Лавка Технологий

В начале октября прошел трехдневный чемпионат по ИБ федерального уровня.
О том, из чего он состоял можно почитать в разных СМИ, например, на РБК.

Пересказывать новости не будем, однако обозначим самые важные для статьи моменты:
1) Можно было принять одну из сторон:
атакующий (красный), архитектор (желтый) или обороняющийся (синий).
2) Можно было участвовать в командном зачете.
На наш взгляд — это история для профильных компаний, понятное дело, что «сайтоделы», например, не представляют угрозы для профильных компаний по «ИБ».
3) Можно участвовать в личном зачете.
Т.е. участник выступает, как самостоятельная единица и соревнуется с такими же, как и он.
Именно сюда было принято решение подать заявку, чтоб оценить навык наших специалистов.
Для участия был выбран Максим Фабрин, руководитель отдела разработки ПО.

По итогу он стал «синим» защитником, зарабатывал очки («сайбы») для своей «синей фракции» и соревновался с другими участниками личного зачета.

Что получилось достигнуть?
1) Удалось попасть в ТОП-10% лучших в рамках индивидуального зачета.
2) Удалось опередить 5 497 человек.
3) Количество набранных баллов было лишь в 2,3 раза меньше, чем у чемпионов!

Стоит отметить, что в рейтинге CyberCamp 2024 никто не достиг максимального количества баллов.

Как же проходили все 3 дня соревнований?

Первое, что встречало гостя — это трансляция.
Сразу отметим высокий уровень выступающих и попытку подать материал так, чтоб было понятно любому слушателю, а не только ИБ‑специалистам.
Хотя было очевидно, что без минимальных знаний в области ИБ было бы сложно, но спикеры действительно старались передать свой опыт всем.

Основная тема выступлений — это Cyber Kill Chain, т. е. цепочка атаки, которую требуется прервать.
Каждый из элементов постоянно подсвечивался в презентациях тем или иным способом.
Кстати, самое первое задание было именно на эту тему и проверяло, а знаете ли вы, что это такое вообще.
Именно так нашему участнику удалось заработать свои первые 40 монет «сайбов»!

Так выглядела трансляция CyberCamp 2024

Зарегистрированным Гостям‑участникам была доступна «Доска заданий».
И именно здесь происходил основной мозговой штурм.

Доска киберучений CyberCamp 2024

Даже первого взгляда на доску достаточно, чтоб понять, что задания составлялись разными командами и по разным направлениям.
Их «вес» был соизмерим, но вот знания, которые требовались для решения, были абсолютно разными.

Все задания CyberCamp 2024 можно разделить на три типа: архитектура, взлом, расследование инцидентов

Отметим, что некоторые задания, например, «Анализ поверхности атаки. Хард», который представлял из себя поиск уязвимостей специально изготовленного сайта на WordPress, нашему участнику не удалось решить — просто не хватило навыков взлома.
На фото выше видно, что задача дала 0 из 70 сайбов.

Были задачи по анализу логов, которые давали МНОГО сайбов, однако были сложны даже на этапе подгрузки данных для анализа.
Например, исходник логов Windows из задания «Вот мы влипли!» уже на входе весил порядка 3,3 ГБ!
Навыков хватило лишь на 14 сайбов из 210 возможных.

При этом были и более простые задания, например, найти ошибки настроек безопасности пользователя, как это показано в таблице выше.
Но и сайбов за такие задания давали значительно меньше.

Какие еще были задания?
Очень разные!
Описать все не выйдет, но постараемся подсветить их хотя бы по категориям.

Так выглядит лишь часть заданий всего лишь одного дня учений CyberCamp 2024

Часть заданий были связаны с оценкой атрибуции атак, например, задание «Модель Diamond», в которой требовалось определить хакерскую группировку по особенностям атакуемых объектов, жертв, мотивации атакующих и потенциальному расположению базы.

Работу с моделью Diamond мне удалось освоить как раз благодаря CyberCamp 2024

Интересными были и расследования инцидентов по логам.
Причем задания были как для Windows, так и для Linix.
И формат от полных копий в 3 ГБ весом до простеньких txt с логами на 50–100 Кб.

Очевидно, что даже простой txt таил в себе ряд ловушек.
В частности, в примере ниже, одной из частей задания было:
«Найти момент компрометации учетки пользователя».

Задание от CyberCamp 2024.

Еще одним интересным вектором было изучение реальных схем атак.
Подробное описание инцидентов в «.afb» формате дает значительное количество информации, а значит и на изучение такого файла требуется кратно больше времени.

Стоит отметить, что само наличие подобных файлов позволяет подтянуть свои навыки всем:
1) «Синие» подтягивают навыки логирования и разбора инцидентов
2) «Желтые» оценивают слабые места архитектуры
3) «Красные» смотрят, где их можно поймать и как именно это будут делать «Синие»

Схемы атаки от CyberCamp 2024 были настолько большие, что не уместились даже при отдалении картинки.

Ежедневно были и задания развлекательного характера «за 5 сайбов».
В одном из них нам удалось попасть в ТОП-3!

Само задание состояло в оживлении известного мема при помощи любой нейросети.
Ролик должен был быть коротким, не более 5 секунд.
Поскольку мы часто работаем с нейросетями, то создание промта не вызвало сложностей.

Пример «задания на 5 сайбов» от CyberCamp 2024

А еще были задания на DDoS, на Honeypot, на Знание шифровальщиков, на понимание фишинга и поиска реальных источников отправки письма.
Была работа с Virustotal, ведь не всегда он дает корректные результаты и нужно оценивать иные параметры ссылок/файлов.

Разбор правил детектирования, ошибок конфигураций системных файлов и восстановление зашифрованных данных.
Были задания и по менеджменту в ИБ, но не очень много.
И, конечно же, 3 дня по 8 часов выступлений спикеров, которые подробно разбирали кейсы и старались подсветить важные моменты.
Тут стоит отметить, что «разбор» был построен так, чтоб не дать готового решения по задачам и это отлично!

Победа в командных соревнованиях досталась атакующим.
В этот раз победил «меч».
А значит, что спрос на «щит» будет становиться все выше.

Если верить исследованиям, то спрос на ИБ специалистов уже сейчас в 2 раза выше, чем доступное предложение.
А учитывая, что за первое полугодие 2024 (по мнению специалистов Positive Technologies) Россия возглавила рейтинг утечек, становится очевидным факт дальнейшего развития этого направления в сторону улучшения защиты.