Ростех определил лучших киберзащитников по итогам CTF-турнира на платформе CyberMir

ГК «Солар», архитектор комплексной кибербезопасности, провела соревнования в рамках компетенции «Кибербезопасность» для сотрудников организаций Госкорпорации Ростех. Участие приняли около 50 ИБ-специалистов, которые отвечают за киберзащиту IT-компаний, предприятий химической промышленности, радиоэлектронного и авиационного комплексов, входящих в структуру корпорации. Соревнования стали частью ежегодного корпоративного чемпионата «Время первых», который Ростех реализует для поддержки и профессионального развития специалистов промышленных предприятий.

Николай Волобуев

член Бюро Союза машиностроителей России, заместитель генерального директора Госкорпорации Ростех

«Ростех уделяет большое внимание подготовке специалистов в сфере информационной безопасности. Цифровая устойчивость предприятий сегодня напрямую связана с технологическим развитием и конкурентоспособностью. Включение в этом году компетенции «Кибербезопасность» в корпоративный чемпионат «Время первых» позволило участникам проверить навыки, обменяться опытом и освоить новые методы противодействия угрозам. Конкурсанты продемонстрировали высокий уровень профессионализма. Полученные в ходе соревнований знания и навыки помогут специалистам Корпорации повысить устойчивость и надежность промышленных систем к современным вызовам в сфере информационной безопасности».

Для организации чемпионата «Солар» предоставил платформу CyberMir, на которой развернулась борьба среди команд Blue team. Участникам предстояло выполнить шесть типов заданий по поиску следов кибератак и заданной информации. Так, в заданиях по анализу дампов сетевого трафика (pcap) и журналов событий (auditd) киберзащитники должны были определить MAС-адрес компьютера и его IP-адрес, количество DNS-запросов к серверу и найти несколько «флагов». Одной из задач стал поиск следов злоумышленников, включая инструменты сканирования инфраструктуры и уязвимость, которую хакеры использовали для атаки на хост.

Киберзащитники должны были найти следы кибератак в логах системы обнаружения вторжений Suricata и выявить инструмент сканирования узлов, дату атаки, с какого адреса она была реализована. Базой для чемпионата также стали задания по поиску действий киберпреступников в Windows Event Log, включая скомпрометированную учетную запись, которая стала «воротами» для проникновения в инфраструктуру, точный код техники по классификации MITRE ATT&CK, пароль от скомпрометированной учетной записи и инструмент для горизонтального перемещения. Финальным заданием стал анализ экземпляра вредоносного ПО. Киберзащитники должны были определить, для какого типа операционных систем разработан шифровальщик, указать путь шифрования файлов, определить алгоритмы шифрования и на какие ресурсы отправляются ключи шифрования.

Сергей Кулаков

директор департамента «Киберполигон» ГК «Солар»

«В ходе киберучений мы помогаем компаниях проверить навыки команд Blue team по 20 направлениям и сформировать программу с учетом реального уровня подготовки группы. Киберзащитники предприятий Ростех продемонстрировали высокий уровень подготовки и профессионализма при расследовании кибератак. При подготовке сценариев мы использовали практику реагирования и расследования киберинцидентов, которую регулярно аккумулируют центр противодействия кибератакам Solar JSOC и центр исследования киберугроз Solar 4Rays. Поэтому мы уверены, что опыт, полученный в ходе киберучений для Ростех, позволит ИБ-профессионалам быстрее внедрить актуальные навыки в повседневную работу».

В рамках киберучений в офлайн и онлайн-формате «Солар» оценивает действия киберзащитников по четырем основным метрикам − Mean Time to Detect (MTTD), Mean Time to React, Mean Time to Respond и Mean Time to Recover. По итогам соревнований участники получают дифференциальные отчеты, которые показывают уровень знаний и компетенций применительно к каждой роли в Blue team.