Компания Positive Technologies проела одиннадцатую конференцию по информационной безопасности Positive Hack Days, за которым наблюдали свыше 127 тысяч зрителей онлайн, а еще 8700 человек посетили площадку в Москве. В программу PHDays 11 вошло около 100 докладов, секций и круглых столов, различные конкурсы с денежными призами (например, по взлому банкомата, кассовой системы или POS-терминала), творческие фестивали Positive Wave и HackerToon, финал первого Всероссийского конкурса проектов с открытыми исходными кодами для школьников и студентов, состязание по похищению произведений кибер-арта и многое другое. Центральной частью программы конференции был конкурс по взлому модели информационной инфраструктуры города-государства CityF, которая была развернута на платформе киберполигона The Standoff.
63 недопустимых события
В рамках киберполигона The Standoff на этот раз были смоделированы следующие инфраструктуры: транспортная (аэропорт, железная дорога и морской порт), энергетическая, нефтеперерабатывающая и нефтетранспортная, металлургическая, газораспределительная, водоснабжение и водоотведение, деловой центр с банковской инфраструктурой и даже парк развлечений. Для каждого виртуального предприятия были определены свои недопустимые события, которые участники конкурса — 17 команд нападающих — должны были реализовать. Все события на полигоне фиксировались специальной системой контроля, данные из которой обрабатывались пятью командами защитников. Команды защитников за четыре дня проведения конкурса предоставили 287 отчетов об инцидентах и 10 отчетов о расследованиях. Больше всего отчетов сдала команда ZoneZone, которая участвовала впервые и ее инфраструктуру взломали в целом 22 раза. Минимальное время расследования составило 1 час 13 минут, а среднее — 9 часов 15 минут.
В этом году атакующим 63 раза удалось реализовать недопустимые события, 30 из которых были уникальными. Для сравнения: в ходе ноябрьской кибербитвы произошло лишь 6 уникальных недопустимых событий. Победителями киберучений со стороны атакующих на этот раз стала команда Codeby (27 715 баллов), на втором месте True0xA3 (23 381 балл) и на третьем — Invuls (12 352 балла). За четыре дня учений атакующие сдали 295 отчетов об уязвимостях. Около 40% всех отчетов сданы тремя командами: Codeby, DeteAct и Bulba Hackers. Наибольшее количество уязвимостей обнаружено в транспортной компании Heavy Logistics. За четыре дня конкурса нападающими в том числе были совершены следующие недопустимые события: остановка добычи нефти (в инфраструктуре нефтегазовой компании Tube), блокирование нефтепродуктопровода, нарушение работы сооружений для очистки сточных вод, взлом системы продажи билетов, который совершили 14 из участвующих 17 команд (именно его защищала команда ZoneZone). Произошло также внедрение вредоносного кода в процесс разработки. Пострадали практически все компании, за исключением банковской системы — эта инфраструктура фактически единственная не имела собственной АСУ ТП. Видимо, наличие промышленного сегмента как-то отрицательно влияет на уровень защищенности всего предприятия.
«Каждое участие в The Standoff приносит нам полезный опыт, — прокомментировал участие своей команды защитников GiSCyberTeam в конкурсе заместитель генерального директора и технический директор компании „Газинформсервис“ Николай Нашивочников. — Участники команды GiSCyberTeam выявляют и расследуют инциденты в условиях даже не приближенных к реальным, а с более суровыми ограничениями функциональности защиты. Сегодня масштабные кибератаки на объекты критической информационной инфраструктуры происходят практически нон-стоп. В разрезе текущей ситуации киберучения — это отличная возможность применить свои навыки и разработать возможные стратегии предотвращения атак. Предприятия и бизнес-структуры в России все чаще сталкиваются с киберугрозами, поэтому мы, как специалисты по обеспечению информационной безопасности, относимся к этому мероприятию, как к работе. Мониторинг и расследование событий ИБ — интересный, увлекательный, но все-таки труд».
Bug bounty на платформе киберполигона
В рамках PHDays 11 разработчики полигона The Standoff объявили о начале предоставления услуг по организации программ открытого тестирования на уязвимости The Standoff 365 Bug Bounty. В марте из-за санкций прекратила работу в России популярная платформа для организации подобных открытых конкурсов на взлом — bug bounty — компания HackerOne, и теперь ее место может занять компания The Standoff 365 со своей платформой. По оценкам CPO компании The Standoff 365 Ярослава Бабина в России около 2 тыс. белых хакеров, которые могут участвовать в подобных программах стресс-тестирования. К концу 2022 года создатели рассчитывают привлечь 500–1000 исследователей ИБ. То есть компании, которая захочет проверить защищенность своих ресурсов, не нужно будет искать способы рассказать о себе белым хакерам — достаточно разместить программу на The Standoff 365. В частности, в первые три дня открытой регистрации в ней завели личные кабинеты 366 белых хакеров. По прогнозам создателей новой платформы, уже в 2022 году свои программы bug bounty на ней запустят 10–20 организаций, к 2025 году их число может достичь 100 и даже больше.
На платформе The Standoff 365 компании смогут устанавливать свои правила bug bounty: сроки, границы исследований, форматы отчетов, суммы вознаграждений и права доступа. Программы могут длиться 3, 6 и 12 месяцев, до исчерпания бюджета проекта и даже непрерывно в течение нескольких лет. Отчеты об уязвимостях можно получать напрямую от исследователей или после их верификации специалистами Positive Technologies. Этичные хакеры заранее смогут выбрать, где искать уязвимость или сценарий реализации недопустимого события, — компании предварительно оценивают их и публикуют расценки на платформе. В перспективе компании смогут сделать программу публичной для всех или дать к ней доступ только определенным группам таких хакеров, например тем, кто ранее выявил уязвимости в приложениях и системах конкретной организации. Уже сейчас в программе участвуют две компании — «Азбука вкуса» всеми своими сайтами и сама Positive Technologies с двумя своими сайтами. Причем последняя даже назвала диапазон расценок за найденные уязвимости — от 20 тыс. до 393 тыс. руб.
«Главное отличие нашей платформы — возможность создания программ по принципу результативной кибербезопасности, когда белые хакеры не просто ищут отдельные уязвимости в системе, а реализуют недопустимые для нее сценарии, — пояснил особенности своей платформы Ярослав Бабин. — Мы предложим компаниям самим определить риски, реализация которых может привести к неприемлемым последствиям, и платить белым хакерам за отчет с последовательностью ведущих к ним действий. Исследователь должен не только найти уязвимость, но и проэксплуатировать ее, повысить привилегии в системе, предпринять другие шаги, в результате которых, например, можно получить данные пользователей. Такой подход имеет ряд преимуществ как для исследователей, поскольку суммы вознаграждений будут выше, так и для компаний, которые будут платить только за то, что хакеру удалось реализовать».
Промышленная безопасность
Впрочем, пока в программе не участвуют производители промышленного оборудования, хотя и такие возможности у платформы есть — оборудование для массового стресс-тестирования можно поместить на площадку открытого киберполигона Cyberrange, которая готовиться к выпуску 1 июля, и провести тестирование в том числе и промышленного оборудования на наличие в нем уязвимостей. Сейчас очень важно стремление отечественных предприятий перейти на отечественные технологии в АСУ ТП, однако необходимо при этом обеспечить, чтобы новые российские разработки были не менее защищенными, чем иностранные иначе проблем может оказаться больше, чем решений.
Сейчас именно наличие уязвимостей в промышленном оборудовании станет важной проблемой обеспечения безопасности промышленных сегментов, поскольку иностранные производители АСУ ТП прекратили их поддержку и сопровождение, которая включает в том числе и исправление ошибок, а хакеры, наоборот, более пристально изучают установленные на российских предприятиях иностранные решения, чтобы взломать их защиту. Эту тенденцию отметил в своем выступлении на конференции менеджер по развитию бизнеса направления «Solar Интеграция» компании «РТК-Солар» Виталий Сиянов: «Любое решение априори „дырявое“, и эти „бреши“ находят постоянно. Основная проблема ухода иностранных производителей в том, что они оказывали сервис для своих продуктов. В сегодняшних реалиях вендоры уже не обеспечивают исправление ошибок (патчинг), то есть через год у предприятий будет не средство защиты, а решето. Сообщество хакеров, разумеется, отслеживает информацию об уязвимостях и активно эксплуатирует их в атаках, поэтому вопрос патчинга стоит чрезвычайно остро».
По мнению руководителя направления промышленной кибербезопасности Positive Technologies Романа Краснова, промышленная кибербезопасность в России выйдет на новый уровень уже в этом году: «Защита промышленного предприятия — это не история частного применения отдельного класса продуктов, а комплексная задача, — считает он. — На технологическом объекте множество систем, которые необходимо защищать разными средствами ИБ. И в последние месяцы все это осознали. Поэтому мы и видим лавинообразный рост продаж всех классов решений для защиты промышленных предприятий. Помимо этого, есть задача по внедрению приобретенных средств защиты, и здесь предприятиям придется пройти сложный путь, так как квалифицированных специалистов по ИБ в масштабе страны не хватает». По его мнению в ближайшее время мониторинг событий информационной безопасности, который хорошо работает в офисных сегментах, будет распространяться и на промышленный сегмент. Для этого необходима другая команда ИБ-специалистов, которые понимают в промышленных протоколах, однако платформа для фиксации событий ИБ должна быть единой.
Заключение
В целом же PHDays 11 является важным этапом в развитии российского рынка информационной безопасности. Программы bug bounty очень нужны российским компаниям — услугами HackerOne уже пользовались «Яндекс», Ozon, VK, банк «Тинькофф» и многие другие. Для них уход платформы из России — серьезное снижение уровня оценки безопасности своих решений. И хотя сейчас практически на все российские ресурсы производиться «дикий bug bounty» тем не менее тестовая платформа The Standoff 365 Bug Bounty поможет сделать рынок поиска и устранения уязвимостей более цивилизованным. Все-таки важно обеспечить переход на защищенные отечественные решения в части АСУ ТП, в которых не будет публично известных уязвимостей с одной стороны и для которых будет выстроена технология безопасной разработки — с другой.