Как студенты ОмГТУ проходили практику в Атташе

В «Атташе» завершилась практика студентов ОмГТУ из групп КЗИ-221 и БИТ-211.

Мы решили не делать для ребят формальную практику «для галочки». Вместо этого подготовили отдельную инфраструктуру, похожую на реальные задачи, с которыми сталкиваются специалисты по информационной безопасности.

Не одна виртуалка и не набор упражнений

Это была не одна виртуальная машина и не несколько разрозненных заданий. Мы развернули полноценный учебный стенд: с внешним сегментом DMZ, уязвимым сервисом, лабораториями Active Directory и отдельными серверными ресурсами для команд.

Основная инфраструктура с GOAD, DRACARYS и DMZ-сегментом была развернута на выделенных серверных мощностях компании. Такой подход позволил собрать связный сценарий: от уязвимого приложения на внешнем периметре до дальнейшего продвижения во внутренней инфраструктуре.

Сначала — внешний периметр

У обеих групп была одна точка входа — уязвимый сервис во внешнем сегменте DMZ.

С него начиналась работа: нужно было разобраться, как устроено приложение, найти слабое место и получить первый результат. С этой частью справились обе группы.

Дальше задачи становились сложнее.

После AppSec ребята переходили к пентесту Active Directory. Для БИТ-211 была подготовлена лаборатория GOAD с дополнительным сценарием на базе Exchange. Для КЗИ-221 — более сложная лаборатория DRACARYS.

Это уже не учебная задача с понятной инструкцией и очевидным финалом. Здесь нужно думать, проверять гипотезы, ошибаться, возвращаться назад и искать другой путь. Именно так часто и выглядит реальная работа в ИБ.

Отдельные серверы для команд

Для каждой команды также были выделены отдельные серверы. На них студенты разворачивали вспомогательные компоненты лабораторной среды и отрабатывали работу с сессиями в изолированном учебном контуре.

Нам было важно, чтобы студенты увидели не только отдельную уязвимость, но и всю цепочку: внешний сервис, первичный доступ, дальнейшее продвижение, работу с Active Directory, командное взаимодействие и инфраструктурные ограничения.

Командная работа — тоже часть практики

Коммуникацию мы выстроили через Element на self-hosted Matrix-сервере.

Хотелось, чтобы студенты почувствовали не только техническую сторону, но и командную работу: обсуждение находок, фиксацию результатов, обмен идеями и помощь друг другу.

В информационной безопасности важно не только найти проблему. Важно уметь объяснить, что произошло, зафиксировать результат, обсудить гипотезу с командой и не потеряться, когда первый путь не сработал.

Не всё давалось легко

И это нормально.

Часть задач оказалась для студентов действительно сложной. Где-то требовалась постоянная помощь наставников, где-то ребята уверенно двигались сами, но всё равно упирались в ограничения опыта.

КЗИ-221 хорошо продвинулись по DRACARYS, хотя полностью пройти лабораторию не удалось. БИТ-211 потребовалось больше поддержки, но они тоже прошли важный путь — от первой точки входа до понимания того, насколько непростыми бывают реальные задачи.

Что показала практика

Для нас эта практика стала важным опытом.

Мы увидели, что у студентов есть интерес к AppSec, пентесту Active Directory и Cloud Security. Но также стало понятно, что таких практических лабораторных работ в образовательном процессе пока не хватает.

Между теорией и реальными задачами в ИБ всё ещё есть заметная дистанция. Мы хотим помогать эту дистанцию сокращать.

Спасибо студентам ОмГТУ за включенность, вопросы и готовность разбираться в сложных вещах. Спасибо наставникам «Атташе» за терпение и желание делиться опытом.

Мы готовы и дальше сотрудничать с вузами, делать практику ближе к реальности и помогать будущим специалистам по информационной безопасности расти не только в теории, но и в деле.