Зачастую компании, приглашающие выпускников «технарских» вузов работать в сфере ИБ, жалуются на отсутствие у молодых специалистов каких-либо практических профессиональных навыков. Чтобы студенты могли приобрести такой опыт, многие вузы, готовящие IT-специалистов, уже более десяти лет направляют студентов на соревнования по компьютерной безопасности в формате CTF (Capture the Flag). В напряженной борьбе студенческие команды освежают пройденные материалы по криптографии, форензики (компьютерной криминалистике) и другим специальным дисциплинам, нередко даже прибегая к креативным и оригинальным решениям. В России такие соревнования, получая поддержку властей разного уровня и спецслужб, приобретают все большую популярность.
ИБ в формате CTF-соревнований
Некоторые аналитики сравнивают CTF-игры с олимпиадами по спортивному программированию. Однако на самом деле это не совсем так. Скорее, это — соединение с реальной жизнью командного интеллектуального «квеста». Команды стараются находить уязвимости в компьютерных системах друг друга, а также, избегая киберловушек, активно атаковать ресурсы соперников. И участие в соревнованиях, и подготовка к ним помогают будущим IT-специалистам оттачивать мастерство профессионального стража ИБ. Как показывает многолетний опыт CTF-состязаний, молодые IT-шники приобретают опыт настоящих «профи» и приучаются применять нестандартные решения при решении сложных задач в области ИБ. По статистике, вузовские выпускники с опытом участия в таких играх имеют значительно больше шансов устроиться на хорошую работу, поскольку работодатель предпочитает специалистов с практическим опытом по специальности.
Соревнования CTF построены по принципу экзаменационного теста для специалистов по ИБ. Причем, в условиях, приближенных к реальным. В соответствии с правилами, участники должны решать задания в разных «жанрах»: реверс-инженеринг, web, эксплойтинг, криптография, администирование и др. За решение каждого задания начисляются баллы. Иногда в программу соревнований включают дополнительные задания. Например, сегодня за рубежом среди участников CFT-соревнований достаточно популярна так называемая «стена овечек», на которой находятся пароли и части личных данных другой команды. Все это можно заполучить, обойдя защиту. Таким способом «белые» хакеры как бы предостерегают пользователей киберпространства от безответственного отношения к конфиденциальной информации, которая может стать добычей «черных» хакеров. Также жюри проводит тестирование и уровня командно-интеллектуального взаимодействия. Для этого командам предлагается на выделенных серверах или сетевых ресурсах соперников найти уязвимости, охраняя при этом от взлома свой «фланг». Побеждает та команда, которая первой на неприятельском ресурсе захватит «флаг», представляющий из себя файл с каким-то конфиденциальным контентом. Иногда игрокам жюри предлагает или исправить обнаруженные уязвимости, или переписать код, или перезапустить сервис. В ходе соревнований нередко возникают задачи, требующие написание какого-то небольшого ПО или утилиты, — поэтому программирование в ходе таких соревнований в порядке вещей.
Игра для кадровых защитников информации
Считается, что первые CTF-соревнования по ИБ были проведены в 2000 году на хакерской конференции DEFCON в Лас-Вегасе. А первые удалённые международные межвузовские соревнования iCTF UCSB проводились университетом Калифорнии в городе Санта-Барбара, в 2004 году. По всему миру сегодня ширится популярность CTF-состязаний, поскольку это позволяет молодым IT-специалистам нарабатывать практический опыт на ниве обеспечения ИБ. Российский дебют межвузовских соревнований по защите информации — RuCFT — состоялся по инициативе Уральского государственного университета в 2008 году. Тогда участвовало всего 4 команды. А вот в 2009 году состязания RuCTF уже проводились как удалённые международные студенческие соревнования, и в них участвовала уже 31 команда! С тех пор интерес в России к данному виду командных игр заметно возрос. К слову, в ближайшее время в рамках мероприятий RuCFT пройдет сразу два региональных межвузовских соревнования по защите информации. 24-27 апреля в Екатеринбурге под эгидой Уральского федерального университета (УрФУ) и Ассоциации руководителей служб информационной безопасности (АРСИБ) состоятся всероссийские студенческие командные соревнования по ИБ. О высоком статусе мероприятия говорит их поддержка такими знаковыми компаниями как Webmoney, Kaspersky, УралВЭС и др.
В конце мая во время форума молодых ученых U-NOVUS в Томске пройдут состязания студенческих команд SibirCTF, в которых примут участие представители вузов не только Сибири, но и Дальнего Востока, а также Ассоциации инновационных регионов. Главными инициаторами томского межвузовского состязания этого мероприятия выступают — Администрация Томской области, Томский государственный университет систем управления и радиоэлектроники (ТУСУР), межрегиональная общественная организация «АРСИБ» и Сибирское региональное отделение учебно-методического объединения вузов России по образованию в области ИБ. Примечательно также, что соревнования пройдут при поддержке областных представительств ФНС, Роскомнадзора, ФСБ, МВД и др. организаций, причастных к обеспечению ИБ на государственном уровне. По словам заместителя губернатора Томской области Михаила Сонькина, «проведение соревнований SibirCTF в рамках форума привлечет общественное внимание к крайне актуальной сегодня проблеме обеспечения национальной безопасности РФ и информационной безопасности, в частности». Наверное, под этими эти слова сегодня с готовностью подпишется все руководство России, а значит, сегодняшние хакерские игры помогут завтрашним экспертам в области ИБ стать надежным звеном в деле защиты киберресурсов.
.jpg)
.jpg)