Команды The Standoff: Цель CTF — захват флага, а цель киберполигона — научиться слаженно работать в команде

Команды The Standoff: Цель CTF — захват флага, а цель киберполигона — научиться слаженно работать в команде

Очередное интервью Anti-Malware.ru имеет необычный формат. На вопросы редакции отвечают представители атакующих (красных) и защищающих (синих) команд, которые принимали участие в виртуальном противостоянии в условиях киберполигона. Мы представляем описания команд, с представителями которых прошла наша беседа.

Команды атакующих (красные, red teams):

True0xA3 (читать как «Тру ОАЗ», ОАЗ — «отдел анализа защищённости») — независимая команда выходцев из различных ИБ-компаний РФ. Команда ставит своей целью развитие личных компетенций каждого из участников и банальное веселье от участия в соревновательных мероприятиях. The Standoff — возможность провести время вместе и сделать что-то полезное для своего развития.

SPbCTF — открытое независимое сообщество по спортивному хакингу. Команда проводит тренировки и открытые курсы по компьютерной безопасности для всех желающих в формате соревнований CTF. Возможно, некоторые участники команды не обладают серьёзным опытом, но уже два года подряд не дают лидерам соревнований спать спокойно, постоянно поджимая их в турнирной таблице.

Codeby — состоит из экспертов международного уровня, которых объединил один из крупнейших русскоязычных форумов по практической информационной безопасности codeby.net. Форум вырастил множество специалистов в различных областях информационных технологий. Его участники выступают на международных конференциях, работают в ведущих компаниях по всему миру. В состав команды также входят эксперты из Nitro Team, казахстанской «красной команды».

Команды защищающих (синие, blue teams):

Jet Security Team — команда одного из крупнейших ИБ-интеграторов, в которую входят эксперты трёх направлений. Инженеры по информационной безопасности внедряют и конфигурируют средства защиты. Аналитики центра мониторинга и реагирования Jet CSIRT занимаются обнаружением инцидентов и реагированием на них. Red Team ищет слабые места в системе защиты.

Yourshellnotpass — команда, которая сформировалась не так давно и состоит из совершенно разных специалистов, объединённых одной целью — обеспечить информационную безопасность... ну или хотя бы ничего не сломать. Атакующим командам: вы не пройдёте! (Но это не точно.)

...

Киберполигон The Standoff привлекает многих специалистов, работающих в информационной безопасности. На очередном мероприятии он будет моделировать не город, а страну, что усложнит задачу для участников всех команд — как атакующих эту виртуальную площадку (red teams), так и защищающих её (blue teams). Участники пяти команд поделились с редакцией Anti-Malware.ru своими впечатлениями и ожиданиями от очередной схватки.

The Standoff (да и идея киберполигона в целом) — это эволюция Capture the Flag? В чём отличия от CTF?

True0xA3: Это даже не эволюция — это серьёзный скачок в развитии, по-другому и не скажешь. Первое, что исключает возможность называть это «CTF», — больше нет никаких флагов. Вам дана приближенная к реальной инфраструктура города, и ваша задача как атакующего — нанести как можно больший ущерб городу. Второе — есть команды не только атакующих («хакеров»), но и защитников, которые иногда обороняют инфраструктуру, а иногда расследуют инциденты, которые создали атакующие.

Yourshellnotpass: Это другое направление с другими целями.

Цель CTF — захват флага, а цель киберполигона — научиться слаженно работать в команде, приобретать и тренировать навыки по реагированию на инциденты и их расследованию, а также научиться отделять инциденты от событий по безопасности.

SPbCTF: Свой путь мы начали с CTF. Думаю, это не делает нас уникальными среди большинства участников The Standoff, по крайней мере со стороны «красных команд». Уверен, что абсолютное большинство пентестеров так или иначе на своём карьерном пути сталкивались с CTF. Но можно ли назвать The Standoff «эволюцией CTF»? Я бы, пожалуй, ответил, что нет. CTF — это лишь хорошая, добротная точка входа в тему ИБ, а уж куда эволюционировать, каждый решает сам.

Jet Security Team: Сложно назвать The Standoff просто CTF, особенно если ты выступаешь на стороне защитников и у тебя нет какого-то установленного «флага», а нужно выявлять инциденты в ИБ, проводить расследования по незапланированному сценарию.

Codeby: Основное отличие от CTF заключается как раз в минимизации так называемого «CTF-like» (синтетические уязвимости), который практически невозможен в реальных проектах.

Чего не хватает на киберучениях, что лишнее, а что — «прям в кайф»?

True0xA3: Нам всегда не хватает более точного видения всей инфраструктуры города. Ей свойственно меняться, что-то падает, что-то поднимается. Из-за этого мы иногда пропускаем те вещи, которые могли бы дать нам больше возможностей.

Возможно, стоит иметь больше связей в инфраструктуре, чтобы узлы и сервисы с некими легендами были бы не столь отрешёнными от основного сюжета и ссылались друг на друга. Если говорить про какие-то дополнительные механики, которые интересно было бы привнести — возможно, это торговля эксплойтами на чёрном рынке, когда команды могут продавать друг другу техники взлома за заработанные ими «деньги» (очки).

От чего кайфуем? Наверно, больше всего от цепочек взломов, когда ты проходишь несколько стадий от внешнего неприметного сервиса до захвата самого сердца сети. Получаются своего рода продвинутые и разнообразные атаки.

Yourshellnotpass: Не хватает нормально работающей сети во время подготовки, в остальном нам всё понравилось.

SPbCTF: По итогу последнего The Standoff мы много обсуждали недостатки, вносили различные предложения. Из того, что уже было озвучено, мне реально понравилась идея организовать один из офисов без Microsoft-инфраструктуры. Или же, пусть и сохранив её, посадить директора компании N на macOS, а ИТ-персонал — на Linux.

Jet Security Team: На последнем The Standoff всё было достаточно хорошо, инфраструктура выдавала минимум сюрпризов. Четырёх дней мероприятия как раз хватает, чтобы плотно погрузиться в атмосферу соревнования и набрать «форму». Отдельно порадовал сегмент со SCADA, где можно что-нибудь покрутить и тебе за это ничего не будет.

Codeby: Не хватает прозрачности в соревнованиях, иногда встречаются двойные стандарты, но, думаю, это всё будет исправляться по мере прохождения мероприятий.

Зачем участвуете?

True0xA3: Для нашей команды True0xA3 это в большей степени дружеская посиделка, чем что-то ещё. 90 % людей из нашей команды однажды работали в отделе анализа защищённости компании «Информзащита», начинали свою карьеру пентестера именно в ней. Поэтому мы наслаждаемся совместной работой, учим друг друга именно в этом месте встречи, так как в том самом отделе сейчас работает только один человек из нашей команды, уже нет возможности постоянно работать вместе. Мы — очень сплочённая команда, все друг друга знают, все знают возможности друг друга и могут правильно взаимодействовать в условиях «гонки».

Yourshellnotpass: Наши цели: во-первых, отработать процессы взаимодействия в команде; во-вторых, отработать последовательность действий при реагировании на инцидент; в-третьих, отработать навыки формирования и написания правил для различных СЗИ; в-четвёртых, всестороннее развитие сотрудников в части использования СЗИ (SIEM, NAD, WAF); в-пятых, противодействие лучшим белым хакерам — таким как Codeby, True0xA3, Invuls, SPbCTF и другим.

SPbCTF: Трудность всего вышеозвученного, азарт командной игры — всё это делает The Standoff схожим с CTF, а заодно очень сильно прокачивает наши технические навыки. Именно это и делает его для нас очень ценным мероприятием, за развитие которого мы радеем!

Jet Security Team: Наверное, это можно назвать своеобразной разгрузкой от работы и ещё одним «корпоративом» для команды. Отличное времяпрепровождение, возможность попробовать себя и проверить свои скиллы, да и в целом поучаствовать в крутом мероприятии.

Codeby: Есть несколько причин. Во-первых, это прежде всего самые престижные соревнования в сегменте. Во-вторых, это вызов самим себе, выдержать марафон не всегда психологически можно, где-то нервы сдают, но когда всё кончается, приходит то самое чувство, ради которого участвуем.

Как сильно инфраструктура в The Standoff похожа на ту, что вы встречаете в рабочих задачах по пентесту?

True0xA3: Пока одно самое важное отличие в данной инфраструктуре — здесь точно есть уязвимость. В реальной жизни пентестера ты не всегда можешь позволить себе тратить много времени на поиск потенциальной ошибки в одном сервисе или приложении, ты должен идти дальше, чтобы точно успеть за выделенное время обеспечить покрытие проверками.

То есть в инфраструктуре города уязвимости заложены авторами и это, конечно, даёт тебе возможность не сдаваться и не думать, что «здесь ничего нет, надо идти дальше». Ты можешь поднапрячься, позвать друга и всё-таки найти ошибку в программе. Считайте, что больше отличий нет, мы ломаем реальные системы с реальными ошибками, взятыми из жизни.

Yourshellnotpass: Для целей преследуемых на The Standoff — очень похожа.

SPbCTF: Один из интересных организационных моментов игры, который делает её ещё больше приближенной к реальности — это хедхантинг. Однако тут мы имеем невероятный бонус: мы все сильно замотивированы без какой-то финансовой составляющей.

Jet Security Team: По составу объектов, систем и приложений инфраструктура The Standoff очень приближена к тем, что встречаются в нашей работе. Понятно, что ряд сервисов и приложений специально имеют уязвимости или могут быть намеренно некорректно настроены или опубликованы во внешнюю сеть для возможности реализации поставленной цели для атакующих, но это и делает игру более активной и азартной. Красные команды разных уровней могут попытаться реализовать риски, поэтому синие команды не сидят без дела в ожидании «пробива» и борются в итоге с атакующими, а не со сном.

Codeby: Инфраструктура абсолютно реальна, а наличие со стороны защитников таких же людей делает её ещё более реальной, они тоже люди и тоже ошибаются.

Тренируетесь ли вы где-то? Как проходит подготовка к The Standoff?

True0xA3: Одна из особенностей The Standoff — к нему нельзя просто где-то натренироваться, кроме как работать в этой сфере. То есть пока нет подобных площадок, и в этом крутость. На данный момент, чтобы участвовать и претендовать на первое место, ты должен работать в этой сфере. Да-да, всё происходящее на The Standoff настолько приближено к реальности.

Yourshellnotpass: Нет, не тренируемся. Подготовка начинается с курсов по СЗИ, затем — исследование выделенной для нас подсети, после чего формируется отчёт об уязвимостях, критически важных рисках и о значимых узлах. Затем — настройка СЗИ под наши цели и назначение задач для каждого члена команды.

SPbCTF: В первую нашу командную игру «одноразовый» опыт участия был лишь у меня и основной задачей становилось поделиться им перед игрой и пытаться разрулить происходящее «по ходу пьесы». Дальше становилось интереснее! Мы поняли, что ключ к победе — командная подготовка. Если на подготовку к The Standoff 2020 мы потратили 2–3 недели, то к мероприятию 2021 года мы постарались удвоить это время, что, безусловно, дало свои плоды. Конечно же, в первую очередь я говорю о «team cooperations». HackTheBox — неплохой вариант, чтобы отточить этот командный навык, протестировать различные С2, а заодно заранее продумать и протестировать все возможные сценарии пивотинга. Кстати, не забываем и про кастомизацию нагрузки! Озаботиться такими вопросами, как обход номинального Microsoft Defender, тоже следует заранее.

Jet Security Team: Я бы как раз и назвал The Standoff «боевой» тренировкой, где полученные ранее знания можно как-то применить на практике не на отдельных разрозненных системах, а на полноценной инфраструктуре. Также на битву можно принести с собой новые инструменты и техники, которые на реальной инфраструктуре не всегда удаётся как-то протестировать и опробовать.

Времени на подготовку всегда мало, и мы стараемся распределять его рационально. Обязательно стараемся получить максимум информации об инфраструктуре и постоянно делиться ею друг с другом. Главное, чтобы все понимали, что кому досталось и что с этим делать.

Codeby: Да, основным составом собираемся примерно раз за 3–4 месяца, играем на площадках типа PriviaHub, HtB, THM.

Давно ли участвуете в The Standoff и каковы успехи?

True0xA3: Команда участвует в The Standoff с 2017 года каждый год. Начинали мы с 4-го места в турнирной таблице. В 2018 году повторили результат, а дальше дела пошли в гору: первое место в 2019-м, второе — в 2020-м, снова первое — в 2021-м. В общем, мы уверены, что держим хороший уровень, не даём расслабиться соперникам и, обучаясь в своей работе, повышаем свои шансы на победу в The Standoff.

Yourshellnotpass: Участвовали в мае 2021-го, получили планируемый опыт.

SPbCTF: Мы отыграли уже три «Стендоффа» и успели хорошенько закрепиться в пятёрке лидеров. С каждым годом это становится всё сложнее и сложнее, и это лишь подогревает наш интерес!

Jet Security Team: Участвуем в PHDays с 2018 года со стороны команд защиты. За это время нам удалось занять первое место на PHDays 9 среди синих команд, мы показали отличные результаты на последнем мероприятии в 2021 году. И надеюсь, что это был не последний наш The Standoff.

Codeby: В этом году участвовали в третий раз. В первый раз всё было печально, мы абсолютно не знали и не были готовы к тому, что нас ждёт. Ну, про два остальных знаете все.

Как набираете команду? Переманиваете из других команд?

True0xA3: Принцип я описывал выше. Чтобы быть конкретнее: всего в чате нашей команды 17 игроков, из них в последнем The Standoff участвовало 14, из них 12 работали в одном отделе. Ещё двое — наши близкие друзья из той же сферы, с кем часть представителей нашей команды давно работает.

Yourshellnotpass: Команда формируется по желанию внутри отдела.

SPbCTF: В нашем частном случае, конечно же, есть определённые «условия» попадания к нам в команду. Самое простое — это быть активным участником нашей тусовки, показать свою заинтересованность в теме: ходить на сходки, по возможности (и в рамках разумного) участвовать в общих тренировках, играх и, конечно же, быть готовым делиться опытом! Вроде бы ничего сложного.

Особенно интересным вопрос донабора для нас стал в 2021 году. Мы искали конкретные скиллы: кастомизацию нагрузки, обход АВ, разработка модулей под наш С2. И нашли! Конечно, тут меня радует сам факт укомплектовки, но в то же время я радуюсь и тому, что мы верно оценивали свои недостатки и чётко сформулировали для себя задачи. И это — тоже опыт, за которым мы, собственно, и пришли.

Из интересных моментов хантинга: мы нашли, укомплектовались, обошли всё, что надо было обойти… Наступает The Standoff, и от нашего молодого пополнения я слышу фразу: «Ребят, сорри, я завтра не смогу прийти. Мне надо ОГЭ сдать». Я офигел, мягко говоря. А как заканчивался ваш 9-й класс?

Jet Security Team: Наш сложившийся с 2019 года состав по ролям делится на аналитиков, экспертов центра мониторинга и реагирования на инциденты в ИБ, экспертов по внедрению средств защиты. Ещё мы всегда берём с собой одного специалиста по этичному хакингу: он проверяет, насколько те или иные атаки можно реализовать на выделенной нам инфраструктуре.

Такой состав позволяет распределить зоны ответственности по системам и достаточно хорошо подготовиться: до самой игры обозначить все потенциальные проблемы в инфраструктуре, векторы их реализации и тому подобное, а на самой площадке — более оперативно решать возникающие задачи.

Codeby: Основной костяк был сформирован после слияния с командой Nitro Team (топовая команда из Казахстана, лидер — b4tr), после этого набираем уже узконаправленные единицы.

Как вы себя называете: хакеры, пентестеры?

True0xA3: Мало кто любит говорить, что он «хакер». Может быть, только если бабушке будешь рассказывать о том, где ты работаешь, чтобы долго не объяснять. Потому что в случае если представляешься человеку несведущему, надо сразу продолжать объяснять, что ты «белый хакер», что это работа такая вообще есть в 2021-м. Между собой — да, мы хакеры, пентестеры, спецы по анализу защищённости.

Yourshellnotpass: Защитники «YOURSHELLNOTPASS».

SPbCTF: Вопрос самоопределения в этом дивном море ИБ. Хакеры, пентестеры, «ситиэферы» — кто мы, команда SPbCTF на турнире Standoff, да и вообще все другие участники нашего комьюнити? Я бы назвал нас «исследователями». Найти решение сложной задачи, узнать что-то новое — думаю, это и есть главные наши мотивы. Так, значит, мы все хакеры?

Jet Security Team: Обычно мы себя, конечно же, не называем защитниками, «blue team» или синей командой. Я бы назвал нас командой энтузиастов, которых объединяет не только повседневная работа.

Codeby: Специалисты по информационной безопасности.

Большое спасибо за беседу. Желаю вам успехов!