Standoff 17 и рынок кибериспытаний в России: тенденции, вызовы и перспективы

Обзор активностей Standoff 17

Кибербитва на Standoff 17 проводилась в двух режимах: онлайн и оффлайн.

В соревновании приняли участие команды Red Team (атакующие) из России, Китая, Нидерландов, Вьетнама, Индонезии, Монголии и Узбекистана. Им предстояло реализовать более 70 сценариев кибератак: от получения доступа к инфраструктуре предприятий виртуального государства до нарушения работы его бизнес-процессов. Все целевые задачи были выделены в критические события, за реализацию которых команды «красных» получали баллы. Общий размер призового фонда составил в нынешнем году 5 млн рублей.

Зал для демонстрации хода кибербитвы на Standoff 17
Фото: Игорь Новиков/ICT-Online.ru

Противодействием атакам на киберполигоне занимались команды Blue Team (защитники). При своевременном выявлении и предотвращении атак они так же получали баллы, позволяющие претендовать часть призового фонда. Все участники «синих» были из России. Это было обусловлено техническими причинами: для устранения отдельных кибератак требовалось физическое подключение к инфраструктуре, что возможно только при очном присутствии на площадке Standoff.

Помимо этого, на деловой части форума эксперты обсуждали стратегии развития ИБ, проводились круглые столы по различным темам: кибериспытания, применение ИИ и т.д. Работала выставка ИБ-решений BackStage, где участники могли пообщаться с разработчиками, посмотреть на ПО в работе, проверить гипотезы на стендах. Использовался новый выставочный формат, набирающий популярность: презентация и испытательный стенд для демонстрации.

Выставка ИБ-решений BackStage на Standoff 17
Фото: Игорь Новиков/ICT-Online.ru

История Standoff: от популярного формата к оригинальной идее

Первый Standoff состоялся в 2016 году. Его появление было связано с несколькими важными для ИБ-рынка. Ранее Positive Technologies развивал собственную киберигру в традиционном формате CTF (Capture The Flag). Это было киберсоревнование, где участникам предлагалось решить несколько ИБ-головоломок и с помощью ответов разыскать спрятанный флажок. Цель игры – собрать как можно больше флажков, чтобы завоевывать приз.

К слову, формат CTF остается популярным до сих пор в мире. Более того, он овеян легендами, непосредственно связанными с ИБ. Достаточно вспомнить о серии таинственных головоломок Cicada 3301, которую многие связывают с другим феноменом – Сатоши Накамото.

В 2010-х соревнования в формате CTF проводились по всему миру. Одним из самых престижных были мероприятия американской компании HackerOne, в которых участвовало, в том числе, много российских хакеров. Но в 2016 году HackerOne заключила серию крупных контрактов, нацеленных на сотрудничество с оборонными и разведывательными ведомствами США. Это не могло не отразиться на их отношении к российским исследователям. Никаких официальных заявлений не делалось, но, по всей видимости, явно или косвенно российские вендоры увидели в этом сигнал. Участие в мероприятиях HackerOne могло в любой момент прекратиться из-за наложенных ограничений – это дало повод задуматься о создании собственных киберсоревнований, чтобы у российских специалистов всегда оставалась возможность совершенствовать навыки и получать актуальные знания.

Представители Positive Technologies не уточняют, было ли это причиной для запуска Standoff. Однако после этого компания представила рынку свой вариант киберигры. При этом разработчики решили не повторять формат CTF, где предлагались только атомарные задачи, не предполагающие прикладного применения. В Positive Technologies решили сделать киберсоревнования, в которых нашлось бы место для обмена опытом и практической реализации профессиональных навыков: совместить интеллектуальные развлечения, кибербитву, испытания SCADA-устройств для АСУ ТП в реальной обстановке, дискуссии по ИБ и т. д. Так появился Standoff.

За десять лет команда Positive Technologies испытала в своем проекте множество нововведений. Не все они прижились, но поиск всегда был сопряжен с экспериментами.

Например, в нынешнем году на киберполигон Standoff была выставлена виртуальная инфраструктура, скопированная с сети ресторанов «Вкусно и точка». По мнению организаторов, это позволило службе ИБ предприятия получить результаты, отличные от тех, которые дают участие в программах Bug Bounty, а также внешние тесты на проникновение. Заказчики таких экспериментов могут подтвердить надежность выстроенной ими архитектуры ИБ, проверить гипотезы и модели ИБ-рисков, отсортировать инциденты не только по степени критичности, но и по частоте проявления.

Отметим, что формат Standoff позволяет равноценно развивать как линию обороны (Defensive Security), так и линию нападения (Offensive Security). Участниками со стороны Blue Team чаще всего становятся корпоративные ИБ-команды, которые хотят благодаря Standoff повысить слаженность в работе и расширить навыки. Члены Red Team находят на Standoff возможность получить удовольствие от реализации взлома – ведь в реальной жизни это практически невозможно без нарушения закона.

Продуманный формат и понимание интересов «белых» хакеров позволили за десять лет существования Standoff нарастить его сообщество до более 20 тыс. человек.

Кулуарные дискуссии – важнейшая составляющая Standoff 17
Фото: Игорь Новиков/ICT-Online.ru

В 2019 году Standoff впервые перешел на международный уровень. Кибербитва была проведена в Абу-Даби (ОАЭ) в рамках традиционной конференции по безопасности Hack In The Box.

Дебют оказался успешным, зарубежные организаторы высоко оценили формат Standoff, его зрелищность и практическую выгоду. Positive Technologies получили приглашение принять участие в других мероприятиях: в Сингапуре и Амстердаме. Но из-за пандемии и COVID все последующие конференции были отменены, процесс приостановился. Сегодня в компании намерены возобновить понравившийся многим формат.

В 2021 году на Standoff провели эксперимент, развернув в его инфраструктуре сервер Minecraft с Log4Shell. Идея содержала много креативных применений. «Красные» получили возможность поиграть в «свободное время», заодно найти потенциальную точку входа в инфраструктуру: если взломать ее, то можно получить ресурсы для атаки. Размещение Minecraft также привлекло более юную аудиторию. Они стали строить цифровые двойники для базовых элементов из основной инфраструктуры киберполигона – получилось оригинально.

Яркие результаты 2026 года

Главной сенсацией Standoff 17 стала успешная кибератака, проведенная на электроподстанции виртуального государства. Сначала команда Dataeli&only_f4st сумела вывести из строя все агрегаты, потратив на этого всего двадцать шагов. Затем этот успех повторила команда cR4.sh, реализовав масштабный блэкаут, который раньше никому не удавался.

Организаторы публично не давали разъяснений относительно реализованных инцидентов – только начисляли баллы. Но похоже, что идея взлома была креативно заложена в концепцию нынешнего киберполигона. Это сделало мероприятие 2026 года еще более зрелищным, увлекательным и результативным.

Всего за три дня соревнований участники реализовали 245 критических событий на киберполигоне, который имитировал инфраструктуру семи отраслей экономики. Победителем среди «красных» стала команда DreamTeam из России.

На стороне «синих» выступали девять команд, которые за время соревнований выявили 551 инцидент, причем 10% из них были обнаружены динамически, в процессе отражения кибератак. Самую высокую результативность в обнаружении инцидентов показала российская команда ReKad Team, которая защищала железнодорожную инфраструктуру.

Тренды на рынке вирусных атак
Фото: Игорь Новиков/ICT-Online.ru

Перспективы кибериспытаний

Отдельный круглый стол на Standoff 17 был посвящен направлениям развития кибериспытаний. Эксперты отметили отличие кибериспытаний от пентестов и программ Bug Bounty: вместо выбора определенных средств защиты и оценки совершенства различных процессов кибербезопаности они дают возможность показать, как выдержать атаку и не допустить критические события в условиях, приближенных к реальности.

На кибериспытаниях проверяются креативные умения нападающих: распределять роли в команде, интуитивно находить «тонкие места» в защите, осуществлять фишинговые атаки, опираясь на психологические особенности «жертвы», применять нестандартные приемы, вуалирующие атаку.

Дискуссия о значении кибериспытаний в рамках Standoff 17
Фото: Игорь Новиков/ICT-Online.ru

Со стороны защитников – кибериспытания лучше других инструментов позволяют оценить, насколько слаженно работает выстроенный механизм ИБ, состоящий из исследователей, технологий, продуктов и требований. Они дают возможность проанализировать приоритеты хакеров при реализации атак, помогают компаниям более точно расходовать средства ИБ.

Особое значение для участников кибербитвы приобретает не взлом или недопустимое событие, которое удалось реализовать, а понимание, как развивается кибератака, куда она движется. Это опять же приближает киберполигон к практике ИБ-специалистов, где главный риск для бизнеса состоит не во взломе определенной части инфраструктуры компании, а в рассогласовании бизнес-процессов. Фундаментальная задача бизнеса – не в том, чтобы вовремя устранять последствия обнаруженных нарушений, а в том, чтобы обеспечить устойчивость инфраструктуры и снизить ущерб для экосистемы, не доводя его до катастрофического уровня.

Продуктовые новинки Positive Technologies

Среди продуктовых анонсов на Standoff 17 стоит выделить новую версию решения для защиты конечных устройств MaxPatrol Endpoint Security 10, которая получила ряд улучшений, связанных с проактивной борьбой с угрозами: в частности инструменты управления внешними подключенными устройствами, предотвращения загрузки вредоносного кода, помощи в блокировке нежелательных программ (утилит удаленного доступа RAT, некорпоративных VPN, мессенджеров и пр.). В новом релизе уделено повышенное внимание противодействию шифровальщикам и вайперам, появилась возможность автономного восстановления зашифрованных и поврежденных файлов до первоначального состояния.

Что нового появилось в MaxPatrol Endpoint Security 10
Фото: Игорь Новиков/ICT-Online.ru

Другая новинка – платформа «Киберпогода», предназначенная для отражения кибератак, совершаемых через подрядчиков. Этот инструмент построен на опыте и технологиях Positive Technologies, которые развивались в ходе расследований реальных инцидентов в крупных компаниях. По данным экспертов, атаки через «черный ход» составляют уже 28% от общего числа угроз.

Наконец, разработчик представил ИИ-помощника PT Naira – средство для автоматизации управления событиями и инцидентами ИБ в MaxPatrol SIEM и для динамического анализа приложений в PT BlackBox. В пилотных проектах PT Naira ускорил расследование инцидентов на 50–60%. Также с его помощью начинающие специалисты сократили время на подготовку правил обработки событий в MaxPatrol SIEM почти на 90%. PT Naira работает на основе открытых моделей с программным стеком от Positive Technologies.

Цена безопасности и новые виды угроз

Десять лет развития Standoff – это огромный запас опыта и знаний, который имеет ценность не только для ИБ-специалистов, но и для всего бизнеса. Это важно в контексте актуальности формулы: «Безопасность не должна стоить дороже стоимости атаки».

На Standoff 17 продемонстрировали архитектуру AI-ассистированного пентеста
Фото: Игорь Новиков/ICT-Online.ru

Эта тема стала предметом обсуждений на Standoff 17. Очевидно, что применение злоумышленниками ИИ уже приводит к удешевлению атак – кибератаки становятся более многочисленными и результативными. Обороняющиеся должны предпринимать соответствующие меры безопасности, вовремя реагировать на эти изменения и тоже осваивать ИИ.

Как показала дискуссия, отрасль ИБ уже вступила в фазу, когда кибербитвы проводятся между ИИ, а не между людьми. Растет не только производительность, но и набор привлекаемых средств, изменяется координация действий между применяемыми инструментами, что повышает эффективность обеих сторон.

Эта тенденция – новый вызов для Standoff и всех игроков рынка.