Ильдар Садыков: Менторство Blue Team — эффективный способ достижения киберустойчивости организаций

На рынке кибербезопасности наблюдается дефицит квалифицированных специалистов, ответственных за защиту информационных систем. Важность подготовки, менторства и повышения квалификации в этой области мы обсудили с руководителем отдела экспертного обучения Positive Technologies Ильдаром Садыковым.

Как, с вашей точки зрения, должен выглядеть путь обучения «синих команд»?

И. С.: Начну издалека, с предпосылок к созданию системы такого обучения.

Первая предпосылка — в последнее время все вокруг начали задумываться, а где же взять специалистов, которые бы смогли качественно защищать инфраструктуру организации от кибератак. С одной стороны, это объясняется кратным увеличением количества киберинцидентов, с другой — дефицитом грамотных специалистов в области информационной безопасности. Некоторое время назад на своём личном примере я понял, что поиск готового специалиста может занимать очень много времени и проще развить высокомотивированного, но менее квалифицированного специалиста до необходимого уровня.

Вторая предпосылка — в медиапространстве для «красных команд» больше мероприятий, чем для «синих». Это всевозможные соревнования вида «захват флага» (CTF), конференции и так далее. Кроме того, выходит множество статей, посвящённых существующим техникам взлома, актуальным сценариям и прочему.

На мой взгляд, это происходит по нескольким причинам. Всегда интереснее что-нибудь взломать, добыть защищаемую информацию, чем самому защищать инфраструктуру от атак или смотреть, как тебя ломают. Кроме того, создать полноценную инфраструктуру с системами защиты для проведения масштабных киберучений гораздо труднее и дороже, чем несколько уязвимых сервисов для CTF-мероприятия. Наконец, для полноценной работы «синей команды» у её участников должны быть комплексные знания в области защиты, а это требует обучения (часто дорогостоящего), которое в основном рассчитано на уже действующих специалистов, работающих в организации и защищающих её инфраструктуру.

Третья предпосылка — это недостаточная подготовка «синих».

Я преподаю в одном из крупнейших московских вузов, воочию наблюдаю, как обучают студентов по специальности «Информационная безопасность», и, к сожалению, не всегда это обучение идёт успешно.

Вернусь к личному примеру, когда мы искали квалифицированного ИБ-сотрудника и это заняло более полугода. Если рынку нужны готовые специалисты, а вуз даёт всё же только основу профессии, базу, из-за отсутствия нужного количества практики не может подготовить специалистов необходимого уровня, — остаётся единственное решение: взять инициативу на себя и помочь вузам. В тот момент я решил пойти в вуз (в моём случае это оказался РТУ МИРЭА) и попутно отбирать толковых студентов для стажировок и дополнительных курсов внутри Positive Technologies.

Позже наша компания приняла решение создать свою систему, которая позволяла бы внутри коммерческих и государственных организаций готовить высококвалифицированных защитников, специалистов по информационной безопасности. Сейчас уже можно сказать, что нам это удалось.

С моей точки зрения, путь обучения специалиста может состоять из следующих шагов. Первый — это проверка базовых навыков и знаний по ИТ и ИБ и, при необходимости, дополнительная подготовка. Наш отработанный вариант — это программа Positive Technologies PT-START. Второй шаг — обучение специализации с применением большого количества практик и лабораторных работ (курс «PT-PROFF. Аналитик 1-й линии SOC»). На третьем шаге происходит оттачивание навыков команд с использованием данных по действиям реальных хакеров («мёртвый город Standoff»).

Практика показывает, что после прохождения третьего этапа в большинстве случаев обучающиеся хотят ещё глубже погрузиться в специализацию. Для этого был разработан курс «PT-PROFF. Аналитик 2-й линии SOC», который позволяет узнать все аспекты реагирования и расследования инцидентов в информационной безопасности.
И на следующем этапе имеет место самая важная часть — проверка полученных знаний путём участия в кибербитве Standoff, где обучающиеся получают максимальное количество опыта и учатся слаженной работе в команде. Всё это в дальнейшем позволит ИБ-отделам организаций не растеряться во время атаки в реальной жизни, своевременно обнаружить злоумышленников в инфраструктуре и предотвратить злонамеренные действия непрошеных гостей.

Но и это ещё не всё. Как только компания получает подготовленных специалистов по информационной безопасности, появляется задача развивать их навыки в экспертной области. Для этого мы подготовили обучение (семейство курсов PT-EXPERT) от специалистов PT Expert Security Center — экспертного центра безопасности компании Positive Technologies, то есть от тех людей, которые отслеживают и расследуют огромное количество инцидентов в ИБ и реагируют на них, а также поставляют экспертизу в продукты компании.

Если мы хотим вырастить не «админа», который будет знать, как нажимать определённые кнопки, а хорошего специалиста общего профиля, который будет понимать, как защищаться, тогда какие этапы он должен пройти в своём обучении?

И. С.: Разработанная нами система подготовки специалистов позволяет вырастить практиков, которые смогут решать поставленные задачи в области информационной безопасности.

Работа в вузе показала, что ребятам не хватает базовых знаний. Мы с командой подготовили целый курс, называемый PT-START, основная задача которого — выравнивание уровня теоретических знаний обучающихся.

Расскажу подробнее. Первый этап — это проверка уровня знаний. Специалист, который уже знает базу, проходит тестирование, позволяющее понять уровень его подготовки. Если обучающийся не выполнил тест успешно, то он направляется на доподготовку по программе PT-START. Программа состоит из четырёх модулей: «Windows Basic», «Linux Basic», «Network Basic» и «Web Basic».

Ваш курс PT-START бесплатен или продаётся за какую-то сумму?

И. С.: Он полностью бесплатен. Но получить доступ к нему могут те, для кого он изначально предназначался — специалисты в области информационной безопасности, которые проходят обучение по программам PT-PROFF. Также мы адаптировали его для первого этапа глобальной стажировки компании Positive Technologies; соответственно, пройти обучение могут студенты, прошедшие на 1-й этап стажировки.

Дополнительно наша компания ведёт переговоры с ведущими вузами для включения этого курса в программы подготовки специалистов по информационной безопасности. В качестве «пилота» курс был запущен в РТУ МИРЭА и ДВФУ. Таким образом, студентам этих вузов повезло: они могут пройти обучение по материалам курса.

Допустим, человек прошёл этот курс, сдал лабораторные работы, вы увидели, что знания выровнены и с ним уже можно разговаривать на более сложные темы. Что дальше? Он отправляется на какую-то практику?

И. С.: Далее у нас есть специализированные курсы семейства PT-PROFF. Это — профессиональная линейка, где мы фактически обучаем специализации. Сейчас у нас уже есть два таких курса. Дальше будет больше. Здесь происходит практическое обучение, когда люди выполняют задания.

Курс «PT-PROFF. Аналитик 1-й линии SOC» состоит из четырёх модулей. Первый из них — «Атаки на корпоративную инфраструктуру». В этом модуле мы учим видеть, как могут действовать злоумышленники, какие техники и тактики они применяют. Иными словами, мы ставим обучающихся на место хакера, чтобы они думали как те люди, которые пытаются взломать тестовую инфраструктуру.

Если хочешь поймать хакера, думай как хакер!

Мы показываем, как может быть атакована тестовая инфраструктура, даём задания смоделировать эту инфраструктуру и атаковать её. Нами полностью прописаны готовые методические пособия, и, самое главное, есть видеозаписи лекций и практических работ. Здесь идёт асинхронное обучение, то есть человек может выполнить те или иные задания в любой момент времени. Мы сделали их настолько интересными, что участники порой в прямом смысле слова не спят ночами ради их выполнения.

В следующем модуле, «Системы безопасности корпоративной инфраструктуры», мы показали, какими системами безопасности можно предотвратить атаки. Подчеркну ещё раз, что всё это проходит в асинхронном режиме, но с возможностью задавать вопросы преподавателю в любое время. В моей команде есть люди со всей России, в том числе, например, из Владивостока, которые могут отвечать на учебные вопросы, если в Москве глубокая ночь. Участвуют в сессиях ответов на вопросы и стажёры отдела экспертного обучения, прошедшие полный цикл подготовки на всех курсах. Дополнительно каждую неделю проходят встречи с обучающимися в режиме видеоконференций для разбора самых сложных заданий и ответов на насущные вопросы.

Дальше, в третьем модуле, обучающиеся приступают к изучению СЗИ, разрабатываемых компанией Positive Technologies: знакомятся с их возможностями, а также с тем, как ими пользоваться.

Кульминацией программы является завершающий модуль — «Разбор типовых инцидентов в информационной безопасности» с анализом цепочек атак. Это, наверное, — самая интересная и максимально эффективная часть обучения. Наш преподаватель-эксперт или сразу несколько преподавателей атакуют тестовую виртуальную инфраструктуру для демонстрации возможных действий злоумышленников. Для того чтобы максимально наглядно показать атаки и работу систем защиты инфраструктуры, специально была разработана целая лаборатория PT-LAB ESC. Это позволило максимально эффективно проводить занятия с полным разбором мониторинга и расследования смоделированных цепочек атак условного злоумышленника.

Важный момент: обучаемая команда расследует инциденты при поддержке преподавателя-ментора.

В итоге благодаря этому она обучается и мониторингу, и расследованию инцидентов в ИБ. Люди начинают максимально ясно понимать, как всё работает.

Если они успешно всё прошли, сдали все отчёты по расследованию инцидентов и верно выполнили все поставленные задачи, то мы можем считать, что они готовы к работе в организации в качестве аналитиков первой и частично второй линий SOC. Но эта часть — только самое начало. Это базовые знания для специалиста по мониторингу инцидентов. Следующий уровень — подготовка специалистов SOC второй и третьей линий.

Курс «PT-PROFF. Аналитик 2-й линии SOC» позволяет узнать все аспекты реагирования и расследования инцидентов в информационной безопасности. Если до этого обучающиеся наблюдали за инфраструктурой и частично расследовали инциденты, то здесь на каждом этапе атаки злоумышленника идёт разбор всевозможных способов детектирования действий хакера, превентивного и оперативного реагирования на инцидент и предотвращения дальнейших движений злоумышленников. Иначе говоря, каждое атомарное событие цепочки атаки злоумышленника разбирается со всех сторон. От команды обучающихся требуются максимальная концентрация и вовлечённость в занятие для достижения наилучших результатов.

Соглашусь с тем, что этот процесс очень сложен и трудозатратен, требует постоянного вовлечения и выполнения практических работ. Но без этого не стать грамотным специалистом в области информационной безопасности.

На мой взгляд, постоянная генерация действий злоумышленников — очень сложный процесс, требующий высокой квалификации. Иными словами, самостоятельно генерировать качественные цепочки атак для тренировки расследования будет весьма проблематично.

Именно для построения процесса непрерывных тренировок команда экспертного центра безопасности PT ESC приняла участие в создании «мёртвого города». Это платформа-киберполигон, на которой собраны данные с прошлых Standoff и написаны определённые задания. Мы фактически сделали целую систему, на которой множество заказчиков и наших коллег прошли обучение, и без прикрас отмечу, что участники обычно в восторге от этого этапа. Кульминацией обучения является проверка полученных знаний в виде участия в Standoff в качестве команды «синих», то есть защитников.

В чём заключаются особенности участия в Standoff?

И. С.: Участие в качестве команды защитников представляет собой мониторинг и реагирование применительно к виртуальной инфраструктуре определённого сектора экономики. Задача — зафиксировать инциденты в информационной безопасности, своевременно отреагировать на них, а также расследовать недопустимые события, которые реализовали «красные».

Эффективность работы «синих» зависит от уровня их подготовки и от участия ментора-эксперта. Если просто «забросить» в Standoff команду защитников, которая прошла обучение, может возникнуть ситуация, когда участники кибербитвы начнут выполнять разрозненные действия. Каждый станет «перетягивать одеяло на себя», то есть вся команда будет отслеживать, отрабатывать и расследовать один и тот же инцидент, что является неправильным и неэффективным использованием ресурсов, коих мало. В этом случае необходимо эффективное управление командой. Нужен тренер, который полностью распределит задачи и подготовит к работе в инфраструктуре. Помимо этого, ментор команды помогает при возникновении сложностей. Например, если команда не знает, в какой части инфраструктуры сейчас находится злоумышленник и какие действия он совершает, ментор направит, поможет увидеть.

Наиболее эффективное обучение получается в тех случаях, когда сработавшаяся команда понимает, что нужно делать, и, самое главное, когда ментор направляет их в нужную сторону.

Все члены команды отдела экспертного обучения являются менторами, а также профессиональными преподавателями и экспертами в области ИБ. Они чётко и ясно знают, как научить людей и правильно донести необходимую информацию. Используя уникальные знания наших экспертов, а также свой опыт в преподавании, мы разработали одну из самых эффективных систем по подготовке ИБ-специалистов.

Вероятно, все эти знания нужно подкреплять тренировками, актуализировать и поддерживать. С какой регулярностью нужно приходить на киберучения, идти на дополнительные курсы подготовки? Или достаточно добирать необходимые знания в повседневной работе?

И. С.: Состав команд, которые защищают инфраструктуру, постоянно меняется. Приходят новички, состав обновляется. Я считаю, что в условиях постоянного найма новых сотрудников в организацию необходимо как минимум раз в полгода участвовать в подобного рода мероприятиях и хотя бы раз в год выполнять обучение новых сотрудников.

Следующим шагом в профессиональном развитии специалистов будут курсы семейства PT-EXPERT. В самое ближайшее время мы планируем анонс более сложных, экспертных курсов. Это — уже тема отдельного интервью, так как мы внесли множество идей при проектировании и создании экспертных обучающих курсов с участием специалистов PT ESC.

Большое спасибо за очень интересное интервью! Мне кажется, что комплексно к системе обучения «синих» никто ещё не подходил, и это — очень хорошая практика. Желаю активного развития вашему опыту и программе. Для нашей отрасли это будет крайне полезно.