„Cyber Twierdza” to gra symulacyjna polegająca na budowie systemu zabezpieczeń środowiska teleinformatycznego oraz reagowaniu na incydenty związane z naruszeniem tego środowiska. Opiera się o specjalnie przygotowane karty, symbolizujące środki bezpieczeństwa z obszaru organizacyjnego, procesowego i technicznego. Uczestnicy gry mają za zadanie zbudować najbardziej odporny system bezpieczeństwa organizacji (faza prewencji) oraz poprzez odpowiednie działania najlepiej obronić ją w czasie ataku (faza reakcji na losowane incydenty). „Cyber Twierdza” gwarantuje zaangażowanie członków zespołów, dzielenie się swoją wiedzą i doświadczeniem, burze mózgów oraz świetną zabawę.

SEZON 2020/21

Informacje ogólne

  1. Organizatorem Ligi Cyber Twierdzy (dalej LCT) jest Fundacja Bezpieczna Cyberprzestrzeń z siedzibą w Warszawie, przy ul. Adama Branickiego 13.
  2. Turnieje będą odbywać się on-line lub w postaci regularnego wydarzenia, o charakterze fizycznym. Uczestnicy turniejów on-line we własnym zakresie zapewniają sobie sprzęt niezbędny do uczestniczenia w lidze, czyli komputer z dostępem do sieci Internet.
  3. LCT toczy swoje rozgrywki w okresie od konferencji Security Case Study 2020, do konferencji Security Case Study 2021, czyli około jednego roku.

Rejestracja zespołów

  1. W grze mogą brać udział zespoły, które zarejestrują się do LCT poprzez stronę internetową https://www.cybsecurity.org/cyber-twierdza/, podczas rejestracji drużyna podaje mail swojego kapitana, przez którego będzie utrzymywany kontakt z drużyną i będzie on oficjalnym reprezentantem drużyny w rozgrywkach. Nie można być członkiem kilku drużyn równocześnie.
  2. Rejestrując się i poprzez wzięcie udziału w turniejach, kapitan potwierdza, że wszyscy zgłoszeni członkowie drużyny akceptują niniejszy Regulamin.
  3. Zespoły mogą liczyć od 2 do 5 osób.
  4. Do uczestnictwa w Lidze, można dołączyć w każdym momencie trwania sezonu. W momencie dołączenia każda nowa drużyna ma na koncie zero punktów.
  5. W każdym z turniejów skład drużyny nie musi być pełny, by zaliczyć punkty do ogólnej klasyfikacji konieczna jest obecność przynajmniej jednego reprezentanta drużyny.
  6. Inauguracja sezonu, w tym pierwszy turniej, odbędzie się w czasie konferencji Security Case Study 2020, w dniach 10-11 września 2020 roku. Uczestniczyć w tym turnieju mogą jedynie drużyny złożone z osób, które zarejestrują się na konferencję.
  7. W LCT nie mogą uczestniczyć pracownicy i członkowie Fundacji Bezpieczna Cyberprzestrzeń oraz ich rodziny.

Zasady organizacji turniejów

  1. W trakcie turnieju zespoły rozegrają określoną przed turniejem liczbę rund gry Cyber Twierdza, zgodnie z zasadami gry, które dostępne są na stronie: https://www.cybsecurity.org/pl/liga-cyber-twierdza/
  2. Turnieje w ramach LCT będą organizowane w określonych przez organizatora terminach. Turnieje mogą odbywać się w dwóch formułach: wersji stolikowej – gra odbywa się “w realu”, przy stolikach lub wersji online – z wykorzystaniem przygotowanej aplikacji. Informacje o terminach i możliwych formułach turniejów oraz wszelkie inne informacje dotyczące LCT publikowane będą na stronie LCT: https://www.cybsecurity.org/pl/liga-cyber-twierdza/.
  3. LCT będzie się składała z co najmniej sześciu turniejów, określonych jako turnieje podstawowe. Istnieje możliwość organizacji dodatkowe turniejów (np.: przy okazji innych wydarzeń). Turnieje te również będą zaliczane do ogólnej klasyfikacji LCT.
  4. Każdy z turniejów dodatkowych może mieć specjalne zasady, o których uczestnicy zostaną powiadomieni przed takim turniejem.
  5. O wszystkich turniejach kapitanowie drużyn będą informowani drogą mailową, przynajmniej z tygodniowym wyprzedzeniem.
  6. W przypadku rozgrywania turnieju w wersji online każda z drużyn biorących udział w LCT we własnym zakresie zapewnia sobie sprzęt i łącze internetowe, które jest niezbędne do przeprowadzenia rozgrywki. Organizator nie odpowiada za problemy techniczne, które mogą wystąpić podczas rozgrywki (np. zerwanie łącza, awaria komputera) i w efekcie mogą uniemożliwić udział w turnieju lub jego rundzie.

Zasady Punktacja LCT

  1. Drużyny biorące udział w pojedynczym turnieju zdobywają określoną ilość punktów zgodnie z zasadami gry Cyber Twierdza. Punkty te decydują o miejscach zajętych w pojedynczym turnieju. Turniej taki wygrywa drużyna, która zdobyła najwięcej punktów.
  2. Po rozstrzygnięciu pojedynczego turnieju, każda z drużyn zdobywa punkty rankingowe liczące się do punktacji ogólnej. Za każde 100 punktów zdobytych w pojedynczym turnieju drużyna otrzymuje 1 punkt rankingowy do punktacji ogólnej LCT.
  3. Dodatkowo drużyny, które zajęły miejsca na podium, otrzymują premię do punktacji ogólnej w następującej liczbie punktów:
  4. miejsce w turnieju – 3 punkty rankingowe.
  5. miejsce w turnieju – 2 punkty rankingowe.
  6. miejsce w turnieju – 1 punkt rankingowy.
  7. O zwycięstwie w Lidze, decyduje najwyższa liczba punktów uzyskana przez drużynę w klasyfikacji ogólnej Ligi na koniec jej rozgrywek. W przypadku równej liczby punktów o kolejności decyduje liczba zdobytych punktów premiowych (za trzy pierwsze miejsca we wszystkich turniejach). W przypadku równej liczby punktów rankingowych i punktów premiowych, o ostatecznej kolejności decyduje wynik turnieju dogrywkowego pomiędzy zainteresowanymi drużynami. Turniej dogrywkowy kończy się po pierwszej rundzie wyłaniającej zwycięzcę.

Nagrody

  1. Organizator rozda następujące nagrody dla drużyn biorących udział w LCT:
    1. za 1. miejsce – 12 000 zł
    2. za 2. miejsce – 5 000 zł
    3. za 3. miejsce – 3 000 zł
    4. dla każdej z drużyn biorących udział w LCT – jedna darmowa wejściówka na konferencję Security Case Study 2021.
  2. Poszczególne turnieje LCT mogą się również wiązać z dodatkowymi nagrodami. Organizator będzie o takich sytuacjach informował każdorazowo, przy organizacji turniejów.

Postanowienia końcowe

  1. Wyłonienie zwycięzcy Ligi Cyber Twierdzy i rozdanie nagród nastąpi na konferencji Security Case Study 2021 (we wrześniu 2021 r.).
  2. Od ogłoszonych wyników zarówno turniejowych, jak i całej Ligi nie przysługuje odwołanie. Są one ostateczne.
  3. Organizator zastrzega sobie prawo do rozstrzygania wszystkich kwestii spornych, które mogą pojawić się podczas rozgrywki, jak również związanych z tym regulaminem.

Klauzula informacyjna

  1. Zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE – uczestnicy Ligi, biorąc w niej udział, wyrażają zgodę na przetwarzanie ich danych osobowych (w tym wykorzystanie zdjęć i filmów z gry). Administratorem danych jest Fundacja Bezpieczna Cyberprzestrzeń, z siedzibą Warszawie, przy ul. Adama Branickiego 13. Dane (imię, nazwisko, adres e-mail) wykorzystywane są w celu wysyłania informacji o grze, oraz udostępnienia rozgrywki. Istnieje możliwość wycofania zgody, przesyłając informację drogą elektroniczną na adres: [email protected]. Dane osobowe mogą być przekazywane do innych podmiotów w związku z zapewnieniem usługi informatycznej (serwery, poczta e-mail). Dane te nie są profilowane automatycznie oraz nie zostają przekazane poza Europejski Obszar Gospodarczy. W wypadku zastrzeżeń co do przetwarzania danych osobowych, przysługuje skarga do Prezesa Urzędu Ochrony Danych Osobowych.

Słownik pojęć

Budżet – wirtualna kwota pieniężna przyznawana drużynie przed rozpoczęciem każdej fazy rozgrywki, w ramach budżetu dokonuje się zakupów zabezpieczeń. Niewykorzystany budżet w fazie prewencji przechodzi do wykorzystania w fazie reakcji. Niewykorzystany budżet w fazie reakcji przepada.

Cyberatak – zmaterializowane zagrożenie, które uderzyło w organizację reprezentowaną przez drużynę. Jest losowane przed fazą reakcji.

Cyber Twierdza – gra strategiczna, której celem jest zbudowanie systemu cyberbezpieczeństwa w organizacji. Gra składa się z przynajmniej jednej rundy. Każda runda składa się z dwóch faz – fazy prewencji i fazy reakcji.

Drużyna – grupa (od 2 do 5) osób fizycznych, znanych organizatorom z imienia i nazwiska, która zdecydowała się dołączyć do Ligi Cyber Twierdzy w ramach jednej drużyny. Drużyna reprezentowana jest w kontaktach z organizatorami przez swojego kapitana (w szczególnych przypadkach może to być inny członek drużyny).

Faza – część gry, z której składają się rundy rozgrywki. Występują dwie fazy. Faza prewencji, podczas której drużyna w ramach budżetu buduje swój system cyberbezpieczeństwa, dokonując zakupów zabezpieczeń i przygotowując się na możliwe do zmaterializowania zagrożenia. Faza reakcji, podczas której drużyna rozbudowuje swój system cyberbezpieczeństwa w reakcji na znany już cyberatak.

Karty – występujące w grze symbole i nazwy zabezpieczeń, z których każda ma swoje odrębne znaczenie, wartość pieniężną oraz określoną liczbę punktów obrony w zależności od rodzaju cyberataku, któremu uległa organizacja reprezentowana przez drużynę. Występują karty organizacyjne, procesowe i technologiczne.

Liga Cyber Twierdzy – cykl turniejów, podczas których drużyny gromadzą punkty i na podstawie zdobytych punktów zajmują określone miejsca w tabeli ligi.

Punkty – przypisane są do każdej karty zabezpieczenia ich liczba jest różna dla każdego zabezpieczenia w zależności od rodzaju cyberataku, który nastąpił.

Punkty rankingowe – punkty, które zdobywają drużyny w poszczególnych turniejach.

Runda – część gry składająca się z dwóch faz (fazy prewencji i fazy reakcji).

System cyberbezpieczeństwa – zestaw zabezpieczeń zakupionych przez drużynę podczas rozgrywki.

Turniej Cyber Twierdzy – rozgrywka składająca się przynajmniej z jednej rundy gry Cyber Twierdza, w której zwycięzcą zostaje drużyna, która uzyskała najwięcej punktów za zbudowany przez siebie system cyberbezpieczeństwa.

Zagrożenie – możliwy do wystąpienia atak np. DDoS, Malware.

Zasady gry

Jesteście zespołem odpowiedzialnym za zapewnienie cyberbezpieczeństwa w  swojej organizacji. Celem gry jest zbudowanie skutecznego systemu cyberbezpieczeństwa, który będzie w stanie uchronić organizację, którą reprezentuje drużyna przed różnymi zagrożeniami z cyberprzestrzeni.  W trakcie gry będą miały miejsce symulowane cyberataki związane z następującymi kategoriami zagrożeń: złośliwe oprogramowanie, hakowanie, socjotechniki, odmowa usług (DDOS), nadużycie, błąd, czynniki środowiskowe. Szczegółowy opis w załączniku nr 1 – Kategorie zagrożeń

W trakcie gry podejmujecie decyzje o zakupie i wdrożeniu zabezpieczeń z 3 kategorii: organizacyjnej (reprezentowane w grze przez niebieski kolor karty ), procesowej ( reprezentowane w grze przez pomarańczowy kolor karty) i technologicznej (reprezentowane w grze przez zielony kolor karty). Zabezpieczenia są prezentowane poprzez karty zawierające numer, nazwę, cenę i opis. Każde z zabezpieczeń posiada zakodowaną informację o punktacji oznaczającej poziom skuteczności tego zabezpieczenia w prewencji i reakcji na dane zagrożenie. Szczegółowy opis zabezpieczeń znajduje się w załączniku nr 2 – Zabezpieczenia

Gra rozgrywana jest w jednej lub kilku rundach , z których każda składa się z dwóch faz: prewencji i reakcji. Z każdą rundą wiąże się nowy cykl budżetowy, podczas którego drużyny otrzymują określone fundusze (budżet) na każdą fazę gry. Ilość rund, czas ich trwania oraz wysokość budżetu na każdą fazę gry będzie podana do wiadomości przed każdym turniejem.

Rozpoczynając grę, w 1. rundzie, organizacja dysponuje budżetem w wysokości określonej przed rozgrywką na fazę prewencji oraz dodatkowym budżetem przyznawanym po fazie prewencji na fazę reakcji. W kolejnych rundach otrzymujecie nowe budżety na fazę prewencji i fazę reakcji. Pieniądze, które nie zostały wydane w fazie prewencji przechodzą do budżetu fazy reakcji.

Faza 1 – Prewencja

W tej fazie budujecie system cyberbezpieczeństwa dysponując budżetem określonym przed turniejem, nie wiedząc jaki cyberatak się wydarzy. Po wyborze i zakupie zabezpieczeń następuje losowanie cyberataku, który będzie przeprowadzony na zbudowany przez Was system cyberbezpieczeństwa. Na podstawie dokonanych wyborów zliczane i sumowane są punkty oznaczające jak skutecznie zespoły zdołały zapobiec wystąpieniu zagrożenia.

Faza 2 – Reakcja

W kolejnej części scenariusz zakłada zmaterializowanie się wylosowanego scenariusza. Otrzymujecie dodatkowy budżet na zakup i zastosowanie działań. Po ich zakupie następuje zliczenie i podsumowanie punktacji oznaczającej skuteczność reakcji na konsekwencje materializacji znanego zagrożenia.

Po rozegraniu 1 rundy otrzymujecie dodatkowy budżet w wysokości ustalonej przed turniejem na zakup dodatkowych zabezpieczeń. Analogicznie do fazy 1 rozbudowujecie swój system cyberbezpieczeństwa nie wiedząc jaki nowy cyberatak nastąpi. Następuje losowanie scenariusza i obliczenie punktacji za prewencję. Następnie otrzymujecie dodatkowy budżet na wdrożenie działań reakcyjnych. Działania reakcyjne powinny być najbardziej dopasowane do natury cyberataku, który jest Wam znany w czasie podejmowania decyzji na temat wdrożenia kolejnych zabezpieczeń.

Po rozegraniu wszystkich rund następuje podsumowanie punktacji. Wygrywa drużyna z największą liczbą punktów zgromadzonych za działania prewencyjne i reakcyjne we wszystkich rundach.

UWAGI:

  • Niewykorzystany budżet po fazie prewencji w każdej rundzie jest wliczany do budżetu fazy reakcji. Budżet niewykorzystany na koniec poprzedniej rundy nie jest wliczany do budżetu kolejnej rundy.
  • Wasz system cyberbezpieczeństwa rozbudowywany jest przez całą grę, a wybierane zabezpieczenia są skuteczne we wszystkich rundach i fazach. Zabezpieczenia są inaczej punktowane ze względu na cyberatak, który wystąpił oraz fazę incydentu (prewencja i reakcja).
  • Istnieją grupy zabezpieczeń w każdej z kategorii (organizacyjnej, procesowej i technologicznej), które wybrane łącznie dają efekty synergii i są dodatkowo punktowane.
  • Opis zabezpieczeń znajduje się w załączniku nr 2.

Turnieje mogą odbywać się w dwóch formułach: wersji stolikowej – gra odbywa się “w realu”, przy stolikach lub wersji online – z wykorzystaniem przygotowanej aplikacji.

Wersja online

Przed rozpoczęciem turnieju odbędą się krótkie sesje szkoleniowe z nawigacji gry. Następnie kapitanowie drużyn otrzymają link do sesji gry. Rozgrywkę rozpoczyna administrator gry w terminie ustalonym i podanym do wiadomości przed turniejem. Wykaz kart symbolizujących zabezpieczenia będzie udostępniony na ekranie przez kapitana drużyny lub osoby wyznaczonej, który w imieniu członków zespołu będę zaznaczał dokonane przez Was wybory. Na ekranie będą widoczne czas pozostały do końca fazy, bieżący stan budżetu oraz wyniki po zakończonych fazach. Każda z drużyn biorących udział w LCT we własnym zakresie na każdy turniej zapewnia sobie sprzęt i łącze internetowe, które jest niezbędne do przeprowadzenia rozgrywki. Organizator nie odpowiada za problemy techniczne, które mogą wystąpić podczas rozgrywki (np. zerwanie łącza, awaria komputera) i w efekcie mogą uniemożliwić udział w turnieju lub jego rundzie oraz nieuwzględnieniu punktacji w trakcie rozgrywki.

Wersja stolikowa

W wersji stolikowej turnieju (np.: towarzyszącej jakiemuś wydarzeniu) , będą przygotowane stoliki dla każdego ze zgłoszonych zespołów. Karty symbolizujące zabezpieczenia zostaną dostarczone drużynom przed rozpoczęciem rozgrywki. Każda z kart posiada nazwę i cenę zabezpieczenia. Drużyna we własnym zakresie na każdy turniej zapewnia sobie sprzęt i łącze internetowe, które jest niezbędne do przeprowadzenia rozgrywki., ponieważ kapitanowie drużyn otrzymają link do sesji gry, gdzie po zalogowaniu cały przebieg gry jest identyczny jak w wersji online.

Załącznik nr 1– Kategorie zagrożeń

Złośliwe oprogramowanie       

Złośliwe oprogramowanie (malware) to szeroki termin, obejmujący fragmenty kodu i programy, które szkodzą systemom. Ma na celu potajemnie uzyskać dostęp do urządzenia bez wiedzy użytkownika. Rodzaje złośliwego oprogramowanie obejmują oprogramowanie szpiegujące (spyware), adware, phishing, wirusy, trojany, rootkity, zagrożenia typu ransomware. Ich działanie może skutkować przejęciem kontroli nad systemem, spowodowanie odmowy usługi lub prowadzić do naruszenia bezpieczeństwa danych (kradzieży, wyciekowi, usunięcia)

Hakowanie (hacking)

Wszelkie działania mające na celu uzyskanie dostępu lub uszkodzenie aktywów informatycznych bez autoryzacji poprzez wykorzystanie różnych wektorów i technik w celu ominięcia lub przełamania zabezpieczeń tj. stacje robocze podmiotów zewnętrznych, tylne furtki (backdoor), wstrzyknięcia złośliwego kodu, łamania haseł.

Socjotechniki – atak z wykorzystaniem technik inżynierii społecznej tj. podstęp, manipulacja, zastraszanie, podszywanie się.

Odmowa usługi (DDos)- Jedno z najbardziej dotkliwych zagrożeń w szczególności z wykorzystaniem metody DDos (Distributed Denial of Services) polegającej na ataku na system komputerowy lub usługę sieciową w celu uniemożliwienia działania poprzez zaszyfrowanie lub zajęcie wszystkich wolnych zasobów (np. pamięć, przestrzeń dyskowa, przepustowość łącza). Przeprowadzany równocześnie z wielu miejsc, najczęściej z wykorzystaniem sieci przejętych komputerów tzw. Botnet.

Nadużycie (Misuse) – wykorzystanie powierzonych zasobów i uprawnień do to nieetycznego, często nielegalnego zachowania, mającego na celu osiągnięcie osobistych korzyści. Działania te mogą być intencjonalne lub przypadkowe

Błąd (Error) – kategoria obejmująca wszystko co jest zrealizowane nieprawidłowo lub przez zaniedbanie np. błędna konfiguracja, błędy w oprogramowaniu, nieprawidłowo realizowany proces.

Czynniki środowiskowe – kategoria obejmująca nie tylko naturalne zdarzenia jak powódź czy trzęsienie ziemi, ale również zakłócenia i przerwy w dostawach energii, zalania, kurz, wilgoć czy szkodniki i gryzonie.

Załącznik nr 2 – Zabezpieczenia

Organizacyjne

Kategoria zabezpieczeń obejmująca czynności, procesy i usługi w zakresie cyberbezpieczeństwa.

  1. Analiza ryzyka cyberbezpieczeństwa – polega na identyfikacji zasobów informatycznych (tj. Sprzęt, oprogramowanie, dane), które mogą być zagrożone różnego rodzaju atakami (np.. malware, phishing, DDos), oraz oszacowaniu prawdopodobieństwa i skutków takiego zdarzenia. Podstawa do wyboru i wdrożenia zabezpieczeń.
  2. Cyberubezpieczenie – ubezpieczenie ryzyk cybernetycznych pozwala ograniczyć dotkliwe i daleko sięgające skutki incydentu np. naruszenia bezpieczeństwa danych czy niedostępności systemów.

Zapewnia również pokrycie kosztów konsultantów – ekspertów ds. informatyki śledczej, odzyskiwania danych, prawników oraz konsultantów PR – specjalistów, którzy doradzą i opracują odpowiedni plan działania w sytuacji kryzysowej.

  1. Szkolenia uświadamiające dla pracowników – Działania polegające na budowanie świadomości bezpieczeństwa IT wśród pracowników obejmujące m.in. wiedzę o zagrożeniach, sposobach ich zapobiegania oraz sposób postępowania w przypadku wykrycia incydentu oraz podczas sytuacji kryzysowej. Szkolenia można realizować wykorzystując różne techniki np. warsztaty, e-learning, gry symulacyjne.
  2. Blokada portów USB i nośników danych – zabezpieczenie zapobiegające wyciekowi danych realizowane za pomocą konfiguracji odpowiednich polityk GPO lub dedykowanych aplikacji cyberbezpieczeństwa (np. DLP). Zapewnia blokadę portów USB oraz eksploatacji zewnętrznych nośników danych (np. napęd CD, DVD). Może dotyczyć wszystkich lub wybranych stacji roboczych.
  3. Klasyfikacja danych – Działania polegające na przypisaniu informacji kategorii, na podstawie której stosuje się odpowiednie zabezpieczenia np. pod względem poufności
Klasa Przykłady Uwierzytelnienie Autoryzacja Dostęp zdalny
Tajne Hasła, dane finansowe przed ich upublicznieniem, tajemnica handlowa, dane o płacach, dane osobowe klientów, itp. Silne hasło, dwuskładnikowe Autoryzacja na poziomie poszczególnych danych, profile uprawnień Niedozwolony
Poufne Dane objęte umowami o zachowaniu poufności, informacje strategiczne Silne hasło Wymagane profile uprawnień Wymagany VPN
Wewnętrzne Regulaminy wewnętrzne, umowy Silne hasło Zalecane profile uprawnień Wymagana szyfrowana sesja
Publiczne Regulaminy, informacje marketingowe Niewymagane Niewymagane Dozwolony poprzez Internet
  1. Usługa Threat Intelligence – stanowi zespół procesów identyfikowania, gromadzenia i przetwarzania danych w celu uzyskania informacji wspierającej świadomość sytuacyjną dot. zagrożeń cyberbezpieczeństwa. Taka usługa może być realizowana w ramach przeglądania dostępnych źródeł informacji o zagrożeniach, budowania infrastruktury automatyzującej proces gromadzenia danych o zagrożeniach oraz dzielenia się informacjami z zainteresowanymi stronami. Threat Intelligence koncentruje się na dostarczaniu informacji w sposób usystematyzowany i zunifikowany, opierając się np. o platformy CTI (takie jak MISP).
  2. Usługa wsparcia zewnętrznego w reagowaniu na incydenty – usługa wykonywana przez specjalistyczne zespoły reagowania na incydenty komputerowe. Zakres tego typu wsparcia jest określany w umowach pomiędzy organizacją a podwykonawcą (outsourcingowanym CSIRT-em lub SOC-iem). Najczęściej spotykanym wsparciem oferowanym na rynku jest usługa monitoringu i detekcji zdarzeń, obsługa zaawansowanych incydentów cyberbezpieczństwa oraz dostarczanie tzw. feedów threat intelligence, czyli ustrukturyzowanych informacji o bieżących zagrożeniach dla klienta. Zewnętrzne wsparcie w reagowaniu na incydenty może także oznaczać wykonywanie zadań typu analiza złośliwego oprogramowania czy analiza powłamaniowa.
  3. Hardening serwerów i urządzeń sieciowych – utwardzanie systemów obejmuje zespół kompleksowych działań zmierzających do optymalizacji działania i poprawy stanu zabezpieczeń systemów operacyjnych serwerów oraz urządzeń końcowych. Polega na optymalnej konfiguracji systemów operacyjnych i urządzeń poprzez wyłączanie nadmiarowych, potencjalnie niebezpiecznych usług oraz włączanie dedykowanych i rekomendowanych zabezpieczeń. Podejmowane w ramach utwardzania czynności skutecznie zabezpieczają przed włamaniami czy wpływem złośliwego oprogramowania.
  4. Audyt organizacyjno-procesowy – Audyt wewnętrzny pomaga organizacji w osiąganiu jej celów poprzez systematyczne i metodyczne podejście do oceny i doskonalenia skuteczności procesów zarządzania ryzykiem, kontroli i zarządzania organizacją. Rolą audytu w cyberbezpieczeństwie jest weryfikacja czy organizacja zidentyfikowała ryzyka i zagrożenia oraz czy zaprojektowała, wdrożyła i utrzymuje adekwatne zabezpieczenia.
  5. Separacja/segmentacja zasobów sieciowych – działania polegające na podziale sieci korporacyjnej na mniejsze podsieci (segmentacja) dedykowane dla poszczególnych grup użytkowników np. księgowość, zarząd, produkcja itd. oraz odizolowaniu (separacja) ruchu sieciowego do/z tych segmentów. Zapewniają ochronę przed zagrożeniami złośliwego oprogramowania, zagrożeniom wewnętrznym, naruszenia bezpieczeństwa danych oraz odmowy usługi. Skutecznie minimalizują skutki rozprzestrzeniania się incydentu.
  6. Zewnętrzna usługa testów penetracyjnych – usługa polegająca na wykonywaniu aktywnych testów cyberbezpieczeństwa infrastruktury organizacji. Celem testów penetracyjnych jest kontrolowany atak na dany system i przełamanie jego zabezpieczeń. Przykładem takiego testu jest próba wykorzystania podatności strony internetowej, dostarczenia złośliwej próbki poprzez wiadomość elektroniczną lub fizyczne wejście do chronionego budynku. Testy penetracyjne kończą się szczegółowym raportem działań dla organizacji zlecającej.
  7. Zespół Security Operations Center (SOC) – jest odpowiedzialny za monitorowanie i detekcję zdarzeń cyberbezpieczeństwa. Zabezpieczenie jest rozumiane jako zespół procesów i procedur, określony model osobowy, stosowane narzędzia i technologie oraz umiejętności pracowników.
  8. Zespół CERT (Computer Emergency Response Team) – odpowiedzialny za zarządzanie incydentami cyberbezpieczeństwa (oraz inne właściwe usługi, np. analizy złośliwego oprogramowania lub rozwijanie świadomości sytuacyjnej). Rozumiany jako zespół procesów i procedur, określony model osobowy, stosowane narzędzia i technologie oraz umiejętności pracowników.
  1. Zarządzanie konfiguracją – proces skoncentrowany na zaprojektowaniu, wdrożeniu I utrzymaniu bezpiecznej konfiguracji systemów informatycznych opartej na wymaganiach biznesowych oraz regulacji prawnych.
  2. Zarządzanie dostępem – Zarządzanie dostępem jest nieodłącznym elementem korzystania z zasobów IT (systemów, danych) i stanowi jeden z fundamentów cyberbezpieczeństwa. Przeznaczeniem kontroli dostępu jest zarządzany i nadzorowany proces przyznawania, modyfikacji i odbierania uprawnień użytkownikom do zasobów IT, pomieszczeń itp. Efektywny proces zarządzania uprawnieniami minimalizuje ryzyko nieautoryzowanego dostępu, ataku na aplikacje webowe oraz wycieku danych
  3. Logowanie i monitorowanie zdarzeń – proces rejestracji I analizowania logów zdarzeń w celu identyfikacji symptomów wskazujących na atak na infrastrukturę informatyczną organizacji.
  4. Proces Rozwoju Bezpiecznego Oprogramowania – bezpieczeństwo aplikacji jest bardzo szerokim zagadnieniem obejmującym wiele aspektów od wczesnego projektowania i modelowania zagrożeń po utrzymanie i ochronę aplikacji w środowisku produkcyjnym. Metodyki cyklu bezpiecznego rozwoju oprogramowania (Secure Software Development Cycle) zawierają wiele elementów wspólnych, takich jak specyfikacja wymagań, ocena i modelowanie zagrożeń czy weryfikacja i testowanie.
 Procesowe

Zbiór reguł definiujących cel, zakres, metodologię oraz role I odpowiedzialności za realizację procesów cyberbezpieczeństwa.

  1. Proces zarządzania bezpieczeństwem outsourcingu – Bezpieczeństwo dostarczonych systemów, aplikacji usług w dużej mierze zależy od uwzględnienia wymaganych zabezpieczeń na etapie ich wytwarzania lub dostarczania. Ponadto dostawcy zewnętrzni są często wykorzystywanym wektorem ataku ze względu na posiadany przez nich uprzywilejowany dostęp do naszych systemów w celach utrzymaniowych lub serwisowych. Procedury regulujące relacje z dostawcami obejmują m.in. kontrolę i monitoring dostępu, zdefiniowane wymagania bezpieczeństwa, poziomy SLA, monitorowanie usług, zarządzanie zmianami, komunikacja w trakcie incydentu.
  2. Zarządzanie Kadrą – Jednym z najważniejszych ogniw bezpieczeństwa IT jest człowiek, jego kompetencje, nastawienie, motywacja oraz świadomość odpowiedzialności za cyberbezpieczeństwo. Odpowiednio zdefiniowane procedury kadrowe pomagają wyselekcjonować odpowiednich kandydatów do pracy, określić role i odpowiedzialności w trakcie zatrudnienia oraz zapewnić bezpieczeństwo IT po zakończeniu zatrudnienia.
  3. Polityka Zarządzania Ryzykiem Cyberbezpieczeństwa – Skoordynowane działania dotyczące kierowania i nadzoru nad cyberbezpieczeństwem w odniesieniu do ryzyka. Podstawa do wdrożenia zabezpieczeń w odniesieniu do zidentyfikowanych zagrożeń oraz prawdopodobieństwa i skutków ich wystąpienia.
  4. Procedura zarządzania ciągłością działania – Zbiór działań mających na celu utrzymanie ciągłości biznesu na założony poziomie. W cyberbezpieczeństwie dotyczy dostępności zasobów informatycznych wspierających realizację krytycznych procesów biznesowych (infrastruktura, sieć, sprzęt, systemy, aplikacji, dane). Obejmuje analizę wpływu zagrożeń na biznes, zdefiniowanie i wdrożenie zabezpieczeń zarówno prewencyjnych jak i reakcyjnych odpowiednich do zidentyfikowanych zagrożeń, testowanie zdefiniowanych scenariuszy, procedury działania i komunikacji w trakcie sytuacji kryzysowej.
  5. Polityka Zarządzania Dostępem – zbiór zasad opisujący proces zarządzania dostępem.
  6. Procedura Reagowania na Incydenty – Opisują role i odpowiedzialności oraz działania w przypadku wystąpienia incydentu obejmujące jego identyfikację i zgłoszenie, gromadzenie i analizę tropów i dowodów, czynności naprawcze oraz wyciągania i analizę wniosków po zdarzeniu.
  7. Procedura Zarządzania Słabościami Systemowymi – Każda technologia ma swoje słabe punkty. Właściwie zaprojektowany i wdrożony proces zarządzania podatnościami skutecznie chroni przed większością zagrożeń. Obejmuje on identyfikację, klasyfikację., priorytetyzację oraz przypisanie odpowiedzialności za zabezpieczanie lub eliminację podatności.
  8. Polityka Zarządzania Konfiguracją ustanawia wymagania i bazowe ustawienia konfiguracji dla systemów i urządzeń teleinformatycznych.
  9. Procedura Wytwarzania Bezpiecznego Oprogramowania – zbiór reguł i zasad określających w jaki sposób powinien przebiegać proces rozwoju oprogramowania, aby był on zgodny z wymaganiami bezpieczeństwa.
  10. Polityka Bezpieczeństwa – Ogół zasad, metod i narzędzi do zapewnienia cyberbezpieczeństwa. Określają cel i zakres oraz regulują poszczególne domeny cyberbezpieczeństwa, takie jak bezpieczeństwo dostępu, sieci, danych, systemów IT, aby skutecznie chronić organizację przed zidentyfikowanymi zagrożeniami cyberbezpieczeństwa adekwatnie do oszacowanego ryzyka. W bezpieczeństwie IT najczęściej rozpatrywane w aspektach utraty poufności, integralności i dostępności danych.
  11. Procedura Zarządzania Aktywami – definiuje zasady bezpieczeństwa zasobów technologicznych obejmując ich inwentaryzację, klasyfikację, użycie, utrzymanie i zwrot.
  12. Procedura Bezpieczeństwa Fizycznego i Środowiskowego – zbiór zasad i standardów ustanowionych w celu ochrony infrastruktury informatycznej przed nieautoryzowanym bezpieczeństwem fizycznym oraz przed uszkodzeniami i awariami w wyniku działania czynników fizycznych i środowiskowych takich jak pożar czy zalanie.
Technologiczne

Kategoria zabezpieczeń obejmujące sprzętowe, systemowe i aplikacyjne środki ochrony infrastruktury informatycznej.

  1. System zapasowy łącza internetowego – działanie większości systemów IT opiera się na usługach internetowych. Zapasowe łącze internetowe zapewni stabilny i nieprzerwany dostęp do internetu w przypadku ataku typu odmowa usługi. Powinno ono pochodzić od innego dostawcy. Jeżeli na przykład korzystamy ze stałego łącza, można skorzystać z oferty konkurenta lub wykupić pakiet internetu mobilnego.
  2. System Antyspamowy – pozwala na zminimalizowanie spamu pochodzącego z podejrzanych źródeł. Wykorzystując techniki filtrowania i blokowaniu podejrzanej poczty chroni przed otrzymaniem korespondencji ze złośliwym oprogramowaniem, phishingiem oraz odmową usługi.
  3. System Szyfrowania Danych na Serwerach. – Jednym z najlepszych sposobów na zapobieganie nieuprawnionemu dostępowi do danych przez osoby nieupoważnione jest ich szyfrowanie. I to nawet wtedy, gdy dojdzie do kradzieży dysków twardych lub całego serwera. Pomaga też ograniczyć skutki udanego ataku nakierowanego na kradzież danych.
  4. System Obsługi Uwierzytelnienia Wieloskładnikowego (MFA) – Uwierzytelnianie jest techniką potwierdzania tożsamości. Wyróżnia się czynników uwierzytelnienia: coś co wiesz (np. hasło, kod), coś co masz (np. karta, token) , coś czym jesteś (techniki biometryczne). W celu zwiększenia poziomu bezpieczeństwa, MFA (Multi-Factor Aunthentication) wykorzystuje kilka metod uwierzytelniania np. użycie tokenu sprzętowego wymagającego podania hasła lub potwierdzenia odciskiem palca.
  5. System Szyfrowania Ruchu Sieciowego – w celu zapewnienia bezpiecznej komunikacji i wymiany informacji stosuje się szyfrowanie ruchu sieciowego. Dzięki temu można zapobiec podsłuchaniu i przechwyceniu transmisji, wyciekowi i modyfikacji danych
  6. Network Access Control (NAC) – Usługa polegająca na określeniu dedykowanych polityk stanowiących o zakresie dostępu do sieci. W praktyce, technologia ta ma na celu ochronę organizacji przed podłączaniem się do sieci nieznanych urządzeń, nie będących na tzw. białej liście (z ang. whitelist). NAC umożliwia jednolitą kontrolę tego typu oraz posiada mechanizmy blokowania i alarmowania o anomaliach.
  7. Oprogramowanie Antywirusowe – program komputerowy, którego pierwotnym przeznaczeniem było wykrywanie, zwalczanie i usuwanie wirusów komputerowych. Obecnie najczęściej jest to pakiet programów chroniących także przed wieloma innymi zagrożeniami jak phishing, ataki webowe, a także ataki DDoS.
  8. System Szyfrowania Danych na Desktopach Szyfrowanie danych na desktopach zapobiega nieautoryzowanemu dostępowi, kradzieży i wyciekowi danych z komputera.
  9. System antyDDoS – Atak DDoS (Distributed Denial Of Service) ma na celu spowodowanie niedostępności serwera, usługi lub infrastruktury. Ochrona AntyDDoS może łączyć różne techniki umożliwiające m.in.: szybką analizę w czasie rzeczywistym wszystkich pakietów, przekierowanie ruchu przychodzącego do Twojego serwera czy oddzielenie niepożądanych elementów ruchu od pozostałych w celu przepuszczenia pożądanego ruchu.
  10. System Inwentaryzacji Zasobów IT – baza, która umożliwia uzyskanie informacji o dostępnych zasobach teleinformatycznych w firmie. Oznacza to dostęp do wiedzy o typie używanego sprzętu (stacje robocze, urządzenia brzegowe, serwery), ich adresacji IP, typowej konfiguracji oraz oprogramowaniu. Informacje w zaawansowanych systemach tego typu są aktualizowane w czasie rzeczywistym oraz umożliwiają sprawdzenie usług oraz procesów powiązanych z danym urządzeniem.
  11. Firewall Sieciowy – zapewnia filtrowanie ruchu do/z sieci firmowej, a także pomiędzy jej segmentami. Zabezpiecza przed nieuprawnionym dostępem oraz stanowi element ochrony przed złośliwym oprogramowaniem i odmową usługi.
  12. Web Application Firewall (WAF) – narzędzie dedykowane do ochrony aplikacji webowych. Pozwala kontrolować ruch od i do naszej aplikacji, wykorzystując przy tym wcześniej przygotowane reguły:
  • model negatywny (blacklist) – polegający na tworzeniu listy treści niebezpiecznych, które zostaną zablokowane, zmienione lub odnotowane w logach, zależnie od naszej konfiguracji;
  • model pozytywny (whitelist) – polegający na stworzeniu listy zaakceptowanych treści, które zostaną przepuszczone, a cała reszta zostanie jw. zablokowana, zmodyfikowana lub odnotowana w logach WAF.
  1. System Blokowania i Filtrowania Stron WWW – Web filtering – założeniem web filtering jest zapobieganie dostępowi do witryn z niewłaściwą lub szkodliwą treścią albo stron mogący mieć negatywny wpływ na produktywność pracy. Jest to osiągane za pomocą filtrowania konkretnych adresów URL lub predefiniowanych kategorii zawierających strony zawierające nielegalną treść, pornografię, strony naruszające własność intelektualną lub witryny mogące oddziaływać na firmową infrastrukturę IT.
  2. System Wykrywania i Zapobiegania Atakom Sieciowym (IDS/IPS) – system wykrywania (detekcji) i zapobiegania (prewencji) w zakresie prób kompromitacji systemu teleinformatycznego (np. włamanie, przejęcie kontroli, wyciek danych). Systemy klasy IDS/IPS mogą wykorzystywać analizę heurystyczną oraz/lub analizę sygnaturową. W zakresie urządzeń stosowane są sondy, bazy danych i analizatory logów. Systemy (sieciowe i hostowe) wykrywają zdarzenia na bazie reguł logicznych.
  3. System Zarządzania Dostępem i Tożsamością (IAM/PAM)
  • IAM (Identity and Access management) – system zarządzania tożsamością i dostępem jest systemem teleinformatycznym przetwarzającym informacje o tożsamości użytkowników i wykorzystywanym do rejestracji, udzielania oraz blokowania dostępu.
  • PAM (Priviliged Access management) – system zarządzania kontami uprzywilejowanymi pomaga w zarządzaniu, monitoringu i nadzorze nad kontami posiadającymi wysokie uprawnienia lub dostęp do wrażliwych danych lub krytycznych systemów.
  1. System Archiwizacji Danych (backup) – tworzenie kopii bezpieczeństwa danych to jedne z najlepszych sposób na zapewnienie ich dostępności na wypadek ich utraty w wyniku ataku lub celowego bądź niezamierzonego działania pracowników.
  2. System Zarządzania Podatnościami (VM) – system pozwalający w sposób zaplanowany zarządzać konfiguracją aplikacji skanującej infrastrukturę, wykrywać podatności w infrastrukturze organizacji, oceniać krytyczność tych podatności oraz określać priorytet wprowadzania poprawek do środowiska produkcyjnego. System zarządzania podatnościami wymaga określonych procedur współpracy pomiędzy osobami odpowiedzialnymi za przeprowadzanie skanów, konfigurację skanerów i wprowadzania poprawek systemowych.
  3. System Zapobiegania Wyciekowi Danych (DLP) – zbiór narzędzi i procesów umożliwiających monitorowanie i kontrolę działań wykonywanych na urządzeniach końcowych, przepływu danych w i z sieci korporacyjnej oraz przetwarzanie danych i wykrywanie nieautoryzowanych działań. DLP klasyfikuje wrażliwe dane, identyfikuje naruszenie polityk i podejmuje proaktywne działania (alarmowanie, blokowanie/kwarantanna, szyfrowanie) w celu zapobiegania przed ujawnieniem/wyciekiem wrażliwych danych, zarówno złośliwym jak i przypadkowym.
  4. System Zapasowy (redundancja) – skuteczną metodą ograniczenia skutków awarii, złośliwego oprogramowania lub ataków powodujących odmowę usługi jest zastosowanie redundancji, czyli podwojenie kluczowych elementów systemu – tak, aby w razie niedostępności jednego z nich element rezerwowy natychmiast przejął jego rolę bez zatrzymywania procesu produkcyjnego
  5. SIEM – Security Information and Event Management – system korelujący logi z infrastruktury sieciowej klienta, umożliwiający wykrywanie zdarzeń o charakterze naruszenia bezpieczeństw. Wykrywanie zdarzeń odbywa się w czasie rzeczywistym, na zasadzie działania reguł korelacyjnych. Potencjalne zdarzenia wraz z przypisanymi parametrami są wyświetlane na dashboardach. SIEM jest głównym narzędziem wykorzystywanym w Security Operations Center. Umożliwia detekcję, obsługę i analizę zdarzeń.
  6. System ochrony stacji roboczych (End Point Security) – urządzenia końcowe (tj. stacje robocze lub urządzenia mobilne) wykorzystywane jako punkt dostępu do sieci korporacyjnej są częstym celem ataku. Systemy ochrony stacji roboczych zazwyczaj stanowi zestaw funkcjonalności takich jak oprogramowanie antywirusowe, firewall, czy host intrusion prevention system (HIPS). 5
  7. Email security gateway – chroni serwer pocztowy przed otrzymaniem niechcianej i zawierającą złośliwą zawartość korespondencją. Brama skanuje cały przychodząca, wychodzącą i wewnętrzną komunikacje mailową włączając załączniki i adresy URL w poszukiwaniu oznak skzodliwej i złośliwej zawartości.
  8. Email sandbox – podstawowym celem jest wykrycie obecności złośliwego oprogramowania poprzez tzw. detonację załączników poczty, czyli ich wirtualne uruchomienie w odizolowanym, bezpiecznym środowisku i późniejszą analizę efektów na system operacyjny. Pozwala na ochronę przed złośliwym oprogramowaiem propagowanym poprzez wbudowane skrypty lub zagrożeniami typu „zero day”.
  9. Software whitelisting – praktyka polegająca na zdefiniowaniu listy zatwierdzonego oprogramowania czy plików wykonywalnych, które są dopuszczone do użytku i uruchomienia w infrastrukturze informatycznej.
  10. System Monitorowania Sieci – jego działanie polega na stałym monitorowaniu sieci w poszukiwaniu wadliwych lub spowolnionych usług czy komponentów i informowaniu administratorów o potencjalnych lub istniejących problemach np. słaba jakość połączenia, przeciążone zasoby serwerów czy zajętość dysków
  11. Narzędzia do Analizy Kodu – narzędzia te służą do analizy kodu źródłowego lub skomilowanej wersji pod kątem wynajdowania potencjalnych luk bezpieczeństwa. Najbardziej optymalnym rozwiązaniem jest zastosowanie ich w procesie rozwoju oprogramowania jeszcze przed implementacją na środowisko produkcyjne.
  12. Systemy bezpieczeństwa fizycznego i środowiskowego – zestaw narzędzi i systemów zapewniających ochronę przed nieautoryzowanym bezpieczeństwem fizycznym oraz przed uszkodzeniami i awariami w wyniku działania czynników fizycznych i środowiskowych takich jak pożar czy zalanie uwzględniając m.in. kontrolę dostępu fizycznego, telewizję przemysłowe, systemy antywłamaniowe i przeciwpożarowe, klimatyzację, czujniki wilgotności i temperatury itp.
  13. System Zarządzania Konfiguracją (SCM) – łączy elementy zarządzania konfiguracji, podatnościami oraz aktualizacji. Głównym zadaniem jest zapewnienie, że systemy sa właściwie skonfigurowane zgodnie z wymaganiami biznesowymi, bezpieczeństwa i regulacji prawnych.
  14. System do zarządzania ryzykiem – służy do gromadzenia i utrzymania informacji o ryzyku cyberbezpieczeństwa w jednym repozytorium i wykonywania procesu analizy w oparciu o predefiniowane biblioteki, standardy i regulacje.
  15. System zarządzania urządzeniami mobilnymi (MDM) – oprogramowanie służące do monitorowania, zarządzania i wdrażania polityk bezpieczeństwa na urządzeniach przenośnych różnych producentów i wykorzystujących różne systemy operacyjne.
  16. Advanced threat protection (ATP) – kategoria rozwiązań cyberbezpieczeństwa pozwalających ma wykrycie, analizę i zapobieganie zaawansowanym i nakierowanym atakom. Różnią się między sobą podejściem i komponentami, ale większość z nich łączy w sobie funkcjonalności agentów zainstalowanych na urządzeniach końcowych, urządzenia sieciowe, bramy mailowe, oprogramowanie antywirusowe, systemy IPS/IDS i za pomocą centralnej konsoli pozwalają na korelowanie alarmów i zarządzanie ochroną.
RANKING  
Drużyna Punkty rankingowe 1 turnieju Punkty rankingowe 2 turnieju Punkty rankigowe po 2 turniejach Miejsce po 2 turniejach
CyberBand 24 14 38 1
Stronghold 27 9 36 2
Cybertajniacy 21 11 32 3
GreyTeam 22 8 30 4
TTnedi 21 7 28 5
E Corp 20 8 28 6
Yellow Team 20 7 27 7
TEpe rnAM 20 7 27 8
CyberZakon 19 5 24 9
mBank A 17 6 23 10
SecAlle 17 5 22 11
ęśąćż 17 4 21 12
PRYNCYPAŁKI 17 3 20 13
Farmaceuci 14 6 20 14
Szara Eminencja 19 0 19 15
Oscar 12 7 19 16
Klonowe Listki 13 0 13 17
JanuszPOL 12 0 12 18
C64 0 12 12 19
AM1 3 8 11 20
CyberLAB 0 6 6 21