27/09/22
5000 зрителей и 40 ИБ-команд со всей России приняли
участие в CyberCamp 2022. Формат события представлял собой гибрид ИБ-конференции и киберучений и проходил в онлайне.
Новый формат
Организаторы CyberCamp 2022 пересмотрели формат подобных событий и решили не просто тематически тесно связать конференцию с киберучениями. Большая часть докладов спикеров открывала задания на платформе киберучений. Командам нужно было сначала слушать доклады – в них, как правило, давалась теоретическая база для выполнения заданий. И если какая-то команда ранее не работала с определенным решением по безопасности (например, c WAF), она все равно имела хороший шанс выполнить соответствующее задание, внимательно послушав доклад и изучив вспомогательные материалы по продукту.
Еще одним нововведением стал тот факт, что в киберучениях отсутствовал элемент противостояния Red Team и Blue Team – команд, которые пытаются взломать инфраструктуру, и команд, которые ее защищают. Все участники играли на одной стороне — за Blue Team
(защитников). Между собой они соревновались только в правильности, полноте и скорости выполнения заданий.
Целью киберучений было научить Junior-специалистов или дать тренировку Middle-специалистам по отработке навыков защиты от кибератак, когда они находятся внутри
защищаемой компании. При этом в некоторых заданиях им приходилось примерять на себя роль Red Team и осваивать хакерские практики. Таким образом, команды узнали об
инструментарии злоумышленников, чтобы лучше им противостоять в будущем.
Зрители конференц-части также смогли получить практические навыки. Они не только слушали доклады и наблюдали за изменениями в турнирной таблице, но и получили доступ к 20 интерактивным заданиям разного уровня сложности: от развлекательных викторин до сложных практических кейсов, когда нужно изучить описание инфраструктуры безопасности и
разобраться в его ошибках.
Спикеры конференции приняли активное участие в эфирных интерактивах в дополнительном общении с ведущим, которые помогали лучше узнать спикера как человека и, возможно, дополнительно раскрыть его тему. Кроме того, каждый спикер подготовил список рекомендаций для зрителей, которые обязательно включали книги, а также полезные ссылки в интернете – сайты, телеграм-каналы и прочее. Эти рекомендации были объединены в список «Camp TOP», который был доступен всем зрителями.
Виртуальная компания SuperCorp и задания для команд
В кибертренинге приняли участие 40 команд. Пятнадцать из них были студенческими: пять из московских вузов и десять из университетов, находящихся в других городах России. Остальные 25 команд были сборными из Junior- и Middle-специалистов. Некоторые из них представляли компании, например, Гринатом, Ростелеком, ТД ЦУМ и ГКУ «Центр информационных технологий Оренбургской области».
Задания и инфраструктуру платформы киберучений готовили представители «Инфосистемы Джет» — компания выступила генеральным партнером события. Более 40 специалистов были привлечены на разных этапах, кроме того, были сотрудники, которые помогли протестировать
все задания, найти и исправить текущие недочеты, откалибровать сложность и среднее время выполнения задания. На время киберучений был организован специальный штаб, который не только мониторил инфраструктуру, но и помогал командам при возникновении технических сложностей. Кроме того, для помощи командам был разработан чат-бот.
«Были и трудности – как и в реальной жизни, что-то подтормаживало, иногда участники случайно выключали машины, и нам нужно было их быстро восстанавливать. Нам было важно, чтобы технические моменты не отвлекали команды, потому что у них спринт – времени и так мало. Взаимодействие с участниками, а также скорость восстановления инфраструктуры стали первыми приоритетами работы нашего штаба. Кстати, самый пик заявок и самая горячая работа чат-бота и штаба приходились на последний час первых двух дней мероприятия – в 23:59 задания закрывались, и команды до последней минуты стремились улучшить свое положение в турнирной таблице», — рассказывает Ольга Елисеева, руководитель сервиса Jet CyberCamp компании «Инфосистемы Джет».
Большая часть заданий CyberCamp 2022 была связана с обеспечением информационной безопасности вымышленной компании SuperCorp. Действио происходило на одной общей типовой инфраструктуре компании, а не отдельных не связанных между собой стендах. Условия были приближены к реальным, а каждое задание начиналось с легенды – какой инцидент случился в инфраструктуре. Команды получали конкретные задачи – что необходимо сделать и какие инструменты для этого использовать.
Пример задания «Кто не спрятался…»:
К вам приходит сотрудник – активный пользователь сети – и жалуется на замедление работы компьютера. А это значит, что на его компьютере, скорее всего, обосновались
вредоносные объекты. Команде необходимо проверить типичные места закрепления вредоносов в системе и найти все причины замедленной работы компьютера пользователя.
Задания были поделены по дням на три тематических блока. В первый день команды учились обеспечивать безопасность инфраструктуры без применения специализированных средств защиты информации. Участникам было необходимо подготовить безопасную ИТ-
инфраструктуру и воспользоваться встроенными механизмами безопасности операционных систем. Во второй день команды учились применять специализированные средства – например,
для защиты веб-приложений, изучения вредоносной активности на конечных точках, автоматизации реагирования на инциденты.
Финальное задание было самым масштабным – для его выполнения задействовалась большая часть ИТ-инфраструктуры виртуальной компании SuperCorp. На задание выделялось 3 часа. Командам нужно было обнаружить действия злоумышленника-инсайдера во внутренней сети. Для этого надо было изучить все данные, поступающие от доступных средств защиты информации и из системных журналов безопасности. Все усложнялось тем, что в компании SuperCorp работала Red Team и их действия тоже фиксировались в логах систем – это могло
запутать команды и навести на ложный след. Команде также было необходимо отправить уведомление об инциденте на копию портала ГосСОПКА. Проверкой уведомлений занимались сотрудники Национального координационного центра по компьютерным инцидентам (НКЦКИ). Они общались с командами через специальный чат на портале ГосСОПКА и задавали уточняющие вопросы. На основании их решения о корректности отправки уведомления выставлялись дополнительные баллы за эту часть задания.
- Первое место: SinSec (Екатеринбург),
- Второе место: Pharmacists (Санкт-Петербург)
- Третье место: Cookie Monster (Екатеринбург).
- Студенческая номинация: Test Team Please Ignore (Архангельск, САФУ).
«Внутри команды мы распеределили роли по компетенциям. Каждый отвечал за ту область, в которой он более компетентен: кто-то за SOC, кто-то за безопасность прикладной части, за сетевую часть, за уязвимости. В общем, мы постарались подготовиться к киберучениям, собрать команду из разных сфер. Сильная сторона нашей команды в том, что мы давно работаем вместе, в том, что мы понимаем друг друга с полуслова, у нас слаженная работа, как в часовом механизме. От лица команды хочу поблагодарить организаторов за такое замечательное
мероприятие», — отмечает Максим, капитан команды-победителя SinSec (Екатеринбурга, Банк Синара).
«Мы представляем Томск, университет ТУСУР. Это было наше первое подобное мероприятие, нам было немного трудно, не все получилось, но тем не менее было очень интересно. И пусть мы не достигли высоких результатов, но получили очень большой опыт по итогам трех дней киберучений», — комментирует Максим, капитан команды Киберволки (Томск).
