Правила кибербитвы Standoff 14
Всё, что нужно знать участникам
Мы собрали единый документ с правилами для всех участников кибербитвы. Его главная задача — объяснить ключевые принципы, которые важно знать.
Здесь нет описаний заданий или технических моментов, зато есть информация, какие задачи стоят перед разными участниками, как зарабатывать баллы, куда обращаться с вопросами и чего точно не стоит делать, чтобы оставаться пользователем Standoff.
Мы собрали единый документ с правилами для всех участников кибербитвы. Его главная задача — объяснить ключевые принципы, которые важно знать.
Здесь нет описаний заданий или технических моментов, зато есть информация, какие задачи стоят перед разными участниками, как зарабатывать баллы, куда обращаться с вопросами и чего точно не стоит делать, чтобы оставаться пользователем Standoff.
Что ты найдешь в документе
Про Standoff 365
О платформе
Standoff 365 — это платформа для всех, кто хочет на практике проверить и улучшить свои навыки в кибербезопасности. В зависимости от своих целей и уровня подготовки участники могут выбрать подходящий продукт.
Онлайн-полигон
Виртуальная инфраструктура с реалистичными копиями ИТ-систем из разных отраслей, в которой специалисты по ИБ могут 24/7 тренироваться в тестировании безопасности, выявлении уязвимостей и обнаружении инцидентов.
Формат участия
онлайн
Кибербитва
Ежегодные международные киберучения, в которых специалисты по ИБ проверяют защищенность компаний из разных отраслей экономики на примере виртуальной инфраструктуры.
Формат участия
офлайн и онлайн
Bug Bounty
Программы от партнеров платформы с денежными вознаграждениями за найденные уязвимости.
Формат участия
онлайн
Для проведения киберучений на платформе разворачиваются сегменты полигона, в которых воссоздаются максимально реалистичные ИТ-системы. Как правило, сегмент — это определенная отрасль экономики или компания, которая ее представляет.
Примеры сегментов
Банки
ЖКХ и госуслуги
Металлургия
ИТ
Каждый сегмент может включать один или несколько сервисов, которые регулируют деятельность виртуальной организации внутри отрасли или обеспечивают ее информационную безопасность.
Например:
— инфраструктурные сервисы: почтовый сервер, FTP-сервер, база данных клиентов, система документооборота;
— АСУ ТП: система управления светофорами, ветрогенераторами;
— СЗИ: межсетевой экран.
Для каждой кибербитвы собирается новая подборка сегментов с частично измененными заданиями. Это помогает постоянным участникам получать новые знания и проверять свои навыки в современных реалиях.
Например:
— инфраструктурные сервисы: почтовый сервер, FTP-сервер, база данных клиентов, система документооборота;
— АСУ ТП: система управления светофорами, ветрогенераторами;
— СЗИ: межсетевой экран.
Для каждой кибербитвы собирается новая подборка сегментов с частично измененными заданиями. Это помогает постоянным участникам получать новые знания и проверять свои навыки в современных реалиях.
Кто может участвовать
Во всех киберучениях есть две ключевые роли.
Атакующие
Они же красные команды, белые хакеры, или red team. Задача атакующих — реализовать как можно больше критических событий и выявить максимум уязвимостей. В ходе всех форматов киберучений красные команды соревнуются между собой.
Защитники
Они же синие команды, или blue team. Задача защитников — своевременно выявлять инциденты и расследовать атаки, а в ряде киберучений еще и реагировать на действия атакующих и вводить меры защиты от атак. Синие команды не соревнуются между собой.
Все участники
Вне зависимости от роли все участники становятся частью комьюнити Standoff, в котором можно обмениваться опытом, получать актуальные знания в сфере кибербеза и, конечно, круто проводить время.
Это важно знать всем участникам
На платформе Standoff 365 одновременно могут быть сотни исследователей, поэтому при подключении важно позаботиться о собственной безопасности и придерживаться нескольких правил:
- Блокируйте входящие SSH-соединения
- Подключаться к платформе через виртуальную машину.
- Периодически проверять подключения через команду netstat -antlp.
- Отключать VPN-соединение при уходе на перерыв.
Кибербитва Standoff
Кибербитва — это ежегодные международные киберучения, которые проходят на базе платформы Standoff 365. Для кибербитвы мы готовим расширенную инфраструктуру с разными отраслевыми сегментами и собираем лучшие команды защитников и атакующих, чтобы они проверили свои навыки.
Обычно кибербитва длится четыре дня с перерывами на ночь и может проходить в трех форматах.
Офлайн
Все команды собираются на офлайн-мероприятии. При таком формате помимо самой кибрербитвы участников ждет нетворкинг и веселое афтепати
Онлайн
Команды могут участвовать в киберучениях из любой точки мира
Смешанный формат
Часть участников приезжает на мероприятие, часть участвует удаленно
О формате конкретной кибербитвы мы сообщаем заранее.
Что нужно знать атакующим
Механика кибербитвы
Этапы участия для команд атакующих зависят от конкретной кибербитвы. Она может проходить:
Механика зависит от конкретной кибербитвы и прописывается на лендинге кибербитвы и в нашем телеграм-канале.
- В один этап. В этом случае все дни кибербитвы команды атакующих соревнуются между собой за победу.
- В несколько этапов. Например, на первом этапе все команды делятся на два противоборствующих государства, а во второй этап попадают лучшие команды из победившего государства, которые далее борются за главный приз.
Механика зависит от конкретной кибербитвы и прописывается на лендинге кибербитвы и в нашем телеграм-канале.
Подготовка и подключение
Сначала все команды подают заявку на участие через сайт конкретной кибербитвы. Только после того как заявка будет одобрена, команды смогут получить доступ к кибербитве на платформе Standoff 365.
Для этого нужно:
Для этого нужно:
- Создать аккаунт на платформе, если его еще нет. Важно, чтобы все участники команды были зарегистрированы.
- Подать заявку для доступа к кибербитве в специальном разделе, который появляется на портале Standoff 365 ближе к ивенту (ссылка дублируется капитанам команд на почту). Заявку подает капитан и указывает в ней аккаунты всех участников на платформе Standoff 365. Иногда заявка подается дважды: отдельно для отборочных соревнований и для кибербитвы. После одобрения заявки у каждого члена команды в личном кабинете появится раздел с кибербитвой.
- Настроить VPN-подключение. Для этого открой личный кабинет на портале → раздел кибербитвы → «Доступ и ресурсы» и следуй инструкции.
Задачи атакующих
Главная задача красных команд — заработать как можно больше баллов за выполнение заданий. Обычно атакующие получают доступ к заданиям только в ходе мероприятия, однако в некоторых случаях мы публикуем их заранее.
Реализация критических событий
Для каждой кибербитвы мы готовим список критических событий, которые могут реализовать атакующие в разных сегментах. Например, нарушить работу светофорной системы, отравить воду хлором или столкнуть поезда
Нахождение уязвимостей
В каждом сегменте есть список уязвимостей, за выявление которых также можно заработать баллы
На онлайн-полигоне можно атаковать сервисы только по определенным адресам, которые предоставляют организаторы. Атаки на другие адреса не учитываются при начислении баллов и могут привести к штрафу или запрету на участие в киберучениях.
Как заработать баллы
В карточке каждого задания будет указано:
Пример задания по реализации критического события во время кибербитвы.
- Описание события или уязвимости.
- Задание.
- Количество баллов за реализацию.
Пример задания по реализации критического события во время кибербитвы.
Описание критического события
Описание задания
Баллы за реализацию критических событий
Чтобы заработать баллы за реализацию критического события, нужно сдать отчет о реализации критического события на платформе Standoff 365.
Что нужно сделать
Как заработать баллы
- Реализовать событие согласно заданию и внутри инфраструктуры полигона.
- Заполнить отчет о реализации критического события. В отчете нужно пошагово описать действия, которые позволили реализовать критическое событие
Например, остановка работы паровой турбины, утечка конфиденциальных данных, кража средств со счетов банка, сход поезда с рельсов.
О том, как правильно заполнять отчеты, читай в нашем гайде.
Все отчеты проверяются вручную. После сдачи отчета дальнейший ход событий будет зависеть от качества и правильности заполнения отчета.
Все отчеты проверяются вручную. После сдачи отчета дальнейший ход событий будет зависеть от качества и правильности заполнения отчета.
Нет замечаний
Количество исправленных полей:
0
0
Отчет:
принимается без корректировок
принимается без корректировок
Баллы:
начисляются согласно очередности реализации события
начисляются согласно очередности реализации события
Нужны небольшие корректировки или уточнения
Количество исправленных полей:
≤ 3
≤ 3
Отчет:
отправляется на доработку с комментариями организаторов. Исправления лучше внести в шаги отчета
отправляется на доработку с комментариями организаторов. Исправления лучше внести в шаги отчета
Баллы:
закрепляются согласно очередности реализации события в момент первой сдачи отчета и начисляются после исправления недостатков
закрепляются согласно очередности реализации события в момент первой сдачи отчета и начисляются после исправления недостатков
Пример:
команда Х первой реализовала событие, но жюри оставило комментарии по двум полям. Команда получит баллы как за первую реализацию сразу после сдачи скорректированного отчета
команда Х первой реализовала событие, но жюри оставило комментарии по двум полям. Команда получит баллы как за первую реализацию сразу после сдачи скорректированного отчета
Нужны существенные доработки
Количество исправленных полей:
>3
>3
Отчет:
отклоняется организаторами. Команда может сдать отчет повторно после исправления всех замечаний
отклоняется организаторами. Команда может сдать отчет повторно после исправления всех замечаний
Баллы:
не начисляются, пока не будет сдан исправленный отчет. После исправления баллы будут начислены исходя из очередности реализации события в момент сдачи правильного отчета
не начисляются, пока не будет сдан исправленный отчет. После исправления баллы будут начислены исходя из очередности реализации события в момент сдачи правильного отчета
Пример:
команда Х первой реализовала событие, но жюри не приняло отчет. Пока команда вносила правки, две другие команды успешно сдали отчеты.
После сдачи исправленного отчета команда Х получит баллы в соответствии с третьей очередью реализации
команда Х первой реализовала событие, но жюри не приняло отчет. Пока команда вносила правки, две другие команды успешно сдали отчеты.
После сдачи исправленного отчета команда Х получит баллы в соответствии с третьей очередью реализации
Чем выше уровень сложности задания, тем больше баллов можно получить. Расчет баллов динамический: участник или команда, реализовавшие критическое событие первыми, получают максимальный балл, каждая последующая реализация события другими участниками приносит на 15% меньше.
Количество баллов уменьшается до тех пор, пока не достигнет 40% от значения в задании. Теперь все последующие участники, реализовавшие это событие, получают не больше этого количества баллов.
Пример расчета баллов исходя из очередности реализации:
Количество баллов уменьшается до тех пор, пока не достигнет 40% от значения в задании. Теперь все последующие участники, реализовавшие это событие, получают не больше этого количества баллов.
Пример расчета баллов исходя из очередности реализации:
Порядок реализации
Число баллов
Первая реализация
1000 баллов (максимальное значение)
Вторая реализация
850 баллов
Третья реализация
722 балла
Четвертая реализация
614 баллов
Пятая реализация
522 балла
Шестая реализация
443 балла
Седьмая реализация и последующие
400 баллов (минимальное значение)
Баллы за найденные уязвимости
Чтобы заработать баллы за уязвимость, нужно сдать отчет об уязвимости или флаг — набор символов, который необходимо найти в анализируемой информационной системе. Что именно нужно сдавать — зависит от расположения узла.
Жюри принимает отчеты только об определенных типах уязвимостей.
Жюри принимает отчеты только об определенных типах уязвимостей.
LPE
(локальное повышение привилегий до root или administrator)
RCE
(удаленное выполнение кода)
SQLi
(внедрение SQL-кода)
Path Traversal
(выход за пределы каталога)
SSRF
(подделка запроса со стороны сервера)
XXE
(внедрение внешних сущностей XML)
Как заработать баллы за уязвимости.
Расположение
Тип уязвимости
Gate
Path Traversal, SSRF, SQLi, RCE и LPE
DMZ и далее
Path Traversal, XXE, SSRF, SQLi, RCE и LPE
Как заработать баллы
- Выявить уязвимость.
- Сдать флаг.
Способ получения флага зависит от типа уязвимости:
— Path Traversal: получи содержимое файла /etc/pt.flag;
— SSRF: обратись по внутреннему адресу на порт 9732 (http://127.0.0.1:9732);
— SQLi: получи содержимое ячейки flag из таблицы secret;
— RCE: выполни скрипт /home/rceflag;
— LPE: выполни скрипт /home/lpeflag
Все сданные флаги проверяются автоматически.
Выявить уязвимость.
Сдать отчет об уязвимости.
В отчете нужно указать:
— тип уязвимости;
— систему, в которой она была найдена;
— пример эксплуатации уязвимости;
— в зависимости от типа уязвимости: получить баннер с версией СУБД, прочитать локальный файл, отправить произвольный HTTP-запрос или показать вывод команд ipconfig/ifconfig, whoami или id.
Все отчеты об уязвимостях проверяются жюри вручную.
Сдать отчет об уязвимости.
В отчете нужно указать:
— тип уязвимости;
— систему, в которой она была найдена;
— пример эксплуатации уязвимости;
— в зависимости от типа уязвимости: получить баннер с версией СУБД, прочитать локальный файл, отправить произвольный HTTP-запрос или показать вывод команд ipconfig/ifconfig, whoami или id.
Все отчеты об уязвимостях проверяются жюри вручную.
Пример расчета баллов.
Тип уязвимости
Число баллов
Path Traversal
100
SSRF
XXE
200
SQLi
RCE
300
LPE
500
Чтобы повысить шансы на получение баллов, при сдаче флага или отчета об уязвимости учитывайте следующее:
- Root-права должны быть получены в основной системе, а не в контейнере. В отчете необходимо предоставить вывод /etc/shadow.
- Один способ реализации LPE на Windows можно сдать только один раз в рамках одного сегмента полигона. Если найден другой способ, его можно сдать в рамках того же сегмента.
- Одинаковые классы уязвимостей, но в разных параметрах, на одном узле являются дубликатами.
- Баллы за уязвимости на Gate-узлах выдаются при сдаче флага. Отчеты по ним не принимаются и будут отклоняться.
- За уязвимости, проверяемые жюри, можно получить до 1500 баллов на узел.
- За уязвимости с автоматической проверкой можно получить не более 500 баллов.
Что делать, если нужна помощь
Чтобы получить техническую поддержку, напиши в наш телеграм-бот для атакующих. Специалисты техподдержки отвечают только через такие заявки.
Обрати внимание, что в контексте векторов атак специалисты отвечают только на вопросы об их работоспособности.
Обрати внимание, что в контексте векторов атак специалисты отвечают только на вопросы об их работоспособности.
Что нельзя делать во время кибербитвы
При поиске уязвимостей и реализации критических событий у красных команд есть ряд ограничений. В случае нарушения правил команда может получить штраф или лишиться возможности участвовать в битве.
1. Атаковать платформу
Взламывать платформу Standoff 365.
Атаковать и выводить из строя средства защиты информации в инфраструктуре онлайн-полигона.
Атаковать сервисы, расположенные за пределами инфраструктуры, предоставленной организаторами.
2. Атаковать сотрудников и организаторов
Пытаться получить доступ к служебным учетным записям.
Проводить фишинговые атаки на сотрудников Positive Technologies.
Реализовывать DoS- и DDoS-атаки на службы, сервисы и приложения инфраструктуры полигона.
Менять служебные пароли в сервисах и приложениях инфраструктуры онлайн-полигона.
3. Применять аппаратные средства к макету
Подключаться к макету аппаратными средствами.
Выводить из строя аппаратное обеспечение макета.
4. Указывать ложную информацию
Выдавать отчет другой команды или участника за свой.
Указывать заведомо ложную информацию в отчете.
5. Вносить изменения в платформу или онлайн-полигон
Исправлять заложенные организаторами уязвимости.
Вносить изменения в платформу или онлайн-полигон.
6. Генерировать флаги и передавать их соперникам
7. Применять метод «царь горы»
Занимать или блокировать ресурсы другой команды, чтобы помешать получить к ним доступ.
Создавать условия, при которых другие команды не могут атаковать или защищать свои ресурсы.
Вмешиваться в трафик другой команды для предотвращения атак или защиты инфраструктуры без непосредственного взаимодействия с уязвимостями.
Блокировать попытки эксплуатации уязвимостей другими участниками.
Если атакующим удалось проникнуть на узел SCADA-системы, нужно сообщить об этом в чате с организаторами. Таким образом, если несколько команд почти одновременно проникнут на один и тот же узел, организаторы помогут участникам выстроить очередь, выделив по 1−1,5 часа на команду.
8. Грубить, проявлять неуважение
Хамить организаторам и другим участникам.
Спамить в техподдержку.
Настойчиво спорить с принятыми решениями.
9. Быть участником команды, будучи сотрудником Positive Technologies
Сотрудники Positive Technologies не должны принимать участие в кибербитве Standoff, в том числе по приглашению капитанов.
10. Создавать твинки: аккаунты или целые команды
Создавать новые команды с твинк-аккаунтов.
Присоединяться к другим командам с твинк-аккаунтов.
11. Объединяться с другими командами атакующих
Делиться способами решения задач.
Договариваться о совместной работе. Исключение — если это предусмотрено механикой конкретной битвы.
12. Участвовать командой численностью более 10 человек
Штрафы за нарушения
Первое нарушение
Предупреждение и вычет баллов. Количество штрафных баллов определяется организаторами в зависимости от уровня негативного влияния на соревновательный процесс
Второе нарушение
Дисквалификация команды или участника на определенное время без возможности атаковать или защищаться
Третье нарушение
Дисквалификация команды или участника из соревнования без возможности вернуться
В случае несогласия со штрафом или дисквалификацией капитан команды может подать апелляцию один раз за игровой день. Порядок и формат подачи можно уточнить в чате с организаторами. В ходе апелляции капитану нужно доказать, что нарушений со стороны команды не было.
Что нужно знать защитникам
Подготовка и подключение
Примерно за месяц до ивента команды защитников получают доступ к инфраструктуре для ознакомления.
Чтобы получить доступ к кибербитве, нужно:
До битвы всем командам предоставляется конфигурационный файл VPN.
Дополнительно:
После ознакомления с полигоном команда предоставляет организаторам список средств защиты, которые она планирует использовать, а также схему их размещения. В общем случае команды ограничены следующими классами средств защиты.
Чтобы получить доступ к кибербитве, нужно:
- Собрать команду и создать аккаунт на платформе Standoff 365, если его еще нет. Важно, чтобы все участники команды были зарегистрированы.
- Подать заявку для получения доступа к кибербитве в специальном разделе, который появляется на портале Standoff 365 ближе к ивенту (ссылка дублируется капитанам команд на почту). Заявку подает капитан и указывает в ней аккаунты всех участников на платформе Standoff 365. После проверки заявки у команды появится личный кабинет.
- Настроить VPN-подключение. Для этого открой личный кабинет на портале → раздел кибербитвы → «Доступ и ресурсы» и следуй инструкции.
До битвы всем командам предоставляется конфигурационный файл VPN.
Дополнительно:
- В рамках подготовки к кибербитве организаторы проводят сканирование и аудит инфраструктуры средствами MaxPatrol, после чего эти данные сохраняются и могут быть использованы участниками в рамках работы с MaxPatrol SIEM.
- Команда может запросить развертывание узла с Kali Linux, чтобы просканировать инфраструктуру собственными силами, а также средствами, отличными от продуктов MaxPatrol.
После ознакомления с полигоном команда предоставляет организаторам список средств защиты, которые она планирует использовать, а также схему их размещения. В общем случае команды ограничены следующими классами средств защиты.
SIEM
(MaxPatrol SIEM)
NTA
(PT Network Attack Discovery)
Sandbox
(PT MultiScanner, PT Sandbox)
WAF
(PT Application Firewall Pro)
Industrial NTA
(PT Industrial Security Incident Manager)
Защитники, участвующие в режиме реагирования, также получают доступ к MaxPatrol EDR (решению класса endpoint detection and response).
Использование других средств защиты согласовывается с организаторами отдельно.
Использование других средств защиты согласовывается с организаторами отдельно.
Как оценивается работа защитников
Основные цели защитников — обнаружение и расследование инцидентов, вызванных действиями атакующих. Для оценки действий команд учитывается количество обнаруженных инцидентов и среднее время расследования одной атаки.
В ходе киберучений команды защитников привязываются к конкретной отрасли, в которой им предстоит выявлять и расследовать атаки. Информация о результатах команды публикуется на сайте кибербитвы и на платформе Standoff 365.
Например, вот так выглядели результаты защитников во время кибербитвы Standoff 13.
В ходе киберучений команды защитников привязываются к конкретной отрасли, в которой им предстоит выявлять и расследовать атаки. Информация о результатах команды публикуется на сайте кибербитвы и на платформе Standoff 365.
Например, вот так выглядели результаты защитников во время кибербитвы Standoff 13.
Результаты команд защитников по итогам кибербитвы Standoff 13
Защитники сдают отчеты только об успешных атаках. Например, отчеты о фишинговых атаках, в которых пользователи не перешли ни по одной ссылке, неуспешных попытках подбора пароля или расследовании объектов, не относящихся к инфраструктуре полигона, не будут учитываться.
Дальнейший ход событий зависит от качества и правильности заполнения отчета.
Дальнейший ход событий зависит от качества и правильности заполнения отчета.
Нет замечаний
Количество исправленных полей:
0
0
Отчет:
принимается без корректировок
принимается без корректировок
Нужны небольшие корректировки или уточнения
Количество исправленных полей:
≤ 3
≤ 3
Отчет:
отправляется на доработку с комментариями организаторов.
отправляется на доработку с комментариями организаторов.
Нужны существенные доработки
Количество исправленных полей:
>3
>3
Отчет:
отклоняется организаторами. Команда может сдать отчет повторно после исправления всех замечаний
отклоняется организаторами. Команда может сдать отчет повторно после исправления всех замечаний
Количество обнаруженных инцидентов
В процессе киберучений защитники могут сдавать отчеты о выявленных инцидентах. Мы составили гайд, который поможет командам защиты понять, как правильно заполнять отчеты.
Все отчеты защитников проверяют и оценивают организаторы. Если в отчете недостаточно информации, организаторы не принимают отчет и оставляют соответствующий комментарий. После корректировки отчет можно сдать повторно.
При подсчете выявленных инцидентов не учитываются любые ложноположительные срабатывания, например информация о легитимной работе чекеров и пользователей-ботов, а также отчеты о несуществующих инцидентах.
Все отчеты защитников проверяют и оценивают организаторы. Если в отчете недостаточно информации, организаторы не принимают отчет и оставляют соответствующий комментарий. После корректировки отчет можно сдать повторно.
При подсчете выявленных инцидентов не учитываются любые ложноположительные срабатывания, например информация о легитимной работе чекеров и пользователей-ботов, а также отчеты о несуществующих инцидентах.
Среднее время расследования атаки
После того как организаторы примут отчет о реализации критического события от атакующих, эта информация становится доступной защитникам.
Задачи защитников — расследовать это событие и сдать отчет. На портале появляется таймер, который ведет отсчет времени с момента начала расследования.
Все отчеты оцениваются командой жюри. Если в отчете недостаточно информации о действиях атакующих, отчет не принимается, а на портале появляется специальная отметка. По оставленному организаторами комментарию защитники могут провести дополнительное расследование, доработать отчет и повторно отправить его на проверку.
После того как организаторы приняли от команды защитников отчет о расследовании реализации критического события, фиксируется время, за которое расследование было выполнено. При этом время, когда отчет находился на проверке у организаторов, не учитывается.
Так выглядит схема для расчета среднего времени расследования.
Задачи защитников — расследовать это событие и сдать отчет. На портале появляется таймер, который ведет отсчет времени с момента начала расследования.
Все отчеты оцениваются командой жюри. Если в отчете недостаточно информации о действиях атакующих, отчет не принимается, а на портале появляется специальная отметка. По оставленному организаторами комментарию защитники могут провести дополнительное расследование, доработать отчет и повторно отправить его на проверку.
После того как организаторы приняли от команды защитников отчет о расследовании реализации критического события, фиксируется время, за которое расследование было выполнено. При этом время, когда отчет находился на проверке у организаторов, не учитывается.
Так выглядит схема для расчета среднего времени расследования.
Жюри приняло отчет атакующих о реализации события
Информация о событии появилась на портале
Защитники начинают расследование
Защитники сдают отчет
Начинает отсчитываться время расследования
Время расследования приостанавливается
Жюри принимает отчет
Время расследования фиксируется
Жюри
не принимает отчет
не принимает отчет
Время расследования продолжает течь
Защитники повторно сдают отчет
Время расследования приостанавливается
Для наглядности мы собрали таблицу с типами отчетов, которые нужно сдавать защитникам.
Тип события
Когда можно начать расследовать
Сразу после того, как инцидент был обнаружен
Только после того, как команда атакующих успешно сдаст отчет о реализованном критическом событии
Тип отчета
Отчет об инциденте с описанием зафиксированного действия атакующих, влияющего на доступность, целостность и конфиденциальность информации
Отчет о расследовании реализации критического события с пошаговым описанием действий, которые привели к реализации события
Реагирование на атаки
В некоторых кибербитвах есть возможность участвовать в режиме реагирования. В этом случае, помимо выявления инцидентов и расследования атак, защитники также могут пресекать действия атакующих. Для этого они могут использовать следующие инструменты.
MaxPatrol EDR
(в качестве конечного инструмента защиты)
PT Application Firewall
(для защиты веб-приложений с помощью точечных правил блокировки)
Защитники могут:
— временно блокировать узлы инфраструктуры,
— удалять и отправлять файлы в карантин,
— блокировать учетные записи,
— завершать процессы,
— изолировать узлы,
— блокировать атакующих по IP-адресу,
— перенаправлять DNS-запросы,
— отправлять файлы на проверку в PT Sandbox,
— разрывать SSH-, RDP- и VPN-сессии.
Список может быть расширен или урезан из-за организационных или технических изменений.
Время блокировки «красных» определяется условиями кибербитвы, обычно оно составляет не больше 10 минут. Такое ограничение нужно, чтобы команды атакующих могли дальше развивать атаки и реализовывать критические события.
Чтобы реагировать на атаки, защитникам нужно написать пользовательские правила для PT Application Firewall. Из встроенных правил лишь часть будет включена — подробнее о них можно узнать у технической поддержки синих команд. Техническая поддержка также будет проверять качество написанных правил и обсуждать с участниками необходимость их доработки и влияние на соревновательный процесс (пример сложностей описан ниже, в разделе «Что нельзя делать в режиме реагирования»).
Задачи синих команд в режиме реагирования:
При участии в режиме реагирования помимо информации об обнаруженных инцидентах у защитников будет дополнительный показатель предотвращенных инцидентов.
— временно блокировать узлы инфраструктуры,
— удалять и отправлять файлы в карантин,
— блокировать учетные записи,
— завершать процессы,
— изолировать узлы,
— блокировать атакующих по IP-адресу,
— перенаправлять DNS-запросы,
— отправлять файлы на проверку в PT Sandbox,
— разрывать SSH-, RDP- и VPN-сессии.
Список может быть расширен или урезан из-за организационных или технических изменений.
Время блокировки «красных» определяется условиями кибербитвы, обычно оно составляет не больше 10 минут. Такое ограничение нужно, чтобы команды атакующих могли дальше развивать атаки и реализовывать критические события.
Чтобы реагировать на атаки, защитникам нужно написать пользовательские правила для PT Application Firewall. Из встроенных правил лишь часть будет включена — подробнее о них можно узнать у технической поддержки синих команд. Техническая поддержка также будет проверять качество написанных правил и обсуждать с участниками необходимость их доработки и влияние на соревновательный процесс (пример сложностей описан ниже, в разделе «Что нельзя делать в режиме реагирования»).
Задачи синих команд в режиме реагирования:
- Следить за активностью в сети, анализировать трафик и логи в поисках признаков несанкционированного доступа или других подозрительных действий.
- Реагировать на инциденты, чтобы оперативно блокировать действия атакующих и минимизировать возможный ущерб.
- Прогнозировать потенциальные векторы атак, чтобы вовремя предпринять необходимые меры противодействия.
При участии в режиме реагирования помимо информации об обнаруженных инцидентах у защитников будет дополнительный показатель предотвращенных инцидентов.
Помимо выявленных инцидентов указывается количество предотвращенных
Что нельзя делать во время кибербитвы
Харденинг инфраструктуры
Задача команд — точечно реагировать на события безопасности, которые явно указывают на зловредное воздействие на инфраструктуру. После реагирования в рамках установленных правил через 10 минут защитники должны снять блокировку.
Задача команд — точечно реагировать на события безопасности, которые явно указывают на зловредное воздействие на инфраструктуру. После реагирования в рамках установленных правил через 10 минут защитники должны снять блокировку.
Постоянно блокировать действия «красных»
Защитники не должны блокировать действия атакующих на постоянной основе.
Защитники не должны блокировать действия атакующих на постоянной основе.
Пример 1
Красная команда закрепилась на узле и пытается подключиться к серверу с персональными данными по RDP. Защитники видят такое событие и разрывают соедининие. Атакующие снова пытаются его установить, но защитники продолжают им мешать.
Чтобы избежать такой ситуации, после 2−3 блокировок защитники должны прекратить блокировать красную команду. Это нужно, чтобы у «красных» была возможность продолжить атаку, а «синие» могли проследить ее развитие и попробовать среагировать на другом этапе.
Пример 2
Для реализации критического события красная команда должна выполнить HTTP-запрос к легитимному пути /path/to/flag. Защитники пишут правило на блокировку подобных запросов или запросов с определенного IP-адреса. Атакующие пытаются выполнить HTTP-запрос, но их блокирует WAF.
Чтобы избежать такой ситуации, техническая поддержка синих команд будет проверять правила и выключать их в случае полной блокировки действий «красных». Это, как и в примере выше, нужно, чтобы красные команды могли продолжить атаку, а «синие» — проследить ее развитие и попробовать среагировать на другом этапе.
Красная команда закрепилась на узле и пытается подключиться к серверу с персональными данными по RDP. Защитники видят такое событие и разрывают соедининие. Атакующие снова пытаются его установить, но защитники продолжают им мешать.
Чтобы избежать такой ситуации, после 2−3 блокировок защитники должны прекратить блокировать красную команду. Это нужно, чтобы у «красных» была возможность продолжить атаку, а «синие» могли проследить ее развитие и попробовать среагировать на другом этапе.
Пример 2
Для реализации критического события красная команда должна выполнить HTTP-запрос к легитимному пути /path/to/flag. Защитники пишут правило на блокировку подобных запросов или запросов с определенного IP-адреса. Атакующие пытаются выполнить HTTP-запрос, но их блокирует WAF.
Чтобы избежать такой ситуации, техническая поддержка синих команд будет проверять правила и выключать их в случае полной блокировки действий «красных». Это, как и в примере выше, нужно, чтобы красные команды могли продолжить атаку, а «синие» — проследить ее развитие и попробовать среагировать на другом этапе.
Что делать, если нужна помощь
Чтобы получить техническую поддержку, напиши в специальный телеграм-бот для защитников. Обрати внимание, что специалисты техподдержки отвечают только через такие заявки.
Глоссарий
О продуктах
Платформа Standoff 365
Платформа для специалистов по информационной безопасности, которая включает в себя онлайн-полигон, программы bug bounty, социальную сеть, тематические мероприятия и платформу для организации CTF-соревнований.
Онлайн-полигон Standoff
Часть платформы Standoff 365 для проведения киберучений. Может состоять из одного и более сегментов полигона — отраслей, в которых представлены различные ИТ-системы. В киберучениях участвуют атакующие и защитники, которые могут на практике улучшать свои навыки в разных направлениях ИБ: тестирование безопасности, выявление инцидентов и реагирование на них, предотвращение атак.
Кибербитва Standoff
Открытые международные киберучения, которые проводятся несколько раз в год и могут быть приурочены к конференции по информационной безопасности. Для каждой кибербитвы набирается пул профессиональных команд атакующих и защитников для проверки навыков в максимально реалистичных условиях.
Платформа для специалистов по информационной безопасности, которая включает в себя онлайн-полигон, программы bug bounty, социальную сеть, тематические мероприятия и платформу для организации CTF-соревнований.
Онлайн-полигон Standoff
Часть платформы Standoff 365 для проведения киберучений. Может состоять из одного и более сегментов полигона — отраслей, в которых представлены различные ИТ-системы. В киберучениях участвуют атакующие и защитники, которые могут на практике улучшать свои навыки в разных направлениях ИБ: тестирование безопасности, выявление инцидентов и реагирование на них, предотвращение атак.
Кибербитва Standoff
Открытые международные киберучения, которые проводятся несколько раз в год и могут быть приурочены к конференции по информационной безопасности. Для каждой кибербитвы набирается пул профессиональных команд атакующих и защитников для проверки навыков в максимально реалистичных условиях.
О киберучениях
Атака
Комплекс действий атакующих, приводящий к реализации критического события. По итогам успешной атаки «красные» сдают отчет о реализации критического события.
Атакующие
Команда или отдельный участник, чьей целью являются поиск уязвимостей и реализация критических событий на киберучениях.
Задание
Описание целей, которых должны достичь участники.
Заявка на участие в киберучениях
Сообщение о намерении команды участвовать в офлайн-киберучениях. В заявке указываются:
— роль команды (атакующие или защитники);
— имя капитана команды;
— состав участников;
— слоган или девиз команды;
— небольшое описание самой команды.
Заявка подается капитаном или админом группы. Все заявки рассматриваются командой и специальным жюри Standoff.
Комплекс действий атакующих, приводящий к реализации критического события. По итогам успешной атаки «красные» сдают отчет о реализации критического события.
Атакующие
Команда или отдельный участник, чьей целью являются поиск уязвимостей и реализация критических событий на киберучениях.
Задание
Описание целей, которых должны достичь участники.
Заявка на участие в киберучениях
Сообщение о намерении команды участвовать в офлайн-киберучениях. В заявке указываются:
— роль команды (атакующие или защитники);
— имя капитана команды;
— состав участников;
— слоган или девиз команды;
— небольшое описание самой команды.
Заявка подается капитаном или админом группы. Все заявки рассматриваются командой и специальным жюри Standoff.
Защитники
Команды специалистов по информационной безопасности, которые в ходе киберучений проверяют свои навыки выявления и расследования инцидентов и атак. В рамках некоторых киберучений специалисты также могут участвовать в режиме реагирования на атаки.
Инцидент
Одиночное действие атакующих, направленное на нарушение доступности, целостности или конфиденциальности информации. По итогам расследования «синие» сдают отчет об отдельных инцидентах.
Киберучения
Комплекс мероприятий, организуемый для повышения уровня подготовки и развития навыков специалистов по информационной безопасности.
Команды специалистов по информационной безопасности, которые в ходе киберучений проверяют свои навыки выявления и расследования инцидентов и атак. В рамках некоторых киберучений специалисты также могут участвовать в режиме реагирования на атаки.
Инцидент
Одиночное действие атакующих, направленное на нарушение доступности, целостности или конфиденциальности информации. По итогам расследования «синие» сдают отчет об отдельных инцидентах.
Киберучения
Комплекс мероприятий, организуемый для повышения уровня подготовки и развития навыков специалистов по информационной безопасности.
Критическое событие
Событие, в результате которого становится невозможным достижение операционных и стратегических целей организации или которое приводит к длительному нарушению ее основной деятельности. Например, остановка работы паровой турбины, кража средств со счетов банков, сход поезда с рельсов. На платформе Standoff 365 цель атакующих — реализовать критические события, а цель защитников — расследовать случаи их реализации.
Событие, в результате которого становится невозможным достижение операционных и стратегических целей организации или которое приводит к длительному нарушению ее основной деятельности. Например, остановка работы паровой турбины, кража средств со счетов банков, сход поезда с рельсов. На платформе Standoff 365 цель атакующих — реализовать критические события, а цель защитников — расследовать случаи их реализации.
Отчет о расследовании реализации критического события
Отчет команды защитников, содержащий описание предполагаемых действий, выполненных атакующими для реализации критического события.
Отчет о реализации критического события
Отчет атакующих, содержащий описание действий, которые позволили реализовать критическое событие.
Отчет об инциденте
Отчет команды защитников, содержащий описание зафиксированного действия атакующих, влияющего на доступность, целостность и конфиденциальность информации.
Отчет об уязвимости
Отчет атакующих об обнаруженной уязвимости.
Отчет команды защитников, содержащий описание предполагаемых действий, выполненных атакующими для реализации критического события.
Отчет о реализации критического события
Отчет атакующих, содержащий описание действий, которые позволили реализовать критическое событие.
Отчет об инциденте
Отчет команды защитников, содержащий описание зафиксированного действия атакующих, влияющего на доступность, целостность и конфиденциальность информации.
Отчет об уязвимости
Отчет атакующих об обнаруженной уязвимости.
Сегмент полигона
Отдельная виртуальная часть инфраструктуры онлайн-полигона, в которой воссоздаются информационные системы и процессы, характерные для предприятий определенной отрасли. Как правило, сегмент — это конкретная экономическая отрасль, в которой есть одна или несколько виртуальных компаний. Например, среди сегментов могут быть: финсектор, сфера ЖКХ и госуслуг, нефтегазовая, металлургическая, энергетическая или атомная отрасли и другие.
Сервис
Объект инфраструктуры онлайн-полигона, который управляет тем или иным процессом в информационной системе.
Уязвимость
Недостаток в системе, используя который можно намеренно нарушить целостность, доступность и конфиденциальность информации.
Отдельная виртуальная часть инфраструктуры онлайн-полигона, в которой воссоздаются информационные системы и процессы, характерные для предприятий определенной отрасли. Как правило, сегмент — это конкретная экономическая отрасль, в которой есть одна или несколько виртуальных компаний. Например, среди сегментов могут быть: финсектор, сфера ЖКХ и госуслуг, нефтегазовая, металлургическая, энергетическая или атомная отрасли и другие.
Сервис
Объект инфраструктуры онлайн-полигона, который управляет тем или иным процессом в информационной системе.
Уязвимость
Недостаток в системе, используя который можно намеренно нарушить целостность, доступность и конфиденциальность информации.
И напоследок…
Мы постарались сделать правила максимально понятными для всех участников. Если ты не первый раз участвуешь в наших киберучениях, ты знаешь, что раньше правила выглядели иначе.
Для нас будет очень важно, если ты пришлешь обратную связь об этом документе на почту hello@standoff365.com. Расскажи, насколько тебе понятны правила, что понравилось, а что можно доработать, нужно ли что-то добавить. Это поможет нам сделать документ еще удобнее.
Если же тебе нужно получить какую-то информацию — мы на связи:
— по любым вопросам о киберучениях — на hello@standoff365.com или в нашем телеграм-канале;
— по техническим вопросам — на support@standoff365.com.
До встречи на киберучениях!
Команда Standoff
Для нас будет очень важно, если ты пришлешь обратную связь об этом документе на почту hello@standoff365.com. Расскажи, насколько тебе понятны правила, что понравилось, а что можно доработать, нужно ли что-то добавить. Это поможет нам сделать документ еще удобнее.
Если же тебе нужно получить какую-то информацию — мы на связи:
— по любым вопросам о киберучениях — на hello@standoff365.com или в нашем телеграм-канале;
— по техническим вопросам — на support@standoff365.com.
До встречи на киберучениях!
Команда Standoff