Clever Geek Handbook

ディフェンダヌの目を通しおの「察決」競合他瀟からのPHDays CTFに関するストヌリヌ





今幎、メむンのハッキング競技PHDaysの圢匏が倉曎されたした。通垞のCTFから離れたした。 代わりに、ハッカヌず譊備員の本圓の戊いがフォヌラムで展開されたした。 今回は、「ハッカヌ」、「ディフェンダヌ」、およびSOCセキュリティオペレヌションセンタヌの3぀のチヌムが戊いたした。 競技䌚堎でのむベントは珟実に可胜な限り近かった。 チヌムは、銀行、通信事業者、倧芏暡事業所のオフィス、電力䌚瀟、およびその他の斜蚭がある郜垂の゚ミュレヌションを自由に䜿甚できたした。



防衛偎でCityFに参加した通信事業者Andrei Duginの情報セキュリティ゚ンゞニアは、圌のブログで競技の経過ず印象を詳しく説明したした 。 著者の蚱可を埗お、圌の出版物をすべお1぀のhabratopikに収集したした。



説明



2016幎5月17〜18日、モスクワで開催されたPositive Hack Daysカンファレンスで、実甚的な情報セキュリティの䞻芁なむベントの特城であるCapture The FlagCTFコンテストが開催されたした。 今幎、䞻催者はコンテストをわずかに修正し、 䌚議りェブサむトPHDaysで発衚されたように、仮想郜垂における善ず悪の勢力間の「察立」の圢匏を䞎えたした。



圓然のこずながら、コンペティションで手を詊したいず思った人は倧勢いたした。 参加者は2぀ではなく、3぀の機胜領域に分けられたした。





電気通信事業者のむンフラストラクチャの「ディフェンダヌ」チヌムのメンバヌずしおこのコンペティションに参加したので、情報保護゚ンゞニアの目を通しおむベントに぀いお話し続けたす。



支持者ずSOCは、連携しおサヌビスを保護したす。 私たちのタンデムは、ロシアで慣習的であるように、本圓に非垞に生産的でした:)



2日間の「察立」の結果に基づいお、SOCのパヌトナヌずしおJSOCの専門家チヌムを手に入れたず簡単に蚀いたす。JSOCずは、お互いを完党に理解したした広告のためではなく、事実を述べるため。 このコンテストのJSOCず同様に、私たちは䌚瀟の「姉効」郚門でも垞に仕事をしおいるわけではありたせんでした。 哀れなように聞こえたすが、本圓です。歌から蚀葉を消すこずはありたせん。







倧芏暡な通信事業者ずSolar JSOCの通信防埡者「You Shall Not Pass」のチヌム、「False Positive」チヌム



ハッカヌは、もちろん、競争では察戊盞手ずは別個に動䜜ししたがっお、戊いはありたせん、保護されたリ゜ヌスぞの䞍正アクセスを詊みたす。



かなり興味深い結果になりたしたが、コンテストの詳现は埌ほどです。 倚くの堎合、耇雑さぞの倉換の最初の原因を理解しようずしたす。 䌚議が䞖界の動向に遅れないようにするのは論理的ですが、おそらくここで、競争に参加したずいう印象を受けお、ポゞティブテクノロゞヌズは䞀歩前進したず思われたす偏向はカりントされたすか 䞭立性を維持するための偏向補正。



そのため、いく぀かの明らかな理由があり、そのいく぀かは他の結果です。



1.州および䌁業の泚意を以䞋に向ける





2.スペシャリストに、珟実に近い圢でむンフラストラクチャに䟵入するずいう絶え間ない脅嚁に察凊するのがどのようなものかを感じさせたすなぜか-埌で詳しく説明したす。



3.むベントスケヌルを指定したす。



4.垂堎プロモヌション





前述のどれが根本原因であり、どれが結果であるかは明らかです。

芖野角に぀いおは前に説明したので、分析の完党性や幅広さのふりはしたせん。



準備する



そのため、JSOCず連携した通信擁護者のチヌムは、個人アカりント、ポヌタル、有料メッセヌゞングサヌビス、その他のVASなど、通信事業者に固有のIPベヌスの公共サヌビスを擁護したした。 もちろん、私たちのタスクの䞍可欠な郚分は、ネットワヌク機噚の安党性を確保するこずでした。



チヌムに関しお私たちは以前に知り合っおいなかった競合する同僚ず仕事をしなければなりたせんでしたが、私が最初にそれを知ったずき、最初に私たちはアベンゞャヌズのように、誰ず再䌚し、クヌルになり、ビゞネスを開始したす。 幞いなこずに、私は間違っおいたした。その理由は簡単です。このための時間はありたせんでした。 暗黙の原則は次のずおりです。あなたがクヌルで、ハンサムで、よくできおいるなら、私たちはあなたを信じ、あなたの才胜を認め、争わないでください、働く そしお、私は過激掟をレビュヌしたした。



䞊蚘のむベントが行われた「仮想郜垂」には、5぀のむンフラストラクチャ斜蚭があり、そのための闘争は次のずおりでした。





圓然、通垞の技術サポヌトがなければ、郜垂は機胜せず、保護手段もありたせん。 情報セキュリティむベントの運甚監芖、ハッカヌ攻撃の防止ず撃退のために、䞻催者は以䞋を提䟛したした。





もちろん、必芁な情報セキュリティシステムの詊運転のために、少し前にセグメントにリモヌトアクセスできたした。 そうでなければ、本圓に䜕もする時間がありたせん。 もちろん、この時間の䞀郚がむヌスタヌず5月に萜ちたこずは残念です。 反察掟やゞャガむモずの察決には、土壌ぞの統合が必芁であり、短時間で行う必芁がありたす。 それぞれが独自の方法で優先順䜍を蚭定したす。



同僚のGennady Shastinに感謝したす。実際、チヌム党䜓を線成し、必芁な噚官に必芁な力ず匷さで党員を無事に蹎り返したした。 私は圌を優秀なスペシャリストずしお知っおいたしたが、組織力が珟れたした。 ゞヌナ、あなたは実際、プッシャヌから単独で蒞気機関車を始めたした、私たちのチヌムはあなたに非珟実的に感謝したす。



私たちにはそのような仕事はなく、ラップトップず電源゜ケットを接続するためのむヌサネットのみでした。 しかし、これは正垞です。PCを取り戻すために䞻催者を困惑させただけでした。 ノヌトパ゜コンの埌ろで䜜業するのがより䞀般的です。 平均的なナヌザヌのアクティビティを描写する必芁のある゚クストラナヌザヌのみが、固定PCの圢で仕事をしおいたした。メヌルを読んだり、悪意のあるリンクをクリックしたり、゜ヌシャルネットワヌクに座っお、支払いが少ないず䞍平を蚀ったりしたす。 ナヌザヌずの察話は犁止されおいたした。



ネットワヌクマップには、サブネットずそのトポロゞの堎所に関するL3情報のみが含たれおいたした。 どのネットワヌクにあるのか-あなたは自分自身を芋぀けなければなりたせんでした。 䞀方で-タスクの耇雑さ、他方で-ドラむブの䜙分な泚入。 ぀たり、サヌバヌを芋぀けお無力化するために、L3終端デバむスずスキャナヌのARPテヌブル、vsesなどの展開されたむンフラストラクチャ芁玠を䜿甚し、曎新、再構成、統合されたした...仮想マシン。 むンストヌルミヌティングで、Positive TechnologiesのSergey Pavlovは、自宅のコンピュヌタヌよりも少なくずも倚くのコンピュヌティングパワヌがあるず玄束し、だたされたようには芋えたせんでした。 しかし、この機噚は特に負荷から汗をかいおおり、必芁な仮想マシンの芁求に戞惑うこずもなく、ハッカヌは同時にスキャンの車を起動したした。



情報セキュリティに぀いお私は最初に、Genaが私たちを蹎り始めたずきに、䞻催者ずしおの「ポゞティブ」は圌らのPRに補品ず゜リュヌションを課そうずするだろうず考えたしたが、あらゆる手段を遞択する完党な自由があるだけでなく、商業的なサプラむダヌから䞀時的なラむセンスを取埗する際の積極的な支揎。 これも簡単に説明できたす。補品の䜿甚範囲を拡倧するこずで、䞻催者は防埡者を制限し、察立を急激に公開テストに倉えお、反響するハックの堎合に広告ず蚀い蚳の告発の䜙地を䞎えたす。 はい、私自身は、この堎合の防衛におけるある皮の困難な態床を、隠すこずは眪であるずいう二重の決定に垰するこずを詊みたでしょう。 さらに、真の察決を課す堎合は、かなり深く、無料でトレヌニングを行い、コンテストの期間䞭にゎヌルドサポヌトを提䟛しおください。それは明らかにオヌガナむザヌの蚈画の䞀郚ではありたせんでした。



だから、芪愛なるディフェンダヌず「ゞュヌス」、ここに自由のひず口がありたす、芋お、窒息しないでください。 すべおがうたくいきたす-たあ、倧䞈倫、すべおがあたり良くないなら、あなたはい぀も蚀うこずができたす「しかし、もしあなたが私たちのMaxPatrolスキャナヌたたはMaxPatrol SIEMを持っおいるなら...」、あなたは状況によっおは蚀わないかもしれたせん。 確かに、私はそのようなこずが蚀われた、たたはほのめかされたこずさえただ聞いおいたせん。



䞀般的に、競争の準備は非垞に良かったです。 もちろん、ハむパヌバむザヌの負荷のためにネットワヌクが竹を吞うずきのむンフラストラクチャの䞭断などの埮劙な違いがないわけではありたせんが、これらはこの芏暡の最初のむベントでは非垞に正垞な䜜業の瞬間です。 今幎は衝突がありたしたが、来幎は準備が敎い、予枬が容易になり、想像力が生たれたす。



氎力発電所の共振砎壊に関する意芋



ルヌルなしで戊いたす。 戊闘機オヌクずゎブリンの間の決闘が組織されたす。 ファむタヌは初心者ですが、芳客はトランプでお金を持っおいたす。 そのような戊いの圱響力のある恋人、䞻催者を保護する圹人は、ゎブリンが勝぀ずいう非垞に倧きな賭けをしたす。 そしお、オヌクは軍団に良い打撃を䞎え、その埌ゎブリンは「浮く」。 裁刀官は、ルヌルに反しお、これを埄郚の打撃ずしお数え、ペナルティポむントでオヌクの偎に連れ去り、ゎブリンの回埩のための時間を䞎えたす。 その過皋で、オヌクはすぐにささやきたす。「暪になる必芁がありたす。 お父さんは蚀った。 そしお、オヌクは、たずえ圌が勝っお賞を取ったずしおも、将来この組織での戊闘機のキャリアが圌のために閉じられるこずを認識し、埐々に回埩し぀぀あるゎブリンを芋お、信じられないほど「ノックアりト」の䞀撃を眮き換える方法を考え始めたす芖聎者を説埗したす。


PHDays VIの翌日、むンタヌネット党䜓が、男子生埒がどのように発電所をハッキングしたか、ハッキングが成功した埌のハッカヌが氎力発電所を止めお郜垂に浞氎したこずに぀いおのニュヌスでいっぱいでした。



私はテレコムの「ディフェンダヌ」に参加したので、意芋は状況の分析ず私の鐘楌ずの類掚に基づいおいたすが、SCADAハックの詳现は知りたせん。



PHDaysに関する䞀連のレビュヌの最初の郚分で曞いたように、䞻催者にずっお重芁な目暙の1぀は、「モノのむンタヌネット」やパブリックネットワヌクに接続されたその他の重芁なむンフラストラクチャ管理システムを保護する必芁性に州ず䌁業の泚意を向けるこずでした。 私自身はSCADA保護を䜿甚しおいたせんでしたが、公共の情報源から、IPによっお、さらにはむンタヌネットを介しおデバむスが制埡されるようになるず、セキュリティに泚意を払う人はほずんどいないこずがわかりたす。 い぀ものように、技術は最初に開発され、次に安党性が開発されたす。 その結果、「挏掩物のむンタヌネット」が圢成されたす。 脅嚁ずなる可胜性があるのは、アクセスするデバむスによっお異なりたす。 これはニュヌスを通じお䞀般に䌝えるこずができたすが、雑誌を匕き付けるためには、感芚ずしお知芚される䜕かが必芁です。 しかし、発電所を止めお、ハッカヌで街をflood濫させるよりもはるかにセンセヌショナルです。ハッカヌは、パスワヌドを盗むこずができるラップトップの埌ろの猿の姿勢を持぀男の子によっお最倧限に認識されたすか







画像 Xakep.ru



制埡システムを匷化した「ディフェンダヌ」のチヌムがありたす。 すべおをむベ​​ント監芖に接続しおいるSOCがありたす。 準備の詳现は、同じ名前の2番目の郚分で説明されおいたす。 私の知る限り、これらは情報セキュリティの分野の営利䌁業であり、このコンテストではおそらく促進したいず考えおいるため、産業斜蚭の保護を真剣に考えおいたす。 そしお、ここで、蚘茉されおいる保護のすべおの深刻さにもか​​かわらず、氎力発電所は2回壊れおいたす...ロシアのISSUでは本圓に悪いですか



䜕が起こったのかの理由のための私のオプション



  1. 防埡偎の防埡が䞍十分でした。SCADAは通垞の保護具の性質䞊存圚しないか、保護を怠っおいたす。
  2. SOCが芋萜ずされた監芖ずの統合が䞍十分であるか、クリックされた。
  3. 保護手段に関する䞻催者による制限。
  4. お父さんは蚀った。


最初の2぀では、すべおが明確です。 SOCずディフェンダヌが本圓にクリックした堎合、それらの方法がありたす。 しかし、䞻催者によっお課せられた制限は、氎力発電所をハッカヌがハッキングする可胜性を暗瀺しおいたのではないかず疑っおいたす。 賭けは、「お父さん」が氎力発電所を閉鎖し、郜垂が浞氎するずいうものでした。



䞻催者偎の制限声明に根拠がないように、私はテレコム「ディフェンダヌ」チヌムのメンバヌずしお蚀いたす。保護の䜿甚には制限があり、非垞に匷力でした。 远加の保護手段を䜿甚したすが、基本的な手段から、SSH / RDPの䞖界から保護されたリ゜ヌスぞのファむアりォヌルを閉じるこずさえ犁止されたした。他の未䜿甚のサヌビスは蚀うたでもなく、ネットワヌク機噚自䜓のみです。 パスワヌドを倉曎し、曎新し、パッチを適甚し、奜きなだけ再構成したすが、サヌビスを利甚できるようにする必芁がありたす...しかし、私は䞀般にデフォルトの拒吊を蚭定したいず思いたした。 しかし、䞻催者は私を蚱可したせんでした。



そしお戊略的にこれは正しいです。さもないず、ハッカヌはショヌを行わず、䞻催者がディフェンダヌずゞュヌスに倚倧なアドバンテヌゞを䞎えたこずはすべお䞍正であるず蚀いたす。 メディアに必芁な情報が泚入されるこずはありたせん。産業䌁業のリヌダヌシップは保護を华䞋したす。 圌はこのゲヌムでポヌンSOCおよびSCADAディフェンダヌを犠牲にしたしたが、数幎前から戊略的な優䜍性を獲埗したしたビゞネスおよび囜家からのセキュリティのための将来の泚文。 そしお、最も重芁なこず-䞖界は、悪人が郜垂の光ず過剰な氎で人々を攟眮するのを防ぐ方法を考えおいたした。







画像 Xakep.ru



これがすべお進展した堎合、SCADAを守る「擁護者」ずSOCが氎力発電所の砎壊ず郜垂の措氎のせいにされるこずを望たないでしょう。



気配りのある同僚や䞻催者の代衚が私を修正し、氎力発電所の擁護者が実際に壊れおいないこずを明確にした。 ハッキング埌、防埡者ずSOCはハッキングプロセスを非垞に正確に説明したした぀たり、圌らはすべおを芋たしたが、結局はショヌが必芁なため、芋おいたせんでした。ハッカヌはこれを確認したした。 ディフェンダヌが匱䜓化し、ディフェンスを完党に取り陀いた埌にのみ、スカッドを掛けるこずができたした。 二日目の朝、結局のずころ、圌らはステヌゞからそれを公に発衚したした。 私は、眠れぬ倜を過ごした埌、そこで攟送されおいるものを特に知芚できなかったようです。



しかし、それにもかかわらず、数日埌、私はむンタヌネット情報で、氎力発電所は保護されおいなかったが、ハッキングされたこずがわかりたした。 そしお、時間の経過ずずもに、この混乱したフレヌズから、氎力発電所がハッキングされる可胜性があるこずが明らかになるだけです。 ロゞックの継続-保護する必芁があるこずを意味したす。 ぀たり、「ディフェンダヌ」ずSOCの良い名前の圱は、もし萜ちおいれば、すぐに消えおしたいたす。 おそらく、PRスペシャリストは、情報保護゚ンゞニアよりも自分の仕事をよく知っおいたす逆にするには十分ではありたせんでした。



ここに、䞻催者からの公匏情報がありたす



フォヌラムは、保護されおいない重芁なむンフラストラクチャに䜕が起こるかを明確に瀺しおいたす。 情報セキュリティの専門家は、プロセスを䞭断するこずなく非垞に高いレベルの保護を提䟛できたすが、PHDaysのように展開する機䌚が䞎えられるこずはほずんどありたせん。 保護装眮を切断した埌、攻撃者は䌁業ネットワヌクを介しお自動制埡システムの技術ネットワヌクに入り、システムの物理的装眮を攻撃し、氎力発電所に䟵入し、攟氎を行い、電力線を切断したした。


制限事項



䌚議の公匏りェブサむトには、かなり哀れな匕甚がありたす



今回は、通垞のCTFコンペティションの代わりに、実際の敵察行為を手配したす。 サむトでのむベントは可胜な限り珟実に近いものになりたす。郜垂むンフラの倧芏暡な゚ミュレヌションは、PHDays VI CityFトレヌニンググラりンドで展開されたす。


それは倪字で匷調衚瀺されおいるものであり、私は話をしたいず思いたす。



事実䞊、情報セキュリティの手段に制限はありたせんでした。必芁なものは䜕でも、仮想マシンの芁件を蚀うだけです。 䞀時的なラむセンスのためにベンダヌを蹎る必芁がありたす-たずえば、やっおみたしょう。 たあ、私たちは恥ずかしがり屋ではありたせんでした。



VMware 展開段階で、制限が衚明されたした。情報セキュリティの確保ず監芖のための入札のために圓瀟が遞択した゜リュヌションを仮想化する必芁がありたす。 ハヌドりェアは持ち運びできるだけで、䞻催者は責任を負いたせんでした。 䞀般に、これはそれほど倧きな問題ではありたせん。ベンダヌから仮想マシンを取埗するのが桁違いに簡単であり、䞖界的な傟向はナニバヌサル仮想化を目指しおおり、ネットワヌクやデヌタセンタヌ党䜓も仮想化され、あらゆる皮類のNFV、SDN、SDDCを実行しおいたす。 䞀郚のメヌカヌは仮想マシンに悩たされおいたしたが、提䟛するこずさえ拒吊しおいたした。 私は、ハッカヌ攻撃ずのそのような深刻な関係の準備ができおいたせんでした。



デフォルトの蚱可 。 䞀方、境界ファむアりォヌルでデフォルトの拒吊を実行するこずは犁止されおいたした。 そしお、珟実の䞖界では、これが最初に行われたす。 コアに衝撃を䞎え、私は泣き、呪われたしたが、競争に参加し続けたした。 前に曞いたように、「察立」の䞻な目暙の1぀は、うたくいかないショヌでした。䞍芁なものはすべお犁止したす。 ハッカヌは秘密のむンタヌフェヌスに出くわし、䜕もせず、オヌガナむザヌを魅了しお力の明るい偎面にふけるでしょう。 したがっお、ここでの珟実ぞの近䌌は実質的にれロです。 圌らは、ハッカヌにたさしくトマトの有利なスタヌトを切った。 そのような確率ず氎力発電所が壊れたので、郜垂は浞氎したした 。



IPアドレスの犁止はありたせん 。 たた、src IPによる犁止も犁止されおいたした。 圓然、蚀葉で単に犁止されおいる堎合は、特に倜は「忘れる」こずもできたす。そうすれば、より静かに眠るこずができ、実際に眠るこずができたす。 しかし、unningなオヌガナむザヌは党員を1぀のIPにたずめたした。ハッカヌずそのサヌビスチェッカヌの䞡方です。 消火しすぎた堎合は、私たちに駆け寄り、「そう、そうではない」ず蚀いたした。 さらに、サヌビスは、䞀般に、図では必芁ではないが、サヌバヌ䞊で元々利甚可胜であったものをすべおチェックしたした。 ショヌ、チョ。



たた、察立の最初の段階では奜奇心であるこずが刀明したした。SOCは、提䟛された図に瀺されおいないIPアドレスから誰かが私たちをスキャンしおいるこずを発芋したした。 ゞャンクションを芋぀けたので、犁止にもかかわらず、ルヌティングから䞍明なサブネットを削陀しお、ゞャンクションをブロックしたした。 ゞャンクションポむントは信頌されたセグメント内にあったため、ロゞックは単玔です。図にはありたせん。ネットワヌクから絞り出されるべきハッカヌのブックマヌクず陰謀に぀いお考えたす。 圓然のこずながら、最初は䞻催者が叫び声を䞊げおいたした。「すべおがなくなった 私たちのすべおは機胜したせん」 その埌、圌らは私たちのセグメントずのゞョむントを再構築しなかったこずに気づき、私の行動に同意したした。



機噚ぞのアクセス 。 もちろん、ネットワヌクデバむスずサヌバヌの䞡方ぞの管理者アクセスが蚱可されたした。 蚭定できないものを保護するこずは困難です。 おそらく、しかし難しい。 L2アクセスレベルのアクティブなネットワヌク機噚にはアクセスが蚱可されたせんでした。 理由は簡単ですショヌ。 䞻催者がハッカヌの顔に萜胆ず私たちの退屈に気付いたずき、圌らは譊告なしに別の脆匱なサヌビスをどこかに䞊げたした。 さお、防埡偎ずのSOCはそれぞれ、「圌を捕たえ、圌を粉砕せよ」ず始めたす。 䜙分なセキュリティ蚭定に干枉したり、䜙分な蚭定を確認したりしないように、スむッチぞのアクセスは蚱可されず、保護の察象ずしおも蚱可されたせん。



䜕も忘れおいないようです。 芚えおいたら远加したす。 䞀般に、制限はありたしたが、それほど厳しくはありたせんでした。 もちろん、デフォルトの蚱可はただ私の心配しおいる䞖界芳を興奮させたす。それは時々䞻催者ずの䌚話で䞍平を蚀い続けたすが、ショヌはショヌです。 MMAではなく、レスリングでした。



戊い



察立自䜓のプロセス-いわば、29時間続いた戊闘-2016幎5月17日の11:00から2016幎5月18日の16:00たでを説明する䟡倀がありたす。



以前、防衛および運甚察応チヌムは以䞋を実斜したした。





圓然、開始盎前に最初に行われたのは、パフォヌマンスチェックずリ゜ヌスのむンベントリでした。 これたで知られおいなかった䞀郚のサヌバヌはすぐに発芋され、それらの倚くはスキャンの事実に関するかなりの穎であるこずが刀明したした。 私が䜕床も曞いたように、䞻催者はショヌを望んでおり、そのようなトリックがなければ、それはあたり楜しくありたせん。



ネットワヌク図ブランチオフィスなしの簡略化は、およそ次のずおりでした。







むンタヌネットは擬䌌的であり、珟実的ではありたせんでした;ハッカヌは限られたセグメントからむンタヌネットに䟵入したした。 むンタヌネットが珟実のものである堎合、競合他瀟の攻撃の堎所、ハッカヌの居堎所を理解するこずは䞍可胜であり、誰かがDDoSを驚かせお開始しないずいう保蚌はありたせん。



たず、境界を秘密にしおおくこず、぀たり、制埡ポヌトSSH / TELNET / RDP / SNMPずデヌタベヌスMySQL、Oracleを陀き、スキャンで怜出されたDMZサヌバヌのポヌトを蚱可するACLをむンタヌネット偎に掛け、残りを閉じるこずにしたしたデフォルトでは、原則を拒吊したす。 圌は䞻催者に譊告し、すぐに拒吊されたした。それは䞍可胜です。疑䌌むンタヌネットからのすべおのポヌトにアクセスできるはずです。 私の反応を、「驚いた」ず「嚁ignした」ずいう2぀の単語で説明できたす。これらは1぀の単語で䞀緒に衚珟されたす。







オヌガナむザヌに最初の蚭蚈に穎がいっぱいあるず思うこず、むンフラストラクチャを適切に保護するこずを蚱可されおいないこず、嫌がらせをむンタヌネットに匷制するこず、これらすべおがハッカヌぞのプレれントであるこずなどをすべおオヌガナむザヌに䌝えたので、ゲヌムの新しいルヌルを採甚し、䜜業を開始したした





前半で述べたように、 JSOCは私たちず協力しおむンフラストラクチャをSIEMず統合し、疑わしい掻動を監芖したした。 圌らに圌らの正圓性を䞎えるこずは䟡倀がありたす、圌らは圌らのフヌドの䞋でくしゃみプロセス、入力、ネットワヌク掻動むンフラストラクチャを奪っただけでなく、圌らは超感芚的な反応でそれを監芖したした 最初に、お互いのIPアドレスを孊習する前に、アクションから1分も経たないうちに、「誰がuyyアドレスからxxxサヌバヌにアクセスしたしたか」、「サヌバヌでSSHが倉曎されたした-それは䜕ですか」などの質問を聞きたした。たあ、圌らは次のように答えたした「わかりたした、私の、それは私です、挏れやすいサヌバヌを曎新したした。」 圌らが商甚クラむアントも監芖しおいる堎合、拍手がお勧めです。



時々、䞻催者が悲しみ、ステヌゞ䞊のストヌリヌのトピックを終了したずき、ハッカヌは悲しく、私たちは退屈しおいたした、ミシャ・レビンは指を鳎らし、DMZに穎の開いたサヌバヌが珟れたした。 , , , , , , . -, - , .







, - , , , , : ? : - ? , . .



, , , . : — , . , , , . , , ACL . — , . , . — . , .



, , . , . , , , DMZ . , . , PHP, OpenSSL SSH. , , . , , . , . SOC , , . , , , , - : , .



PHP, , 5.3.<> 5.4.<> 2013-2014 . , . , .



SSH CVE-2015-5600, CPU. . , , . OpenSSL. , , , SSH DMZ. SSH RDP, DMZ , Balabit SCB, , , . , , . , , SSH.



, Balabit , // , 17 18 zorp-ssh CVE-2015-5600.



, , . « ».



, , , , , . — DMZ .



, 18 . , , . , -, , , «» . . JSOC 5 , , IPS ( ) .



, , , SOC. SOC, , . , . . .







16:00 , , , . , .



, , , .



SSH



— , ? .

— , -. , . : « ?». — , . .

— . -, , ?

— — , , .



— Positive Hack Days Balabit ? ?

— . .

— , .


PHDays. , . , , , . «». , . .



5 , PHDays, Unix, SSH.



, :







, 4 5 , ACL firewall default deny . DMZ . SSH.



, DMZ, CVE-2015-5600, CPU. 2 — : « — ». , , , . SSH . , , . , , — . , . — . , , Open Source Unix, , 3 .



Balabit SCB, , , . Balabit , , SSH .



Balabit, . SSH zorp-ssh CVE-2015-5600, , MaxPatrol, . , , SSH DMZ , .



SSH, RDP, Telnet, VNC, ICA (, ).



, , DMZ , firewall.







firewall ACL , CheckPoint, firewall NAT . firewall, «» — Cisco ASAv.

NAT , , , .



SSH Balabit :



1. .




























できた SSH- , , .



2. .








, , SRC IP CheckPoint, , DMZ . «» DMZ «» 





















Balabit_ip0 — Balabit, , IP alias (Balabit_ip1...4). , , , src ip Balabit_ip1...4, PHDays .



できた SSH- , , .



***



, DMZ Balabit, firewall :







, , :







, . « » . :





, — Balabit . , , , 5-10 , , 




, L3 , . , , - . MPLS L3VPN vrf lite ( ) Balabit firewall.






: PHDays?

: №1 – .



結論



, , . , , , . : default permit firewall DMZ. , checklist, .



, SANS Top 20 Critical Security Controls, . , . (DEF) SOC, , .



-, , SOC , , . - — , «»



いや Control name DEF SOC
1 Inventory

of Authorized and Unauthorized Devices 		+ +
2 Inventory,of Authorized and Unauthorized Software + +
3 Secure

Configurations for Hardware and Software on Mobile Device Laptops,

Workstations, and Servers 		+ +
4 Continuous

Vulnerability Assessment and Remediation 		+ +
5 Controlled

Use of Administrative Privileges 		+ +
6 Maintenance,

Monitoring, and Analysis of Audit Logs 		+
7 メヌル

and Web Browser Protections 		+
8 Malware

Defenses 		+ +
9 Limitation

and Control of Network Ports, Protocols, and Services 		+
10 Data

Recovery Capability
11 Secure

Configurations for Network Devices such as Firewall Routers, and Switches 		+
12 Boundary

Defense 		+
13 Data

Protection 		+ +
14 Controlled

Access Based on the Need to Know 		+ +
15 Wireless

Access Control
16 Account

Monitoring and Control 		+
17 セキュリティ

Skills Assessment and Appropriate Training to Fill Gaps 		+ +
18 Application

Software Security 		+
19 Incident

Response and Management 		+
20 Penetration

Tests and Red Team Exercises 		+ +


もちろん、結論に加えお、私たちが犯した間違いず、将来の「察立」におけるさらなる防衛戊略を特定する䟡倀がありたす。 この圢匏のコンペティションは今やかなり人気があるず思いたす。



ハッカヌずの察立で私たちが犯した間違い



1。

2。

3。



このような゚ラヌを回避するために、将来のアクションのリストが衚瀺されたす。



1。

2。

3。



䞊蚘の段萜を読んでいお、テキストの衚瀺に問題があるが、䜕かあるはずだず思う堎合は、PCのブラりザヌの技術的なパラメヌタヌを、情報の玠朎な認識の係数ほどではなくチェックしおください。



同意したす。察戊盞手を含むむンタヌネット党䜓に、将来の戊闘でのすべおの行動蚈画を開瀺するのは愚かなこずです:)。



PS PHDays「察立」コンペティションに参加した結果に基づいお朜圚意識の流れ党䜓を集玄し、倚かれ少なかれ公甚語に翻蚳し、System Administrator誌の1぀の蚘事でセマンティックコンテンツに぀いお説明したした。 蚘事の本文は、6月号のここにありたす 。



投皿者  アンドレむ・ダギン


More articles:


All Articles