В Москве завершилась крупнейшая в мире кибербитва The Standoff. Компания Innostage принимала участие в качестве соорганизатора, выполняя роль интегратора и глобального SOC.
За два дня кибербитвы командам красных удалось вмешаться в работу сразу нескольких ключевых объектов. Виртуальный город пережил утечку данных и публикации ложных сведений от имени главы государства, показ нелегитимного контента на рекламных видео экранах, аварию на очистных сооружениях и ложное оповещение о ЧС на нефтеперерабатывающем производстве.
Чаще всего атакам подвергалась система информирования пассажиров ж/д вокзала. По сценарию этот объект был самым простым для участников, взломать работу которого можно было всего за два шага.
За время, отведенное на битву, команды смогли выполнить не все задачи – из 51 заложенного бизнес-риска удалось реализовать лишь 6. Всего на киберполигоне The Standoff было проведено 19 недопустимых событий.
«В целом, ход битвы мы оцениваем удачно. На этом The Standoff организаторы пересмотрели инфраструктуру киберполигона. Она стала гораздо шире и сложнее. В этих условиях у синих и красных команд прибавилось работы. За счет этого битва получилась интересной», - отмечает Антон Калинин, руководитель группы аналитиков центра мониторинга информационной безопасности и реагирования на компьютерные инциденты CyberART Innostage.
The Standoff стал очередным испытанием и для программного обеспечения Innostage IRP, которое позволяет реализовывать важнейшие функции ИБ на основе высокого уровня автоматизации рабочих процессов.
«Наш продукт позволяет, фактически, организовывать процесс работы с инцидентом, начиная с расследования и реагирования на него, - рассказывает Илья Петров, директор департамента продвижения собственных продуктов Innostage. – Мы развернули IRP на площадке The Standoff, интегрировали его с MaxPatrol SIEM для получения инцидентов, а также интегрировали с VM для получения активов. Модель активов и определённые хосты, серверы и узлы были привязаны к отраслям, представленным на киберполигоне. Наша команда получала данные из SIEM, накладывала это на модель активов и фиксировала в разрезе представленных отраслей, что в конкретный момент времени является наиболее интересным для команд атакующих».
В организации кибербитвы было задействовано 35 сотрудников команды SOC, которые взяли на себя судейскую роль. Для них это также своеобразная тренировка в условиях стрессового трафика, которая поможет в дальнейшем применять полученные решения и практику в защите реальных объектов.
«Здесь мы демонстрируем те же подходы, которые реализуем на практике, - делится Владимир Дмитриев, руководитель направления сервисов киберзащиты CyberART Innostage. – Команда нашего SOC отрабатывает таким образом решения с точки зрения аналитики и эксплуатации. Здесь есть возможность посмотреть, как работает то, что мы придумываем. Лучшие решения в будущем мы будем запускать в продакшн».
Кроме того, специалисты компании выступили менторами синих команд, поддерживая участников в ходе битвы. Всего защитники выявили 173 инцидента. Среднее время расследования составило 16 часов 16 минут. Самое быстрое расследование было проведено за 3 часа 8 минут.