В соответствии со ст. 435 Гражданского кодекса РФ настоящие условия использования (далее — Соглашение) являются размещаемой Positive Technologies (далее — Компания) публичной офертой на участие в конкурсах, мероприятиях и соревнованиях на платформе Standoff 365 (далее — Standoff). Соглашение адресовано неограниченному кругу лиц на указанных ниже условиях. Используя сайт standoff365.com (далее — Платформа), пользователь Платформы безоговорочно принимает условия настоящего соглашения.
Пользователю Платформы не разрешаются следующие действия:
Компания имеет право на следующие действия:
Positive Technologies
Адрес: 107061, г. Москва, Преображенская пл., д. 8
Тел.: +7 495 744 01 44
Факс: +7 495 744 01 87
Киберучения Standoff (далее — Киберучения, Standoff) проводятся несколько раз в год и могут быть приурочены к конференции по информационной безопасности. Киберучения предназначены для специалистов в области информационной безопасности, которые соответствуют требованиям к участию, установленным Positive Technologies (далее — Организатор). Киберучения проводятся с целью повышения осведомленности общества в вопросах информационной безопасности.
Участие в Киберучениях означает принятие условий участия в киберучениях Standoff (далее — Условия).
К участию в Киберучениях допускаются достигшие 18 лет лица или лица, которые приобрели дееспособность в соответствии с законодательством тех юрисдикций, в которых они регистрируются на участие в Киберучениях (далее — Участники).
Участие в Киберучениях бесплатно; однако поскольку вход на сайт Киберучений возможен только через интернет, каждый пользователь должен будет нести все связанные с этим расходы (включая расходы на средства подключения к интернету, в том числе компьютер, модем и любое другое подобное устройство).
Киберучения будут проводиться на платформе Standoff 365. Платформа позволяет проводить киберучения Standoff для исследования атак на информационную инфраструктуру и приложения, а также для реагирования на инциденты.
На платформе разворачиваются киберполигоны. В них воссоздаются информационные системы и процессы, характерные для предприятий определенной отрасли — торговых фирм, банков, телеком-операторов, промышленных предприятий. Каждая отрасль может включать в себя один или несколько сервисов, которые регулируют деятельность организации или обеспечивают ее информационную безопасность. Сервисами могут быть, например, почтовый сервер, FTP-сервер, база данных клиентов, система документооборота, межсетевой экран, система управления светофорами, ветрогенераторы.
Участники распределены по командам и объединены общей целью. В Standoff предусмотрены два типа команд — команда атакующих и команда защитников. Командам предстоит реализовать полный спектр сценариев обеспечения кибербезопасности, смоделировать все циклы испытаний и всего за несколько дней воссоздать события, для которых в реальной жизни могут потребоваться годы. Мероприятие предоставляет атакующим и защитникам уникальный шанс проверить свои навыки на моделях близкой к реальной IT-инфраструктуры, в том числе на цифровых копиях инфраструктуры, принадлежащих реальным компаниям, которые хотят протестировать собственные системы информационной безопасности.
Positive Technologies, ведущий глобальный поставщик решений в области информационной безопасности, корпоративных приложений для управления уязвимостями, обеспечения соответствия требованиям регулирующих организаций, анализа инцидентов и угроз, защиты приложений. Юридический адрес: Российская Федерация, город Москва, Преображенская пл., д. 8.
Принять участие в Киберучениях могут физические лица, подавшие заявку и приглашенные Организатором.
Киберучения проводятся онлайн. Статус Киберучений можно посмотреть на платформе standoff365.com. Подробные сведения будут поступать на платформу Standoff 365 и регулярно обновляться.
Команды
В Standoff принимают участие два типа команд — команда атакующих и команда защитников. Цель атакующих — реализовывать недопустимые события, например парализовать работу АСУ ТП или получить доступ к конфиденциальной информации. Задача защитников — своевременно выявлять и расследовать инциденты.
Подключение осуществляется через VPN-сервер с помощью данных, полученных от Организатора в процессе подготовки.
Киберучения ограничены по времени. Оставшееся до конца киберучений время отображается на платформе Standoff 365. В киберучениях предусмотрена возможность технических перерывов.
Атакующие
В ходе киберучений атакующие должны реализовать недопустимые события, выполняя предоставленные задания, и получать за это баллы. Разрешается атаковать только сервисы информационной инфраструктуры, расположенные по адресам, предоставленным Организаторами. Атаки на адреса, не входящие в список предоставленных, не учитываются при начислении баллов. Сервисы, расположенные за пределами инфраструктуры, предоставленной организаторами, не входят в рамки полигона и запрещены для атак.
Внимание! За использование служебных учетных записей или попытку получения доступа к ним Организатор может отстранить команду от киберучений. Список служебных учетных записей будет опубликован во время мероприятия.
Внимание! За атаку на адреса, не входящие в предоставленный список, Организатор может отстранить команду от киберучений. Кроме того, командам запрещается проводить DoS- и DDoS-атаки на службы, сервисы и приложения инфраструктуры полигона, в том числе атаки на сетевом уровне. Организаторы могут отстранить от киберучений команду, которая проводит такие атаки.
Защитники
Основная цель защитников — обнаружение и расследование инцидентов, вызванных действиями атакующих. В ходе киберучений команда защитников получает опыт по защите инфраструктуры в условиях, максимально приближенных к реальным.
Киберучения ограничены по времени. Оставшееся до конца киберучений время отображается на платформе Standoff 365.
Команда защитников заранее (обычно за месяц) получает доступ к полигону и может с ним ознакомиться. Команде предоставляются конфигурационные файлы, данные учетной записи для подключения и другая информация, необходимая для участия.
При ознакомлении с инфраструктурой полигона команды защиты получают доступ к сканеру уязвимостей. Учетные записи от объектов инфраструктуры для инвентаризации и сканирования командам выдаются Организатором. Команда может использовать любой другой сканер уязвимостей, но устанавливает его самостоятельно. После ознакомления с полигоном команда предоставляет Организатору список средств защиты, которые она планирует использовать, а также схему их размещения. В общем случае команды ограничены следующими классами средств защиты: next-generation firewalls (NGFW), application firewalls (AF), security information and event management (SIEM). Использование иных средств защиты согласовывается с Организатором отдельно.
Подсчет баллов и определение победителей
Выполнение заданий Организатор оценивает по собственному усмотрению. Команды атакующих за свои действия получают баллы, а действия команд защитников оцениваются в виде метрик.
Атакующие могут зарабатывать баллы следующими способами:
За выполнение заданий, предлагаемых Организатором. Такие задания могут включать, например, получение конфиденциальной информации, отключение одного или нескольких сервисов или несанкционированное изменение информации на тестовом сайте. Задание считается выполненным, если ответ на него был принят как верный. Чтобы отправить ответ на проверку, нужно представить отчет в определенном формате (шаблон отчета можно скачать на странице недопустимого события).
За каждое выполненное задание атакующим начисляются баллы. Кроме того, Организатор может оценить работу команды и начислить дополнительные или снять штрафные баллы. Команда, которая выполнила задание первой, получает максимальный балл. В случае если две команды выполнили задание одновременно, организаторы могут начислить обеим командам максимальный балл.
Если в отчете недостаточно информации о том, как было выполнено задание, отчет не принимается и баллы не начисляются. В этом случае Организатор оставляет в личном кабинете соответствующий комментарий с замечаниями к сданному отчету. После исправления недостатков отчет можно сдать повторно.
За поиск уязвимостей. Чтобы найденная уязвимость была зачтена Организатором, нужно представить отчет в произвольной форме. В отчете необходимо привести пример эксплуатации уязвимости и — в зависимости от типа обнаруженной уязвимости — получить баннер с версией СУБД, прочитать локальный файл, отправить произвольный HTTP-запрос или показать вывод команд ipconfig/ifconfig, whoami или id. Принимаются только определенные классы уязвимостей — RCE, SQLi, Path Traversal, XXE, SSRF.
За каждую найденную и принятую Организатором уязвимость команда получает баллы.
Действия защитников оцениваются в виде следующих метрик:
Количество зафиксированных инцидентов. Перед командой защитников в первую очередь стоит задача выявлять инциденты на защищаемых ими предприятиях. В процессе противостояния команды защитников могут отправлять отчеты о выявленных ими инцидентах в определенном формате (шаблон отчета и пример заполнения доступны на платформе Standoff 365).
Отчеты Организатор оценивает по собственному усмотрению. Если в отчете недостаточно информации, Организатор не принимает такой отчет и оставляет соответствующий комментарий к нему на игровом портале. Отчет можно скорректировать и сдать повторно.
В истории защищаемого объекта на платформе Standoff 365 будет периодически обновляться информация о том, какое количество инцидентов было зафиксировано командой защитников. Если команда защитников не зафиксировала какие-то инциденты, но их зафиксировал Организатор, будет выводиться информация от Организатора.
Среднее время расследования атаки. После того как Организатор примет отчет о реализации недопустимого события от команды атакующих, команде защитников предоставляется информация о том, какое недопустимое событие было реализовано. Задачей команды защитников становится расследование этого недопустимого события. На игровом портале появляется таймер, который ведет отсчет времени проводимого расследования. Команда защитников должна представить Организатору отчет о расследовании реализации недопустимого события в определенном формате (шаблон отчета и пример заполнения доступны на платформе Standoff 365).
Отчеты Организатор оценивает по собственному усмотрению. Если в отчете недостаточно информации о действиях команды атакующих, отчет не принимается, о чем делается пометка на игровом портале. По оставленному Организатором комментарию команда защитников может провести дополнительное расследование, доработать отчет и повторно отправить его на проверку.
После того как Организатор принял от команды защитников отчет о расследовании реализации недопустимого события, фиксируется время, за которое расследование было выполнено. При этом время, которое отчет находился на проверке у Организатора, не учитывается.
Подробная информация о правилах киберучений доступна по адресу standoff365.com/downloads/standoff_rules.
Во время Киберучений защитники получают опыт поддержания инфраструктуры в предельно реалистичных условиях. Результаты защитников будут отображаться на табло только в информационных целях.
Победители будут определяться только среди атакующих. Победители будут объявлены на платформе Standoff 365 (standoff365.com) в течение 5 рабочих дней после завершения Киберучений. Организатор вправе провести по своему усмотрению проверку соответствия команды, победившей в Киберучениях, настоящим условиям. Участники понимают и признают, что хотя их команда может быть объявлена победительницей, в случае если любой из членов команды или вся команда не пройдет такую проверку, Организатор выберет для этой цели другую команду.
В случае разногласий, связанных с личностью победителя, личность будет устанавливаться в числе прочего с учетом адреса электронной почты, указанного при регистрации на участие в Киберучениях, то есть победителем будет признано то лицо, которому адрес электронной почты был присвоен поставщиком онлайн-услуг или лицом, ответственным за присвоение адресов электронной почты в домене, связанном с указанным адресом. Организатор оставляет за собой право потребовать у победителя, установленного таким способом, предоставить соответствующие доказательства владения адресом электронной почты.
Принимая участие в Киберучениях, участники соглашаются на предоставление Организатору персональных данных в соответствии с политикой конфиденциальности. Если Организатор не получает необходимые данные, участник может быть отстранен от участия. Все персональные данные, собираемые Организатором в рамках Киберучений, будут использоваться только для проведения Киберучений (и соответствующих целей, обозначенных в настоящем соглашении и в политике конфиденциальности).
Организатор не несет ответственности перед участниками за любой прямой, косвенный, фактический и возможный ущерб или убытки, связанные с Киберучениями или с настоящими условиями. Участники соглашаются освободить и оградить Организатора и его работников, должностных лиц, дочерние компании, агентов, партнеров, экспертов Организатора, рекламные агентства и агентства по продвижению от ответственности за любые повреждения, травмы, претензии, основания для предъявления исков, обязательства или убытки любого рода (включая фактические расходы, в том числе вознаграждение за преставление интересов в суде), прямые и косвенные, абсолютные или зависящие от обстоятельств, возникающие в связи с а) несоблюдением участником любого из правил Киберучений; б) предоставлением участником Организатору любых неверных данных; или в) участием в Киберучениях.
Организатор не несет ответственности:
В случае если компьютерный вирус, ошибка в программе, незаконное изменение данных, противоправное вмешательство, умышленное нарушение правил, техническая неисправность или другая причина приводят к неспособности Участников выполнить планируемую часть Киберучений и (или) если существует угроза безопасности или законности проведения Киберучений, Организатор сохраняет за собой право по своему усмотрению отменить, прекратить, изменить функциональность платформы или приостановить Киберучения.
Принимая участие в Киберучениях, участники соглашаются на фото- и видеосъемку, проводимую Организатором или его подрядчиками, без выплаты вознаграждения за такую съемку. Участники понимают, что фотографии и видеоматериалы могут транслироваться, отображаться, воспроизводиться, редактироваться, выставляться, использоваться и передаваться Организатором через интернет и (или) другой канал связи, существующий сегодня или создаваемый в дальнейшем, с целью продвижения, получения доходов и (или) в других целях, определяемых Организатором по своему абсолютному усмотрению. Это право прямо включает использование имени, образа и (или) голоса участника. Участник может отказаться от фото- или видеосъемки, сообщив Организатору при регистрации на участие в Киберучениях об отказе от фото- или видеосъемки.
При участии в Киберучениях запрещены оскорбительные высказывания, касающиеся пола, гендерной идентичности и самовыражения, возраста, сексуальной ориентации, физических недостатков, внешности, размера тела, расы, этнической принадлежности, национальности, религии; изображения сексуального характера в общественных местах, умышленное запугивание, сталкинг, слежение, фото-, аудио- или видеосъемка против воли, постоянный срыв переговоров или других событий, неприемлемый физический контакт и проявление нежелательного сексуального интереса. Участники, к которым обратились с просьбой прекратить поведение подобного рода, обязаны незамедлительно ее выполнить.
Информация об уязвимостях, заложенных Организатором в киберполигоне, не является конфиденциальной и Участники вправе свободно разглашать ее. Вместе с тем Участники не вправе разглашать информацию об уязвимостях нулевого дня и (или) критически опасных уязвимостях, которые не были заложены Организатором.
По любым вопросам, касающимся Киберучений, обращайтесь по адресу org@standoff365.com.
Настоящие условия подготовлены и составлены в соответствии с законодательством Российской Федерации.
Если какая-либо из частей Условий будет признана недействительной или не имеющей законной силы, все прочие части Условий останутся в силе в полном объеме.
Киберучения на платформе Standoff 365 (далее — Киберучения) — это комплекс онлайн-мероприятий, предназначенных для специалистов по информационной безопасности. Участники Киберучений должны соответствовать требованиям, установленным Positive Technologies (далее — Организатор). Киберучения проводятся для повышения осведомленности общества в вопросах информационной безопасности. Участие в Киберучениях означает принятие условий участия в киберучениях на платформе Standoff 365 (далее — Условия).
Участие в Киберучениях бесплатно. Однако, поскольку вход на сайт Киберучений возможен только через интернет, каждый пользователь должен нести все связанные с этим расходы (включая расходы на средства подключения к интернету — компьютер, модем и любое другое подобное устройство).
Киберучения проводятся на платформе Standoff 365. Участники Киберучений могут исследовать атаки, нацеленные на информационную инфраструктуру и приложения.
На платформе разворачиваются виртуальные киберполигоны, на которых воссоздаются информационные системы и процессы, характерные для предприятий определенной отрасли экономики (например, банков, электроэнергетических и ИТ-компаний). Каждая отрасль может включать в себя один или несколько сервисов, которые регулируют деятельность организации или обеспечивают ее информационную безопасность. Такими сервисами могут быть, например, почтовый сервер, FTP-сервер, база данных клиентов, система документооборота, межсетевой экран, система управления светофорами, ветрогенераторы, счетчики электроэнергии и электроподстанции.
Участники Киберучений стремятся нарушить штатную работу представленных информационных систем, реализуя недопустимые события и эксплуатируя уязвимости.
Positive Technologies, ведущий глобальный поставщик решений в области информационной безопасности, корпоративных приложений для управления уязвимостями, обеспечения соответствия требованиям регулирующих организаций, анализа инцидентов и угроз, защиты приложений. Юридический адрес: Российская Федерация, город Москва, Преображенская пл., д. 8.
К участию в Киберучениях допускаются физические лица, достигшие 18 лет, и лица, которые приобрели дееспособность в соответствии с законодательством тех юрисдикций, в которых они регистрируются на участие в Киберучениях (далее — Участники). Для участия в Киберучениях необходимо зарегистрироваться на сайте standoff365.com.
Киберучения проводятся онлайн 365 дней в году (за исключением технических перерывов). Подробные сведения о Киберучениях регулярно обновляются на платформе Standoff 365.
Общие условия
На киберполигоне Участники киберучений имитируют действия злоумышленников при атаке на информационную систему компании (предприятия). Цель атакующих — реализовывать недопустимые события, выполняя предоставленные задания (например, подменить данные в АСУ ТП или получить доступ к конфиденциальной информации), и получать за это баллы. Разрешается атаковать только сервисы информационной инфраструктуры, расположенные по адресам, предоставленным Организаторами. Атаки на адреса, не входящие в список предоставленных, не учитываются при начислении баллов. Сервисы, расположенные за пределами инфраструктуры, предоставленной организаторами, не входят в рамки полигона, и атаковать их запрещено.
Внимание! За использование служебных учетных записей или попытку получения доступа к ним Организатор может отстранить Участника от киберучений. Список служебных учетных записей будет опубликован во время мероприятия.
Внимание! За атаку на адреса, не входящие в предоставленный список, Организатор может отстранить Участника от киберучений. Кроме того, Участникам запрещается проводить DoS- и DDoS-атаки на службы, сервисы и приложения инфраструктуры полигона, в том числе атаки на сетевом уровне. Организаторы могут отстранить от киберучений Участника, который проводит такие атаки.
Подключение осуществляется через VPN-сервер с помощью личного кабинета Участника на платформе standoff365.com. В Киберучениях возможны технические перерывы.
Получение баллов
Участники Киберучений могут зарабатывать баллы следующими способами:
За реализацию недопустимых событий. Под реализацией недопустимых событий понимается, например, кража конфиденциальных данных, отключение одного или нескольких сервисов или несанкционированное изменение информации на тестовом сайте. Условия, необходимые для реализации недопустимого события, описаны в задании. Событие считается реализованным, если участник представил отчет с верным ответом на задание. Ответ должен содержать набор символов (флаг), который участнику необходимо найти в анализируемой информационной системе. Флаги заранее определены Организатором.
За каждое выполненное задание Участнику начисляются баллы. Кроме того, Организатор может оценить проделанную Участником работу и начислить ему дополнительные баллы.
Если отчет не принят системой, то Участнику необходимо сдать новый отчет (флаг).
За поиск уязвимостей. Чтобы найденная уязвимость была зачтена Организатором, нужно представить отчет с набором символов (флагом). Представленный флаг должен совпадать с флагом, заранее определенным Организатором. Принимаются отчеты только об определенных типах уязвимостей: удаленном выполнении кода (RCE), внедрении SQL-кода (SQLi), обходе каталога (Path Traversal), подмене запросов на стороне сервера (SSRF).
Посмотреть количество начисляемых баллов за реализацию недопустимых событий и поиск уязвимостей можно на игровом портале standoff365.com.
На сайте standoff365.com публикуется рейтинг, в котором Участники ранжируются по набранным ими баллам в порядке убывания.
Принимая участие в Киберучениях, участники соглашаются на предоставление Организатору персональных данных в соответствии с политикой конфиденциальности. Если Организатор не получает необходимые данные, участник может быть отстранен от участия. Все персональные данные, собираемые Организатором в рамках Киберучений, будут использоваться только для проведения Киберучений (и соответствующих целей, обозначенных в настоящем соглашении и в политике конфиденциальности).
Организатор не несет ответственности перед участниками за любой прямой, косвенный, фактический и возможный ущерб или убытки, связанные с Киберучениями или с настоящими условиями. Участники соглашаются освободить и оградить Организатора и его работников, должностных лиц, дочерние компании, агентов, партнеров, экспертов Организатора, рекламные агентства и агентства по продвижению от ответственности за любые повреждения, травмы, претензии, основания для предъявления исков, обязательства или убытки любого рода (включая фактические расходы, в том числе вознаграждение за преставление интересов в суде), прямые и косвенные, абсолютные или зависящие от обстоятельств, возникающие в связи с а) несоблюдением участником любого из правил Киберучений; б) предоставлением участником Организатору любых неверных данных; или в) участием в Киберучениях.
Организатор не несет ответственности:
В случае если компьютерный вирус, ошибка в программе, незаконное изменение данных, противоправное вмешательство, умышленное нарушение правил, техническая неисправность или другая причина приводят к неспособности Участников выполнить планируемую часть Киберучений и (или) если существует угроза безопасности или законности проведения Киберучений, Организатор сохраняет за собой право по своему усмотрению отменить, прекратить, изменить функциональность платформы или приостановить Киберучения.
При участии в Киберучениях запрещены оскорбительные высказывания, касающиеся пола, гендерной идентичности и самовыражения, возраста, сексуальной ориентации, физических недостатков, внешности, размера тела, расы, этнической принадлежности, национальности, религии; изображения сексуального характера в общественных местах, умышленное запугивание, сталкинг, слежение, фото-, аудио- или видеосъемка против воли, постоянный срыв переговоров или других событий, неприемлемый физический контакт и проявление нежелательного сексуального интереса. Участники, к которым обратились с просьбой прекратить поведение подобного рода, обязаны незамедлительно ее выполнить.
Информация об уязвимостях, заложенных Организатором в киберполигоне, не является конфиденциальной и Участники вправе свободно разглашать ее. Вместе с тем Участники не вправе разглашать информацию об уязвимостях нулевого дня и (или) критически опасных уязвимостях, которые не были заложены Организатором.
По любым вопросам, касающимся Киберучений, обращайтесь по адресу org@standoff365.com.
Настоящие условия подготовлены и составлены в соответствии с законодательством Российской Федерации.
Если какая-либо из частей Условий будет признана недействительной или не имеющей законной силы, все прочие части Условий останутся в силе в полном объеме.