Согласно отчету экспертного центра безопасности Positive Technologies, за последние два года число расследований инцидентов увеличилось более чем в два раза, а 40% всех расследованных инцидентов были совершены известными APT-группировками. На фоне этого растет популярность киберучений: на них специалисты по информационной безопасности в виртуализированной IT-инфраструктуре, на которой воспроизводятся кибератаки разной степени сложности, отрабатывают навыки обнаружения атак, расследуют инциденты, экспериментируют с настройками корпоративной сети и средств защиты информации.
Кибератаки сегодня осуществляются на все отрасли экономики - и поэтому киберучения проводят с расчетом на большинство из них. Киберучения, проводимые в приближенных к реальности условиях, - важный элемент построения системы результативной кибербезопасности. На российском рынке самые реалистичные кибербитвы проводятся компанией Positive Technologies на киберполигоне Standoff: полигон воспроизводит инфраструктуру целого ряда отраслей экономики, а участники могут подготовиться к угрозам и самым непредсказуемым сценариям благодаря живому хакерскому трафику со стороны поддерживаемого компанией международного сообщества независимых исследователей безопасности.
Киберучения давно реализуются на уровне стран, к примеру в октябре США, Евросоюз, Япония и участники из стран АСЕАН провели аналогичные совместные тренировки в ответ на резкое увеличение числа кибератак, направленных на инфраструктуру. Российский рынок киберполигонов менее насыщен, но имеет тенденцию к росту. Основные драйверы, способствующие повышению спроса - рост зрелости процессов в крупных компаниях, а также национальные и отраслевые программы, направленные на цифровизацию экономики Российской Федерации.
Для киберучений и, соответственно, обработки навыков специалистов нужен специально оборудованный полигон. Он представляет из себя многофункциональную ИТ-инфраструктуру, на которой воспроизводятся кибератаки разного действия и сложности. Полигон позволяет проводить их безопасно, без возможного вреда для какой-либо организации - исключительно для тестов. Участников киберучений делят на команды: атакующих, или красных, которые проводят рейды на инфраструктуру и фактически выступают в роли этичных хакеров, и защитников - синих, которые эти атаки мониторят и расследуют.
Но не все киберучения "одинаково полезны": некоторые из них проходят по ограниченному числу сценариев, которые, к тому же, имеют тенденцию устаревать, говорят в компании Positive Technologies. А как раз актуальность очень важна для обучения, так как хакеры, их атаки, техники, инструменты часто на шаг впереди экспертов по ИБ. В связи с этим вариант с заранее разработанными сценариями атак не позволяет в полной мере идентифицировать реальную хакерскую атаку и понять логику атакующего, а значит, менее полезен и для команды защиты.
Играет роль и ограничение по времени - часто киберучения укладываются в один или максимум два дня, тогда как реальные атаки могут проводится в течение многих недель и даже месяцев. Поэтому в участии в кибербитвах важна регулярность, а в организации - проработка сценариев, использование реальных информационных систем и возможность продолжения работы на полигоне по окончании активной фазы киберучений.
Киберучения Standoff 365 от Positive Technologies
Один из самых успешных примеров кибербитв в России - Standoff. Positive Technologies регулярно проводит их с 2016 года. Тогда в кибербитву трансформировались студенческие соревнования по спортивному хакингу (CTF).
Теперь, спустя семь лет со старта, макет (а заодно и сама ИТ-инфраструктура) киберполигона стал целым цифровым государством F, где публичные учения проводятся дважды в год - в мае и в ноябре. На полигоне воссоздаются производственные цепочки, бизнес-сценарии и технологический ландшафт, характерные для компаний различных отраслей, изучаются возможности реализации недопустимых событий и их предотвращения. А в ходе битв используются реальные оборудование и информационные системы.
Например, в ноябре 2023 года на Standoff 12, которая длилась четыре дня, атакующим и защитникам предоставили шесть сегментов для маневров: энергетическую, нефтегазовую, транспортную, финансовую, космическую отрасли и городскую экосистему. Сегменты обновляются от битвы к битве, а космический вообще был представлен впервые. Настоящий спутник-сервер компании RUVDS давал участникам возможность получить контроль над действующим космическим аппаратом в условиях, максимально приближенных к реальности.
На битве в государстве F впервые в мире был реализован такой способ "доставки на орбиту", как космолифт. И, как говорят в Positive Technologies, атака в виде кражи чертежей космолифта пользовалась у участников большой популярностью.
Также примечательно то, что компания публично выставила на Standoff 12 часть собственной инфраструктуры и предложила приз в 5 миллионов рублей для тех красных команд, кто сможет внедрить сторонний код в один из продуктов компании. "Задача красных - атакующих - хакнуть как можно больше объектов нашей инфраструктуры. Но наши 5 миллионов рублей остались с нами - нас не взломали, хотя кое-кто был близок", - рассказала бизнес-лидер киберполигона Standoff 365 Елена Молчанова.
Во время кибербитвы команды красных пытаются взломать как можно больше объектов инфраструктуры. "Например, хакеры могут атаковать сегмент электроэнергетики и остановить турбину гидроэлектростанции, ветряной электростанции, теплоэлектроцентрали. На макете мы увидим, какой ущерб нанесен экономике, хозяйству нашего виртуализированного государства F. А если это возможно на киберполигоне, это возможно и в реальной жизни", - поясняет Молчанова.
А защитники (они же расследователи) - крупные компании. Их задача - в первую очередь зафиксировать и расследовать атаку. А в ноябре на Standoff у команд защиты вновь появилась возможность останавливать атаки.
"Каждая из синих команд защищает одну из отраслей. Например, Росреестр защищал городское хозяйство и Госуслуги - то, что максимально релевантно его реальной деятельности", - добавила Молчанова.
Опыт участников битвы
На кибербитве Standoff компании-партнеры могут проверить надежность своей инфраструктуры, а их сотрудники могут участвовать как защитники. И кибербитва действительно помогает выявлять перспективные направления для развития специалистов, способствуют их обучению, подтверждает глава службы управления персоналом компании "Газинформсервис" Анна Прабарщук, сотрудники которой в последний раз выступали на стороне атаки (а до того в течение нескольких лет "играли синими").
Компании eKassir и SafeTech в ноябрьском ивенте разместили на киберполигоне свои системы и остались довольны их защищенностью - их инфраструктура выстояла. "Мы хотели проверить, насколько устойчивыми к внешнему воздействию окажутся наши ключевые программные продукты, будучи встроенными в ИТ-инфраструктуру организации. С этой целью в решениях был предусмотрен ряд уязвимостей: нас интересовало, удастся ли специалистам по этичному хакингу их отыскать, а также каким образом будет организована атака", - отметил генеральный директор eKassir Алексей Зотов.
По мнению Павла Мельниченко, технического директор SafeTech, разработчик, выставивший свое решение на киберполигон, априори не может проиграть. Если команде красных удалось обнаружить уязвимость или взломать продукт, то это уникальная возможность понять, что было упущено, провести работу над ошибками.
Хостинг-провайдер RUVDS в ноябрьской битве Standoff предоставил свой спутник в качестве цели для атаки. Генеральный директор RUVDS Никита Цаплин пояснил, что участие в кибербитве идеально укладывается в видение компании, а сам проект со спутником - научно-образовательный. "Цель нашего присутствия - чтобы как можно больше молодых талантов смогли прикоснуться к космическим технологиям и заинтересоваться ими, в частности изучить ранее довольно закрытый вопрос кибербезопасности космических аппаратов", - добавил он.
Онлайн-киберполигон
И еще один важный момент. Участвовать в киберучениях теперь можно не только офлайн два раза в год, но и нон-стоп в онлайне. Онлайн-киберполигон Standoff 365 компания запустила полтора года назад и сейчас он доступен как для атакующих, так и для защитников. Как поясняют в Positive Technologies, запуск позволил исследователям безопасности легально изучать ИТ-инфраструктуру крупных компаний и непрерывно развивать свои навыки.
На платформе можно проводить сравнительные учения, выявлять и анализировать самые опасные и продолжительные тактики и техники стороны атаки, проводить эксперименты с разной конфигурацией инфраструктуры и средств мониторинга информации.
За время с создания Standoff 365 вокруг него сформировалось целое международное комьюнити, подчеркивает бизнес-лидер полигона Елена Молчанова. Это более 5 тысяч принятых отчетов с отдельными найденными уязвимостями. "Их мотивация - отработка своих навыков атакующей безопасности, знакомство с различными типами ИТ-сервисов, и в конечном счете повышение собственной ИБ-компетенции. Эти люди формируют вокруг Standoff уникальное сообщество, и это же сообщество делает нам полигон столь полезным для корпоративных служб информационной безопасности", - добавляет она.
Все это нужно в первую очередь для того, чтобы компании могли прокачать навыки своих сотрудников. Кроме того, такой формат позволяет привлечь внимание людей к проблеме кибербезопасности.
Moscow Hacking Week
Последние киберучения Positive Technologies - Standoff 12 - прошли в рамках ивента Moscow Hacking Week. Само мероприятие собрало более 65 тысяч человек онлайн и офлайн, для которых прошли четыре события: сама кибербитва Standoff 12, конференция и воркшопы для начинающих специалистов в сфере кибербезопасности Standoff 101, закрытый Standoff Hacks для багхантеров - тех, кто легально тестирует системы заказчиков на безопасность, - и митап Standoff Talks.
Как анонсировала Елена Молчанова, в следующий раз, в мае 2024 года, киберучения и весь ИБ-фестиваль пройдут в двух локациях: в Москве и в наукограде Сириусе. Основной фокус московской части мероприятия, разумеется, защита бизнеса и общества, а вот в Сириусе упор будет сделан на академическую часть, то есть на ИБ-образование и развитие молодежи.
Реклама. АО "Позитив Текнолоджиз"