Новый формат
Организаторы CyberCamp 2022 пересмотрели формат подобных событий и решили не просто тематически тесно связать конференцию с киберучениями. Большая часть докладов спикеров открывала задания на платформе киберучений. Командам нужно было сначала слушать доклады – в них, как правило, давалась теоретическая база для выполнения заданий. И если какая-то команда ранее не работала с определенным решением по безопасности (например, с WAF), она все равно имела хороший шанс выполнить соответствующее задание, внимательно послушав доклад и изучив вспомогательные материалы по продукту.
Еще одним нововведением стал тот факт, что в киберучениях отсутствовал элемент противостояния Red Team и Blue Team – команд, которые пытаются взломать инфраструктуру, и команд, которые ее защищают. Все участники играли на одной стороне — за Blue Team (защитников). Между собой они соревновались только в правильности, полноте и скорости выполнения заданий.
Целью киберучений было научить Junior-специалистов или дать тренировку Middle-специалистам по отработке навыков защиты от кибератак, когда они находятся внутри защищаемой компании. При этом в некоторых заданиях им приходилось примерять на себя роль Red Team и осваивать хакерские практики. Таким образом, команды узнали об инструментарии злоумышленников, чтобы лучше им противостоять в будущем.
Зрители конференц-части также смогли получить практические навыки. Они не только слушали доклады и наблюдали за изменениями в турнирной таблице, но и получили доступ к 20 интерактивным заданиям разного уровня сложности: от развлекательных викторин до сложных практических кейсов, когда нужно изучить описание инфраструктуры безопасности и разобраться в его ошибках.
Спикеры конференции приняли активное участие в эфирных интерактивах в дополнительном общении с ведущим, которые помогали лучше узнать спикера как человека и, возможно, дополнительно раскрыть его тему. Кроме того, каждый спикер подготовил список рекомендаций для зрителей, которые обязательно включали книги, а также полезные ссылки в интернете – сайты, телеграм-каналы и прочее. Эти рекомендации были объединены в список «Camp TOP», который был доступен всем зрителями.
Виртуальная компания SuperCorp и задания для команд
В кибертренинге приняли участие 40 команд. Пятнадцать из них были студенческими: пять из московских вузов и десять из университетов, находящихся в других городах России. Остальные 25 команд были сборными из Junior- и Middle-специалистов. Некоторые из них представляли компании, например, Гринатом, Ростелеком, ТД ЦУМ и ГКУ «Центр информационных технологий Оренбургской области».
Задания и инфраструктуру платформы киберучений готовили представители «Инфосистемы Джет» — компания выступила генеральным партнером события. Более 40 специалистов были привлечены на разных этапах, кроме того, были сотрудники, которые помогли протестировать все задания, найти и исправить текущие недочеты, откалибровать сложность и среднее время выполнения задания. На время киберучений был организован специальный штаб, который не только мониторил инфраструктуру, но и помогал командам при возникновении технических сложностей. Кроме того, для помощи командам был разработан чат-бот.
«Были и трудности – как и в реальной жизни, что-то подтормаживало, иногда участники случайно выключали машины, и нам нужно было их быстро восстанавливать. Нам было важно, чтобы технические моменты не отвлекали команды, потому что у них спринт – времени и так мало. Взаимодействие с участниками, а также скорость восстановления инфраструктуры стали первыми приоритетами работы нашего штаба. Кстати, самый пик заявок и самая горячая работа чат-бота и штаба приходились на последний час первых двух дней мероприятия – в 23:59 задания закрывались, и команды до последней минуты стремились улучшить свое положение в турнирной таблице», — рассказывает Ольга Елисеева, руководитель сервиса Jet CyberCamp компании «Инфосистемы Джет».
Большая часть заданий CyberCamp 2022 была связана с обеспечением информационной безопасности вымышленной компании SuperCorp. Действио происходило на одной общей типовой инфраструктуре компании, а не отдельных не связанных между собой стендах. Условия были приближены к реальным, а каждое задание начиналось с легенды – какой инцидент случился в инфраструктуре. Команды получали конкретные задачи – что необходимо сделать и какие инструменты для этого использовать.
Пример задания «Кто не спрятался…»:
К вам приходит сотрудник – активный пользователь сети – и жалуется на замедление работы компьютера. А это значит, что на его компьютере, скорее всего, обосновались вредоносные объекты. Команде необходимо проверить типичные места закрепления вредоносов в системе и найти все причины замедленной работы компьютера пользователя.
Задания были поделены по дням на три тематических блока. В первый день команды учились обеспечивать безопасность инфраструктуры без применения специализированных средств защиты информации. Участникам было необходимо подготовить безопасную ИТ-инфраструктуру и воспользоваться встроенными механизмами безопасности операционных систем. Во второй день команды учились применять специализированные средства – например, для защиты веб-приложений, изучения вредоносной активности на конечных точках, автоматизации реагирования на инциденты.
Финальное задание было самым масштабным – для его выполнения задействовалась большая часть ИТ-инфраструктуры виртуальной компании SuperCorp. На задание выделялось 3 часа. Командам нужно было обнаружить действия злоумышленника-инсайдера во внутренней сети. Для этого надо было изучить все данные, поступающие от доступных средств защиты информации и из системных журналов безопасности. Все усложнялось тем, что в компании SuperCorp работала Red Team и их действия тоже фиксировались в логах систем – это могло запутать команды и навести на ложный след. Команде также было необходимо отправить уведомление об инциденте на копию портала ГосСОПКА. Проверкой уведомлений занимались сотрудники Национального координационного центра по компьютерным инцидентам (НКЦКИ). Они общались с командами через специальный чат на портале ГосСОПКА и задавали уточняющие вопросы. На основании их решения о корректности отправки уведомления выставлялись дополнительные баллы за эту часть задания.
Итоги и победители
По итогам трех дней были выбраны победители, которые набрали наибольшее количество баллов в киберучениях. Каждый из них получил денежное вознаграждение: 300 тысяч рублей для первого места, 200 тысяч рублей – для второго, 100 тысяч рублей – для третьего. Отдельно призом в 100 тысяч рублей была награждена лучшая студенческая команда.
Первое место: SinSec (Екатеринбург),
Второе место: Pharmacists (Санкт-Петербург)
Третье место: Cookie Monster (Екатеринбург).
Студенческая номинация: Test Team Please Ignore (Архангельск, САФУ).
«Внутри команды мы распеределили роли по компетенциям. Каждый отвечал за ту область, в которой он более компетентен: кто-то за SOC, кто-то за безопасность прикладной части, за сетевую часть, за уязвимости. В общем, мы постарались подготовиться к киберучениям, собрать команду из разных сфер. Сильная сторона нашей команды в том, что мы давно работаем вместе, в том, что мы понимаем друг друга с полуслова, у нас слаженная работа, как в часовом механизме. От лица команды хочу поблагодарить организаторов за такое замечательное мероприятие», — отмечает Максим, капитан команды-победителя SinSec (Екатеринбурга, Банк Синара).
«Мы представляем Томск, университет ТУСУР. Это было наше первое подобное мероприятие, нам было немного трудно, не все получилось, но тем не менее было очень интересно. И пусть мы не достигли высоких результатов, но получили очень большой опыт по итогам трех дней киберучений», — комментирует Максим, капитан команды Киберволки (Томск)