Отчет по Hack the Lab 2012 в Финляндии

17-18 мая Stonesoft устраивал Hack the Lab в Хельсинки. По сути мероприятие состояло из 2-х частей:

• Непосредственно мастер-класс Hack the Lab

• Тестирование стенда Predator 4

Мастер-класс проходил в лаборатории, где 4 команды по 2 человека пытались добраться до «секретных» рецептов ;-) . Процесс сего действа я освещал (с фотографиями) в твиттере.

Мастер-класс моделировал ситуацию взлома сайта с целью поиска номеров кредитных карт клиентов и конфиденциальных документов. Нужно было проходить многоуровневую защиту, запускать различные эксплоиты и т.п. ;-) . Вся наша активность фиксировалась StoneGate'ом в реальном времени, логи выводились на экран. Не смотря на очевидную простоту задания, проблемы испытывали все участники. Как сказал один из коллег: «Хорошо, что никто из знакомых не видит какие глупости я сейчас делаю ;-) …». Но в результате с разной степенью успешности с заданием справились все.

По словам организаторов, такой мастер-класс рассчитан на руководителей ИБ, чтобы они вспомнили, техническую сторону вопроса.

Вторая часть мероприятия проходила уже на следующий день. Тестировать Predator 4 оказалось довольно занятно. В довольно дружественном интерфейсе можно выбрать конкретное оборудование, настройки и параметры для обхода IPS. В режиме реального времени можно отслеживать реакции IPS от разных вендоров на ту или иную сетевую активность. Удобство заключается в том, что этот стенд наглядно демонстрирует, как использование той или иной техники обхода помогает известным эксплоитам проходить IPS. Посмотрев все это на стенде мое представление о маркетинговой фишке под названием Динамические техники обхода (АЕТ – AdvancedEvasionTechniques) поменялось. Видимо маркетологи, которые 2 года назад начали продвигать эту идею, сами не понимали что это такое. От того и делали ролики непонятного содержания вроде этого, которые не разъясняют, а только запутывают.

AET – это техники, которые применяются совместно с сетевыми атаками, с целью обхода систем защиты. Идея заключается в том, что даже известные эксплоиты, которые легко ловятся всеми известными IPS, могут проходить эти же IPS при использования тех самых динамических техник обхода. AET основываются на комбинировании разных типов/тактик обхода, которые работают на разных сетевых уровнях и в разных протоколах. Хороший ролик с демонстрацией прошлой версии Predator есть тут:

Мне сложно оценивать насколько активно сейчас злоумышленники используют динамические техники обхода. Однако организаторы неоднократно давали понять, что громкие взломы последних лет происходили у компаний, которые крайне серьезно относятся к ИБ в целом, и сетевой безопасности в частности. Тем самым намекая, что, скорее всего именно такие техники использовались в этих случаях. Поэтому одним из своих конкурентных преимуществ Stonesoft видит именно в проработку AET.

Пользуясь случаем, я задал провокационный вопрос главе группы по анализу уязвимости Stonesoft Olli-Pekka Niemi, которые исследует техники обхода. Вопрос заключался в том, какие, по его экспертному мнению, IPS лучшие, а какие худшие в свете AET. Ответ был довольно интересный. Самыми худшими он назвал решения от McAfee, Palo Alto, и, в зависимости от настроек, Sourcefire. К средней категории он отнес решения Cisco, Juniper, Checkpoint, ну а самым хорошим естественно был назван StoneGate.

В целом мероприятие оказалось интересным и полезным. Всегда интересно поговорить с людьми, которые непосредственно своими руками создают современные продукты безопасности. Другие вендоры, по каким-то своим причинам пока показывают рынку только своих пресейлов и продавцов. Будем надеяться, что наш рынок продолжит свое «взросление», и такие мероприятия будут проводиться все чаще.

P.S. Помимо самой программы было интересно пообщаться с коллегами на отвлеченные темы. В частности обсудили опубликованное исследование IDC, в котором сообщается о росте рынка аппаратных решений ИБ на 73%. Во-первых непонятно, что понимается под аппаратными решениями. Софт, который продается к железу, учитывается в исследовании? Если да, то какой именно, если нет, то при чем тут «аппаратные» решения и как они смогли оценить рынок, ведь у некоторых вендоров софт включен в цену железа, а у некоторых продается отдельными лицензиями. Во-вторых, очень сомнительным выглядит перечень из пяти компаний, «которые контролируют более 70% рынка». Ну и, в-третьих, и самое главное, откуда взялась цифра в 73% роста рынка? Очевидно, что рост был, но 73%... это как? Откуда взялись внедренцы под практически двукратный рост рынка? Непонятно...