По легенде этих киберучений сбылся страшный сон не одного поколения: в будущем искусственный интеллект сошел с ума, и мир был захвачен новой версией компьютерного вируса. «В живых» остались всего 10 инфраструктур — последний оплот человечества. Но и эти предприятия были заражены, и мир совсем скоро мог погрязнуть во тьме. Только оперативные десантные команды кибербезопасников могли спасти планету.
Учения состояли из трех этапов с разными целями:
- Предотвращение: остановить распространение атаки
- Расследование: выяснить первопричины атаки и описать цепочку последовательного распространения вируса
- Восстановление: устранение последствий атаки и возврат к нормальной жизни
Всего в киберполигоне приняли участие 10 команд из разных отраслей — электроэнергетики, металлургии, банковской индустрии и не только. 6 команд присутствовали на форуме, еще 4 присоединились в онлайн-формате. В офлайн-команду могло входить до 5 человек, а в онлайн — до 25.
Итоговые баллы распределились следующим образом:
1 место – 82 балла
2 место (команда Angara SOC) – 73 балла
3 место – 65 баллов
Для киберполигона на SOC-Форуме 2021 было развернуто 3 инфраструктуры: электроэнергетика, корпоративный сегмент и банки. Команда Angara SOC защищала одну из организаций корпоративного сегмента в течение двух дней мероприятия. Для того, чтобы участники находились в равных условиях, организаторы установили и настроили SIEM-систему, появившуюся на рынке относительно недавно. Не так много специалистов успели с ней поработать, приходилось разбираться непосредственно в боевых условиях. Информацию о деталях атаки на защищаемые сегменты никто из участников не знал до самого начала киберучений.
Согласно легенде, вредоносное программное обеспечение выводило из строя скомпрометированные хосты по истечении определенного времени, если не были предприняты действия по предотвращению вредоносной активности. Таким образом, существовали жесткие тайминги на каждый этап соревнований, непосредственно влияющие на конечный результат.
Для работы в подобных условиях пришлось оперативно решить следующие основные задачи:
- распределить работы между участниками команды согласно компетенциям
- приоритизировать решаемые задачи
- разобраться с архитектурой защищаемой организации
- разобраться с имеющимися инструментами для выявления и реагирования на инциденты ИБ
- настроить канал обмена информацией между участниками команды
«В результате киберучений наша команда потренировалась организовать работы в нестандартных условиях и, судя по результатам, успешно справилась с этим вызовом. В ходе соревнований были опробованы методики реагирования на комплексные атаки и получен новый опыт, который мы будем использовать для развития предоставляемых услуг по направлению Security Operations», — рассказал Тимур Зиннятуллин, директор Angara SOC.