STANDOFF:
главная кибербитва страны изнутри
Innostage CyberART уже третий год формирует глобальный SOC кибербитвы Standoff. Наша команда контролирует все процессы в инфраструктуре виртуального государства.
Standoff — крупнейшая в России открытая кибербитва от компании Positive Technologies при технической поддержке Innostage. Суть битвы: сильнейшие этичные хакеры (red teams) сражаются за ресурсы виртуальной страны, воссозданные отражения цифровой реальности современной России, а команды специалистов по информационной безопасности (blue teams) отрабатывают навыки противостояния целевым атакам на ключевые объекты собственного бизнеса.
Глобальный SOC Standoff это:
Настройка и сопровождение инфраструктуры и средств защиты информации киберполигона
Судейство Red/Blue Teams
Мониторинг инцидентов и разбор цепочек атак
Путь Innostage CyberART в Standoff:
От «blue team» до глобального SOC
2020
Ноябрь
2021
Май
Сентябрь
Ноябрь
2022
Май
Сентябрь
Ноябрь
2023
Март
Май
2020
Ноябрь
Наша роль
Участник на стороне Blue Team (команда «синих»)
Успешно расследовали 8 реализованных недопустимых событий, в том числе в сегменте АСУ ТП
Отражали хакерские атаки 24/7
Сделали первую полноценную схему защищаемого офиса с условными обозначениями сегментов и легендой по уязвимым системам
Прокачали навыки отражения хакерских атак
Цифры
51
уникальных недопустимых событий заложено организаторами
24
уникальных недопустимых событий реализовали атакующие
49
инцидентов выявила команда синих Innostage CyberART
Количество и география этичных хакеров
29
команд атакующих
Отрасли виртуального цифрового города
Электроэнергетика
Нефтехимическая
Транспортная
Городская инфраструктура
Альтернативные источники энергии
Ритейл
Газораспределительная станция, электроподстанция, уличное освещение, рекламные билборды (компания Tube)
Нефтедобыча, трубопровод, нефтехранилище, химический завод (компания Nuft)
Железная дорога, аэропорт, морской порт (компания Heavy Ship Logistics)
Городское видеонаблюдение, светофоры, парк развлечений, системы кондиционирования офисов (компания 25 hours)
Электростанция, ветрогенераторы (компания Big Bro Group)
Розничные магазины, интернет-магазины (компания FairMarket)
Технологический стек:
Для мониторинга событий на наших объектах мы использовали следующие системы и технологии:
MaxPatrol SIEM
PT Application Firewall
PT Network Attack Discovery
MaxPatrol 8
PT Sandbox
Система выявления инцидентов ИБ, дает полную видимость IT-инфраструктуры
Межсетевой экран уровня веб-приложений, предназначенный для защиты веб-ресурсов организации
Система поведенческого анализа сетевого трафика (NTA) для обнаружения зараженных узлов, нарушений политик безопасности и инсайдеров
Система контроля защищённости и управления уязвимостями
Песочница для риск-ориентированной защиты с возможностью кастомизации виртуальных сред, позволяющая защититься от целевых и массовых атак с применением современного вредоносного ПО и угроз нулевого дня
Полный разбор кибербитвы экспертами Innostage
2021
Май
Наша роль
Этап подготовки
Помощь в построении полигона:
- Развернули ряд сервисов, которые работали на полигоне
- Развернули средства защиты и мониторинга и провели их настройку для дальнейшей работы киберполигона
- Подключили источники событий (АРМ, серверы, СЗИ) к средствам мониторинга в инфраструктуре полигона и проверили их работоспособность
Этап киберучений
- Сменили роль защитников на судей кибербитвы и присоединились к команде глобального SOC Positive Technologies
- Выполняли функции мониторинга и контроля действий команд защиты
- Оказывали менторскую поддержку одной команды защитников
- Поддерживали средства защиты и мониторинга: оперативное восстановление систем, ставших жертвой атак «красных»
Цифры
51
уникальных недопустимых событий заложено организаторами
33
уникальных недопустимых событий реализовали атакующие
Количество и география этичных хакеров
6
команд атакующих, прошедших основательный конкурсный отбор
Отрасли виртуального цифрового города
Инфраструктура полигона состояла из шести ранее представленных отраслей экономики, в которые добавились новые объекты.
Технологический стек:
MaxPatrol SIEM
PT Application Firewall
PT Network Attack Discovery
PT Sandbox
MaxPatrol 8
PT Industrial Security Incident Manager
Система выявления инцидентов ИБ, дает полную видимость IT-инфраструктуры
Межсетевой экран уровня веб-приложений, предназначенный для защиты веб-ресурсов организации
Система поведенческого анализа сетевого трафика (NTA) для обнаружения зараженных узлов, нарушений политик безопасности и инсайдеров
Песочница для риск-ориентированной защиты с возможностью кастомизации виртуальных сред, позволяющая защититься от целевых и массовых атак с применением современного вредоносного ПО и угроз нулевого дня
Система контроля защищённости и управления уязвимостями
Программно-аппаратный комплекс глубокого анализа технологического трафика
Сентябрь
Опыт Standoff пригодился
для обучения специалистов по ИБ
для обучения специалистов по ИБ
На форуме Kazan Digital Week 2021 впервые провели мастер-класс с кодовым названием «Мертвый город», который стал прототипом для создания учебного киберполигона Innostage.
На основе артефактов с майской кибербитвы Standoff было предложено проанализировать кейсы и разобрать цепочки реализованных атак. Вместе с командой Positive Technologies развернули часть инфраструктуры с реализованными бизнес-рисками, где помощью продуктов MaxPatrol SIEM и PT NAD можно было найти следы их реализации.
Ноябрь
Наша роль
Этап подготовки
В дополнение к установке и настройке средств защиты и мониторинга эксперты Innostage осуществляли:
- Инвентаризацию, сканирование инфраструктуры
- Маппинг недопустимых событий в контексте инфраструктуры, построение потенциальных сценариев реализации недопустимых событий
Этап киберучений
- Полностью взяли на себя функции глобального SOC
- К функции мониторинга и контроля действий команд защиты добавилась проверка реализованных хакерами атак
- Принимали и верифицировали отчеты нападающих и защитников
- Оказывали менторскую поддержку 2 командам защитников
- Демонстрировали цепочки атак: аналитики судейского SOC пошагово показывали ход атаки хакеров, используя различные средства мониторинга
- Стали первым партнером онлайн-платформы Standoff 365
Цифры
51
уникальных недопустимых событий заложено организаторами
6
уникальных недопустимых событий реализовали атакующие
202
инцидента выявил глобальный SOC Innostage CyberART
Количество и география этичных хакеров
10
команд атакующих
Отрасли виртуального цифрового города
Виртуальный город F растет и становится сложнее, превращаясь в полноценное виртуальное государство F, в котором представлены новые отрасли:
энергетическая отрасль
с собственными процессами
отрасль металлургии
(рудный конвейер, доменная печь, кислородный конвертер)
единая инфраструктура,
связанная государственной ИТ-платформой: если ранее каждую отрасль защищала своя «синяя» команда, то сейчас все защитники находятся в одном едином пространстве, где все отрасли взаимодействуют между собой
Технологический стек:
К уже применяемым ранее средствам защиты и мониторинга из арсенала Positive Technologies эксперты глобального SOC впервые испытали в «боевых» условиях собственную разработку Innostage - продукт класса IRP (Incident Response Platform).
Innostage IRP использовался в интеграции с решениями Positive Technologies MaxPatrol SIEM для сбора и анализа статистики по киберинцидентам в инфраструктуре виртуального города. Innostage IRP позволил судейской команде получить наиболее полную картину событий с привязкой к конкретным объектам защиты в графическом виде. Статистика отображалась в реальном времени в рамках конкретного дня и всего мероприятия в целом. Это сделало работу киберполигона еще нагляднее.
2022
Май
Наша роль
Этап подготовки
Отличительной особенностью в настройке инфраструктуры киберполигона экспертами Innostage стало осуществление Hardening — усиление защищенности инфраструктуры мониторинга глобального SOC и команды защиты.
Этап киберучений
К уже традиционному функционалу по мониторингу и контролю действий команд, верификации отчетов и сопровождению инфраструктуры и средств защиты информации киберполигона, мы:
- Окончательно закрепили за собой роль глобального SOC
- В работе команды глобального SOC начали использовать технику Threat Intelligence (данные о киберугрозах)
- Оказывали менторскую поддержку трех команд защитников
Цифры
100
уникальных недопустимых событий заложено организаторами
23
уникальных недопустимых событий реализовали атакующие
321
инцидента выявил глобальный SOC Innostage CyberART
Количество и география этичных хакеров
17
команд атакующих из России, Франции, Беларуси и Казахстана
Отрасли виртуального цифрового города
Важными нововведениями в отраслевой специфике и архитектуре киберполигона стали:
Межотраслевые события
риски перестают быть изолированными, недопустимые события в одной отрасли порождают цепную реакцию в смежных отраслях и могут повлиять на все государство в целом
риски перестают быть изолированными, недопустимые события в одной отрасли порождают цепную реакцию в смежных отраслях и могут повлиять на все государство в целом
Банковская система со своим ЦБ:
General Bank of Standoff (центральный банк), Commercial Bank of Standoff, First Partner Bank (межбанк), реализованные для эмуляции межбанковского взаимодействия
General Bank of Standoff (центральный банк), Commercial Bank of Standoff, First Partner Bank (межбанк), реализованные для эмуляции межбанковского взаимодействия
6 отраслей защиты из которых 3 отрасли полного цикла производства (от добычи до сбыта конечному пользователю): нефтяная промышленность, энергетика и черная металлургия
Технологический стек:
Использование нового инструмента динамического анализа защищенности приложений - PT BlackBox.
PT BlackBox ― это сканер безопасности приложений, работающий методом черного ящика.
Полный разбор кибербитвы экспертами Innostage
Сентябрь
1. Релиз киберполигона «Мертвый город»
В рамках международного форума «Kazan Digital Week 2022» компания Innostage представила новую платформу обучения кибербезопасности - киберполигон «Мертвый город» и провела практическое обучение ИБ-специалистов по выявлению реальных компьютерных атак.
Платформа обучения кибербезопасности представляет из себя виртуальный киберполигон, на котором сымитирована типовая инфраструктура предприятия и развернуты средства защиты информации. При этом такой цифровой двойник хранит следы распространенных хакерских атак, сценарии и тактики которых взяты из реальных инцидентов.
2. Innostage объявила о намерениях
создать первый в России Межвузовский студенческий провайдер услуг кибербезопасности (MSSP SOC).
Соглашение о создании Межвузовского SOC было подписано с Казанским национальным исследовательским технический университет им. А.Н. Туполева–КАИ, Казанским Федеральным Университетом (КФУ), Казанским Государственным Энергетическим Университетом (КГЭУ) и Университетом Иннополис.
Ноябрь
Наша роль
Этап подготовки
Продолжена работа по совершенствованию инфраструктуры киберполигона для общего сокращения времени на обнаружение атак и расследование инцидентов. А так же:
- Решена задача целостного представления о состоянии кибербезопасности киберполигона за счет разработки и адаптации аналитического контента СЗИ
- Поставлено на контроль поступление событий со всех источников на киберполигоне
Этап киберучений
Дополнительные активности к устоявшейся роли глобального SOC и оператора кибербитвы Standoff:
-
Провели киберучения на полигоне «Мертвый город»
Во время кибербитвы Standoff эксперты Innostage развернули работу виртуального киберполигона и прокачали навыки ИБ-специалистов по выявлению хакерских атак.
Участники киберучений разобрали цепочки из самых распространённых атак 2022 года - deface сайта, фишинг, внедрение шифровальщиков, шпионского ПО и майнеров.
- Со стороны глобального SOC был выделен индивидуальный ментор команде синих в Казани, который провел обучение и направлял участников на протяжении всей кибербитвы.
Цифры
96
уникальных недопустимых событий заложено организаторами
8
уникальных недопустимых событий реализовали атакующие
368
инцидента выявил глобальный SOC Innostage CyberART
Количество и география этичных хакеров
Приглашены зарубежные команды атакующих
10
команд атакующих из Испании, Великобритании, Индии и Китая
Отрасли виртуального цифрового города
Инфраструктура полигона состояла из шести ранее представленных отраслей экономики, в которые добавились новые объекты.
Важная новация в архитектуре киберполигона - атаки на промышленные коммутаторы.
Технологический стек:
Новые инструменты для мониторинга событий на объектах киберполигона:
- PT Application Inspector - инструмент для выявления уязвимостей в приложениях с использованием статического (SAST), динамического (DAST) и интерактивного (IAST) методов анализа.
- PT XDR - решение класса Extended Detection and Response для выявления киберугроз и реагирования на них. Эффективный и удобный инструмент для SOC-команд.
Полный разбор кибербитвы экспертами Innostage
2023
Март
Первый в России межвузовский центр противодействия киберугрозам готов к запуску
Innostage при поддержке технологических партнёров Positive Technologies и CyberOK обеспечила MSSP SOC передовыми решениями для мониторинга и реагирования на инциденты.
Была разработана масштабная образовательная программа для высших учебных заведений, которая включает в себя теоретическую и практическую часть.
Студенты получили уникальную возможность вплотную работать с реальными инцидентами уже во время учебы.
Май
Наша роль
Этап подготовки
Помощь в построении полигона:
- Установка и настройка средств защиты и мониторинга событий ИБ для команд
- Подключение источников событий (АРМ, серверы, СЗИ) к средствам мониторинга и проверка их работоспособности
- Инвентаризация и сканирование инфраструктуры
- Проверка реализации атак с помощью красной команды
- Усиление защищенности (hardening) инфраструктуры мониторинга глобального SOC и команды защиты
- Контроль поступления событий со всех источников на киберполигоне
Этап киберучений
1. Глобальный SOC Standoff:
- Мониторинг инцидентов и цепочек атак.
- Ведение каждой атаки от момента проникновения до реализации недопустимого события
- Судейство Red/Blue Teams
- Атрибуция красных команд
- Проверка отчетов команд атакующих
- Проверка отчетов команд защиты
+ платформа
2.
Визуализация цепочек атак на собственной платформе агрегации и управления данными Innostage InnTelligence
3.Поддержка средств защиты и мониторинга: оперативное восстановление систем, ставших жертвой атак «красных»
Цифры
увеличилось кол-во НС
135
уникальных недопустимых событий заложено организаторами
Количество и география этичных хакеров
в 2 раза больше
20
команд атакующих
Отрасли виртуального цифрового города
Жилищно-коммунальная
Транспортная
Металлургия
Нефтегазовая
Энергетическая
Финансовая
Атомная
Осуществляется освещение улиц, кондиционирование офисных зданий, обслуживание систем видеонаблюдения, водозаборных и водоочистных сооружений, платных парковок. В ведении находятся рекламные экраны и парк развлечений. В бизнес-центре расположены офисы разных компаний (управляющая компания City)
Размещены железная дорога, аэропорт и морской порт. Осуществляется управление светофорной системой (компания Heavy Logistics)
Располагаются рудный двор с роторным экскаватором и конвейером, доменная печь, кислородно-конвертерный цех, прокатный стан и машина непрерывного литья заготовок. Металлопрокат транспортируется покупателям со склада готовой продукции (компания «МеталлиКО»)
Осуществляется добыча, переработка, хранение и сбыт нефти и газа. В числе активов — месторождение, нефтеперерабатывающий завод, трубопроводы с насосными станциями, резервуарный парк, железнодорожный узел налива нефтепродуктов и газораспределительная станция (компания Tube)
Электричество вырабатывается на ТЭЦ и ГЭС, а также ветрогенераторами и солнечной станцией. По ЛЭП электроэнергия передается до подстанций, которые питают города, заводы и транспорт. Все подстанции управляются из единого центра диспетчерского управления (ЦДУ). Умные счетчики отправляют показания напрямую в энергетическую компанию (компания Электроэнергетика)
Финансовый регулятор — Central Bank of the Standoff. На нижнем уровне работают 3 коммерческих банка: Commercial Bank of the Standoff, First Partner Bank и 3Great Bank. С помощью платформы ДБО «eKassir» работают мобильные и онлайн-платежи, кассы и банкоматы. Доступна оплата с помощью QR-кодов и система быстрых платежей (Банковская система)
Главные элементы отрасли – АЭС и завод по обогащению урана. Электричество вырабатывается на единственном энергоблоке АЭС с водо-водяным реактором. Турбина АЭС вращает генератор, который через подстанцию №3 отдает вырабатываемую электроэнергию в сеть.
Технологический стек:
+ новинка
Innostage InnTelligence
Innostage IRP
MaxPatrol SIEM
PT Application Firewall
PT Network Attack Discovery
PT MaxPatrol
PT Sandbox
PT Industrial Security Incident Manage
PT BlackBox
PT Application Inspector
PT XDR
Платформа агрегации и управления данными по принципу «единого окна»
Позволяет выстраивать эффективные процессы управления инцидентами ИБ
Система выявления инцидентов ИБ, дает полную видимость IT-инфраструктуры
Межсетевой экран уровня веб-приложений, предназначенный для защиты веб-ресурсов организации
Система поведенческого анализа сетевого трафика (NTA) для обнаружения зараженных узлов, нарушений политик безопасности и инсайдеров
Система контроля защищённости и управления уязвимостями
Песочница для риск-ориентированной защиты с возможностью кастомизации виртуальных сред, позволяющая защититься от целевых и массовых атак с применением современного вредоносного ПО и угроз нулевого дня
Программно-аппаратный комплекс глубокого анализа технологического трафика
Сканер безопасности приложений, работающий методом черного ящика
Инструмент для выявления уязвимостей в приложениях с использованием статического (SAST), динамического (DAST) и интерактивного (IAST) методов анализа
Решение класса Extended Detection and Response для выявления киберугроз и реагирования на них. Эффективный и удобный инструмент для SOC-команд
Команда Innostage в Standoff 11
Standoff 11 состоится в рамках киберфестиваля Positive Hack Days 2023, который будет проходить 19 и 20 мая в Москве на территории Парка Горького.
В организации кибербитвы Standoff принимают участие 45 человек компании Innostage.
Это опытные эксперты по кибербезопасности, в том числе специалисты первой линии мониторинга.
14
человек
Проверка отчетов команд атакующих
8
человек
Проверка отчетов команд защитников
9
человек
Мониторинг инцидентов (продвижения шагов атакующих)
14
человек
Настройка и сопровождение инфраструктуры и средств защиты информации киберполигона
Калинин Антон
Product Owner киберполигона «Мертвый город»
Кузьмин Антон
Технический директор Innostage
Лобзин Алексей
Руководитель по развитию сервисов киберзащиты центра противодействия киберугрозам Innostage CyberART
Матвеев Дмитрий
Демонстрация цепочек атак от судейского SOC Standoff
Акимов Максим
Руководитель центра противодействия киберугрозам Innostage CyberART
Хисматуллина Гузель
Руководитель глобального SOC кибербитвы Standoff
Дубовик Анна
Заместитель технического директора Innostage
Хохлов Олег
Руководитель инженерного стека Standoff
Новости
2023
2022
2021
2020
