В сентябре мы провели CyberCamp 2023, в рамках которого в том числе прошли самые масштабные в России командные соревнования на платформе киберучений. Мы разделили участников на две лиги: корпоративную и студенческую. И в каждой выбрали трех победителей.
Команда CyberNoobs заняла первое место в корпоративной лиге, в которой за приз сражались 66 участников из крупнейших российских компаний. Мы взяли интервью у Алексея, капитана команды. Под катом — его впечатления, обзор заданий и советы будущим участникам.
P. S. Для тех, кто пропустил — об итогах мероприятия уже рассказывали в другом посте.
Почему вы решили поучаствовать в CyberCamp 2023?
Мы уже участвовали в мероприятии в прошлом году и заняли седьмое место. Прошлый CyberCamp оставил позитивные впечатления, наша команда достаточно уверенно шла к призовым местам, но задание по OSINT сместило нас назад. На него у нас оставалось не так много времени, и в итоге из-за спешки мы пошли по ложному следу, сдали неверный флаг и упустили свой шанс.
В этом году вернулись за победой, и вот что получилось : ) Уже ждем с нетерпением следующий кэмп, чтобы еще раз проверить свои силы, оценить новые задания от организаторов и получить бесценный опыт.
Как вы оцениваете уровень заданий?
Уровень был подобран очень грамотно. Где-то нам действительно приходилось хорошенько напрячь мозги, но при этом нерешаемых задач не было. Самым полезным оказалось задание Manifest Fest, так как мы активно развиваем DevSecOps у себя в компании и смогли погрузиться в тонкости написания манифестов для Kubernetes и политик Kyverno.
Какие задания показались самыми интересными в этом году?
Нам с коллегами больше всего понравилось задание Manifest Fest. В нем интересно сочетались элементы Red, Yellow и Blue Team. Само задание было «желтым» и предполагало навыки работы с Kubernetes и kubectl. При этом для добычи флагов нужно было разобраться с менеджером политик k8s Kyverno и его правилами проверки манифестов, которые обычно пишут защитники, т. е. «синие». Мы добыли четыре флага из пяти, не найдя при этом 4-й флаг. Самым сложным оказалось пятое задание, где требовалось добраться до токена от сервисной учетки k8s. Его можно было прочитать в distroless-контейнере с помощью ‘cat’, который заботливо положил туда администратор. Использовав токен, можно было получить доступ к API и забрать там флаг. Это уже настоящий Kill Chain «красных».
Задание было одним из самых сложных для нас, т. к. навыками работы с k8s обладали только два человека в команде, а с Kyverno до этого не работал никто. Пришлось много гуглить и действовать методом проб и ошибок. Зато мы узнали очень много нового, в том числе — как писать безопасные манифесты и правила Kyverno для их проверки.
Также отмечу, что лично я был в восторге от задания «Два в одном», так как это был аналог машинки с Hack The Box, а я большой фанат HTB. Кстати, с этим заданием справилось совсем немного команд, и его решение дало нам хорошую фору.
Было ли сложно работать в команде и как распределялись роли?
Мы все — технические эксперты и работаем вместе в одном департаменте, поэтому с точки зрения взаимодействия и организации проблем не было. Даже несмотря на то, что мы живем в разных городах — Москве, Тольятти и Сыктывкаре.
Роли распределялись в зависимости от навыков каждого. Кто-то был хорошо знаком с MaxPatrol SIEM, и поэтому они взяли на себя задачи по разбору инцидентов, а их было немало. Несколько участников CyberNoobs обладают хорошими навыками soft skills, поэтому они отлично помогли с заданиями по OSINT, подготовкой фишинговых писем и презентаций. А я в первую очередь решал задачки за «красных». Считаю, что нам повезло — у нас подобралась отлично сбалансированная команда, и это стало ключом к успеху!
Как вы готовились к киберучениям?
Почти не готовились, если честно. Мы много работаем, и нам повезло, что удалось найти время хотя бы для участия — тут отдельная благодарность нашему руководителю! Но все коллеги активно развивались в своих направлениях на протяжении всего года. Одни — в DevSecOps, другие плотно работают в SIEM и расследуют инциденты, я часть своего рабочего времени посвящаю внутренним пентестам, а в свободное время решаю задачки на Hack The Box, поэтому близко знаком с задачами Red Team. Знаю, что часть коллег активно участвовали во всех митапах CyberCamp и были в лидерах в общем зачете. Несомненно, это тоже помогло.
В чем ваши сильные стороны, как команды?
Несмотря на то, что мы не так часто принимаем участие в подобных мероприятиях, наша сила — в нашей сплоченности и сбалансированности команды. Мы собрали хороших специалистов с разными компетенциями, которые покрыли практически все требуемые области, и удачно дополнили скиллы друг друга. Также в этом году мы участвовали в Standoff в качестве «синих», что помогло нам прокачать навыки работы в SIEM, поиска инцидентов ИБ и векторов атак.
Насколько для вас оказался полезным опыт кэмпа?
Мы многому научились, например, разгадывать ребусы и выбирать арбузы. Кто нашел последний флаг последнего задания, тот поймет, о чем я :)
Если серьезно, CyberCamp — однозначно одно из главных событий для российского ИБ-комьюнити. Понравилось, что в основе большинства заданий были современные трендовые кейсы. Каждый из нас действительно многому научился, а соревновательная динамика создавала отличную атмосферу, укрепляла дух и веру в себя. Надеюсь, что кэмп будет активно развиваться в будущем.
Еще хочу отметить, что все участники были в восторге от визуального оформления мероприятия, слайдов, анимационных роликов и прочего — всё было сделано на высшем уровне и с любовью!
Почему капитаном стал именно ты?
Наш департамент был создан несколько лет назад, и я пришел в него одним из первых. Когда мы формировали наш дружный коллектив, я принимал в этом активное участие, и я горжусь тем, что у нас получилось собрать такую, не побоюсь этого слова, выдающуюся команду!
К тому же я уже очень давно работаю в сфере ИБ, и у меня чуть больше опыта участия в командных CTF, чем у остальных. Видимо, это и стало главными факторами при выборе лидера для соревнований в рамках CyberCamp. Но я считаю, что роль капитана часто сильно переоценивается, и наша победа — это заслуга каждого участника команды. Нельзя сказать, что кто-то из нас был решающим звеном — каждый внес огромный вклад в нашу победу!
Ожидали, что возьмете первое место?
Мы были настроены очень решительно и хотели реабилитироваться после досадной ошибки в прошлом году. Уже в конце второго дня кэмпа мы понимали, что если не произойдет какого-то форс-мажора, то мы выиграем, так как успели оторваться от остальных участников более чем на 50 очков. После того как мы сдали все флаги последнего задания, все выдохнули и пошли готовиться к объявлению результатов, чтобы отмечать нашу победу!
Что вы посоветуете будущим участникам CyberCamp?
В сфере ИБ можно развиваться и учиться бесконечно, и практический опыт — превыше всего. Чем больше навыков у вас и у вашей команды, тем больше шансов на победу. Наш совет — не бойтесь идти вперед, постоянно учитесь новому, развивайте свои навыки, решайте задачки на HTB и TryHackMe, не забывайте про митапы CyberCamp, и мы с удовольствием поборемся с вами за победу в следующем году. Но даже не надейтесь, что будет легко ;)