В 12:00 9 июля командам откроется доступ к виртуальной инфраструктуре первого сценария. У них будет 1 час на подготовку.

В 13:00 red team начнет атаковать тренировочную инфраструктуру участников. Первый сценарий продлится 4 часа.

В 17:00 участникам станут доступны задания второго сценария, все необходимые материалы, а также учетные данные к ним. На прохождение сценария у команд будет 19 часов. Мы даем столько времени, чтобы у участников было время на отдых.

Тренинг завершится в 12:00 10 июля.

1. Участвовать в тренинге могут только организации. Заявка на участие принимается с корпоративного email.




2. От одной организации — одна команда. В команде может быть любое количество специалистов.




3. Тренинг рассчитан на специалистов по кибербезопасности и IT разной квалификации, но успешно справиться с заданиями смогут только практикующие специалисты. Желательно, чтобы в командах были специалисты по форензике, анализу защищенности, а также мониторингу угроз (SOC).




4. Все задания будут выполняться удаленно: командам предоставят доступ к виртуальной облачной инфраструктуре.




5. Помимо предустановленного ПО участники смогут использовать любые приложения и утилиты, чтобы защищать свой сегмент тренировочной инфраструктуры.

6. Учения носят образовательный, а не соревновательный характер, поэтому в результатах тренинга будет отображена обезличенная информация.

Участники потренируются отражать крупномасштабную атаку в момент ее реализации.

Цель

Отработать навыки отражения таргетированных атак на бизнес-критичную систему.

Легенда

В результате хакерской атаки неизвестная группировка смогла получить сетевой доступ к сегменту виртуальной инфраструктуры организации. В этом сегменте расположены сервисы, обеспечивающие непрерывные процессы интеграции и развертывания веб-приложения компании.

Злоумышленники не смогли получить доступ к виртуальным серверам, однако завладели существенным объемом информации о разрабатываемом приложении, включая некоторые части исходного кода и документацию по процессу разработки.

Конечная цель группировки — компрометация пользовательских данных, обрабатываемых приложением. Так что злоумышленники планируют использовать полученные сведения, чтобы вмешаться в процесс разработки и внести в приложение дефекты. Это позволит группировке перейти к финальному этапу плана — атаковать приложение в продуктивной среде и завладеть данными пользователей.

Действия blue team

Участникам тренинга предстоит:

• как можно быстрее справиться с начавшейся атакой;
• обеспечить безопасность цепочки поставки веб-приложения;
• минимизировать объем украденной информации;
• сохранить работоспособность целевого веб-приложения и всей цепочки поставки.

Blue team могут применять любые доступные методы и средства защиты. Кроме того, участники могут исправить уязвимости системы путем внесения изменений в код и конфигурацию своих сервисов.

Команды расследуют инцидент с использованием техник классической компьютерной криминалистики и подхода Threat Hunting.

Цель

Отработать навык расследования инцидентов на примере успешной атаки supply chain.

Легенда

Blue team отвечает за кибербезопасность экосистемы в рамках крупного холдинга. В материнской компании пользователь одной из рабочих станций сообщил в службу кибербезопасности о подозрительных файлах, обнаруженных в одном из каталогов. Расследование инцидента показало, что вектор компрометации инфраструктуры — установка обновления в бизнес-критичном приложении, которое разрабатывает дочерняя организация.

Blue team будет предоставлен доступ к платформе Threat Hunting материнской организации, где собираются события с EDR- и NTA-решений. Задача участников — найти как можно больше артефактов, связанных с инцидентом, используя подход Threat Hunting.

Далее выяснится, что компрометация инфраструктуры произошла путем установки модифицированного обновления бизнес-критичного приложения. Обновление было получено от дочерней структуры, которая отвечает за разработку ПО. В результате расследование будет продолжено в инфраструктуре дочерней организации.

В дочерней организации не используется решение класса EDR. Поэтому участникам предстоит прибегнуть к инструментам классической форензики и найти как можно больше артефактов, связанных со взломом дочерней организации.

Действия blue team

В обоих случаях blue team предстоит решить ряд задач, для чего потребуется проанализировать предоставленные данные. Различаться будут только методы анализа, которые задействует команда.

В материнской компании

Blue team расследуют инцидент, используя подход Threat Hunting с получением телеметрии как с хостов, так и с сетевого сенсора.

В дочерней компании

Blue team расследуют инцидент, используя методы и инструменты классической форензики.

Общий результат команды — сумма баллов, заработанная за два сценария. При этом в каждом сценарии используется своя методика подсчета баллов.

Первый сценарий

Баллы начисляются по двум показателям: SLA и HP.

Показатель SLA (Service Level Agreement) обозначает целостность и доступность сервиса. Измеряется в процентах.

Результирующее значение SLA высчитывается как процентное соотношение удачных проверок (когда сервис доступен и полностью функционален) к общему количеству проверок.

Обращения чекера к сервису могут происходить несколько раз за раунд, но количество обращений к каждой из команд всегда одинаково.

Показатель HP (Health Points) демонстрирует наличие уязвимостей в сервисе и способность противостоять атакам. Выражается простым численным значением.

Перед началом атаки участникам начисляется одинаковое число HP, равномерными долями распределяемое между каждой из уязвимостей приложения. Если red team смогла успешно проэксплуатировать заложенную в сервисе уязвимость и получить флаг, команда теряет часть HP.

Чем больше уязвимостей смогла проэксплуатировать red team, тем больше HP потеряет команда. У каждой из команд баллы отнимаются только один раз за раунд.

Итоговая оценка вычисляется как SLA × HP.

Второй сценарий

Количество баллов, начисляемых за ответ, зависит от сложности вопроса.

Каждый вопрос снабжен несколькими подсказками, открытие которых уменьшит количество баллов за ответ. Они открываются последовательно.

В качестве подсказок могут выступать ссылки на различные источники, подробно раскрывающие данную тему и тем самым повышающие уровень знаний участников. Последняя подсказка дает подробное описание действий, при выполнении которых команда максимально приблизится к получению ответа.