Глазами "защитника":
как мы участвовали в Positive Hack Days CityF
"Противостояние".
Часть 4. Ограничения для команд защиты и оперативного мониторинга.
С частью 3 (мнение о взломе ГЭС) можно ознакомиться постом ранее.
На официальном сайте конференции есть довольно пафосная цитата:
В средствах защиты информации нас практически не ограничивали: какой хочешь, такой и ставь, только скажи требования к виртуалке. Нужно попинать вендора на временную лицензию - говори, сделаем. Ну, мы и не стеснялись.
VMware. На этапе развертывания озвучивалось ограничение: выбранные нами для конкурса решения по обеспечению и мониторингу ИБ должны быть виртуализируемыми. Аппаратные средства можно было брать только переносные, за них организаторы ответственности не несли. В общем-то не такая и большая проблема, потому что виртуалку получить у вендора на порядок проще, да и мировой тренд стремится к повсеместной виртуализации, даже целые сети и датацентры виртуализируются, делая всякие там NFV, SDN и SDDC. Некоторые производители умудрялись и насчет виртуалки побузить, а один даже отказался предоставить. Не готов был к таким серьезным отношениям с хакерскими атаками.
Default permit. С другой стороны, было запрещено выполнять default deny на пограничном firewall. А в реальном мире так делается в первую очередь. Это меня возмутило до глубины души, я плакал и матерился, но продолжал участвовать в конкурсе. Как я уже раньше и писал, одной из основных целей "противостояния" было шоу, которое не получилось бы, запрети я все лишнее. Хакеры потыкались бы в засекуренные интерфейсы, ничего не сделали бы, и обхаяли организаторов в потакании светлой стороне силы. Так что здесь приближение к реальности практически нулевое. Дали хакерам фору по самые помидоры. Из-за таких фор и ГЭС поломали, и город затопили.
No ban for IP-address. Запрещено было также банить по src IP. Естественно, если бы это было просто запрещено словами, то я бы мог и "подзабыть", особенно на ночь, чтобы спокойнее спалось, да и вообще чтобы спалось. Но хитрые организаторы натили всех в один IP: и хакеров, и свой service-checker. Если мы гасили лишнее - прибегали к нам и говорили, что ай-яй-яй, так нельзя. Причем сервисы проверяли вообще любые, которые были изначально доступны на серверах, даже на фиг не нужные. Шоу, чо.
Тоже курьез получился в самом начале противостояния: SOC обнаружил, что нас кто-то сканирует с IP-адреса, который никак не указан на предоставленной схеме. Найдя точку стыка, я заблокировал его, выведя неизвестную подсеть из маршрутизации, несмотря на запрет. Точка стыка была внутри доверенного сегмента, поэтому логика простая: на схеме нет - считаю за закладку и происки хакеров, которые должны быть выдавлены из нашей сети. Естественно, сначала прибежали организаторы с криком: "Все пропало! Наше все не работает!". Потом поняли, что не пересобрали стык с нашим сегментом, и согласились с моими действиями.
Доступ к оборудованию. Нам, конечно, предоставили админский доступ и к сетевым устройствам, и к серверам. Ведь сложно защищать то, что не можешь конфигурировать. Возможно, но сложно. К активному сетевому оборудованию уровня L2-access доступа не дали. Причина проста: шоу. Когда организаторы замечали уныние на хакерских физиономиях и скуку на наших - поднимали где-то без предупреждения еще один уязвимый сервис. Ну а SOC с защитниками, соответственно, начинают: "лови его, дави его!". Чтобы мы не мешали лишними секурити-настройками и не видели лишнего, доступ к свичам доступа нам не давали и как объект защиты их нам не вручали.
Вроде, ничего не забыл. Если вспомню - допишу. В общем, ограничения хоть и были, но не лютые. Конечно, default permit до сих пор будоражит мое потревоженное мировоззрение, о чем я периодически продолжаю ворчать в разговорах с организаторами, но шоу есть шоу. Это был реслинг, а не MMA.
Продолжение следует. Часть 5. Сражение
С частью 3 (мнение о взломе ГЭС) можно ознакомиться постом ранее.
На официальном сайте конференции есть довольно пафосная цитата:
На этот раз вместо привычных соревнований CTF, мы устраиваем настоящие военные действия. События на площадке будут максимально приближены к реальности: на полигоне PHDays VI СityF развернется масштабная эмуляция городской инфраструктуры.Вот насчет выделенного жирным и хотелось бы поговорить.
В средствах защиты информации нас практически не ограничивали: какой хочешь, такой и ставь, только скажи требования к виртуалке. Нужно попинать вендора на временную лицензию - говори, сделаем. Ну, мы и не стеснялись.
VMware. На этапе развертывания озвучивалось ограничение: выбранные нами для конкурса решения по обеспечению и мониторингу ИБ должны быть виртуализируемыми. Аппаратные средства можно было брать только переносные, за них организаторы ответственности не несли. В общем-то не такая и большая проблема, потому что виртуалку получить у вендора на порядок проще, да и мировой тренд стремится к повсеместной виртуализации, даже целые сети и датацентры виртуализируются, делая всякие там NFV, SDN и SDDC. Некоторые производители умудрялись и насчет виртуалки побузить, а один даже отказался предоставить. Не готов был к таким серьезным отношениям с хакерскими атаками.
Default permit. С другой стороны, было запрещено выполнять default deny на пограничном firewall. А в реальном мире так делается в первую очередь. Это меня возмутило до глубины души, я плакал и матерился, но продолжал участвовать в конкурсе. Как я уже раньше и писал, одной из основных целей "противостояния" было шоу, которое не получилось бы, запрети я все лишнее. Хакеры потыкались бы в засекуренные интерфейсы, ничего не сделали бы, и обхаяли организаторов в потакании светлой стороне силы. Так что здесь приближение к реальности практически нулевое. Дали хакерам фору по самые помидоры. Из-за таких фор и ГЭС поломали, и город затопили.
No ban for IP-address. Запрещено было также банить по src IP. Естественно, если бы это было просто запрещено словами, то я бы мог и "подзабыть", особенно на ночь, чтобы спокойнее спалось, да и вообще чтобы спалось. Но хитрые организаторы натили всех в один IP: и хакеров, и свой service-checker. Если мы гасили лишнее - прибегали к нам и говорили, что ай-яй-яй, так нельзя. Причем сервисы проверяли вообще любые, которые были изначально доступны на серверах, даже на фиг не нужные. Шоу, чо.
Тоже курьез получился в самом начале противостояния: SOC обнаружил, что нас кто-то сканирует с IP-адреса, который никак не указан на предоставленной схеме. Найдя точку стыка, я заблокировал его, выведя неизвестную подсеть из маршрутизации, несмотря на запрет. Точка стыка была внутри доверенного сегмента, поэтому логика простая: на схеме нет - считаю за закладку и происки хакеров, которые должны быть выдавлены из нашей сети. Естественно, сначала прибежали организаторы с криком: "Все пропало! Наше все не работает!". Потом поняли, что не пересобрали стык с нашим сегментом, и согласились с моими действиями.
Доступ к оборудованию. Нам, конечно, предоставили админский доступ и к сетевым устройствам, и к серверам. Ведь сложно защищать то, что не можешь конфигурировать. Возможно, но сложно. К активному сетевому оборудованию уровня L2-access доступа не дали. Причина проста: шоу. Когда организаторы замечали уныние на хакерских физиономиях и скуку на наших - поднимали где-то без предупреждения еще один уязвимый сервис. Ну а SOC с защитниками, соответственно, начинают: "лови его, дави его!". Чтобы мы не мешали лишними секурити-настройками и не видели лишнего, доступ к свичам доступа нам не давали и как объект защиты их нам не вручали.
Вроде, ничего не забыл. Если вспомню - допишу. В общем, ограничения хоть и были, но не лютые. Конечно, default permit до сих пор будоражит мое потревоженное мировоззрение, о чем я периодически продолжаю ворчать в разговорах с организаторами, но шоу есть шоу. Это был реслинг, а не MMA.
Продолжение следует. Часть 5. Сражение
Комментариев нет:
Отправить комментарий