Александр Пушкин: Основная задача — это повышение практических навыков в противодействии атакам

Александр Пушкин: Основная задача — это повышение практических навыков в противодействии атакам

Александр Пушкин

В 2007 году окончил Военно-космическую академию имени А. Ф. Можайского по специальности «Компьютерная безопасность».

С 2007 по 2015 гг. проходил службу в государственной организации, где занимался практическими вопросами оценки защищённости информационных систем и мониторинга компьютерных атак.

В 2015 году начал работать в ЗАО «Перспективный мониторинг» на должности начальника отдела исследования информационных технологий. Основная деятельность отдела связана с проведением коммерческих проектов по анализу защищённости программных продуктов и тестов на проникновение для различных информационных инфраструктур. За время руководства отдел вырос с небольшой группы до двух десятков человек. Было успешно выполнено более сотни проектов в интересах коммерческих и государственных организаций.

С 2019 года и по настоящий момент – технический директор АО «Перспективный мониторинг». В обязанности входит курирование и развитие всех производственных отделов компании: центра мониторинга компьютерных атак, отдела разработки программных продуктов, центра исследования безопасности ИТ. Является одним из соавторов киберполигона Ampire.

...

Для того чтобы отражать угрозы, предприятиям требуются не только регламенты, необходимые программные и аппаратные средства и специалисты по информационной безопасности. Необходимо также нарабатывать практику, и желательно делать это не на реальных атаках злоумышленников на инфраструктуру предприятия, а в песочницах и на учебных примерах, основанных на подлинных инцидентах. В беседе с Александром Пушкиным, техническим директором АО «Перспективный мониторинг», редакция Anti-Malware.ru узнала о том, как эту задачу решает комплекс Ampire.

Что такое Ampire и почему Cyber Range?

А. П.: Ampire — это целая экосистема программных технологий, которая позволяет обучать пользователей методам обнаружения признаков компьютерных атак, анализировать причины их возникновения и в конечном счёте внедрять защитные меры для противодействия им. Как продукт Ampire появился в 2018 году, а исследования и первые прототипы мы начали создавать с начала 2016 года.

По терминологии Gartner «Cyber Range» — это целый класс программных решений, которые содержат модели различных информационных систем общего и отраслевого назначения и интегрированные средства защиты информации различного типа. Для проведения компьютерных атак на такие модели используются автоматические сценарии действий нарушителя, характерные для шаблона информационной системы. Также в состав киберполигонов обычно входят средства управления образовательно-тренировочным процессом, можно оценивать действия студентов, управлять пользователями и киберучениями.

Для каких целей предназначен Ampire?

А. П.: Основная задача, которую мы для себя ставим при разработке Ampire, — это повышение практических навыков специалистов в противодействии компьютерным атакам. Акцент мы делаем именно на практику. В ходе наших киберучений участники работают с различными средствами обнаружения атак, анализируют логи прикладных сервисов (веб-серверов, баз данных, удалённых средств управления), отрабатывают навыки совместной работы при расследовании инцидентов. Важнейшая часть киберучений — устранение заложенных уязвимостей с помощью настройки сервисов, изменений на уровне сети виртуальной организации, внедрения межсетевых экранов, правки исходного кода и т. п.

Опыт проведённых мероприятий на нашем комплексе позволяет говорить, что занятия на нём интересны как для начинающих специалистов, так и для опытных сотрудников, желающих «прокачать» отдельные технические моменты.

Как устроен процесс обучения на платформе Ampire?

А. П.: Процесс киберучений выполнен единообразно для всех шаблонов и сценариев, поставляемых вместе с комплексом. Во-первых, преподаватель создаёт тренировку на базе имеющегося шаблона, выбирая подходящий сценарий, моделирующий действия реального нарушителя. Во-вторых, после создания тренировки преподаватель активирует учебную компьютерную атаку на виртуальную инфраструктуру. Далее действия виртуального нарушителя регистрируются различными системами обнаружения вторжений на уровне сети и на уровне конечных узлов. После этого участники группы мониторинга проводят анализ зафиксированных событий при помощи СОВ, системных и прикладных логов, а также заводят карточки ИБ-инцидентов. Участники группы реагирования анализируют полученные карточки инцидентов, подключаются к отдельным узлам информационной системы тренировки и устраняют имеющиеся в них уязвимости.

Тренировка заканчивается, когда устранены все уязвимости в составе активной тренировки или время тренировки вышло.

Откуда взята модель работы SOC?

А. П.: Наша компания десять лет оказывает на коммерческой основе услуги по проведению тестов на проникновение и анализу защищённости ИС, и шесть лет — услуги по мониторингу и обнаружению компьютерных атак в инфраструктуре заказчика. Другими словами, мы понимаем, как «атакуют» и как «защищаются».

Вот эти компетенции, технические знания и навыки мы планомерно внедряем в наш комплекс Ampire. В нём присутствуют учебные атаки с инструментами, уже ставшими «классикой», например WannaCry и EternalBlue, а также совсем недавно появившимися, например для эксплуатации уязвимости Zerologon. Ролевая модель в комплексе по обнаружению инцидентов и реагированию на них построена на базе нашего центра мониторинга.

Насколько реальны действия автоматического нарушителя в Ampire?

А. П.: Для первых сценариев, которые в автоматическом режиме воспроизводят действия нарушителя, мы взяли накопленные в компании отчёты по тестам на проникновение, составили список наиболее частых векторов и впоследствии реализовали их в Ampire. Сейчас описания сценариев мы получаем из расследований нашего центра мониторинга, проектов по пентесту и обзоров «интересных» атак в публикациях исследователей по всему миру.

При работе с отраслевыми шаблонами наши аналитики знакомятся с характерными векторами атак на специализированные информационные инфраструктуры, потом реализуемыми в виде сценариев.

Какие ещё занятия проводятся на платформе?

А. П.: Киберучения — это первый тип занятий, который мы реализовали на платформе Ampire. Для их проведения требуется группа участников, чтобы смоделировать работу SOC. В 2020 году мы добавили возможность проведения других типов занятий, которые рассчитаны как на группу пользователей, так и на индивидуальное обучение. Сейчас это — три типа дополнительных занятий: анализ защищённости и аудит ИТ-инфраструктуры виртуальной организации, противодействие группе реальных нарушителей (концепция Red Team и Blue Team), лабораторные работы по настройке средств безопасности и прикладных сервисов.

Осенью 2020 года в рамках научно-исследовательского семинара «Киберполигон» для НИУ ВШЭ был опробован новый тип занятия — «Киберквест». Он подходит всем, кто хочет понять и «пощупать» основы практической информационной безопасности. Здесь преподаватель самостоятельно показывает и подробно комментирует, как обнаружить признаки компьютерной атаки, как провести расследование на отдельных узлах информационной системы, как составить общий вектор атаки и подобрать варианты устранения уязвимостей.

Такой формат интересен и практической демонстрацией работы элементов инфраструктуры и взаимодействия с ними, и теоретической проработкой проблем, с которыми могут столкнуться студенты, и передачей опыта преподавателя.

Расскажите про опыт проведения публичных киберучений на Ampire.

А. П.: Публичные киберучения мы стали проводить с июля 2018 года. Среди наиболее запомнившихся можно выделить киберучения в Салехарде на методическом сборе ФСТЭК по Уральскому федеральному округу, «ТехноФест», «SOC Форум» и Уральский форум 2019 года. В начале октября 2020 года мы провели киберучения в рамках Russky MeetUp в Дальневосточном федеральном университете на о. Русский, г. Владивосток. Нам уже стали помогать проводить киберучения и наши партнёры. Например, 22 октября 2020 года в рамках 17-й республиканской конференции «Информационные технологии. Защита информации» (г. Петрозаводск, Карелия) состоялись первые республиканские киберучения. Эти киберучения организовал наш партнёр — компания «ИНФОЛАЙН».

Всего за этот период мы провели 43 подобных мероприятия. В 2020 году добавились киберучения, проводимые нашими партнёрами на платформе Ampire, а также полностью удалённый вариант, когда участники подключаются к облачной версии комплекса, находясь у себя дома или в офисе.

Кто уже приобрёл Ampire?

А. П.: На текущий момент уже существует несколько поставок комплекса Ampire и проведено его внедрение в учебный процесс. Ampire работает на кафедре комплексной информационной безопасности в РГУ им. Губкина, а также на площадках двух силовых ведомств РФ.

Пресейл (предпродажная подготовка. — Прим. ред.) и оформление договорных отношений проходят ещё с рядом вузов в нашей стране. Комплекс поддерживает англоязычный интерфейс и готовится к продаже на зарубежных рынках.

Насколько сложно обучить сторонних преподавателей работе с Ampire?

А. П.: Вопрос передачи навыков для правильного и эффективного использования актуален для любого программного решения. Специфика платформ Cyber Range усиливает эти требования, так как от понимания возможностей комплекса самим преподавателем зависит успешность его эксплуатации при обучении пользователей.

Мы уже обучили несколько групп преподавателей работе с Ampire в профильных учебных центрах и вузах, а также наших партнёров. Сейчас они используют комплекс полностью автономно и не зависят от нас или наших сотрудников. Стоит отметить, что практически все обученные преподаватели не являются специалистами в области тестирования на проникновение или мониторинга компьютерных атак.

Чтобы максимально снизить порог вхождения, мы проводим полноценный пятидневный курс для преподавателей и совместные занятия на Ampire вместе с преподавателями и пользователями. В комплекте с киберполигоном поставляются методические материалы и различные руководства, пошаговые видеоинструкции и авторский учебный курс от команды производителя.

Какие существуют формы поставки Ampire?

А. П.: Основной вариант поставки киберполигона Ampire — программно-аппаратный комплекс. Он включает в себя бессрочную лицензию на программный комплекс Ampire, аппаратное обеспечение, лицензии на системное и прикладное программное обеспечение (платформу виртуализации, серверные и пользовательские операционные системы, ПО для корпоративных сервисов). Также, как я уже говорил, в состав поставки входят методические пособия и руководства.

Ampire может предоставляться в виде облачной платформы для проведения киберучений. Все участники подключаются к комплексу удалённо и координируют свои действия через ВКС и системы мгновенных сообщений.

Команда Ampire Team разработала мобильную версию киберполигона, предназначенную для проведения выездных тренировок на площадке заказчика. Мобильный Ampire состоит из сервера, АРМ студентов и преподавателя, сетевого оборудования. Всё оборудование перевозится в жёстком кофре на колёсах, который обеспечивает сохранность устройств и может быть рабочим местом преподавателя.

Предусмотрена возможность покупки или аренды мобильного Ampire и проведения тренировок с привлечением преподавателей «Перспективного мониторинга» или учебных центров.

Помимо описанных сценариев возможны разнообразные комбинации вариантов проведения киберучений в зависимости от организационных (наличие места проведения, необходимость командирования сотрудников на обучение, сроков и т. д.) и технических (интернет-подключение, наличие необходимого числа выделенных рабочих мест и т. д.) возможностей заказчика. Всегда можно подобрать устраивающие все стороны решение и формат.

Какие преимущества даёт заказчику приобретение Ampire?

А. П.: Может быть, это немного громко сказано, но Cyber Range-платформа Ampire предоставляет заказчику необходимые возможности для перехода в принципе на новый уровень подготовки, поддержания и актуализации практических навыков специалистов по информационной безопасности. Реальное понимание процессов компьютерных атак, механики отдельных этапов, которое даёт наш комплекс, позволит гораздо эффективнее подходить к вопросам обеспечения организационных и технических мер защиты и развития ИТ-инфраструктуры организации в целом.

У нас есть реальные данные, когда студенты второго курса за полтора месяца проходили путь от «что такое IDS и RDP?» к умению решать базовые задачи детектирования компьютерных атак и готовности стажироваться в действующих центрах мониторинга.

Пройдя полный курс киберучений на Ampire, пользователи в короткий срок получат практический опыт решения прикладных задач информационной безопасности. До появления киберполигонов это было практически нерешаемой задачей. Организации могут повысить свою киберустойчивость моделируя актуальные угрозы на инфраструктуре Ampire и обучая персонал противодействию им. ИТ- и ИБ-службы получают возможность опробовать новые подходы и средства безопасности перед их внедрением в действующую инфраструктуру.

Технологии, заложенные в Ampire, уже достаточно зрелы, чтобы обеспечить заказчикам необходимые варианты применения, при этом платформа имеет серьёзный потенциал развития для реализации полного набора функциональности «идеальных» Cyber Range-систем.

Спасибо за беседу! Желаю успехов!