Хочешь легально взламывать реальную ИТ-инфраструктуру? Присоединяйся к красной команде! Мечтаешь отражать самые изощрённые хакерские атаки? Твоё место — в команде синих! В совместном эфире AM Live и Standoff топовые эксперты вместе с организаторами обсудили кибербитву от Positive Technologies.
- Введение
- Пара слов о платформе Standoff 365
- Кому и зачем это нужно
- 3.1. Мнение атакующих
- 3.2. Мнение защитников
- 3.3. Тема мотивации
- Как устроена кибербитва
- 4.1. Визуализация
- 4.2. Механика и правила
- 4.3. Подготовка красных
- 4.4. Подготовка синих
- 4.5. Роль менторов
- Порог вхождения
- Зачем возвращаться
- Советы новичкам
- Выводы
Введение
В недавнем эфире AM Live, проведенном совместно со Standoff, эксперты из красных и синих команд обсудили, зачем нужна кибербитва, ее устройство, определили, кому стоит участвовать, и поделились своим ценным опытом.
Со стороны команд атакующих (красных) принимали участие:
- Виктор Зварыкин (VeeZy), участник команды Jet Infosystems;
- Павел Чернышёв (crypt0b0y), участник команды DreamTeam;
- Иван Булавин (BooL), руководитель отдела экспертизы промышленных систем управления в Positive Technologies.
Рисунок 1. Участники дискуссии: Blue Team — слева, Red Team — справа
Со стороны команд защитников (синих):
- Денис Волохов, капитан команды MaybeFalse;
- Максим Шалыгин, капитан команды Your Shell Not Pass;
- Олег Иванов, технический директор платформы Standoff 365.
Ведущий и модератор дискуссии — Илья Шабанов, генеральный директор «АМ Медиа».
Для тех, кто не успел на трансляцию, мы подготовили выжимку главных тезисов мероприятия.
Пара слов о платформе Standoff 365
Платформа Standoff 365 предназначена для повышения защищенности бизнеса с помощью практических киберучений и исследования систем безопасности. Она состоит из:
- онлайн-полигона — виртуальной среды, имитирующей реальную инфраструктуру компаний различных отраслей экономики;
- кибербитвы — международных соревнований, где команды защитников и хакеров могут проверить свои навыки в оффлайн-противостояниях, проводимых несколько раз в год;
- багбаунти — платформы, позволяющей белым хакерам легально искать уязвимости и получать за это вознаграждение.
Сейчас кибербитва проходит несколько раз в год, в том числе как часть международного киберфестиваля Positive Hack Days Fest (PHDays Fest). Кибербитва Standoff 14 состоится уже этой осенью.
Рисунок 2. Команда DreamTeam заняла первое место на Standoff 13
Кому и зачем это нужно
Приглашённые эксперты поделились мыслями о мероприятии, каждый — со своей стороны.
Мнение атакующих
Для Виктора «VeeZy» кибербитва — это и турнир, и интенсив одновременно:
«Ты на нём [на Standoff] хочешь выступить как можно лучше. Сильнейшие команды, в составе которых руководители, лидеры Red Team — они к нему готовятся. Соответственно, чтобы их догонять, нужно готовиться ещё больше. И плюс это своего рода интенсив, потому что четыре дня... Это очень драйвовое ощущение, когда ты знаешь, что в этот момент времени сильнейшие ребята одновременно с тобой ломают инфраструктуру полигона… То есть ты хочешь показать как можно лучший результат и в то же время прокачиваешь навыки».
Рисунок 3. Рейтинг участников Standoff 365 по заработанным баллам
Иван «BooL» согласился и отметил, что настоящая соревновательная часть начинается не сразу, а лишь на третий год участия в кибербитве. Первые же два года больше напоминают интенсивное обучение:
«Кибербитва Standoff на самом деле имеет двойное назначение. Это больше похоже на соревнования олимпиадного характера. Когда ты туда приезжаешь в первый, второй, третий раз — назовём их первыми, — ты больше смотришь, что вообще происходит, адаптируешься, в целом получаешь очень много знаний. Это новая среда, непривычный формат, он совершенно отличается от привычных, допустим, соревнований CTF... А дальше это приобретает исключительно соревновательный характер. Год из года ты видишь участников, понимаешь, кого хочешь обогнать, и каждый раз, когда приходишь, уже нацеливаешься на какую-то планку, пытаешься её достичь».
Постоянный участник соревнований по ИБ Павел «crypt0b0y» дополнил, что даже для опытных белых хакеров первое участие в Standoff может стать откровением. Оно раскрывает зоны развития, направления оттачивания навыков. Но постепенно соревнования превращаются в вызов самому себе, где главной целью становятся новые и новые победы.
Красные сходятся во мнении, что кибербитва Standoff — это возможность:
- Сразиться с сильнейшими командами и показать максимальный результат.
- Пройти интенсивное обучение и развить практические навыки.
- Адаптироваться к новому формату и получить ценный опыт.
- Найти зоны развития и точки роста.
- Получить «драйв» и удовольствие от процесса.
Рисунок 4. Представители Red Team (BooL, VeeZy, crypt0b0y)
Мнение защитников
Мнение синих несколько отличается. Для них кибербитва — возможность в безопасной среде наблюдать за реальными атаками, оттачивать навыки обнаружения угроз, отрабатывать реагирование на инциденты и обучать начинающих специалистов. Соревновательная составляющая для них вторична.
Так, капитаны команд защитников Максим Шалыгин и Денис Волохов считают Standoff в большей степени образовательной площадкой, нежели соревнованием.
Рисунок 5. Максим Шалыгин, капитан команды Your Shell Not Pass
Максим Шалыгин отмечает:
«Это элемент обучения. Соревновательного элемента у нас как такового нет. Единственное — можно соревноваться с самим собой из предыдущего года... В первую очередь мы ходим для того, чтобы быстро прокачать молодых ребят, которые только пришли. Плюс, наверное, те, кто постарше и уже участвует не в первый раз, проверяют, насколько более крутые инциденты они могут расследовать, более крутые цепочки атак складывать... Так что я думаю, что в первую очередь для синих это — интенсив, а соревновательная составляющая касается только самого себя и вторична».
Рисунок 6. Денис Волохов, капитан команды MaybeFalse
Денис Волохов частично согласен, но подчёркивает элемент соревновательного азарта:
«На одном стенде могут работать две команды, и они, соответственно, расследуют одни и те же инциденты. Можно в целом посмотреть, насколько быстрее твоя команда обрабатывает критическое событие, которое произошло, либо какой-то инцидент, который был зафиксирован, и на этом количестве очков, грубо говоря, посмотреть общий рост и скорость реагирования, отслеживать какие-то параметры. Но всё же это больше обучение, нежели какое-то соревнование».
Рисунок 7. Олег Иванов, технический директор платформы Standoff 365
Олег Иванов как представитель Standoff поддержал спикеров и подчеркнул гибкость платформы, позволяющую синим ставить разнообразные цели и проверять различные сценарии реагирования на инциденты.
Иначе говоря, для защитников кибербитва — это:
- Возможность обучать молодых специалистов.
- Шанс разобрать сложные кейсы и инциденты.
- Способ проверить скорость и качество реагирования.
- Гибкий инструмент для отработки различных сценариев защиты.
- Площадка для проверки эффективности СЗИ.
- Возможность отработать слаженность действий внутри команды.
Рисунок 8. Эксперты Blue Team (Денис Волохов, Максим Шалыгин, Олег Иванов)
Тема мотивации
Признание в сообществе, личные достижения, награды на платформе… Что ещё стимулирует участников?
Рисунок 9. Иван Булавин, руководитель отдела экспертизы промышленных систем управления в Positive Technologies
Иван Булавин, например, видит в Standoff весомый аргумент на собеседовании:
«Как сказал Паша, топ-10 в рейтинге пользователей Standoff — это весомая штука. Можно написать о ней в резюме, прийти с нею на собеседование. Люди понимают, что это такое».
Рисунок 10. Виктор Зварыкин, участник команды Jet_Infosystems
Виктор Зварыкин добавил:
«По своей ценности на рынке ты однозначно растёшь. Плюс сейчас это единственное место, которое учит практической безопасности, аналогов ему нет. Также это — выход на международный уровень: так как участвуют команды из различных стран, ты можешь смело заявлять, что победил в международных соревнованиях».
Рисунок 11. Павел Чернышёв, участник команды DreamTeam
Павел Чернышёв обратил внимание на финансовую сторону:
«Это реальные соревнования с настоящими деньгами. Мы действительно их получили на команду. То есть это — не просто игра. Здесь реально можно заработать деньги. И немаленькие суммы». (Примечание: призовой фонд в этом году составил 15 млн рублей)
Как отметил Максим Шалыгин, важно уметь преподносить и показывать руководству свои результаты. Если прийти и сказать «смотрите, у меня была такая команда, мы делали вот такие недопустимые события, вот так их расследовали, столько-то времени у нас это занимало…», то можно получить определённый бюджет на команду. Подчеркнул спикер и ценность профессионального роста.
Денис Волохов добавил:
«Материальная мотивация для меня не особо важна. Площадка предоставляет возможность пощупать уникальный трафик, который ты разбираешь на потоке, и потом ты его в любом случае материализуешь у себя: в своих правилах каких-то, что-то ещё новое подкрутишь, что-то поищешь, какие-то нюансы, может, пробелы выявишь и их восполнишь... То есть какого-то денежного вознаграждения вроде бы нет, но ты получаешь большой опыт».
Тему мотивации подытожили опросом зрителей.
Рисунок 12. Какова для вас приоритетная цель участия в киберучениях?
Отдельно стоит отметить аспект взаимодействия с работодателями, который затронули участники дискуссии. Павел Чернышёв (crypt0b0y) из красной команды упомянул, что работодатель их спонсирует. Максим Шалыгин, представлявший синюю команду, отметил отсутствие препятствий со стороны руководства. Бизнес видит ценность участия своих специалистов в Standoff. Полученные знания и навыки работают на укрепление защиты корпоративных систем, а успехи команд повышают профессиональную репутацию компаний.
Как устроена кибербитва
Участники эфира поделились инсайдами о внутренней кухне Standoff. Вопрос успели разобрать как со стороны организаторов, так и со стороны участников.
Визуализация
Была затронута тема антуража и зрелищности. Олег Иванов отметил, что за визуальную часть у них отвечает отдельная команда специалистов. Уделяется большое внимание красочному оформлению, игровым механикам, качественным фото- и видеоматериалам. Всё это работает на погружение участников и зрителей в атмосферу кибербитвы.
Рисунок 13. Визуальное оформление Standoff 13
Механика и правила
Правила кибербитвы Standoff предполагают, что у защитников есть возможность сообщать о выявленных инцидентах и событиях в рамках своей инфраструктуры. При реализации критического или недопустимого события со стороны атакующих синие обязаны начать его расследование. В некоторых сегментах инфраструктуры вступает в силу механика реагирования: защитники противодействуют атакующим, но не в полную силу, чтобы дать красным возможность попробовать обойти защиту.
Важным элементом является доступность инфраструктуры. За этим следят специальные программные компоненты, фиксирующие периоды недоступности в ходе организации противодействия.
За корректным ходом кибербитвы наблюдают организаторы, жюри и центр мониторинга (SOC). Жюри обрабатывает отчёты команд. С помощью SOC отчёты валидируются на соответствие требованиям. Аналитики, SOC и авторы заданий проверяют, нашло ли заявленное в отчётах своё фактическое отражение в протоколах систем мониторинга. Только после этого отчёт принимается и передаётся на рассмотрение по части полноты и качества проведённого расследования. При необходимости отчёт отправляют на доработку.
Организаторам удалось создать вполне прозрачную и понятную систему оценки. Для красных команд создана сводная таблица результатов (scoreboard), а для синих предусмотрен набор метрик: время доступности инфраструктуры, скорость реагирования, количество заявленных атомарных инцидентов. При этом баллы синим по этим метрикам не начисляются, они лишь позволяют оценить выполнение задач, которые команда поставила перед собой. У красных же есть два направления получения баллов: реализация критических событий и обнаружение уязвимостей в инфраструктуре. Уязвимости дают меньше баллов, но позволяют набрать очки уже в самом начале, когда первые реализации критических событий могут затянуться до второго дня соревнований. Тот, кто реализовал критическое событие первым, получает максимум баллов; все последующие реализации того же события приносят меньше.
По сценариям использования платформы Олег Иванов выделяет два направления: мониторинг и расследование инцидентов защитниками, а также реагирование на действия атакующих. В рамках онлайн-полигона, предполагающего более длительное погружение (ограниченное лишь подпиской), создаются и другие сценарии — например, укрепление инфраструктуры (hardening). Однако для ограниченного по времени офлайн-события наиболее продуктивно фокусироваться именно на расследовании и управляемом реагировании. Поскольку полный доступ защитников к своей инфраструктуре сложнее контролировать, в таком формате они осуществляют реагирование в большей степени через встроенные продукты. Это даёт больше прозрачности для жюри, организаторов и атакующих.
Подготовка красных
Илья Шабанов, как модератор дискуссии, поднял вопрос подготовки к кибербитве Standoff, который особенно актуален для новичков. Участники эфира поделились своими наработками.
Рисунок 14. Илья Шабанов, генеральный директор «АМ Медиа»
Виктор «VeeZy» подчёркивает важность решения именно тех задач, которые ставят организаторы Standoff. Для этого он советует тренироваться на онлайн-полигоне Standoff, доступным круглый год. Там можно освоить механику реализации событий и отработать необходимые навыки. Достоинством он назвал оперативную техподдержку через телеграм-чат.
Павел «crypt0b0y» добавил, что для преодоления сложностей важно работать в команде и не стесняться просить помощи у товарищей: «…если друг не помог, позови второго друга».
Подготовка синих
У защитников подход к подготовке несколько отличается. Для них важно детально изучить защищаемую инфраструктуру. В остальном прослеживаются общие с красными моменты: упор на командную работу, отработку взаимодействия, специализацию по областям.
Максим Шалыгин отметил, что их подготовка начинается с анализа того, какую отрасль они будут защищать. Далее они изучают инфраструктуру, ищут известные эксплойты. По возможности проводится пентест. На основе этого готовятся правила, определяются потенциальные точки входа для атакующих. Затем переходят ко внутренней инфраструктуре, выявляют критически важные активы, моделируют возможные маршруты продвижения «красных» и фокусируются на защите ключевых точек. Также он подчеркнул важность распределения ролей в команде: «…у меня есть определённые люди, которые отвечают за те или иные СЗИ».
Денис Волохов, капитан команды MaybeFalse, участвовавшей в кибербитве впервые, рассказал, что им как новичкам сперва нужно было разобраться в СЗИ, применяемых в виртуальной инфраструктуре Standoff. Здесь помогли менторы. Затем команда тоже перешла к изучению инфраструктуры, поиску возможных векторов атаки, моделированию действий красных. При этом в реальности многие предполагаемые сценарии не сработали, но подготовка всё равно сильно облегчила работу уже в ходе кибербитвы.
Иначе говоря, для синих при подготовке важно детально изучить защищаемую инфраструктуру, смоделировать возможные действия атакующих и распределить роли и зоны ответственности внутри команды.
Роль менторов
Организаторы Standoff для подготовки команд и быстрой адаптации новичков предлагают опцию менторства. Ментор команды — это эксперт, помогающий освоиться, разобраться в правилах и механике соревнований.
По мнению спикеров из Blue Team, для команд-новичков менторы крайне важны: они помогают снять стресс от погружения в незнакомую среду, быстрее пройти адаптацию и сфокусироваться на самой игре. Олег Иванов как организатор согласен с этой точкой зрения: он видит в менторе помощника для синей команды, существенно снижающего порог входа.
Обсудили в эфире и тему внедрения менторства для красных. Павел Чернышёв предупредил об опасности чрезмерной опеки, лишающей участников самостоятельности:
«Я считаю, что ментор должен быть независимым, во-первых, а не аффилированным лицом от компании. Второе: ментор в принципе полезен для новых команд, но главное — не переборщить в такую сторону, когда молодые специалисты перестают что-то выяснять самостоятельно. Как говорится, если чего-то не знаешь, иди в “Гугл” или “Яндекс”, поизучай, потом ещё раз поизучай, пока не найдёшь информацию».
Виктор «VeeZy» не согласился и привёл в пример свой позитивный опыт наставничества на Standoff:
«Могу привести аналогию: я на платформе нахожусь вверху рейтинга, и мне иногда пишут начинающие ребята, которые спрашивают, как сделать тот момент или этот... Если решаешь один, ты можешь застрять и потерять интерес, что-то тебя может отпугнуть, долго может что-то не получаться. И я всегда рад помочь ребятам, если нужно подсказать им какой-то небольшой шаг, направить, чтобы они дальше продолжали изучать платформу, потому что она реально огромная и очень интересная».
В целом, единого стандарта менторской поддержки нет: слишком многое зависит от опыта и запросов конкретной команды.
По результатам опроса зрителей, большинство считает сложившиеся механики и сценарии интересными.
Рисунок 15. Что вас больше всего привлекает в кибербитве Standoff?
Порог вхождения
Посетителям офлайн-события — просто зрителям — часто не до конца понятна вся сложная механика происходящего, ведь прямых аналогов Standoff в мире нет. Организаторы прилагают усилия, чтобы сделать происходящее более доступным: улучшают визуализацию, упрощают формулировки, развивают онлайн-платформу с возможностью попробовать себя в роли участника.
О пороге вхождения для защитников высказался Денис Волохов. По его мнению, участие будет полезно любому специалисту SOC вне зависимости от уровня: «...если чего-то не хватает — здесь этому научат, а если что-то уже знаешь — отточишь навык».
С позиции атакующих, для участия в кибербитве Standoff нужны некоторый уровень знаний и навыков, желание учиться, ИБ-бэкграунд. Павел Чернышёв назвал главными факторами желание самообучаться и способность подтверждать полученные навыки. Помимо тренировок на платформе Standoff 365, он советует проходить лабы на Hack The Box, Root Me и участвовать в программах Bug Bounty.
Виктор Зварыкин отметил, что сейчас «идеальное время» для того, чтобы «вкатиться в кибербитву Standoff»: есть и видеоролики, и статьи, и мастер-классы от капитанов команд, рассказывающих, например, об управлении инцидентом.
Организаторы активно развивают обучающие инициативы, чтобы облегчить для участников прохождение порога вхождения. Так, Олег Иванов упомянул привлечение к соревнованиям студентов профильных специальностей, работу с вузами.
Иван Булавин подчеркнул, что просто прийти и сразу начать побеждать на кибербитве не получится. А вот онлайн-полигон он тоже считает отличной тренировочной площадкой для получения нужных компетенций.
В итоге, для синих достаточно работать в SOC и иметь базовые знания о системах защиты, а красным пригодятся способность и желание самостоятельно развиваться. И тем и другим в этом активно помогают организаторы, предоставляя площадку для тренировок и проводя отдельные соревнования для новичков и студентов. Обилие обучающих материалов от опытных участников в открытом доступе существенно упрощает вхождение.
Зачем возвращаться
Эксперты поговорили и о целесообразности повторного участия в кибербитве и пришли к выводу, что она остаётся актуальной для многих категорий игроков.
Максим Шалыгин видит в этом возможность передать знания и развить навыки новичков в команде. Денис Волохов помимо ротации кадров и обучения считает важным своеобразный вызов: получится ли справиться лучше, чем в прошлый раз. Иван Булавин подчеркнул постоянную гонку вооружений в отрасли и, как следствие, необходимость держать руку на пульсе:
«В ИБ нельзя научиться всему. Нет такого. Если ты месяц что-то не делаешь, значит, ты отстал от индустрии... Standoff — это не о том, чтобы научиться пользоваться средствами защиты как таковыми, а о том, чтобы научиться реагировать на то, как тебя атакуют».
Виктор Зварыкин и Павел Чернышёв из красных команд отметили спортивный интерес и желание быть лучше конкурентов. При этом для Павла кибербитва — это ещё и полигон для отработки новых приёмов: «мы там обкатываем новые техники, которые потом применяем в работе. То есть это достаточно хороший полигон, хорошая инфраструктура».
Таким образом, Standoff остаётся актуальным и полезным полигоном даже для бывалых участников, будучи площадкой для профессионального развития и азартной конкуренции с сильнейшими командами отрасли.
Советы новичкам
Участники встречи поделились «лайфхаками» для новичков, желающих попробовать свои силы в кибербитве Standoff:
- Присоединиться к сообществу Standoff в Telegram, следить за новостями и анонсами. В чате можно познакомиться с лидерами команд, найти единомышленников или даже получить приглашение в команду.
- Зарегистрироваться на платформе Standoff 365 и пробовать разные режимы — от студенческих соревнований до багбаунти. Это идеальная тренировочная площадка как для развития навыков белого хакера, так и для знакомства с процессом расследования инцидентов.
- Не стесняться просить помощи у более опытных участников. Все когда-то начинали с нуля. В ИБ-сообществе принято делиться знаниями и поддерживать новичков.
- Объединяться с другими новичками в команды. Вместе тренироваться и осваивать новое всегда легче и интереснее, чем поодиночке. Совместная подготовка к Standoff — отличный тимбилдинг.
- Определиться, что ближе — атака или защита, — и развиваться в выбранном направлении. Совмещать «красное» с «синим» трудно, лучше сконцентрироваться на чём-то одном.
- Не бояться поражений, воспринимать их как ценные уроки. В Standoff даже неудача — это выигрыш в знаниях и опыте.
- Поддерживать внутренний азарт и любопытство. Это главные двигатели профессионального роста в ИБ. Деньги и имя придут как следствие.
- Присмотреться к Standoff как к платформе для построения карьеры. Здесь получают реальные навыки, знакомятся с экспертами, находят работу в ведущих компаниях.
Главный посыл: не откладывать участие в долгий ящик. Сейчас — регистрироваться, пробовать онлайн-режимы, знакомиться с сообществом. Дальше — втягиваться, расти над собой, получать удовольствие от процесса.
Выводы
Если раньше у аудитории могли возникать вопросы относительно механики проведения кибербитв, внутренних процессов на платформе, критериев оценки, возможностей для погружения и развития в теме ИБ, то теперь многие спикеры дали исчерпывающие ответы.
В целом платформа, с одной стороны, даёт защитникам возможность перенять опыт отражения реальных атак, отработать взаимодействие внутри команды, развить навыки; с другой — позволяет атакующим оттачивать тактики и техники взлома в динамичной среде, соревноваться с сильнейшими командами, двигать вперёд теорию и практику этичного хакинга.
Организаторы Standoff в лице Олега Иванова и Ивана Булавина раскрыли внутреннюю кухню: гибкость платформы и возможности индивидуализации под нужды участников, акцент на зрелищности и игровой механике, постоянное расширение форматов и режимов как онлайн, так и офлайн. Также они поделились планами привлекать всё больше молодых талантов, готовить почву для появления новых звёзд на хакерском небосклоне, воспитывать новое поколение экспертов по кибербезопасности.
Финальный опрос показал, насколько зрителям интересно принять участие в следующей кибербитве.
Рисунок 16. Хотите ли вы принять участие в Standoff?
Илья Шабанов подвёл итог встречи так:
«Мне кажется, что Standoff для синих — это такой фитнес. Ты идёшь туда и прокачиваешь все свои навыки, как мышцы. Для красных это — олимпиада, то есть ты идёшь показать себя, где-то преодолеть, стать лучшим; есть соревновательный эффект. Мне кажется, это абсолютно разные подходы, разные идеологии».
Стать зрителем или участником 14-й кибербитвы Standoff можно уже этой осенью.
Телепроект AM Live еженедельно приглашает экспертов отрасли в студию, чтобы обсудить актуальные темы российского рынка ИБ и ИТ. Будьте в курсе трендов и важных событий! Для этого подпишитесь на наш канал в YouTube.