PHDays vs реальная жизнь: Проверка контура безопасности на прочность

В рамках ежегодного форума Positive Hack Days прошла традиционная игра «Противостояние», в которой принимали участие команды атакующих и защитников. Целью первых был взлом IT-инфраструктуры вымышленного города, вторых – предотвращение и остановка атак. Дмитрий Березин, эксперт по информационной безопасности компании КРОК, принимал участие в игре на стороне защитников и написал статью о том, с какими видами атак столкнулась команда и какие из них могут встретиться в реальной жизни.

Механика игры

По правилам игры команды работали с типовой IT-инфраструктурой, схожей с той, что развернута в большинстве государственных или коммерческих организаций. В распоряжении защитников был набор веб-ресурсов и инфраструктурных сервисов, а также средства защиты. Команда атакующих имела доступ к внешним ресурсам «города», и с них могла развить вектор атаки на внутренние сервисы, в том числе контроллеры домена, файловые ресурсы, рабочие места пользователей и администраторов систем. Все как в реальной жизни: у каждой компании есть веб-серверы, будь то сайт-визитка, интернет-магазин или другой внешний ресурс, который может стать объектом хакерских атак.

Основная цель команды атакующих – взломать одну из систем защитников и получить доступ к флагу. Флаг – это запись, которую можно прочитать, только получив административный доступ к базе данных или ОС скомпрометированного сервера. В реальной жизни аналогом такого флага может быть логин и пароль от клиент-банка, учетная запись доменного администратора, или папка с конфиденциальной корпоративной информацией. То есть механика игры максимально приближена к реальности. Однако было небольшое отличие: все пользователи, которые приходили на наши серверы во время игры имели единый IP-адрес. Такое правило было введено для того, чтобы защитники не могли заблокировать IP-адрес злоумышленника и обеспечить себе, тем самым, стопроцентную защиту.

Атаки из реальной жизни: какими они бывают и как им противостоять?

Во-первых, это попытка удаленного доступа и перебора паролей к серверам, как на уровне операционных систем, так и веб-приложений. Чтобы устранить этот вектор атаки, мы заранее сменили все пароли на 20-ти знаковые, отключили неиспользуемые учетные записи и проводили регулярный аудит ИТ-инфраструктуры, чтобы вовремя обнаруживать изменения в настройках систем. Помимо этого, мы блокировали удаленный доступ к системам по протоколам SSH или RDP на уровне локального и сетевого файерволла.

Во-вторых, атаки на уровне операционной системы, в том числе использование нашумевших эксплоитов для Microsoft Windows SMB Remote Code Execution, OpenSSL-Heartbleed и многих другие. По условиям игры у нас было крайне ограниченное время, чтобы пропатчить все сервисы, поэтому у нас оставался ряд серверов, которые действительно были подвержены уязвимостям и мы защищали их наложенными системами защиты, такими как антивирусы и модули обнаружения вторжений.

Самыми сложными для защиты оказались веб-приложения. Злоумышленники активно пытались проэксплуатировать ряд уязвимостей с помощью бесплатных инструментов для автоматизированного сканирования на уязвимости, а также осуществляли ручной анализ при обнаружении «интересных» страниц. Также, они использовали инструменты для построения карты сайта, чтобы обнаружить скрытые разделы и целенаправленно атаковать веб-админки.

Часто встречающийся вектор атаки – взлом веб-приложения с последующей загрузкой и исполнением вредоносного ПО. С таким видом атаки мы тоже столкнулись на «Противостоянии». Так как отслеживать вручную загрузку новых файлов на нескольких десятках серверов (как это и бывает в реальной жизни) просто невозможно, для обнаружения вредоносного ПО использовались специальные модули, в том числе системы контроля целостности, антивирусные модули, потоковые анализаторы трафика, обнаруживающие аномальную активность на сетевом уровне. Особенно актуальным оказались системы класса AntiBot, которые в пассивном режиме обнаруживали попытку использования бекдоров.

Команде «Защитников» было важно выстроить работу по выявлению новых уязвимостей в инфраструктуре. С этим нам помогала система MaxPatrol, которая постоянно сканирована диапазон IP-адресов, на которых располагаются наши ресурсы, и информировала о появлении новых виртуальных машин, которые организаторы регулярно добавляли в нашу инфраструктуры. Надо отметить, что организаторы при построении IT-инфраструктуры добавили немало операционных систем: различные версии Windows, OpenBSD, FreeBSD, SUSE Linux, Debian, CentOS… Установить на некоторые из них системы защиты, например, модуль антивируса, было не такой простой задачей. Однако такая ситуация иногда случается и в реальной жизни, когда сервисы в той или иной компании работают на устаревших устройствах, но их нужно поддерживать до тех пор, пока заказчик не модернизирует IT-инфраструктуру.

Во время игры команде атакующих все-таки удалось получить доступ к нескольким нашим серверам, но ненадолго, то есть развить вектор атаки им так и не удалось. Оперативно обнаруживать несанкционированный доступ нам помогали специальные системы мониторинга, которые мы настраивали для сбора расширенных логов с уровня операционных систем, баз данных и веб-приложений. После того, как мы обнаруживали аномальную активность или явный признак компрометации, мы начинали процесс расследования инцидента, в том числе «пускали в ход» программное обеспечение видеофиксации пользовательских сессий. Тем самым, мы получали весь перечень команд, которые выполнял злоумышленник на компьютере как удаленно, так и локально. То есть мы видели, что кто-то извне подключился к нашему серверу и пытается повысить свои привилегии или применить команды, которые позволят закрепиться в системе. Также, при расследовании инцидентов мы пользовались услугами Security Operation Center (SOC), работу которого в нашем случае обеспечивала компания Solar Security, и совместно закрывали обнаруженные злоумышленниками уязвимости. Кроме того, мы запускали систему антивирусной защиты, которая помогала нам найти backdoorы, которые мог оставить злоумышленник, и регулярно проверяли систему контроля целостности, чтобы отследить дефейс защищаемых сайтов. На обнаружение взлома у нашей команды было всего 15 минут, иначе можно было получить штрафные очки. В реальной жизни такая ситуация означает, что злоумышленник взломал ресурс и нужно как можно скорее заблокировать его, пока он еще не успел развить вектор атаки и скачать конфиденциальные данные.

Зачем нужны такие игры? Такие игры как «Противостояние» показывают, что постоянно появляются все новые методы и техники взлома ИТ-инфраструктуры, и необходимо непрерывно совершенствовать механизмы и технологии защиты. Многие компании сегодня заинтересованы в проведении подобных тестов на проникновение, так как даже при наличии комплексной системы защиты, IT- и ИБ-специалистам часто не хватает «взгляда со стороны», т.е. знания того, как выглядит защищаемая ими инфраструктура глазами злоумышленника. В то же время white hat хакеры («этичные хакеры») могут проанализировать внешние веб-ресурсы, внутреннюю ИТ-инфраструктуру и критичные системы предприятия, найти в них уязвимости и помочь в их устранении до того, как это сделает злоумышленник. По итогам подобных тестов, мы также предоставляем заказчику подробную аналитику и рекомендации по модернизации IT-инфраструктуры с точки зрения информационной безопасности, а также разрабатываем регламенты и процедуры реагирования на инциденты ИБ, чтобы сотрудники IT- и ИБ-отделов могли слаженно и оперативно отражать новые атаки.