Рубрик
Что будет, если разрешить белым хакерам В С Ё Кибербитва Standoff каждый раз выходит за рамки привычных форматов — мы создаем новые интересные активности для исследователей. В июне на Standoff 17 впервые появилась Endpoint Hack Zone: мы собрали в одном месте шесть команд атакующих и дали им задачу — найти способ обойти наше решение для защиты конечных устройств MaxPatrol Endpoint Security. И такого формата раньше не было в индустрии. Для участников было только одно правило: действуйте как угодно, никаких запретов. Во-первых, так гораздо интереснее самим исследователям. Во-вторых, нам было важно проверить защиту решения в условиях, максимально приближенных к реальным атакам, а не в формате «сюда не ходите, это не трогайте, а тут у нас вообще технический перерыв». Предоставление устойчивой и непробиваемой защиты для нас — приоритет номер один. Поэтому мы устроили максимально трушную проверку: дали исследователям те же возможности, что есть у настоящих атакующих, и посмотрели, что из этого получится. Результаты нас удивили — расскажем о них дальше. Что мы дали командам 😳 • Актуальную версию MaxPatrol Endpoint Security с новыми модулями — «АнтиШифровальщик» и «контроль устройств». Решение включает два продукта: MaxPatrol EDR — для защиты от сложных и целевых атак, и MaxPatrol EPP — для защиты от массовых угроз, который мы относительно недавно вывели на рынок. • Инфраструктуру из пяти виртуальных машин и одного физического устройства — ноутбука, к которому можно было подключить USB-накопитель. • Девять критических для нашего решения событий, которые команды должны были попытаться реализовать: 1. Шифрование данных 2. Повреждение резервной копии 3. Создание файла в защищенной директории агента 4. Принудительное завершение процесса агента 5. Внедрение кода в процесс агента 6. Удаленное отключение Linux-агента 7. Запуск вредоносного семпла malware.exe из папки C:\Users\Administrator\Desktop\ 8. Установка руткита в систему 9. Копирование файла с целевой системы на съемный USB-носитель У исследователей был доступ в интернет, они могли приходить со своими ноутбуками и инструментами, скачивать все необходимое — главное было успеть реализовать сценарии за 3,5 часа. Какие результаты мы получили 🧐 • Ни одной команде не удалось реализовать все критические события. Отметим, что именно с попыток отключить средства защиты устройств часто начинаются реальные атаки. • Некоторые критические события все же удалось реализовать: суммарно команды выполнили пять заложенных сценариев. При этом был важный нюанс: мы никак не вмешивались в работу исследователей. В реальной атаке такие действия были бы замечены и остановлены. • Все найденные векторы атак забрали в разработку — часть уже закрыта в текущей версии, а остальные исправления доставим в следующем минорном релизе в течение нескольких недель. Кроме того, исследователи использовали разные подходы и инструменты, а значит, наши эксперты получили более широкий взгляд на возможные сценарии атак. • И, конечно, мы получили крутой фидбэк: участники отметили, что раньше никто не проводил проверки в подобном формате, а сам подход оказался действительно интересным. Теперь команды хотят протестировать в таком формате и другие наши продукты. 😎 В общем, подобных проверок мы не боимся — для нас важнее уверенность в том, что наши продукты действительно непробиваемы. Мы открыты к новым форматам тестирования и готовы делать то, на что другие не решаются. Скоро опубликуем технический разбор: что именно удалось реализовать белым хакерам и как они это сделали — stay tuned. #MaxPatrolEndpointSecurity
1 фото
Что будет, если разрешить белым хакерам В С Ё
Рубрики
Информационные технологии и Телеком