Во студенческой кибербитве приняли участие 12 команд атакующих (red team), представленных студентами российских ВУЗов, с подтвержденным опытом участия в соревнованиях по спортивному хакингу (CTF). География участников обширна: Москва, Санкт-Петербург, Казань, Самара, Пермь, Тюмень, Астрахань, Владивосток, Хабаровск и другие города. Конкурс на попадание в «лагерь красных» превысил три команды на одно место. Студенты присутствовали на битве оффлайн, остальные проводили хакерские атаки дистанционно.
Действия хакеров расследовали их сверстники - четыре команды защитников (blue team), сформированные из выпускников Межвузовского студенческого провайдера услуг кибербезопасности (MSSP SOC, или Межвузовский SOC), который работает на базе четырех вузов Татарстана.
Организаторы предусмотрели 32 CTF-задания и 17 сценариев недопустимых событий, которые предстояло реализовать командам красных. Миссия лагеря «синих» состояла из 15 CTF-заданий, а также успешного расследования хакерских действий своих визави. Рекорд по скорости решения CTF-задания в «красном» лагере составил 7 минут 32 секунды, в «синем» - 44 минуты 43 секунды.
Самую быструю боевую атаку «красные» провели за 2 часа 35 минут. Самое быстрое расследование недопустимого события синими заняло 9 часов 34 минуты.
На киберполигоне Всероссийской студенческой кибербитвы были представлены цифровые двойники объектов нефтеперерабатывающей, транспортной, энергетической и финансовой отраслей, системы городской инфраструктуры и типового коммерческого офиса.
Организаторы использовали мультивендерный формат с разделением киберполигона на две области: это корпоративные внутренние сегменты и технологическая часть, где предлагались АСУ ТП, нефтепереработка, энергетика и системы городского жизнеобеспечения. Сегмент корпоративной сети защищался продуктами компании Positive Technologies: PT Application Firewall, PT Network Attack Discovery, PT Sandbox и MaxPatrol SIEM, MaxPatrol VM.
Сегменты АСУ ТП защищали продукты Лаборатории Касперского - Kaspersky Industrial CyberSecurity (KICS) и Kaspersky Endpoint Agent (KEA).
Для дополнительной визуализации происходящего компания Innostage совместно с командой Positive Technologies впервые развернула в Казани физический макет киберполигона Standoff. Он позволил зрителям наблюдать за реализацией красными командами недопустимых событий, приводящих к таким последствиям как, например, нарушение работы городских светофоров, отключение уличного освещения, взлом банковской системы, остановка ветрогенераторов и т.д.
Во время кибербитвы чаще всего происходили недопустимые события в сегменте городской инфраструктуры. В частности, атаковали больницу, систему продажи ж/д билетов, а абсолютным лидером по результативным атакам стал городской сайт – дефейс веб-ресурса совершили 6 команд. Инциденты на социально-значимых объектах объясняются публичной доступностью таких информационных сервисов: они технически более уязвимы, чем внутренние корпоративные системы, находящиеся за периметром.
Так, к наиболее хорошо защищенным относились системы финансов, энергетики и промышленности. Но в них также были заложены уязвимости, которые позволяли, например, изменить баланс банковского счета.
«Мы ожидали, что хакеры сломают нашу систему ДБО и «уведут» деньги. Но ребятам просто не хватило времени, чтобы разобраться и понять, как это сделать. Аналогично с энергетикой, потому что сегменты управления КИИ находятся глубоко внутри информационных систем. За 16 часов, отведенных на битву, до них добраться действительно очень сложно. Тактически было выгоднее в первую очередь реализовать более простые задания и заработать на них баллы, что ребята и сделали», – поясняет руководитель группы экспертного обучения и наставничества Innostage Антон Калинин.
Суммарно атакующие совершили 25 результативных атак. Максимальное количество инцидентов реализовала сборная «Унесенные ветром», представленная студентами Москвы и Казани. Победители получили денежный приз в размере 100 тысяч рублей.
Среди команд защитников такую же сумму выиграла ICE из Университета Иннополис. Команда провела расследование 6 ИБ-инцидентов, что для студентов 2-4 курсов является значимым достижением и подтверждает высокий уровень обучения. Университет Иннополис располагает большой материально-технической базой, включая сегмент Межвузовского SOC, сотрудничает с многими технологическими партнерами и активно развивает программы в области подготовки ИТ и ИБ-специалистов. Три другие «синие команды: «Бравлеры» из КНИТУ-КАИ, CyberEnergy из КГЭУ и Blue Water из КФУ также продемонстрировали отличные навыки расследования кибератак.