«Инфосистемы Джет» на PHDays VII: записки Jet Security Team

Андрей Янкин, заместитель директора Центра информационной безопасности, компания «Инфосистемы Джет»

Каждый год в мае на пару дней добрая половина Центра информационной безопасности компании «Инфосистемы Джет» снимается с рабочих мест и отправляется на одно из ключевых мероприятий в области ИБ в России – форум Positive Hack Days. Центральным его событием является Противостояние ─ соревнование, которое начиналось с классического CTF, а сейчас превратилось в зрелищную борьбу «хакерских» команд с командами «защитников». В этот раз мы решили принять участие в Противостоянии на стороне защитников. Опыт для нас новый, но мы уверены, что это будет интереснейшее сражение, продолжающееся непрерывно более 30 часов. Так что проверим мы не только знание и командную работу, но и выносливость.

Что защищаем

В качестве объекта защиты нам досталось промышленное предприятие, которое занимается транспортировкой и переработкой нефтепродуктов. А это значит, что к традиционным ИТ-системам добавятся разнообразные АСУ ТП. Конечно же мы учли это при формировании команды.
Нам было бы куда спокойнее, если бы сердце нашего завода ─ системы АСУ ТП, были бы отделены от внешних сетей толстым слоем диэлектрика, как завещал нам ФСТЭК России. Однако цель организаторов заключается не только в том, чтобы соревнования получились как можно более зрелищными и богатыми на события, но и приближенными к реальному миру, в котором службы ИБ должны взаимодействовать с другими подразделениями компании, сталкиваются с влиянием человеческого фактора, да и что уж там скрывать, банально вынуждены укладывать в имеющийся бюджет свои желания по использованию тех или иных средств защиты.  Поэтому технические системы наших заводов будут частично торчать напрямую в местный интернет, а на часть инфраструктуры будет запрещено устанавливать средства защиты (тут явно чувствуется виртуальная рука служб эксплуатации АСУ, опасающихся влияния средств защиты на технологический процесс). От этой новости у нашего главного специалиста команды по ИБ АСУ ТП до сих пор нервно дергается глаз.

Команда

Первым делом мы сформировали команду, получившую гордое название Jet Security Team, в которую вошли:

• капитан – вождь, идейный вдохновитель и главный координатор работы команды, а также ответственный за коммуникации с организаторами;
• спецы по сетевой безопасности и защите конечных хостов;
• спецы по мониторингу ИБ – мы пока не знаем, будут ли участвовать в соревновании отдельные команды SOC, но в любом случае собственный, хотя бы базовый, локальный мониторинг нам явно понадобится;
• спецы по ИБ АСУ ТП – люди, которые понимают, в чем разница между Modbus и Drum 'n' Bass (коль скоро мы защищаем завод, и они нам пригодятся);
• пентестеры: на самом соревновании они скорее выступят в роли консультантов, но в процессе подготовки ─ это главные испытатели защищенности наших рубежей. Даже если дыру нельзя залатать (спасибо безжалостным организаторам), они должны помочь команде понять, как атака может быть обнаружена и остановлена компенсационными мерами;
• группа поддержки – весь коллектив нашего Центра информационной безопасности (а это добрые 150 человек), готовый помочь своими компетенциями и поделиться с измученной командой последним сэндвичем и банкой энергетика в особо напряженный момент Противостояния.  

Соревнования позволили нам собрать вместе специалистов самых разных направлений. Мы думаем, что лучшего тимбилдинга и площадки обмена опытом внутри команды и придумать себе сложно.

Чем защищаемся

Каждой команде защитников выделяется определенное количество виртуальной валюты ─ так называемых «публей». На нее можно приобрести средства защиты. Цена устанавливается за определенные классы средств защиты информации, а конкретных вендоров выбирает команда. Задача осложняется тем, что «публей» катастрофически мало, а инфраструктура соревнований только строится и финальный ее вариант мы увидим практически уже на самих соревнованиях. Поэтому при выборе средств защиты мы стараемся останавливаться на том, что может быть очень быстро внедрено и настроено, даже если функционал решения где-то не дотягивает до конкурентов.
Раскрывать детали по нашим системам защиты мы не станем, но в целом мы формируем классический джентельменский набор СЗИ. И, хотя скромный запас «публей» не даст нам особо разгуляться, мы делаем ставку на принцип Парето, в соответствии с которым в умелых руках и 20% средств защиты действительно закроют 80% атак. Для базовой защиты отмеренных нам «публей» вполне достаточно.

Взломают?

Злоумышленникам дается примерно 30 часов на то, чтобы изучить и взломать системы защиты компаний. Ситуация осложняется тем, что компоненты экономики Противостояния взаимосвязаны. Удар по одним отзывается и на других. Например, связь между офисом и заводами будет поддерживать местный оператор связи, взлом которого приведет как минимум к потере канала, а значит поставит под угрозу стабильность работы наших производств.
Однако, если превратить каждую защищающуюся компанию в цифровую крепость, то Противостояние может получиться совершенно неинтересным. Поэтому, как и в классических CTF, организаторы искусственно ограничивают возможности по защите своих систем. Приятного для нас в этом мало, но мы понимаем, что иначе соревнования могли бы получиться очень скучными как для публики, так и для нас, как для участников. В качестве компенсации правила предполагают для защитников получение бонуса за своевременное обнаружение и расследование атаки.
Тем не менее, мы, команда Jet Security Team, приложим все силы к тому, чтобы виртуальные жители нашего города радостно заправлялись бензином, поставляемым с наших заводов, и спокойно ехали на работу, а не наблюдали в промзоне «грибы» взрывов и озера разлившейся нефти.
В общем, ждите новостей и приходите болеть за нас в перерывах между интереснейшими докладами на Positive Hack Days!