Цели на Standoff 13 — Подготовка к участию — Вызовы кибербитвы — Работа с командой
Какие задачи вы ставили себе на Standoff?
Кибербитва — это своего рода тренажер, поэтому первая задача была простой: хотелось узнать, каково это — защищать инфраструктуру под непрекращающимся шквалом атак.
Вторая задача была интереснее. Наша команда (GreenWallTeam) состояла из двух частей: десять сотрудников корпоративного SOC и восемь ребят из red team. Мы хотели дать красным возможность посмотреть на свою работу с другой стороны, понять, как действуют специалисты SOC и за счет чего злоумышленники могут избежать обнаружения.
Мы с командой обсуждали возможные форматы участия в кибербитве и единогласно проголосовали за офлайн — все хотели погрузиться в атмосферу настоящего сражения!
Как вы отбирали людей в команду?
Большинство участников — опытные специалисты «Гринатома», но мы дали возможность показать себя и молодым ребятам (некоторые из них даже года у нас не проработали). У нас нет правил из серии «Отработай пару лет, потом куда-нибудь тебя отправим». Мы ориентируемся на людей, главное — желание.
Вопрос выбора капитана даже не стоял. Им стал Павел Дунюшкин — блестящий технический специалист, к его мнению прислушиваются все в команде.
Как вы готовились к участию в Standoff 13?
Основную работу никто не отменял, поэтому на подготовку было не так много времени. Зато у нас был ментор, который сопровождал команду на протяжении всего процесса.
Сначала все участники прошли одинаковое обучение, а затем разделились по зонам ответственности. Распределением ролей занимался капитан при поддержке ментора Standoff: они отталкивались от общей цели и индивидуальных задач участников. Отмечу, что ребята быстро адаптировались и наладили взаимодействие внутри команды. Возможно, нам стоило раньше распределить роли, чтобы дать им больше времени на работу с СЗИ, но в конечном счете это ни на что не повлияло. При желании добиться результата можно даже в короткие сроки.
Никто в команде не сомневался в своих компетенциях, но мы ощущали серьезную ответственность — все-таки нужно было защитить честь атомной отрасли
Полчаса на расследование инцидента
С какими вызовами вы столкнулись во время кибербитвы?
Начало было довольно спокойным, мы решали задачи в размеренном темпе. Затем — период сканирования и волна фишинговых атак. По результатам реагирования мы зафиксировали снижение числа инцидентов: атакующие переключились на другие цели. Отмечу, что красные так и не смогли разобраться с точкой входа — мы полностью контролировали ситуацию.
Позже организаторы упростили атакующим задачу — повысили привилегии на сервере бэкапа, чтобы им было легче реализовать атаки. Были периоды, когда нашу инфраструктуру одновременно атаковали 4–5 команд. В такие моменты работа кипела, но нападающие быстро понимали, что здесь им баллов не заработать, и переключались на что-то другое.
При первичном обнаружении можно было временно блокировать нарушителя, удалять вредоносное ПО и разрывать нелегитимные сессии. При повторных атаках мы специально пропускали нарушителей глубже и отслеживали их дальнейшие шаги. При этом доступность нашей инфраструктуры во время атак составляла 99%!
Неожиданности были?
Да! Самое интересное началось в предпоследний день кибербитвы, около 17:00. Нам сообщили, что время атакующих истекло — можно садиться за подготовку отчетов. Ребята переключились, и именно в этот момент красным продлили время! Мы об этом даже не знали, поэтому нападающие смогли реализовать недопустимое событие. Команда, само собой, негодовала :) Но я вижу в этом плюсы: у нас появилась возможность расследовать критически опасный инцидент и зафиксировать время расследования — один из показателей, который мы как раз хотели проверить. На все про все ушло чуть больше получаса, а у других команд среднее время расследования составляло примерно полтора часа. Думаю, это очень хороший результат! Ну и, как и в реальной жизни, на кибербитве никогда нельзя расслабляться.
Как вы оцениваете эффективность GreenWallTeam на кибербитве?
Команда прекрасно справилась со своей задачей. Мы выявили 204 атаки и смогли заблокировать большинство из них. Ребята предотвращали и расследовали недопустимые для бизнеса события: «Остановка турбины АЭС», «Распространение вируса-шифровальщика», «Остановка центрифуги для обогащения урана», «Утечка информации о транспортировке радиоактивных материалов», «Утечка конфиденциальной информации» и т. д. Этот опыт однозначно пригодится нам в реальных условиях.
Опишите ваши впечатления от кибербитвы? Какие ее аспекты, на ваш взгляд, можно докрутить?
Говорить о важности подобных мероприятий, думаю, смысла нет. В плане технической реализации все тоже прошло на высочайшем уровне. Изредка порталы с отчетами были недоступны, но организаторы оперативно устраняли любые неполадки — добавить здесь нечего.
На мой взгляд, немного не хватало информирования и статистики по защитникам. На протяжении всей кибербитвы вокруг говорили про красных: атакующие реализовали недопустимые события в такой-то отрасли, они молодцы. Синим уделялось меньше внимания, и мне показалось, что они немного приуныли.
В этом году мы сосредоточились на защите атомной отрасли — в следующем, возможно, расширим поле деятельности. Или вообще захотим сыграть на стороне красных — кто знает…
Работа с командой
Как вы поддерживаете мотивацию в команде?
Важно доносить до сотрудников их значимость. Каждый должен понимать свою ценность для команды — думаю, это самая эффективная мотивация.
Как вы измеряете эффективность команды в повседневной деятельности?
Главный показатель эффективности — это, безусловно, результат. Наша red team всегда держит защитников в тонусе :) Конечно, в 90% случаев мы уведомляем коллег о том, что проводим тестирование на проникновение или исследование защищенности, но иногда об этом знает только руководитель корпоративного центра. В такие моменты мы смотрим на скорость реакции защитников, а также оцениваем эффективность выбранных мер реагирования.
По итогам кибербитвы мы поняли, что выбрали правильный вектор развития ИБ-команды — планируем и дальше двигаться в этом направлении.
