模とフォーマットの変更の両方に関連する組織内の混乱にもかかわらず、1年前にドライブを請求されました。 CityFのプロセスでは、アカウントを決定するためのルールと原則にいくつかの重複と誤解がありましたが、この賞はすべての質問を削除しました」とコメントしました。 （ディフェンダーとSOC）。



ただし、まだ十分な明るさ​​を持っていなかった人もいました。ハッカーだけでなく、店内の同僚とも競争したい人もいました。 もちろん、古き良きCTFの原則に近い人もいました。

「ゲームの印象はあいまいです。興味深いアイデア、実用的なタスクが用意されていますが、ゲームの相互作用とポイントとペナルティのシステムは確立されていません（特にディフェンダーにとって）」 とRdotチームのメンバーであるOmar Ganievは言いました 。 彼は不潔なthr33参加者Kirill Shilimanovによってサポートされています。 サービスがアクセスできなかったため、攻撃者にとって初日は実質的に無駄でした。 彼らが開いてハッキングが始まったとき、それははるかに楽しくなりました。 サービスは複雑で面白く準備されていたことに注意してください。主催者に感謝します。」

30時間の戦い

対立は約30時間続き、大規模な攻撃に対抗するための本当のマラソンでした。 参加者には5つのオブジェクトがあり、5つの防御チームと3つのSOCチームを防御しました。 2日間で、裁判官は各防衛オブジェクトで3〜2万件のセキュリティイベントを記録し、約200件の重大な攻撃のみを記録しました。

99％のケースで、攻撃は保護されたオブジェクトの境界に集中していました。 実生活と同様に、Webへの攻撃は最も一般的なベクトルになっています。 しかし、これはディフェンダーにとって驚きではありませんでした;彼らは事前にそのような一連のイベントを予想しており、ディフェンスの準備ができていました。

「Webサーバーの保護に特に重点を置いて、オフィスインフラストラクチャを保護しました。 結局のところ、それは無駄ではありませんでした：ハッカーはペンテストに多くのツールを使用し、オペレーティングシステムIPSのエクスプロイトに対処した場合、Webサーバーに対する高度な攻撃とアプリケーションロジックに対する攻撃は、WAFログ、Webを分析する手動モードでのみ検出できましたサーバーとオペレーティングシステムの高度なログ」と、グリーンチームのメンバーであるCROCの情報セキュリティの専門家であるDmitry Berezinは述べています。

防御側の期待に反して、実際の別の一般的なベクトル-ソーシャルエンジニアリングを使用した攻撃-は、対立の参加者によって積極的に関与していませんでした。 ハッカーの1つのチームのみが敵の過失を利用し、ディフェンダーのチームの内部フォーラムからログインとパスワードを撮影しました。 ただし、これらのデータは重大なインシデントにはつながりませんでした。 「ソーシャルエンジニアリングの適用を本当に楽しみにしていましたが、攻撃者は実際にそのような技術を使用していませんでした」と、False PositiveチームのメンバーであるSolar SecurityのSolar JSOCディレクターVladimir Dryukovは嘆きました。



後に、ディフェンダーは最悪の事態に備えていることを認めたため、歯に武装してtrapを用意した。 アプリケーション、Webアプリケーション、OSおよびサービスの脆弱性の悪用、構成エラーなど、絶対にすべてが期待されます。 実際、すべてが異なって判明しました。

「当社のチームは、すべてのオブジェクトを保護しました-オペレーターのワークステーション、サーバー、企業のメール、ドメイン、RBS、ビデオ会議システム、電子文書管理、インスタントメッセージング。 準備された防衛線の大部分は役に立たなかった。ハッカーは内部ネットワークに侵入しなかった。 Golden TicketやPass-the-HashなどのKerberosネットワーク認証プロトコルに対する攻撃、トロイの木馬やバックドアを介した攻撃は見られませんでした。 また、ハッカーは準備されたハニーポットに登りませんでした。 ハッカーの誰も脆弱なproFTPDサーバーを破壊しようとしませんでした」と、ACTチームのメンバーであるASTグループの責任者であるInna Sergienko氏は言います。

False Positiveチームは、攻撃者がそれによって保護されているインフラストラクチャでフラグを1つしか取得できなかったことを自慢しました。 しかし、攻撃者は長い間勝利を祝いませんでした。数分で、システムの状態とその安全性を回復することができました。」



ちなみに、ゲームのフレームワークでは、ディフェンダーとSOCのチームの共同作業がその有効性を示しています。 裁判官によると、すべてのSOCチームは施設で起こっていることの最も完全な状況を収集し、一方、防御側は事件に迅速に対応することを余儀なくされました。 たとえば、ゲームの条件下で、産業システムの防御者が防御をオフにした状況では、産業システムを監視するSOCチームは、攻撃者の行動、攻撃の開始、その実装を詳細に調査しました。 実際には、これは防御ツールの介入なしでも攻撃を抑制するための迅速なアクションの可能性に対応します。

「情報保護チームは、水力発電所と500および10 kVの変電所を擁護しました。 ゲームのシナリオによると、競技初日の夕方、防御を弱め始めました。その日の終わりには、ほとんどすべてのSPIがオフになりました。 SOCのみが監視されます。 オブジェクトが保護されている間、インフラストラクチャに対する単一の成功した攻撃は実行されませんでした。 他のすべてのハッキングと洪水は、インフラストラクチャが保護されていないときに発生しました」と、参加者のIvan Melekhinがコメントしています。

成功したハッカーの総数：

• 複数のドメインのものを含むアカウントをハイジャックします。
• 自動制御システムの物理的機器への攻撃を実行します（水が排出され、ラインが切断され、送電線の配線が焼けました）。
• 企業ネットワークの脆弱性を介して技術制御システムネットワークに侵入する。
• スマートホームシステムに対してネットワーク攻撃を実行します（機器をネットワークから切断します）。
• 銀行からお金を盗み（約22,000ルーブル）、銀行カードのデータを受け取ります。
• CorpFオフィスに属するシステムファイル、ディスク、アーカイブのバックアップコピーを盗み、場合によっては削除します。
• USSDリクエストを偽造することにより、GSM / SS7に対して金銭の盗難を伴う攻撃を実行する。
• 防衛チームの従業員と攻撃チームの両方に対して相互攻撃を実行する（ハッカー、ソーシャルエンジニアリング手法を使用して、ディフェンダーフォーラムからパスワードを盗み、Vulnersディフェンダーチームがハッカーコンピューターをハッキングした ）。
• CorpFオフィスサイトを含む複数のWebリソースを改ざんする。
• インサイダーを1人発見します-CorpFのオフィス従業員

まとめ

フォーラムは、情報セキュリティの専門家がプロセスを中断することなく非常に高いレベルの保護を提供できることを明確に示しました。 最終目標-都市のドメインを獲得し、競争に勝つ-ハッカーの単一のチームが達成することはできませんでした。 この結果は主催者にとっては予想外のことでした：彼らはハッカーの勝利を予測しました。 ゲームの結果、ju審員は明らかな勝者に名前を付けることができませんでしたが、賞の場所はハッカーチームによって選ばれ、ゲーム中に最高であることが判明しました。 DefenderおよびSOCチームは、 さまざまなカテゴリで授与されています 。



PHDaysの組織委員会のメンバーであるロシアのPositive Technologiesのビジネス開発担当副ディレクターであるAlexey Kachalinは、対立の結果について次のようにコメントしています。「主催者と参加者の両方が勝ちました。 これはユニークなイベントであり、プレイせずに明確なルールを開発することは困難です。 今年参加した人が来年私たちのところに来て、ゲームの準備を手伝ってくれることを願っています。 防衛チームと攻撃チームに関与して、ルールとフォーマットを作成します。」



PHDays VIは成功したと断言できます。PHDaysフォーラムのディレクターであるVictoria Alekseevaはこれに同意します。



「PHDaysは何よりもまず、このイベントが行われる熱意を持つ人々です。 フォーラムが単なる「イベント」ではなく、本当の休日になるように、1年にわたって100人以上があらゆることを行いました。 毎回、私たち、主催者は、自分自身を克服し、一歩前進し、新しい記録を樹立します。 私はすべてが成功したと信じています：4200人の参加者はこれの証拠です。 「PHDaysの開催を手伝ってくれたみんなに感謝したい！」



フォーラムとコンテストが来年開催されるスローガンの下で予測することは依然として困難ですが、主催者は対立の概念を開発するつもりです。 彼らは、ゲームプロットの開発が私たちを待っていると言います。たとえば、従業員の解雇に関連するアクション、ソーシャルエンジニアリング、イベントが増え、ビジネスプロセス、昼夜のシナリオがさらに変化します。 そして、もちろん、将来的にはCityFはさらに「人口が増える」ことを約束します。



「私たちは、私たちの周りの世界が近年急速に変化しているのを見ています。 サイバーセキュリティは、ますます日常技術に浸透しています。 脅威はより複雑になり、攻撃はより高度になり、脅威はより顕著になります。 古い方法でセキュリティシステムを構築することはできなくなりました。セキュリティメソッドを迅速に改善する必要がありますが、私たち自身はさらに高速に開発する必要があります。 これに合わせて、PHDaysが変更されています。 今年、私たちの会議が別の意味を見出したことをうれしく思います。さまざまな業界の代表者が対立に参加し、重要なインフラ施設を保護する真の経験を得る機会を与えること。 そして、30時間の戦いの後の男たちの燃えるような目は、私たちにとって最高の報酬です。 しかし、私たちは栄光にとどまりたくありません。来年、プロのペンテスターやIT部門のその他の代表者との対立の参加者リストを拡大します 」と語るのは、 ポジティブテクノロジーズCEOの ユーリマクシモフです。



すでに、多くのパートナーとチームが次のコンテストに参加する意欲を表明しています。 たとえば、アレクセイ・ルカツキーは、PHDays VIIに対するシスコの計画を軽視しないことを提案しています。「この形式には素晴らしい見通しがあり、CityFはCTFに非常に高い水準を設定していると思います。 そして、世界の地政学的状況が悪化しなければ、シスコは再びPHDaysのテクノロジーパートナーになります。 もちろん、私たちを将来のイベントのスピーカーとして、そしておそらく、CityFのあらゆるセグメントのディフェンダーとして考えることは価値があります。 ただし、このアイデアについては社内で検討する必要があります。」



PHDays VIIはどうなるか、時間はわかります。 しかし、今、私たちは自信を持って第7回のフォーラムができると言うことができます！