Сценарии
В ходе онлайн-тренинга Cyber Polygon 2020 участники отработают действия команды реагирования при таргетированной атаке, нацеленной на кражу конфиденциальных данных и нанесение репутационного ущерба.
Роли
Blue Team
Blue Team
Команды участников.
Защищают свои сегменты тренировочной инфраструктуры.
Red Team
Red Team
Команда BI.ZONE.
Имитирует атаку.
Сценарий 1. Defense

Участники потренируются отражать крупномасштабную атаку в момент ее реализации.


Цель

Отработать навыки отражения таргетированных атак на бизнес-критичную систему.


Легенда

В виртуальной инфраструктуре организации функционирует сервис, обрабатывающий конфиденциальную информацию клиентов.

Этот сервис — предмет интереса некой APT-группировки. Группировка собирается украсть конфиденциальные данные пользователей и перепродать их на черном рынке, чтобы извлечь максимальную финансовую выгоду и нанести репутационный ущерб организации.

APT-группировка заранее провела необходимую разведку, обнаружила ряд критичных уязвимостей в целевой системе и в день учений планирует осуществить атаку.


Действия Blue Team

Участникам тренинга предстоит:

  • как можно быстрее справиться с начавшейся атакой;
  • минимизировать количество украденной информации;
  • сохранить работоспособность сервиса.

Blue Team могут применять любые доступные методы и средства защиты. Кроме того, участники могут исправить уязвимости системы путем внесения изменений в код сервиса.

Сценарий 2. Responce

Команды расследуют инцидент с использованием техник классической компьютерной криминалистики и подходов Threat Hunting.

Из собранной информации участники составят досье, которое помогло бы правоохранительным органам найти киберпреступников.


Цель

Отработать навык расследования инцидентов на примере ситуации, когда злоумышленник получил доступ к привилегированной учетной записи в результате успешной фишинговой атаки.


Легенда

Сценарий подразумевает расследование двух идентичных инцидентов, которые отличаются индикаторами компрометации и данными, доступными для анализа.


Первая версия

На одном из периметровых средств защиты было зафиксировано обращение к командному центру, связанному с APT-группировкой, информация о которой получена через платформу обмена данными об угрозах.

Blue Team будут переданы данные со скомпрометированного хоста (дамп памяти, журналы событий, выгрузки реестра Windows и т. п.). Их можно будет получить двумя способами:

  • загрузить заранее по ссылке (пароль к зашифрованному контейнеру будет выдан со стартом мероприятия);
  • воспользоваться виртуальными машинами с загруженными в них данными и предустановленными инструментами для выполнения анализа.

Вторая версия

Идентичный инцидент (но с измененными индикаторами компрометации) произошел в организации, на конечных хостах которой были заранее установлены агенты решения класса EDR. Эти агенты непрерывно собирают телеметрию с хостов и отправляют ее на платформу Threat Hunting. Внутри платформы поверх собранной телеметрии работают детектирующие правила, которые выявляют потенциально аномальную активность. Также у платформы есть удобный интерфейс для поиска по историческим данным.

Blue Team будет предоставлен доступ к индивидуальной инсталляции такой платформы, наполненной событиями с хостов скомпрометированной инфраструктуры.


Действия Blue Team

В обоих случаях Blue Team предстоит решить ряд задач, для чего потребуется проанализировать предоставленные данные. Различаться будут только методы анализа, которые задействуют команды.


Первая версия легенды. Blue Team расследуют инцидент, используя методы и инструменты классической компьютерной криминалистики.


Вторая версия легенды. Blue Team расследуют инцидент, используя подход Threat Hunting: начальным шагом будет анализ срабатывания нескольких детектирующих правил.


В конце каждого расследования участники потренируются составлять досье c информацией об инциденте для передачи в правоохранительные органы.

Подсчет результатов

Общий результат команды — сумма баллов, заработанная за два сценария. При этом в каждом сценарии используется своя методика подсчета баллов.


Первый сценарий

Баллы начисляются по двум показателям: SLA и HP.


Показатель SLA (Service Level Agreement) обозначает целостность и доступность сервиса. Измеряется в процентах.

Результирующее значение SLA высчитывается как процентное соотношение удачных проверок (когда сервис доступен и полностью функционален) к общему количеству проверок.

Обращения чекера к сервису могут происходить несколько раз за раунд, но количество обращений к каждой из команд всегда одинаково.


Показатель HP (Health Points) демонстрирует наличие уязвимостей в сервисе и способность противостоять атакам. Выражается простым численным значением.

Перед началом атаки участникам начисляется 900 HP. Если Red Team смогла успешно проэксплуатировать заложенную в сервисе уязвимость и получить флаг, команда теряет часть HP.

Чем больше уязвимостей смогла проэксплуатировать Red Team, тем больше HP потеряет команда. У каждой из команд баллы отнимаются только один раз за раунд.


Итоговая оценка за первый сценарий вычисляется как SLA × HP.


Второй сценарий

Количество баллов, начисляемых за ответ, зависит от сложности задачи.

Каждая задача снабжена несколькими подсказками, открытие которых уменьшит количество баллов за ответ. В качестве подсказок могут выступать ссылки на различные источники, подробно раскрывающие данную тему и тем самым повышающие уровень знаний участников.

Последняя подсказка даст правильный ответ, но приведет к обнулению баллов за задачу.