Ochránite 20 miliárd majetku vašej banky? Kyberzločinci aka Red Team je vám za pätami a dôvera vašich klientov stojí len na tom ako zareagujete na útoky, ktoré prídu. Neviete síce kedy, ani ako, ale prídu každú chvíľu. Máte niekoľko desiatok minút na orientáciu a opona ide hore, show začína! Súťaž Guardians 2026 priniesla mnoho noviniek a celkom nám lichotí, že aj ostrieľaní harcovníci v radoch finalistov nakoniec ostali zaskočení z toho, čo sme si na nich pripravili.
Kyberbezpečnosť je nikdy nekončiaci proces neustáleho zlepšovania. Nie je preto zrejme žiadnym prekvapením, že finále Guardians prinieslo aj výrazné využitie cloudových služieb AWS a Microsoft 365 s Entra ID a ich integráciu do klasického on-premise bankového prostredia. Výsledkom bol realistický hybridný model troch bánk, kde sa bezpečnostné incidenty neodohrávali izolovane, ale naprieč sieťou, identitou, aplikáciami a cloudovými rolami.
Simulované banky fungovali v segmentovanej architektúre rozdelenej do viacerých oddelených sieťových zón – DMZ s verejne aj interne dostupnými službami akými boli webová stránka banky, aplikácia na spracovanie pôžičiek a s tým spojených operácií či backend systém zodpovedný za finančné transakcie. Perimeter zabezpečoval enterprise-grade firewall, pričom schopnosť utilizácie jeho funkcionalít zostávala na hráčoch. V základnom režime útoky iba logoval, teda rozhodnutie čo blokovať, izolovať alebo patchovať, zostávalo výlučne na obrancoch.
Centrom obrany bol SIEM, ktorý agregoval logy z Windows serverov (Sysmon, Winlogbeat), Linux systémov (Filebeat, Auditbeat), DNS požiadavky aj cloudové udalosti z AWS aj M365/Azure. Zásadné však bolo, že nie všetko bolo viditeľné automaticky. Niektoré scenáre si vyžadovali manuálnu forenznú analýzu, koreláciu dát a technické pochopenie kontextu. Presne tak ako v reálnom SOC.
Cloudová vrstva pridala ďalší rozmer komplexity. Útočník sa mohol z DMZ presunúť do AWS, zneužiť IAM roly, manipulovať s vysoko dostupnými cloudovými databázami (DBaaS) alebo zneužiť kompromitovanú identitu v Microsoft 365. Hranica medzi infraštruktúrnym a aplikačným incidentom sa v tomto ročníku prakticky vytratila. Cloud výrazne zamiešal karty a niekotré tímy doslova prekvapil.
Bankový chatbot v službách hackerov a “leaknuté kredence”
Asi neprekvapí, že náš red tím sa naozaj dobre pripravil a tak, ako to býva v reálnom svete, naše útočné scenáre pokrývali celé spektrum moderných hrozieb. Od zneužitia zraniteľnosti v aplikačnom serveri (vzdialené spustenie kódu cez zraniteľný Tomcat) a následnej eskalácie oprávnení, cez krádež AWS kľúčov a vytvorenie perzistencie v IAM, až po kompromitované prihlasovacie údaje v Microsoft 365 a exfiltráciu dokumentov zo SharePointu. Hoci technické detaily boli dôležité, jadro väčšiny útokov bolo prekvapivo „ľudské“. Útočníci nehľadali len zraniteľnosti infraštruktúry, ale hľadali aj chyby v rozhodovaní, v pozornosti a v procesoch.
Príkladom ľudskej chyby s nemalým dosahom na banku bola používateľka Magdalena Nemec. Zrejme si niekedy v minulosti nedala pozor a jej prihlasovacie údaje sa objavili na predaj na darkwebe. Útočník ich jednoducho použil, prihlásil sa do firemného prostredia cez M365 a začal si sťahovať citlivé dokumenty zo SharePointu.
Elegantnou ukážkou moderných hrozieb bol útok na bankového chatbota. Naši hackeri sa s ním „rozprávali“ tak dlho, až im omylom prezradil interné údaje, vrátane tokenu a tajného kľúča pre administrátorský účet. Ironické, ale veľmi reálne zneužitie pomocníka pre klientov na to, aby ste sa dostali k prístupom do bankového cloudu. Následne útočníci zmenili heslá, odstavili internú aplikáciu a upravil databázové prístupy. Zdanlivo neškodná funkcionalita = vážny prevádzkový problém.
Pod paľbou sa ocitol aj perimeter banky. Firewall obsahoval známe, no nezaplátané zraniteľnosti. Útočníci si najskôr potichu stiahli jeho konfiguráciu a následne začali zariadenie reštartovať. Banka tak bola na pár minút odrezaná od internetu. Tento útok nebol o krádeži dát, ale o dostupnosti a reputácii.
Zásahy smerovali aj na vývojársku infraštruktúru GitLab a kontajnerové prostredie. Hoci nie všetky pokusy boli úspešné, scenár ukázal, že moderná banka musí chrániť aj svoje vývojové nástroje. A popri tom všetkom bežal každodenný „digitálny život“. Simulovaní zamestnanci klikali na reklamy, prihlasovali sa, zabúdali heslá. Prebiehali brute-force pokusy, skenovania, menšie incidenty. Pre blue tímy to znamenalo neustále triedenie čo je reálny útok a čo len šum a práve tu sa lámal chlieb.
Tri banky, jedna trofej
Tímom, ktoré podali najlepší výkon v kvalifikačnom CTFd, sme po zaradení do troch finálových pridelili ochranu bánk Alpha (Tím 1), Bravo (Tím 2) a Charlie (Tím 3). Aby sme zážitok z finálovej hry čo najviac priblížili realite, vytvorili sme systém skórovania, ktorý vyjadroval „dôveru verejnosti“ cez množstvo spravovaných finančných prostriedkov.
Negatívne udalosti ako úspešné útoky, výpadky služieb alebo dlhodobá nedostupnosť systémov, znižovali verejnú dôveru. S jej poklesom začali klienti vyberať svoje prostriedky. Naopak, úspešná detekcia a zastavenie útokov zvyšovala dôveru verejnosti a zároveň aj prílev kapitálu.
Body sa prideľovali za rýchlosť detekcie, kvalitu reakcie a úroveň investigácie. Nestačilo útok iba zastaviť. Bolo potrebné presne zdokumentovať kto útočil, akým spôsobom, aký bol dopad a aké opatrenia sú potrebné do budúcna.
Charlie Bank: odvaha, technická intuícia, ale aj nepríjemne tvrdá lekcia
Cybersecurity tím banky Charlie prekvapil schopnosťou identifikovať už aj prípravné aktivity útočníka. Išlo napríklad o skripty s nadmernými oprávneniami či anomálie, ktoré neboli priamo útokom. Ako jediní aktualizovali firewall, čím zabránili opätovnému zneužitiu zraniteľnosti.
Tím však doplatil na jedno strategické rozhodnutie: nesprávne vyhodnotený incident viedol k dlhodobej karanténe servera, čo výrazne znížilo skóre počas veľkej časti hry. Navyše niektoré alerty ako napríklad únik AWS credentials síce zaznamenali, no nereagovali na ne dostatočne rýchlo.
Bolo by ale nefér nespomenúť, že išlo o vekovo najmladší tím vo finále. Ich výkon potvrdil, že seniorita pri práci s komplexnou hybridnou infraštruktúrou nehrá rolu a ich úroveň bola porovnateľná s profesionálnymi SOC tímami.
Alpha Bank: silná dokumentácia a technická presnosť
Obrancovia zareagovali na prvotný incident pomalšie, no následne výrazne zrýchlili. Tím preukázal veľmi dobrý ticket management. Každý detegovaný incident mal vlastný záznam s popisom vykonaných krokov a odporúčaní.
Alpha vynikali v mapovaní zraniteľností na konkrétne CVE a navrhovaní patchovacích opatrení. Zariadenia nedržali v karanténe dlhšie, než bolo potrebné, čo minimalizovalo negatívny dopad na dostupnosť služieb. V niektorých prípadoch mohli ísť do väčšej hĺbky analýzy, no celkovo podali vysoko profesionálny výkon.
Bravo Bank: konzistentnosť a tímová vyspelosť
Víťazný tím vynikal najmä disciplinovanou komunikáciou a rozdelením rolí. Rozhodnutia o karanténe zariadení nerobili impulzívne, ale po krátkej internej diskusii a zvážení dopadu na dostupnosť služieb. Ich reakcie boli primerané situácii. Nič nepodcenili, no nekonali ani prehnane reštriktívne.
Silnou stránkou bola práca s cloudovými incidentmi. Dokázali správne interpretovať AWS udalosti, prácu s IAM rolami či zmeny hesiel databáz v RDS. Aj keď niektoré mitigácie trvali dlhšie, vždy boli podložené analýzou a návrhom systémových opatrení. Výrazným faktorom bola aj stabilná tímová dynamika. Pokles skóre ich nerozhodil a udržali si pracovné tempo až do konca.
Guardians 2026 – Realistický tréning v jeho najtvrdšej podobe
Tréning v prostredí BinConf RANGE odráža najnovšie trendy. Z brusu nová infraštruktúra obohatená o cloudové služby, realistické používateľské správanie a prepracovanejšie útočné scenáre priniesla ešte vernejšiu simuláciu súčasných hrozieb.
Zažiť realitu hackerského útoku je pre ľudí pracujúcich v kybernetickej bezpečnosti zásadná skúsenosť. Iba časový stres a zodpovednosť za funkčnosť systémov preveria tím ako celok. Ukazuje sa kvalita dohodnutých procesov, komunikácie aj schopnosť rozhodovania pod tlakom.
Na Guardians súťažiaci zažijú také množstvo útokov aké nevidia mnohí ani za celý rok. Učia sa ich nielen detegovať a zastaviť, ale aj správne zdokumentovať, vyhodnotiť dopad a prijať opatrenia, ktoré znižujú riziko opakovania. Presne tieto schopnosti bezpečnostných tímov rozhodujú o tom, či organizácia zvládne skutočný incident bez fatálnych následkov.
European Cybersecurity Competence Centre (ECCC) supports this project via grant agreement 101128075
In partnership with
