UNICORN NEWS
74 subscribers
94 photos
3 videos
3 files
7 links
С заботой о вашем психическом здоровье

Канал цтф-команды из вуза, имя которого нельзя называть

Мероприятия:
Сириус 2019
Kuban CTF 2019
Urban.Tech Moscow
Зимняя школа ИТМО
VKA CTF`2020
Летняя Школа

Тэги:
#UnicornDevUTM - Urban.Tech Moscow
Download Telegram
to view and join the conversation
Если внутри крупных банков есть крупные подразделения, которые занимаются ИБ, то зачем нам нужны нужные пентестеры?
Илья: Причина - мы знаем примерно, где наши слабые места, но можем не догадываться о существовании других слабых мест.
Халитов: Также замыливается взгляд, когда делаешь одно и то же. Также немаловажно забывать о выделяемом бюджете.
Разнообразие команд пентестеров - это хорошо. В принципе, если бюджеты позволяют, то классно пригласить кого-нить извне. Бюджет не позволяет - посмотреть в сторону развития внутренней команды ИБ.

Сможет ли заменить автоматическая коробка пентестеров? Скорее всего нет, так как такая коробка найдет 80% уязвимостей, не найдя сложные кейсы. Коробочные решения будут появляться то тут, то там, но они будут покрывать только точечные кейсы. О нейронках: они трудноприменимы для общего использования, к тому же сложна в отладке: никто не знает, как она приняла решение. Но коробки смогут уменьшить количество людей, вовлеченных в процесс пентеста.
Братва дорвалась до спорта.
Nya?
Forwarded from SpeedRun Кибервызова 2.0 (f8cf7194eb53f512b56990ef7a460a83 Look at Sky)
Часть информации с лекции + немного Соларовского TI

Типы инцидентов:

* Фишинг (на него приходится 78% всех уязвимостей). Типы - заряженные письма, watering hole (компрометация популярного сайта, на который часто ходят сотрудники целевой организации).

История со взломом сайта Ammyy Admin, в ПО которого добавили кейлоггер и бэкдор.

* Фрод
К фроду относится фишинг, скимминг, кардинг.

Фрод расшифровывается как "получение активов с помощью использования доверия + обмана"

Атакуется клиент банка.

Существуют антифрод системы, которые опираются на типичный профиль клиента, девиации блокируются банком.

* Атаки на ДБО

Суть: можно подобрать логин-пароль от веб-мордочек ЛК.

* Взлом удаленных доступов

Стало особенно актуально с массовым переходом на удаленку.

* Внедрение шифровальщика

* Майнеры

* Компрометация банковского ПО
-АРМ КБР. Транзакции отправляются пачкой. Есть сервер УТА, на котором хранятся транзакции в незащищенном виде. Подмена происходит на пути от АРМ КБР (там они уже защищены и подписаны), поэтому атакуется УТА или канал между УТА и АРМ КБР.

* Заражение POS-терминала

---

К чему приводит инцидент:
- кража денежных средств
- падение престижа финансовой организации
- уничтожение критической информации (например, о выданных кредитах)
- утечка персональных данных
- нарушение бизнес-процессов

---

SOC - группа специалистов ИБ, осуществляющие мониторинг вверенной им инфры в онлайн-режиме.

Тема внешнего сока выстрелила, несмотря на возможное предвзятое отношение.

Внешний сок имеет много преимуществ, в основном в плане стоимости владения: не нужен обученный штат, готовый мониторить инфру 24/7 и умеющий все эти мониторинговые и форензяшные штуки.


Согласно слайду,

SOC - это вершина зрелости ИБ в компании.
Его построенте возможно при:
- наличии прочного фундамента из устоявшихся политик ИБ, процессов
- внедрении SIEM-системы
- Настройке оптимальной конфигурации SIEM-системы
- внедрение SLA и регламентов
- автоматизации процесса мониторинга


Это всё сложно, поэтому проще отдать на аутсорс. Кстати, такой опыт не специфичен для России, есть и англоязычные статьи на эту тему: https://www.linkbynet.com/outsourced-soc-vs-internal-soc-how-to-choose

---

События SOC - это баланс между функционированием и безопасностью.

Также внешний СОК (как минимум Соларовский) отслеживает только определенный оговоренный скоп событий/инцидентов.

8 человек на первой и 5 человек на второй на постоянной основе находятся на смене. У Солара около 30-50 заказчиков на данный момент (это не инсайд?).

НН, Самара, Ростов, Хабаровск, другие города.

Кстати, у Солара 5 линий
- Первая - обрабатывает инциденты в автоматизированных ERP-системах. Заявки открываются, отсматриваются в сиеме, создается отчет об инциденте и отправляется заказчику. Далее действуют заказчики. Это как консультация у врача, только в области ИБ.
- Вторая
- Третья - линия, которая в той или иной степенью начинает работать с администрированием SIEM-системы, которая подкручивает пороги правил.
- Четвертая - аналитика. Подключение заказчика, понимание его инфраструктуры.
- Пятая - REDACTED.

---

Аудит.
Различные источники, с которых собираются события в СИЕМ.
Логи из источников проходят этап нормализации.
Forwarded from SpeedRun Кибервызова 2.0 (f8cf7194eb53f512b56990ef7a460a83 Look at Sky)
Панельная Дискуссия. Изначальная тема: Навыки будущего.

Стикеры:
Егоров Алексей - заместитель руководителя студенческго офиса (единого деканата) в МИФИ. Человек, задающий направление текущей панельной дискуссии.
Игорь Залевский - руководитель отдела расследования в JSOC.
Лашкин Владислав - младший инженер технического расследования в Ростелеком-Солар.
Михаил Климов - руководитель (директор по развитию проекта) Киберполигона.


---

Игорь за этот год увеличил свою команду с 5 человек - до 15.

Игорь в ИБ уже 7 лет.

---

Климов:
Киберполигон создается в рамках Цифровой экономики. Суть - цифровые двойники различных компаний в различных критических отраслях (банки, энергетика, далее будут телекомы, нефть и газ, медицина). Будут созданы четыре учебно-практические центра на базе вузов для тренировки навыков ИБ - УрФУ, Сириус, и еще по вузу в Мск и Спб. Цель - обучение команд Blue Team.

---

Игоря спросили про тенденции в расследованиях:
В настоящее время появляется всё больше кейсов, связанных с мобильными платформами.
Инциденты - это нескучно, ибо драйв, ограниченное время.

---

Владислава привели к выводу, что университеты не предоставляют актуальные знания, они должны давать базис, а всё остальное - дело самих студентов.

---
Forwarded from SpeedRun Кибервызова 2.0 (f8cf7194eb53f512b56990ef7a460a83 Look at Sky)
Климов:
Киберполигон доступен только оффлайн, такова его концепция. Сириусовчане, которые приедут в следующем году, смогут потренироваться в нем.
Киберполигон - это про практические навыки: форензика, пентест, анализ вредоносов, расследование инцидентов.
Какие-то задачи будут приближены к цтф для удобства участников. Для того же реверса в некоторых случаях могут валяться флаги, которые дадут дополнительные баллы. Но вообще КП - это не про цтф, а про тренировку на реальной инфраструктуре. Должно быть интересно всем, так как КП рассчитан на разные уровни знаний.

На провокационный вопрос Егорова про то, можно ли будет прокачать линал на КП, Климов ответил отрицательно. Егоров шутит, что линал нужен, поэтому те, кто хочет его развивать, не стоит выбирать КП в качестве площадки.

В КП есть базовые сценарии, в т.ч. фишинговые рассылки. Социнжа нет, там будет эмитация людей.

<шутка про эмитацию жизни>

Уже готово 12 сценариев, среди которых:
- хищение данных,
- перевод средств с двух счетов,
- шифровальщик,
- DDoS домена,
- несколько сценариев на индустриальном КП (отключение электричествао, короткое замыкание, нарушение режима мониторинга электросетей).


Климова провокационно спросили насчет того, что на КП был тендер, в котором участвовала только одна компания. За госсчет. То есть это будет что-то типа стэндофа, с теми же падающими самолетами, взрывающимися заводами, но только за деньги налогоплательщиков. И будет ли это банкетом за наш счет, в который нас обяжут играть.

Егоров ответил, что это кухонная политика с обсуждением коррупции, и он не верит, что студентов обяжут участвовать в этом.


Шапошников отметил, что такого рода проектов, как Киберполигон, много, часть из них проводятся в приватном режиме. Да и не так много компаний хотят участвовать в таких публичных движухах.

---
Forwarded from SpeedRun Кибервызова 2.0 (f8cf7194eb53f512b56990ef7a460a83 Look at Sky)
*пятиминутка про нечто постквантовое*

*Спутниковый сигнал, который проникает в спальню, и нас контроллирует.*

Игорь поделился мнением, что стутниковый интернет - история про всеобщий контроль.


---

От каких вызовов будущих технологий придется готовить защиту?
Игорь говорит, что сторона BlueTeam на текущий момент не имет мер противодействия злоумышленникам, которые будут использовать ИИ, и соответственно их поймать не смогут.

Егоов предположил, что главный следующий шаг - появление ИИ и статистических моделей как атакующего игрока на рынке. ИИ, обучающийся на поведении хакера по логам. Дальнейший интересный шаг развития - ИИ-BlueTeam.

---

Игорь, о постквантовой криптографии: "Говорить о безопасности того, чего на данный момент нет, не имеет смысла."

Игорь связывает будущий общедоступный спутниковый интернет со всеобщим контролем, государственным покрытием вверенной территории, отключением заинтересованными силами - целых государств от сети.


Егоров вспомнил о существовании Владислава и задал ему вопрос про романтизм в будущем виде ИБ.
Влад: Новые технологии, которые ожидаются в определенном будущем, потрогать стоит, если это сфера интересов конкретного студента.
Егоров: У нас слишком много раз звучит слово "потрогать".
Влад: "Повзаимодействовать" с этим (в контексте спутников, постквантовой крипты) можно, но сложно. В программах вузов такие вещи в качестве предметов - не должны быть. Да и пока это мало нужно, так как практического применения нет. Наверно полезно иметь общее представление об этом, но без глубокого внедрения в тему.
Forwarded from SpeedRun Кибервызова 2.0 (f8cf7194eb53f512b56990ef7a460a83 Look at Sky)
Егоров спросил про присутствие нового в КП.
Михаил: пока технологии не разовьются и не будут использоваться в типовых компаниях, они не будут присутствовать в КП.
Егоров: Любая угроза из будущего будет связана с тем, что BlueTeam не будет готов с этим.
Михаил: Такого рода темы - слишком большой хайп, очень завышенные ожидания, люди думают, что ИИ скоро будет достаточно могущественным, квантовые компьютеры вот-вот будут массовыми, - но это всё неправда. В свою очередь, ИБ почувствует, когда такого рода технологии начнут использоваться, и подготовит соответствующие меры.

Из зала задали вопрос, угодный Егорову, про новый быстрый алгоритм факторизации RSA, позволяющий ломать крипту быстрее, чем через NP: что думают об этом эксперты и стоит ли обращать студентам на это внимание.
Игорь: я не являюсь экспертом в криптографии, но моё мнение - студентам на данном уровне не стоит убиваться этим и лезть в это глубоко. Есть первая половина сообщества, которая на суперкомпьютерах ломают крипту, серьнзно занимается теорией, и вторая, которая подготавливает решения для противостояния злоумышленникам. Стоит заметить, что каждая вторая новость сейчас выходит с заголовком "Вот-вот станет всё плохо, так как ...", но это просто преувеличение, спекуляция, ведь реальность менее плачевна. Пока не будет POC, сообщество не шевельнется, так работает ИБ.
Егоров говорит, что этот вопрос стоит на стыке теоретизированного, линейного, программистского, научного мышления (в его рамках существует таким системы, которые быстро считают) - и организационно-технических мер.


Вопрос из аудитории: Почему спутниковый интернет - это контроль, а не освобождение от контроля тех же сотовых сетей?
Игорь и Егоров подвели разговор к мнению о том, что всё, что становится массовым и доступным, неминуемо будет контроллируемым. У каждой технологии в ИБ есть две стороны - под соусом ДОСТУПНОСТИ вам продают КОНТРОЛЬ, который неизбежен, и он будет использоваться для управления нами.
Егоров считает, что спутниковую связь не стоит считать альтернативой текущим средствам связи. В России запустить спутниковый интернет может только государство, а вот в других странах возможно сотрудничество с Илоном Маском. Интернет - это не децентрализованная структура, она должна находиться под контролем уполномоченных органов.

Егоров - социальные последствия отказа и выхода за границы (имелось ввиду просто про границы дозволенного, про границы, за которыми находится территория, которая неподконтрольна государству) - опасны.

---
Forwarded from SpeedRun Кибервызова 2.0 (f8cf7194eb53f512b56990ef7a460a83 Look at Sky)
Вернувшись к забытой главной теме панельной дискуссии, связанной с компетенциями будущего.
Игорь: Параллельно с развитием в себе технических компетенций, студентам будет полезно смотреть в сторону софтскиллз. У сириусовчан, судя по решаемым или задачам в рамках Кибервызова, на примере сегодняшнего реверса UEFI, с хардскиллами всё хорошо. Но ИБ - не всегда ассемблер и IDA Pro, поэтому для становления хорошими специалистами нам нужно не завывать про коммуникативные навыки. Насчет хардварь-вещей нам всегда подскажут наши старшие коллеги, они нас направят, в этом плане наш профессиональный рост будет диктоваться текущими задачами, решаемыми в рамках работы. Универсальных рецептов, в каком направлении развиваться, просто нет. Игорь надеется, что мы все умем писать код, чтобы автоматизировать рутинные задачи, понимаем аспеты работы различных ОС (в т.ч. мобильных). Студенту нужно учиться тому, что он считает нужным. Если студент изучает реверс, что веб скорее всего вам не понадобится, и наоборот, ведь нужно учить то, что релевантно вашей работе. Просто так взять и назвать золотой список того, что будет востребованно и что должен уметь будуший ИБ-шник, простио нет.. Не надо распыляться, вы будете такими себе безопасниками, будете знать много разрозненных вещей, но ни одну из них - глубоко.

Влад: Поскольку мир ИТ и в частности мир ИБ эволюционирует, самое важное - уметь учиться, т.е. обрабатывать информацию (не учить, а помнить, где найти) и быть на волне трендов, чтобы быть на волне коммерческого рынка (речь не про теоретический рынок). Главное - уметь подстраиваться под текущий обстоятельства, или, что круче, задавать их.

---

Последняя вещь: пожелания студентам.

Игорь и Влад желают студентам отходнуть.

Климов: Главное - это IT-навык, то есть нам нужно уметь понимать различные ОС, сетевые технологии, это пригодится в любом направаленнии как безопаснику. Софтскиллз нужны не для того, чтобы стать не просто безопасником, но успешным безопасником. Нужно уметь в эмпатию, критическое мышление, коммуникативноыне навыки, чтобы уметь донести что-то до руководства. Владение английскиим языком тоже является очень серьезным навыком.
Forwarded from SpeedRun Кибервызова 2.0 (f8cf7194eb53f512b56990ef7a460a83)
Я узнал почерк злоумышленника с трёх движений
Forwarded from CBS Media
⌛️ В прошлом году в Сколово была представлена схема с составом CTF-команды.

Возможно, в идеализированном мире всё было бы так. Но мы-то с вами знаем, что типичный состав команды выглядит совсем иначе.

😏 Ну что, узнали себя? А тиммейтов?
Доброе утро на киберполигоне Сириуса💁🏻‍♀️👩🏻‍💻
Я пыталась сделать красиво, честно)) сириусовский мерч на киберполигоне🥳