Тренинг
В ходе онлайн-тренинга Cyber Polygon 2021 участники отработают действия команды реагирования при таргетированной атаке на цепочку поставок (supply chain) в рамках корпоративной экосистемы.
Тема тренинга

В последние годы мошенники все активнее используют атаки supply chain. А с учетом мировой тенденции к созданию цифровых экосистем в бизнесе вопрос уязвимости цепочек поставок становится только острее. Поэтому защита экосистем и отражение атак supply chain стали главной темой Cyber Polygon 2021.

Учитывая эффективность формата тренинга в прошлом году, мы сохраняем его, добавив небольшие изменения, чтобы учесть пожелания команд. Тренинг будет включать в себя два сценария для технических специалистов — Defense и Response.

Роли
Red team
Red team
Команда BI.ZONE.
Имитирует атаку.
Blue team
Blue team
Команды участников.
Защищают свои сегменты тренировочной инфраструктуры.
Время тренинга

В 12:00 9 июля командам откроется доступ к виртуальной инфраструктуре первого сценария. У них будет 1 час на подготовку.

В 12:00 9 июля командам откроется доступ к виртуальной инфраструктуре первого сценария. У них будет 1 час на подготовку.

В 13:00 red team начнет атаковать тренировочную инфраструктуру участников. Первый сценарий продлится 4 часа.

В 17:00 участникам станут доступны задания второго сценария, все необходимые материалы, а также учетные данные к ним. На прохождение сценария у команд будет 19 часов. Мы даем столько времени, чтобы у участников было время на отдых.

Тренинг завершится в 12:00 10 июля.

Правила тренинга
  1. Участвовать в тренинге могут только организации. Заявка на участие принимается с корпоративного email.

  1. Участвовать в тренинге могут только организации. Заявка на участие принимается с корпоративного email.


  2. От одной организации — одна команда. В команде может быть любое количество специалистов.


  3. Тренинг рассчитан на специалистов по кибербезопасности и IT разной квалификации, но успешно справиться с заданиями смогут только практикующие специалисты. Желательно, чтобы в командах были специалисты по форензике, анализу защищенности, а также мониторингу угроз (SOC).


  4. Все задания будут выполняться удаленно: командам предоставят доступ к виртуальной облачной инфраструктуре.


  5. Помимо предустановленного ПО участники смогут использовать любые приложения и утилиты, чтобы защищать свой сегмент тренировочной инфраструктуры.

  6. Учения носят образовательный, а не соревновательный характер, поэтому в результатах тренинга будет отображена обезличенная информация.


Сценарий 1. Defense

Участники потренируются отражать крупномасштабную атаку в момент ее реализации.

Участники потренируются отражать крупномасштабную атаку в момент ее реализации.


Цель

Отработать навыки отражения таргетированных атак на бизнес-критичную систему.


Легенда

В результате хакерской атаки неизвестная группировка смогла получить сетевой доступ к сегменту виртуальной инфраструктуры организации. В этом сегменте расположены сервисы, обеспечивающие непрерывные процессы интеграции и развертывания веб-приложения компании.

Злоумышленники не смогли получить доступ к виртуальным серверам, однако завладели существенным объемом информации о разрабатываемом приложении, включая некоторые части исходного кода и документацию по процессу разработки.

Конечная цель группировки — компрометация пользовательских данных, обрабатываемых приложением. Так что злоумышленники планируют использовать полученные сведения, чтобы вмешаться в процесс разработки и внести в приложение дефекты. Это позволит группировке перейти к финальному этапу плана — атаковать приложение в продуктивной среде и завладеть данными пользователей.


Действия blue team

Участникам тренинга предстоит:

  • как можно быстрее справиться с начавшейся атакой;
  • обеспечить безопасность цепочки поставки веб-приложения;
  • минимизировать объем украденной информации;
  • сохранить работоспособность целевого веб-приложения и всей цепочки поставки.

Blue team могут применять любые доступные методы и средства защиты. Кроме того, участники могут исправить уязвимости системы путем внесения изменений в код и конфигурацию своих сервисов.

Сценарий 2. Response

Команды расследуют инцидент с использованием техник классической компьютерной криминалистики и подхода Threat Hunting.

Команды расследуют инцидент с использованием техник классической компьютерной криминалистики и подхода Threat Hunting.


Цель

Отработать навык расследования инцидентов на примере успешной атаки supply chain.


Легенда

Blue team отвечает за кибербезопасность экосистемы в рамках крупного холдинга. В материнской компании пользователь одной из рабочих станций сообщил в службу кибербезопасности о подозрительных файлах, обнаруженных в одном из каталогов. Расследование инцидента показало, что вектор компрометации инфраструктуры — установка обновления в бизнес-критичном приложении, которое разрабатывает дочерняя организация.

Blue team будет предоставлен доступ к платформе Threat Hunting материнской организации, где собираются события с EDR- и NTA-решений. Задача участников — найти как можно больше артефактов, связанных с инцидентом, используя подход Threat Hunting.

Далее выяснится, что компрометация инфраструктуры произошла путем установки модифицированного обновления бизнес-критичного приложения. Обновление было получено от дочерней структуры, которая отвечает за разработку ПО. В результате расследование будет продолжено в инфраструктуре дочерней организации.

В дочерней организации не используется решение класса EDR. Поэтому участникам предстоит прибегнуть к инструментам классической форензики и найти как можно больше артефактов, связанных со взломом дочерней организации.


Действия blue team

В обоих случаях blue team предстоит решить ряд задач, для чего потребуется проанализировать предоставленные данные. Различаться будут только методы анализа, которые задействует команда.


В материнской компании

Blue team расследуют инцидент, используя подход Threat Hunting с получением телеметрии как с хостов, так и с сетевого сенсора.


В дочерней компании

Blue team расследуют инцидент, используя методы и инструменты классической форензики.

Подсчет результатов

Общий результат команды — сумма баллов, заработанная за два сценария. При этом в каждом сценарии используется своя методика подсчета баллов.

Общий результат команды — сумма баллов, заработанная за два сценария. При этом в каждом сценарии используется своя методика подсчета баллов.


Первый сценарий

Баллы начисляются по двум показателям: SLA и HP.

Показатель SLA (Service Level Agreement) обозначает целостность и доступность сервиса. Измеряется в процентах.

Результирующее значение SLA высчитывается как процентное соотношение удачных проверок (когда сервис доступен и полностью функционален) к общему количеству проверок.

Обращения чекера к сервису могут происходить несколько раз за раунд, но количество обращений к каждой из команд всегда одинаково.

Показатель HP (Health Points) демонстрирует наличие уязвимостей в сервисе и способность противостоять атакам. Выражается простым численным значением.

Перед началом атаки участникам начисляется одинаковое число HP, равномерными долями распределяемое между каждой из уязвимостей приложения. Если red team смогла успешно проэксплуатировать заложенную в сервисе уязвимость и получить флаг, команда теряет часть HP.

Чем больше уязвимостей смогла проэксплуатировать red team, тем больше HP потеряет команда. У каждой из команд баллы отнимаются только один раз за раунд.

Итоговая оценка вычисляется как SLA × HP.


Второй сценарий

Количество баллов, начисляемых за ответ, зависит от сложности вопроса.

Каждый вопрос снабжен несколькими подсказками, открытие которых уменьшит количество баллов за ответ. Они открываются последовательно.

В качестве подсказок могут выступать ссылки на различные источники, подробно раскрывающие данную тему и тем самым повышающие уровень знаний участников. Последняя подсказка дает подробное описание действий, при выполнении которых команда максимально приблизится к получению ответа.