Обленился я немного. В прошлом году через 2 недели после "Противостояния" я уже 5 заметок написал, а в этом году - еще ни одной. При том, что о PHDays-VII и "Противостоянии" на нем уже многие высказались, даже те, кто и не думал участвовать. Событие популярное, почему бы и не обсудить. Но наиболее ожидаемые читателями заметки - от самых непосредственных участников, поэтому пришла и моя очередь.
В 2017 году 23-24 мая проходила международная конференция по информационной безопасности Positive Hack Days VII. В рамках неё, как и год назад, проводились соревнования CTF "Противостояние".
В этом году наша команда You shall not pass тоже участвовала в "Противостоянии" в качестве телеком-защитников. Большей частью все было как в прошлом году. Мы, как и в в прошлый раз, работали в тандеме с SOC False Positive от JSOC. Который, в отличие от меня, уже успел описать свою часть саги о противостоянии. Конечно, нам предлагали выступить и со своим выделенным телеком-SOC, о котором я рассказывал 23 мая 2017 , но без влияния на ИБ-процессы нам было сложно на полных 2 дня снять с работы людей для ролей и защитников, и SOC в этом году. "Противостояние" - это хорошо, но защита бизнеса компании прежде всего.
В 2017 году 23-24 мая проходила международная конференция по информационной безопасности Positive Hack Days VII. В рамках неё, как и год назад, проводились соревнования CTF "Противостояние".
В этом году наша команда You shall not pass тоже участвовала в "Противостоянии" в качестве телеком-защитников. Большей частью все было как в прошлом году. Мы, как и в в прошлый раз, работали в тандеме с SOC False Positive от JSOC. Который, в отличие от меня, уже успел описать свою часть саги о противостоянии. Конечно, нам предлагали выступить и со своим выделенным телеком-SOC, о котором я рассказывал 23 мая 2017 , но без влияния на ИБ-процессы нам было сложно на полных 2 дня снять с работы людей для ролей и защитников, и SOC в этом году. "Противостояние" - это хорошо, но защита бизнеса компании прежде всего.
Кстати, пару слов о JSOC. Как в прошлом году, так и в этом, они мониторили все аномалии в нашей инфраструктуре, информировали нас и контролировали устранение, но в прошлом году, по ощущениям, взаимодействие было более плотным. Скорее всего, из-за инфраструктурных особенностей.
С одной стороны, в прошлом году у нас было множество серверов (в этом - менее десятка), более характерных для офиса, плюс сегменты толком не защищались Firewall'ом, что давало возможность организаторам плодить дырявые сервисы и держать нас в тонусе. В этом году у JSOC больше работы было с защитой офиса, который они тоже мониторили.
С другой стороны, в этом году в команде JSOC не было Алексея Павлова (командировка), который в прошлом году, как и полагается аналитику SOC, клещами впивался в критичный инцидент, что-то устранял сам, при необходимости подключал всех заинтересованных, и не успокаивался, пока проблема не уходила. Леха, твои ребята и в этом году молодцы, но без тебя было не так весело.
О ходе игры в 2016 году я рассказывал в своём прошлогоднем цикле статей:
1. PHDays CTF: "Противостояние" глазами "защитника". Часть 1. Описание
2. PHDays CTF: "Противостояние" глазами "защитника". Часть 2. Подготовка
3. PHDays CTF: "Противостояние" глазами "защитника". Часть 3. Мнение о резонансном взломе ГЭС
4. PHDays CTF: "Противостояние" глазами "защитника". Часть 4. Ограничения
5. PHDays CTF: "Противостояние" глазами "защитника". Часть 5. Сражение
6. PHDays CTF: "Противостояние" глазами "защитника". Часть 6. Нестандартный метод защиты SSH
7. PHDays CTF: "Противостояние" глазами "защитника". Часть 7. Выводы
1. PHDays CTF: "Противостояние" глазами "защитника". Часть 1. Описание
2. PHDays CTF: "Противостояние" глазами "защитника". Часть 2. Подготовка
3. PHDays CTF: "Противостояние" глазами "защитника". Часть 3. Мнение о резонансном взломе ГЭС
4. PHDays CTF: "Противостояние" глазами "защитника". Часть 4. Ограничения
5. PHDays CTF: "Противостояние" глазами "защитника". Часть 5. Сражение
6. PHDays CTF: "Противостояние" глазами "защитника". Часть 6. Нестандартный метод защиты SSH
7. PHDays CTF: "Противостояние" глазами "защитника". Часть 7. Выводы
Ну и пару заметок потом:
Такой формат в прошлом году для меня был в новинку, в этом году предвижу, что статей, посвящённых "Противостоянию", будет меньше. Кстати, в просторах Интернета могу отметить рост популярности PHDays, индикатором которого является появление людей, которых просто раздражает одно только упоминание о конференции. Наличие хейтеров - один из признаков популярности.
