Всероссийская студенческая кибербитва (для своих ВСКБ) — это крутое киберсоревнование, которое мы проводим для студентов направлений информационная безопасность. Всё почти как у взрослых: киберполигон на базе корпорации N, на котором команды атакующих реализуют киберугрозы, а защитники мониторят инфраструктуру и реагируют на инциденты.
Innostage уже провела две кибербитвы — в Казани на Kazan Digital Week и в Москве на Positive Hack Days 2. Сегодня мы, команда менторов синих — Даниил Романовский и Ислам Гиззатуллин, — расскажем, что нужно студентам, чтобы пройти отбор, подготовиться к кибербитве и сразиться за победу.
Общие требования
Для участия в кибербитве есть несколько базовых требований.
Вы должны быть студентом. Вуз может быть любой, направление тоже — но по опыту, легче тем ребятам, которые учатся именно по профилю информационной безопасности. Не важен ни возраст участников, ни их пол.
На киберполигоне сражаемся командами. Всего в команде должно быть от 5 до 10 человек. Необязательно быть уже сыгранными, можно объединиться под конкретную битву.
У команды обязательно должен быть капитан: он будет отвечать за организационные моменты, в том числе за подачу заявки на битву. В одной команде могут быть участники разных вузов — в таком случае принадлежность команды будет также определяться по капитану (откуда он, оттуда и команда).
Кроме того, есть пункты, которые облегчат вам отбор.
Для команды Защитников — это призовое или выигрышное место на прошедших Студенческих кибербитвах. При отборе менторы смотрят также на резюме членов команды.
Что станет плюсом в резюме:
Пройденные стажировки в реальных ИБ-компаниях.
Участие в проектах типа Студенческого SOC.
Участие в CTF-играх (о них ещё расскажем).
А как подготовится, чтобы не только поучаствовать, но и достичь крутого результата?
Иметь представление о системах внутри инфраструктуры. Навыки администрирования помогают понимать, как внутри каждого хоста работают разные службы. Это позволит с ходу отличать легитимные процессы от нелегитимных. Во время кибербитвы вы сможете быстрее их опознавать и соответствующе реагировать.
Во время последней кибербитвы в Москве ребята из одной команды создали схему инфраструктуры в Miro. Когда происходили инциденты на разных участках системы, они сразу помечали её стикером в нужном месте. Это позволило быстрее реагировать на цепочки атак и систематизировать действия красных.
Понимать, как действуют красные. Здесь помогут фреймворки, главный — MITRE ATT&CK. Внутри этой матрицы собраны техники и тактики, которые используют злоумышленники для атак на реальные инфраструктуры. Все техники поделены по типу — всего их 14, каждая кратко описана.
Чтобы расследовать инциденты, нужно также понимать, что такое Cyber Kill Chain. Это модель, которая помогает разобрать любую атаку на 7 этапов: внешняя разведка, вооружение, доставка, внешнее заражение, установка, получение управления, действия внутри сети. Блокировка хакеров на любом этапе разрывает всю цепочку атаки. Для успеха красные должны пройти все этапы, а синим достаточно блокировать их на любом этапе.
MITRE ATT&CK И Cyber KillChain могут показаться студентам сложными — всё-таки это реальные инструменты, которыми пользуются опытные защитники внутри корпораций. Во время подготовки к ВСКБ мы предлагали такое задание: студентам нужно взять реальные публичные отчёты красных и на их основе уже подробно смотреть каждый этап, технику и тактику внутри матрицы.
Отчёты можно взять на DFIR Report — они на английском, но в принципе понятны.
Начинающему защитнику многие термины могут быть неизвестны, так что вооружаемся гуглом и хабром, чтобы разобраться, что к чему.
Нарабатывать практику. Сейчас появляется всё больше ресурсов, на которых синие могут практиковаться в расследовании инцидентов.
CyberDefenders — платформа для комплексного обучения синих команд.
Lets Defend — учебная платформа с курсами и лабораторными. Весь контент отображается в соответствии с матрицей MITRE ATT&CK.
Cybrary — платформа для обучения blue team на практике.
TryHackMe — в последнее время стала делать учебный материал и лабы под blue team.
DFIR-DIRVA — это сборник бесплатного и открытого материала, включая учебные лаборатории и полноценные задачки для подготовки blue team.
Подробнее о каждой платформе можно почитать в нашем материале об обучении «синих».
Участвовать в CTF-соревнованиях. Capture the Flag или CTF в ИБ — это соревнования в форме командной игры, главная цель которой — захватить «флаг» у соперника в приближенных к реальности условиям. В основном, CTF заточены под команду красных, но на CyberDefenders также есть комнаты для синих, где можно расследовать инциденты и мониторить атаки в режиме ограниченного времени.
В CTF, к сожалению, нет возможности пощупать реальные средства защиты информации. Поэтому сейчас так активно развиваются киберполигоны на базе университетов: они позволяют познакомиться с интерфейсами главных СЗИ. Так что узнайте, если у вас такой в вузе — это очень поможет быстрее ориентироваться в инструментах кибербитвы.
Где искать CTF-соревнования?
CTF Time — международная площадка.
CTF News — российская площадка.
Работа в SOC. Этот вариант подойдёт студентам старших курсов. Стажировка позволяет полноценно использовать СЗИ в работе и быстро прокачивает практические навыки. Кроме того, в SOC есть старшие коллеги, которые могут выступить в роли менторов.
Какие навыки нужны защитникам?
Командная работа. Налаженное взаимодействие внутри команды позволяет быстрее реагировать на инциденты и формировать отчёты. Сделать всё в одиночку почти невозможно, и, конечно, займёт гораздо больше ценного времени. Поэтому старайтесь создать хорошую атмосферу внутри команды, чтобы объединить усилия и достичь желаемого результата.
Несколько хороших практик, которые использовали участники последних кибербитв:
Завести собственный чат в дискорде или телеграме. Используйте его для координации действий команды во время подготовительных задач и самой кибербитвы.
Вместе тренируйтесь. Хотя бы раз в неделю собирайтесь на два-три часа, чтобы порешать задачи на специальных ресурсах, и участвуйте в CTF уже слаженной командой.
Встречайтесь офлайн. Если вы из одного города, хорошей практикой будет поработать всем вместе на киберполигоне вашего вуза или просто в одном помещении. Это позволит быстрее сработаться.
Вовлечённость. Кибербитва — это соревнования для тех, кто действительно увлечён информационной безопасностью. От участников ждут знаний, которые выходят за рамки университетских предметов, развитые практические навыки. Поучаствовать просто ради красивой строчки в резюме не получится: нужно действительно вложить своё время и упорство.
Что участие в битве даст студентам?
Победители Всероссийской студенческой кибербитвы, как со стороны красных, так и со стороны синих, получают приз. Но в выигрыше остаются все: участники уходят с багажом практических знаний и опытом их применения. ВСКБ позволяет почувствовать себя в роли SOC-аналитика, полноценно вжиться в роль и за два-три дня получить представление, что вообще делает коммерческий SOC.
Для студентов второго, третьего курсов это ещё и отличный буст с точки зрения теории. Чтобы хорошо проявить себя на кибербитве, участникам нужно освоить материалы, которые в вузах обычно проходят на четвёртом курсе. Так что ВСКБ помогает и в учёбе.
Что делать после битвы?
Готовиться к новой!
На самом деле, самых ярких участников могут достаточно быстро схантить крупные ИБ-компании. Автор статьи — отличный пример: осенью 2023 я был участником одной из команд, в мае — уже менторил новый набор участников как сотрудник команды Innostage SOC CyberART.
Всероссийская студенческая кибербитва тоже постоянно развивается, организаторы делают её интересней и сложнее, чтобы команды получали максимум опыта от участия. Даже тем, кто приходит играть второй или третий раз будет не менее интересно, чем новичкам.
Следующая Всероссийская студенческая кибербитва пройдёт осенью на Kazan Digital Week. У будущих участников как раз есть время, чтобы применить наши советы, попрактиковаться на площадках и к соревнованиям прийти во всеоружии. Регистрируйтесь на сайте: отбор команд будет проводиться до 28 июля.