Три дня подряд десять команд этичных хакеров со всего мира* в рамках Standoff 10 (18+) пытались вывести деньги с клиентских счетов в банке, нарушить работу нефтегазовой отрасли, транспорта и реализовать другие недопустимые события на макете виртуального государства, построенном на настоящих физических IT-системах и контроллерах. Шесть команд защитников наблюдали за действиями атакующих и расследовали инциденты. Одновременно с этим Positive Technologies запустила программу bug bounty (18+), ориентированную не просто на поиск технических уязвимостей, а на реализацию ключевого для компании недопустимого события — хищения денег со счетов. Багхантер, который сможет сделать это первым, получит беспрецедентное вознаграждение в 10 млн рублей, сообщает ИА PrimaMedia.
Одним из немногих способов, гарантирующих объективную и всеобъемлющую проверку защищенности компании, является расширение и разнообразие атакующей экспертизы. Поэтому Positive Technologies запустила открытую для всех исследователей программу bug bounty с уникальными условиями на платформе Standoff 365**, объединяющей сегодня более 3000 багхантеров. Программа не ограничена по времени, то есть компания будет длиться непрерывно вплоть до реализации неприемлемого сценария. В отличие от классических bug bounty, здесь этичным хакерам разрешено использовать для проникновения практически любые способы проведения удаленных атак (включая социальную инженерию).
Юбилейный Standoff 10. Фото: Фото: предоставлено Positive Technologies
Кроме того, на Standoff 10 эксперты в сфере ИБ рассказали, как злоумышленники атаковали российские компании в 2022 году, выделили ключевые тенденции отрасли и дали прогнозы на следующий год. Одними из главных трендов 2022 года названы атаки на цепочку поставок (supply chain attack) и взломы через внешние зависимости, в том числе в опенсорсных инструментах. В 2023 году эксперты прогнозируют вторую волну кибератак на российский сегмент интернета, которые будут уже не массовыми, а целенаправленными, сложными и хорошо подготовленными. В прямом эфире гости обсуждали и другие, наиболее острые проблемы отрасли: замену ПО иностранных вендоров, развитие отечественного опенсорса, атаки шифровальщиков, при которых невозможно заплатить выкуп.
По итогам кибербитвы первое место среди команд атакующих заняла команда Hexens Academy, второе место — Stun, а третье — Straw Hat. Больше всего событий реализовала команда Straw Hat: на их счету пять недопустимых событий в трех сегментах Государства F. В итоге "красные" реализовали 19 недопустимых событий, 8 из них уникальные (можно было реализовать 96 уникальных событий).
Две команды защитников ЖКХ и транспорта расследовали семь из восьми событий, реализованных в их сегментах. Еще три команды расследовали по одному событию, с которыми столкнулись их отрасли. Среднее время расследования по всем командам — 6 часов 21 минута.
Заключительный день кибербитвы запомнится распространением вируса-шифровальщика в банковской системе, которое продемонстрировала команда Stun. Аналогичный случай произошел в 2020 году с крупнейшим банком Чили: из-за действий хакеров работа всех отделений финансовой организации была остановлена на несколько дней.
*Команды атакующих на Standoff 10: ActivateWindows (Индия), Azure Assassin Alliance (Китай), Click n Get (Индонезия), Flaggermeister (Испания), Hexens Academy (интернациональная), LingwuLab (Китай), Never Stop Exploiting (Китай), Straw Hat (Китай), Stun (интернациональная), 7h3B14ckKn1gh75 (Великобритания).
**Платформа Standoff 365 объединяет компании и исследователей безопасности для поиска уязвимостей и оценки защищенности организаций. Помимо традиционного формата поиска уязвимостей, она впервые предлагает новый механизм вознаграждения за реализацию недопустимых событий.
