Выбрать язык


Выбрать язык | Show only


Русский | English


пятница, 31 мая 2019 г.

Противостояние-2019 глазами защитника и SOC

Наша команда "You Shall Not Pass" в этом году уже четвёртый раз принимает участие в "Противостоянии", которое проводится в рамках конференции Positive Hack Days. Фактически, единственные, кто в роли защитников играет в эту игру с самого начала её существования. В этом году мы выступили в составе двух команд: телеком-защита и SOC. Обе команды назывались "You Shall Not Pass".

Наш SOC на PHDays мониторил инфраструктуру двух команд: собственной и клиента. В реальной жизни все происходит аналогично: у нашей компании есть корпоративный SOC, который обеспечивает защиту своей инфраструктуры, и коммерческий, предоставляющий услуги SOC внешним клиентам. По сути, для нас Противостояние каждый год является своего рода киберучениями, где мы тестируем свои методы защиты от атак, которые на тестовой среде не воспроизведешь, а на продуктиве - слишком рискованно. Поэтому псевдопродуктив площадки очень в этом помогает.


В этот раз я даже набросал небольшой цитатник происходившего во время подготовки и самого мероприятия.
- Организаторы, прошу учесть это как беспрецедентный акт абсолютного доверия 😜 
- Вы у нас уже 3 раза просидели как пробка в заднице, а мы вас всё равно пускаем играть. И кто кому тут больше доверяет? 😂 
- Мы - пробка, вы - жопа. Так и играем 😜 
- ты контекст не упускай. Вы пробка в жопе 
- Что есть жопа? Противостояние? 
- это наше перманентное состояние в предверии

Если проводить аналогии с предыдущими годами, то в 2019м были введены такие изменения:
1. Унифицированный набор сервисов в инфраструктуре. То есть, мы не были провайдером сети для остальных, как это было в прошлые 2 года, а представляли из себя офис, у которого из специфичного был только VoIP-шлюз.
2. Рейтингование защитников. Унификация инфраструктуры позволила организаторам ввести относительно справедливую систему рейтингования защитников по баллам за непохаченность и доступность сервисов. 
- Чего ты в этом году нормальную провайдерскую сеть нам не дал?  
- Так ты же не захотел ее делать. 
Факты взлома организаторам доказывали хакеры, а доступность сервисов проверялась сервис-чекерами из хакерского и пользовательского сегментов. В случае недоступности через несколько минут команде защиты начислялись штрафы. Если бы чекеры работали стабильно - было бы совсем хорошо, но в этот раз так не было. Команды-новички переживали, когда глючили сервис-чекеры и начислялись штрафы. Мы, участвуя в четвёртый раз, не гнались за каждым баллом, понимая, что особого смысла нет: ценных призов все равно не дают, а потешить самолюбие мы и так можем каждый день от осознания важности исполняемых задач на работе. 
3. В отличие от прошлого года, инфраструктура работала не всегда стабильно, хотя и намного лучше, чем в первый и второй года.
- Паша, что за херня? Я ничего не делал, а оно само заработало. Ненавижу такие ситуации.
- Не люблю я эти виртуальные среды. Там происходят загадочные и необъяснимые вещи.
4. Прошлые 2 года мы участвовали составом исключительно из собственных сотрудников. В этом году брали и легионеров, из тех, кто сам изъявил желание быть в составе нашей команды и прошёл отбор. 
5. В этом году явно стало заметно, что успех команд хакеров очень зависит от численности. Как соревнования по сбору грибов: если не умеешь их находить, то количество людей в команде не важно; если умеешь, то шансы на победу сильно зависят от численности. Логично, что команда из 20 человек выиграет у команды из 6 человек приблизительно того же уровня. 
Каждый хакер, двое суток сливавший бензин на Противостоянии, вернувшись домой, подарил жене незабываемый поцелуй.
И, конечно, отдельное спасибо командам:
  • Основному составу YSNP защиты и SOC - за подготовку к мероприятию и участие.
  • Легионерам YSNP - за привнесение нового взгляда и подходов.
  • Команде защиты, которую мониторил наш SOC - за сотрудничество.

До новых встреч!


Комментариев нет:

Отправить комментарий