ГК «Солар», архитектор комплексной кибербезопасности, провела соревнования в рамках компетенции «Кибербезопасность» для сотрудников организаций Госкорпорации Ростех. Участие приняли около 50 ИБ-специалистов, которые отвечают за киберзащиту ИТ-компаний, предприятий химической промышленности, радиоэлектронного и авиационного комплексов, входящих в структуру корпорации.
Соревнования стали частью ежегодного корпоративного чемпионата «Время первых», который Ростех реализует для поддержки и профессионального развития специалистов промышленных предприятий.
«Ростех уделяет большое внимание подготовке специалистов в сфере информационной безопасности. Цифровая устойчивость предприятий сегодня напрямую связана с технологическим развитием и конкурентоспособностью. Включение в этом году компетенции «Кибербезопасность» в корпоративный чемпионат «Время первых» позволило участникам проверить навыки, обменяться опытом и освоить новые методы противодействия угрозам. Конкурсанты продемонстрировали высокий уровень профессионализма. Полученные в ходе соревнований знания и навыки помогут специалистам Корпорации повысить устойчивость и надежность промышленных систем к современным вызовам в сфере информационной безопасности».
Николай Волобуев, член Бюро Союза машиностроителей России, заместитель генерального директора Госкорпорации Ростех
Для организации чемпионата «Солар» предоставил платформу CyberMir, на которой развернулась борьба среди команд Blue team. Участникам предстояло выполнить шесть типов заданий по поиску следов кибератак и заданной информации. Так, в заданиях по анализу дампов сетевого трафика (pcap) и журналов событий (auditd) киберзащитники должны были определить MAС-адрес компьютера и его IP-адрес, количество DNS-запросов к серверу и найти несколько «флагов». Одной из задач стал поиск следов злоумышленников, включая инструменты сканирования инфраструктуры и уязвимость, которую хакеры использовали для атаки на хост.
Киберзащитники должны были найти следы кибератак в логах системы обнаружения вторжений Suricata и выявить инструмент сканирования узлов, дату атаки, с какого адреса она была реализована. Базой для чемпионата также стали задания по поиску действий киберпреступников в Windows Event Log, включая скомпрометированную учетную запись, которая стала «воротами» для проникновения в инфраструктуру, точный код техники по классификации MITRE ATT&CK, пароль от скомпрометированной учетной записи и инструмент для горизонтального перемещения.
Финальным заданием стал анализ экземпляра вредоносного ПО. Киберзащитники должны были определить, для какого типа операционных систем разработан шифровальщик, указать путь шифрования файлов, определить алгоритмы шифрования и на какие ресурсы отправляются ключи шифрования.
«В ходе киберучений мы помогаем компаниях проверить навыки команд Blue team по 20 направлениям и сформировать программу с учетом реального уровня подготовки группы. Киберзащитники предприятий Ростех продемонстрировали высокий уровень подготовки и профессионализма при расследовании кибератак. При подготовке сценариев мы использовали практику реагирования и расследования киберинцидентов, которую регулярно аккумулируют центр противодействия кибератакам Solar JSOC и центр исследования киберугроз Solar 4Rays. Поэтому мы уверены, что опыт, полученный в ходе киберучений для Ростех, позволит ИБ-профессионалам быстрее внедрить актуальные навыки в повседневную работу».
Сергей Кулаков, директор департамента «Киберполигон» ГК «Солар»
В рамках киберучений в офлайн и онлайн-формате «Солар» оценивает действия киберзащитников по четырем основным метрикам — Mean Time to Detect (MTTD), Mean Time to React, Mean Time to Respond и Mean Time to Recover. По итогам соревнований участники получают дифференциальные отчеты, которые показывают уровень знаний и компетенций применительно к каждой роли в Blue team.