Как Blue Team колонизировали Марс: отчет о Кибербитве на SOC Forum 2024

от автора

Кибербитва — это ежегодное соревнование, которое проходит в рамках одного из крупнейших ИБ-мероприятий в России — SOC Forum 2024.

В формате Red vs. Blue приняли участие по 20 команд «красных» и «синих». На стороне атакующих выступили эксперты по кибербезопасности из направлений пентеста, вирусной аналитики и AppSec-инженеры. На стороне защитников были 20 команд ИБ-специалистов из госсектора, финтех-сервисов и банков, IT-команд в составе маркетплейсов, промышленных, логистических, нефтегазовых, энергетических и ИБ-компаний.

Итак, сразу озвучим победителей, а дальше расскажем, как мы готовились к Кибербитве, как болели за участников и почему фавориты неожиданно уступили на последних метрах марсианской дистанции.

Лидерами среди Blue Team стали команды из нефтегазового сектора, силовых ведомств, а также представители одного из белорусских операторов связи.

На стороне Red Team лучшими стали независимые игроки и команды из отрасли информационной безопасности: Invuls, HackerLife и Dsec.

Также благодарим всю команду «Киберполигона» за подготовку Кибербиты-2024.
Это наши креаторы и продюсеры, которые разработали концепцию, сценарий и механику соревнования. Наши коллеги, которые занимались методическим сопровождением, разработкой правил для участников и системы скоринга.

Важную роль сыграли эксперты, которые готовили инфраструктуры, занимались интеграцией решений, поддерживали и обеспечивали устойчивую работу платформы CyberMir.

Ну и конечно же благодарим всех, кто обрабатывал заявки от участников, проводил брифинги для команд и постоянно поддерживал «синих» и «красных» во время Кибербитвы.

Концепция Кибербитвы

Полем для Кибербитвы-2024 стал Марс, от которого до Земли от 55 до 400 миллионов километров, если между ними находится Солнце. Но участники соревнований могли оказаться на Красной планете за один клик и вжиться в роль астронавта из фильма “Марсианин”.

Мы разработали научно-фантастический симулятор поселения и предложили колонистам и хакерам сразиться за освоение пригодных для жизни мест. Кибербитва развернулась за обладание автоматизированными колониальными комплексами (АКМ), которые превращают пыльные пустыни, скалистые утесы и кратеры в пространство, пригодное для человека. Поэтому защита АКМ и сетевой инфраструктуры – жизненно важная задача, как и запас гидразина для астронавта. От исхода соревнований зависело, станет ли Марс процветающей планетой или останется безжизненной пустыней.

20 команд Blue Team отправили на Марс АКМ под управлением искусственного интеллекта. А 20 команд Red Team с помощью специальных дронов атаковывали колонистов, чтобы замедлить покорение Красной планеты. Их целью было взломать системы безопасности и инфраструктуру, а затем их уничтожить.

Что под капотом?

Кибербитва 2024 прошла на базе программной платформы Solar CyberMir 6.0, которая используется для практической подготовки ИБ-специалистов в сфере мониторинга, реагирования и расследования киберинцидентов. Каждая инфраструктура включала 13 хостов: DMZ (внешние веб-серверы, файловый сервер и DNS-сервер), сервера (контроллер домена, почтовый сервер, внутренний файловый сервер и др.) и офисная инфраструктура (АРМ руководителя, сотрудника и системного администратора).

По традиции, технологическим партнером стала “Лаборатория Касперского”, которая предоставила инструменты для защиты конечных устройств классов EPP и EDR, SIEM-систему Kaspersky Unified Monitoring and Analysis Platform и другое ПО.

Для оценки команд мы разработали систему мониторинга программной и сетевой части, которая автоматически фиксировала прохождение атак и нарушение работоспособности сервисов, включая контроль размещенных флагов и сетевой доступности. Все команды начинали с нуля баллов.

Система скоринга включала два вида баллов:

  • базовые баллы начислялись за удержание контроля над виртуальными машинами;

  • бонусные баллы начислялись за выполнение дополнительных заданий.

Как мы отбирали участников

В 2024 году мы получили много заявок от участников Blue Team. Поэтому сначала мы определили 20 команд, затем их распределили их по группам.

Команды-финалисты из группы Blue Team получили ссылки на анкеты из двух блоков:

  1. Общие вопросы об опыте участия в подобных соревнованиях, навыках мониторинга и реагирования на инциденты информационной безопасности;

  2. Технические вопросы об уровне владения программными продуктами, которые используются в Кибербитве.

По итогам квалификации, участники распределились по 5 группам, в каждой из которых было по 8 команд: 4 синих и красных команды. Группы формировались равными по уровню подготовки. Blue Team, в которых все участники прошли квалификацию (9 команд из 20), получили бонус от организатора: возможность бесплатно удалить флаг через магазин услуг CyberBerries.

Red Team эксперты распределяли сами, без квалификации. Red Team могли атаковать как инфраструктуры Blue Team своей группы, так и инфраструктуры Blue Team других групп — правда, второй вариант давал им лишь 50% баллов.

Олег Матирный, эксперт отдела исследований кибербезопасности и разработки сценариев киберучений, киберполигон «Солар»:

При планировании механики Кибербитвы 2024 мы учли опыт прошлых аналогичных мероприятий в рамках ЦИПР, ПМЭФ и других крупных мероприятий. Мы постарались сделать соревнование более захватывающим и динамичным.

Зоя Иноземцева, методолог-аналитик киберполигона «Солар», добавляет:

На Кибербитве-2024 впервые появился виртуальный магазин услуг CyberBerries, пока доступный только для Blue Team. Команды-защитники могли потратить набранные баллы на дополнительные услуги, включая смену пароля учетной записи администратора, восстановление настроек по умолчанию на сетевом оборудовании и другие. Возможность приобретать услуги привнесла в соревнования элемент стратегии.

Ход Кибербитвы

Чтобы заработать баллы, участникам Red Team нужно было взять под контроль виртуальные машины Blue Team и установить на них флаги — создать файлы flag.txt и поместить в них собственную сигнатуру из ASCII-символов.

В свою очередь, Blue Team должны были обнаружить и отразить кибератаки на свою игровую инфраструктуру, вернуть контроль над захваченными виртуальными машинами и удалить размещенные флаги. Кроме того, для участников были предусмотрены дополнительные задания.

Команды начали активно: «первая кровь» пролилась уже на 4-й минуте Кибербитвы. Успешную атаку реализовала команда «красных» Invuls. В ходе Кибербитвы атакующие более 800 раз захватывали хосты на 20 инфраструктурах киберзащитников, «синие» в свою очередь 747 раз возвращали хосты под контроль.

Самым активным «захватчиком» стала команда HackerLife, которая 200 раз брала хосты под свой контроль. Второе и третье место разделили Invuls (193 захватов) и Dsec (152 захвата). Команда Invuls также отличилась тем, что дольше всех среди всех Red Team удерживала захваченные инфраструктуры — более 3-4 часов.

Ярослав Шмелев, капитан команды Invuls:

В этом году у Кибербитвы была более интенсивная и напряженная динамика. Постоянно приходилось выкидывать другие Red Team со скомпрометированных машин и защищаться от Blue Team, пытающихся вернуть себе контроль, нужно было действовать очень быстро и постоянно импровизировать.

Сложнее всего давалась координация действий во множестве инфраструктур одновременно: у каждой из 20 Blue Team была своя сеть из нескольких сегментов, поэтому одновременно атаковать и закреплять свой доступ при крайне ограниченном времени соревнований было тяжело.

Награда для Invuls

Награда для Invuls

Интрига в ходе 8-часовой битвы сохранялась до последнего: команда киберзащитников из Беларуси неожиданно в финале уступила коллегам из России и завоевала «серебро».

Среди «красных» победителем стала команда Invuls, которая дважды участвовала в Кибербитве и в этом году завоевала первое место. Второе и третье место заняли команды HackerLife и Dsec.

В командном зачете Кибербитвы победу одержали «синие», набрав более 130 000 баллов: со счетом 8 к 1 они обошли «красных», которые по итогам результативных кибератак собрали около 16 000 баллов.

Ну и какая же Кибербитва без хакеров? Мы выявили DDoS-атаку на систему скоринга, которая вызвала кратковременные перебои с отображением результатов. Но она случилась уже в конце битвы, поэтому на общий ход соревнований повлиять не смогла.

И вместо заключения — советы участникам будущих Кибербитв от команды киберполигона «Солар»:

  • Никогда не переставайте учиться. Технологии и методы атак развиваются быстро, и важно быть в курсе последних тенденций. Обновляйте свои знания о новых уязвимостях, инструментах и подходах к защите — это поможет вам быть на шаг впереди.

  • Командная работа — залог победы. В кибербитвах успех зависит от слаженности команды. Обсуждайте угрозы, делитесь мыслями и стратегиями, поддерживайте друг друга. Чем эффективнее взаимодействие, тем быстрее и качественнее будет ваше реагирование.

  • Будьте проактивными. Не ждите, пока атака случится — учитесь предсказывать и предотвращать угрозы. Анализируйте поведение атакующих, разрабатывайте стратегии для выявления и нейтрализации рисков на ранней стадии.

  • Учитесь на ошибках. Неудачи — это не поражения, а ценный опыт. Каждый инцидент — это возможность улучшить свои навыки и стратегии. Анализируйте ошибки, чтобы в следующий раз быть ещё сильнее.


ссылка на оригинал статьи https://habr.com/ru/articles/868520/


Комментарии

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *