対決は、情報セキュリティの専門家がさまざまなシステムとソフトウェアプラットフォームを使用して攻撃と防御を試みる年次イベントです。 通常、競争は2つのチーム間の真の対立の形で開催されます。 最初のチームは、防御チームと専門監視センターのチームによってサポートされているセキュリティシステムを攻撃します。 このイベント自体は、Practical Safetyに関するPositive Hack Days国際フォーラムの一環として開催されます。 「対立の目標は、勝者が勝つかどうかを確認するために、ターゲットを絞った攻撃またはターゲットを絞った防衛のために、多少なりとも制御された環境で2つの反対側を押すことです。 フォーラムの組織委員会のメンバーであるミハイル・レビンは、このイベントについて、業界の専門家—インテグレーター、ベンダー、および顧客側でIS機能を実行する人々が「ディフェンダーとSOCの役割を引き受けました」と述べました。
毎年、「対立」に参加するチームは目標を追求します。 この点で、現在の年は前の年と変わりません。 IBMを代表し、社内のSOC専門家であるOn Rails!チームは、IBM SecurityポートフォリオのConfrontingソリューションに取り組みました。 イベント自体はすでに通過しており、オンラインについては1〜2回以上話題になっています。 「スタンドオフ」に立ち向かう「On Rails!」チームの参加について短いレビューをする時が来ました。 チームは、4月末に、ハッカーと戦うことを恐れない専門家(エルマンベイブトフ、ローマアンドレエフ、アンドレイクリツィン、セルゲイクラコフ、セルゲイロマノフ、ウラジミールカミシャノフなど、未知の英雄であり続けたいと思っている人々)から結成されました。 多くはお互いに精通しており、過去に同じ会社で働いていたので、すぐに防衛戦術を調整して議論することができました。
チームは、保護のために2つのインフラストラクチャ(鉄道会社またはエネルギー会社)の選択肢を提供されました。 短い議論の後、ほとんどの擁護者は鉄道の安全性に賛成票を投じました。 その後まもなく、チームの名前が登場しました-「On Rails!」-蒸気機関車の付いた道路標識のシンプルだが明らかなロゴ。
最初の瞬間。 チームには、保護されたインフラストラクチャの準備、監査、および保護手段の選択に十分な時間がありませんでした。 計画「A」は、脆弱性を解消し、デフォルトアカウントを変更し、提示されたインフラストラクチャに最新のソフトウェアバージョンをインストールすることを重視しています。 これは、満場一致で承認された最小限のアクションセットであり、すでに制限された予算からの費用は必要ありませんでした。 主要なセキュリティテクノロジーは、IBM XGSソリューションを使用した侵入検知であり、IBM QRadar SIEMソリューションはセキュリティインシデント監視システムとして使用されました。 OSSECオープンソースソリューションは、ホストレベルでの侵入の検出にも使用されました-主に防御者自身のすべてのラップトップでカバーされ、インフラストラクチャのすべての主要なサーバーとワークステーションにエージェントがインストールされました-彼らは12のネットワークホストをカバーしました。
もちろん、「スタンドオフ」カウントダウンが始まったとき、セキュリティ機能はまだ完全には構成されておらず、セキュリティオブジェクトの安全な構成は実装されていませんでした。 実際、これは素晴らしいことです。結局のところ、実生活のように、ハッカーはセキュリティガードが最終的にすべてを整頓するまで待たないでしょう。 したがって、戦いの最初の数時間で、私は加速したペースで働かなければなりませんでした。 計画「B」として、Sergey RomanovはActive Responseに賭けることを提案し、イベント相関の結果に基づいて自動化されたフィードバックのためのスクリプトの小さなセットを準備しました。 これは、ハッカーが境界線を乗り越えた場合に役立ちます。
第二の瞬間。 サービスシステムのすべてのアカウントがありませんでした。 主催者がさまざまな口実の下でそれらを提供しなかったことがあるため、特別な状況では独自に選択する必要がありました。 これには問題はありませんでした。私たちのチームのすべてのメンバーはカリと一緒に来ました。 これで、変更を加えてすぐに確認できます。
3番目の最も重要な瞬間は火曜日から水曜日の夜に現れ、ハッカー、ディフェンダー、オーガナイザーだけが会議参加者に残った。 この夜は「できる限り楽しみましょう!」というフレーズで特徴付けられます。Vulnersのメンバーは、ハードウェアを設定して接続を切断しようとしました。 明らかに、中間者のような攻撃を組織するために。 別のチームは、ディフェンダーラック内の機器に直接接続しようと慎重に試みました。 判明したように、ルールではこれも許可されています。 実際の物理的なセキュリティに対処し、それらを追い払わなければなりませんでした。
夜の覆いの下で行動し、いくつかのOn Rails!参加者は、空いたテーブルの1つにあるパーカーを着てハッカーゾーンに移動するだけで、追加情報を受け取りました(おそらくハッカーの中には眠ることを決めた人もいます)。 このようなパルチザンの反知能の結果は、主催者がハッカーに提供したネットワークマップの公開と、競争のリーダーである「CARKA」チームがまだ鉄道インフラに到達していないという貴重な情報の受信でした。
朝も面白かった。 私たちはまったく眠ることができませんでした。人的資源はまだ限られており、24時間365日制御を維持することは簡単な作業ではありませんでした。 午前中、残念ながら私たちは、IDSのスパンポートが機能していないことを発見しました。 ローマン・アンドレーエフは、IBM QRadar SIEMでのインシデントの継続的な監視に早急に切り替え(Netflowを慎重に導入しました)、セルゲイ・ロマノフは、脅威ハンティングに従事するように残りを招待しました。 脅威ハンティングは、システムがすでに侵害されていると考えられるアプローチを意味し、タスクはこの証拠を見つけることです。
競争の結果によると、100%SLAを示しました。 ハッカーは私たちをハッキングしませんでした。
「このようなイベントへの参加は非常に強烈です。 厳しい締め切り、保護とハッキングの両方のための豊富な技術的タスクにより、専門家は外部から自分自身を評価し、あなたがどれだけうまくいったかを理解することができます。 チームの各メンバーが他のメンバーに対して責任を感じ、自分が何をしているかを見、独立してオープンな指示を引き受ける場合、専門家のチームでの作業も指標となります。 これは、職場に戻ったときに会社の全員の情報セキュリティチームを開発するために使用できる優れた経験です」と、セルゲイロマノフは、On Railsチームとの対立への参加について思い出します。
「「スタンドオフ」対立は、ハッカーをよりよく理解し、保護の技術的要素の優先順位を調整するのに役立ちます。 その結果、セキュリティレベルが維持されていることも、チームワークの高さを裏付けています」