В какой‑то мере Standoff мож­но наз­вать симуля­тором APT, толь­ко слож­ные и мно­гоуров­невые ата­ки силь­но сжа­ты во вре­мени. Но это и хорошо, ведь даже эти три‑четыре дня дают­ся игро­кам нелег­ко.

Сам город сущес­тву­ет в виде макетов — мож­но круг­лые сут­ки сле­дить за ними онлайн или най­ти их на PHDays в зоне Standoff. Если что‑то слу­чает­ся, это вид­но и на макете. То есть, ког­да ты пус­каешь под откос поезд, он по‑нас­тояще­му схо­дит с рель­сов и ты можешь в пря­мом эфи­ре наб­людать за резуль­татами сво­их (и чужих) атак.

Все объ­екты — это не прос­то под­делки под реаль­ные сис­темы, а нас­тоящие SCADA-кон­трол­леры, ана­логич­ные тем, что исполь­зуют­ся на реаль­ных объ­ектах вро­де заводов или сис­тем очис­тки воды. Такой под­ход поз­воля­ет убить двух зай­цев сра­зу: игро­ки с обе­их сто­рон получа­ют опыт, мак­сималь­но приб­лижен­ный к реаль­ному, а служ­бы безопас­ности потом смо­гут защитить нас­тоящие пред­при­ятия от обна­ружен­ных атак.

Новый год, новый город

В этом году учас­тни­ков жда­ли семь отраслей, которые есть прак­тичес­ки в каж­дом государс­тве:

• бан­ков­ская сис­тема — нес­коль­ко бан­ков и пла­теж­ная сис­тема с плас­тиковы­ми кар­точка­ми и сис­темой эквай­рин­га;
  


• ме­тал­лопере­раба­тыва­ющая про­мыш­ленность — метал­лурги­чес­кий ком­бинат «Метал­лиКО»;
  


• ло­гис­тичес­кая сис­тема;
  


• ме­нед­жмент в лице управля­ющей ком­пании City (к ней отно­силась в том чис­ле боль­ница);
  


• энер­гетичес­кая сис­тема;
  


• атом­ная про­мыш­ленность (была пред­став­лена атом­ной стан­цией);
  


• неф­тегазо­вая про­мыш­ленность.
  

Где‑то треть инфраструк­туры была новой и на прош­лых сорев­новани­ях не встре­чалась. Сре­ди новинок: атом­ная стан­ция, боль­ница, бан­ков­ская сис­тема и кар­точки. Инфраструк­туру метал­лурги­чес­кой и неф­тегазо­вой ком­пании тоже серь­езно изме­нили, да и управля­ющая ком­пания не оста­лась преж­ней. Забегая впе­ред, ска­жу, что все отрасли пос­тра­дали в ходе атак, но некото­рые объ­екты ока­зались нас­толь­ко боль­шими, что ни одна коман­да не смог­ла иссле­довать их пол­ностью.

Реальные угрозы

Фак­тичес­ки на Standoff ата­кующим пред­став­ляет­ся воз­можность сво­ими руками при­кос­нуть­ся к самым важ­ным объ­ектам в жиз­ни любого города — от бан­ка до атом­ной стан­ции. В реаль­нос­ти такие про­дел­ки закон­чились бы тюрь­мой, но Standoff поз­воля­ет поп­робовать зап­ретный плод без вся­ких рис­ков. Для тех, кому инте­рес­но, как это выг­лядит изнутри, такие киберу­чения — иде­аль­ная воз­можность.

«Во вре­мя пен­тестов реаль­ного заказ­чика ник­то не даст оста­новить колесо обоз­рения или сло­мать атом­ную стан­цию. На Standoff есть воз­можность дой­ти до кон­ца: украсть день­ги, нарушить работу неф­тепере­раба­тыва­юще­го завода или метал­лурги­чес­кого ком­бината. Крас­ным коман­дам это инте­рес­но: они могут реали­зовать боль­шинс­тво сво­их задумок без каких‑либо огра­ниче­ний», — Антон Калинин, руково­дитель груп­пы экспертно­го обу­чения и нас­тавни­чес­тва Innostage

Ха­керы не толь­ко напада­ют на инфраструк­туру вир­туаль­ного города, но и дол­жны затем написать отчет, ина­че не получить бал­лы (всё как в жиз­ни!). Такие отче­ты помога­ют защит­никам луч­ше понять, что про­исхо­дит и как бороть­ся с такими ата­ками в будущем.

Недопустимые события

В Standoff есть так называ­емые недопус­тимые события — кри­тич­ные для биз­неса ситу­ации, при воз­никно­вении которых ком­пания‑жер­тва понес­ла бы убыт­ки. Кро­ме оче­вид­ных, вро­де оста­нов­ки ядер­ного реак­тора или раз­ливания жид­кого метал­ла на работ­ников завода, есть и менее зре­лищ­ные, но не менее раз­рушитель­ные для биз­неса: утеч­ка дан­ных кли­ентов или рас­простра­нение во внут­ренней сети вируса‑вымога­теля.

Каж­дое недопус­тимое событие нуж­но пра­виль­но офор­мить и отпра­вить отчет орга­низа­торам — они под­твер­дят, что событие дей­стви­тель­но про­изош­ло, и помогут улуч­шить отчет, если с ним что‑то не так. Эти события заранее опи­саны, так что все коман­ды находят­ся в рав­ных усло­виях и не могут получать бал­лы за раз­бушевав­шуюся фан­тазию. А жаль, ведь иног­да заранее опре­делен­ных рис­ков не хва­тает.

Век­торы атак очень силь­но напоми­нают те, что встре­чают­ся в реаль­ной жиз­ни: одни хакер­ские груп­пиров­ки иног­да исполь­зуют наработ­ки дру­гих, и их сов­мес­тная ата­ка раз­вива­ется еще быс­трее.

«Пер­вое недопус­тимое событие далось дос­таточ­но прос­то: какая‑то из команд вез­де отклю­чила анти­виру­сы на сис­темах, куда мож­но было доб­рать­ся через фишинг, и это помог­ло нам быс­тро получить дос­туп во мно­гие сети, вклю­чая City. А далее по исполь­зован­ным в пре­дыду­щих Standoff век­торам мы получи­ли дос­туп к докумен­там ком­пании», — учас­тник из коман­ды Invuls

«Мы быс­тро сори­енти­рова­лись бла­года­ря опы­ту пре­дыду­щих сорев­нований и с нас­коку оста­нови­ли гид­роэлек­трос­танцию», — учас­тник из коман­ды DRT & Cult

Соревнование

Хоть в этот раз Standoff был при­уро­чен к кон­ферен­ции PHDays (19–20 мая), сама кибер­битва началась на нес­коль­ко дней рань­ше — 17 мая. За эти нес­коль­ко допол­нитель­ных дней коман­ды ата­кующих успе­ли иссле­довать сеть и зак­репить­ся на некото­рых объ­ектах.

«С каж­дым разом орга­низа­торы и соз­датели кибер­полиго­на вно­сят изме­нения, улуч­шая и опти­мизи­руя про­цесс игры. Инфраструк­тура Standoff ста­ла замет­но ста­биль­нее, тех­поддер­жка ста­ла работать опе­ратив­нее, появи­лось мно­го новых инте­рес­ных недопус­тимых событий», — учас­тник из коман­ды DRT & Cult

Теги: CSS