Что такое «Мертвый город» и зачем он нужен специалистам по информационной безопасности

Участники ежегодной конференции Госкорпорации «Росатом» «Методы и средства технической защиты информации» на практике проверили свои навыки в разборе компьютерных атак и выявлении инцидентов. В рамках конференции ГК Innostage в партнерстве с Positive Technologies развернула инфраструктуру так называемого «Мертвого города» — киберполигона, который представляет из себя совокупность информационных систем, атакованных белыми хакерами на киберучениях The Standoff,  вместе с артефактами их активности. По ним специалисты в сфере кибербеза разбирали, как хакеры добиваются своих целей, и какими способами им можно противостоять.

На воркшопе техническим специалистам «Росатома» в области ИБ было предложено проанализировать кейсы со следами хакерских атак, реализованных во время крупнейших в России публичных киберучений – The Standoff. Часть этих атак достигла результатов и нанесла урон ИТ-инфраструктуре виртуального Государства F, построенного на киберполигоне The Standoff. 

The Standoff — это самая масштабная в мире открытая кибербитва. Главной темой учений, прошедших в мае 2022 года, стал эффект бабочки: зрители и участники битвы увидели, как реализация недопустимого события в одной отрасли может повлиять на другие и на все государство в целом. На площадке в Москве было построено виртуальное Государство F с тремя отраслями: черная металлургия, электроэнергетика и нефтяная промышленность. Внутри каждой отрасли —взаимосвязанные объекты: от добычи до поставки ресурсов конечным потребителям. Также в экономике Государства F было представлено и несколько других сегментов (транспорт, банковская система и ЖКХ), каждый из которых тоже состоял из набора объектов. Чтобы найти слабые места в защите этих объектов, управляемых системами, использующимися в реальной жизни, собрались 157 исследователей безопасности из 17 команд. Атакующие искали уязвимости и пытались реализовать различные инциденты, например, вызвать коллапс в аэропорту или остановить работу нефтезавода. За четыре дня The Standoff атакующие 63 раза реализовали недопустимые события, 30 из них были уникальными.

Участники воркшопа решали следующие задачи: 

   • анализировали цепочки реализации компьютерных атак: распространение вируса-шифровальщика и захват веб-сервиса с проникновением в инфраструктуру;
   • учились применять средства мониторинга и защиты, которыми можно детектировать каждый этап компрометации инфраструктуры;
   • анализировали ключевые сигнатуры и предупреждения, на которые необходимо обратить внимание.

Для анализа атак была использована система мониторинга событий ИБ и выявления инцидентов в реальном времени MaxPatrol SIEM и решение для анализа трафика PT Network Attack Discovery (PT NAD), разработанные Positive Technologies.

По словам руководителя команды Центра предотвращения киберугроз CyberART ГК Innostage Дмитрия Матвеева, основная польза киберполигона «Мертвый город» заключается в прокачке навыков ИБ-специалистов: «”Мертвый город” интересен тем, что с его помощью делаются акценты не столько на нормативную безопасность, сколько на практическую. Здесь мы наглядно показываем, как действуют хакеры, передаем ИБ-специалистам их логику и учим не бояться атак. В режиме тренировки участники воркшопа смогли увидеть реальные техники, которые используют злоумышленники, а также посмотреть, как хакеры продвигаются и закрепляются в инфраструктуре».   

Важно, что, как на киберучениях The Standoff, так и в рамках «Мертвого города», моделируются реальные IT-системы, которые используются в инфраструктуре ключевых предприятий, в государственных системах, банках, энергетических компаниях и т.д. Киберучения – проверенный способ тренировать и поддерживать необходимый уровень знаний и компетенций у специалистов по ИБ, которые требуются для выявления и противодействия современным компьютерным атакам. Участие в киберучениях The Standoff и обучение на инфраструктуре «Мёртвого города» доступны по запросу всем клиентам.