Обзор рынка киберполигонов

Киберполигоны — платформы для профессиональных технических киберучений, где можно обучать сотрудников, в том числе входящих в Red Team или Blue Team. Киберполигоны позволяют смоделировать реальную ИТ-инфраструктуру предприятия и оценить возможность её взлома, а также готовность к защите от кибератак. Чем отличается анализ защищённости (пентест) от работы на киберполигоне? Кто может воспользоваться киберполигоном? Какие платформы есть в России? Что такое Национальный киберполигон?

 

 

 

 

1. Введение
2. Комплексы для обучения противодействию кибератакам
3. Мировой рынок комплексов для обучения противодействию кибератакам
4. Российский рынок комплексов для обучения противодействию кибератакам
5. Обзор отечественного рынка комплексов для обучения противодействию кибератакам
   
   1. 5.1. Ampire («Перспективный мониторинг»)
   2. 5.2. BI.ZONE Cyber Polygon
   3. 5.3. Jet CyberCamp («Инфосистемы Джет»)
   4. 5.4. The Standoff (Positive Technologies)
   5. 5.5. «Киберполигон» (ООО «Киберполигон»)
   6. 5.6. Национальный киберполигон и платформа «Кибермир» («Ростелеком»)
6. Обзор зарубежного рынка комплексов для обучения противодействию кибератакам
   
   1. 6.1. Check Point Cyber Range
   2. 6.2. Cisco Cyber Range
   3. 6.3. Cyber Ranges (МСЭ)
   4. 6.4. Project Ares (Circadence)
7. Выводы

Введение

Повышение осведомлённости сотрудников ИТ и ИБ — обязательное условие для обеспечения и поддержания кибербезопасности предприятия на высоком уровне, ведь обучение — это не только документальное подтверждение наличия знаний, но и возможность узнать о новых киберугрозах и способах борьбы с ними.

Способы повышения осведомлённости прошли эволюцию от лекций и лабораторных работ в учебных центрах до соревнований между «красными» и «синими» командами. Очередной этап этой эволюции — специализированные киберполигоны, где можно не только провести анализ защищённости путём сканирования ИТ-активов на возможные уязвимости, но и довести атаку до логического окончания и, например, остановить реактор атомной станции.

В конце января 2022 г. на канале AM Live вышел эфир «Как правильно планировать и проводить технические киберучения», где крупнейшие игроки российского рынка киберполигонов обсуждали наиболее заметные тенденции в этой области. По его итогам мы опубликовали статью, где вы сможете найти результаты опросов аудитории в виде диаграмм, мнения и цитаты экспертов.

Комплексы для обучения противодействию кибератакам

Преимущества использования систем симуляции атак на компанию очевидны. Маловероятно, что руководство компании согласится отдать действующую ИТ-инфраструктуру под атаку «этичных хакеров» для проверки готовности подразделений ИБ и ИТ. Это чревато простоем бизнес-процессов, а также потенциальными проблемами при восстановлении инфраструктуры, в случае если что-то во время учений пойдёт не так. В то же время на специализированном полигоне всё это можно проделать без ущерба для бизнеса, смоделировав необходимую инфраструктуру.

Во время работы на полигоне ответственные за обеспечение кибербезопасности и работоспособность ИТ подразделения на практике проверяют, могут ли они заблаговременно обнаружить индикаторы компрометации инфраструктуры либо развивающуюся атаку до того, как она дойдёт до финальной стадии, жизнеспособны ли разработанные на этот случай регламенты, налажено ли взаимодействие, понимает ли ИТ проблемы ИБ и наоборот.

Итогом проводимых киберучений может быть проверка не только того, как ИТ и ИБ реагируют на атаки злоумышленников, но и того, как действуют другие подразделения атакуемой компании: например, за какое время пресс-служба сможет выпустить релиз об инциденте для минимизации репутационных потерь, а юридический департамент — собрать необходимые данные для подачи заявления в правоохранительные органы или страховую компанию.

Тренинги на киберполигонах подходят не только большим компаниям с развитой инфраструктурой, но и малым предприятиям. Главные условия — это уровень зрелости соответствующих процессов, понимание того, для чего нужен подобный тренинг, и системный подход при подведении итогов. Это позволит сформировать план мероприятий для повышения уровня защищённости компании.

Несмотря на то что это направление только набирает популярность, уже есть разделение платформ в зависимости от поколений: традиционные киберполигоны и киберполигоны следующего поколения. Главное отличие состоит в возможностях, предоставляемых этими платформами. Традиционные киберполигоны представляют собой набор смоделированных систем, на которые производится атака, в то время как киберполигоны нового поколения включают в себя множество дополнительных сервисов и возможностей: симуляция действий обычных пользователей, различные инструменты для преподавателя, сбор и анализ данных.

 

Рисунок 1. Концепция киберполигонов следующего поколения

 

Мировой рынок комплексов для обучения противодействию кибератакам

Зарубежный опыт использования киберполигонов базируется на разработках предназначенных прежде всего для обучения военных искусству защиты от кибератак. Старейшим киберполигоном является платформа, на которой с 2001 года проводит свои учения Агентство национальной безопасности США. Одним из самых известных зарубежных киберполигонов является The National Cyber Range (США), созданный министерством обороны США и представленный широкой публике в 2014 г. Развитием этого полигона занимаются университет Джонса Хопкинса и корпорация Lockheed Martin. Североатлантический альянс (НАТО) начиная с 2010 г. регулярно проводит киберучения Locked Shields. В 2021 г. в Locked Shields приняли участие 2 тыс. экспертов из 30 стран.

Развитие рынка коммерческих полигонов напрямую связано с прогрессом облачных технологий. Его динамику можно отразить в виде традиционной кривой Gartner.

 

Рисунок 2. Кривая Gartner

 

Как видно из графика, триггером для появления большого количества киберполигонов стало развитие облачных технологий и методов симуляции атак. Выход же на плато произошёл в конце 2021 года, когда облака смогли предоставить необходимые ресурсы для создания киберполигонов нового поколения.

Зарубежный коммерческий рынок полигонов для киберучений весьма насыщен. Свои решения предлагают как производители средств защиты информации (Check Point, Palo Alto, Cisco), так и компании занимающие нишу услуг по повышению осведомлённости. Вендоры СЗИ подобным образом не только продвигают свои решения, но и помогают предприятиям обучать специалистов на тех инструментах, которые доступны при работе в реальной инфраструктуре.

В этом обзоре будут рассмотрены следующие зарубежные платформы для проведения киберучений:

• Check Point Cyber Range.
• Cisco Cyber Range.
• Cyber Ranges.
• Project Ares.

Российский рынок комплексов для обучения противодействию кибератакам

Российский рынок киберполигонов менее насыщен, чем зарубежный, но имеет тенденцию к росту. Основные драйверы, способствующие повышению спроса, — рост зрелости процессов в крупных компаниях, а также национальные программы, направленные на цифровизацию экономики Российской Федерации. Так, в 2020 г. со своими решениями на рынок вышли «Ростелеком» и BI.ZONE, а в 2021 г. «Инфосистемы Джет».

Киберучения проводятся в разных форматах. Это может быть крупное мероприятие, как, например, ежегодное The Standoff компании Positive Technologies или Cyber Polygon компании BI.ZONE, или обучающий продукт, такой как Ampire от «Перспективного мониторинга», или комплексное решение, включающее продукты и сервисы, как Национальный киберполигон компании «Ростелеком».

В этом обзоре будут рассмотрены следующие российские платформы для проведения киберучений:

• Ampire («Перспективный мониторинг»).
• BI.ZONE Cyber Polygon.
• Jet CyberCamp.
• The Standoff (Positive Technologies).
• «Киберполигон» (ООО «Киберполигон»).
• Национальный киберполигон и платформа «Кибермир» («Ростелеком»).

Обзор отечественного рынка комплексов для обучения противодействию кибератакам

 

 

Ampire («Перспективный мониторинг»)

Киберполигон Ampire компании «Перспективный мониторинг» представляет собой комплекс, который моделирует типовую организацию (банк, промышленное предприятие, офис и т. д.) и потенциальные векторы атак на неё. Комплекс содержит набор типовых моделей сети организации (шаблоны); также возможна разработка новых шаблонов в соответствии с пожеланиями заказчика. Сценарии атак созданы и регулярно дорабатываются на основе реального опыта компании «Перспективный мониторинг», полученного при проведении анализа защищённости заказчиков. Модель SOC, представленная на платформе, также разработана исходя изо многолетнего опыта работы компании с заказчиками.

В 2020 г. платформа Ampire была дополнена возможностью проведения других типов занятий, которые рассчитаны как на группу пользователей, так и на индивидуальное обучение: анализ защищённости и аудит ИТ-инфраструктуры виртуальной организации, противодействие группе реальных нарушителей (концепция Red Team и Blue Team), лабораторные работы по настройке средств безопасности и прикладных сервисов.

 

Рисунок 3. Пример одного из шаблонов киберполигона Ampire

 

Ampire поставляется в виде программно-аппаратного комплекса и облачной платформы. Также разработана мобильная версия киберполигона, предназначенная для выездных тренингов. Возможна не только покупка Ampire, но и его аренда.

Преимущества Ampire:

• Гибкие условия предоставления сервиса: аренда или приобретение программно-аппаратного комплекса, мобильная версия платформы, возможность подключения к облачной инфраструктуре комплекса.
• Использование практических наработок компании в части пентестов и построения SOC при разработке используемых на киберполигоне сценариев.
• Возможность использования Ampire в учебных заведениях.

С подробной информацией об Ampire можно ознакомиться на сайте производителя.

 

 

BI.ZONE Cyber Polygon

Cyber Polygon — ежегодная конференция по кибербезопасности, проводимая «Сбером» и компанией BI.ZONE, входящей в экосистему «Сбера», при поддержке Интерпола и Центра кибербезопасности Всемирного экономического форума. Cyber Polygon объединяет в себе онлайн-конференцию с участием первых лиц глобальных организаций, технический тренинг по кибербезопасности для корпоративных команд и экспертные выступления ведущих специалистов по практической кибербезопасности. В 2022 году мероприятие пройдёт в четвёртый раз.

Тематика технических учений зависит от текущей обстановки и актуальности киберугроз. Так, в 2020 г. учения были посвящены «цифровой пандемии», изменяющимся реалиям работы в условиях «удалёнки» и режима самоизоляции. В 2021 г. на киберполигоне отрабатывали способы защиты цифровой экосистемы компании при атаке на цепочку поставок (supply chain). В 2022 году участники отработают действия команды реагирования при целенаправленной атаке на гибридную облачную инфраструктуру корпорации.

 

Рисунок 4. Процесс учений на Cyber Polygon

 

Принять участие в учениях могут команды, которые подали заявки и были отобраны организаторами. В 2020 г. участие в учениях приняли 120 команд из 29 стран. В 2021 г. заявку на участие подали 1200 организаций, а выбраны были 200 команд из 48 стран. В 2022 году организаторы планируют изменить подход к технической реализации тренинга и принять как можно больше желающих. Также они обещают, что весной для специалистов станет доступна часть заданий тренинга 2021 года, которая позволит попрактиковаться в реагировании на инцидент с использованием техник классической компьютерной криминалистики и подхода Threat Hunting. Эти задания можно будет решать любым составом, в том числе индивидуально, а не только командами от организаций, в любое время, как угодно долго и с бесконечным числом попыток.

Помимо ежегодной конференции, компания BI.ZONE предоставляет услуги частного проведения учений для конкретной организации, включая поддержку тренера и предварительную теоретическую подготовку.

Преимущества Cyber Polygon:

• Актуальная тематика проводимых киберучений.
• Возможность узнать лучшие практики крупнейших мировых корпораций по защите от киберугроз.
• Бесплатное участие.

С подробной информацией о полигоне можно ознакомиться на его сайте.

 

 

Jet CyberCamp («Инфосистемы Джет»)

Jet CyberCamp появился на рынке в сентябре 2021 г. Первоначально это была внутренняя разработка, предназначенная для обучения сотрудников компании, проводящих пентесты и работающих на 1-й и 2-й линиях центра кибербезопасности Jet CSIRT.

Занятия на киберполигоне состоят из теоретических и практических блоков с упором на отработку полученных навыков. Сначала эксперты компании «Инфосистемы Джет» делятся наработанным опытом и методами решения задач — от пентеста до расследования инцидентов. После этого обучающиеся проходят киберучения, которые позволяют разобраться во всех аспектах киберугроз: от подготовки атаки со стороны хакеров до её блокировки. В качестве киберучений могут быть выбраны сценарии как по расследованию уже произошедшей атаки, так и по предотвращению нападения в режиме онлайн.

 

Рисунок 5. Архитектура платформы Jet CyberCamp

 

Jet CyberCamp доступен заказчикам в виде сервиса на платформе Jet, где тренировки проходят с заранее определённой регулярностью (например, раз в квартал), с добавлением необходимого ПО и средств защиты, с возможностью адаптировать сценарии под запросы заказчиков, и в виде киберполигона развёрнутого на мощностях заказчика «под ключ»: инфраструктура максимально приближенная к реальной, регулярно актуализируемый контент и т. д.

Преимущества Jet CyberCamp:

• Модульная структура и широкий выбор средств защиты для реалистичной имитации инфраструктуры.
• Индивидуализация сценариев тренировок, позволяющая выбрать направление и формат тренировки.
• Большой опыт обучения собственных сотрудников на платформе перед её выводом на рынок. Все сценарии сначала тестируются на Jet Security Team.

С подробной информацией о Jet CyberCamp можно ознакомиться на сайте компании.

 

 

The Standoff (Positive Technologies)

Старейший киберполигон России появился в 2011 г. как соревнование в формате CTF в рамках форума Positive Hack Days. Для решения реальных задач бизнеса этот формат начал трансформироваться в полноценные киберучения, а атакуемая инфраструктура была перенесена на макет, где зрители и участники могут наблюдать последствия атак — такие, например, как сход поезда с рельсов, если бы злоумышленники добрались до системы управления железной дорогой. В 2016 году состоялась первая кибербитва между хакерами и защитниками на полигоне, воссоздающем ключевые объекты информационной инфраструктуры целого города. С годами город практически превратился в виртуальное государство, где представлены не просто отдельные компании, но целые отрасли. 

 

Рисунок 6. Схема инфраструктуры The Standoff

 

Все сценарии катастроф смоделированы по мотивам реальных инцидентов: у атакующих есть возможности реализовать разлив нефти, взрыв на газораспределительной станции, отключение линий электропередачи на подстанции и многое другое. Например, этичным хакерам удалось нарушить работу очистных сооружений и вызвать опасное заражение окружающей среды. Команды защитников занимаются расследованиями инцидентов, отслеживают действия атакующих, нарабатывая опыт предотвращения недопустимых событий и изучая то, какие техники и тактики используют злоумышленники.

В 2021 году The Standoff прошёл дважды. Также компания Positive Technologies представила онлайн-платформу для киберучений, которая уже прошла бета-тестирование с этичными хакерами и вскоре будет доступна всем желающим 365 дней в году.

Преимущества The Standoff:

• Инфраструктура киберполигона воссоздаёт реальные операционные и бизнес-процессы, существующие в промышленных, энергетических, транспортных и других компаниях.
• Множество вариантов участия для команд защитников: от способов подключения ИТ-инфраструктуры и использования различных СЗИ до выбора сценариев мониторинга, реагирования, расследования и усиления защиты.
• Отработка навыков защиты в противостоянии с хакерами со всего мира, без заготовленных сценариев и векторов атак.
• Развёрнутая обратная связь по итогам киберучений о работе команды защиты от экспертов по кибербезопасности.

С подробной информацией о The Standoff можно ознакомиться на сайте кибербитвы, а также на новом ресурсе, посвящённом проекту The Standoff 365.

 

 

«Киберполигон» (ООО «Киберполигон»)

«Киберполигон» от одноимённой организации представляет собой платформу, на которой могут тренировать свои навыки как атакующие, так и защитники. Что немаловажно, инфраструктура на киберполигоне представляет собой настоящие системы с реальными уязвимостями. Это позволяет обеим сторонам противостояния не только проэксплуатировать те или иные уязвимости, но также понять причины их появления: человеческий фактор при устранении брешей, невозможность обновления программного обеспечения и т. п.

Кроме того, платформа позволяет провести антифишинговые учения для рядовых сотрудников предприятия, зачастую являющихся самым слабым звеном инфраструктуры при атаке.

 

Рисунок 7. Пример облачной инфраструктуры «Киберполигона»

 

Как и многие решения подобного типа, платформа может быть представлена в виде круглосуточного облачного сервиса или интегрирована в инфраструктуру заказчика с адаптацией под его нужды. Киберполигон является модульным, что позволяет смоделировать инфраструктуру аналогичную реальной.

Преимущества «Киберполигона»:

• Модуль антифишинга для обучения сотрудников.
• Использование практического опыта при построении уязвимых систем.
• Модульная архитектура.

С подробной информацией о «Киберполигоне» можно ознакомиться на сайте.

 

 

Национальный киберполигон и платформа «Кибермир» («Ростелеком»)

Национальный киберполигон и платформа «Кибермир» созданы компанией «Ростелеком» на базе экспертизы дочерней компании «Ростелеком-Солар» в рамках программы «Цифровая экономика». Целевая аудитория платформы весьма широка: ИБ-специалисты компаний разных отраслей, представители государственных органов власти, студенты и преподаватели образовательных учреждений.

«Кибермир» — высокотехнологичная платформа с цифровыми копиями ИТ-инфраструктур ключевых отраслей российской экономики, позволяющая безопасно отрабатывать практические навыки по защите от киберугроз. Национальный киберполигон доступен круглый год за счёт встроенных шаблонов типовых предприятий, избавляющих от необходимости разворачивать и настраивать инфраструктуру полигонов «с нуля».

Киберполигон разделён на четыре сегмента: корпоративный офис, где имитируется типовая офисная структура, электроэнергетический сегмент, в котором моделируются типовые объекты электрических сетей (цифровая подстанция и электрические сети), нефтегазовый сегмент, а также банковский сектор, где эмулируется типовая ИТ-инфраструктура финансовой организации, в том числе система банковского обслуживания и процессинга. К 2024 г. планируется дополнить полигон более чем 10 новыми сегментами.

 

Рисунок 8. Интерфейс платформы «Кибермир»

 

Также в составе Национального киберполигона и платформы «Кибермир» есть лаборатория по тестированию, где можно проверить программное обеспечение и устройства, в том числе промышленные, на наличие уязвимостей.

Преимущества Национального киберполигона и платформы «Кибермир»:

• Мультиотраслевая инфраструктура, максимально приближенная к инфраструктурам реальных предприятий за счёт использования отраслевого оборудования и ПО.
• Сценарии атак основаны на актуальных методиках злоумышленников, детектируемых центром реагирования на кибератаки Solar JSOC.
• По итогам киберучений формируется матрица навыков, позволяющая сформировать план развития специалиста.

С подробной информацией о Национальном киберполигоне и платформе «Кибермир» можно ознакомиться на сайте проекта.

Обзор зарубежного рынка комплексов для обучения противодействию кибератакам

 

 

Check Point Cyber Range

Киберполигон компании Check Point построен по принципу геймификации, позволяющему сделать обучение более интересным. Киберполигон предназначен для обеих сторон противостояния — как атакующих, так и защитников.

Процесс обучения затрагивает уязвимости разных уровней: операционной системы, приложений и веб-приложений. Также он охватывает работу с решениями Check Point для защиты сети предприятия от кибератак.

 

Рисунок 9. Проведение учений Check Point Cyber Range

 

 Преимущества Check Point Cyber Range:

• Геймифицированный процесс обучения.
• Облачная инфраструктура.
• Гибкость системы позволяет подобрать обучающий материал для сотрудников разного уровня квалификации.

С подробной информацией о Check Point Cyber Range можно ознакомиться на сайте партнёра компании.

 

 

Cisco Cyber Range

Cisco Cyber Range доступен для заказчиков в четырёх возможных вариантах: трёх- или пятидневный тренинг для отработки опыта противодействия атакам; подписка, в которую входят отчёт Threat Intelligence, моделирование угроз для корпоративных сетей и регулярные консультации о релевантности актуальных угроз для заказчика; создание инфраструктуры Cyber Range локально (on-premise); услуги специальной лаборатории для исследования программного обеспечения и оборудования на уязвимости.

В рамках киберполигона демонстрируются более 100 реальных атак, с которыми специалисты Cisco встречались при работах у заказчиков, и ряд решений вендора, которые помогают их предотвратить.

 

Рисунок 10. Участники Cisco Cyber Range

 

Преимущества Cisco Cyber Range:

• Пополняемая база сценариев атак, большинство из которых являются реальными.
• Развитие практических навыков использования инструментов Cisco для предотвращения атак.
• Возможность использования как облачного сервиса, так и мобильной версии Cisco Cyber Range.

С подробной информацией о Cisco Cyber Range можно ознакомиться на сайте Cisco Talos.

 

 

Cyber Ranges (МСЭ)

Cyber Ranges является официальной платформой Международного союза электросвязи (специализированное учреждение ООН) для проведения национальных, региональных и глобальных киберучений.

Cyber Ranges предлагает обучающие программы для органов власти, правоохранительных и военных структур, промышленности, финансовой сферы, образовательных учреждений и т. д.

 

Рисунок 11. Национальные учения Международного союза электросвязи

 

Платформа позволяет масштабировать инфраструктуру до 1000 виртуальных машин, проводить обучение как атакующих команд, так и команд защитников, разрабатывать собственные сценарии.

Преимущества Cyber Ranges:

• Масштабируемость.
• Геймификация обучения.
• Развитая система отчётности по итогам учений.

С подробной информацией о Cyber Ranges можно ознакомиться на сайте полигона.

 

 

Project Ares (Circadence)

Компания предлагает киберполигон для студентов учебных заведений. Обучение максимально геймифицировано — как в части интерфейса, так и в части прохождения курса. Обучающимся присваиваются уровни в зависимости от количества набранного опыта, начисляются и списываются баллы за определённые достижения и использование подсказок.

Ещё одна интересная «фишка» платформы — возможность посмотреть те или иные действия, которые привели к негативным последствиям, для их анализа и недопущения в будущем.

 

Рисунок 12. Интерфейc киберполигона Project Ares

 

Преимущества Project Ares:

• Развитая геймификация процесса обучения.
• Наглядное представление учебного прогресса студентов.
• Реалистичные сетевые среды.

С подробной информацией о Project Ares можно ознакомиться на сайте компании.

Выводы

В 2019 году агентство Gartner спрогнозировало, что к 2022 г. 15 % крупных предприятий будет использовать киберполигоны для совершенствования навыков сотрудников направлений ИТ и ИБ. На момент составления прогноза доля таких предприятий была менее 1 %. Как видно из текущей ситуации, предсказание сбывается и востребованность такого вида киберучений растёт.

Однако не стоит забывать, что подобные учения имеют эффект только при комплексном подходе, когда до учений на киберполигоне специалисты проходят теоретическое обучение и знакомятся с используемыми инструментами, а после независимая компания проводит анализ защищённости. В этом случае можно объективно оценить эффективность проведённых мероприятий и применимость метода в конкретных условиях.