Slovenija je skupaj z ekipo Italije in Nacionalne garde ameriške zvezne države Kolorado sodelovala na največji in najzahtevnejši vaji kibernetske varnosti na svetu Locked Shields 2025. Skupna ekipa je osvojila odlično tretje mesto in se ob bok postavila svetovnim velesilam na področju kibernetske varnosti.
Že 15. vaja, ki jo organizira Natov center odličnosti za sodelovanje na področju kibernetske varnosti (Cooperative Cyber Defence Centre of Excellence CCDCOE), je letos v tekmovanju združila preko 4000 strokovnjakov iz več kot 40 različnih držav.
Kot predstavnik odzivnega centra SI-CERT je v ekipi digitalne forenzike sodeloval analitik kibernetske varnosti Urban Vidergar. Po zaključku vaje je delil svojo izkušnjo in pogled skozi oči tekmovalca. Deljenje vsebine izzivov je strogo prepovedano, zato Urban deli splošne informacije in svojo izkušnjo o poteku vaje.
Kako je potekalo delo v ekipi in kdo jo je sestavljal?
V skupnem digitalnem bojišču smo bili razdeljeni po posameznih področnih podskupinah. Skupno ekipo so sestavljale skupine za digitalno forenziko, Windows strežnike, Windows končne naprave, Linux, omrežja, SIEM, obveščanje o grožnjah, MISP, spletne aplikacije, pravne vidike in netehnično koordinacijo. Sam sem sodeloval v ekipi digitalne forenzike, skupinske naloge pa so obsegale pregledovanje forenzičnih artefaktov z namenom razumevanja poteka napadov in identifikacije njihovih indikatorjev. Kljub omenjeni delitvi po področjih smo delovali kot celota in medsebojno sodelovali, kar je tudi glavni namen vaje.
Kako bi ocenil težavnost nalog?
Naloge so bile v večini tehnično zelo zahtevne, saj so terjale napredno razumevanje postopkov digitalne forenzike, vzvratnega inženirstva zlonamerne kode, delovanja operacijskih sistemov, iskanja ranljivosti in identifikacije naprednih tehnik zlorabe sistemov in aplikacij. Pokrit je bil širok spekter operacijskih sistemov, naloge in vprašanja pa so bila izjemno domiselna. Pogosto smo za posamezno nalogo porabili več ur. Kljub velikemu pritisku smo svojo nalogo odlično opravili.
Kaj je bila največja ovira med vajo?
Vaja je sestavljena iz niza progresivno zaklenjenih izzivov – šele pravilni odgovori odklenejo naslednje naloge. Na začetku smo v forenzični ekipi precej časa porabili za analizo zlonamernega programa, saj dolgo nismo uspeli najti pravilnega odgovora. Ko nam je to uspelo, je eden od kolegov v navdušenju zaklical – in slišalo se ga je po celem prostoru. Naloge smo sicer uspešno reševali skozi celotno vajo, a najvišje rezultate smo dosegli zadnji dan, ko smo v forenzični ekipi močno izboljšali točke in tako prispevali k skupni uvrstitvi ekipe.
Kakšne priprave so potrebne za udeležbo na vaji?
Vaja in priprave nanjo udeležencem običajno vzamejo vsaj dva do tri tedne. V tem času se udeleženci spoznajo z ekipo, delovnim okoljem in opravijo izbirni test za sodelovanje na vaji. Vložen trud se več kot poplača – predstavljati svojo državo na tekmovanju najvišje ravni in pri tem doseči odličen rezultat je izjemna čast. Veliko prednost predstavlja tudi sodelovanje z drugimi strokovnjaki pri istih nalogah, kar ponuja priložnost za deljenje znanja in izmenjavo izkušenj, kar v vsakdanjem delu pogosto manjka. Zato je Locked Shields odlična priložnost za deljenje znanja in spoznavanje vrhunskih strokovnjakov, tako domačih kot tujih.
Kako se udeležba na vaji preslika v realno delo na odzivnem centru SI-CERT?
Locked Shields je tekmovanje, ki nagrajuje hiter in pravilen odziv na zelo specifična vprašanja, vezana na analizo artefaktov, posamezni izzivi pa so zasnovani podobno kot pri CTF tekmovanjih (Capture the Flag). Sami izzivi in zlonamerna koda, uporabljena na vaji, po mojih izkušnjah močno odstopata od obravnavanih primerov na odzivnem centru SI-CERT. Povsem običajno je, da CTF tekmovanja spodbujajo hitro reševanje nalog in uporabljajo tehnike, ki jih v resničnih vzorcih pogosto ne najdemo – in tudi obratno: pakirniki ter tehnike prikrivanja, s katerimi se srečujemo pri resnični zlonamerni kodi, so na vajah večinoma redkeje zastopani. Kljub temu sta teoretična podlaga in izkušnje iz prakse neprecenljiva, saj se razumevanje konceptov uporabljenih tehnik v določeni meri odraža tudi v uspešnem reševanju izzivov.
Kje vidiš priložnost za izboljšavo?
Menim, da je uspeh naše ekipe rezultat izjemne samoiniciativnosti mnogih talentiranih posameznikov tako domačih kot tujih, ki v svoje znanje in izkušnje redno vlagajo trud in prosti čas. Prav vsak izmed udeleženih je prispeval k skupnemu uspehu. Na vaji sem spoznal številne odlične strokovnjake, tako slovenske kot italijanske, zato vem, da v lokalnem okolju razpolagamo z vrhunskim kadrom. Naloga državnih organov je, da ta potencial prepoznajo in vrhunskemu kadru ponudijo ustrezno okolje za razvoj in na ta način slovenski kibernetski skupnosti ponudijo tudi sistemsko podporo.
“Zelo sem ponosen, da sem bil del zgodovinskega slovenskega uspeha na tej vaji. Seveda pa to ne bi bilo možno brez vseh sodelujočih in odličnega vodstva Kibernetskega centra Ministrstva za obrambo (MORS). V imenu celotne ekipe SI-CERT se zahvaljujem za odlično organizirano tekmovanje in se veselim bodočih uspehov.“
