Компания R-Vision, российский разработчик систем кибербезопасности, стала партнером масштабных киберучений на CyberCamp 2024. В мероприятии приняли участие более 10 000 экспертов в области информационной безопасности, а общее количество команд составило 600.
На киберучениях команды столкнулись с заданием, аналогичным игре Sokoban. Участникам предстояло проанализировать поток событий в R-Vision SIEM, которые поступали на вход, но не анализировались должным образом. Задача состояла в том, чтобы построить собственный конвейер и навести порядок в системе, аналогично тому, как игрок в Sokoban должен был расставить ящики по местам лабиринта. Для этого требовалось:
- проанализировать поток событий, поступающих на вход;
- корректно определить источники поступающих событий;
- применить корректные правила нормализации для разбора потока трафика.
В процессе работы были задействованы 150 коллекторов, 150 тенантов и 750 источников R-Vision SIEM. Система справилась с нагрузкой в 100 пользователей одновременно, и команды из корпоративной и студенческой лиги прошли наш этап.
«Для R-Vision SIEM это было первое мероприятие такого формата и масштаба. За пару дней мы развернули продукт на 14 серверах и сконфигурировали его под работу 600 пользователей, — отметил Виктор Никуличев, продакт-менеджер R-Vision SIEM. — Участники киберучений отметили легкость синтаксиса нормализации и возможности конвейеров. А инженеры оценили стабильность и гибкость масштабирования при высокой нагрузке».
В рамках мероприятия также были представлены доклады от ведущих специалистов R-Vision:
Борис Нестеров, аналитик-исследователь угроз кибербезопасности — тема доклада: «Прокачиваем подсистему мониторинга: детектирование атак с помощью решений на основе eBPF». В докладе были рассмотрены следующие вопросы:
- как расширить возможности утилиты auditd для мониторинга и анализа системных действий в Linux и нивелировать ее недостатки;
- как использовать технологию eBPF для мониторинга событий;
- как применять решения на базе eBPF для расследования инцидентов ИБ.
Диана Кожушок, руководитель группы анализа и выявления угроз кибербезопасности — тема доклада: «Что нам стоит процесс Detection Engineering построить». В докладе были разобраны организационные и технические нюансы DE:
- необходимые компетенции аналитиков;
- особенности внутренней коммуникации;
- процесс ревью;
- оформление заметок.
Всеволод Саломадин, ведущий аналитик-исследователь угроз кибербезопасности — тема доклада: «Болит ли голова от Freeipa? Рассматриваем атаки и методы детектирования на Freeipa». В докладе Всеволод:
- разобрал, какие технологии используются во FreeIPA;
- нашел сходства и отличия FreeIPA и Microsoft AD;
- рассказал об иерархии привилегий и разрешений;
- рассмотрел несколько атак на протокол Kerberos в контексте FreeIPA и определил способы их обнаружения.
