Платформа
Eng
Towers

Cyber Polygon 2024:
как это было

Оглавление

10–11 сентября 2024 года состоялся тренинг Cyber Polygon 2024, который организовала компания BI.ZONE. Тренинг был приурочен к международной конференции по кибербезопасности MENA ISC в Эр‑Рияде (Саудовская Аравия). Как прошел тренинг, рассказываем в этом материале.

Что такое Cyber Polygon

Cyber Polygon — международный онлайн‑тренинг для повышения глобальной киберустойчивости. Его основная цель — укрепление кибербезопасности на всех уровнях.

В рамках Cyber Polygon компании-участники могут улучшить навыки отражения кибератак, специалисты в сфере кибербезопасности — углубить практические знания, а широкая аудитория — повысить уровень цифровой грамотности.

Впервые тренинг состоялся в 2019 году, а в 2021-м собрал 200 команд из 48 стран и 7 миллионов зрителей из 78 стран.

300+ организаций из 65 стран
приняли участие в Cyber Polygon 2024

Cyber Polygon 2024

В 2024 году тренинг прошел онлайн на BI.ZONE Cyber Polygon Platform и продлился 24 часа. В Cyber Polygon 2024 приняли участие организации из России, стран СНГ, Бельгии, Великобритании, Вьетнама, Индии, Индонезии, Испании, Колумбии, Малайзии, Мексики, Саудовской Аравии, США, Франции, Швейцарии и других государств. Среди команд были представители разных отраслей, включая финансовый сектор, e‑commerce и образование.

География участников
Отрасли участников
Отрасли участников
Ниже подробнее расскажем о сценарии, механике, ходе и победителях тренинга 2024 года. В конце поделимся выводами и рекомендациями по итогам мероприятия.

Сценарий тренинга

Основой Cyber Polygon 2024 стал сценарий «Поиск следов компрометации в AI‑компании». Команды расследовали сложную таргетированную кибератаку, применяя классические методы цифровой криминалистики и threat hunting.

Тема

Мы неслучайно выбрали расследование сложной таргетированной кибератаки как тему для сценария, поскольку таких угроз становится все больше. Информационные системы усложняются, а машинное обучение и искусственный интеллект уже стали частью повседневной жизни. Новые технологии более уязвимы перед атаками злоумышленников, чем привычные и проверенные инструменты.

Также мы наблюдаем тренды на размещение инфраструктуры в облаках и применение средств контейнеризации. В сценарии тренинга мы обратили особое внимание на последствия, которые ожидают IT-инфраструктуру при некорректной настройке таких инструментов.

В этот раз мы решили объединить в одном сценарии актуальные инциденты из практики BI.ZONE, с которыми встречались команды SOC, DFIR, CSIRT. В итоге получилась сложная, но вполне реальная таргетированная атака.

Один из ключевых моментов сценария — атака на систему оркестрации контейнеров Kubernetes, которая заняла оба сегмента R&D (research and development): R&D Dev и R&D Prod. Для расследования атаки участники:

  • использовали логи Kubernetes audit и Tetragon;
  • анализировали дамп памяти диска с атакованного хоста;
  • работали с телеметрией в ELK для поиска действий атакующих;
  • исследовали файлы;
  • анализировали тактики и техники атакующих;
  • изучили много журналов и логов;
  • искали подробности в интернете.

Формат

Чтобы отразить реальную атаку за минимальный срок, специалистам по кибербезопасности нужно вырабатывать навыки реагирования и развивать насмотренность. Мы поставили перед собой задачу создать такой формат сценария, который позволил бы познакомиться с реальными тактиками и техниками атакующих в безопасных условиях и приблизить тренинг к реальному расследованию.

Для этого идеально подошел формат киберполигона. Он помог отработать реагирование на всю цепочку атаки и понять, как на первый взгляд неважные артефакты, оставленные атакующими на одном этапе, могут стать решающими для раскрытия замысла атаки и реагирования на следующих этапах.

Тренировки на киберполигоне — это не только эффективный способ подготовить специалистов к реальным атакам, но и возможность для руководства компании оценить степень готовности и слабые места команды реагирования.

Легенда

Участникам предстояло разобраться с киберинцидентом в вымышленной компании MercuryLark, которая разрабатывает приложение на основе искусственного интеллекта.

По легенде, релиз продукта прошел успешно, компания подписала многомиллионные контракты, однако вскоре модель ИИ начала деградировать. В то же время конкурент заявил о разработке похожего продукта, но по более низкой цене. Компания оказалась на грани краха.

Руководство заподозрило, что внутренняя инфраструктура была скомпрометирована, а разработки — украдены. Пока специалисты по интеллектуальной собственности изучали решение конкурента, компания пригласила специалистов для расследования инцидента. Каждая команда, участвовавшая в тренинге, выступила в роли этих специалистов и провела расследование возможной компрометации.

Инфраструктура

Согласно сценарию, команды шли по следам злоумышленников, переходя из одного сегмента IT-инфраструктуры в другой и постепенно раскручивая цепочку атаки. На каждом этапе участникам приходилось использовать новые артефакты из предоставленных архивов и придумывать нестандартные решения.

Началось все с исследования телеметрии. По ходу прохождения сценария участникам пришлось искать ответы в интернете и социальных сетях, а также скачивать и изучать специализированные утилиты. На других этапах нужно было извлечь данные из образа диска, исследовать сырые логи, реверсить и изучить скрипты, оставленные атакующими.

Все это усложнялось тем, что часть инфраструктуры была развернута в контейнерах, а атакованная компания работала с моделью машинного обучения, которую участникам также пришлось исследовать.

Так выглядели сегменты, из которых состояла инфраструктура компании.

В инфраструктуре мы реализовали плотную интеграцию между отдельными сервисами и приложениями, запущенными внутри Kubernetes. Например, между собой взаимодействовали:

  • GitLab, Vault и Harbor;
  • GitLab и Apache Airflow;
  • Kubernetes, Apache Airflow и объектное хранилище S3 (Simple Storage Service).

Также мы применили работоспособный пайплайн обучения ML-модели. Сегменты DMZ, Admin и Internet в сценарии не использовались, но мы ввели их, чтобы максимально приблизить виртуальную инфраструктуру к реальной.

Механика тренинга

Вся активность происходила на BI.ZONE Cyber Polygon Platform. Участникам предлагалось загрузить и локально развернуть образ виртуальной машины с инструментами для расследования.

Обычно на BI.ZONE Cyber Polygon Platform пользователи тренируются в одиночку, но специально для тренинга мы доработали платформу:

1. Разделили сценарий на этапы
Сценарий тренинга состоял из пяти этапов. Они были сопоставлены с сегментами инфраструктуры компании, в которых проводилось расследование инцидента. Когда команды заполняли ответы на все вопросы в текущем сегменте, открывался следующий сегмент. Благодаря этому участники смогли исследовать действия злоумышленников в разных сегментах, составляя общую картину инцидента.
2. Адаптировали сценарий для решения в команде
В рамках сегмента участникам были доступны все вопросы, а ответы можно было вводить в произвольном порядке. Благодаря этому у команд появилась возможность распределить внутренние ресурсы для параллельной работы над разными задачами и ускорить решение сценария.
3. Подготовили механику для прохождения из любой точки мира
Мы отказались от наступательных тактик, которые предполагают специальную подготовку инфраструктуры, вместо этого сосредоточившись на защитных механиках. Это сделало возможным прохождение сценария онлайн, а использование виртуальных машин с артефактами и инструментами — безопасным для инфраструктуры организаций.
4. Приблизили сценарий к реальному расследованию
В качестве артефактов для анализа, кроме телеметрии, мы добавили образ диска атакованной машины, внутренний репозиторий GitLab и скрипты, оставленные атакующими. Это расширило набор навыков, которые участники обычно используют при расследовании киберинцидентов, и позволило применить их на практике.
5. Исключили использование проприетарного ПО
К примеру, в этот раз для расследования мы не отдавали логи с EDR. Это было сделано, чтобы создать равные условия для всех участников, предпочитающих разных вендоров. Помимо этого, было решено улучшить навыки участников в классической форензике. Многим пришлось на ходу вспоминать навыки работы с опенсорс-инструментами. Это важно, ведь в реальных инцидентах далеко не всегда получается использовать проприетарный инструментарий или он бывает попросту недоступным.
6. Сделали возможным непубличное участие
Названия команд были скрыты за никами. Так в тренинге смогли принять участие организации, которые по разным причинам избегают публичности, особенно в вопросах кибербезопасности. А те, кто хотел себя раскрыть, ассоциировали название команды со своими компаниями.

Ход тренинга

Старт и стратегии команд

Тренинг начался в 12:00 10 сентября. В это время мы опубликовали пароль от архива с артефактами, который участники могли скачать заранее.

Практически сразу начали проявляться командные стратегии. Какие-то из них были не очень удачными, какие-то, наоборот, еще на старте заложили фундамент для победы.

Некоторые команды открывали сразу все подсказки, несмотря на то что количество баллов за правильный ответ при этом снижалось. Другие делали перерывы на отдых, рассчитывая вернуться к прохождению со свежими силами и нагнать остальных. В итоге, чтобы пробиться в лидеры, первым командам не хватило баллов, вторым — времени.

Вперед начали выходить команды, которые заранее тренировались в решении сценариев и понимали механику платформы. Участники таких команд оптимально пользовались подсказками и старались пройти все задания до конца, получив максимальное количество баллов. Часть команд сразу грамотно распределила внутренние ресурсы: пока одни участники распаковывали и загружали артефакты в инструментарий, другие искали ответы на вопросы, где использование артефактов не требовалось.

Победные стратегии во многом пересекались со стратегиями реагирования на реальные киберинциденты. Одна из главных задач команды реагирования — максимально быстро разобраться в произошедшем: что атакующие уже сделали, какие шаги они могут предпринять и как превентивно заблокировать их действия. Время и концентрация команды в этом процессе играют самую важную роль.

Итоги и победители

Перед командой Cyber Polygon 2024 стояла задача разработать такой сценарий, который:
  • позволит проверить и развить актуальные навыки расследования киберинцидентов и реагирования на них;
  • можно пройти за отведенные 24 часа;
  • сохранит соревновательную интригу — смену лидеров по ходу тренинга и борьбу между командами за места;
  • не окажется слишком простым, чтобы держать команды и зрителей в напряжении на протяжении всего тренинга.
Что в итоге:
  • Команды смогли проверить и развить навыки:

    — киберзащиты;

    — цифровой криминалистики;

    — реагирования на инциденты;

    —  анализа угроз, уязвимостей и данных из различных источников.

  • Участники исследовали полную цепочку атаки, которую мы собрали из реальных кейсов.
  • Первые команды, которые полностью прошли весь сценарий, появились только спустя 19 часов.
  • Сценарий был достаточно сложен, но участники все равно справились с большинством задач. Команды, занявшие первые три места, набрали 3450, 3240 и 3130 баллов соответственно из возможных 4020.
  • На протяжении всего тренинга команды-лидеры проходили сценарий с небольшим отрывом, периодически обгоняя друг друга. В итоге соперничество сохранилось до конца тренинга, разница между первым и третьим местами составила всего 320 баллов.
По результатам соревнования в топ-10 оказались следующие команды:
Место Название команды Количество баллов Отрасль
1 SuperJet 3450 IT/кибербезопасность
2 ASOCial 3240 IT/кибербезопасность
3 ALTF4 3130 Финансовый сектор
4 FFFF 2805 Металлургия
5 S.H.I.E.L.D 2770 IT/кибербезопасность
6 BuffaloHunters 2370 Госсектор
7 NLMK_SOC 2060 Металлургия
8 YSOC 1950 IT/кибербезопасность
9 S.H.I.E.L.D. 1535 Металлургия
10 Soliders 1515 IT/кибербезопасность

Выводы и рекомендации

Основные выводы

  • Победители не прерывали расследование до завершения сценария, рационально подходили к использованию подсказок и не надеялись на ошибки в механике платформы, а также заранее тренировались в расследовании сценариев на платформе. Во время расследования реальных киберинцидентов перерывы часто недопустимы, надеяться на ошибки атакующих бессмысленно, а заблаговременная подготовка определяет большую часть успеха.
  • С заданиями успешнее справились коммерческие MSS-провайдеры, опередив команды из финансового, промышленного и государственного секторов, которые также вошли в топ-10.
  • Специалисты привыкли к работе со специальным инструментарием типа EDR, XDR и SOAR, полагаясь на автоматизацию, и меньше применяли методы классической компьютерной криминалистики.
  • Команды стали успешнее справляться с заданиями из области защиты контейнерных сред и компьютерной криминалистики. Но им было непросто разобраться с расширенным набором артефактов для анализа и актуальными тактиками атакующих, такими как фишинг, побег из контейнеров, атаки на CI/CD и т. п.

Рекомендации командам

  • Проводить регулярные практические тренировки — как командные, так и индивидуальные. Тренирующиеся команды способны остановить атаки, даже когда атакующие оказались внутри инфраструктуры, и эффективно отражать таргетированные атаки.
  • Практиковаться в классической компьютерной криминалистике, осваивать опенсорс-инструменты и работать с сырыми данными.
  • Знакомиться со смежными направлениями кибербезопасности: offensive, безопасность в разработке ПО и т. п.
  • Изучать тактики и техники атакующих. В исследованиях Threat Zone мы собрали:

    — описания кибергруппировок, активных в разных странах;

    —  техники и инструменты злоумышленников;

    —  кейсы из практики BI.ZONE.

  • Практиковать формат purple team. Эта концепция позволяет объединить силы red и blue team за счет непрерывного взаимодействия и обмена информацией между ними.
  • Повторно пройти сценарий — уже без ограничений по времени. Он доступен по подписке на BI.ZONE Cyber Polygon Platform.
Мы используем cookie (файлы с данными о прошлых посещениях сайта) для персонализации сервисов и удобства пользователей сайта. При использовании данного сайта, Вы подтверждаете свое согласие на использование файлов cookie и других похожих технологий. Если вы не согласны, чтобы мы использовали данный тип файлов, вы должны соответствующим образом установить настройки вашего браузера.
Принять