На киберполигоне Standoff представлено 10 отраслей:
- Нефтяная промышленность
- Газовая промышленность
- Транспортная отрасль
- Электроэнергетика
- Банковский сектор
- ИТ
- ЖКХ и городские сервисы
- Металлургия
- Атомная энергетика
- Космическая отрасль
Мы держим руку на пульсе ИБ-отрасли, и как только в мире происходит масштабная кибератака с разрушительными последствиями, мы берем на карандаш, что нужно смоделировать ее на полигоне. Как результат, 80% критических событий на Standoff основаны на реальных инцидентах.
Например, на полигоне представлено недопустимое событие «Остановка нефтепродуктопровода», вдохновленное знаменитой атакой на Colonial Pipeline в 2021 г. Тогда злоумышленники использовали вирусы-шифровальщики и добрались до автоматизированного оборудования, управляющего трубопроводом. В результате Colonial Pipeline пришлось остановить перекачку нефти на шесть дней: пять штатов заявили о нехватке топлива, а люди в панике скупали и без того дефицитный бензин. А казалось бы, обычный шифровальщик...
На полигоне представлены и другие интересные мировые инциденты: атака группировки Gonjeshke Darande («Боевые воробьи») на сталелитейный завод в Иране, атака Stuxnet на завод по обогащению урана в Натанзе (признана первым случаем использования кибероружия), блэкауты в Венесуэле, остановка поездов в Польше. Всего не перечесть!
Нам не нужно придумывать сценарии атак и их последствия — для нас стараются хакеры со всего мира :)
Как мы создаем новые отрасли
Когда у нас накапливается большое количество инцидентов или появляется запрос от бизнеса, мы начинаем планировать новую отрасль для полигона. Рассмотрим основные этапы этого процесса.
- Изучение отраслевых бизнес-процессов
Здесь все просто: пока мы не разберемся, как работает завод или компания, мы не сможем грамотно сформировать для нее пул критических и недопустимых событий. Для погружения в отрасль мы приглашаем экспертов «от станка», которые рассказывают нам всю подноготную и объясняют важность каждой детали бизнес-процесса.
- Формирование критических событий
Далее мы ищем уязвимые места в инфраструктуре виртуальной организации и анализируем, как и до каких систем могут добраться хакеры. Например, атакующие могут подменить данные на пульте оператора АСУ ТП, разлить жидкий металл в цеху или украсть конфиденциальную информацию у банковских служащих. Таким образом мы формируем список критических событий и тщательно оцениваем возможные последствия их реализации. Иногда компания может отделаться репутационным ущербом, а в другом случае ей придется приостановить свою деятельность. Отмечу, что мы выводим на полигон только самые интересные и «разрушительные» кейсы.
- Разработка макета
Мы стараемся детализированно воспроизвести на макетах наиболее значимые и узнаваемые объекты каждой отрасли: жилые здания, банки, заводские цеха, движущийся транспорт и т. д. Каждая лампочка и деталь не случайны и проходят долгие этапы согласования :) Более того, на макетах отражаются последствия хакерских атак. Например, если красная команда остановит турбину ТЭЦ, она буквально перестанет крутиться; разольют нефть — вокруг завода расползется черное пятно.
К каждому критическому событию мы пишем легенду в новостном формате: что взломали хакеры, как инцидент отразится на всей отрасли или конкретной компании и т. д. Например, если под угрозой окажутся IoT-датчики, которые используются в одном из ЖК виртуального государства, участники увидят следующий текст:
«Жильцы современного ЖК „МультIoT“ эвакуировались из здания. Собственники и арендаторы квартир переживают за оставленные личные вещи! По словам одного из жильцов, в его квартире сработала пожарная сигнализация, а из кухни повалил черный дым, запахло горелым. То же самое произошло в нескольких соседних квартирах. Кроме того, на этаже отключился лифт и начало мигать освещение. Мужчина организовал эвакуацию и помог вывести людей на свежий воздух.
Специалисты пожарной службы установили, что причиной задымления стали умные электрические чайники. Неизвестный злоумышленник проник в Wi-Fi-сеть ЖК и запустил режим кипячения на всех доступных устройствах, при этом в некоторых чайниках не было воды. Чудом обошлось без пожара! Обуглившиеся приборы утилизированы, а жильцам предстоит провести день без кофе и чая».
- Реализация технической обвязки
Когда картинка складывается, мы начинаем воплощать ее в жизнь: закупаем контроллеры, ищем и внедряем подходящее ПО, разбираемся с лицензиями и т. д. Отмечу, что мы заботимся о правдоподобном представлении инфраструктуры: например, как и в любой реальной компании, подсети компаний на полигоне разделены на ДМЗ, пользовательские, серверные, корпоративные и технологические сегменты. Пробиться из одного сегмента в другой не так-то просто, но все-таки возможно! Помимо этого, инфраструктура киберполигона включает почтовые сервисы, сайты компаний, системы имитации действий легальных пользователей, которые открывают письма и кликают ссылки, и т. д.: все это позволяет нам добиться максимальной реалистичности. Сейчас в нашей инфраструктуре уже более 1500 виртуальных машин.
- Внедрение векторов атак
Когда подготовительные этапы пройдены, мы продумываем и внедряем в инфраструктуру возможности для реализации каждого критического события. При этом мы закладываем уязвимости — лазейки для атакующих — в разные узлы, чтобы векторы не казались очевидными. Кроме того, участники нашей кибербитвы достаточно талантливы, чтобы находить пути, о которых мы даже не думали. Так, во время мероприятия атакующие неоднократно обнаруживали в продуктах даже 0-day-уязвимости!
С описанием всех критических событий, которые доступны хакерам на киберполигоне, можно ознакомиться здесь.
***
После прохождения всех этапов мы получаем полноценный макет, отражающий ключевые бизнес-процессы отрасли и последствия кибератак. Отмечу, что мы продолжаем поиск экспертов и партнеров из различных отраслей, которые готовы проверить свое оборудование и ПО на киберполигоне Standoff ;).