Киберполигоны: как провести технические киберучения с максимальной пользой

Киберполигоны: как провести технические киберучения с максимальной пользой

Зачем компании проводить киберучения и как сделать это с максимальной пользой? Насколько точным должен быть цифровой двойник для проведения тренировок? Как правильно поставить цели, подготовить сценарий и «продать» киберучения внутри компании? Обсуждаем практику построения киберполигонов и проведения тренировок по информационной безопасности.

 

 

 

 

  1. Введение
  2. Зачем компании нужны киберучения
  3. Практика проведения киберучений
  4. Будущее рынка киберучений
  5. Выводы

Введение

Практика проведения киберучений является одной из наиболее актуальных тем для российского рынка информационной безопасности. Крупные компании всё больше и больше начинают испытывать потребность в тренировке навыков ИБ-специалистов и рядового персонала — проверке их действий в условиях кибератаки. Вендоры и системные интеграторы предлагают как решения для локального создания киберполигонов (on-premise), так и услуги по проведению киберучений на своих площадках. Однако общего понимания и устоявшейся методологии таких мероприятий пока нет.

Рынок проходит стадию становления и находится в постоянном движении. Именно поэтому мы решили вернуться к теме киберучений в рамках проекта AM Live, чтобы посмотреть, как изменились взгляды поставщиков и заказчиков с момента прошлого эфира. Мы собрали в нашей студии представителей вендоров и системных интеграторов и попросили их рассказать о практических аспектах проведения киберучений. Как применять процессные инновации и технологические достижения для повышения безопасности компании? Кто должен инициировать киберучения и где их лучше проводить? Какие метрики нужно использовать, чтобы оценить эффективность проведённого мероприятия?

Участники дискуссии:

  • Ольга Елисеева, руководитель сервиса Jet CyberCamp компании «Инфосистемы Джет».
  • Лука Сафонов, генеральный директор компании «Киберполигон».
  • Ярослав Бабин, руководитель отдела анализа защищённости веб-приложений компании Positive Technologies.
  • Андрей Кузнецов, технический директор Национального киберполигона компании «Ростелеком-Солар».
  • Александр Пушкин, технический директор компании «Перспективный мониторинг» (ГК «ИнфоТеКС»).

Ведущий и модератор — Лев Палей, начальник службы информационной безопасности АО «СО ЕЭС».

 

 

Зачем компании нужны киберучения

Ведущий предложил начать дискуссию с синхронизации терминологической базы и рассказать о том, кому и для чего нужны киберучения.

Ольга Елисеева: 

— Киберучения нужны всем компаниям, которые заинтересованы в повышении технических навыков своих специалистов и подготовке их ко встрече с реальными злоумышленниками. В зависимости от целей заказчика к киберучениям могут быть привлечены как специалисты по информационной безопасности, так и сотрудники ИТ, пиара, маркетинга.

Ярослав Бабин:

— У компании могут быть различные потребности, а киберучения — это общее описание того, что может происходить в этой области. Киберучения могут проходить в формате киберполигона, пентеста, проникновений Red Team или Blue Team. Это могут быть киберучения в масштабе всей компании, где будут отрабатываться навыки взаимодействия разных подразделений.

Александр Пушкин:

— Киберучения очень полезны для компаний, которые только входят в отрасль ИБ, чтобы как можно быстрее погрузиться в технические проблемы, инструменты, понять вариативность атак, которые могут произойти. Кроме того, киберучения являются хорошей практикой для студентов профильных специальностей.

Лука Сафонов: 

— Киберучения необходимы для специалистов по информационной безопасности, отвечающих за защиту данных, поскольку у них, в отличие от атакующей стороны (Red Team), нет другой возможности отработать свои навыки вне реальных атак. Киберучения помогают сотрудникам оставаться на передовой киберугроз и оперативно противодействовать атакам.

Андрей Кузнецов:

— В первую очередь у компании должна появиться потребность в киберучениях. Сначала необходимо создать работающую систему безопасности, выстроить все процессы и уже потом переходить к учениям. Формат киберучений призван закрепить навыки работы со средствами защиты и выполнение инструкций по безопасности.

Немногие заказчики готовы использовать собственную инфраструктуру для проведения киберучений и даже пентестов. По мнению экспертов AM Live, чтобы не навредить действующим бизнес-процессам компании, необходимо использовать для отработки ИБ-навыков отдельные, специально подготовленные площадки. При этом примеры использования имеющейся инфраструктуры всё же встречаются — например, киберучения можно проводить на оборудовании выведенном из технологического цикла и находящемся в стадии простоя.

Мы провели опрос среди зрителей прямого эфира, чтобы узнать, насколько хорошо им знакома тема технических киберучений. Как оказалось, почти половина респондентов (49 %) знают только теоретические основы подобных мероприятий. Участвовали в отработке навыков информационной безопасности лишь 19 % опрошенных. Хорошо знакомы с темой 22 % участников опроса, при этом 18 % проводили киберучения самостоятельно, а 4 % использовали внешний сервис. Вообще не были знакомы с темой до нашего эфира 10 % зрителей.

 

Рисунок 1. Насколько вам знакома тема технических киберучений?

Насколько вам знакома тема технических киберучений

 

Практика проведения киберучений

В продолжение беседы ведущий предложил обсудить ключевые этапы проведения киберучений. Как планировать такое мероприятие? Кем и какие должны быть поставлены цели? Как и в какие сроки должен быть организован полигон? Возможно ли оценить эффективность киберучений?

Рассуждая о том, кто должен инициировать киберучения в компании, спикеры онлайн-конференции отметили, что подобные мероприятия требуют определённой зрелости организации, а также наличия у неё работающей службы информационной безопасности. Прямых актов, регулирующих организацию киберучений и обязывающих организацию их проводить, нет, однако в энергетике и некоторых других отраслях растёт интерес к этой теме, поэтому эксперты не исключают возможности возникновения подобных регламентов. Как заметили гости студии, в СМИ периодически появляется информация о планах ЦБ по проведению киберучений в финансово-кредитных учреждениях.

Кто является лучшим исполнителем киберучений? Наши спикеры высказали точку зрения, что с этой задачей лучше справится сторона независимая от производителя тех ИБ-решений, которые используются на предприятии. Например — системный интегратор, который работает с разными вендорами. Попутно эксперты отметили, что киберполигон, в отличие от тестовой среды или виртуальной инфраструктуры, обладает «встроенным» набором сценариев атак, а также имеет некоторый интерфейс для управления и обработки событий.

Проведённый нами опрос зрителей онлайн-конференции показал, что большинство из них хотели бы проводить киберучения на приближенном к реальности цифровом двойнике. Такого мнения придерживаются 55 % респондентов. Использовать для тренировки действующую инфраструктуру считают правильным 10 % опрошенных, а использовать арендованный типовой киберполигон — 8 % участников опроса. Ещё 6 % наших зрителей предпочитают применять упрощённую учебную модель для отработки навыков по информационной безопасности. Затруднился дать ответ 21 % опрошенных.

 

Рисунок 2. На чьей инфраструктуре вам хотелось бы проводить киберучения?

На чьей инфраструктуре вам хотелось бы проводить киберучения

 

Реализация киберполигона у разных поставщиков может иметь свои особенности. В одном случае это будут мультиплатформенность и гибкая подстройка под требования клиента, в другом — возможность автономной работы у заказчика после передачи ему программно-аппаратного комплекса вендором. Некоторые разработчики считают, что киберучения невозможно провести без приглашённой команды пентестеров и консультантов, другие, напротив, ратуют за готовый «коробочный» продукт с большим числом типовых сценариев. При этом подход к организации тренировок навыков по информационной безопасности во многом зависит от целей и задач. Так, для массового обучения студентов подойдут автоматизированные сценарии, а для отработки защиты от целевой атаки логичнее привлечь Red Team.

По просьбе модератора гости студии выделили следующие цели киберучений, с которыми к ним приходят заказчики:

  • тренировка определённых навыков для ИБ-специалистов (например, операторов SOC);
  • сплочение команды, когда киберучения выступают в роли своеобразного тимбилдинга;
  • независимый пентест средства защиты с целью получить отчёт об уязвимостях;
  • изучение опыта эксплуатации определённых уязвимостей, чтобы выработать меры борьбы с такими атаками.

Названные экспертами цели перекликаются с результатами опроса зрителей AM Live. Мы спросили их о том, какой главной пользы от проведения технических киберучений они ожидают. Как выяснилось, 42 % ответивших ждут от таких мероприятий повышения ИБ-навыков сотрудников. Ещё 27 % респондентов думают, что киберучения помогут им обнаружить слабые места в защите инфраструктуры своей компании, а 23 % надеются отработать командные взаимодействия. Вариант «Другое» выбрали 5 % участников опроса, а затруднились ответить 3 % наших зрителей.

 

Рисунок 3. Какой главной пользы вы ожидаете от проведения технических киберучений?

Какой главной пользы вы ожидаете от проведения технических киберучений

 

При подготовке сценариев киберучения специалисты учитывают особенности инфраструктуры заказчика, чтобы максимально приблизить полигон к реальным условиям. Кроме того, определяется набор уязвимостей и методов атак, которые необходимо использовать в процессе тренировки. Разрабатывается цепочка атак, которые должны привести «нападающего», находящегося за периметром, к возможности выполнения определённого вредоносного действия. Разработка такого сценария — итерационный процесс, к которому обязательно привлекаются и заказчик, и специалисты исполнителя.

Насколько энергоёмок процесс проведения киберучений? Сколько времени в среднем занимает подготовка такого мероприятия? Спикеры AM Live подчеркнули, что всё зависит от инфраструктуры, на которой будет проводиться тренировка. Если используются готовая модель и типовые сценарии вендора или интегратора, то сроки будут кратчайшими. Однако если требуются адаптация средств защиты и разработка дополнительных сценариев, то время может быть увеличено. В первом случае эксперты говорят об одной неделе, во втором — о месяце или более.

Как часто зрители прямого эфира хотели бы проводить киберучения в своей компании? Наш опрос показал, что 38 % респондентов предпочли бы тренировать навыки по информационной безопасности один раз в квартал, а 32 % — раз в год. Периодичность учений один раз в месяц считают оптимальной 6 % опрошенных. Будут руководствоваться требованиями регуляторов, когда таковые появятся, 8 % наших зрителей. Затруднились с ответом 16 % участников опроса.

 

Рисунок 4. Как часто вы бы хотели проводить технические киберучения в своей компании?

Как часто вы бы хотели проводить технические киберучения в своей компании

 

Чтобы оценить эффективность мероприятия, организаторы киберучений собирают телеметрию — статистику по каждому участнику, которая показывает, как конкретный сотрудник справился с определённой задачей. В качестве параметров эффективности участника киберучений могут оцениваться, например, скорость обнаружения и устранения инцидентов, время недоступности учебной инфраструктуры. Ещё один способ узнать, насколько хорошо сотрудники усвоили навыки защиты, — прибегнуть к помощи Red Team, которая проведёт тестовое «нападение» в условиях реальной инфраструктуры.

Отвечая на вопрос одного из зрителей, эксперты в студии рассказали, как «продать» идею киберучений внутри компании. В первую очередь подобные мероприятия позволяют быстро подготовить квалифицированных специалистов для SOC в условиях тотального дефицита на рынке труда. Киберучения позволяют подготовиться к будущим атакам, целью которых сегодня может стать абсолютно любая компания. По мнению спикеров, необходимость проведения киберучений может показать и уже свершившийся инцидент. Наконец, сейчас это — актуальная и в некотором роде «хайповая» тема, которая на слуху и в ИБ-сообществе.

Экономическую эффективность созданного киберполигона можно повысить используя «цифрового двойника» компьютерной инфраструктуры для целей напрямую не связанных с киберучениями. Так, система может быть использована для тестирования новых средств защиты, способов резервного копирования или проверки квалификации новых сотрудников. Данные киберполигона будут полезны не только для специалистов в области информационной безопасности, но и для ИТ-службы компании. Например, на «цифровом двойнике» можно проводить исследования для проверки новых регламентов или бизнес-процессов.

Будущее рынка киберучений

В завершение дискуссии ведущий предложил экспертам поделиться видением развития индустрии киберучений в ближайшие два-три года. Наши гости отметили, что киберучения — это зарождающийся тренд, который в будущем станет более востребованным на отечественном рынке. Спикеры выразили надежду, что подобные мероприятия станут доступнее для заказчиков, в том числе и за счёт использования сервисной модели.

По мнению экспертов, спрос на киберполигоны будет расти под воздействием продолжающегося дефицита кадров в отрасли. Рынок ждёт появления нормативных документов, регулирующих проведение киберучений — не исключено, что подобная активность простимулирует создание отраслевых локально развёртываемых решений для государственных предприятий. Собственные киберполигоны в крупных компаниях создадут возможности для гибридного взаимодействия с профильными вендорами, которые смогут делиться своей экспертизой и технологиями для более эффективного использования внутренних (in-house) решений.

Одной из ключевых тенденций ближайших лет по прогнозам наших спикеров станет уход киберполигонов в облако, а также расширение их возможностей для удовлетворения потребностей не только службы информационной безопасности, но и других подразделений компании.

Финальный опрос зрителей прямого эфира показал высокую заинтересованность темой киберучений среди потенциальных заказчиков. Треть опрошенных (33 %) уже проводят киберучения и планируют повышать их эффективность. Ещё 36 % проявляют интерес к подобным мероприятиям и готовы пробовать технологии отработки ИБ-навыков. Считают тему актуальной, но пока избыточной для своей компании 24 % опрошенных, а 5 % придерживаются мнения, что участники дискуссии не смогли доказать необходимость киберучений. Вообще не поняли, о чём шла речь на онлайн-конференции, 2 % опрошенных.

 

Рисунок 5. Каково ваше мнение относительно технических киберучений?

Каково ваше мнение относительно технических киберучений

 

Выводы

Российские вендоры и системные интеграторы готовы предложить своим клиентам разнообразные инструменты для проведения киберучений — от готового «коробочного» продукта с типовыми сценариями до разработки индивидуального киберполигона и сценариев многоступенчатой атаки в условиях максимально приближенных к реальным. Заказчики со своей стороны тоже проявляют интерес к теме киберучений — в первую очередь это касается крупных компаний.

При этом рынок вряд ли пока можно назвать массовым. Возможно, драйвером его развития в будущем станет более широкое использование облачных технологий и предложение «киберучений как услуги». Другой вектор развития — ожидаемое появление регулирующих документов от государственных органов. Не исключено, например, что в будущем киберучения станут обязательными для учреждений финансовой сферы и предприятий энергетического сектора.

Как будут развиваться события на рынке киберучений — покажет время. Проект AM Live держит руку на пульсе отечественной индустрии информационной безопасности, регулярно собирая в своей студии ведущих экспертов и признанных профессионалов рынка. Чтобы не пропускать новые выпуски онлайн-конференции и в прямом эфире задавать вопросы гостям студии, не забудьте подписаться на YouTube-канал Anti-Malware.ru. До встречи в эфире!

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru