Что будет, если разрешить белым хакерам В С Ё
Кибербитва Standoff каждый раз выходит за рамки привычных форматов — мы создаем новые интересные активности для исследователей. В июне на Standoff 17 впервые появилась Endpoint Hack Zone: мы собрали в одном месте шесть команд атакующих и дали им задачу — найти способ обойти наше решение для защиты конечных устройств MaxPatrol Endpoint Security. И такого формата раньше не было в индустрии.
Для участников было только одно правило: действуйте как угодно, никаких запретов.
Во-первых, так гораздо интереснее самим исследователям. Во-вторых, нам было важно проверить защиту решения в условиях, максимально приближенных к реальным атакам, а не в формате «сюда не ходите, это не трогайте, а тут у нас вообще технический перерыв».
Предоставление устойчивой и непробиваемой защиты для нас — приоритет номер один. Поэтому мы устроили максимально трушную проверку: дали исследователям те же возможности, что есть у настоящих атакующих, и посмотрели, что из этого получится. Результаты нас удивили — расскажем о них дальше.
Что мы дали командам 😳
• Актуальную версию MaxPatrol Endpoint Security с новыми модулями — «АнтиШифровальщик» и «контроль устройств». Решение включает два продукта: MaxPatrol EDR — для защиты от сложных и целевых атак, и MaxPatrol EPP — для защиты от массовых угроз, который мы относительно недавно вывели на рынок.
• Инфраструктуру из пяти виртуальных машин и одного физического устройства — ноутбука, к которому можно было подключить USB-накопитель.
• Девять критических для нашего решения событий, которые команды должны были попытаться реализовать:
1. Шифрование данных
2. Повреждение резервной копии
3. Создание файла в защищенной директории агента
4. Принудительное завершение процесса агента
5. Внедрение кода в процесс агента
6. Удаленное отключение Linux-агента
7. Запуск вредоносного семпла malware.exe из папки C:\Users\Administrator\Desktop\
8. Установка руткита в систему
9. Копирование файла с целевой системы на съемный USB-носитель
У исследователей был доступ в интернет, они могли приходить со своими ноутбуками и инструментами, скачивать все необходимое — главное было успеть реализовать сценарии за 3,5 часа.
Какие результаты мы получили 🧐
• Ни одной команде не удалось реализовать все критические события. Отметим, что именно с попыток отключить средства защиты устройств часто начинаются реальные атаки.
• Некоторые критические события все же удалось реализовать: суммарно команды выполнили пять заложенных сценариев. При этом был важный нюанс: мы никак не вмешивались в работу исследователей. В реальной атаке такие действия были бы замечены и остановлены.
• Все найденные векторы атак забрали в разработку — часть уже закрыта в текущей версии, а остальные исправления доставим в следующем минорном релизе в течение нескольких недель. Кроме того, исследователи использовали разные подходы и инструменты, а значит, наши эксперты получили более широкий взгляд на возможные сценарии атак.
• И, конечно, мы получили крутой фидбэк: участники отметили, что раньше никто не проводил проверки в подобном формате, а сам подход оказался действительно интересным. Теперь команды хотят протестировать в таком формате и другие наши продукты.
😎 В общем, подобных проверок мы не боимся — для нас важнее уверенность в том, что наши продукты действительно непробиваемы. Мы открыты к новым форматам тестирования и готовы делать то, на что другие не решаются.
Скоро опубликуем технический разбор: что именно удалось реализовать белым хакерам и как они это сделали — stay tuned.
#MaxPatrolEndpointSecurity
