Der Vectra Threat Hunter CTF wurde als praxisorientierter Workshop für Fortgeschrittene und Experten konzipiert, der sich an Security-Mitarbeitende richtet, die sich für praktische Ermittlungen, Threat Hunting und erkennungsorientierte Analysen interessieren. Der CTF wurde im Rahmen der «Swiss Post Cybersecurity Hack Events» kostenlos angeboten und bot den Teilnehmenden die Möglichkeit, ihre Fähigkeiten anhand realistischer Verteidigungsszenarien zu verbessern, die von ebenfalls realen Angriffstechniken inspiriert waren.
Der Capture the Flag-Wettbewerb wurde im Stil der Quizshow „Jeopardy“ mit mehr als 20 Herausforderungen aufgesetzt, die in etwa 90 Minuten gelöst werden mussten. Die Teilnehmer mussten eigenständig ermitteln, Hypothesen aufstellen, die verfügbaren Daten auswerten und ihre Erkenntnisse anhand technischer Beweise validieren.
Die Herausforderungen konzentrierten sich auf praktische Workflows zur Bedrohungssuche und -untersuchung, wobei folgende Schwerpunkte gelegt wurden:
Cybersecurity-Mitarbeitende vertieften ihre Ermittlungsfähigkeiten
Dies war weder ein Workshop für Anfänger noch eine angeleitete Schulung.
Von den Teilnehmenden wurde erwartet, dass sie wie echte Sicherheitsanalysten arbeiten: bei Bedarf Recherchen durchführen, Signale miteinander in Zusammenhang bringen, das Verhalten von Angreifern nachverfolgen und den Kontext hinter jedem Flag verstehen.
Die Inhalte umfassten realistische Verteidigungsszenarien im Bereich Netzwerkmetadaten und erkennungsgesteuerte Untersuchungen. Zu den Schwerpunkten gehörten DNS, HTTP, SSL/TLS, SMB, Kerberos, LDAP, RDP und RPC sowie Techniken wie Exfiltration, Command-and-Control, Zugriff auf Anmeldedaten, laterale Bewegung und Umgehung von Abwehrmassnahmen.
Dieser Workshop eignet sich besonders für Teilnehmende mit fundierten Sicherheitskenntnissen, die ihre praktischen Fähigkeiten in den Bereichen Untersuchung und Bedrohungssuche in einem wettbewerbsorientierten Format vertiefen möchten.
Swiss Post Cybersecurity unterhält eine langjährige Partnerschaft mit Vectra und nutzt die Vectra-Plattform als einen Bestandteil des Schweizer Cyber Defence Centers. Dies ermöglicht den SOC-Mitarbeitenden, Organisationen und staatlichen Institutionen zuverlässige Lösungen zur Verteidigung anzubieten.
Leandro Kalt, Security Engineer, Vectra:
„Die Teilnahme an und die Mitorganisation des Vectra Threat Hunter CTF gemeinsam mit Swiss Post Cybersecurity war eine grossartige Erfahrung. Ein CTF ist eine sehr effektive Methode, um Technologie, Ermittlungsmethodik und das reale Verhalten von Angreifern in einem praxisorientierten Format zusammenzuführen.
Die Teilnehmenden mussten wie Analysten denken, Hypothesen aufstellen, den Hinweisen nachgehen und die Vectra-KI-Plattform nutzen, um zu verstehen, was in der Umgebung vor sich ging. Die Stimmung in Zürich und Genf war hervorragend, und das Feedback bestätigte, dass dieses Format ein wirkungsvolles Mittel ist, um den Wert von Threat Hunting und ermittlungsorientierten Untersuchungen zu demonstrieren.“
Deniz Mutlu, Director Strategic Partners, Swiss Post Cybersecurity:
„Seit der ersten Auflage unserer Hack-Events habe ich gemerkt, dass die CTFs eine ganz besondere Energie erzeugen: Konzentration, Neugier, Wettbewerbsgeist und ein starkes Gemeinschaftsgefühl. Für mich ist dies eine der besten Möglichkeiten zum Lernen.
Teilen ist wichtig, aber „Learning by Doing“ ist definitiv der wirkungsvollste Weg, um die Technologien unserer strategischen Partner, denen wir vertrauen, zu entdecken, zu verstehen und zu fördern. Gemeinsam mit Vectra konnten wir eine realistische Threat-Hunting-Erfahrung schaffen, die es den Teilnehmenden ermöglichte, reale Szenarien zu untersuchen und den Nutzen der Plattform in der Praxis zu erleben.“
Die Organisation eines „Capture the Flag“-Erlebnisses ist immer eine Herausforderung, und jede Ausgabe der Hack Events bietet die Gelegenheit, der Community etwas Neues zu bieten. Nach früheren Ausgaben mit „Splunk Boss of the SOC“ und „Microsoft Into the Breach“ arbeitete Swiss Post Cybersecurity eng mit Vectra zusammen, um einen speziellen Threat-Hunting-CTF zu entwickeln, der auf die Hack Events in Zürich und Genf zugeschnitten war.
Während mehrerer Wochen der Vorbereitung arbeitete Deniz Mutlu, Director Strategic Partners bei Swiss Post Cybersecurity und Microsoft Security MVP, gemeinsam mit Leandro Kalt, Rudi Jäger und dem Vectra-Entwicklerteam daran, realistische Untersuchungsszenarien zu entwerfen und ein praxisnahes Erlebnis rund um die Vectra-KI-Plattform zu schaffen.
Vor Ort fungierten Deniz Mutlu und Leandro Kalt als Game Master, unterstützt von Michael Liechti, Pre-Sales Consultant bei Swiss Post Cybersecurity, um die Teilnehmenden anzuleiten und ein optimales Erlebnis zu gewährleisten. Auch die Atmosphäre war Teil des Konzepts: dezente Trance-Musik, Beleuchtung, Speisen und Getränke trugen dazu bei, die richtigen Rahmenbedingungen für einen unternhaltsamen und lehrreichen Cyber-Abend zu schaffen.
Sogar die Trophäen waren Teil der Geschichte: Sie wurden von Swiss Post Cybersecurity im 3D-Druckverfahren hergestellt, wobei auch die lasergravierten Etiketten vom Unternehmen selbst vorbereitet und angebracht wurden. Eine echte Teamleistung – von der Vorbereitung bis zum Podium.
Dann abonnieren Sie unseren Newsletter, in dem wir Sie über bevorstehende Veranstaltungen, Webinare und Trends im Bereich Cybersicherheit informieren.