Правила кибербитвы Standoff 14
Всё, что нужно знать участникам

Мы собрали единый документ с правилами для всех участников кибербитвы. Его главная задача — объяснить ключевые принципы, которые важно знать.

Здесь нет описаний заданий или технических моментов, зато есть информация, какие задачи стоят перед разными участниками, как зарабатывать баллы, куда обращаться с вопросами и чего точно не стоит делать, чтобы оставаться пользователем Standoff.
Что ты найдешь в документе
Про Standoff 365
О платформе
Standoff 365 — это платформа для всех, кто хочет на практике проверить и улучшить свои навыки в кибербезопасности. В зависимости от своих целей и уровня подготовки участники могут выбрать подходящий продукт.
Онлайн-полигон
Виртуальная инфраструктура с реалистичными копиями ИТ-систем из разных отраслей, в которой специалисты по ИБ могут 24/7 тренироваться в тестировании безопасности, выявлении уязвимостей и обнаружении инцидентов.
Формат участия
онлайн
Кибербитва
Ежегодные международные киберучения, в которых специалисты по ИБ проверяют защищенность компаний из разных отраслей экономики на примере виртуальной инфраструктуры.
Формат участия
офлайн и онлайн
Bug Bounty
Программы от партнеров платформы с денежными вознаграждениями за найденные уязвимости.
Формат участия
онлайн
Для проведения киберучений на платформе разворачиваются сегменты полигона, в которых воссоздаются максимально реалистичные ИТ-системы. Как правило, сегмент — это определенная отрасль экономики или компания, которая ее представляет.
Примеры сегментов
Банки
ЖКХ и госуслуги
Металлургия
ИТ
Каждый сегмент может включать один или несколько сервисов, которые регулируют деятельность виртуальной организации внутри отрасли или обеспечивают ее информационную безопасность.
Например:
— инфраструктурные сервисы: почтовый сервер, FTP-сервер, база данных клиентов, система документооборота;
— АСУ ТП: система управления светофорами, ветрогенераторами;
— СЗИ: межсетевой экран.

Для каждой кибербитвы собирается новая подборка сегментов с частично измененными заданиями. Это помогает постоянным участникам получать новые знания и проверять свои навыки в современных реалиях.
Кто может участвовать
Во всех киберучениях есть две ключевые роли.
Атакующие
Они же красные команды, белые хакеры, или red team. Задача атакующих — реализовать как можно больше критических событий и выявить максимум уязвимостей. В ходе всех форматов киберучений красные команды соревнуются между собой.
Защитники
Они же синие команды, или blue team. Задача защитников — своевременно выявлять инциденты и расследовать атаки, а в ряде киберучений еще и реагировать на действия атакующих и вводить меры защиты от атак. Синие команды не соревнуются между собой.
Все участники
Вне зависимости от роли все участники становятся частью комьюнити Standoff, в котором можно обмениваться опытом, получать актуальные знания в сфере кибербеза и, конечно, круто проводить время.
Это важно знать всем участникам
На платформе Standoff 365 одновременно могут быть сотни исследователей, поэтому при подключении важно позаботиться о собственной безопасности и придерживаться нескольких правил:
  1. Блокируйте входящие SSH-соединения
  2. Подключаться к платформе через виртуальную машину.
  3. Периодически проверять подключения через команду netstat -antlp.
  4. Отключать VPN-соединение при уходе на перерыв.
Кибербитва Standoff
Кибербитва — это ежегодные международные киберучения, которые проходят на базе платформы Standoff 365. Для кибербитвы мы готовим расширенную инфраструктуру с разными отраслевыми сегментами и собираем лучшие команды защитников и атакующих, чтобы они проверили свои навыки.
Обычно кибербитва длится четыре дня с перерывами на ночь и может проходить в трех форматах.
Офлайн
Все команды собираются на офлайн-мероприятии. При таком формате помимо самой кибрербитвы участников ждет нетворкинг и веселое афтепати
Онлайн
Команды могут участвовать в киберучениях из любой точки мира
Смешанный формат
Часть участников приезжает на мероприятие, часть участвует удаленно
О формате конкретной кибербитвы мы сообщаем заранее.
Что нужно знать атакующим
Механика кибербитвы
Этапы участия для команд атакующих зависят от конкретной кибербитвы. Она может проходить:
  1. В один этап. В этом случае все дни кибербитвы команды атакующих соревнуются между собой за победу.
  2. В несколько этапов. Например, на первом этапе все команды делятся на два противоборствующих государства, а во второй этап попадают лучшие команды из победившего государства, которые далее борются за главный приз.

Механика зависит от конкретной кибербитвы и прописывается на лендинге кибербитвы и в нашем телеграм-канале.
Подготовка и подключение
Сначала все команды подают заявку на участие через сайт конкретной кибербитвы. Только после того как заявка будет одобрена, команды смогут получить доступ к кибербитве на платформе Standoff 365.

Для этого нужно:
  1. Создать аккаунт на платформе, если его еще нет. Важно, чтобы все участники команды были зарегистрированы.
  2. Подать заявку для доступа к кибербитве в специальном разделе, который появляется на портале Standoff 365 ближе к ивенту (ссылка дублируется капитанам команд на почту). Заявку подает капитан и указывает в ней аккаунты всех участников на платформе Standoff 365. Иногда заявка подается дважды: отдельно для отборочных соревнований и для кибербитвы. После одобрения заявки у каждого члена команды в личном кабинете появится раздел с кибербитвой.
  3. Настроить VPN-подключение. Для этого открой личный кабинет на портале → раздел кибербитвы → «Доступ и ресурсы» и следуй инструкции.
Задачи атакующих
Главная задача красных команд — заработать как можно больше баллов за выполнение заданий. Обычно атакующие получают доступ к заданиям только в ходе мероприятия, однако в некоторых случаях мы публикуем их заранее.
Реализация критических событий
Для каждой кибербитвы мы готовим список критических событий, которые могут реализовать атакующие в разных сегментах. Например, нарушить работу светофорной системы, отравить воду хлором или столкнуть поезда
Нахождение уязвимостей
В каждом сегменте есть список уязвимостей, за выявление которых также можно заработать баллы
На онлайн-полигоне можно атаковать сервисы только по определенным адресам, которые предоставляют организаторы. Атаки на другие адреса не учитываются при начислении баллов и могут привести к штрафу или запрету на участие в киберучениях.
Как заработать баллы
В карточке каждого задания будет указано:
  1. Описание события или уязвимости.
  2. Задание.
  3. Количество баллов за реализацию.

Пример задания по реализации критического события во время кибербитвы.
Описание критического события
Описание задания
Баллы за реализацию критических событий
Чтобы заработать баллы за реализацию критического события, нужно сдать отчет о реализации критического события на платформе Standoff 365.
Что нужно сделать
Как заработать баллы
  1. Реализовать событие согласно заданию и внутри инфраструктуры полигона.
  2. Заполнить отчет о реализации критического события. В отчете нужно пошагово описать действия, которые позволили реализовать критическое событие
Например, остановка работы паровой турбины, утечка конфиденциальных данных, кража средств со счетов банка, сход поезда с рельсов.
О том, как правильно заполнять отчеты, читай в нашем гайде.

Все отчеты проверяются вручную. После сдачи отчета дальнейший ход событий будет зависеть от качества и правильности заполнения отчета.
Нет замечаний
Количество исправленных полей:
0
Отчет:
принимается без корректировок
Баллы:
начисляются согласно очередности реализации события
Нужны небольшие корректировки или уточнения
Количество исправленных полей:
≤ 3
Отчет:
отправляется на доработку с комментариями организаторов. Исправления лучше внести в шаги отчета
Баллы:
закрепляются согласно очередности реализации события в момент первой сдачи отчета и начисляются после исправления недостатков
Пример:
команда Х первой реализовала событие, но жюри оставило комментарии по двум полям. Команда получит баллы как за первую реализацию сразу после сдачи скорректированного отчета
Нужны существенные доработки
Количество исправленных полей:
>3
Отчет:
отклоняется организаторами. Команда может сдать отчет повторно после исправления всех замечаний
Баллы:
не начисляются, пока не будет сдан исправленный отчет. После исправления баллы будут начислены исходя из очередности реализации события в момент сдачи правильного отчета
Пример:
команда Х первой реализовала событие, но жюри не приняло отчет. Пока команда вносила правки, две другие команды успешно сдали отчеты.

После сдачи исправленного отчета команда Х получит баллы в соответствии с третьей очередью реализации
Чем выше уровень сложности задания, тем больше баллов можно получить. Расчет баллов динамический: участник или команда, реализовавшие критическое событие первыми, получают максимальный балл, каждая последующая реализация события другими участниками приносит на 15% меньше.

Количество баллов уменьшается до тех пор, пока не достигнет 40% от значения в задании. Теперь все последующие участники, реализовавшие это событие, получают не больше этого количества баллов.

Пример расчета баллов исходя из очередности реализации:
Порядок реализации
Число баллов
Первая реализация
1000 баллов (максимальное значение)
Вторая реализация
850 баллов
Третья реализация
722 балла
Четвертая реализация
614 баллов
Пятая реализация
522 балла
Шестая реализация
443 балла
Седьмая реализация и последующие
400 баллов (минимальное значение)
Баллы за найденные уязвимости
Чтобы заработать баллы за уязвимость, нужно сдать отчет об уязвимости или флаг — набор символов, который необходимо найти в анализируемой информационной системе. Что именно нужно сдавать — зависит от расположения узла.

Жюри принимает отчеты только об определенных типах уязвимостей.
LPE
(локальное повышение привилегий до root или administrator)
RCE
(удаленное выполнение кода)
SQLi
(внедрение SQL-кода)
Path Traversal
(выход за пределы каталога)
SSRF
(подделка запроса со стороны сервера)
XXE
(внедрение внешних сущностей XML)
Как заработать баллы за уязвимости.
Расположение
Тип уязвимости
Gate
Path Traversal, SSRF, SQLi, RCE и LPE
DMZ и далее
Path Traversal, XXE, SSRF, SQLi, RCE и LPE
Как заработать баллы
  1. Выявить уязвимость.
  2. Сдать флаг.

Способ получения флага зависит от типа уязвимости:
— Path Traversal: получи содержимое файла /etc/pt.flag;
— SSRF: обратись по внутреннему адресу на порт 9732 (http://127.0.0.1:9732);
— SQLi: получи содержимое ячейки flag из таблицы secret;
— RCE: выполни скрипт /home/rceflag;
— LPE: выполни скрипт /home/lpeflag

Все сданные флаги проверяются автоматически.
Выявить уязвимость.
Сдать отчет об уязвимости.

В отчете нужно указать:
— тип уязвимости;
— систему, в которой она была найдена;
— пример эксплуатации уязвимости;
— в зависимости от типа уязвимости: получить баннер с версией СУБД, прочитать локальный файл, отправить произвольный HTTP-запрос или показать вывод команд ipconfig/ifconfig, whoami или id.

Все отчеты об уязвимостях проверяются жюри вручную.
Пример расчета баллов.
Тип уязвимости
Число баллов
Path Traversal
100
SSRF
XXE
200
SQLi
RCE
300
LPE
500
Чтобы повысить шансы на получение баллов, при сдаче флага или отчета об уязвимости учитывайте следующее:
  1. Root-права должны быть получены в основной системе, а не в контейнере. В отчете необходимо предоставить вывод /etc/shadow.
  2. Один способ реализации LPE на Windows можно сдать только один раз в рамках одного сегмента полигона. Если найден другой способ, его можно сдать в рамках того же сегмента.
  3. Одинаковые классы уязвимостей, но в разных параметрах, на одном узле являются дубликатами.
  4. Баллы за уязвимости на Gate-узлах выдаются при сдаче флага. Отчеты по ним не принимаются и будут отклоняться.
  5. За уязвимости, проверяемые жюри, можно получить до 1500 баллов на узел.
  6. За уязвимости с автоматической проверкой можно получить не более 500 баллов.
Что делать, если нужна помощь
Чтобы получить техническую поддержку, напиши в наш телеграм-бот для атакующих. Специалисты техподдержки отвечают только через такие заявки.

Обрати внимание, что в контексте векторов атак специалисты отвечают только на вопросы об их работоспособности.
Что нельзя делать во время кибербитвы
При поиске уязвимостей и реализации критических событий у красных команд есть ряд ограничений. В случае нарушения правил команда может получить штраф или лишиться возможности участвовать в битве.
1. Атаковать платформу
Взламывать платформу Standoff 365.
Атаковать и выводить из строя средства защиты информации в инфраструктуре онлайн-полигона.
Атаковать сервисы, расположенные за пределами инфраструктуры, предоставленной организаторами.
2. Атаковать сотрудников и организаторов
Пытаться получить доступ к служебным учетным записям.
Проводить фишинговые атаки на сотрудников Positive Technologies.
Реализовывать DoS- и DDoS-атаки на службы, сервисы и приложения инфраструктуры полигона.
Менять служебные пароли в сервисах и приложениях инфраструктуры онлайн-полигона.
3. Применять аппаратные средства к макету
Подключаться к макету аппаратными средствами.
Выводить из строя аппаратное обеспечение макета.
4. Указывать ложную информацию
Выдавать отчет другой команды или участника за свой.
Указывать заведомо ложную информацию в отчете.
5. Вносить изменения в платформу или онлайн-полигон
Исправлять заложенные организаторами уязвимости.
Вносить изменения в платформу или онлайн-полигон.
6. Генерировать флаги и передавать их соперникам
7. Применять метод «царь горы»
Занимать или блокировать ресурсы другой команды, чтобы помешать получить к ним доступ.
Создавать условия, при которых другие команды не могут атаковать или защищать свои ресурсы.
Вмешиваться в трафик другой команды для предотвращения атак или защиты инфраструктуры без непосредственного взаимодействия с уязвимостями.
Блокировать попытки эксплуатации уязвимостей другими участниками.
Если атакующим удалось проникнуть на узел SCADA-системы, нужно сообщить об этом в чате с организаторами. Таким образом, если несколько команд почти одновременно проникнут на один и тот же узел, организаторы помогут участникам выстроить очередь, выделив по 1−1,5 часа на команду.
8. Грубить, проявлять неуважение
Хамить организаторам и другим участникам.
Спамить в техподдержку.
Настойчиво спорить с принятыми решениями.
9. Быть участником команды, будучи сотрудником Positive Technologies
Сотрудники Positive Technologies не должны принимать участие в кибербитве Standoff, в том числе по приглашению капитанов.
10. Создавать твинки: аккаунты или целые команды
Создавать новые команды с твинк-аккаунтов.
Присоединяться к другим командам с твинк-аккаунтов.
11. Объединяться с другими командами атакующих
Делиться способами решения задач.
Договариваться о совместной работе. Исключение — если это предусмотрено механикой конкретной битвы.
12. Участвовать командой численностью более 10 человек
Штрафы за нарушения
Первое нарушение
Предупреждение и вычет баллов. Количество штрафных баллов определяется организаторами в зависимости от уровня негативного влияния на соревновательный процесс
Второе нарушение
Дисквалификация команды или участника на определенное время без возможности атаковать или защищаться
Третье нарушение
Дисквалификация команды или участника из соревнования без возможности вернуться
В случае несогласия со штрафом или дисквалификацией капитан команды может подать апелляцию один раз за игровой день. Порядок и формат подачи можно уточнить в чате с организаторами. В ходе апелляции капитану нужно доказать, что нарушений со стороны команды не было.
Что нужно знать защитникам
Подготовка и подключение
Примерно за месяц до ивента команды защитников получают доступ к инфраструктуре для ознакомления.

Чтобы получить доступ к кибербитве, нужно:
  1. Собрать команду и создать аккаунт на платформе Standoff 365, если его еще нет. Важно, чтобы все участники команды были зарегистрированы.
  2. Подать заявку для получения доступа к кибербитве в специальном разделе, который появляется на портале Standoff 365 ближе к ивенту (ссылка дублируется капитанам команд на почту). Заявку подает капитан и указывает в ней аккаунты всех участников на платформе Standoff 365. После проверки заявки у команды появится личный кабинет.
  3. Настроить VPN-подключение. Для этого открой личный кабинет на портале → раздел кибербитвы → «Доступ и ресурсы» и следуй инструкции.

До битвы всем командам предоставляется конфигурационный файл VPN.

Дополнительно:
  1. В рамках подготовки к кибербитве организаторы проводят сканирование и аудит инфраструктуры средствами MaxPatrol, после чего эти данные сохраняются и могут быть использованы участниками в рамках работы с MaxPatrol SIEM.
  2. Команда может запросить развертывание узла с Kali Linux, чтобы просканировать инфраструктуру собственными силами, а также средствами, отличными от продуктов MaxPatrol.

После ознакомления с полигоном команда предоставляет организаторам список средств защиты, которые она планирует использовать, а также схему их размещения. В общем случае команды ограничены следующими классами средств защиты.
SIEM
(MaxPatrol SIEM)
NTA
(PT Network Attack Discovery)
Sandbox
(PT MultiScanner, PT Sandbox)
WAF
(PT Application Firewall Pro)
Industrial NTA
(PT Industrial Security Incident Manager)
Защитники, участвующие в режиме реагирования, также получают доступ к MaxPatrol EDR (решению класса endpoint detection and response).

Использование других средств защиты согласовывается с организаторами отдельно.
Как оценивается работа защитников
Основные цели защитников — обнаружение и расследование инцидентов, вызванных действиями атакующих. Для оценки действий команд учитывается количество обнаруженных инцидентов и среднее время расследования одной атаки.

В ходе киберучений команды защитников привязываются к конкретной отрасли, в которой им предстоит выявлять и расследовать атаки. Информация о результатах команды публикуется на сайте кибербитвы и на платформе Standoff 365.

Например, вот так выглядели результаты защитников во время кибербитвы Standoff 13.
Результаты команд защитников по итогам кибербитвы Standoff 13
Защитники сдают отчеты только об успешных атаках. Например, отчеты о фишинговых атаках, в которых пользователи не перешли ни по одной ссылке, неуспешных попытках подбора пароля или расследовании объектов, не относящихся к инфраструктуре полигона, не будут учитываться.

Дальнейший ход событий зависит от качества и правильности заполнения отчета.
Нет замечаний
Количество исправленных полей:
0
Отчет:
принимается без корректировок
Нужны небольшие корректировки или уточнения
Количество исправленных полей:
3
Отчет:
отправляется на доработку с комментариями организаторов.
Нужны существенные доработки
Количество исправленных полей:
>3
Отчет:
отклоняется организаторами. Команда может сдать отчет повторно после исправления всех замечаний
Количество обнаруженных инцидентов
В процессе киберучений защитники могут сдавать отчеты о выявленных инцидентах. Мы составили гайд, который поможет командам защиты понять, как правильно заполнять отчеты.

Все отчеты защитников проверяют и оценивают организаторы. Если в отчете недостаточно информации, организаторы не принимают отчет и оставляют соответствующий комментарий. После корректировки отчет можно сдать повторно.

При подсчете выявленных инцидентов не учитываются любые ложноположительные срабатывания, например информация о легитимной работе чекеров и пользователей-ботов, а также отчеты о несуществующих инцидентах.
Среднее время расследования атаки
После того как организаторы примут отчет о реализации критического события от атакующих, эта информация становится доступной защитникам.

Задачи защитников — расследовать это событие и сдать отчет. На портале появляется таймер, который ведет отсчет времени с момента начала расследования.

Все отчеты оцениваются командой жюри. Если в отчете недостаточно информации о действиях атакующих, отчет не принимается, а на портале появляется специальная отметка. По оставленному организаторами комментарию защитники могут провести дополнительное расследование, доработать отчет и повторно отправить его на проверку.

После того как организаторы приняли от команды защитников отчет о расследовании реализации критического события, фиксируется время, за которое расследование было выполнено. При этом время, когда отчет находился на проверке у организаторов, не учитывается.

Так выглядит схема для расчета среднего времени расследования.
Жюри приняло отчет атакующих о реализации события
Информация о событии появилась на портале
Защитники начинают расследование
Защитники сдают отчет
Начинает отсчитываться время расследования
Время расследования приостанавливается
Жюри принимает отчет
Время расследования фиксируется
Жюри
не принимает отчет
Время расследования продолжает течь
Защитники повторно сдают отчет
Время расследования приостанавливается
Для наглядности мы собрали таблицу с типами отчетов, которые нужно сдавать защитникам.
Тип события
Когда можно начать расследовать
Сразу после того, как инцидент был обнаружен
Только после того, как команда атакующих успешно сдаст отчет о реализованном критическом событии
Тип отчета
Отчет об инциденте с описанием зафиксированного действия атакующих, влияющего на доступность, целостность и конфиденциальность информации
Отчет о расследовании реализации критического события с пошаговым описанием действий, которые привели к реализации события
Реагирование на атаки
В некоторых кибербитвах есть возможность участвовать в режиме реагирования. В этом случае, помимо выявления инцидентов и расследования атак, защитники также могут пресекать действия атакующих. Для этого они могут использовать следующие инструменты.
MaxPatrol EDR
(в качестве конечного инструмента защиты)
PT Application Firewall
(для защиты веб-приложений с помощью точечных правил блокировки)
Защитники могут:
— временно блокировать узлы инфраструктуры,
— удалять и отправлять файлы в карантин,
— блокировать учетные записи,
— завершать процессы,
— изолировать узлы,
— блокировать атакующих по IP-адресу,
— перенаправлять DNS-запросы,
— отправлять файлы на проверку в PT Sandbox,
— разрывать SSH-, RDP- и VPN-сессии.

Список может быть расширен или урезан из-за организационных или технических изменений.

Время блокировки «красных» определяется условиями кибербитвы, обычно оно составляет не больше 10 минут. Такое ограничение нужно, чтобы команды атакующих могли дальше развивать атаки и реализовывать критические события.

Чтобы реагировать на атаки, защитникам нужно написать пользовательские правила для PT Application Firewall. Из встроенных правил лишь часть будет включена — подробнее о них можно узнать у технической поддержки синих команд. Техническая поддержка также будет проверять качество написанных правил и обсуждать с участниками необходимость их доработки и влияние на соревновательный процесс (пример сложностей описан ниже, в разделе «Что нельзя делать в режиме реагирования»).

Задачи синих