POSITIVE HACK DAYS



ОРГАНИЗАТОР

The Standoff Правила

Противостояние

В прошлом году мы предложили участникам PHDays новый формат хакерских соревнований — кибербитву между атакующими и защитниками. На это раз мы продолжим развивать эту тему. Главный конкурс PHDays VII получил название «Противостояние», а все происходящее на площадке PHDays объединено темой «Противостояние: враг внутри».

События развернутся в уже знакомом по прошлогоднему форуму городе, который значительно увеличился в размерах и по численности населения. В городе бум интернета вещей: жизнь горожан полностью строится вокруг технологий, интернета и гаджетов, мобильный телефон всецело заменил кошелек, ключи, паспорт и управляет любым аспектом жизни людей, даже спичечные коробки подключены к сети, а мороженое постит в Твиттер свою температуру. Поэтому, кроме телеком-оператора, ТЭЦ и офисного центра, объектом для взлома может стать город, наводненный IoT-устройствами всех размеров и назначений. Хакеры смогут вдоволь развлечься, например устроить хаос на дорогах, взломав светофоры. Кстати, на этот раз хакеры будут беспощаднее: уступив защитникам в прошлогоднем Противостоянии, они наверняка постараются взять реванш. В то время как жители города и работники компаний после успеха защитников стали еще доверчивее.

Общие правила

Противостояние будет проходить во время Positive Hack Days: начнется сразу после открытия и продлится до его окончания, без перерывов.

В Противостоянии принимают участие команды в роли:

  • атакующих,
  • защитников,
  • security operations centers (SOC).

Каждая команда может играть только за одну сторону. Запрещено выставлять несколько команд от одной компании за противоборствующие стороны (например, хакеры — защитники или хакеры — SOC). Количество участников в команде — от пяти человек.

Участвовать в Противостоянии можно локально, удаленно или смешанно (часть команды локально, часть — удаленно).

Подготовка. За месяц до начала Противостояния организаторы проведут брифинг для каждой из сторон. На нем организаторы проинформируют о правилах и ходе игры, плане подготовки и деталях игровой инфраструктуры, условиях победы и вознаграждении. У команд защитников и SOC будет время на аудит защищаемых инфраструктур (1 неделя) и установку средств защиты (3 недели).

Во время Противостояния. Организаторы предоставят командам место для размещения членов команды и необходимых инструментов. Полноценные спальные места для команд не предусмотрены, условия работы в ночное время определяются самими участниками. В дневное и ночное время будет организовано питание.

В начале соревнования каждая команда получит доступ в игровую инфраструктуру. Подключение осуществляется через выделенный коммутатор, если команда находится на месте проведения форума, и через VPN, если команда участвует удаленно.

Для обмена информацией друг с другом и с организаторами во время игры будет работать форум, на котором будут размещены:

  • базовая информация об игровой инфраструктуре,
  • список целей,
  • новости от организаторов,
  • BlackMarket — черный рынок уязвимостей и эксплойтов,
  • портал Threat Intelligence.

Для решения технических проблем на время подготовки и во время игры будет работать система HelpDesk. Регистрация заявок по электронной почте в игровом домене.

Правила игры

Команды могут делать абсолютно все, что не запрещено правилами. Командам запрещается:

  • нарушать работу Противостояния,
  • атаковать инфраструктуру полигона,
  • проводить атаки на компьютеры жюри,
  • генерировать неоправданно большой объем трафика (флудить),
  • а защитникам, кроме того, запрещается блокировать доступ к ресурсам по IP-адресу.

За игрой будет непрерывно следить жюри. За нарушение правил команда может быть дисквалифицирована и исключена из рейтинговой системы. Важно: жюри может уточнить правила в любой момент до начала игры и менять состояние игровой инфраструктуры во время нее.

Атакующие

Атакующие вольны делать все что угодно, главное — не нарушать логику построения и работу полигона. Никаких тасков и флагов, участники сами решают, что они хотят получить от города. Задача атакующих — любыми удобными им способами выполнить поставленные перед ними цели.

Все цели верхнеуровневые, например взломать АСУ ТП (различаются от типа объекта), и могут быть достигнуты самими разными способами. Большинство целей будут известны хакерам, но игрой предусмотрены и скрытые цели, которые обозначатся после выполнения определенных действий или при наступлении события. Кроме того, достижение некоторых целей возможно только в определенном временном промежутке и только одной командой. Полный список всех целей и задач появится до начала Противостояния на сайте phdays.ru в зашифрованном архиве, пароль от архива будет опубликован после завершения соревнований. Информация о степени достижения целей будет доступна на протяжении всей игры в профиле команды на сайте Противостояния и в общей таблице с положением команд.

Атакующие не ограничиваются в используемых инструментах при условии соблюдения основных правил Противостояния. На старте всем командам предоставляется базовая информация об объектах атак, доступная на форуме Противостояния. Всю остальную информацию команды должны найти самостоятельно. Атакующие могут устраивать бартерный обмен информацией на черном рынке.

В процессе Противостояния участники могут выступить с докладом о результатах своей работы, добровольно, если не оговорено дополнительно.

Правила победы в отдельных номинациях определяются и фиксируются непосредственно перед началом соревнований. Победителем признается команда, получившая по итогам больший балл. Общий балл команды суммируется из статуса выполнения ею всех целей.

Во время Противостояния администрация города запланировала проведение программы bug bounty для своих публичных сервисов в формате турнира. Участвовать в турнире можно только персонально (не в команде), в свободном режиме. Участники получат время на подготовку и общую информацию о сервисе. Программа действует только в течение ограниченного времени. Все это время участники программы должны вести стриминг экрана и описание процесса в интернете.

Защитники

В качестве защитников могут выступать как корпоративные команды, так и отдельные специалисты (можно под псевдонимом). У защитников будет несколько профильных команд, каждая из которых обеспечит безопасность одного объекта на полигоне — оператора, офиса и т. д.

В задачи команд входят проектирование, установка, настройка и эксплуатация средств защиты, а также обеспечение безопасности и сохранности активов компании, за которой они закреплены. В ходе игры защитники должны периодически выступать с отчетами о произошедших инцидентах и проделанной работе.

Всего предусмотрено 9 объектов защиты:

  • телеком-оператор,
  • офис,
  • ТЭЦ и подстанция,
  • нефтеперерабатывающий завод,
  • хранилище нефтепродуктов,
  • железная дорога,
  • транспортировка нефтепродуктов,
  • городская инфраструктура (дома и дороги),
  • администрация города.

Разрешается использовать любые средства защиты, доступные в виде ПО или виртуального устройства. Организатор не предоставляет лицензии на средства защиты, кроме тех, что сам производит. Использование аппаратных решений предусмотрено с ограничениями только для команд защиты компаний из категории АСУ ТП. При этом организаторы вправе запретить использование какого-либо средства защиты. В сегменте АСУ ТП запрещается использовать средства защиты, работающие в разрыве соединения, допускается только мониторинг.

В этом году защитники почувствуют на себе всю тяжесть кризиса и сокращение бюджетов. У всех команд будет фиксированный виртуальный бюджет на покупку средств защиты в размере 10 000 публей, на которые они смогут купить требуемые им средства защиты информации у местного дистрибьютора или получить услуги центров мониторинга. Стоимость средства определяется его категорией и устанавливается организаторами исходя из сложности и ресурсоемкости его внедрения в IТ-инфраструктуру.

Категория

Стоимость

Vulnerability management

0

Firewall

500

IPS span

2000

IPS inline

4000

Antivirus

500

SIEM

2000

PIM

2000

WAF span

2000

WAF inline

4000

DLP span

2000

DLP inline

4000

Device/Application control

2000

AntiAPT

2000

SOC Security Services:

  • Inventory of Authorized and Unauthorized Software
  • Secure Configurations for Hardware and Software on Mobile Devices, Laptops, Workstations, and Servers
  • Continuous Vulnerability Assessment and Remediation
  • Controlled Use of Administrative Privileges
  • Email and Web Browser Protections
  • Data Recovery Capability
  • Secure Configurations for Network Devices such as Firewalls, Routers, and Switches
  • Boundary Defense
  • Controlled Access Based on the Need to Know
  • Account Monitoring and Control
  • Application Software Security
  • Incident Response and Management









5000 (весь комплекс) или 1000 за отдельные сервисы

Ночная смена

5000

Бонусы. Команды защитников в ходе Противостояния могут заработать дополнительные средства:

  • отбила атаку (ущерб незначителен) и доложил об этом: +1000 публей,
  • отбила атаку и не доложил об этом: +100 публей,
  • провела точную атрибуцию: +5000 публей.

Штрафы. Команда штрафуется в случаях, когда:

  • атакующие достигли цели, в результате компании нанесен ущерб: –1000 публей,
  • атакующие произвели дефейс сайта компании: –500 публей.

Полный список бонусов и штрафов будет оглашен к началу Противостояния.

Команды защитников не участвуют в рейтинговой системе, оцениваются и награждаются компетентным жюри, состоящим из экспертов отрасли.

Организаторы будут использовать механизм, определяющий правила внесения изменений в игровую инфраструктуру команды (сетевые настройки, используемые средства защиты и т. д.) и обеспечивающий баланс защиты и нападения. В целях сохранения баланса в инфраструктурах компаний присутствует постоянное, с небольшим люфтом, число уязвимостей.

К каждой команде защитников от организаторов назначается специальный человек от бизнеса (аналог CISO), который отвечает за оценку работы команды, принятие решений, касающихся бизнеса компании (отключение сервисов), и выполняет роль единого окна для решения любых игровых вопросов. Команды должны в точности и незамедлительно выполнять указания CISO. За невыполнение указаний назначаются штрафные баллы в виде понижения рейтинга доверия.

Внешние SOC

Команды SOC снова придут на помощь компаниям города и предоставят экспертизу и отлаженные процессы по выявлению и предотвращению инцидентов, защитникам — услуги по обнаружению и расследованию инцидентов, а также мониторинг всей сети города. SOC оказывают защитникам только те услуги, которые оговорены при заключении виртуального договора в рамках бюджета команд защитников.

Во время Противостояния SOC должен оперативно оповещать защищающихся об атаках и предлагать меры защиты. Также как и защитники, команды SOC должны публично докладывать о проводимых атаках и используемых методах взлома, представлять статистику защищенности полигона (тренды по атакам и другие метрики).

Команды SOC не участвуют в рейтинговой системе, оцениваются и награждаются компетентным жюри, состоящим из экспертов отрасли.

Жители

Жители города активно взаимодействуют с атакующими и другими участниками Противостояния. Они подвержены социальной инженерии и готовы делиться секретами за солидное вознаграждение. Жители могут быть разных категорий: работники компаний или просто обыватели, каждый день использующие умные гаджеты.

Способы взаимодействия с жителями города будут сообщены атакующим в процессе подготовки к Противостоянию.

Победа

Победа в Противостоянии или в отдельных номинациях присуждается по итогам достигнутых целей, поставленных перед каждой из предусмотренных ролей. Победители определяются по совокупности достижений и количеству начисленных баллов. Организаторы объявят победителей после завершения игры на церемонии награждения.

За ходом игры можно следить на сайте Противостояния — будут опубликованы таблицы с положением команд: общая таблица лидеров и лидеры по номинациям.

Заявка

Если вы хотите стать участником Противостояния — пишите по адресу phd@ptsecurity.com. Заявки принимаются до 3 апреля 2017 года.