12.12.2025 13:00
rvteam 0 2100 Источник

Как мы оказались на Standoff 16

Хабр, привет!

В начале октября этого года прошла Standoff 16 – крупнейшая кибербитва России и одно из самых реалистичных соревнований в мире по кибербезопасности. На виртуальном полигоне «Государства F» сошлись более 30 команд атакующих и защитников. В течение трёх дней участники оттачивали навыки противодействия кибератакам, отражая атаки на инфраструктуру, максимально приближенную к реальной: городскую среду, металлургию, банковский сектор и логистику.

От классических CTF-соревнований Standoff отличается уровнем реализма: здесь нет искусственных задач или заранее известных сценариев — инфраструктура построена как живая цифровая копия реального государства. Команды защитников работают с полноценными сетевыми сегментами, системами мониторинга, почтовыми серверами, VPN и корпоративными приложениями. Атакующие, в свою очередь, используют весь доступный арсенал – от фишинговых рассылок и эксплойтов до попыток закрепления в инфраструктуре.

По масштабности и насыщенности полигон сопоставим с корпоративной средой, но события развиваются значительно быстрее, плотность атак выше, а атакующие действуют агрессивнее, чем реальный нарушитель. При этом Standoff освобождён от корпоративных ограничений – долгих согласований, устаревших систем и жёстких процессов, – что позволяет командам сосредоточиться на защите и реагировании, а не на операционных барьерах.

В этот раз событие стало особенным: на Standoff защитники получили возможность работать с системой класса SOAR – R-Vision SOAR. Для нас, как разработчика, это стало настоящим экспериментом: мы хотели проверить, как автоматизация поведёт себя в динамике кибербитвы, когда атакующие действуют максимально агрессивно и счёт идёт на минуты.

R-Vision SOAR стал надёжным союзником защитников и показал, как автоматизация ускоряет процессы обнаружения угроз и реагирования на  них. 

Подготовка: три недели до старта

За три недели до начала Standoff наша команда получила доступ к инфраструктурам City и Metall, где предстояло развернуть и интегрировать R-Vision SOAR.

Первым шагом стало развёртывание самой платформы и сбор требований от организаторов: какие системы защиты будут задействованы, каковы правила проведения игры и ограничения по используемым инструментам реагирования.

Совместно с командой Positive Technologies мы детально изучили архитектуру «Государства F», получили API-доступ и начали собирать коннекторы к системам защиты.

Всего за это время было настроено более 40 коннекторов — с MaxPatrol SIEM (для корреляции и мониторинга событий), MaxPatrol EDR (для обнаружения и реагирования на инциденты на конечных точках), PT Application Firewall, PT Sandbox (для анализа неизвестных файлов), Active Directory (для управления учётными записями), а также с NGFW CheckPoint, OpenVPN и Microsoft Exchange.

После настройки инфраструктуры мы провели брифинг для «синих» команд: подробно объяснили принципы работы SOAR, перечень систем, с которыми будут настроены интеграции и их логику работы. Участники уточняли, можно ли в процессе работы получать данные из инцидентов в MaxPatrol SIEM непосредственно в поля.

Отдельное внимание уделили настройке карточки инцидента. В R-Vision SOAR она настраивается гибко — можно добавлять собственные поля, блоки и вкладки, менять порядок отображения информации и привязывать автоматические действия. Мы адаптировали карточку под конкретные задачи Standoff: минимизировали набор полей и автоматически запускаемых сценариев, вынесли основные действия на кнопки запуска плейбуков, а также подобрали набор полей под запросы команд. Такой подход позволил сделать работу в SOAR максимально удобной и интуитивной именно под формат соревнования.

Интерфейс системы R-Vision SOAR, развёрнутой для Standoff 16
Интерфейс системы R-Vision SOAR, развёрнутой для Standoff 16

SOAR играл роль единого окна работы с событиями и единого интерфейса для реагирования на различных СЗИ, без необходимости покидать платформу и не терять из вида новые события. Самой полезной функцией для участников стал сбор событий из MaxPatrol SIEM и возможность реагирования прямо из интерфейса SOAR, что существенно сократило время реагирования.

Интерфейс блока реагирования R-Vision SOAR
Интерфейс блока реагирования R-Vision SOAR

Команды быстро адаптировались. Централизованный контроль и понятный интерфейс вызвали живой интерес — особенно после первых демонстраций работы коннекторов реагирования.

Последние штрихи и старт битвы

За неделю до начала Standoff началось активное тестирование. Мы собирали обратную связь от участников и по журналам проверяли корректность работы коннекторов, внося необходимые корректировки.

На финальном прогоне внесли корректировки в интеграцию с MaxPatrol SIEM — поменяли алгоритм обработки источников активности и выбора агента для реагирования (для коннекторов, завязанных на MaxPatrol EDR). За выходные всё успели протестировать, и уже в понедельник, с первыми атаками «красных», R-Vision SOAR встала на защиту «Государства F»

«Набор средств защиты и сама инфраструктура были максимально приближены к реальным условиям. Большое количество различных сервисов, сегментов и вариативность способов атак — это те вызовы, с которыми крупные SOC сталкиваются каждый день», отметил Андрей Самодуров, ведущий консультант отдела реализации проектов и поддержки продаж R-Vision.

Наше решение помогало сразу двум командам «синих»:

  • Ctrl+Alt+Defend – для защиты городской инфраструктуры

  • Your_shell_not_pass – для защиты металлургической отрасли 

Динамика работы и цифры

За три дня через R-Vision SOAR прошло почти 9 000 событий ИБ (подозрения на инцидент). Для Standoff это существенная нагрузка, сопоставимая с объёмом, который средние корпоративные заказчики обрабатывают за несколько недель. На реальных проектах подобный поток встречается у компаний с развитой инфраструктурой и десятками разнородных источников, поэтому полигон отлично показал, как SOAR ведёт себя в условиях, близких к боевым.

При этом обе команды, которые получили возможность усилить свои механики защиты с помощью платформы, показали высокие результаты на Standoff 16:

  • Ctrl+Alt+Defend успешно зафиксировала 70 инцидентов и предотвратила 66 из них, продемонстрировав уверенное владение инструментами SOC и выстроенные процессы реагирования. Средняя скорость расследования же составила 3 ч 24 мин.

  • Your_shell_not_pass также показала высокий уровень готовности: участники отработали 39 инцидентов и успешно предотвратили 27 атак, подтвердив эффективность командного взаимодействия и аналитического подхода. Средняя скорость расследования же составила 3 ч 42 мин.

Самыми популярными действиями на R-Vision SOAR стали: 

  • блокировка IP

  • удаление файла (по пути)

  • остановка процессов

  • блокировка учётных записей 

Обратная связь от обеих команд была крайне позитивной. Коллеги отмечали удобство интерфейса, скорость реагирования и стабильность системы под высокой нагрузкой. Особенно ценной стала возможность работать с единым окном событий и интерфейсом для реагирования на различные СЗИ, что позволяло не терять контроль над новыми инцидентами и оперативно принимать решения.

«Работать через R-Vision SOAR было действительно удобно: все события и инструменты реагирования собраны в одном окне, поэтому мы не теряли контроль даже при высоком темпе атак. Чаще всего мы использовали блокировку IP, остановку процессов, удаление вредоносных файлов и блокировку учётных записей — все эти действия выполнялись быстро и стабильно, даже под нагрузкой Standoff. Благодаря такой гибкости и скорости платформы нам удалось сосредоточиться на защите, а не на переключении между разрозненными системами, что напрямую повлияло на наш итоговый результат», — отметил участник команды Ctrl+Alt+Defend.

Вывод

R-Vision SOAR на Standoff 16 помог участникам действовать на шаг впереди атакующих, сократить время реагирования и сохранить контроль над инфраструктурой даже под постоянным давлением.

Комментарии (0)