Автор: Роман Кобцев, директор по развитию бизнеса компании «Перспективный мониторинг»

Как только мы объявили, что будем участвовать в «Противостоянии» на Positive Hack Days, на нас посыпались вопросы: «А зачем?», «А не боитесь?», «А что вы там будете делать?». Эта заметка — небольшой своеобразный FAQ на эту тему.

А зачем?

Если ты оказываешь услуги Центра мониторинга информационной безопасности, то игнорировать одно из главных событий отрасли просто нельзя. Тем более, что организаторы «Противостояния» даже придумали специальные задачи для SOC'ов. И в этом действительно есть определённый вызов — если ты коммерческий SOC, то выйди и докажи, чего ты стоишь. Если ты готов предлагать экспертизу и ресурсы заказчикам, то готов ли ты сделать это публично? Как сказал Маугли: «Мы принимаем бой!».

Участие в PHDays — отличный повод продемонстрировать и проверить собственные силы, повысить технологическую готовность, в «боевом» режиме определить, какие векторы атак мы, возможно, упускаем из виду.
Ещё одна задача — собрать как можно больше данных о трафике в инфраструктуре, посмотреть, какие события предшествуют реальным атакам и что происходит непосредственно во время и после атаки. Благодаря этому мы надеемся пополнить базу правил AM Rules для Snort IDS.

Ну и не совсем явная, на первый взгляд, задача — развлечься, окунуться в атмосферу и почувствовать дух соревнования, пообщаться с увлечёнными профессионалами. Нам предстоит провести 30 часов в постоянном напряжении за мониторингом и реагированием на угрозы, так почему бы и не получить от этого удовольствие?

Не боитесь?

Это не то чтобы страх. Скорее, сосредоточенность и собранность. Всё-таки это первое наше участие в «Противостоянии», и мы будем наблюдать за работой лучших white-hat хакеров. Но с другой стороны, мы успешно выявляем атаки на крупные организации, у нас на мониторинге 12 000 узлов, на площадке будут работать самые опытные сотрудники, поэтому мы справимся и обязательно научимся чему-то новому.

Что вы будете делать?

На площадке на всё время конкурса у нас всегда будут люди из Центра мониторинга, мы даже уже прикинули смены из 3-4 человек. Стандартная команда: админ, эксперт-исследователь, аналитик и пентестер. Сотрудники ночной смены дополнительно усиливаются кофе, энергетиками (+10 к Восприятию) и бутербродами (+5 к Интеллекту).

Кроме людей непосредственно на площадке, участвовать в «Противостоянии» будет дежурная смена Центра мониторинга, к которому мы подключим все сенсоры и аналитическую систему. Если людям в зале понадобится помощь, они её всегда получат из нашего офиса.

Хакеры, конечно, будут атаковать все сегменты, которые будут в инфраструктуре города, но основные усилия будут направлены на Телеком и Офис, т.к. их протоколы и сервисы больше известны, чем в производственном сегменте. Поэтому мы тоже сосредоточимся на Офисе, хотя на плечи SOC’ов ляжет задача следить за всем «городом», так что будем стараться помогать и коллегам из других сегментов.

Также мы ожидаем и сюрпризов от организаторов, они уже заявили, что периодически в инфраструктуре города будут появляться различные уязвимые сервисы. Нам придётся тщательно следить за появлением таких «сюрпризов» и своевременно на них реагировать.

Поскольку «Противостояние» — это игра, нельзя исключать и различного взаимодействия защитников и атакующих, потому что очень многие на площадке будут знакомы лично. Всё-таки это такая довольно ограниченная по количеству участников «тусовка».

Мы очень надеемся, что мероприятие получится динамичным, привлекающим внимание, и что все участники надолго его запомнят.