2 Мая, 2017

Квест ИБ. Приглашенный пост

Ксения Шудрова
Здравствуйте, дорогие читатели! Первого апреля прошел очередной квест по ИБ, организованный Сибирским государственным аэрокосмическим университетом. В этот раз мероприятие прошло в Москве. Про квесты мне традиционно задают множество вопросов, поэтому выкладываю подробный рассказ организатора – Вячеслава Золотарева и отзывы участников.

Добрый день всем! У нас прошел очередной квест по социальной инженерии, теперь с помощью Екатерины Маро из Южного федерального университета, Натальи Днепровской и Светланы Куликовой на кафедре управления информационными системами и программирования Российского экономического университета имени Г.В. Плеханова. В этот раз мы применили технические новшества и автоматизировали часть процесса, что несколько изменило привычный игровой сеттинг. В игре имелись две локации: команда организаторов играла за колл-центр образовательной направленности, управляя информационной системой и обеспечивая ее работоспособность, отвечая на запросы на специальном форуме, общаясь через видеозвонки и личные сообщения, принимая участие в собеседованиях. Команды игроков - в этот раз их было четыре - нападали на систему, комбинируя методы социальной инженерии и воздействие на информационные ресурсы системы.

Благодаря усилиям организаторов (и проекту группы БКБ-13-01 Сибирского государственного аэрокосмического университета, взятому за основу ;) ) в этот раз вся игровая система была размещена на одноплатном компьютере Raspberry Pi3 и была намного удобнее в использовании. Кроме того, наш замечательный системный администратор Роман Коневши спасал от периодических сбоев, вызванных увлеченным сканированием нашей сети или попытками взломать ее элементы со стороны игроков. Надеюсь, невозможность нормально покурить во время игры пошла ему на пользу :)

Задания варьировались от "узнать марку чайника" до "выполнить дефейс сайта колл-центра", что добавляло интереса игрокам и головной боли организаторам. Всего было предложено 18 заданий основной направленности и 3 мотивационных, корректирующих процесс игры. Квест проходил в очном режиме, благодаря полностью погрузившимся в игру Ксении Ломоносовой, Нурзиле Умергалиной, Родиону Ткаченко и сценарию собеседования, подготовленному Тамарой Клочковой воссоздали атмосферу колл-центра и старались по мере сил усложнить задачу взломщикам, впрочем, конечно, на 100% это как всегда не удалось. В этот раз больше сил и энергии приложила команда 2К2ВР: капитан Николай Орловский.
Благодарю также участников тестирования нашей игровой системы: Филиппа Краста, Демьяна Соколина, Юлию Колпакову, Полину Криничную, Арину Неб, Льва Крюкова, Мишу Созина и Ивана Земцова, Софью Храмлюк, а также очаровательную Яну Свищёву.




Отзыв участника. Нурзиля
Мне очень понравился квест. Особенно мне понравилось быть оператором колл-цента, принимать звонки и отвечать на каверзные вопросы. Было очень интересно играть с ребятами, которые создавали реальную атмосферу. Я считаю, что квест очень полезен как нам (бизнес-информатикам), так и группе информационной безопасности. Потому что мы смогли проверить полученные нами знания на практике и понять как все работает. Хочу сказать огромное спасибо организаторам за то, что провели такой интересный квест для нас и создали хорошую атмосферу во время игры. 


Отзыв участника. Николай
Возможно моё мнение будет не очень популярно и будет считаться скорее критикой, хотя и постараюсь избегать данного формата.
Буду рассматривать данный, … квест с точки зрения ожиданий и реальности.
На текущий момент схемы по социальной инженерии являют собой чёткую схему, как нужно поступить в той или иной ситуации, чтобы обмануть человекаорганизацию, чтобы получить желаемое. Логично, что обмануть человека, который будет ожидать подвоха почти нереально. Можно было попробовать показать популярные схемы, которые бесплатно висят на русском сегменте тора. Такое мало кто видел и всем было бы очень интересно. Как? Даёте конкретные входные данные и возможность попробовать конкретному кол-ву человек от команды с вероятностью успеха и неудачи, чтобы от его умения общаться действительно зависел успех. Что-то такое было, когда нужно было подольше повисеть на телефоне или заспамить текстовыми запросами. Схем ну очень много, чесслово, сам читал некоторые. Безусловно, можно упростить и не использовать чёрные, чтобы потом соблазна не было.
В остальном, очень динамично и здорово, особенно для людей, у которых в институте образование нацелено исключительно на теорию.







По вопросам проведения квестов и сотрудничества можно обращаться к Вячеславу Золотареву: https://vk.com/id31975904 или ко мне непосредственно.

Впереди ожидают очереди посты:

·         Отчет с семинара RISC про аттестацию (видео);
·         Обзор измененного Приказа ФСТЭК № 17;
·         Квест по ИБ от 26.04.2017.

Следите за обновлениями! https://vk.com/kshudrova

comments powered by Disqus