Глобальный SOC на The Standoff 2020: всевидящее око

Мы, я имею в виду экспертный центр безопасности Positive Technologies, традиционно участвуем в противостоянии The Standoff уже несколько лет — с 2018-го, когда оно было частью Positive Hack Days. В первый год мы следили за игровыми трендами и событиями, используя SIEM-систему (MaxPatrol SIEM), наше решение для анализа сетевого трафика (PT Network Attack Discovery) и многоуровневую систему выявления и блокировки вредоносного контента (PT MultiScanner). Наша задача состояла в том, чтобы изучить активность участников мероприятия, отследить тактики и инструментарий, ими используемый, и, конечно же, поработать со своими продуктами при повышенной нагрузке. Во время подобных мероприятий наши инструменты используются на полную мощность (и даже еще немного больше): в 2018 году мы двое суток следили за 12 командами, MaxPatrol SIEM «пережевывал» 20 000 EPS, PT Network Attack Discovery переработал более 3 ТБ сетевого трафика, а наша команда определяла успешные атаки, искала следы компрометации (веб-шеллы, удаленные консоли, авторизацию на узлах и проч.), а накопленные знания в дальнейшем в числе прочего легли в основу обновлений наших продуктов.

Год спустя мы увеличили количество «глаз» нашего SOC на The Standoff в рамках очередного PHDays: к предыдущим трем добавились еще PT Application Firewall и PT Industrial Security Incident Manager. Это позволило нам получить максимально полную картину противостояния во всех элементах инфраструктуры цифрового мегаполиса. Все длилось также двое суток, но следили мы за бóльшим числом участников (в тот году было уже 18 команд атакующих, шесть команд защитников и три команды SOC), которые вели очень активную деятельность в городской инфраструктуре. В отличие от команд, мы не вмешивались в события на площадке соревнований, а только лишь наблюдали за ними. Ключевая наша задача состояла в том, чтобы продемонстрировать на практике эффективность современных систем для выявления и расследования киберинцидентов. Ну и конечно же — изучить те тактики и техники, которыми пользовались участники, в режиме реального времени, поскольку на The Standoff команды атакующих традиционно используют самые актуальные средства и приемы.

Читать далее

Источник: Хабрахабр

Перейти на сайт

Похожие новости

• Превратили корпоративный блог в медиаплощадку для всего диджитал-рынка и получили 5500 статей за 10 месяцев
• В рейтинг Forbes в 4 года! Рассуждаем о тренде на кидфлюенсеров
• Как придумывать и запоминать пароли для разных сервисов
• Руководство по pgcrypto — шифрование внутри PostgreSQL. Часть 1
• Дайджест ИБ-регулирования. Апрель-июнь 2025
• Цикл вебинаров про разработку безопасного программного обеспечения (ГОСТ Р 56939-2024)
• От HackerOne к родным берегам: как меняется российский багхантинг
• [Перевод] Локальные прокси — новый двигатель цифровых атак
• Редакция Spark.ru: Всемирная история торговли в стиле Сатирикона: часть 10. «Пиво и Люди»
• Сравнение технологий PKI и FIDO для задач аутентификации