Компания «Инфосистемы Джет» в третий раз приняла участие в главной кибербитве года The Standoff («Противостояние»), которая прошла 21-22 мая на международном форуме по практической безопасности Positive Hack Days 9. За контроль над инфраструктурой виртуального мегаполиса F 28 часов непрерывно сражались 18 команд атакующих и 5 команд защитников при поддержке 3 экспертных центров безопасности (SOC). Интегратора в соревновании представляли сразу две команды. Jet Security Team впервые выступила расширенным составом: отражать атаки на вверенный ей офис морской транспортной компании Heavy Ship Logistic помогали специалисты Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT. Тщательная подготовка, высокие компетенции в области ИБ и слаженность действий принесли Jet Security Team первое место среди защитников по итогам конкурса. Другая команда Jet Antifraud Team выявляла и пресекала попытки мошеннических действий с банковскими счетами и, по условиям соревнования, сражалась в кибербитве вне рейтинга. Усилиями команды за все время «Противостояния» не была пропущена ни одна атака на банк и его сервисы.
Защищаемая участниками Jet Security Team компания Heavy Ship Logistic имела сайт, на котором были указаны ее руководители, включая гендиректора и главного бухгалтера. Инфраструктура офиса включала сервер Exchange Server, несколько веб-серверов, домен-контроллер, рабочие станции, файловые серверы и серверы приложений. Для защиты ИТ-ландшафта вверенного сегмента специалисты использовали комплексное решение, применяемое компанией «Инфосистемы Джет» в реальных проектах: межсетевой экран, межсетевой экран уровня приложений (web application firewall, WAF), антивирус и решение для защиты конечных узлов (Endpoint Detection and Response, EDR), а также систему мониторинга событий ИБ (SIEM-систему). Чтобы усилить действие выбранных средств защиты, участники команды заранее выполнили анализ и «харденинг» защищаемых систем — отключили небезопасные настройки операционной системы и веб-приложений, что позволило добиться максимального эффекта при противодействии атакам.
По условиям конкурса, в инфраструктуре виртуального мегаполиса заведомо были оставлены уязвимые места, обнаружив которые, хакеры смогли бы развить атаку и захватить контроль над атакуемым объектом. Примером таких лазеек стал типовой незащищенный веб-сервер, имевшийся у каждой команды защиты. Именно его нападающим и удалось взломать после продолжительной разведки у всех, включая Jet Security Team. Однако специалисты «Инфосистемы Джет» смогли уложиться в отведенное им по правилам игры время и предотвратить дальнейшее распространение атаки, избежав штрафов от организаторов за неработающий сервис.
«Наиболее высокая активность со стороны хакеров началась утром второго дня, когда последовала целая серия непрекращающихся попыток взлома веб-сервисов путем перебора паролей учетных записей. Но реально нащупать возможный вектор атаки и развить его дальше у атакующих не получалось. Примерно за час до финала соревнования, чтобы придать драматизма происходящему, организаторы устроили “утечку” нескольких учетных записей, в т.ч. и работников нашего виртуального офиса. Хакеры тут же воспользовались этой лазейкой, подключились к нам через VPN-сервер и начали активную сетевую разведку. Мы оперативно выявили и заблокировали атаку. Так как правила мероприятия требовали от нас обосновывать все превентивные действия, специалисты Jet CSIRT провели оперативный анализ произошедшего и собрали необходимые доказательные материалы о факте компрометации учетных записей. После этого мы сменили пароли от них и предоставили доказательства организаторам. Все действия выполнили четко и оперативно, так что антивирус и EDR оказались не задействованными», — поделился капитан Jet Security Team Илья Сапунов, руководитель группы проектирования Центра информационной безопасности «Инфосистемы Джет».
За время соревнования специалисты Jet CSIRT с помощью системы FortiSIEM от Fortinet обработали порядка 200 млн событий ИБ, произошедших в вверенном Jet Security Team сегменте. После применения правил корреляции из этого количества были отобраны 4 тысячи инцидентов, 200 из которых стали наиболее значимыми для аналитики.
«Мы обрабатывали 2800 событий в секунду. Основная сложность была в том, что у нас не было возможности подготовить инфраструктуру в столь сжатые сроки так, чтобы устранить все ложные срабатывания. Проводя мониторинг, нам постоянно приходилось вычленять важные события из потока ложных либо незначительных срабатываний, которые можно было запрофилировать как некритичные. Другими словами, мы должны были оперативно реагировать на атаки и в то же время следить за доступностью сервисов, чтобы не потерять очки на штрафах. В реальной жизни у нас, разумеется, было бы гораздо больше времени на подготовку и организацию взаимодействия всех участников команды, а кроме того, мы бы просто не позволили оставаться таким откровенным уязвимостям в инфраструктуре», — отметил участник команды Jet Security Team Алексей Мальнев, руководитель Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».
Команда Jet Antifraud Team для защиты банковских счетов мирных жителей виртуального мегаполиса использовала собственную разработку компании «Инфосистемы Джет» — кроссканальную платформу Jet Detective. Путем применения экспертных правил и ML-моделей система определяла легитимность каждой транзакции и отправляла решение по финансовой операции в банк. Задачу по сбору дополнительных параметров устройств, с которых осуществлялся доступ на веб-сервисы банка, а также контроль сессионной аналитики специалисты реализовывали при помощи решения Group-IB. Всего за время «Противостояния» Jet Antifraud Team детектировала и заблокировала около 20 тысяч попыток нелегитимных переводов и порядка 100 скомпрометированных доступов в интернет-банк.
«Самым интересным было полное отсутствие какой-либо информации о банковских счетах и поведении пользователей на старте. Поэтому поначалу нам пришлось непросто — потребовалось собрать статистику. Однако, как только нам удалось набрать необходимый набор данных, отражать попытки фрода стало проще. Мы наблюдали за тем, какие транзакции, с каких устройств и с какой частотой проводились, и на основании этого делали прогноз о последующих операциях. Утром второго дня участники нападающей стороны подслушали наши разговоры и завладели некоторой информацией о применяемых нами средствах защиты, после чего мы зафиксировали всплеск активности атакующих. Но мы были к этому готовы и отразили абсолютно все попытки похитить деньги из банка», — прокомментировала Екатерина Абросимова, эксперт отдела по противодействию мошенничеству Центра прикладных систем безопасности компании «Инфосистемы Джет».