Light mode

Пять шагов к созданию новой отрасли на киберполигоне

  • #Standoff
  • #ThreatHunting

На киберполигоне Standoff представлено 10 отраслей: 

  • Нефтяная промышленность
  • Газовая промышленность
  • Транспортная отрасль
  • Электроэнергетика
  • Банковский сектор
  • ИТ
  • ЖКХ и городские сервисы
  • Металлургия
  • Атомная энергетика
  • Космическая отрасль

Мы держим руку на пульсе ИБ-отрасли, и как только в мире происходит масштабная кибератака с разрушительными последствиями, мы берем на карандаш, что нужно смоделировать ее на полигоне. Как результат, 80% критических событий на Standoff основаны на реальных инцидентах. 

Например, на полигоне представлено недопустимое событие «Остановка нефтепродуктопровода», вдохновленное знаменитой атакой на Colonial Pipeline в 2021 г. Тогда злоумышленники использовали вирусы-шифровальщики и добрались до автоматизированного оборудования, управляющего трубопроводом. В результате Colonial Pipeline пришлось остановить перекачку нефти на шесть дней: пять штатов заявили о нехватке топлива, а люди в панике скупали и без того дефицитный бензин. А казалось бы, обычный шифровальщик...

На полигоне представлены и другие интересные мировые инциденты: атака группировки Gonjeshke Darande («Боевые воробьи») на сталелитейный завод в Иране, атака Stuxnet на завод по обогащению урана в Натанзе (признана первым случаем использования кибероружия), блэкауты в Венесуэле, остановка поездов в Польше. Всего не перечесть!

Нам не нужно придумывать сценарии атак и их последствия — для нас стараются хакеры со всего мира :)

Как мы создаем новые отрасли 

Когда у нас накапливается большое количество инцидентов или появляется запрос от бизнеса, мы начинаем планировать новую отрасль для полигона. Рассмотрим основные этапы этого процесса.

  1. Изучение отраслевых бизнес-процессов

Здесь все просто: пока мы не разберемся, как работает завод или компания, мы не сможем грамотно сформировать для нее пул критических и недопустимых событий. Для погружения в отрасль мы приглашаем экспертов «от станка», которые рассказывают нам всю подноготную и объясняют важность каждой детали бизнес-процесса. 

  1. Формирование критических событий 

Далее мы ищем уязвимые места в инфраструктуре виртуальной организации и анализируем, как и до каких систем могут добраться хакеры. Например, атакующие могут подменить данные на пульте оператора АСУ ТП, разлить жидкий металл в цеху или украсть конфиденциальную информацию у банковских служащих. Таким образом мы формируем список критических событий и тщательно оцениваем возможные последствия их реализации. Иногда компания может отделаться репутационным ущербом, а в другом случае ей придется приостановить свою деятельность. Отмечу, что мы выводим на полигон только самые интересные и «разрушительные» кейсы.

  1. Разработка макета

Мы стараемся детализированно воспроизвести на макетах наиболее значимые и узнаваемые объекты каждой отрасли: жилые здания, банки, заводские цеха, движущийся транспорт и т. д. Каждая лампочка и деталь не случайны и проходят долгие этапы согласования :) Более того, на макетах отражаются последствия хакерских атак. Например, если красная команда остановит турбину ТЭЦ, она буквально перестанет крутиться; разольют нефть — вокруг завода расползется черное пятно.

К каждому критическому событию мы пишем легенду в новостном формате: что взломали хакеры, как инцидент отразится на всей отрасли или конкретной компании и т. д. Например, если под угрозой окажутся IoT-датчики, которые используются в одном из ЖК виртуального государства, участники увидят следующий текст:

«Жильцы современного ЖК „МультIoT“ эвакуировались из здания. Собственники и арендаторы квартир переживают за оставленные личные вещи! По словам одного из жильцов, в его квартире сработала пожарная сигнализация, а из кухни повалил черный дым, запахло горелым. То же самое произошло в нескольких соседних квартирах. Кроме того, на этаже отключился лифт и начало мигать освещение. Мужчина организовал эвакуацию и помог вывести людей на свежий воздух.

Специалисты пожарной службы установили, что причиной задымления стали умные электрические чайники. Неизвестный злоумышленник проник в Wi-Fi-сеть ЖК и запустил режим кипячения на всех доступных устройствах, при этом в некоторых чайниках не было воды. Чудом обошлось без пожара! Обуглившиеся приборы утилизированы, а жильцам предстоит провести день без кофе и чая».

  1. Реализация технической обвязки

Когда картинка складывается, мы начинаем воплощать ее в жизнь: закупаем контроллеры, ищем и внедряем подходящее ПО, разбираемся с лицензиями и т. д. Отмечу, что мы заботимся о правдоподобном представлении инфраструктуры: например, как и в любой реальной компании, подсети компаний на полигоне разделены на ДМЗ, пользовательские, серверные, корпоративные и технологические сегменты. Пробиться из одного сегмента в другой не так-то просто, но все-таки возможно! Помимо этого, инфраструктура киберполигона включает почтовые сервисы, сайты компаний, системы имитации действий легальных пользователей, которые открывают письма и кликают ссылки, и т. д.: все это позволяет нам добиться максимальной реалистичности. Сейчас в нашей инфраструктуре уже более 1500 виртуальных машин. 

  1. Внедрение векторов атак

Когда подготовительные этапы пройдены, мы продумываем и внедряем в инфраструктуру возможности для реализации каждого критического события. При этом мы закладываем уязвимости — лазейки для атакующих — в разные узлы, чтобы векторы не казались очевидными. Кроме того, участники нашей кибербитвы достаточно талантливы, чтобы находить пути, о которых мы даже не думали. Так, во время мероприятия атакующие неоднократно обнаруживали в продуктах даже 0-day-уязвимости!

С описанием всех критических событий, которые доступны хакерам на киберполигоне, можно ознакомиться здесь.

***

После прохождения всех этапов мы получаем полноценный макет, отражающий ключевые бизнес-процессы отрасли и последствия кибератак. Отмечу, что мы продолжаем поиск экспертов и партнеров из различных отраслей, которые готовы проверить свое оборудование и ПО на киберполигоне Standoff ;).

Мы дěлаем Positive Research → для ИБ-экспертов, бизнеса и всех, кто интересуется ✽ {кибербезопасностью}