На Национальном киберполигоне прошла масштабная «Кибербитва», в которой приняли участие команды по реагированию на кибератаки (Cyber Incident Response Team, CIRT) крупных компаний, ведущих банков, органов государственной власти, а также студенты профильных специальностей и эксперты ИБ-рынка. Мероприятие состоялось в рамках VIII ежегодного SOC-Форума, посвященного практике противодействия кибератакам и построения центров мониторинга информационной безопасности. Кибербитву организовали специалисты компании «Ростелеком-Солар».
Участники кибербитвы
Участники Кибербитвы на SOC-Forum разбились на две группы команд: половина из них примерила на себя роль атакующих (Red Team), а остальные выступали на стороне защиты (Blue Team). Всего в киберучениях соревновались 18 команд, среди которых были представители таких компаний, как TSARKA, Россельхозбанк, Angara Security, «ИБ Реформ», и ряда других организаций из банковской, нефтегазовой и электроэнергетической отраслей. В том числе отдельные команды на соревнования выставили международное сообщество экспертов по практической кибербезопасности Codeby.net и российские университеты ИТМО, РГГУ и СПбГУТ. Часть участников располагались непосредственно на площадке Кибербитвы на SOC-Forum, другие подключались к киберучениям в дистанционном формате.
Ход битвы
Атакующие и защитники боролись за контроль над ИТ-инфраструктурой на протяжении порядка восьми часов. Каждая «синяя» команда защищала свою виртуальную организацию: банк, нефтегазовую компанию или предприятие электроэнергетики. Специально для проведения Кибербитвы на SOC-Forum эксперты «Ростелеком-Солар» смоделировали цифровые двойники типовых инфраструктур предприятий и воссоздали на них производственные и бизнес-процессы, которые происходят в реальности.
К началу противостояния все объекты находились в защищенном и работоспособном состоянии. Первыми доступ к инфраструктуре получили «синие» команды: им предстояло оперативно реализовать меры по повышению её кибербезопасности. Затем в игру вступили атакующие, которым требовалось максимально быстро преодолеть защиту и перехватить контроль над хостами, установив на них специальный «флаг». «Красные» команды могли атаковать инфраструктуры сразу нескольких «синих», однако у каждой из них была приоритетная цель, за успешные атаки на которую можно было получить вдвое больше баллов, чем на остальные.
Навыки и компетенции Кибербитвы
На кибербитве участники отрабатывали навыки защиты от киберугроз в максимально близких к реальным условиях, не подвергая опасности настоящие предприятия. “Красные” команды тренировались выявлять уязвимости в инфраструктуре и небезопасные настройки средств защиты, а “синие” — детектировать и противодействовать кибератакам, а также проводить их расследование. Фактически защитники отрабатывали компетенции по обеспечению киберустойчивости организаций в режиме реального времени. Показательно, что Blue-команды для восстановления контроля над инфраструктурой применяли техники, присущие атакующим, а Red-команды, напротив, для удержания захваченной инфраструктуры использовали техники, характерные для защитников», — отметил директор департамента Национального киберполигона компании «Ростелеком-Солар» Евгений Акимов.
Итоги Кибербитвы
В завершение мероприятия организаторы разобрали вместе с участниками их итоговые отчеты о кибератаках, представили финальный скоринг и наградили команды, показавшие лучшие результаты. Победу в Кибербитве на стороне атакующих одержала команда «Angara Pentest Team» компании Angara Security. На стороне защиты первенство завоевала команда «False Positive» из компании «ИБ Реформ». Её участники оперативно реагировали на все инциденты и быстро восстанавливали доступ к захваченным хостам, поэтому никому из атакующих не удавалось удерживать на них свои «флаги». Второе место среди защитников заняла команда «Cyber Team», которая представляла Россельхозбанк. Кроме того, организаторы отметили команду «Редгнин» специальной номинацией «Первая кровь» за первую успешную атаку на инфраструктуру защитников.
«Это был первый и весьма захватывающий опыт участия в Кибербитве на киберполигоне среди как именитых команд, так и ранее нам незнакомых. Сам формат соревнований давно уже зарекомендовал себя как один из самых эффективных для тренировки навыков, однако некоторые технические моменты были в новинку. Например, снятие баллов за то, что твой флаг удалила команда защиты, стимулировало нас не просто добираться до цели, но и удерживать свои позиции на протяжении всей битвы. А это не так уж и просто, когда ты противостоишь экспертам высокого уровня. В любом случае, участие в киберучениях на стороне Red Team оставило у нас исключительно положительные эмоции, за что хотели бы выразить благодарность как организаторам, так и всем участникам этой кибербитвы», — прокомментировал участие команды «Angara Pentest Team» руководитель отдела анализа защищенности компании Angara Security Сергей Гилев.
Мастер-классы Кибербитвы
Также в рамках Кибербитвы на SOC-Forum эксперты «Ростелеком-Солар» провели серию мастер-классов для руководителей высшего звена на базе корпоративного сегмента Национального киберполигона, имитирующего типовую офисную инфраструктуру. На примере автоматизированных сценариев кибератак, основанных на действиях реальных злоумышленников, специалисты киберполигона познакомили участников с особенностями процессов мониторинга и реагирования на кибератаки. В ходе мастер-классов топ-менеджеры компаний не только погрузились в особенности работы служб кибербезопасности, но и попробовали на собственном опыте выявлять и расследовать кибератаки.