Храброе противостояние печенькового монстра на CyberCamp 2022

Осенью прошла онлайн-конференция CyberCamp 2022. Мероприятие дало отличную возможность ИБ-специалистам за три дня приобрести опыт и знания, которые не всегда можно получить в ежедневной работе по обеспечению ИБ. Для кибертренинга была воссоздана ИТ-инфраструктура компании со стандартными сервисами, набором СЗИ и уязвимостями. Поэтому все задания были максимально приближены к киберинцидентам в реальных условиях. О том, что было интересного и чему можно было научиться на CyberCamp 2022, поговорили с Александром Парамоновым, капитаном команды Cookie Monster.

Как вы узнали о нашем мероприятии?

В Екатеринбурге есть небольшое коммьюнити безопасников, и ребята оттуда поделились информацией о мероприятии. Я начал собирать команду, и в итоге получился немного смешанный коллектив — трое сотрудников из одной компании, один — из коммьюнити. В таком составе, вчетвером, и решили поучаствовать в кэмпе.

Как разделились внутри команды?

В нашей команде не было узконаправленных специалистов, плюс мы отличались по уровню скиллов. Например, с нами был джуниор, и для него все было в новинку. Поэтому распределения задач мы не делали. Мы создали чат в Телеграме, и когда получали очередное задание, кто-то отписывался: «Я делаю это». Это помогало нам не дублировать решение заданий.

Поделитесь секретными лайфхаками?

На самом деле никаких секретов нет. Все то, что мы не могли выполнить сразу или нам не хватало каких-то скиллов и знаний, решалось упорством и чтением мануалов. Многое из понятного мы разбирали в моменте, во время выполнения задания. Главное — пробовать, пробовать и еще раз пробовать.

Над чем пришлось потрудиться?

Пожалуй, самым сложным оказалось большое задание по инцидентам в финальный день. Оформление карточки в ГосСОПКА не вызвало труда, но сам инцидент нам тяжело дался в плане выполнения.

Еще мы сделали вывод, что OSINT — это вообще не наше, потому что в работе мы этим не занимаемся. Конечно, мы использовали какие-то инструменты, которые озвучивали в онлайне, пытались разобраться, но задание далось нам тяжело.

Не то что бы сложным, но точно не самым удобным оказалась разница во времени, из-за которой мы делали задания уже глубокой ночью после работы и по невнимательности упускали некоторые моменты.

От чего получили реальное удовольствие?

Было круто пощупать вендорский софт. Мы могли настраивать системы защиты информации, которые там предоставлялись «вживую». Ведь часто, когда вопрос касается интеграции софта в периметр организации, надо проводить какие-то пилоты, а здесь мы могли в рамках определенного кейса разобраться в ПО в условиях, приближенных к «боевым».

Прохождение сценариев эффективнее, чем проведение пилота?

Обычно пилот выглядит так. После составления ТЗ и согласования прочих тонкостей начинается этап тестирования. И если это проходит на мощностях заказчика, нужно потратить какое-то время на то, чтоб развернуть сервис внутри организации, сделать все необходимые настройки, и только потом появляется возможность оценить полезность решения.

В данном случае получилось так, что уже все настроено, и у нас есть инцидент, который надо разобрать. Нужно просто зайти и рассмотреть всё конкретно по сценарию. Получилось, возможно, не так глубоко, как при пилоте, но для понимания функционала, оценки плюсов и минусов системы — вполне достаточно. Возможностями некоторых систем мы были приятно удивлены. Рассмотрим их для интеграции внутри организации.

Еще понравилось, что формат самого мероприятия отличался от классических CTF. Здесь была легенда, и нужны были навыки, связанные с разбором инцидентов.

Что полезного взяли из лекций на CyberCamp?

Достаточно много полезной информации было для выполнения заданий, касающихся OSINT, работы с ПО и ГосСОПКА. Они содержали практически всё, с чем мы потом столкнулись при выполнении заданий. Остальные темы, к сожалению, мы не успевали смотреть. Некоторые доклады включали в записи после того, как уже какие-то задания сдали.

Поделились с коллегами эмоциями от участия в CyberCamp?

Конечно! Мы ведь амбициозных целей перед собой не ставили и изначально планировали попасть хотя бы в ТОП-10. Внутри организации у нас есть встречи, на которых мы раз в две недели рассказываем, чем наша внутриорганизационная команда занималась и какие задачи выполняла в эти две недели. На очередной встрече мы поделились с коллегами нашими супер-результатами.

Какие ощущения от Jet CyberCamp?

Это был крутой event! Мне понравилось, что он был направлен на достаточно широкую аудиторию — Junior- и Middle-специалистов из ИБ. И к конференции могли подключиться ребята не только из Москвы и Петербурга, но и, например, мы — из Екатеринбурга. Когда много участников — это здорово. Желаю вашей команде не останавливаться: делать мероприятия еще больше и чаще.

0
Комментарии
Читать все 0 комментариев
null