MaxPatrol О2 не позволил белым хакерам взломать копию инфраструктуры Positive Technologies на Standoff 13

28.05.2024

В финале кибербитвы Standoff 13, прошедшей в рамках второго киберфестиваля Positive Hack Days, четырем лучшим командам белых хакеров не удалось обойти MaxPatrol O2 и реализовать недопустимые события. Автопилот для результативной кибербезопасности на Standoff работал в режиме реагирования — выявлял и предотвращал атаки до нанесения ущерба цифровым двойникам целевых систем Positive Technologies.

По итогам первого этапа кибербитвы Standoff 13 четыре лучшие команды атакующих — DreamTeam, Cult, DeteAct х SPbCTF и GISCYBERTEAM — вышли в плей-офф. Командам предложили выполнить специальное задание от Positive Technologies — реализовать одно из двух недопустимых событий. За кражу денежных средств со счета компании либо вмешательство в процесс разработки, сборки и доставки ПО победитель получил бы 7,5 млн рублей.

Для проникновения, закрепления и перемещения в полной копии инфраструктуры вендора белые хакеры могли пользоваться любыми инструментами без ограничений. Главное условие — ускользнуть от автономного SOC под управлением MaxPatrol О2. При обнаружении вредоносной активности автопилот предлагал оператору сценарии реагирования, и аналитик немедленно выбивал атакующих и возвращал под контроль захваченные ресурсы.

«Чтобы продемонстрировать возможности MaxPatrol O2 не только обнаруживать хакерские атаки, но и останавливать их с минимальным участием всего лишь одного специалиста, мы решили принять сложный вызов. Противостояние лучших сил — топовых красных команд со Standoff и автопилота с включенным режимом реагирования — завершилось победой MaxPatrol O2. Метапродукт позволил пресечь попытки нападения, не допустив реализации недопустимых событий. В этой битве преимущество было на стороне MaxPatrol O2, но мы рассчитываем на продолжение противостояния и приглашаем команды на следующие кибербитвы Standoff, где результаты могут измениться», — комментирует Антон Тюрин, руководитель экспертизы метапродуктов Positive Technologies.

MaxPatrol O2 в режиме реального времени анализировал срабатывания, поступавшие от сенсоров, которыми выступали такие продукты Positive Technologies, как MaxPatrol SIEM, PT Network Attack Discovery, MaxPatrol EDR, PT Application Firewall, PT Sandbox. Метапродукт зафиксировал несколько десятков цепочек активностей белых хакеров, самые опасные из которых перевел в статус «Требует внимания». Аналитику оставалось верифицировать цепочки и подтверждать предложенный автопилотом сценарий реагирования, чтобы отобрать у хакеров захваченные ресурсы и остановить атаку.

Для моментального реагирования метапродукт обращался к MaxPatrol EDR — агентам, установленным на конечных узлах инфраструктуры, и его серверному компоненту. Благодаря этому MaxPatrol O2 мог завершать вредоносные процессы, удалять файлы с полезной нагрузкой, блокировать учетные записи в домене Active Directory и внешние соединения на межсетевом экране, разрывать VPN-соединения и многое другое. «MaxPatrol O2 понимает, какой из агентов может выполнить нужное ему действие, и сам отправляет ему соответствующие команды, после того как аналитик согласится с предложенным сценарием реагирования в интерфейсе», — добавил Антон Тюрин.