Eng
FAQ
FAQ

О трансляции

Кому будет интересна трансляция тренинга?

Трансляция предназначена для руководителей организаций, нетехнических специалистов и всех, кто хочет больше узнать о кибербезопасности.

Нужно ли регистрироваться на сайте, чтобы посмотреть трансляцию?

Нет, регистрация не нужна: трансляция будет доступна всем. Подпишитесь на новости и добавьте событие в календарь, чтобы не пропустить день тренинга.

Сколько продлится трансляция и что в нее войдет

Трансляция начнется в 12:00 по московскому времени и продлится до 16:30. В программе — выступления международных экспертов из Всемирного экономического форума, Интерпола, ICANN, а также глобальных технологических корпораций. Спикеры расскажут об актуальных технологических трендах и связанных с ними киберугрозах, проанализируют различные типы кибератак, поделятся опытом их предотвращения и минимизации последствий.

Где и когда посмотреть трансляцию тренинга?

Трансляцию тренинга можно будет посмотреть на главной странице сайта cyberpolygon.com 8 июля 2020 года.

Будет ли доступна видеозапись тренинга после его завершения?

Полное видео тренинга будет доступно после завершения мероприятия в разделе Галерея.

О техническом тренинге

Для кого этот тренинг?

Cyber Polygon нацелен на развитие навыков IT-специалистов и сотрудников служб кибербезопасности. Мы приглашаем к участию команды технических специалистов от организаций.

Онлайн-тренинг ориентирован на компании, у которых кибербезопасность не является основой бизнеса и которые стремятся развивать навыки внутренней команды специалистов. Для поставщиков услуг в этой сфере тренинг не актуален. Представителей профильных компаний по кибербезопасности мы приглашаем поучаствовать в качестве зрителей нашей трансляции.

Нужно ли куда-то ехать, чтобы принять участие?

Нет, участвовать в тренинге можно из любой точки мира. Все задания будут выполняться удаленно: командам предоставят доступ к виртуальной облачной инфраструктуре.

Как подготовиться к тренингу? Потребуются ли какие-то дополнительные ресурсы?

Для участия в Cyber Polygon не требуется каких-либо дополнительных ресурсов. Чтобы лучше подготовиться к тренингу, мы предлагаем ознакомиться с циклом статей в разделе Материалы: они помогут получить общие знания по темам, близким к выполняемым сценариям.

Когда будет предоставлен доступ к виртуальной облачной инфраструктуре?

Участники получат доступ к инфраструктуре для выполнения первого сценария в 11:30 по московскому времени (за 30 минут до его запуска), второго сценария — в 13:30 (в момент его запуска).

Нужно ли устанавливать какое-то ПО для подключения к виртуальной облачной инфраструктуре?

Каждому члену команды необходимо будет установить клиента OpenVPN. Инструкция по установке и настройке OpenVPN будет направлена зарегистрированным участникам по электронной почте. Рекомендуем заранее убедиться, что корпоративные правила безопасности не блокируют работу OpenVPN.

Сколько человек может одновременно подключиться по VPN?

Для каждой команды будет создана одна учетная запись для подключения по OpenVPN. Такая учетная запись не ограничивает число участников для одновременного подключения, но мы рекомендуем подключаться не более 10 участникам одновременно.

Сколько будет длиться тренинг?

Тренинг продлится c 12:00 до 17:30 по московскому времени.

Как стать участником?

Чтобы принять участие в тренинге, необходимо заполнить форму на сайте либо направить заявку на cyberpolygon@bi.zone.

Сколько человек должно быть в команде?

В команде может быть любое количество специалистов.

Какие специалисты будут полезны в составе команд-участников?

Техническая часть Cyber Polygon рассчитана на специалистов по кибербезопасности и IT разной квалификации. Желательно, чтобы в командах были специалисты по форензике, анализу защищенности, а также по мониторингу угроз (SOC).

Может ли участвовать команда не от конкретной организации?

Нет, участвовать в тренинге могут только организации.

Сколько команд могут представлять одну организацию?

От одной организации может принять участие только одна команда.

Сколько всего организаций может принять участие в тренинге?

Количество не ограничено. Участвовать в Cyber Polygon смогут все заинтересованные организации.

Может ли компания принять участие в тренинге в качестве Red Team?

Нет. Роль Red Team исполняет команда организаторов. Все участвующие команды выступают в качестве Blue Team и защищают свои сегменты тренировочной инфраструктуры.

Будут ли командам давать указания, что необходимо сделать для решения той или иной задачи?

В личном кабинете будут доступны:

  • правила выполнения сценариев,
  • описания заданий, которые необходимо выполнять в рамках каждого сценария,
  • подсказки и дополнительные материалы по теме заданий.

С помощью этих ресурсов команды должны будут самостоятельно понять, как справиться с заданиями.

Если во время тренинга у команд возникнут вопросы по технической части, можно ли будет оперативно связаться с организаторами?

Да. Для этого предусмотрен специальный telegram-аккаунт @CyberPolygon_TechSupport. Здесь помогут решить проблемы с учетной записью, подключением по VPN и подобными техническими аспектами.

О сценарии 1. Defence

Будет ли у Blue Team список уязвимостей, аналогичный тому, что есть (по легенде) у Red Team?

У Blue Team не будет списка уязвимостей. Участники должны самостоятельно проанализировать код сервиса и сетевую активность Red Team и определить, какие векторы использует Red Team для атаки.

Дадут ли участникам менять код?

У участников Blue Team будет полный доступ к своему сегменту виртуальной инфраструктуры и право вносить любые изменения в конфигурацию или исходный код сервиса. Сервис реализован с использованием скриптовых языков программирования, так что пересборка приложения не потребуется.

Как осуществляется изменение кода сервиса?

Все изменения осуществляются непосредственно на боевой системе в виртуальной инфраструктуре Blue Team.

Как контролируется работоспособность сервиса? Каковы критерии доступности (просто доступность порта, код ответа, доступность странички с определенным текстом)?

Вся функциональность сервиса должна работать так, как предусмотрено разработчиком. Если есть страница регистрации пользователя — пользователь должен успешно регистрироваться с корректным набором входных параметров. Если есть функциональность отправки сообщений — сообщения должны корректно отправляться. Если есть форма загрузки файлов — файлы разрешенного формата и размера должны успешно загружаться на сервер.

Функциональность приложения проверяется полностью: если хотя бы один компонент не функционирует должным образом (например, участники Blue Team удалили API-эндпоинт для загрузки файлов), сервис будет помечен как неработоспособный.

Пример

Через API-эндпоинт /upload на сервер можно загрузить файл. Злоумышленник может загрузить файл с расширением .php и исполнить произвольный код на сервере.

Правильный путь устранения: добавить фильтрацию по типам загружаемых файлов (запретить загрузку файлов с расширениями .php, .php3, .php5, .phtml). В таком случае легитимные файлы (например, картинки) будут загружаться на сервер, и сервис не будет помечен как неработоспособный.

Неправильный путь устранения: отключить API-эндпоинт. В таком случае легитимные файлы (например, картинки) не будут загружаться на сервер, и сервис будет помечен как неработоспособный.

Для определения того, какая функциональность является легитимной и какие изменения повлияют на работоспособность сервиса, рекомендуем воспользоваться здравой логикой. :)

Будет ли изначально Blue Team знать объем конфиденциальной информации, чтобы оценивать масштабы утечки?

В качестве конфиденциальной информации будут выступать так называемые флаги. Каждые пять минут флаги обновляются. Чем больше флагов смогла похитить Red Team, тем большей была утечка конфиденциальных данных.

Сколько времени будет отведено на установку и настройку своих средств защиты? Будет ли у Blue Team фора на устранение уязвимостей?

Мы даем участникам 30 минут на подготовку до запуска сценария.

Можно ли будет использовать пакетную фильтрацию (firewall) — например, для блокировки IP-адреса атакующего?

Использовать пакетную фильтрацию можно. Блокировать IP-адрес атакующего тоже можно, однако это приведет к тому, что сервис будет помечен как неработоспособный, поскольку на сетевом уровне трафик чекера (который можно условно считать трафиком легитимного пользователя) и трафик атакующего ничем не отличаются (в числе прочего оба имеют один IP-адрес). В этой ситуации Blue Team будет терять очки SLA, но не будет терять очки HP. Таким образом, при правильном подходе блокировка IP-адреса атакующего может отразиться на итоговом результате в пользу Blue Team.

Можно ли осуществлять DoS-/DDoS-атаки на инфраструктуру и сервисы?

DoS-/DDoS-атаки на инфраструктуру организаторов или других участников строго запрещены и могут привести к обнулению баллов за задание. Red Team не применяет DoS/DDoS как способ атаки.

Будет ли объем утечки конфиденциальной информации влиять на результат по первому сценарию?

Утечка конфиденциальной информации приведет к потере очков HP, что в конечном итоге, согласно формуле SLA x HP, приведет к снижению общего количества баллов, полученных за задание.

Каким образом контролируется доступность сервиса во время атаки?

Red Team не будет осуществлять атаки, которые могут отразиться на доступности сервиса. Доступность сервиса может пострадать только в результате действий самой Blue Team (например, если она некорректно настроит конфигурацию средств защиты или внесет некорректные изменения в код сервиса).

О сценарии 2. Response

Предоставят ли участникам краткое руководство к платформе Threat Hunting или демо по ее использованию?

Платформа будет построена с использованием бесплатных продуктов Elasticsearch и Kibana, поэтому специальных инструкций вам не потребуется. Достаточно уметь выполнять поисковые запросы в интерфейсе Kibana и анализировать результаты вывода. Если у вас отсутствует такой опыт, рекомендуем попробовать поработать с данными продуктами до мероприятия.

EDR в ходе выполнения сценария будет непрерывно собирать телеметрию с хостов и отправлять на платформу Threat Hunting?

Нет, непрерывного сбора телеметрии не будет. Все данные из EDR будут загружены на платформу Threat Hunting заблаговременно, до начала учений.

Предусмотрены ли штрафы за неправильные ответы? Есть ограничение по количеству попыток решить задачу?

Штрафов за неверные ответы не будет. Для каждой задачи можно попробовать предложить решение 5 раз. Если за 5 попыток команда не дала правильного ответа, задание аннулируется.

Изначально у всех Blue Team одинаковое количество баллов (например, 200). Каждое открытие подсказки убавляет, например, по 40 баллов. Если решил все без подсказок, получаешь 200. А если с подсказками, то с соответствующим вычетом?

Изначально у всех 0 баллов. Верное решение задачи прибавляет к общему скорингу вес этой задачи. Если были взяты подсказки, то к общему скорингу добавляется вес задачи за вычетом штрафов.

Подсказки открываются подряд или в любом порядке?

Подсказки можно открывать только последовательно. К примеру, вы можете решить сами все, кроме последней задачи, но при открытии последней подсказки соберете все штрафы.