CyberDefenders מוסבר - תרגול פורנזיקה ותגובה לאירועי סייבר¶
רוב האתרים שמדברים עליהם בעולם ה-CTF מתמקדים בצד ההתקפי - איך פורצים, איך מנצלים חולשה, איך משיגים גישה שלא הייתה אמורה להיות לכם. אבל יש צד שלם נוסף בעולם הסייבר שהרבה מתחילים לא נחשפים אליו מספיק מוקדם: הצד המגן. CyberDefenders בנוי בדיוק בשביל זה.
מה זה בעצם CyberDefenders¶
בניגוד לפלטפורמות שנתנו לכם מערכת פגיעה לפרוץ, ב-CyberDefenders מקבלים אתכם תרחיש שונה לגמרי: אתם חוקר אבטחה שמגיע אחרי שהתקיפה כבר קרתה. מקבלים לכם חומרים - קבצי לכידת תעבורת רשת, לוגים, תמונות זיכרון (memory dumps), תמונות דיסק - ואתם צריכים לענות על סדרת שאלות חקירתיות: מה קרה, איך זה קרה, מה התוקף עשה, אילו עקבות הוא השאיר.
זה מזכיר במידה רבה את קטגוריית ה-Sherlocks ב-HackTheBox, אבל CyberDefenders היא פלטפורמה עצמאית שכל הזהות שלה בנויה סביב החקירה הזו, לא תוספת לפלטפורמה התקפית בעיקרה.
הקטגוריות שתפגשו¶
התרגילים נחלקים למספר תחומים מרכזיים. יש פורנזיקת רשת, שבה מנתחים לכידות תעבורה כדי להבין מה עבר ברשת ולזהות פעילות חשודה. יש פורנזיקת קצה (host forensics), שבה בוחנים מערכת בודדת - לוגים, קבצי מערכת, ארטיפקטים - כדי לשחזר מה קרה עליה. יש ניתוח נוזקות (malware analysis), שבו בוחנים קובץ חשוד כדי להבין מה הוא עושה. ויש תחום מודיעין איומים (threat intelligence), שבו לומדים לחבר בין ממצאים טכניים לבין תמונה רחבה יותר של מי התוקף ואיך הוא פועל בדרך כלל.
כל קטגוריה דורשת חשיבה שונה מזו הנדרשת בפריצה. במקום לחפש דרך להיכנס, אתם מחפשים דרך להבין מה כבר קרה - וזו מיומנות בפני עצמה.
למה זה חשוב גם אם אתם מכוונים להתקפה¶
יש נטייה טבעית אצל מתחילים להתמקד רק בצד ה"מגניב" - הפריצה עצמה. אבל הבנה עמוקה של פורנזיקה ותגובה לאירועים הופכת אתכם גם לבודקי חדירה טובים יותר. למה? כי אתם לומדים בדיוק מה משאיר עקבות, מה מפעיל התראה, ואיך צוותי הגנה בפועל מזהים תקיפה. במילים אחרות - אתם לומדים מה גורם לכם להיתפס, וזה ידע קריטי לכל מי שרוצה לעבוד כבודק חדירה מקצועי ואחראי.
מעבר לזה, יש כאן משהו חשוב עוד יותר: תחום קריירה שלם שהרבה מתחילים בכלל לא יודעים שקיים. לא כולם צריכים או רוצים להיות "ההאקר" בסיפור. יש מסלול קריירה שלם ולגיטימי בתור אנליסט SOC, חוקר DFIR (Digital Forensics and Incident Response), או צייד איומים (threat hunter). אלה תפקידים מבוקשים, מאתגרים אינטלקטואלית, ולא פחות חשובים מהצד ההתקפי.
למי זה מתאים במיוחד¶
אם ניסיתם כמה אתגרי CTF התקפיים וגיליתם שאתם נהנים יותר מהחלק של "לחבר רמזים ולבנות תמונה שלמה" מאשר מהחלק של "לכתוב exploit" - זה סימן שכדאי לכם לנסות CyberDefenders ברצינות. זה גם מתאים למי שרוצה סתם פרופיל מקצועי מאוזן ולא רק התמחות התקפית, כי בעולם האמיתי הידע הזה נדרש כמעט בכל תפקיד סייבר רציני, גם אם התחום המרכזי שלכם הוא אחר.
ההתמחות בפריצה ובהגנה לא סותרות זו את זו - הן משלימות. תבנו את הבסיס עם קורס בדיקות החדירה שלנו ותשלימו אותו עם תרגול חקירתי כמו זה שב-CyberDefenders, ותקבלו תמונה הרבה יותר שלמה של איך אבטחת מידע עובדת בפועל.
מתעניינים בצד ההגנתי ורוצים לדבר עם אנשים שכבר עובדים בתחום? בואו אלינו.
לסיכום¶
CyberDefenders פותח דלת לעולם שלם שקיים לצד עולם ההתקפה, ולא במקומו. גם אם המטרה הסופית שלכם היא פריצה, קצת זמן בצד ההגנתי יהפוך אתכם לחוקרי אבטחה טובים ומודעים הרבה יותר.