Mint Securityn tiimi osallistui Helsingissä 13.3. järjestettyyn BOTS eli BOSS of the SOC -tapahtumaan. BOSS of the SOC on Splunk -teknologian ympärillä järjestettävä capture-the-flag (CTF) kisa, jossa tiimit saavat eteensä valtavan datamassan, Splunkin sekä erilaisia SOC-aiheisia ”selvitä mitä on tapahtunut” aiheisia tehtäviä.

BOTS on blue-team kisa

Monesta muusta CTF kisasta poiketen, BOSS of the SOC on lähtökohdiltaan blue team eikä red team. Tässä siis pelataan puolustajan puolella ja selvitetään erilaisia kyberhyökkäyksiä. Kisan edetessä kysymykset muuttuvat yhä monimutkisimmiksi selvittää, ja mm. erilaiset ulkoiset forensiikkalähteet ja työkalut on otettava mukaan. Vastauksia saattaa löyty dekoodatun smtp-striimin binäärimuotoisen liitetiedoston tekstissä. Tietenkin on ensin löydettävä se oikea smtp-striimi…

Tiimi

Mintin tiimi koostui Teemusta, Sakusta, Putsista ja Thomaksesta. Tiimissä ainoastaan Putsilla oli aikaisempaa CTF-kokemusta ja ainoastaan Teemulla ja Thomaksella Splunk-kokemusta pidemmältä ajalta kuin ”pari viikkoa”. Suomalaisella vaatimattomuudella lähdettiin kisaa voittamaan mutta kun paikan päällä kävi ilmi, että ilmoittautuneita joukkueita on yhteensä 14 – ja jotkut järjestäytyneet jopa ykkös- ja kakkostiimeiksi oli otettava uhoilut takaisin.
Team Mint at BOTS 2019 Helsinki

Tapahtuman kulku

Pelin henkeen päästiin kuitenkin hyvin kiinni ja tiimi passaili vinkkejä Slackissa toisilleen. Jokainen tiimiläinen selvitti osaltaan pisteiden arvoisia suorituksia, mutta monessa kohdassa päästiin myös yhteistyöllä eteenpäin. Syödä ei ehditty pelin aikana. Loppusijoitus olikin kisassa kolmonen. Ykkös ja kakkospaikan kisassa ottivat ruotsalaiset – vahvojen huhupuheiden mukaan olivat tulleet Helsinkiin ottamaan revanssia aikaisemmasta kisasta – joten ylpeästi totesimme että kansainvälisessä sarjassa hävittiin, mutta suomalaisista tiimeistä olimme sittenkin ykkönen. Jostainhan se ilo on otettava 🙂
BOTS results top 10 teams
BOTS timeline for results

Mitä opittiin

Kisan jälkeen (laadukkaan ranskalaisen punaviinin äärellä) todettiin yhteen ääneen, että tästä aiheesta opittiin lyhyessä ajassa enemmmän kuin monen kuukauden aikana muuten. CTF-kisa blue team-hengessä eroaa loppujen lopuksi merkittävästi siitä, mitä teemme päivittäin. Arkkitehtuurit, tilannekuvat, dashboardit ja hälytykset ovat niitä asioita jotka tuottavat mahdollisuuden tuottaa blue teamille indikaattoreita. Itse blue team työskentely alkaa siitä, kun tapahtuma on päällä. Siitä oli tänään kysymys ja siksi kisan nimi on BOSS of the SOC.

Mitä muuta teemme Splunkin ympärillä

siem
Thomas

Minted by Splunk

Mint Security provides a vast range of überconsulting for Splunk. From a single server to clustered multisite setups with integrated SSO and 2FA.

Lue lisää »
Thomas

SIEM, Splunk ja lokienhallinta

SIEM ja lokitapahtumienhallinta lyhyesti Tilannekuva on yksi suurimmista ”hypesanoista” tällä hetkellä. Yksinkertaisimmin tilannekuva tarkoittaa parista lokilähteestä generoitua graafista esitystä. Parhaiten toteutettuna tilannekuva pitää sisällään sovelluslokeja,

Lue lisää »
Kaikki uutiset
@mintsecurityfi

ota yhteyttä

Pyydä rohkeasti lisätietoa. Vastaamme todennäköisesti nopeammin kuin osasit kuvitella.