СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Интервью
CISOCLUB
10 апреля
#Dev#ИБ#ИИ

T-Банк про CTF: обучение, вызов и вклад в ИБ-комьюнити

T-Банк про CTF: обучение, вызов и вклад в ИБ-комьюнити

Т-Банк проведет ежегодное соревнование по компьютерной безопасности T-CTF. Участниками могут стать специалисты в сфере информационной безопасности, разработчики, SRE- и QA-инженеры, аналитики и другие ИТ-специалисты. Соревнование T-CTF проводится с 2023 года и содержит задания на веб-безопасность, безопасность приложений и инфраструктуры, криптографию, общий кругозор и смекалку. В этом году мероприятие пройдет 19 и 20 апреля онлайн и офлайн в шести городах России, где расположены ИТ-хабы Т-Банка.

В преддверии ежегодного соревнования по кибербезопасности T-CTF мы пообщались с Антоном Трифоновым, руководителем отдела анализа защищенности T-Банка. Он рассказал, зачем бизнесу собственные CTF, как сделать задания интересными и полезными одновременно, какие задачи запоминаются участникам, как CTF помогает в реальной защите инфраструктуры и каким может стать формат в будущем. Читайте в интервью.

Т-Банк третий год подряд проводит соревнования по кибербезопасности T-CTF. Почему многие крупные компании заинтересованы в проведении собственных CTF, хотя это требует огромных затрат сил и ресурсов?

Это одновременно и вклад в комьюнити, и привлечение внимания к теме информационной безопасности с последующим обучением. Мы в этом году будем проводить отдельные мастер-классы по разбору задач, чтобы обучать ребят. Например, одна из задач — дать пощупать в игровом формате безопасность людям, которые этим аспектом раньше не сильно увлекались. Мы вносим таким образом вклад в развитие культуры безопасности в России. Также T-CTF — это дополнительная площадка для нетворкинга и обмена опытом и идеями, причем мы не сфокусированы на какой-то отдельной профессии в сфере ИТ, а зовем к участию абсолютно всех, кто работает в индустрии. А для опытных ребят в ИБ это дополнительная возможность почелленджить свои навыки и узнать что-то новое.

Что нужно учитывать, чтобы CTF был интересен и новичкам, и опытным «ветеранам» ИБ одновременно?

Разные уровни сложности заданий, разные классы и типы заданий. Для привлечения опытных экспертов важно следить за актуальностью и трендами в теме ИБ. Хороший CTF должен быть не только интересным, но и полезным для профессионального развития.

Для новичков же нужны легкие и подводящие задания. Не помешают мастер-классы и обучающие материалы, полезной будет возможность пообщаться с экспертами и опытными игроками. И мы учли это в T-CTF. У нас есть две лиги с разной сложностью заданий: для новичков и для опытных. Мы стараемся придумывать задания на основе актуальных атак и потенциально возможных уязвимостей. В одном из тасков будет уязвимость, очень похожая на ту, что нам принесли недавно через программу Bug Bounty. У нас будут онлайн- и офлайн-разборы нескольких тасков с прошлых T-CTF, чтобы познакомить людей с механикой и объяснить, что именно от них потребуется.

Какие задачи или сценарии запоминаются участникам и почему?

Обычно запоминаются задачи с нестандартным или элегантным решением, которое требует больше узнать о поведении инструментов и сервисов или о каких-то нюансах технологии, особенно если идет речь о чем-то широко распространенном. Часто для решения классных тасков приходится проводить мини-ресерч или придумывать какие-то нестандартные техники эксплуатации.

Наше соревнование в целом из года в год построено на мемах и поп-культуре. В этом году мы придумали вселенную города Капибаровска, где все основано на современных технологиях. И вот задания будут переложены на эту вселенную. Там будет и свой капибанк, и футбольная команда «Капибарса», и капибары, и многое другое. Все, чем живет реальный город, только адаптированное под легенду T-CTF.

Как при подготовке заданий для CTF определить грань между реалистичностью сценария и игровым интересом?

В любом случае при создании задачи будут условности, как минимум потому, что ты точно знаешь, что там есть уязвимость, у тебя довольно ограниченный скоуп для исследования и ограничено время, которое можно на решение таска потратить. Какого-то универсального рецепта, кажется, нет, и нужный баланс может смещаться в зависимости от цели и формата ивента, но желательно все равно оглядываться на то, встречалось ли что-то подобное в жизни, и экспертно оценивать, насколько условия в таске имеют шанс встретиться в боевом приложении или инфраструктуре.

Вообще, при создании таска следует учитывать одно из главных правил: участник не должен гадать, как решать таск и что было в голове у создателя. До ответа всегда должно быть можно дойти с помощью логики, знаний о технологии/стеке и стандартных приемов разведки. Например, если задание предусматривает какую-то client side атаку, стоит как-то намекнуть, что есть какой-то бот, который может переходить по ссылкам или посещать сайт, эмулируя действия пользователя.

Насколько навыки, которые приобретаются на CTF, можно перенести в реальную защиту инфраструктуры банка или другой организации?

Хотя наш формат Jeopardy (формат, где игрокам предоставляется набор заданий, тасков, к которым требуется найти ответ) предполагает в основном атакующие действия, понимание того, как мыслит атакующий, помогает лучше оценивать риски и лучше приоритизировать задачи защиты реальной инфраструктуры и реальных приложений. К тому же при решении CTF хорошо развивается технический кругозор, появляется практическая мотивация повзаимодействовать с технологиями, с которыми, может, участник еще не сталкивался. Все это найдет отражение в реальных задачах и реальной архитектуре безопасности разных компаний.

А что важнее для победы на CTF: технические навыки, нестандартное мышление или командная работа?

Сильно зависит от формата CTF. Наш рассчитан на то, что в нем можно участвовать индивидуально, и разрешенная численность команд небольшая, так что на первый план выходят технические навыки и скорость мышления, а не командные навыки и сыгранность.

Если же говорить о каких-нибудь форматах attack-defense (соревнование в реальном времени, где командам нужно соревноваться друг с другом, атакуя и защищая сервисы) или больших командных CTF, то без распределения ролей, командной сыгранности и выстроенных командных коммуникаций победить не получится, несмотря на крутые личные технические скиллы членов команды.

Бывают случаи, когда на соревнованиях участники случайно находят уязвимости, которые не закладывали специально?

Такое бывает, иногда находится совсем непредвиденный путь решения таска, но далеко не всегда это ведет к упрощению задания. Бывает, что во время проведения CTF может опубликоваться новая CVE с PoC в каком-нибудь сервисе, используемом в задаче, что позволяет очень легко и просто решить какой-то сложный таск.

Каким станет формат CTF в будущем, чтобы он продолжал привлекать внимание специалистов по ИБ, учитывая скорость развития технологий и постоянную нехватку времени у профессионалов?

CTF и про развлечение, и про обучение. Думаю, что как формат соревнований он останется. Будут добавляться и исчезать типы заданий, но с точки зрения участников, скорее всего, в ближайшее время мало что поменяется. Но в воздухе сейчас витают мысли об автоматической генерации идей и реализации тасков с помощью ИИ. Мы все чаще думаем именно в эту сторону.

Регистрация на T-CTF открыта до 18 апреля. Зарегистрироваться можно по ссылке.

CISOCLUB
Автор: CISOCLUB
Редакция CISOCLUB. Официальный аккаунт. CISOCLUB - информационный портал и профессиональное сообщество специалистов по информационной безопасности.
Комментарии: