В начале октября прошел трехдневный чемпионат по ИБ федерального уровня.
О том, из чего он состоял можно почитать в разных СМИ, например, на РБК.

Пересказывать новости не буду, обозначу лишь самые важные для статьи моменты:
1) Можно принять одну из сторон:
атакующий (красный), архитектор (желтый) или обороняющийся (синий).
2) Можно участвовать в командном зачете.
На мой взгляд - это история для профильных компаний, понятное дело, что "сайтоделы" не представляют угрозы для "ИБ".
3) Можно участвовать в личном зачете.
Т.е. участник выступает, как самостоятельная единица и соревнуется с такими же, как и он.
Это уже интереснее и именно сюда было принято решение подать заявку.

По итогу автор стал "синим", зарабатывая очки ("сайбы") для своей "синей фракции" и соревнуясь с другими участниками.
Это было весело, трудно, но познавательно, а все подробности "глазами Гостя" описаны ниже :)

Первое, что встречало гостя - это трансляция.
Сразу отмечу высокий уровень выступающих и попытку подать материал так, чтоб было понятно любому слушателю, а не только ИБ-специалистам.

Хотя было очевидно, что без минимальных знаний в области ИБ было бы сложно, но спикеры действительно старались передать свой опыт всем.

Основная тема выступлений - это Cyber Kill Chain, т.е. цепочка атаки, которую требуется прервать.
Каждый из элементов постоянно подсвечивался в презентациях тем или иным способом.

Кстати, самое первое задание было именно на эту тему и проверяло, а знаете ли вы, что это такое вообще.
Именно так мне удалось заработать свои первые 40 монет "сайбов" :)

Накопленные сайбы позволяли купить в магазине разный тематический мерч.
Носки, свитшоты, футболки и т.п.

Лично мне больше зашли стикеры, которые давались бесплатно к любой покупке, и значок кота в коробке - символ соревнования.

Тут стоит отметить, что самый дешевый подарок, которым по стечению обстоятельств и оказался тот самый кот, стоил аж целых 500 сайбов!
И чтоб его выиграть - нужно было постараться, ведь одно задание в среднем давало лишь 40-50 сайбов.

Вариантов заработать сайбы было несколько.
Одним из них являлось развлекательное задание в стиле "Змейка", которая давала порядка 20-30 сайбов в день.

И если сначала мне показалось, что это будет "простая прогулка",
то далее выяснилось, что это сложнейшее задание на скорость реакции.

Суть задания проста - змейка на время,
собираем "уязвимости" (красные кристаллы), прячемся от защиты (синие стрелки) и обходим архитекторов (желтые кресты).
Однако на каждом из этапов происходило либо ускорение, либо появлялись стенки, либо начинала мигать/исчезать змейка...

По итогу пройти ее оказалось весьма не просто и лишь в 1 из 3-х дней мне удалось получить за нее свой выигрыш, потратив на прохождение около 2-х часов.
Это было "делом принципа" :)

И если наличие игры было очевидно, то вот наличие "пасхалок" в Штабе учений нужно было искать ежедневно.
Каждая пасхалка - дает стандартное задание.
Удалось правильно ответить на задание - получаешь монеты.
Никакой "халявы" :)

Одним из заданий в первый день было найти "4 части кода" в трансляции.
И как оказалось далее, в 18:00 у Штаба заканчивался рабочий день и сотрудник покидал рабочее кресло, выключая компьютер.
И это было довольно неожиданным элементом пасхалки!
Именно так мне удалось упустить свои первые сайбы уже имея на руках 3 из 4 частей :)

Помимо Штаба зарегистрированным Гостям-участникам была доступна "Доска заданий".
И именно здесь происходил основной мозговой штурм.

Даже первого взгляда на доску достаточно, чтоб понять, что задания составлялись разными командами и по разным направлениям.

Их "вес" был соизмерим, но вот знания, которые требовались для решения, были абсолютно разными.

Сразу отмечу, что некоторые задания, например, "Анализ поверхности атаки. Хард", который представлял из себя поиск уязвимостей специально поднятого сайта на WordPress, мне так и не удалось решить - просто не хватило навыков.
На фото выше видно, что задача дала 0 из 70 сайбов.

Были задачи по анализу логов, которые давали МНОГО сайбов, однако были сложны даже на этапе подгрузки данных для анализа.
Например, исходник логов Windows из задания "Вот мы влипли!" уже на входе весил порядка 3,3 ГБ!
Моих навыков хватило лишь на 14 сайбов из 210 возможных.

При этом были и более простые задания, например, найти ошибки настроек безопасности пользователя, как это показано в таблице выше.
Но и сайбов за такие задания давали значительно меньше.

Какие еще были задания?
Очень разные!
Описать все не выйдет, но постараюсь подсветить их хотя бы по категориям.

Около 50% заданий было в формате "выбери 1 ответ из 4", однако просто "угадать" не помогал даже Гугл/Яндекс.
Текст составлен очень грамотно.

Часть заданий были связаны с оценкой атрибуции атак, например, задание "Модель Diamond", в которой требовалось определить хакерскую группировку по особенностям атакуемых объектов, жертв, мотивации атакующих и потенциальному расположению базы.

Интересными были и расследования инцидентов по логам.
Причем задания были как для Windows, так и для Linix.
И формат от полных копий в 3 ГБ весом до простеньких txt с логами на 50-100 Кб.

Очевидно, что даже простой txt таил в себе ряд ловушек.
В частности, в примере ниже, одной из частей задания было:
"Найти момент компрометации учетки пользователя".

При этом Failed на вход работает у каждого пользователя :)

Еще одним интересным вектором было изучение реальных схем атак.
Подробное описание инцидентов в ".afb" формате дает значительное количество информации, а значит и на изучение такого файла требуется кратно больше времени.

Стоит отметить, что само наличие подобных файлов позволяет подтянуть свои навыки всем:
1) "Синие" подтягивают навыки логирования и разбора инцидентов
2) "Желтые" оценивают слабые места архитектуры
3) "Красные" смотрят, где их можно поймать и как именно это будут делать "Синие"

Ежедневно были и задания развлекательного характера "за 5 сайбов" :)
В одном из них мне даже удалось попасть в ТОП-3!
А за это дали ощутимые 50 монет!

Само задание состояло в оживлении известного мема при помощи любой нейросети.
Ролик должен был быть коротким, не более 5 секунд.
Поскольку мои рабочие задачи включали опыты с нейросетями, то создание промта не вызвало сложностей.

А еще были задания на DDoS, на Honeypot, на Знание шифровальщиков, на понимание фишинга и поиска реальных источников отправки письма.

Была работа с Virustotal, ведь не всегда он дает корректные результаты и нужно оценивать иные параметры ссылок/файлов.

Разбор правил детектирования, ошибок конфигураций системных файлов и восстановление зашифрованных данных.
Были задания и по менеджменту в ИБ, но не очень много.

И, конечно же, 3 дня по 8 часов выступлений спикеров, которые подробно разбирали кейсы и старались подсветить важные моменты.
Тут стоит отметить, что "разбор" был построен так, чтоб не дать готового решения по задачам и это отлично!

А что же в результате?

Победа в командных соревнованиях досталась атакующим.
В этот раз победил "меч".
А значит, что спрос на "щит" будет становиться все выше.

Если верить исследованиям,
то спрос на ИБ специалистов уже сейчас в 2 раза выше, чем доступное предложение.
А учитывая, что за первое полугодие 2024 (по мнению специалистов Positive Technologies) Россия возглавила рейтинг утечек, становится очевидным факт дальнейшего развития этого направления в сторону улучшения защиты.

А что же с Личным зачетом?
Удалось ли чего-то достичь, кроме победы в "конкурсе мемасиков"? :)

Все три дня удавалось поддерживать стабильный уровень в рейтинге.
Однако, место менялось по несколько раз за день и интрига сохранялась до последнего момента!
В последние часы место менялось чуть ли не каждые 10 минут!

В первый день удалось занять 565 место,
на второй день поднялся до 533 места,
но по итогу третьего дня меня "вышибли" на 575 место.

Вывод:
1) Удалось попасть в ТОП-10% лучших в рамках индивидуального зачета.
2) 574 человека знают тему ИБ лучше, а значит точно есть чему еще учиться.
3) Удалось опередить 5 497 человек...мелочь, а приятно :)
4) Узнал громадное количество нового и получил информацию о том, где имеются слабые места в моих знаниях.

По сути, мне удалось выполнить лишь 34% от возможных заданий.
Однако 90% участников личного зачета не подобрались и к этому значению.
Лучший из рейтинга (hydr) добрался до 80%!

Здесь хочется выразить благодарность организаторам за то, что это было именно соревнование с элементами обучения, а не простой Хакатон!
Никому не удалось выбить 100 из 100, а значит каждый понял, где у него есть "зона роста"!
Потратить 3 дня, чтоб ничему новому не научиться было бы обидно.

Стоит ли участвовать в таких соревнованиях?
Однозначно!
3 дня интенсива сильно расширят ваши горизонты.

Будет ли это сложно?
Точно будет!
Не ожидайте, что все задания будут легко решаемы.
Некоторые из них потребуют изучения новых подходов, с которыми ранее вы не были знакомы.

Много ли это отнимает времени?
Да.
По возможности, лучше выделить под это отпускные дни.
Это поможет сосредоточиться на задачах и снизит уровень стресса.
Мне вот пришлось просматривать часть записей уже после рабочего дня :)

А еще это приятное комьюнити и никакой токсичности.
В общем и целом, мое мнение о мероприятии такое:
"Игра стоит свеч"!