ПРАВИЛА КИБЕРБИТВЫ STANDOFF
Всё, что нужно знать участникам
Мы собрали единый документ с правилами для всех участников кибербитвы. Его главная задача — объяснить ключевые принципы, которые важно знать.

Здесь нет описаний заданий или технических моментов, зато есть информация, какие задачи стоят перед разными участниками, как зарабатывать баллы, куда обращаться с вопросами и чего точно не стоит делать, чтобы оставаться пользователем Standoff.
Что ты найдешь в этом документе
Про Standoff 365
О платформе
Standoff 365 — это платформа для всех, кто хочет на практике проверить и улучшить свои навыки в кибербезопасности. В зависимости от своих целей и уровня подготовки участники могут выбрать подходящий продукт.
Виртуальная инфраструктура с реалистичными копиями ИТ-систем из разных отраслей, в которой специалисты по ИБ могут 24/7 тренироваться в тестировании безопасности, выявлении уязвимостей и обнаружении инцидентов.

Онлайн-полигон

Ежегодные международные киберучения, в которых специалисты по ИБ проверяют защищенность компаний из разных отраслей экономики на примере виртуальной инфраструктуры.

Кибербитва

Программы от партнеров платформы с денежными вознаграждениями за найденные уязвимости.



Bug Bounty

Формат участия — онлайн
Формат участия — офлайн и онлайн
Формат участия — онлайн
Для проведения киберучений на платформе разворачиваются сегменты полигона, в которых воссоздаются максимально реалистичные ИТ-системы. Как правило, сегмент — это определенная отрасль экономики или компания, которая ее представляет.
Каждый сегмент может включать один или несколько сервисов, которые регулируют деятельность виртуальной организации внутри отрасли или обеспечивают ее информационную безопасность.

Например:
— инфраструктурные сервисы: почтовый сервер, FTP-сервер, база данных клиентов, система документооборота;
— АСУ ТП: система управления светофорами, ветрогенераторами;
— СЗИ: межсетевой экран.
Для каждой кибербитвы собирается новая подборка сегментов с частично измененными заданиями. Это помогает постоянным участникам получать новые знания и проверять свои навыки в современных реалиях.
Кто может участвовать
Во всех киберучениях есть две ключевые роли.
Атакующие
Они же красные команды, белые хакеры, или red team. Задача атакующих — реализовать как можно больше критических событий и выявить максимум уязвимостей. В ходе всех форматов киберучений красные команды соревнуются между собой.
Они же синие команды, или blue team.
Задача защитников — своевременно выявлять инциденты и расследовать атаки, а в ряде киберучений еще и реагировать на действия атакующих и вводить меры защиты от атак. Синие команды не соревнуются между собой.
Защитники
Все участники
Вне зависимости от роли все участники становятся частью комьюнити Standoff, в котором можно обмениваться опытом, получать актуальные знания в сфере кибербеза и, конечно, круто проводить время.
Это важно знать всем участникам
На платформе Standoff 365 одновременно могут быть сотни исследователей, поэтому при подключении важно позаботиться о собственной безопасности и придерживаться нескольких правил:

  1. Отключать входящий SSH.
  2. Подключаться к платформе через виртуальную машину.
  3. Периодически проверять подключения через команду netstat -antlp.
  4. Отключать VPN-соединение при уходе на перерыв.
Кибербитва Standoff
Кибербитва — это ежегодные международные киберучения, которые проходят на базе платформы Standoff 365. Для кибербитвы мы готовим расширенную инфраструктуру с разными отраслевыми сегментами и собираем лучшие команды защитников и атакующих, чтобы они проверили свои навыки.

Обычно кибербитва длится четыре дня с перерывами на ночь и может проходить в трех форматах.
  • Офлайн

    Все команды собираются на офлайн-мероприятии. При таком формате помимо самой кибрербитвы участников ждет нетворкинг и веселое афтепати

  • Онлайн

    Команды могут участвовать в киберучениях из любой точки мира

  • Смешанный формат

    Часть участников приезжает на мероприятие, часть участвует удаленно

О формате конкретной кибербитвы мы сообщаем заранее
Что нужно знать атакующим
Задачи атакующих
Главная задача красных команд — первыми реализовать как можно больше критических событий и выявить максимальное количество уязвимостей. Обычно атакующие получают доступ к заданиям только в ходе мероприятия, однако в некоторых случаях мы публикуем их заранее.
  • Реализация критических событий
    Для каждой кибербитвы мы готовим список критических событий, которые могут реализовать атакующие в разных сегментах. Например, нарушить работу светофорной системы, отравить воду хлором или столкнуть поезда
  • Нахождение уязвимостей

    В каждом сегменте есть список уязвимостей, за выявление которых также можно заработать баллы

На онлайн-полигоне можно атаковать сервисы только по определенным адресам, которые предоставляют организаторы. Атаки на другие адреса не учитываются при начислении баллов и могут привести к штрафу или запрету на участие в киберучениях.
Как заработать баллы
В карточке каждого задания будет указано:

  1. Описание события или уязвимости.
  2. Задание.
  3. Количество баллов за реализацию.

Пример задания по реализации критического события во время кибербитвы.
Описание задания
Описание критического события
Баллы за реализацию критических событий
Чтобы заработать баллы за реализацию критического события, нужно сдать отчет о реализации критического события на платформе Standoff.
Что нужно сделать
Критическое событие

Например, остановка работы паровой турбины, утечка конфиденциальных данных, кража средств со счетов банка, сход поезда с рельсов
Как заработать баллы
  1. Реализовать событие согласно заданию и внутри инфраструктуры полигона.
  2. Заполнить отчет о реализации критического события. В отчете нужно пошагово описать действия, которые позволили реализовать критическое событие
О том, как правильно заполнять отчеты, читай в нашем гайде.

Все отчеты проверяются вручную. После сдачи отчета дальнейший ход событий будет зависеть от качества и правильности заполнения отчета.
Нет замечаний


Количество исправлений: 0.

Отчет: принимается без корректировок.

Баллы: начисляются согласно очередности реализации события
Нужны небольшие корректировки или уточнения
Количество исправлений: ≤ 3 полям.

Отчет: отправляется на доработку с комментариями организаторов. Исправления лучше внести в шаги отчета.

Баллы: закрепляются согласно очередности реализации события в момент первой сдачи отчета и начисляются после исправления недостатков.

Пример: команда Х первой реализовала событие, но жюри оставило комментарии по двум полям. Команда получит баллы как за первую реализацию сразу после сдачи скорректированного отчета
Нужны существенные доработки

Количество исправлений: > 3 полям.

Отчет: отклоняется организаторами. Команда может сдать отчет повторно после исправления всех замечаний.

Баллы: не начисляются, пока не будет сдан исправленный отчет. После исправления баллы будут начислены исходя из очередности реализации события в момент сдачи правильного отчета.

Пример: команда Х первой реализовала событие, но жюри не приняло отчет. Пока команда вносила правки, две другие команды успешно сдали отчеты.

После сдачи исправленного отчета команда Х получит баллы в соответствии с третьей очередью реализации
Чем выше уровень сложности задания, тем больше баллов можно получить. Расчет баллов динамический: участник или команда, реализовавшие критическое событие первыми, получают максимальный балл, каждая последующая реализация события другими участниками приносит на 15% меньше.

Количество баллов уменьшается до тех пор, пока не достигнет 40% от значения в задании. Теперь все последующие участники, реализовавшие это событие, получают не больше этого количества баллов.

Пример расчета баллов исходя из очередности реализации
Баллы за найденные уязвимости
Чтобы заработать баллы за уязвимость, нужно сдать отчет об уязвимости или флаг — набор символов, который необходимо найти в анализируемой информационной системе. Что именно нужно сдавать — зависит от расположения узла.

Жюри принимает отчеты только об определенных типах уязвимостей.
LPE
(локальное повышение привилегий до root или administrator)
RCE
(удаленное выполнение кода)
SQLi
(внедрение SQL-кода)
Path Traversal
(обход каталога)
SSRF
(подмена запросов на стороне сервера)
XXE
(внедрение внешних сущностей XML)
Как заработать баллы за уязвимости
Gate

Расположение

Path Traversal, SSRF, SQLi, RCE и LPE

Тип уязвимости

  1. Выявить уязвимость.
  2. Сдать флаг.

Способ получения флага зависит от типа уязвимости:
— Path Traversal: получите содержимое файла /etc/pt.flag;
— SSRF: обратитесь по внутреннему адресу на порт 9732 (http://127.0.0.1:9732);
— SQLi: получите содержимое ячейки flag из таблицы secret;
— RCE: выполните скрипт /home/rceflag;
— LPE: выполните скрипт /home/lpeflag

Как заработать баллы

  1. Выявить уязвимость.
  2. Сдать отчет об уязвимости. В отчете нужно указать:
— тип уязвимости;
— систему, в которой она была найдена;
— пример эксплуатации уязвимости;
— в зависимости от типа уязвимости: получить баннер с версией СУБД, прочитать локальный файл, отправить произвольный HTTP-запрос или показать вывод команд ipconfig/ifconfig, whoami или id.
Path Traversal, XXE, SSRF, SQLi, RCE и LPE

DMZ и далее
Пример расчета баллов
Чтобы повысить шансы на получение баллов, при сдаче флага или отчета об уязвимости учитывайте следующее:

  1. Root-права должны быть получены в основной системе, а не в контейнере. В отчете необходимо предоставить вывод /etc/shadow.
  2. Один способ реализации LPE на Windows можно сдать только один раз в рамках одного сегмента полигона. Если найден другой способ, его можно сдать в рамках того же сегмента.
  3. Одинаковые классы уязвимостей, но в разных параметрах, на одном узле являются дубликатами.
  4. Баллы за уязвимости на Gate-узлах выдаются при сдаче флага. Отчеты по ним не принимаются и будут отклоняться.
  5. За уязвимости, проверяемые жюри, можно получить до 1500 баллов на узел.
  6. За уязвимости с автоматической проверкой можно получить не более 500 баллов.
Что делать, если нужна помощь
Чтобы получить техническую поддержку, напиши в наш телеграм-бот для атакующих. Специалисты техподдержки отвечают только через такие заявки.

Обрати внимание, что в контексте векторов атак специалисты отвечают только на вопросы об их работоспособности.
Что нельзя делать во время кибербитвы
При поиске уязвимостей и реализации критических событий у красных команд есть ряд ограничений. В случае нарушения правил команда может получить штраф или лишиться возможности участвовать в битве.
  1. Атаковать платформу
  • Взламывать платформу Standoff 365.
  • Атаковать и выводить из строя средства защиты информации в инфраструктуре онлайн-полигона.
  • Атаковать сервисы, расположенные за пределами инфраструктуры, предоставленной организаторами.

2. Атаковать сотрудников и организаторов

  • Пытаться получить доступ к служебным учетным записям.
  • Проводить фишинговые атаки на сотрудников Positive Technologies.
  • Реализовывать DoS- и DDoS-атаки на службы, сервисы и приложения инфраструктуры полигона.
  • Менять служебные пароли в сервисах и приложениях инфраструктуры онлайн-полигона.

3. Применять аппаратные средства к макету
  • Подключаться к макету аппаратными средствами.
  • Выводить из строя аппаратное обеспечение макета.

4. Указывать ложную информацию
  • Выдавать отчет другой команды за свой.
  • Указывать заведомо ложную информацию в отчете.

5. Вносить изменения в платформу или онлайн-полигон
  • Исправлять заложенные организаторами уязвимости.
  • Вносить изменения в платформу или онлайн-полигон.

6. Генерировать флаги и передавать их соперникам

7. Применять метод «царь горы»
  • Занимать или блокировать ресурсы другой команды, чтобы помешать получить к ним доступ.
  • Создавать условия, при которых другие команды не могут атаковать или защищать свои ресурсы.
  • Вмешиваться в трафик другой команды для предотвращения атак или защиты инфраструктуры без непосредственного взаимодействия с уязвимостями.
  • Блокировать попытки эксплуатации уязвимостей другими участниками.
Если атакующим удалось проникнуть на узел SCADA-системы, нужно сообщить об этом в чате с организаторами. Таким образом, если несколько команд почти одновременно проникнут на один и тот же узел, организаторы помогут участникам выстроить очередь, выделив по 1−1,5 часа на команду.

8. Грубить, проявлять неуважение
  • Хамить организаторам и другим участникам.
  • Спамить в техподдержку.
  • Настойчиво спорить с принятыми решениями.

9. Быть участником команды, будучи сотрудником Positive Technologies
Сотрудники Positive Technologies не должны принимать участие в кибербитве Standoff, в том числе по приглашению капитанов.

10. Создавать твинки: аккаунты или целые команды
  • Создавать новые команды с твинк-аккаунтов.
  • Присоединяться к другим командам с твинк-аккаунтов.

11. Участвовать командой численностью более 10 человек
Штрафы за нарушения
В случае несогласия со штрафом или дисквалификацией капитан команды может подать апелляцию один раз за игровой день. Порядок и формат подачи можно уточнить в чате с организаторами. В ходе апелляции капитану нужно доказать, что нарушений со стороны команды не было.
Что нужно знать защитникам
Подготовка и подключение
Примерно за месяц до кибербитвы команды защитников получают доступ к инфраструктуре для ознакомления. Чтобы получить доступ к онлайн-полигону, капитану команды нужно написать организаторам и попросить предоставить OpenVPN-конфигурацию.

Команде предоставляются:

  1. Конфигурационные файлы.
  2. Данные учетных записей для подключения.
  3. Сканер уязвимостей для ознакомления с инфраструктурой. Учетные записи объектов инфраструктуры для запуска инвентаризации и сканирования защитникам выдают организаторы. Команда может использовать любой другой сканер уязвимостей, но в таком случае нужно установить его самостоятельно.
  4. Другая информация, необходимая для участия.

После ознакомления с полигоном команда предоставляет организаторам список средств защиты, которые она планирует использовать, а также схему их размещения. В общем случае команды ограничены следующими классами средств защиты.
SIEM

(MaxPatrol SIEM)

NTA

(PT Network Attack Discovery)

Sandbox

(PT Multiscanner или PT Sandbox)

WAF

(PT Application Firewall Pro)

Industrial NTA

(PT Industrial Security Incident Manager)

Использование других средств защиты согласовывается с организаторами отдельно.
Как оценивается работа защитников
Основные цели защитников — обнаружение и расследование инцидентов, вызванных действиями атакующих. Для оценки действий команд учитывается количество обнаруженных инцидентов и среднее время расследования одной атаки.

В ходе киберучений команды защитников привязываются к конкретной отрасли, в которой им предстоит выявлять и расследовать атаки. Информация о результатах команды публикуется на сайте кибербитвы и на платформе Standoff 365.

Например, вот так выглядели результаты защитников во время кибербитвы Standoff 12.
Результаты команд защиты по итогам кибербитвы Standoff 12
Количество обнаруженных инцидентов
В процессе киберучений защитники могут сдавать отчеты о выявленных инцидентах. Мы составили гайд, который поможет командам защиты понять, как правильно заполнять отчеты.

Все отчеты защитников проверяют и оценивают организаторы. Если в отчете недостаточно информации, организаторы не принимают отчет и оставляют соответствующий комментарий. После корректировки отчет можно сдать повторно.
Среднее время расследования атаки
После того как организаторы примут отчет о реализации критического события от атакующих, эта информация становится доступной защитникам.

Задачи защитников — расследовать это событие и сдать отчет. На портале появляется таймер, который ведет отсчет времени с момента начала расследования.

Все отчеты оцениваются командой жюри. Если в отчете недостаточно информации о действиях атакующих, отчет не принимается, а на портале появляется специальная отметка. По оставленному организаторами комментарию защитники могут провести дополнительное расследование, доработать отчет и повторно отправить его на проверку.

После того как организаторы приняли от команды защитников отчет о расследовании реализации критического события, фиксируется время, за которое расследование было выполнено. При этом время, когда отчет находился на проверке у организаторов, не учитывается.

Так выглядит схема для расчета среднего времени расследования.
Для наглядности мы собрали таблицу с типами отчетов, которые нужно сдавать защитникам.

Реагирование на атаки
В некоторых кибербитвах есть возможность участвовать в режиме реагирования. В этом случае, помимо выявления инцидентов и расследования атак, защитники также могут пресекать действия атакующих. Для этого они могут использовать следующие инструменты.
  • MaxPatrol EDR

    (в качестве конечного инструмента защиты)

  • PT Application Firewall

    (для защиты веб-приложений с помощью точечных правил блокировки)

У защитников есть возможность временно блокировать узлы инфраструктуры, а также учетные записи. Время блокировки определяется условиями кибербитвы, обычно оно составляет не больше 15 минут. Такое ограничение нужно, чтобы команды атакующих могли дальше развивать свои атаки и реализовывать критические события.

При участии в режиме реагирования помимо информации об обнаруженных инцидентах у защитников будет дополнительный показатель предотвращенных инцидентов.
Результаты команд защиты по итогам кибербитвы Standoff 12
Что делать, если нужна помощь
Чтобы получить техническую поддержку, напиши в специальный телеграм-бот для защитников. Обрати внимание, что специалисты техподдержки отвечают только через такие заявки.
Глоссарий
О продуктах
О киберучениях
И напоследок…
Мы постарались сделать правила максимально понятными для всех участников. Если ты не первый раз участвуешь в наших киберучениях, ты знаешь, что раньше правила выглядели иначе.

Для нас будет очень важно, если ты пришлешь обратную связь об этом документе на почту hello@standoff365.com. Расскажи, насколько тебе понятны правила, что понравилось, а что можно доработать, нужно ли что-то добавить. Это поможет нам сделать документ еще удобнее.

Если же тебе нужно получить какую-то информацию — мы на связи:
— по любым вопросам о киберучениях — на hello@standoff365.com или в нашем телеграм-канале;
— по техническим вопросам — на support@standoff365.com.


До встречи на киберучениях!
Команда Standoff