Несколько дней назад мы в третий раз провели главный онлайн-кэмп по практической кибербезопасности — CyberCamp 2024. Он проходил с 3 по 5 октября онлайн. В течение трех дней более 6 000 соло-участников проходили задания на платформе мероприятия и 138 команд соревновались в киберучениях.
Тема CyberCamp 2024 — цепочка атаки, Cyber Kill Chain, поэтому параллельно участники слушали доклады ИБ-специалистов о том, как выстроить эффективную защиту от кибератак. Ежедневно к прямому эфиру мероприятия подключались 25 000 зрителей.
Рассказываем, как прошли самые масштабные киберучения в России.
16 сценариев заданий и 50+ человек в штабе. За кулисами киберучений
Всего было разработано 16 сценариев командных киберучений в корпоративной и студенческой лигах. В их разработке приняли участие «Инфосистемы Джет», «Код Безопасности», «АйТи Бастион», R-Vision, Axel PRO, команда Standoff.
«Каждый год мы стараемся задействовать новые механики и нестандартные инструменты: в этом году много внимания уделили анализу вредоносного ПО различными методами. Необходимо было и работать непосредственно с файлами ВПО, и собирать дополнительную информацию о них в аналитических базах. Помимо этого, были и очень объёмные задания, как, например, сценарий с PT NAD "Очки NADa", где количество флагов приближалось к сорока. Несмотря на повышенную сложность сценария, и корпоративные, и студенческие команды показали в нём неожиданно высокие результаты, собрав большую часть артефактов атаки», — говорит Дмитрий Казмирчук, руководитель группы сервиса киберучений Центра информационной безопасности «Инфосистемы Джет».
«Задания создавались на основе атак, которые мы встречали на расследованиях, а также тестировали в лаборатории в рамках процесса Detection Engineering», — добавляет Павел Иванов, ведущий аналитик группы киберисследований Jet CSIRT «Инфосистемы Джет».
За три дня участникам командных киберучений предлагалось изучить все аспекты киллчейна: прогнозировать, эмулировать, обнаруживать, предотвращать нападение на каждом этапе «убийственной цепочки» и останавливать хакеров.
В первый день участники киберучений разбирались с подменой данных, пытались повысить привилегии внутри системы, расследовали подозрительную активность в необычной инфраструктуре и пр. Во второй день — демонстрировали умение анализировать вредоносное ПО, расследовали запутанную цепь событий, эксплуатировали уязвимости хостов и др. А в завершающий, третий, день проводили анализ инцидента в АСУТП, показывали умение работать с SOAR-решениями и системами обнаружения и предотвращения вторжений.
Во время киберучений CyberCamp 2024 функционировал специальный штаб, где более 50 специалистов в режиме нон-стоп следили за корректностью работы платформы, помогали командам при возникновении технических сложностей, отвечали за стрим для зрителей и пр.
«Мы готовили огромную инфраструктуру, которая состояла из рабочих станций, серверов и средств защиты. Всего было задействовано более двух с половиной тысяч виртуальных машин. И все это мы поддерживали в течение трех дней», — рассказывает Ольга Елисеева, руководитель сервиса Jet CyberCamp и руководитель технической дирекции «Инфосистемы Джет».
«Шли с желанием победить». Кто победил в киберучениях CyberCamp 2024
Самые масштабные в России киберучения, которые проходили уже в третий раз, собрали 138 команд: 92 команды соревновались в корпоративной лиге, 46 — в студенческой. В общей сложности это более 600 человек. Их отобрали из 2 000 желающих — на участие в киберучениях CyberCamp 2024 претендовали 465 команд.
Все участники были разделены на три фракции — Blue (команда мониторинга и расследований), Red (команда наступательной безопасности), Yellow Team (команда архитекторов и методологов). Красные (Red Team) победили в соревновании фракций, а наибольшее количество баллов в киберучениях набрали следующие команды.
Корпоративная лига
Первое место: DeepPurple — 2850,81 балла
Второе место: akPots_team — 2794,76 балла
Третье место: CheemSquad — 2719,45 балла
«Шли с желанием победить, так как второе место в прошлом году показало, что можем лучше. Для этого грамотно подобрали команду, сбалансировали “красных” и “синих”. Само мероприятие прошло хорошо, задания были разнообразными и интересными. Привыкли вставать в 8 утра и ложиться в 2 ночи, так как основная работа никуда не девалась», — говорит Филипп Кузнецов из команды DeepPurple.
Студенческая лига
Первое место: EXE1sior (Дальневосточный федеральный университет) — 2459,77 балла
Второе место: KOTN (Тихоокеанский государственный университет) — 2419,35 балла
Третье место: Ransom_abcd (Тюменский государственный университет) — 2349,31 балла
«Задания крутые, нам очень понравились. Особенно порадовал Sokoban. В целом, это для нас первый подобный опыт, но мы смогли победить», — рассказывает Артём Пряхин из команды EXE1sior.
Лучшие участники корпоративной лиги получили 300 000, 200 000 и 100 000 рублей, студенческой — 100 000, 70 000 и 50 000 рублей. Кроме того, топ-6 команд студенческой лиги (EXE1sior, KOTN, Ransom_abcd, IBEEE, MagicCrew, TTPI) вышли в финал Международных игр по кибербезопасности — они примут участие в кибербитве Standoff. Такую возможность участникам CyberCamp предоставили впервые.
«Наши зрители стирали пальцы, чтобы дойти до последнего уровня». Об интерактивах для зрителей
Параллельно с командными киберучениями проводились интерактивы для соло-участников: для них было разработано более 30 заданий.
В подготовке интерактивов для индивидуальных участников CyberCamp 2024 в этом году впервые участвовали спикеры. Зрителям, например, было предложено разобраться со злоумышленниками вместе с Павлом Ивановым из «Инфосистемы Джет», ответить на вопросы о программах-шифровальщиках от Олега Скулкина из BI.ZONE, расследовать инцидент вместе с Ладой Антиповой из Angara Security, изучить вредоносный домен с Виталием Евсиковым из Inseca, ответить на вопросы по правилам детектирования вместе с Дианой Кожушок из R-Vision, изучить журналы аудита с Анастасией Петровой из Biocad, ответить на вопросы о DDoS-атаках вместе с Curator, расследовать атаку вместе с Владиславом Азерским и Иваном Груздом из F.A.C.C.T. и пр.
Сами спикеры тоже принимали участие в интерактивах после докладов — проходили викторины, отгадывали сгенерированные нейросетью изображения и отвечали на вопросы зрителей в прямом эфире.
Были для зрителей на платформе и развлекательные задания. Одно из них — пройти игру Cyber Kill Snake.
«Каждый год для мероприятия мы разрабатываем игру, в которую могли бы поиграть наши зрители и классно провести время. В 2024-м мы придумали Cyber Kill Snake. Игрокам необходимо было провести змейку через все ловушки, собрать Kill Chain и реализовать атаку. Игра получилась очень динамичная — наши зрители стирали пальцы, чтобы дойти до последнего уровня», — говорит Александр Морковчин, руководитель отдела развития департамента консалтинга центра информационной безопасности «Инфосистемы Джет».
«Это был мой первый опыт». CyberCamp 2024 как площадка для дебютов
Всего в эфире CyberCamp 2024 прозвучало 25 докладов от представителей компаний «Инфосистемы Джет», BI.ZONЕ, F.A.C.C.T., Positive Technologies, R-Vision, «Лаборатории Касперского», «Кода Безопасности» и др. Три дня спикеры рассказывали, как выстроить эффективную защиту от кибератак и повысить киберустойчивость.
CyberCamp 2024 стал для многих спикеров дебютной площадкой для выступлений. Так, архитектор ИБ Axel PRO Вячеслав Белянкин, который развертывал инфраструктуру под первый CyberCamp, впервые выступил с докладом на CyberCamp 2024.
«Процесс подготовки был максимально простым и понятным. Я сформулировал тему, подал ее на рассмотрение организаторам, подготовил доклад, прошел ревью, выступил. Сроки подготовки доклада разумные, поддержка классная, надеюсь выступить и в следующем году», — говорит Вячеслав.
В качестве спикера на онлайн-кэмпе дебютировал и участник команды-победительницы корпоративной лиги CyberCamp 2023 Борис Нестеров, который в прошлом году выступал за CyberNoobs. Сегодня Борис — аналитик-исследователь угроз кибербезопасности R-Vision, на CyberCamp 2024 он презентовал доклад «Прокачиваем подсистему мониторинга: детектирование атак с помощью решений на основе eBPF».
«Выступать в качестве спикера гораздо тяжелее. Это мой первый опыт. Особенно волновался, когда отвечал на вопросы ведущего после доклада — некоторые из них были очень неожиданными. Буду продолжать практику публичных выступлений», — заключает Борис.
Впервые выступала и коллега Бориса Диана Кожушок, руководитель группы анализа и выявления угроз кибербезопасности R-Vision.
«Это мой первый опыт участия в подобном масштабном мероприятии, и, конечно, я переживала, но мне удалось справиться с волнением и корректно донести материал», — рассказывает Диана.
«Важно заранее подготовить тезисы и ключевые формулировки, которые вы будете использовать в ходе доклада», — посоветовал будущим докладчикам Иван Грузд, специалист по реагированию на инциденты и цифровой криминалистике F.A.C.C.T., который также дебютировал с докладом именно на CyberCamp 2024.
Не заданиями едиными. Ламповый вечерний эфир и аниме-сериал
Помимо основных докладов, впервые на CyberCamp запустили вечерний эфир, где представители Blue Team (Павел Иванов, ведущий аналитик группы киберисследований Jet CSIRT «Инфосистемы Джет»), Red Team (Георгий Старостин, CISO АО «СОГАЗ»), Yellow Team (Антон Гаврилов, менеджер продукта Axel PRO) обсудили киберучения и успехи команд, а еще поиграли в настолки и просто душевно поболтали. Рулила эфиром Елена Агеева, ведущий консультант по информационной безопасности «Инфосистемы Джет» и ведущая CyberCamp MeetUp.
«Мы хотели, чтобы зрители отдохнули после выполнения заданий и провели чудесный вечер пятницы в нашей веселой компании. Нам удалось воссоздать домашнюю атмосферу — моментами казалось, что мы собрались у кого-то в гостях. Было “тепло и безопасно”. Больше всего мне понравилась игра в самое слабое звено: несмотря на опасения ребят по поводу уровня сложности вопросов, все они прекрасно справились. Мне даже пришлось применить фактор скорости, чтобы кто-нибудь все-таки ошибся», — рассказывает Елена.
Также за развлекательную часть CyberCamp 2024 отвечали герои аниме-сериала CyberCamp «Путь героя. Продолжение» — в этом году они вернулись с новыми захватывающими приключениями. Вместе с участниками онлайн-кэмпа персонажи разобрали киллчейн масштабной кибератаки, которая поразила игру Chain of Victory и теперь угрожает всему городу.
«Меня очень вдохновляет аниме-сериал CyberCamp. С одной стороны, он напоминает известные сюжеты, где технологии играют ключевую роль, вроде тех, что используются в “Черном зеркале” и “Мистере Роботе”, с другой — отсылает к работе ИБ-специалистов, похожим образом расследующих цепочку расследований», — говорит Анастасия Петрова, CISO Biocad.
«Очень жду развития мультика и надеюсь, что к следующему CyberCamp выйдет полноценный сезон аниме, состоящий из восьми эпизодов», — добавляет Александр Терехов, менеджер по автоматизации процессов «Инфосистемы Джет».
Аниме-сериал «Путь героя. Продолжение» доступен в соцсетях «Инфосистемы Джет» на Rutube и в VK. Там же скоро будут опубликованы записи докладов. Увидимся в следующем году!