Positive Technologies раскрыла подробности защиты мультиспортивного фиджитал-турнира «Игры Будущего» от кибератак

На киберфестивале Positive Hack Days команда PT Expert Security Center (PT ESC) и представители «Игр Будущего» рассказали о том, как были предупреждены инциденты безопасности, которые могли привести к реализации недопустимых для турнира событий.

Positive Technologies выступила ключевым партнером по кибербезопасности первого международного мультиспортивного турнира «Игры Будущего». В ходе мероприятия специалисты PT Expert Security Center выявили и оперативно устранили около 200 инцидентов ИБ. При этом те инциденты, которые могли привести к недопустимому для турнира ущербу, допущены не были. Хакерская активность была своевременно обнаружена и остановлена. Блокирование всех детектируемых угроз происходило автоматизированно за несколько минут. Развернутый на базе технологий Positive Technologies центр противодействия угрозам (ЦПК) консолидировал события безопасности и оповещения о попытках атак со всей ИТ-инфраструктуры мероприятия, включавшей 2000 активов. Вторым пилотом для киберзащиты «Игр Будущего» стал MaxPatrol O2, который анализировал 100% срабатываний средств защиты и помогал не пропускать активности, похожие на деятельность злоумышленников.

Кибербезопасность «Игр Будущего» обеспечивалась с использованием лучших практик защиты событий федерального масштаба в тесном сотрудничестве с ведущими игроками отечественного рынка ИБ. Непосредственное участие в реализации мероприятий по кибербезопасности приняли Минцифры РФ и Национальный координационный центр по компьютерным инцидентам (НКЦКИ), которые организовали эффективное взаимодействие всех вовлеченных сторон.

Для защиты «Игр Будущего» Positive Technologies применила комплексный подход, ориентированный на результативную кибербезопасность. В тесном взаимодействии с командой «Игр будущего» эксперты Positive Technologies определили недопустимые для мероприятия события, в число которых вошли остановка турнира, прерывание трансляции или подмена транслируемого контента, кража данных участников и гостей мероприятия. А также создали все необходимые меры для полной защиты от них. Эксперты Positive Technologies принимали активное участие на всех стадиях подготовки турнира: от консалтинга по вопросам информационной безопасности, аудита защищенности, усиления ИТ-инфраструктуры и внедрения средств защиты до разработки процессов обеспечения ИБ и проведения киберучений. При этом развернуть боевую систему защиты (центра противодействия угрозам со всеми необходимыми интеграциями с 2000 ИТ-активов) требовалось за несколько дней: это было обусловлено особенностями создания ИТ-инфраструктуры мероприятия.

На турнире центр противодействия киберугрозам (ЦПК) обеспечивал непрерывный мониторинг безопасности всей ИТ-инфраструктуры мероприятия, проактивный поиск угроз, а также оперативное реагирование на выявленные инциденты. ЦПК контролировал 2000 активов ИТ-инфраструктуры мероприятия и был развернут экспертами PT ESC с использованием системы мониторинга событий ИБ и выявления инцидентов MaxPatrol SIEM.

Операторами и аналитиками ЦПК «Игр Будущего» с помощью MaxPatrol SIEM было обработано более 6000 оповещений, средний поток событий безопасности составлял 10 000 событий в секунду. Система была интегрирована с продуктами Positive Technologies и средствами защиты информации других вендоров, являясь единой точкой консолидации событий безопасности и оповещений об атаках, поступающих с 2000 IT-активов. Продукт показал свою результативность при работе с распределенной инфраструктурой, включающей более 10 площадок.

Существенная часть выявленных инцидентов была связана с попытками заражения узлов инфраструктуры вредоносным ПО. Среди прочего злоумышленники проводили сетевую разведку, сканировали ресурсы в поиске уязвимых мест, а также создали фишинговые домены. Благодаря оперативным действиям специалистов PT Expert Security Center на «Играх будущего» хакеры не смогли совершить ни одной успешной атаки, которая повлекла бы за собой недопустимые последствия.

Одним из продуктов, которые обнаруживали хакерские активности, стала система Network Attaсk Discovery (PT NAD). Команда PT Expert Security Center заранее установила систему в инфраструктуру турнира для анализа сетевого трафика и превентивного определения в нем угроз. Продукт помог обеспечить защиту мероприятия от возможных DDoS-атак — еще до начала Игр PT NAD собирал IP-адреса, с которыми коммуницируют игровые компьютеры в постоянном режиме, чтобы иметь актуальный белый список IP-адресов. Во время турнира система поведенческого анализа сетевого трафика PT NAD обнаружила и помогла специалистам ЦПК вовремя отреагировать на опасные активности, которые могли бы повлиять на безопасность состязаний: RAT-утилиты и VPN-клиенты. Согласно опыту Positive Technologies, они входят в список самых популярных хакерских инструментов. Более 80% всех выявленных инцидентов информационной безопасности на турнире было зафиксировано с помощью PT NAD. Помимо этого, PT NAD помогал техническим специалистам турнира решать IT-задачи, а именно контролировать выполнение требований по настройке IT-систем и проводить ревизию оборудования.

Для защиты турнира от кибератак команда ЦПК использовала и другие продукты Positive Technologies. MaxPatrol EDR помогал оперативно реагировать на инциденты безопасности и устранять угрозы на конечных устройствах в течение нескольких минут. Продукт MaxPatrol VM помогал выстраивать процесс управления уязвимостями, сообщая о трендовых уязвимостях в течение 12 часов с момента появления о них информации во внешних источниках.

MaxPatrol EDR также контролировал безопасность тренировочной площадки киберспортсменов. Продукт оперативно обнаружил, как на один из узлов были скачаны потенциально опасные программы, и позволил удалённо заблокировать данный узел и распространение вредоносных файлов. Если бы на устройстве не был установлен агент MaxPatrol EDR, специалистам по ИБ пришлось бы потратить много времени на обход всего буткемпа, который состоял из 150 узлов. Более того, с учетом сложности доступа к площадке буткемпа и его специфики инцидент был бы практически нерешаемым. Еще один сценарий использования — защита устройств вне периметра «Игр будущего», в том числе удаленных пользователей, которые подключались к инфраструктуре по VPN. Например, благодаря содержащейся в MaxPatrol EDR экспертизе удалось определить сетевой вектор атаки на одну из удаленных площадок.

В состав центра противодействия угрозам также вошли песочница PT Sandbox, которая защищала инфраструктуру мероприятия от вредоносного ПО и помогала выявлять майнеры криптовалют и рекламное ПО, и межсетевой экран уровня веб-приложений PT Application Firewall, который обеспечивал безопасность внешних ресурсов «Игр Будущего».

Вторым пилотом в решении задач кибербезопасности фиджитал-турнира стал метапродукт MaxPatrol О2: автопилот в области ИБ на протяжении всего фиджитал-турнира работал параллельно с командой ЦПК, получая информацию со всех сенсоров — перепроверял события от средств защиты и предлагал команде обратить внимание на самые подозрительные активности.

Ещё до начала мероприятия эксперты настроили расширенный сбор событий с систем в инфраструктуре. Это была необходимая мера, которая позволила увеличить шансы на обнаружение злоумышленников, но при этом повысила число оповещений, регистрируемых продуктами-сенсорами. В результате ежедневное количество срабатываний, требующих внимания экспертов ЦПК, доходило до 500, в то время как MaxPatrol О2 доводил до аналитика только 2-4 цепочки подозрительной активности. Фактически, метапродукт фиксировал в 100 раз меньшее число срабатываний, которые могли являться действиями злоумышленников и требовали внимания экспертов. Благодаря тому, что метапродукт проводит автоматический анализ, трудозатраты на разбор одного события сокращаются в десятки раз. В то время как команда ЦПК ежедневно тратила на работу с сенсорами около 80 человеко-часов, среднее количество времени, которое требовалось на анализ цепочек в MaxPatrol О2, составляло от одного до полутора часов в день.