Кейс «Хакатона Совкомбанк SecureHack»: как рождаются решения для цифровой защиты информационных систем

Автор На чтение 7 мин Просмотров 171 Опубликовано

Совкомбанк SecureHack — хакатон, на котором участники создавали инструменты для повышения защиты приложений и информационных систем, обеспечивая надежность и безопасность современных цифровых сервисов. Участники боролись за приз, представляя крутые идеи и решения в области кибербезопасности, ориентированные на банковскую отрасль. 

Целевая аудитория. Соревнование нацелено на:

  • Аналитиков и архитекторов информационной безопасности.
  • Разработчиков Application Security.
  • Специалистов по защите данных и кибербезопасности.

Цели. Мероприятие направлено на: 

  • Создание передовых решений в области информационной безопасности.
  • Привлечение талантливых специалистов для разработки инновационных подходов к защите цифровых ресурсов банка.
  • Обеспечение высокого уровня безопасности информационных систем посредством внедрения эффективных стратегий и технологий.
Содержание
  1. Соревнование проходило онлайн на платформе Codenrock
  2. Цифры мероприятия
  3. Задача хакатона
  4. Критерии оценивания
  5. Проблема, которую решали участники «Хакатона Совкомбанк SecureHack»
  6. Решение участников
  7. Победители
  8. 1 место
  9. 2 место
  10. 3 место
  11. Эксперты
  12. Отзывы участников

Соревнование проходило онлайн на платформе Codenrock

Хакатон предоставил участникам возможность показать свои технические навыки и креативность в онлайн-формате. Специалисты платформы позаботились о всех аспектах мероприятия, чтобы обеспечить удобный и увлекательный процесс.

  • Регистрация. На платформе запустили специальную страницу для регистрации участников, пользователи сайта получили возможность присоединяться к событию и объединиться в команды.
  • Хранение проектов. Для проведения конкурса для каждой команды был создан отдельный репозиторий на платформе GitLab. Участники загружали туда код своих проектов, материалы и презентации, что обеспечивало сохранность решений и предоставляло жюри и экспертам удобный доступ к исходным материалам.
  • Оценка решений. Жюри оценивало решения участников и выставляло баллы прямо на платформе. После сдачи всех решений эксперты получали приглашение и голосовали за каждую команду по критериям, установленными платформой. Для каждой оценки можно было запросить комментарий от члена жюри, чтобы участники могли получить обратную связь.
  • Продвижение и креатив. Команда Codenrock отвечала за привлечение людей к участию в мероприятии: 
  • В рамках проекта впервые использовали креативные подходы для продвижения соревнования и создали забавное видео с мемным котом, которое добавило мероприятию легкости и запоминаемости. 
  • Написали статью о задачах хакатона и предоставили советы участникам. Читать статью.
  • Собрали всю полезную информацию о хакатонах по кибербезопасности. Подробнее здесь.

Цифры мероприятия

Призовой фонд: 300 000 рублей

  • Зарегистрированные участники: 402 человека.
  • Сформированные команды: 134.
  • Команды, приступившие к задаче: 79.
  • Сданные решения: 19.

Задача хакатона

Участникам предстояло разработать инструмент для оценки безопасности приложений и информационных систем.

Команды должны были создать инструмент, который выполняет определенные функции.

Функциональные требования

  • Ввод данных: опросники, загрузка документов, карты сетевых доступов.
  • Анализ данных: оценка рисков и выявление уязвимостей.
  • Вывод данных: генерация отчетов с возможностью экспорта.

Технические требования

  • Использование открытого стека технологий.
  • Дружелюбный интерфейс.
  • Возможность интеграции с существующими системами.

Критерии оценивания

Функциональность: поддержка различных источников данных, анализ безопасности, создание отчетов.

Актуальность и креативность: соответствие лучшим практикам и оригинальность решений.

Качество кода: чистота кода, архитектура, документирование.

Независимость решения: возможность работы без привязки к конкретным продуктам.

Презентация: ясность и информативность демонстрации.Также вы можете ознакомиться с записью открытия хакатона, чтобы почувствовать атмосферу начала хакатона.

Проблема, которую решали участники «Хакатона Совкомбанк SecureHack»

Современные компании, особенно в такой критически важной отрасли, как финансы, сталкиваются с особыми киберугрозами. Среди них — атаки на инфраструктуру, кибершпионаж для доступа к конфиденциальной информации и внутренние угрозы со стороны инсайдеров. Подобные угрозы требуют глубокого понимания рисков и разработки специализированных инструментов для их предотвращения.


Участникам хакатона предстояло создать инструмент для оценки безопасности приложений и информационных систем, который бы:

  • Анализировал код и документацию на наличие уязвимостей и рисков.
  • Генерировал отчеты с рекомендациями по улучшению безопасности.
  • Учитывал российские требования и стандарты, обеспечивая соответствие законодательству.
  • Адаптировался к современным киберугрозам, включая атаки на критически важную инфраструктуру и внутренние угрозы.

Факторы, требующие решения:

  • Сложность анализа: необходимость обработки больших объемов данных, включая код, документацию и сетевые карты.
  • Интеграция с существующими системами: инструмент должен был легко встраиваться в процессы разработки и эксплуатации.
  • Соответствие стандартам: автоматическая проверка на соответствие российским нормативным требованиям.
  • Удобство использования: создание интуитивно понятного интерфейса для разработчиков и аналитиков.

Решение участников

Команды и одиночки разрабатывали инструменты, которые:

  • Автоматизировали анализ безопасности, минимизируя ручной труд.
  • Интегрировались с CI/CD, ускоряя процессы разработки и тестирования.
  • Генерировали отчеты с рекомендациями, помогая компаниям оперативно устранять уязвимости.
  • Адаптировались к новым угрозам, обеспечивая актуальность и надежность защиты. 

Победители

1 место

1 место: «» (Николай Марнаутов) — 150 000 рублей.

Команда «» из одного участника заняла первое место на «Хакатоне Совкомбанк SecureHack» благодаря функциональному решению для оценки безопасности. Представленный инструмент позволяет централизованно проводить тестирования, выявляя уровень культуры безопасности в различных рабочих группах.

Ключевые возможности

  1. Создание и централизованное хранение тестов в единой системе для эффективного управления безопасностью.
  2. Генерация интерактивных PDF с опросами для автоматизации сбора и анализа данных.
  3. Автоматическая проверка результатов и генерация индивидуальных отчетов.

Преимущества

  • Централизованное хранение: создание базы знаний для оперативного принятия решений.
  • Отчеты: наглядные отчеты помогают анализировать и улучшать культуру безопасности.

Уникальные особенности

  • Интеграция с CI/CD: легкое встраивание в процессы разработки.
  • Соответствие стандартам: проверка на соответствие российским нормативам.
  • Дружелюбный интерфейс: интуитивно понятный для пользователей.

Используя технологии Streamlit, ReportLab и другие, Николай Марнаутов создал надежное и гибкое решение, заслужив победу благодаря проработке всех аспектов задачи и внедрению уникальных функций, которые выделили их среди конкурентов.

2 место

2 место: команда «Go Deep» (Данила Боговик, Роман Степанов, Георгий Егжов) — 100 000 рублей.

Команда, занявшая второе место на хакатоне Совкомбанк SecureHack и представила проект «Система мониторинга информационной безопасности банка». Это решение отличалось многогранностью, использованием современных технологий и ориентацией на российские стандарты.

Основная идея

Система анализирует различные аспекты безопасности:

  • текст на предмет социальной инженерии;
  • промпты на попытку взлома;
  • исходный код на уязвимости;
  • образы из CI/CD GitLab с помощью Trivy.

Преимущества решения

  • Российские технологии и open-source: независимость от зарубежных продуктов.
  • Чистая архитектура: легкость добавления новых функций.
  • Безопасность доступа: токены хранятся в оперативной памяти.
  • Логирование: упрощает аудит и контроль.
  • Интеграция: поддержка современных инструментов.
  • Удобство: временное веб-приложение для быстрого тестирования.

Технологии

Использованы Python, GigaChat API, Trivy, Flask, FastAPI, JavaScript.

Соответствие критериям

  • Функциональность: поддержка различных источников данных и интеграция с существующими системами.
  • Актуальность и креативность: оригинальный подход к анализу данных.
  • Качество кода: чистота и структурированность.
  • Независимость: использование российских и open-source технологий.
  • Презентация: четкая демонстрация и практическая применимость.

Сценарий использования

  • Анализ текста и кода на уязвимости.
  • Проверка Docker-образов с Trivy.
  • Генерация отчетов с рекомендациями.

Планы на будущее

  • Создание Docker-образов для API.
  • Интеграция с другими утилитами и ИИ-моделями.

3 место

3 место: команда «Ultra» (Денис Лакомов, Кирилл Глинский, Ruslan Khairullin) — 50 000 рублей.

Команда заняла третье место на хакатоне Совкомбанк SecureHack с проектом «Форпост» — комплексная система для оценки безопасности приложений и информационных систем. 

Основная идея

Система «Форпост» предлагает следующие возможности:

  • анализ уязвимостей программного кода по стандарту CWE и использование базы данных CVE;
  • проведение SAST/DAST файлового анализа;
  • создание опросников по информационной безопасности;
  • вывод рекомендаций по устранению выявленных уязвимостей.
Архитектурная диаграмма

Преимущества решения

  • Технологический стек: использование Python, FastAPI, TypeScript, ReactJS, PostgreSQL и других современных инструментов обеспечивает надежность и гибкость системы.
  • Интеграция с CI/CD: возможность использования в CI пайплайнах для проверки безопасности.
  • Рекомендательная система: развитие системы рекомендаций и подключение большего числа инструментов к LLM для оценки критичности уязвимостей.

Уникальные особенности

  • Интерфейс и использование: интуитивно понятный интерфейс для разработчиков и аналитиков.
  • Актуальность: система адаптирована к современным киберугрозам и российским стандартам.

Эксперты

Безопасность — это не конечная цель, а постоянный процесс. Участники Совкомбанк SecureHack доказали, что даже самые сложные проблемы можно решить с помощью соревнований. Для Совкомбанка это мероприятие стало шагом к формированию сильной команды специалистов и укреплению репутации.

Отзывы участников

Все круто, нормальный приз, интересная задача. Ну и еще понравилось наличие 3х чекпоинтов, которые были довольно долгими, это всегда хорошо т.к. есть возможность уточнить нюансы у экспертов.

Данила Боговик, участник и победитель хакатона

Да, в целом всё, стандартно в отношении Code & rock. Всё как всегда на неплохом уровне (значительно выше конкурентов). Необычным был формат защиты при демонстрации решения. Я все-таки не готовился к такому. Знал бы сразу о подобном формате защит, изменил бы тактику подготовки к защите.

Денис Лакомов, участник и призёр соревнования

Codenrock кибербезопасность хакатон


    Оставьте заявку, мы подберем для вас лучшие решения для работы с ИТ-сообществом

    Будьте в курсе лучших кейсов хакатонов, ML-турниров, CTF и соревнований по спортивному программированию на Codenrock
    Добавить комментарий