Белые хакеры устроили катастрофу в виртуальном городе России

В России на крупнейших открытых киберучениях The Standoff снова пытались взломать виртуальный город-государство. Инфраструктуру кибергорода дали проверить на прочность этичным хакерам (которые взламывают системы, чтобы выявить слабые места). Из-за успешной кибератаки его залило нечистотами.

Белые хакеры реализовали 19 недопустимых событий

Уязвимости в течение 35 часов в режиме нон-стоп искали 10 сильнейших команд белых хакеров. Им противостояли специалисты по информационной безопасности. За битвой наблюдали 65 тысяч человек из десятков стран мира. Разлив нефти, взрыв на газораспределительной станции, отключение линий электропередачи на подстанции — это лишь малая часть того, что могло произойти. Все эти сценарии были смоделированы по мотивам реальных инцидентов.

Недопустимые события в виртуальном городе удалось реализовать 19 раз, шесть из них были уникальными. «Самый масштабный инцидент организовали нападающие из команды Codeby&NitroTeam: им удалось нарушить работу очистных сооружений и несколько миллионов литров нечистот вылилось в окружающую среду. Попытки устроить подобные атаки в реальности происходят регулярно и, к сожалению, довольно часто имеют успех», — рассказали в компании Positive Technologies, которая является организатором мероприятия.

По итогам битвы на счету Codeby&NitroTeam реализация — шесть недопустимых событий. По итогам конкурса она заняла первое место среди атакующих. Реализовать наиболее критические сценарии — за вычетом аварии на очистных сооружениях, — у атакующих не получилось.

Новая платформа для киберучений на постоянной основе

В этом году важнейшим событием The Standoff стал анонс открытой онлайн-платформы для проведения полноценных киберучений на постоянной основе — The Standoff 365. «Платформа стала ответом на появившийся в индустрии запрос на измеримую и результативную защищенность, подразумевающую, что критические риски для компании, отрасли или страны не должны быть реализованы. Платформа состоит из киберполигона, на котором воссозданы операционные и бизнес-процессы топливно-энергетического комплекса. Уже в декабре завершится бета-тестирование. А в мае 2022 года платформа будет круглосуточно доступна этичным хакерам и специалистам по расследованию киберинцидентов со всего мира 365 дней в году», — прокомментировали в Positive Technologies.

В компании добавили, что участники мероприятия увидели в действии метапродукт MaxPatrol O2 для автоматического обнаружения и нейтрализации кибератак. Параллельно The Standoff, в реальном времени можно было наблюдать за тем, как сборная команда хакеров из нескольких разных компаний производит атаки на реальную инфраструктуру Positive Technologies. Опыт, полученный в ходе открытых киберучений, будет использован для дальнейшего развития метапродуктов Positive Technologies и, в частности, MaxPatrol O2, который позволяет обнаруживать и останавливать атаки злоумышленников в автоматическом режиме с эффектом, измеримым с силами одного человека. Он поможет решить проблему серьезного дефицита квалифицированных кадров в индустрии, сделать результативную кибербезопасность доступной для отдельных компаний, отраслей и даже государств и защитить бизнес по всему миру.

Смарт-контракты не прошли проверку на безопасность

На мероприятии также прошел трек The Standoff Young Hats для молодых специалистов по информационной безопасности, которые представили свои доклады на исследовательскую тему. «Positive Technologies стремится поддерживать молодых экспертов, инвестируя в развитие сообщества и в собственные кадры. Это игра вдолгую, но если компания всерьез озабочена стратегическим развитием, то необходимо брать на себя такую нелегкую задачу, как системное выращивание будущих специалистов», — отметили в компании.

На конкурсе The Standoff Digital Art, который состоялся в рамках The Standoff, также проверили защищенность смарт-контрактов. Шесть диджитал-художников предоставили для конкурса свои работы в виде NFT. Экспертам по информационной безопасности предлагалось найти уязвимости и переписать смарт-контракты, чтобы присвоить NFT себе. По итогам все шесть смарт-контрактов были успешно взломаны. NFT и блокчейн в целом — среди самых обсуждаемых на сегодняшний день технологий, и основной целью конкурса было привлечь дополнительное внимание к вопросу их защищенности.