Игры разума, или как масштабные кибербитвы помогают специалистам по ИБ. Часть II (GlobalCIO, август 2017)

08.08.2017
О стратегии и тактике, выбранной участниками объединенной команды "Сервионики" и Palo Alto Networks - S.P.A.N., рассказывает директор департамента информационной безопасности компании "Сервионика" Василий Степаненко. 

v.stepanenkoВ прошлый раз я подробно рассказывал о битве ИБ-защитников и пен-тестеров, которая велась за виртуальный город в мае этого года на «PHDays VII: Противостояние». И теперь хочу продолжить разбор полетов.

За 30 часов непрерывных атак на «офис» непокорный объект так и не сдался врагу: согласитесь, в реальной жизни офисная инфраструктура редко может тягаться по степени надежности, например, с банковской. В данном случае вышло с точностью до наоборот, хотя мы пользовались исключительно стандартным набором средств. Как же нам это удалось? Давайте разберем подробнее схему нашей защиты.

В прошлой публикации мы уже упоминали, что делали ставку на аудит инфраструктуры до игры (и приз в номинации «Глубокое сканирование» стал, в общем, закономерным результатом), а также полный контроль над сетью и предотвращение атак, которые могли совершаться на базе всех известных типов уязвимостей. Это стало основой нашей стратегии защиты, но одновременно мы готовились и к атакам, выходящим за рамки существующих шаблонов.

Аудит нашего участка сети мы начали не за день или два, а за целых три недели до «Противостояния», чтобы затем спроектировать и настроить все элементы защиты. Первый инструмент, который пошел в ход — предоставленная организаторами система контроля защищенности и соответствия стандартам MaxPatrol, которая через несколько часов нарисовала достаточно безрадостную картинку по наличию и типам уязвимостей. Получив этот отчет, мы провели «мозговой штурм» и поняли, что «ломать» нашу сеть будут и со стороны интернета, и через наш собственный VPN, и из сетей других защитников. И, как быстро выяснилось в ходе игры, — как в воду глядели. Но основной удар — мы понимали это — стоит ждать в сегменте DMZ на веб-сервисы офиса, а там было порядка 30 серверов.

Так мы начали выставлять «щит» вокруг сети вверенного нам «офиса». При этом каждое изменение в инфраструктуре требовалось согласовать с организаторами. Нужно сказать, что за «публи» (игровая валюта «Противостояния») мы не покупали средства защиты. В бюджет не нужно было укладываться, как первично задумывалось организаторами и было указано в условиях участия «Противостояния», но организаторы очень следили за защитой, чтобы она была максимально приближена к реальным условиям, и поэтому согласования с ними требовал буквально «каждый чих». Для сегментирования сети мы выбрали решение Palo Alto Networks NGFW. Также мы включили межсетевой экран в разрыв всех доступных нам каналов связи.

Теперь все информационные потоки проходили через межсетевой экран. Вдобавок в режим блокировок были включены все виды защиты: контроль приложений с запрещением «плохих» приложений (пр. ICMP/DNS туннели) и явным разрешением «хороших» (подход нулевого доверия «Zero Trust»), IPS, антивирус, песочница Wildfire, anti-spyware, который «видит» каналы управления, защита от сканирования по портам TCP/UDP. Кроме того, мы установили блокировки на передачу файлов и загрузку файлов на серверы. А чтобы не дать нам переборщить, организаторы добавили в свою сеть специальные «чекеры» для проверки доступности сервисов.

Продолжение рассказа - в блоге Василия Степаненко на портале GlobalCIO

Назад к разделу "Публикации"