Бой с тенью Как проходят киберучения по борьбе с хакерами

Все началось в четверг 20 мая 2021 года, когда группировка хакеров True0xA3 спровоцировала взрыв на газораспределительной станции компании Tube. Злоумышленники получили доступ к управлению клапанами и довели давление газа в магистралях до критической отметки. Затем взломщики из Codeby внедрились в сеть международного аэропорта через незащищенный принтер в зале вылета. В результате тысячи человек не смогли зарегистрироваться на рейсы. Другая команда хакеров, Invuls, перехватила управление краном в порту, принадлежащем компании Heavy Ship Logistics. Они сбросили контейнер на палубу баржи, ​в инциденте чудом не пострадали люди. В пятницу взломщики подменили показатели приборов на нефтеперерабатывающем заводе Nuft. Системы безопасности остановили оборудование, и нефтедобыча сократилась за сутки на 90 %, что вызвало дефицит бензина на заправках.

Кроме крупных объектов инфраструктуры, в этот черный уик-энд пострадали системы взимания штрафов, продовольственные магазины, сеть рекламных щитов и железнодорожное хозяйство — ​всего 33 объекта.

В красном углу, в синем углу

К счастью, все происходило понарошку, а новости показывали лишь на экранах в залах форума кибербезопасности Positive Hack Days 10. Здесь компания Positive Technologies регулярно проводит киберучения под названием The Standoff.

Обстановка в зале — ​нечто среднее между телешоу в прайм-тайме и вечеринкой в Кремниевой долине. Прожекторы освещают площадку то красным, то синим светом, повсюду ходят операторы с телекамерами и журналисты, играет тревожная музыка, а на маленьких сценах идут прямые эфиры с известными специалистами по кибербезопасности. В середине зала стоит огромный макет города FF, как в «Центральном Детском Магазине». На нем непрерывно движется поезд, мигают огни аэропорта, в окнах офисов горит свет, а пластмассовые горожане веселятся в парке аттракционов и не подозревают, что над всем изобилием XXI века занесен дамоклов меч.

Словно боксерский ринг, зал разделен на две половины. В красном углу, прикрыв головы капюшонами худи, сидят команды нападения — ​хакеры, цель которых — ​внедриться в инфраструктуру города FF и реализовать как можно больше бизнес-­рисков. На синей стороне в светлых рубашках сидят за ноутбуками защитники.

Борис Симис, заместитель генерального директора по развитию бизнеса компании Positive Technologies:

The Standoff — ​это „мягкий“ способ показать, как хакеры могут разрушить жизнь целого города и как важно выстраивать надежную защиту от них. В форуме участвуют не только специалисты по информационной защите, но и производители оборудования, для которых город FF служит испытательным полигоном. Руководитель одной из компаний-партнеров, сотрудники которой работали в SOC на осеннем The Standoff, предложил одному из своих директоров повысить специалистам зарплату, так как за 7 дней они увидели столько атак, сколько могли бы наблюдать за 5–7 лет. Это позволило им шагнуть на другой профессиональный уровень

Бой без перчаток

Хоть все атаки на The Standoff и происходят понарошку, «потешные» кибервойска атакуют реальную электронику, которая применяется на объектах инфраструктуры. Я подхожу к игрушечному винному магазину на краю стола — ​возле него стоит настоящий кассовый аппарат, из которого вылезает длинная чековая лента. Кто-то из хакеров пробил себе скидку 100 % и украл бутылок на 50 тысяч рублей. На другом краю макета, около газораспределительной станции, светится монитор с показателями давления и температуры газа, а под ним мигают лампочками компьютеры, управляющие виртуальными вентилями. Кто-то получает к ним доступ, вводит зловредную команду — ​и происходит взрыв. На полу стоят настоящие серверы. На них вполне могли бы храниться секретные документы IT-компаний, и к ним уже получили доступ хакеры.

Форум Positive Hack Days и учения The Standoff созданы для того, чтобы на практике отрабатывать реальные угрозы безопасности и искать способы защиты от них. Потому что на киберфронте — ​как в армии: без практических учений даже сильнейший теоретик окажется бесполезен на поле боя.

Дмитрий Гадарь, вице-президент и директор департамента информационной безопасности группы «Тинькофф»:

Я пробовал нанимать для защиты сильных айтишников, и это не работает. Они глубоко уверены, что, поставив правильный набор средств безопасности и корректно настроив их, компания окажется в полной безопасности. Но это не так. „Безопасник“ должен обладать определенной степенью паранойи, а вера в идеальный набор средств защиты не доведет до добра. С другой стороны, сильная теоретическая подготовка в этой сфере необходима: специалисту следует иметь знания в области математики, сетей, операционных систем и так далее. Освоить средства защиты программист может довольно быстро. Не хватает тех, кто глубоко понимает, как устроены сетевые протоколы, операционные системы и другие базовые вещи

До первой крови

В красном углу зала, зоне атакующих, организаторы поставили три стола для команд, но заняты только два: остальные хакеры работают дистанционно. Журналистов просят не фотографировать участников, сидящих в зале: хотя атаки на город FF происходят понарошку, атакующие предпочитают оставаться инкогнито. HR-службы ведущих IT-компаний и государственных организаций борются за победителей соревнования. Возможно, в будущем опытные хакеры будут строить системы безопасности настоящих банков и электростанций, поэтому их личности могут заинтересовать злоумышленников.

Защитники, сидящие в синем углу, меньше прячутся от журналистов. Специалисты открыто рассказывают о своей работе во время отдыха. Любое нападение хакеров на инфраструктуру начинается с незащищенной «точки входа» — ­сетевого порта с доступом к локальной сети предприятия. Уязвимость можно найти, например, в Wi-Fi-принтере или умной кофеварке без пароля. Часто хакеры прибегают к социальной инженерии: заводят знакомство с человеком, работающим в компании, и под безобидным предлогом просят его вставить в рабочий компьютер флешку с вирусом. Перед атакой хакеры могут месяцами изучать устройство системы безопасности предприятия, но на соревнованиях The Standoff организаторы сами дают нападающим разведданные с подсказками для начала атаки на периметр.

Дмитрий Андреев, независимый эксперт по информационной безопасности:

От „социальной инженерии“ невозможно защититься лишь набором правил и рекомендаций. Человека, который не понимает, как действует специалист по психологическим манипуляциям, легко обмануть. Нужно тренироваться, приводить примеры, демонстрировать сотрудникам приемы психологических атак. Топ-менеджмент должен понимать, зачем мы развиваем информационную безопасность компании. Знания о возможных угрозах мотивируют руководителей постоянно обучаться, и в первую очередь противодействию социальной инженерии. Если этого не делать, то даже очень хороший директор и админ будут уязвимы

Победа по очкам

Красным командам начисляются очки за успешно реализованный бизнес-риск, а защитники скорее играют роль детективов. С началом атаки они не бегут выдергивать кабели из серверов и не пытаются предотвратить «трагедии». Их задача — ​расследовать успешную кибератаку и предоставить судьям подробный отчет об уязвимостях системы.

Зрители ожидают увидеть ожесточенное противостояние хакеров и защитников, но на The Standoff добро не борется со злом. Красные и синие команды ведут раздельный счет и соревнуются только друг с другом: хакеры с хакерами, защитники с защитниками. Участники с обоих концов зала преследуют общую цель — ​сделать так, чтобы события в городе FF не повторились в реальной жизни.