Ćwiczenia CyberRANGE
Przedstawiciele Departamenu Cyberbezpieczeństwa PKO Banku Polskiego wzięli udział w warsztatach CyberRANGE organizowanych przez Eksperckie Centrum Szkolenia Cyberbezpieczeństwa. Warsztaty odbyły się na specjalnej platformie, pozwalającej na przeprowadzenie autentycznych scenariuszy typu obrona-atak. Podczas ćwiczeń oceniana była skuteczność identyfikowania podatności, ich wykorzystywania w atakach na przygotowane środowisko jak i ich usuwania bez zakłócania działania usług i systemów. 2021-12-03Ćwiczenia to część działań wynikających z umowy partnerskiej pomiędzy ECSC a PKO Bankiem Polskim o podnoszeniu kompetencji podmiotów krajowego systemu cyberbezpieczeństwa w zakresie świadomości zagrożeń, metod ataków w cyberprzestrzeni oraz prawnych, organizacyjnych i technicznych umiejętności przeciwdziałania zagrożeniom w systemach i sieciach teleinformatycznych.
W pierwszym dniu zespół miał za zadanie identyfikację podatności i ich wykorzystanie. Zadania te miały pozwolić na przejęcie infrastruktury firmy farmaceutycznej (obszar korporacyjny i przemysłowy) oraz współpracujących z nią instytucji, takich jak bank czy operator telekomunikacyjny.
Drugi dzień to działania zespołu odpowiedzialnego za cyberbezpieczeństwo, który miał odpierać ataki i reagować na ataki oraz zapewnić pełną dostępność usług. Realizowane było również zadanie z zakresu informatyki śledczej.
Ćwiczenie CyberRange w 2021 roku to łącznie 10 000 podatności cechujących się różnym poziomem skomplikowania i możliwościami ich skutecznego wykorzystania w przygotowanym środowisku. W środowisku zaimplementowano też szereg odmian złośliwego oprogramowania oraz backdoorów i innych elementów mających za cel zakłócenie poprawności działania środowiska.
Pierwszego dnia zespół identyfikował podatności i podejmował działania zmierzające do ich wykorzystania, w tym:
- wykrycie i wykorzystanie podatności m.in.: typu RCE, Open-Relay, transfer stref DNS.
- przejęcie kontroli nad różnymi węzłami przy wykorzystaniu exploit-ów
- zidentyfikowanie błędów konfiguracyjnych usług, m.in.: SSH, SMTP, WWW, VNC
- wykrywanie i łamanie prostych haseł
- ataki Brute-Force
- odnajdywanie pozostawionych danych logowania (repozytoria GIT, pliki, klucze)
- wykorzystanie podatności Proxy Logon i przejęcie kontroli nad serwerem poczty ISP
- przejęcie kontroli nad AD i redystrybucja złośliwego oprogramowania poprzez GPO
- wykorzystanie podatności EthernalBlue
W drugim dniu zespół wcielał się w rolę defensywną – BlueTeam i w czasie rzeczywistym musiał reagować i radzić sobie z wieloma wyrafinowanymi cyberatakami, zapewniając jednocześnie stałą dostępność świadczonych usług. Istotne było:
- znalezienie krytycznych podatności umożliwiających przejęcie kontroli nad systemami i odpowiednie ich zabezpieczenie
- utwardzenie konfiguracji usług (SSH, SMTP, WWW
- utwardzenie systemów operacyjnych, urządzeń sieciowych i bezpieczeństwa
- identyfikacja i usunięcie backdoorów, zbędnych kanałów dostępu, nadmiarowych usług
- usunięcie złośliwego oprogramowania działającego w przestrzeni użytkownika oraz jądra systemu
- analiza śledcza obrazu dysku – podejrzenie wyprowadzenia z organizacji krytycznych danych firmy i kontrahentów. Należało udowodnić wyciek danych przez pracownika i określić skalę.
Dla nas krajowe ćwiczenia Cyber Range po międzynarodowych ćwiczeniach Locked Shields są kontynuacją i wyjątkowym wydarzeniem, w którym mogliśmy współrealizować i ćwiczyć wspólnie z krajowymi zespołami operatorów usług kluczowych. Opracowane scenariusze wymagały od nas szczególnego zaangażowania, szybkości działania oraz dokonywania trafnych decyzji. Poziom techniczny ćwiczeń był wyjątkowo wysoki, a przygotowane przez ECSC autorskie podatności czy backdoory były wyrafinowane i wskazujące dodatkowe wektory ataków. Udział w ćwiczeniach pozwolił nam zdobyć kolejne praktyczne umiejętności, potrzebne do zapewnienia i utrzymania akceptowalnego poziomu cyberbezpieczeństwa dla naszych klientów oraz banku. Jesteśmy również pod wrażeniem środowiska CyberRange, które daje szerokie możliwości wykorzystania od właśnie wspólnych ćwiczeń różnych zespołów, poprzez testowanie konfiguracji, architektury, rozwiązań, urządzeń czy też systemów – przed planowanym zakupem. To też wyjątkowa platforma szkoleniowa i rekrutacyjna pozwalająca ocenić kompetencje kandydatów w obszarze IT i Cyberbezpieczeństwa. – komentują Arkadiusz Ferenc i Marcin Reniec członkowie zespołu ćwiczącego.
W ćwiczeniach udział wzięli przedstawiciele: Enea SA, KGHM Polska Miedź SA, Narodowe Centrum Bezpieczeństwa Cyberprzestrzeni, Narodowy Bank Polski, PGE Polska Grupa Energetyczna SA, Polska Grupa Zbrojeniowa, PKO Bank Polski, Poczta Polska oraz CSIRT MON.