Общие вопросы
Что такое Cyber Polygon?
Cyber Polygon — ежегодное мероприятие, которое позволяет организациям со всего мира проверить уровень устойчивости к киберугрозам, поделиться передовым опытом и лучшими практиками с глобальным сообществом.
Cyber Polygon объединяет в себе:
- онлайн-конференцию с участием первых лиц международных организаций и экспертов ведущих корпораций;
- крупнейший технический тренинг по кибербезопасности для корпоративных команд.
В 2021 году зрителям и участникам дополнительно будут доступны экспертные материалы — видеозаписи выступлений специалистов по кибербезопасности.
Чему будет посвящен Cyber Polygon в 2021 году?
Тема Cyber Polygon 2021 — безопасное развитие экосистем.
- На конференции ведущие мировые эксперты обсудят ключевые риски цифровизации и поделятся лучшими практиками безопасного развития экосистем.
- В ходе технического тренинга команды на практике будут учиться отражать таргетированную атаку supply chain на корпоративную экосистему.
- В рамках экспертного трека ведущие специалисты по кибербезопасности из разных стран поделятся практическими аспектами защиты корпораций.
Как я могу принять участие? Нужно ли регистрироваться?
Для просмотра онлайн-конференции и экспертных материалов регистрация не нужна. Смотрите конференцию на главной странице сайте 9 июля — или позднее в записи. Раздел с материалами появится на сайте в день мероприятия.
Если же вы хотите принять участие в практическом тренинге по кибербезопасности для корпоративных команд, подайте заявку или напишите нам на почту team@cyberpolygon.com. Подробно с условиями участия и информацией по тренингу можно ознакомиться на странице Тренинг.
О конференции
Кому будет интересна конференция?
Конференция предназначена для руководителей, топ-менеджеров организаций, а также всех, кто хочет больше узнать о перспективах и вызовах цифровой трансформации, путях безопасной эволюции корпоративных экосистем, цифровом будущем государств и роли кибербезопасности во всех этих процессах.
Нужно ли регистрироваться на сайте, чтобы посмотреть конференцию?
Нет, регистрация не нужна: конференция будет доступна всем. Подпишитесь на новости и Apple Google Office 365 Outlook , чтобы не пропустить день мероприятия.
Сколько продлится конференция?
Конференция начнется в 12:00 по московскому времени и продлится ориентировочно до 18:00. Следите за обновлениями программы.
Что будет на конференции?
В программе — выступления международных экспертов из Всемирного экономического форума, Интерпола, Международного Комитета Красного Креста и глобальных корпораций. Спикеры обсудят, как обеспечить безопасность экосистем и цепочек поставок, как защитить детей в киберпространстве, поговорят о безопасной цифровизации государств и будущем финансовых рынков.
Где и когда можно посмотреть конференцию?
Прямую трансляцию конференции можно будет посмотреть 9 июля 2021 года на главной странице сайта.
Будет ли доступна видеозапись конференции после ее завершения?
Полное видео конференции будет доступно после завершения мероприятия в разделе Галерея. Там же можно будет посмотреть интересующие вас сессии по отдельности.
Об экспертном треке
Что будут включать в себя материалы для технических специалистов?
В записи войдут выступления экспертов по практической кибербезопасности, где они расскажут о трендах кибератак, способах защиты цепочек поставок, обеспечении безопасности облачных сервисов и многом другом.
Кому могут быть интересны видеоматериалы?
Они будут интересны специалистам в сфере IT и кибербезопасности, которые хотят улучшить практические навыки.
Где и когда я смогу посмотреть выступления экспертов?
Вы сможете посмотреть их на официальном сайте мероприятия 9 июля. Все записи будут доступны и после завершения мероприятия.
О техническом тренинге
Для кого этот тренинг?
Cyber Polygon нацелен на развитие практических навыков IT-специалистов и сотрудников служб кибербезопасности. Мы приглашаем к участию команды таких специалистов от организаций.
Онлайн-тренинг ориентирован на компании, у которых кибербезопасность не составляет основу бизнеса и которые стремятся развивать навыки внутренней команды специалистов. Для поставщиков услуг в этой сфере тренинг неактуален. Представителям профильных компаний по кибербезопасности мы предлагаем поучаствовать в качестве зрителей нашей конференции, а также изучить экспертные видеоматериалы.
Из чего будет состоять тренинг?
Командам предстоит потренироваться в отражении и расследовании атаки. Тренинг будет включать два сценария:
- Defense. Участники отработают навыки отражения таргетированных атак на бизнес-критичную систему в процессе противостояния крупномасштабной атаке в режиме реального времени.
- Response. Команды отработают навыки расследования инцидентов на примере успешной атаки supply chain. Сценарий позволит отточить использование как техник классической компьютерной криминалистики, так и подхода Threat Hunting.
Как стать участником?
Чтобы принять участие в тренинге, необходимо заполнить форму на сайте либо направить заявку на team@cyberpolygon.com.
Сколько человек должно быть в команде?
В команде может быть любое количество специалистов.
Каким специалистам будет полезно войти в состав команд-участников?
Техническая часть Cyber Polygon рассчитана на специалистов по кибербезопасности и IT разной квалификации. Желательно, чтобы в командах были специалисты по форензике, анализу защищенности, а также по мониторингу угроз (SOC).
Может ли участвовать команда не от конкретной организации?
Нет, участвовать в тренинге могут только корпоративные команды от организаций.
Сколько команд могут представлять одну организацию?
От одной организации может принять участие только одна команда.
Может ли компания принять участие в тренинге в качестве red team?
Нет. Роль red team исполняет команда организаторов. Все участвующие команды выступают в качестве blue team и защищают свои сегменты тренировочной инфраструктуры. Тренинг нацелен на совершенствование практических навыков специалистов по защите корпоративных систем.
Нужно ли куда-то ехать, чтобы принять участие?
Нет, участвовать в тренинге можно из любой точки мира. Все задания будут выполняться удаленно: командам предоставят доступ к виртуальной облачной инфраструктуре для выполнения первого сценария и архив с материалами для решения заданий второго сценария.
Сколько будет длиться тренинг?
Тренинг продлится c 12:00 9 июля до 12:00 10 июля по московскому времени. В этом году мы добавили больше заданий, поэтому дадим участникам больше времени и возможность сделать перерывы на отдых.
Как подготовиться к тренингу? Потребуются ли какие-то дополнительные ресурсы?
Для участия в Cyber Polygon не требуется каких-либо дополнительных ресурсов.
Чтобы лучше подготовиться к тренингу, мы предлагаем ознакомиться с циклом статей в разделе Материалы: они помогут получить общие знания по теме практической кибербезопасности. Библиотека материалов на сайте постоянно пополняется. Подписывайтесь на новости и следите за появлением новых публикаций.
Когда будет предоставлен доступ к виртуальной облачной инфраструктуре?
Доступ к инфраструктуре будет открыт в 12:00 9 июля — за час до запуска первого сценария.
Однако мы заранее (за 1 неделю) предоставим доступ по VPN, чтобы у участников была возможность проверить его работоспособность. (Доступ к инфраструктуре при этом будет закрыт.)
Кроме того, за 2 дня до начала учений мы откроем доступ к личному кабинету для изучения правил выполнения сценариев.
Нужно ли устанавливать какое-то ПО для подключения к виртуальной облачной инфраструктуре?
Каждому члену команды в рамках подготовки к первому сценарию необходимо будет установить клиент OpenVPN. Инструкция по установке и настройке OpenVPN будет направлена зарегистрированным участникам по электронной почте. Рекомендуем заранее убедиться, что корпоративные правила безопасности не блокируют работу OpenVPN.
Сколько человек может одновременно подключиться по VPN?
Для каждой команды будет создана одна учетная запись для подключения по OpenVPN. Такая учетная запись не ограничивает число участников для одновременного подключения, но мы рекомендуем подключаться не более чем 10 участникам одновременно.
Будут ли командам давать указания или подсказки, что именно необходимо сделать для решения той или иной задачи?
В личном кабинете будут доступны:
- правила выполнения сценариев;
- описания заданий, которые необходимо выполнять в рамках каждого сценария;
- подсказки и дополнительные материалы по теме заданий.
С помощью этих ресурсов команды должны будут самостоятельно понять, как справиться с заданиями.
Если во время тренинга у команд возникнут вопросы по технической части, можно ли будет оперативно связаться с организаторами?
Да. Для этого предусмотрен специальный чат в личном кабинете. Здесь помогут решить проблемы с учетной записью, подключением по VPN и подобными техническими аспектами.
Будет ли у команд root-доступ к серверам, с которыми предстоит работать?
Да, мы предоставим участникам root-доступ.
Как будет осуществляться доступ к серверу?
Сначала участники подключатся по OpenVPN к тренировочной инфраструктуре, затем получат доступ к серверу по SSH.
Есть ли у серверов общедоступные IP-адреса или они будут только в частной сети?
Сервер будет доступен только по VPN. За 1 неделю до мероприятия мы направим командам инструкцию и учетные данные для настройки VPN.
О сценарии 1. Defense
Будет ли у blue team список уязвимостей, аналогичный тому, что есть (по легенде) у red team?
У blue team не будет списка уязвимостей. Участники должны самостоятельно проанализировать код сервиса и сетевую активность red team и определить, какие векторы использует red team для атаки.
Как контролируется работоспособность сервиса? Каковы критерии доступности (просто доступность порта, код ответа, доступность странички с определенным текстом)?
Вся функциональность сервиса должна работать так, как предусмотрено разработчиком. Если есть страница регистрации пользователя — пользователь должен успешно регистрироваться с корректным набором входных параметров. Если есть функциональность отправки сообщений — сообщения должны корректно отправляться. Если есть форма загрузки файлов — файлы разрешенного формата и размера должны успешно загружаться на сервер.
Функциональность приложения проверяется полностью: если хотя бы один компонент не функционирует должным образом (например, участники blue team удалили API-эндпоинт для загрузки файлов), сервис будет помечен как неработоспособный.
Пример
Через API-эндпоинт /upload
на сервер можно загрузить файл. Злоумышленник может загрузить файл с расширением .php
и исполнить произвольный код на сервере.
Правильный путь устранения: добавить фильтрацию по типам загружаемых файлов (запретить загрузку файлов с расширениями .php, .php3, .php5, .phtml
). В таком случае легитимные файлы (например, картинки) будут загружаться на сервер, и сервис не будет помечен как неработоспособный.
Неправильный путь устранения: отключить API-эндпоинт. В таком случае легитимные файлы (например, картинки) не будут загружаться на сервер, и сервис будет помечен как неработоспособный.
Для определения того, какая функциональность является легитимной и какие изменения повлияют на работоспособность сервиса, рекомендуем воспользоваться здравой логикой :)
Сколько времени будет отведено на установку и настройку своих средств защиты? Будет ли у blue team фора на устранение уязвимостей?
Мы даем участникам 1 час на подготовку до запуска сценария.
Можно ли будет использовать пакетную фильтрацию (firewall) — например, для блокировки IP-адреса атакующего?
Использовать пакетную фильтрацию можно. Блокировать IP-адрес атакующего тоже можно, однако это приведет к тому, что сервис будет помечен как неработоспособный: на сетевом уровне трафик атакующего и трафик чекера (который можно условно считать трафиком легитимного пользователя) ничем не отличаются — в числе прочего оба имеют один IP-адрес. В этой ситуации blue team будет терять очки SLA, но не будет терять очки HP. Таким образом, при правильном подходе блокировка IP-адреса атакующего может отразиться на итоговом результате в пользу blue team.
Можно ли осуществлять DoS-/DDoS-атаки на инфраструктуру и сервисы?
DoS-/DDoS-атаки на инфраструктуру организаторов или других участников строго запрещены и могут привести к обнулению баллов за задание. Red team не применяет DoS/DDoS как способ атаки.
Каким образом контролируется доступность сервиса во время атаки?
Red team не будет осуществлять атаки, которые могут отразиться на доступности сервиса. Доступность сервиса может пострадать только в результате действий самой blue team (например, если она некорректно настроит конфигурацию средств защиты или внесет некорректные изменения в код сервиса).
Какие инструменты будут доступны участникам для выполнения первого сценария?
Участникам будет предоставлен полный доступ к их виртуальной машине на базе ОС Linux, и они смогут пользоваться любыми удобными им инструментами и средствами защиты. Конфигурации виртуальных машин и список технологий, знакомство с которыми рекомендуется для выполнения задания, будут опубликованы позже.
Какие технологии и ПО будут использоваться в первом сценарии?
Примерный список: Docker, Docker Compose, Git, GitLab, Harbor, Jenkins, Scala, ReactJS.
О сценарии 2. Response
Что представляет собой платформа Threat Hunting? Каким образом участникам будет предоставляться доступ к ней?
В рамках второго сценария учений под платформой Threat Hunting понимается совокупность бесплатных продуктов Kibana и Elasticsearch, предустановленных в образ виртуальной машины. Каждый участник получит этот образ заблаговременно.
Участникам будет необходимо импортировать предоставленный образ в предпочитаемое программное обеспечение для настольной виртуализации (VMware Workstation, VMware Fusion, Oracle VM VirtualBox) и создать на базе него виртуальную машину. Внутри этой виртуальной машины будет доступен архив с данными EDR и сетевого сенсора, защищенный паролем. Пароль на архив откроется в личном кабинете в момент начала второго сценария учений. После распаковки данных из архива необходимо будет импортировать их в Elasticsearch согласно инструкции.
Предоставят ли участникам краткое руководство к платформе Threat Hunting или демо по ее использованию?
Платформа будет построена с использованием бесплатных продуктов Elasticsearch и Kibana, поэтому специальных инструкций не потребуется. Достаточно уметь выполнять поисковые запросы в интерфейсе Kibana и анализировать результаты вывода. Виртуальная машина с платформой Threat Hunting будет предоставлена участникам за несколько дней до начала учений, и в ней будут доступны тестовые данные, которые позволят потренироваться в работе с интерфейсом Kibana.
EDR в ходе выполнения сценария будет непрерывно собирать телеметрию с хостов и отправлять на платформу Threat Hunting?
Нет, непрерывного сбора телеметрии не будет. Все данные из EDR будут загружены на платформу Threat Hunting заблаговременно, до начала учений.
Предоставят ли участникам документацию по событиям EDR, которые необходимо будет анализировать с использованием платформы Threat Hunting?
За несколько дней до начала учений все участники получат доступ к онлайн-документации по событиям EDR. Данная документация содержит описание всех типов событий и их полей.
Предусмотрены ли штрафы за неправильные ответы? Есть ограничение по количеству попыток решить задачу?
Штрафов за неверные ответы не будет. Для каждой задачи можно попробовать предложить решение 5 раз. Если за 5 попыток команда не дала правильного ответа, задание аннулируется.
Изначально у всех blue team одинаковое количество баллов (например, 200). Каждое открытие подсказки убавляет, например, по 40 баллов. Если решил все без подсказок, получаешь 200. А если с подсказками, то с соответствующим вычетом?
Изначально у всех участников 0 баллов. Верное решение задачи прибавляет к общему скорингу вес этой задачи. Если были взяты подсказки, то к общему скорингу добавляется вес задачи за вычетом штрафов за использование подсказок.
Подсказки открываются подряд или в любом порядке?
Подсказки можно открывать только последовательно. К примеру, команда может решить самостоятельно все, кроме последней задачи, но при открытии последней подсказки соберет все штрафы.