Организатором соревнований выступил Национальный киберполигон «Ростелеком-Солар», а все команды работали распределенно. Перед участниками стояла задача предотвратить атаку на крупную электроподстанцию и избежать блэкаута во всем городе.
Соревнование состояло из трех этапов: сначала командам нужно было обнаружить вредоносные программы, которые угрожали критичным системам компании. Участники должны были полностью восстановить действия атакующего от момента его проникновения в сеть до финального нанесения ущерба. На втором этапе команды готовили отчет о том, что именно сделал злоумышленник, какие индикаторы в работе систем указывают на действие вредоносного кода и какие меры должны быть предприняты, чтобы ликвидировать последствия хакерской атаки и не допустить её повторение. Наконец, на третьем этапе специалисты по кибербезопасности реализовывали эти меры и в реальном времени следили, насколько они были достаточными.
В качестве кейса был использован так называемый «цифровой двойник», имитирующий реальную инфраструктуру энергетической компании. Точно так же реалистично были воссозданы и сами атаки — вместе со всеми действиями, которые совершает злоумышленник.
Среди тех, кто смог на 100% решить поставленные задачи — студенты и аспиранты факультета безопасности информационных технологий ИТМО. Причем студенты (Куам Вагья Жан Даниэль и Нгуен Ван Чуен (Jean Daniel Kouam Waguia и Van Chuyen Nguyen) участвовали в подобном соревновании впервые, но выступили на таком же высоком уровне, как и профессионалы из крупных международных security-компаний (в частности, Казахстанского центра анализа и расследования кибератак, а также Белорусского национального центра реагирования на компьютерные инциденты).
Возглавили команду из ИТМО аспиранты факультета БИТ Артем Павлов и Георгий Геннадьев — многократные чемпионы соревнований по кибербезопасности CTF, а также всероссийских и международных олимпиад. Команда «ITMO)))», в которой состоят оба участника, совсем недавно выиграла олимпиаду среди студентов вузов Северо-Западного федерального округа, и уже осенью отправится на всероссийские киберучения.
Ещё один участник команды, Ранд Дееб (Rand Deeb), также регулярно участвует в соревнованиях по кибербезопасности — в прошлом году он занял первое место в сирийском национальном чемпионате CTF.
Как рассказывает Артем Павлов, поставленные организаторами задачи были достаточно сложными. Однако такой опыт дает возможность студентам понять, как работать с крупной инфраструктурой:
«Как правило, у компаний большая инфраструктура, в которой одновременно происходит очень много событий. Все они попадают в те SIEM-системы, с которыми мы работаем. Не имея представления о том, как проходит атака, довольно трудно из происходящих там двухсот тысяч событий найти и отобрать несколько десятков ― тех, которые относятся к атаке, а не к нормальному функционированию системы. Это сложная задача, но мы хорошо поработали командой и смогли как восстановить последовательность атаки злоумышленника, так и внедрить достаточные меры. Нам повезло, что в нашей команде были как опытные специалисты, так и бакалавры и магистры — очень заинтересованные и активные. И для них это был очень полезный опыт работы с такими продвинутыми системами защиты, с которыми иначе они бы как студенты не могли столкнуться», — комментирует аспирант факультета безопасности информационных технологий ИТМО Артем Павлов.