CTF as a Service

Безопасность, информационная безопасность

DevSecOps

Доклад принят в программу конференции

Мнение Программного комитета о докладе

Подробный рассказ о том как провести первый CTF на собственной площадке. После него можно самостоятельно развернуть и подготовить всю необходимую инфраструктуру. И как её защитить от хакеров!

Целевая аудитория

Для DevOps-инженеров: как перенести существующие CTF-платформы на рельсы K8s, GitOps и CI/CD, обеспечив при этом безопасность своей инфраструктуры, когда к вам будут ломиться толпы хакеров. Для тимлидов и руководителей: почему CTF — это отличный способ искать себе специалистов в области ИБ, оценив их таланты на практике.

Тезисы

В последний год вопрос информационной безопасности в IT встал особенно остро. Грамотных специалистов не очень много, в уже существующих платформах, программном обеспечении и архитектурных решениях таится множество уязвимостей, которые с удовольствием могут быть проэксплуатированы хакерами. Следовательно, грамотная команда специалистов в ИБ-сфере, которая способна находить и устранять подобные угрозы, всегда необходима.

Раздел ИБ — это не только про бумажки и формальности, это практика! Но где искать молодых и амбициозных специалистов? Как проверить их реальные навыки в игровой форме, не подставляя под удар критическую инфраструктуру? Выход есть — CTF-соревнования! С их помощью можно не только собирать под одной крышей как юных, так и опытных специалистов, но и находить себе достойные кадры с практическими навыками в ИБ.

В докладе рассмотрим, как можно быстро и эффективно развернуть как Task-Based-, так и Attack-Defence-соревнования, как их грамотно настроить, чтобы не упасть при запуске соревнований и не быть взломанными, а также как настроить GitOps и какие подводные камни есть при разворачивании.

Еще сделаем краткий обзор доступных open-source-средств и платформ для проведения разных форматов CTF.

DevOps-инженер, работал над проектом «Госуслуги», вел разработку брокерской платформы, сейчас руководитель команд разработки сервисов ИБ в Wildberries. За плечами три года игры в CTF в составе команды ONO из топ-10 по стране. Соорганизатор VrnCTF — соревнований по информационной безопасности на базе ФГБОУ ВО «Воронежский государственный университет». Разработчик факультативных DevOps-курсов для факультета компьютерных наук ВГУ, автор магистерского курса DevOps для направлений МКН и программной инженерии. Соорганизатор Летней Школы CTF. Соавтор магистратуры DevOps в ИТМО.

Wildberries

Wildberries — онлайн-платформа с 18-летней историей. География присутствия площадки охватывает 7 стран мира, в том числе Россию, Белоруссию, Казахстан, Армению, Киргизию. Ежедневно на площадке оформляется 8 млн заказов, а 90% её продавцов — представители малого бизнеса.

Видео