Алексей Лукацкий: Киберучения — удел очень зрелых заказчиков

Алексей Лукацкий, бизнес-консультант по информационной безопасности компании Cisco Systems, обсудил с Anti-Malware.ru недавние инициативы Банка России, согласно которым киберучения станут обязательными для всех кредитных организаций страны. Специалист оценил практику проведения такого рода учений, провёл параллели с ФинЦЕРТ и поразмышлял на тему дальнейших перспектив финансовой сферы.

На Уральском форуме по информационной безопасности в финансовой сфере Банк России анонсировал, что банки будут обязаны проводить у себя киберучения. Что следует понимать под киберучениями и что входит в это понятие?

А. Л.: Формального определения киберучений пока не существует, эта тема относительно нова. И я надеюсь, в обозримом будущем такого определения и не появится, так как это сразу сузит эту область, которая только начала зарождаться. Я бы под киберучениями понимал проверку навыков — не просто знаний, а реальных умений противостоять различным атакам в стандартных и нестандартных ситуациях. И в этом — ключевое отличие от редтиминга, когда по сути своей команда, занимающаяся взломом, не предупреждает никого о своих действиях (кроме, может, одного-двух человек) и моделирует реальные действия злоумышленников, а безопасники при этом пытаются их выявить, не зная, что идут учения и их кто-то проверяет. В киберучениях как раз заранее известен общий, рамочный сценарий, известен инструментарий, который будет использоваться для обнаружения той или иной активности. Такова ситуация, если мы говорим именно об учениях по выявлению угроз — ведь есть ещё учения, когда безопасники встают на сторону нападающих и пытаются их глазами посмотреть, как осуществляется та или иная атака. Впрочем, в любом случае это делается на некоем стенде. То есть это — не реально работающая система, а именно стенд, может быть даже эмулирующий действительно работающие у заказчика системы. И дальше такие киберучения уже могут разбиваться на различные варианты реализации.

Есть технологические киберучения, когда атаки моделируются с помощью того или иного инструментария: это может быть Metasploit, решение класса Breach & Attack Simulation (BAS) либо просто набор скриптов, работающих по сценарию, который разработал организатор киберучений. На другой стороне — обороняющихся — опять же используется стек решений, либо с открытым кодом, либо коммерческий; если учения проводятся для конкретной компании — то стек тех продуктов, которые используются непосредственно в ней. Основная задача — выявить слабые места у безопасников в части практической работы и выявления тактик и техник злоумышленников.

На технических киберучениях проверяется умение не просто работать с продуктом (это можно почерпнуть на любых авторизованных курсах), а именно использовать возможности тех или иных решений в конкретных ситуациях — чтобы безопасники знали, что делать, а не метались и пытались понять, как это всё работает, если такая ситуация случилась.

Мы всегда говорим о некой тестовой среде, когда проводятся киберучения. Это — или выделенный сегмент, или модель инфраструктуры, на которой всё это проходит. Верно?

А. Л.: Обычно — да. В зависимости от того, как и кто это организует, это может быть стенд, некий сегмент в инфраструктуре заказчика. У многих крупных заказчиков, которые зачастую являются потребителями этих киберучений, есть стенды для тестирования новых технологий, они могут выделяться для такого рода учений. В других случаях это — виртуальная инфраструктура, которая разворачивается во время учений на инфраструктуре заказчика. То есть это — некие виртуальные образы, которые формируют этот сегмент, либо (в самых продвинутых вариантах) готовая инфраструктура с отработанными схемами, программным обеспечением, «железом», к которой участники киберучений подключаются удалённо. И там помимо инструментария для обнаружения и отражения кибератак ещё используются различные «скоринг-борды» для подсчёта очков, чтобы можно было визуализировать и добавить некоторый соревновательный элемент, если участвует не одна команда, а сразу несколько.

Ещё в прессе часто фигурирует термин «штабные киберучения». Это — какой-то частный случай, упрощённая версия или вообще другая история?

А. Л.: Это — совсем другая история, это — киберучения без использования технологических решений.

Если классическое понимание киберучений — это такой CTF, где мы тестируем именно технические навыки обнаружения и реализации кибератак, то штабные киберучения — это скорее ориентация на средний или высший уровень менеджмента компании либо подразделения по информационной безопасности, где моделируются некие ситуации, и в рамках мозгового штурма в условиях цейтнота команда принимает управленческие решения, которые показывают слабые места коммуникаций в командах, непроработанные или отсутствующие регламенты, несогласованность действий, нехватку нужных специалистов и т.п.

Например, один из типовых сценариев бывает таким: вы, придя на работу, узнали, что в одном из федеральных СМИ опубликована информация об утечке клиентской базы вашей организации — что вы предпримете? Соответственно, если такие штабные учения проводятся на уровне подразделения кибербезопасности, то проверяется, есть ли регламенты относительно того, как реагировать на такие инциденты, как будет верифицироваться и подтверждаться факт утечки, как будут выявлять лицо, из-за которого, возможно, произошла утечка, или лиц, которые имели доступ к утекшей информации. Если это — уровень правления, руководителей бизнес-подразделений, то проверяется, как они будут реагировать: кто будет общаться с прессой, с контрагентами, кто будет готовить сообщения для клиентов, или вообще факт утечки будет скрываться, или имеется заранее подготовленный набор ответов.

В рамках таких игровых сценариев, имеющих под собой вполне реальную основу, проверяется способность организации ответить на те проблемы, которые возникают в жизни, а не на бумаге и не в документах регулятора. Это — история о командных взаимодействиях по отработке конкретных ситуаций из жизни.

Если говорить о международной практике проведения киберучений, то насколько это востребовано на более зрелых рынках?

А. Л.: Эта тема на Западе чуть постарше, чем в России. Но фактом того, что она является достаточно востребованной, можно назвать то, что аналитическое агентство Gartner написало отдельный документ о такого рода учениях, привело некие критерии выбора поставщика. Если какой-то темой интересуется Gartner, это значит, что есть запросы со стороны его клиентов на эту тематику, то есть она перестала быть уделом одиночек. Если посмотреть на рынок этих игроков, то уже появляются компании, которые всерьёз предлагают всё необходимое — и инструментарий, и каталоги сценариев либо их разработку «под заказчика», и проведение таких киберучений. И на многих мероприятиях за рубежом, на том же самом RSA Conference или саммитах SANS, тоже проводятся такого рода учения. SANS вообще давно «копает» эту тему и предлагает свой фирменный продукт — «NetWars» (сетевые войны), который часто реализуется для корпоративных заказчиков или на различных крупных мероприятиях. Это — как раз уже технические киберучения, где даются задания, которые надо в определённый срок выполнить, продемонстрировать их выполнение, перейти на следующий уровень и так далее. Поэтому — да, эта тема востребованна на Западе, где понимают, что выполнение требований регуляторов важно, но оно не спасает от реальных хакеров, которым нужно противопоставлять практический опыт и навыки.

Кто занимается такого рода услугами? Их предоставляют те же компании, которые специализируются на пентестах, на редтиминге, или это — специализированные организации, которые занимаются только этим?

А. Л.: По-разному бывает. От пентестеров я таких предложений не видел, потому что несмотря на то, что это — схожие темы, всё-таки пентестеры и редтимеры делают всё руками сами, далеко не всегда могут это методологически преподнести своим клиентам и регулярно повторять из раза в раз одно и то же. Обычно такого рода вещами занимаются консалтинговые компании или консалтинговые подразделения ИБ-компаний. Я видел такие предложения от компаний «большой четвёрки». Ещё такие предложения делают крупные игроки рынка информационной безопасности, которые раньше занимались продуктами, потом у них появился консалтинг, и в рамках своих консалтинговых услуг они предлагают своим клиентам киберучения, называя их либо Cyber Range, либо Cyber Exercises. Также есть отдельные компании, которые предлагают такого рода темы «под ключ» — готовые полигоны, которые можно купить или арендовать на время.

Компания Cisco тоже предоставляет такие услуги?

А. Л.: Да, мы их предоставляем. Более того, мы даже в России уже предоставляли их. Например, в рамках нашей ежегодной конференции Cisco Connect на протяжении последних пяти лет мы привозим нашу команду Cyber Range, которая проводит облегчённую версию такого рода учений. В обычной ситуации они длятся три дня или пять дней (зависит от выбранных сценариев); на Cisco Connect мы проводим их бесплатно в течение четырёх часов. Сейчас мы перезапустили этот сервис, подготовив Cyber Range 2.0, где доступно большее количество сценариев под разные отрасли.

Насколько востребованна сейчас эта тема в России? Это, скажем, — десятки проектов?

А. Л.: Слово «десятки» я бы, наверное, не стал использовать, потому что всё-таки в условиях, когда компания далеко не всегда имеет ресурсы просто на приобретение средств защиты и выстраивание процессов, — до того, чтобы их проверить на реалистичных сценариях, мало у кого доходят руки.

Киберучения — удел очень зрелых заказчиков, которые понимают, что закупить кучу дорогостоящего «железа» — это одно, заказать разработку процессов у консультантов — это другое, а проверить, насколько всё имплементировано, — это третье. Поэтому компания должна быть зрелой.

Достаточно популярна тема проведения киберучений именно в рамках каких-то конференций и мероприятий по кибербезопасности — там они просто привлекают интерес людей, потому что формат нов, и в нём люди готовы участвовать, особенно бесплатно.

Если говорить о заказных киберучениях для конкретных компаний, то что должен получить на выходе заказчик? Должен понять, что у него есть какие-то слабые места в инфраструктуре или в процессной части? Каковы показатели эффективности затрат средств на такие мероприятия?

А. Л.: Если мы говорим про штабные киберучения, то там показателем является именно выявление слабых мест в коммуникациях, в процессах, регламентах реагирования на те или иные инциденты. По результатам эти слабые места закрываются либо внешней компанией, либо самим заказчиком, который пишет правила коммуникации со СМИ в случае инцидента, разрабатывает регламент взаимодействия между подразделениями, готовит шаблоны тех же самых сообщений для СМИ, для клиентов, контрагентов, партнёров, нанимает новый персонал, если учения показали его нехватку, и т.п. Если мы говорим про технические киберучения, то тут результатом является уменьшение времени выявления инцидентов и реагирования на них, классических метрик любого SOC: time to detect (TTD), time to respond (TTR). Эти учения позволяют людям более эффективно использовать имеющиеся технические решения. Иногда они показывают отсутствие какого-либо источника данных для выявления инцидентов или инструмента для работы с тем или иным имеющимся источником данных, что тоже полезно в практической деятельности.

Кстати, мы затронули интересный момент. Что должно быть у компании выстроено внутри, чтобы она была полностью готова к проведению киберучений? Подразумевается ли, что у компании должен быть в каком-то виде SOC или центр управления безопасностью?

А. Л.: Не обязательно. Всё зависит от того, что хочет заказчик. Есть варианты стандартизированных киберучений, когда поставщик данной услуги предоставляет готовые типовые сценарии (например, для банка это — отражение атак группировок Carbanak или Cobalt) и отрабатываются возможности сотрудников финансовой организации выявлять и блокировать такого рода вещи. Либо это — заказной сценарий; тогда при его разработке учитывается тот инструментарий, те процессы, которые в этой организации используются. SOC для проведения киберучений не нужен, но без него учения будут малоэффективными, так как SOC — это в первую очередь не технологии, а люди и процессы. И если в организации нет ни того, ни другого, то киберучения это покажут. Но в незрелых компаниях это можно увидеть и так.

Возвращаясь к инициативам Банка России: они объявили, что киберучения будут обязательными для всех банков. Известно ли, в каком виде это всё будет происходить? Это будет штабная история или техническая? И что это реально даст для защищённости тех же банков?

А. Л.: Сейчас у ЦБ есть движение в сторону отказа от комплаенс-ориентированного подхода в пользу риск-ориентированного, базирующегося на оценке реальной защищённости финансовой организации. Киберучения — движение как раз в эту сторону.

Поскольку заявлено, что это будет делаться в самое ближайшее время, то, не располагая деталями, могу предположить, что начнётся всё со штабных киберучений, потому что их проще реализовать.

Постепенно, как было с ФинЦЕРТ: вначале — ручная передача информации об инцидентах, потом — автоматизация. С киберучениями будет та же самая картина: вначале — штабные «игры», а потом, возможно, в альянсе с каким-то российским поставщиком такого рода услуг и продуктов (а их сейчас два как минимум — это «Ростелеком» и «Перспективный мониторинг») будет развёрнута постоянная инфраструктура для проведения киберучений, которую можно сдавать в аренду, даже монетизировать это. Можно какие-то базовые вещи делать в бесплатном режиме, а на платной основе — что-то более продвинутое. Я не вижу никаких препятствий для реализации такой схемы. Кроме того, это может происходить в рамках подготовки специалистов самих подразделений Центрального банка на площадке Университета Банка России.

Есть некий скепсис по поводу того, что все из оставшихся у нас банков «побегут» проводить киберучения. Есть подозрение, что большая часть превратит это в формальный бумажный процесс: мол, мы провели, отчитались, у нас с киберустойчивостью всё в порядке. Потому что, я так понимаю, именно оценка киберустойчивости важна для профиля риска финансовой организации.

А. Л.: В том-то и отличие того, что делает Центральный Банк России сейчас, от того, что было раньше. Если раньше собирали только отчётность по самооценке или аудиту, которой достаточно легко можно было манипулировать, то теперь ЦБ собирает данные по разным направлениям: это — и отчётность по аудиту, и данные по хищениям, и сведения по инцидентам, и данные по рискам. Пятый показатель, который будет учитываться в профиле риска, — это анализ информационного фона: что о финансовой организации говорят в СМИ и в соцсетях. Такая кумулятивная оценка будет показывать реальное состояние защищённости финансовой организации, и манипулировать ею будет гораздо сложнее. Если организация может управлять всеми этими показателями, то, значит, у нее достаточно высок уровень зрелости — ей проще выполнять все эти инициативы, которые запускает Центральный банк. Поэтому — да, на первых порах, наверное, манипуляции будут, но с течением времени их будет всё меньше и меньше.

На основе собранных сведений для каждой финансовой организации будет установлен свой профиль риска; опираясь на него, а также на бизнес-процессы кредитной и некредитной организации, ЦБ разработает задание, которое поднадзорная структура должна будет выполнить — среагировать на угрозу, правильно провзаимодействовать с внешними, аутсорсинговыми организациями, правильно управлять рисками.

Спасибо за интервью. Успехов!