Light mode

Платформа Standoff 365 сегодня

  • #Standoff 365

История платформы Standoff 365 началась на первом Positive Hack Days в 2011 г. Главной целью PHDays было объединить хакеров и «пиджаков» на одной площадке. С бизнесом все было плюс-минус понятно и привычно, а чтобы привлечь исследователей, мы запустили и несколько лет проводили собственный CTF. При этом мы понимали: задачи, которые решали его участники, были довольно атомарными и академическими. Нам же хотелось максимально приблизить соревнование к реальности: воссоздать инфраструктуру компаний из разных отраслей и задействовать в игре специфические ИТ-системы, с которыми большинство хакеров еще не сталкивались. Как результат, в 2012 г. мы впервые воссоздали на CTF сегменты АСУ ТП.

После обновления технологической составляющей соревнований мы взялись за визуал — не хватало шоу! Наверняка многие помнят, как выглядели CTF середины 2010-х: в темном помещении сидят ребята и что-то клацают в черных экранах. А что на самом деле происходит в цифровом пространстве — непонятно, о ходе баталии говорит только скучная таблица со скорингом. Тогда мы решили сделать макеты, которые визуализируют взлом сегментов АСУ ТП, корпоративных сетей и т. д. Они получились максимально правдоподобными и воспроизводили бизнес-процессы, которые есть на реальных предприятиях. 

Как известно, прежде чем научиться строить, ребенок должен научиться ломать. Так же было и с нашим CTF: когда участники научились ломать инфраструктуру виртуальных предприятий, мы решили позвать защитников — blue team. В итоге в 2016 г. наш CTF превратился в Standoff, то есть в полноценную кибербитву красных и синих команд. Проект активно развивался, и до 2020-го мы проводили кибербитву раз в год, а потом наступил ковид...

В кибербитве оттачивали свои навыки все коммерчески успешные российские SOC: «Инфосистемы Джет», IZ:SOC, GIS SOC, Innostage CyberART и Angara SOC. 

Как кибербитва стала экосистемой

Пандемия смешала нам все карты: если помните, в то время были серьезные ограничения по масштабу офлайн-мероприятий. Тогда мы изменили подход и впервые провели отдельный осенний Standoff — второй за год. С тех пор кибербитвы проходят все чаще, при этом в них участвуют все больше ИБ-специалистов. Например, в Standoff 13 на PHDays Fest 2 приняли участие сразу 36 команд. 

В 2022 г. мы запустили онлайн-полигон — виртуальную инфраструктуру с реалистичными копиями ИТ-систем из разных отраслей. Его особенность в том, что ИБ-специалисты могут в режиме 24/7 тренироваться в тестировании безопасности и выявлении уязвимостей — достаточно просто зарегистрироваться. 

В 2022 г. мы запустили собственную багбаунти-площадку — Standoff Bug Bounty. Она стала логичным развитием вектора, заданного еще в 2011-м: мы стремимся объединить всех исследователей безопасности в одной точке. Когда для российских хакеров закрылся HackerOne, они безболезненно переместились на нашу и другие российские платформы.

Standoff Bug Bounty

  • > 7700 отчетов сдали за два года исследователи Standoff Bug Bounty (на данный момент это самый высокий показатель среди российских площадок).
  • > 130 млн руб. мы выплатили багхантерам 

Мы продолжаем расширять аудиторию Standoff Bug Bounty, в том числе активно привлекаем все больше международных багхантеров для поиска уязвимостей в российских компаниях. 

Сейчас платформа Standoff 365 — это более 14 000 зарегистрированных пользователей и целая экосистема ИБ-продуктов. Мы не занимаемся написанием ИБ-политик, комплаенс, документами и аттестациями, а фокусируемся на практических аспектах построения защищенных систем, на атаках, взломах, обнаружении хакеров и реагировании. При этом на платформе есть место не только для профессионалов, но и для начинающих специалистов, которые только ищут свой путь в отрасли. Здесь они могут ближе познакомиться с разными ИБ-профессиями и прокачать свои скиллы.

Красные vs синие

Сегодня синие команды могут участвовать в Standoff в двух форматах. В первом защитники занимаются мониторингом: отслеживают, что происходит в инфраструктуре, и учатся обнаруживать хакеров. Во втором, более продвинутом, синие также могут противодействовать атакам белых хакеров.

Этот подход делает Standoff интереснее и для атакующих, ведь требования к их экспертизе растут. Теперь красным недостаточно просто обойти средства защиты — нужно сделать это быстро и остаться незамеченными для SOC. Одно дело, когда хакер выполнил определенное действие, а blue team его проанализировала, подумала, еще раз подумала, поняла, как реагировать, и только потом отреагировала. И совсем другое, когда атакующий за это время может переместиться с одного хоста на другой, украсть данные, скомпрометировать пару пользователей или вообще остановить АСУ ТП.

Отмечу, что наша команда следит за ситуацией на рынке и модернизирует инфраструктуру кибербитвы с учетом технологических трендов. К примеру, большинство российских компаний сейчас уходят с Windows, поэтому на последнем Standoff мы реализовали целый офис, построенный только на Linux-решениях. Кейс понравился и защитникам, и атакующим, потому что у Linux-инфраструктуры есть свои особенности.

Не только хакеры

Сейчас вокруг киберполигона сформировался большой блок задач, связанных с обучением и повышением квалификации ИБ-специалистов. Зачастую для этого необходимо раз за разом повторять одни и те же события, атаки и инциденты. Red team от такого явно заскучают, а вот регулируемые атаки идеально подходят для подобной рутины. 

Для решения этой задачи мы внедрили на онлайн-полигоне модуль Archer. Решение контролирует работу сервисов цифрового города и делает окружение более реалистичным. С помощью Archer мы корректируем сценарии работы полигона в зависимости от уровня подготовки участников. Специальный модуль выполняет следующие функции: проверяет работу уязвимых сервисов и артефактов, симулирует пользовательскую активность и эмулирует хакерские атаки.

Онлайн-полигон уже покрывает 70% матрицы MITRE ATT&CK, в следующем году планируем дойти до 100%.

Мы, как вендор, проверяем все продукты Positive Technologies на киберполигоне перед выпуском коммерческого релиза.

Кибербез для студентов

В мае этого года мы вместе с партнерами впервые провели Всероссийскую студенческую кибербитву. Все как во взрослом Standoff: атакующим нужно было реализовать недопустимые события, а защитникам — обнаруживать и раскручивать цепочки атак.

Мы получили заявки от студенческих команд из 50+ вузов, в том числе из МГТУ им. Н. Э. Баумана, НИУ ВШЭ, Университета ИТМО, РТУ МИРЭА и др. В течение месяца отбирали участников на онлайн-полигоне, по итогам в финал вышли 13 красных и 8 синих команд. 

На мой взгляд, эксперимент прошел успешно, поэтому мы планируем и дальше развивать идею студенческой кибербитвы в рамках большого проекта «Международные игры по кибербезопасности». Надеемся, что к нему присоединятся и другие компании, которые заинтересованы в продвижении трека практического ИБ-образования в России. В планах — создать серию объединенных общей концепцией мероприятий, которые будут проходить на протяжении всего учебного года. Так мы сможем показать студентам все многообразие ИБ-отрасли. 

Узнать больше о платформе Standoff 365 можно в нашем Telegram-канале.

Соцсеть, технологии и международная экспансия

Наконец, поделюсь планами на будущее. Во-первых, мы хотим сделать из платформы Standoff 365 соцсеть для ИБ-специалистов. Мы уже ввели рейтинговую систему и ачивки, экспериментируем с форматами, добавляем элементы геймификации и стараемся по-разному мотивировать участников. Также в планах формирование международного рейтинга ИБ-специалистов из разных отраслей. 

Второй вектор — увеличение количества участников. В этом году мы сделали качественный скачок с точки зрения blue team: убрали ряд ограничений и изменили механику игры. Теперь на киберполигоне могут одновременно тренироваться в три раза больше защитников, чем раньше.

Третий вектор — создание максимально правдоподобной инфраструктуры. Планируем активно использовать цифровые двойники и элементы ИТ-ландшафта реальных компаний. Мы регулярно создаем новые виртуальные отраслевые инфраструктуры и уже реализовали макеты организаций из разных сфер экономики. В следующем году планируем пополнить копилку цифровыми копиями зарубежных компаний — с другими бизнес-процессами и инфраструктурой.

Еще одна ключевая цель на ближайшие годы — международная экспансия. В этом году мы впервые провели кибербитву Standoff на ПМЭФ (в ней поучаствовали ИБ-специалисты из 21 страны), а заодно презентовали экосистему продуктов Positive Technologies. Как результат, к нашей платформе уже проявляют интерес страны Ближнего Востока, Африки, Азии и Латинской Америки. 

Не исключаю, что на базе платформы Standoff 365 будет сформирован отраслевой стандарт для проверки компетенции ИБ-служб. К примеру, сейчас мы ведем диалог с учебным центром, который сертифицирован государством и готовит ИБ-специалистов: предлагаем проводить практические занятия на нашей площадке.

Мы дěлаем Positive Research → для ИБ-экспертов, бизнеса и всех, кто интересуется ✽ {кибербезопасностью}