Евгений Акимов: Хакеры всё чаще выходят один на один с вратарём — командой киберзащиты

Кибербитвы, киберполигоны, киберучения вызывают большой интерес у всех, кто хоть немного погружён в эту тему. Команды «синих», «красных» и «фиолетовых» — как происходит их взаимодействие и в чём заключаются особенности работы каждой из них? Эти и другие вопросы мы обсудили с Евгением Акимовым, директором киберполигона ГК «Солар».

Сейчас всё больше говорят о необходимости комплексного подхода к обучению специалистов по кибербезопасности. Практика без теории ничего не даёт, и наоборот. Как должен выстраиваться идеальный процесс обучения «синих» по версии «Солара»?

Е. А.: Мы отталкиваемся от навыков, которые должна иметь команда, обрабатывающая настоящий киберинцидент. Особенность её работы — как эти навыки проявляются в моменте. Например, идёт атака, команда должна её увидеть и нейтрализовать, а также восстановить работу ИТ-систем в течение нескольких часов, а порой — и минут. Нет возможности взять тайм-аут на недельку, подумать и после этого что-то правильно сделать. В этом смысле киберучения, которые проходят в рамках киберполигона, наиболее эффективны, так как воссоздают достоверную картину происходящего в жизни. За несколько часов в рамках киберучений становится видно, кто, что и как делает внутри команды, как быстро люди реагируют и обнаруживают инцидент, как происходит его анализ, насколько оперативно подключают специалистов, которые обеспечивают сдерживание и настраивают СЗИ. Исходя из увиденного и нашего опыта, мы обозначаем, что участники делают правильно, а что можно сделать лучше.

Киберполигон можно сравнить с бассейном, в котором тренируется будущий спортсмен: он начинает плыть, и сразу видно, что он умеет делать, а что — пока нет, где не хватает физических данных, а где надо поработать над техникой. Так и мы на киберучениях оцениваем навыки, которые должны быть у команды киберзащиты. Сейчас мы выделяем около полутора десятков навыков и постепенно увеличиваем их количество, добавляя новые, которые можем оценить и развить. По каждому из них мы подбираем практико-ориентированные курсы, позволяющие перейти с текущего уровня на целевой.

При обучении важно учитывать роль в команде. Не бывает универсального киберзащитника, который в организации всё делает сам. Как правило, это большая команда со внутренними коммуникациями.

В тех или иных операциях по обработке инцидента подключается специалист, у которого имеются соответствующие навыки. Поэтому мы разделяем базовые навыки, которые должны быть у всей команды, и ярко выраженные экспертные знания и умения, необходимые определённым её членам.

Для «синих» киберучения — это тренинг или экзамен?

Е. А.: Если в работе команда редко сталкивается с инцидентами, то пройденные киберучения сами по себе существенно поднимают уровень навыков. В этом году мы проводили множество киберучений для разных организаций, и через несколько месяцев на повторных учениях все команды всегда показывали ощутимый рост. Если же в этот период специалисты не просто «отправляются в свободное плавание», а проходят комплексное обучение, то результат ещё более значителен.

Аналогия с плаванием срабатывает и здесь. Если человек умеет плавать и сто раз это делал, то в сто первый раз его навыки вряд ли изменятся и улучшатся. Так и с киберзащитником: если он уже сто раз реагировал на реальные инциденты, то сто первый раз вряд ли существенно поменяет его умения и навыки. Он просто выполнит свои обычные действия привычным образом.

Поэтому для организаций с более опытными командами реагирования на инциденты обычные киберучения будут не очень эффективными — это, действительно, скорее экзамен. Нужны особые курсы, практикумы, теория, чтобы они стали делать своё дело лучше, чем сейчас.

Насколько важна скорость реакции на инцидент? Так ли существенны задержки, например, на один-два часа?

Е. А.: Скорость, конечно, важна. Несколько минут на результат могут и не повлиять, а вот задержка в час-два может быть даже фатальной и остановить развитие инцидента уже не получится.

Проводя учебные атаки, мы раскладываем их на 12–15 этапов по матрице MITRE. После каждого шага мы специально вводим задержки от 5 до 30 минут (в зависимости от квалификации команды), чтобы нас успели заметить и примерно на пятом-седьмом шаге остановить. Если бы мы делали атаку молниеносно с секундной задержкой, получалось бы 15 секунд — и всё, никто ничего не заметит, тренировки не получится.

По нашей статистике, две трети векторов атак останавливают. Треть проходит, несмотря на эти задержки — так же как и в жизни. За одни киберучения мы отрабатываем пять-семь векторов атак.

Как комплектуются команды? Это одна уже сложившаяся команда из одной организации или группа может быть набрана из всех желающих пройти курс обучения?

Е. А.: В 2023 году мы впервые проводили киберучения на коммерческой основе. Каждые киберучения проводятся для команды одной организации, которая ежедневно работает вместе.

Хочу отметить интересное наблюдение. К нам присылают людей, которые в компании воспринимаются как команда киберзащиты, и обычно это — ребята из первой и второй линий SOC. На самом деле это не совсем верное восприятие. По NIST, например, выделяют шесть этапов обработки инцидентов: предотвращение, обнаружение и анализ, сдерживание, нейтрализация атаки, восстановление и, наконец, профилактика инцидентов (по сути — рефлексия: что можно сделать лучше в следующий раз). Почему-то многие заказчики не воспринимают сдерживание, нейтрализацию и восстановление как важные этапы. При этом, как правило, они реализовываются не подразделением кибербезопасности, а ИТ: очень часто некоторые СЗИ, особенно сетевые, администрируются ИТ-департаментом.

В итоге получается, что по-настоящему команда киберзащиты где-то на треть состоит из безопасников, а на две трети — из айтишников: доменных и сетевых администраторов, администраторов баз данных или приложений, специалистов, которые будут доставать данные из резервных копий, и так далее.

Когда лучше учиться на реальной инфраструктуре, а когда — на киберполигоне?

Е. А.: Нужно комбинировать. Так сложилось, что практика командной имитации кибератак (Red Teaming и Purple Teaming) появилась раньше, чем тема киберполигонов, и некоторое время ставка делалась на неё. Минус такого подхода — в том, что никто никогда не запустит самые разрушительные атаки на настоящей инфраструктуре. Получается «плюшевое» обучение: если «красные» что-то могут поломать, они этого делать не будут. Киберполигоны хороши тем, что можно запускать всё что угодно, всё самое разрушительное, отработать самые жёсткие векторы атаки и эксплойты и именно в таких условиях тренироваться.

Конечно, важна полная достоверность используемой инфраструктуры в части используемых средств защиты — прежде всего сетевых, хостовых и, конечно, SIEM-систем. Основные ИТ-компоненты, операционные системы, сетевое оборудование тоже должны совпадать, так как многие атаки нацелены именно на них. С приложениями сложнее, но желательно, чтобы те, через которые проходит вектор атаки (например, процессинг, АБС), тоже были такими же, как в реальной инфраструктуре. Остальные компоненты уже не столь важны.

Но надо сказать, что для сложных ИТ-инфраструктур крайне трудно (точнее сказать, дорого) создавать полную цифровую копию на киберполигоне.

Поэтому должны совпасть хотя бы средства защиты, операционные системы и средства построения сети. Мы отрабатываем навыки по отражению кибератак в таких условиях, а что-то специфичное, включая конфигурации и уязвимости, охватит тот самый Red Teaming.

Однако с сотрудниками начального и среднего уровней (джунами / мидлами) начинать с Red Teaming бесполезно. Будут прорабатываться отдельные нюансы, а базы не будет. Джуны должны вырасти в специалистов-мидлов, мидлы — в экспертов, а вот навыки экспертного уровня требуют развития и поддержания в том числе с помощью редтиминга.

В рамках Red Teaming на настоящей инфраструктуре последние этапы инцидента отработать в принципе невозможно?

Е. А.: Слово «невозможно» — очень жёсткое. Скорее трудно, непросто. Одно дело — раз в год восстановить данные с ленты в тепличных условиях, когда все данные в норме и идут просто восстановление и проверка техники. А когда в рамках Red Teaming всё разнесли, зашифровали или просто уничтожили данные — такого, скорее всего, никто делать не будет.

Как киберполигоны соотносятся с концепцией Purple Teaming? Что лучше?

Е. А.: Основное отличие Red Teaming от Purple Teaming — в том, что «фиолетовая» команда действует открыто, сообщает, что именно будет ломать, и просит обратить на это внимание. У нас на киберполигоне всё примерно так же. Есть два режима: боевой, близкий к Red Teaming, когда никто не предупреждает, а начинает атаки, как в жизни, и учебный, аналогичный Purple Teaming.

После каждых киберучений мы делаем постанализ, рассказываем участникам, какие атаки были, что происходило — примерно так же, как редтимеры объясняют, как они действовали в реальной инфраструктуре.

Оказываете ли вы услуги создания полигонов под ключ для крупных заказчиков?

Е. А.: Не всем подходят киберучения как сервис. Есть требования комплаенса, которые ряду организаций запрещают «выносить сор из избы». Крупные заказчики стремятся к своему почти стопроцентному цифровому двойнику. Им у себя внутри это сделать проще, нежели подрядчику. Например, чтобы отрабатывать атаки на АСУ ТП, нужны контроллеры, не все из них виртуализируются и надо ставить «железные». У организации, возможно, они есть (например, уже снятые с эксплуатации), и такие компоненты вполне можно использовать на киберполигоне.

Поэтому в прошлом году мы оформили нашу платформу киберучений «Солар Кибермир» как софт, зарегистрировали её в реестре отечественного ПО и создали систему тарифов для неё. Мы начали реализацию трёх проектов по построению киберполигонов на стороне конечных пользователей; в 2024 году, вероятнее всего, к ним добавится ещё несколько.

Как киберполигон подстраивается под потребности конкретной организации?

Е. А.: У нас всегда наготове порядка 20 самых распространённых средств защиты, которые мы можем максимально быстро развернуть в зависимости от того, чем пользуется заказчик. Если это зарубежное СЗИ, которое ушло с нашего рынка, или определённое оборудование, которого у нас нет, заказчик предоставляет его на несколько недель, мы его подключаем к нашему киберполигону, отрабатываем киберучения и отдаём обратно. Кейсы с оборудованием АСУ ТП — точно такие же.

Расскажите нам об итогах кибербитвы на SOC Forum.

Е. А.: Мы уже не в первый раз используем соревновательный формат, в том числе на SOC Forum. Соревновательный момент стимулирует команды и вызывает большой интерес.

В этом году мы собрали 20 «синих» команд и 20 «красных». До форума мы встречались с самыми активными членами ИБ-сообщества и обсуждали наши идеи по правилам, системе баллов и ранжированию, совместно договаривались, как это будет выглядеть на самой кибербитве. Все работали в этом году удалённо. 

У «красных» была основная цель; они могли атаковать любую другую команду, но за это им начислялось меньше баллов. Получилось весьма динамично и азартно.

Силы лидеров были практически равны: разница между баллами в первой пятёрке — меньше процента.

Часть «синих» попросила анонимного участия. Хотели сами себя проверить, чему-то научиться, но без оглашения результата. Занявшие первое и второе места, впрочем, разрешили себя назвать: команда SOC НЛМК и «Цифровой регион».

Среди «красных» было много независимых команд, не представлявших какую-либо организацию, но всё равно в первой тройке все были инкогнито. Первыми, кто себя раскрыл, была команда «Ангара», финишировавшая на четвёртой позиции, и ещё на шестом месте оказалась команда ИТМО.

В следующем году, вероятно, всё будет ещё масштабнее. Правила останутся такими же или будете корректировать?

Е. А.: Основные принципы, думаю, останутся, но будем стараться сделать ещё полезнее и интереснее — мы получили обратную связь от участников, в основном по системе баллов.

Кибербитва на SOC Forum — российское мероприятие для отечественных команд, но мы также уже дважды проводили международный чемпионат в рамках ПМЭФ. В этом году собрали 40 «синих» команд — 14 российских и 26 из дружественных стран. Там была совсем иная механика соревнований.

На первом этапе команды отбивались от нашего робота кибератак и отрабатывали одни и те же векторы поочерёдно, по карусельной схеме, в четыре волны.

В состязании также участвовали национальные команды реагирования (CERT). Российский CERT поддерживал НКЦКИ.

Между раундами участники могли обмениваться данными, и с каждым поворотом карусели команды были всё больше готовы к отражению атак, потому что знали, чего стоит ждать. Эта практика продемонстрировала, что крайне важно обмениваться информацией об атаках. Это помогает совместно отбиваться от нападающих.

На втором этапе финалистов ожидала кибербитва с «красными», победителем SOC Forum 2022 года, командой «Ангары».

Что нового сегодня есть на рынке киберучений?

Е. А.: Классический вариант киберучений — это метод «бросить в воду, пусть выплывают». В этом году мы сделали шаг к более профессиональным методам: проводим срез знаний, подбираем индивидуальную программу развития и смотрим, что получилось, потом ещё раз проводим киберучения и по необходимости вносим коррективы. Эту программу развития, наш новый продукт, мы звучно назвали Solar CyberBoost. Она позволяет за два-три месяца из джуна получить мидла.

У нас было несколько первых заказчиков (можно даже сказать, нулевых), с которыми мы протестировали программу.

Рост навыков составил 35–40 % за трёхмесячный цикл.

Насколько часто надо проводить обучение на киберполигоне, применять какую-то игровую механику или методику Solar CyberBoost? И как всё это расположить в рамках общего процесса?

Е. А.: Подходы могут быть разными — в зависимости от текущего уровня навыков, от зрелости команды, от того, насколько часто организация тренируется «в бою».

В нашем распоряжении — статистика Solar JSOC на базе реальных инцидентов в нескольких сотнях организаций. Среднестатистическая компания сталкивается с критическими для бизнеса атаками четыре раза в год. В таком случае достаточно просто проводить киберучения от одного до четырёх раз в год, отрабатывать несколько векторов атак и тем самым уже совершать значимый шаг вперёд.

Организациям, которые чаще сталкиваются с атаками в работе, киберучения не дадут такого значимого скачка. Им нужно измерять текущие навыки, определять цели и достигать их не только с помощью киберучений, но и где-то практикой, где-то теорией, где-то продуктовыми вендорскими курсами. Как правило, такие организации имеют большие команды — человек 50.

Что бы вы пожелали или какой дали совет на 2024 год «синим» командам?

Е. А.: От навыков сотрудников, которые реагируют на инцидент, стало зависеть очень многое. Хакеры всё чаще выходят один на один с вратарём — командой киберзащиты. Будет «пробитие» или нет, зависит от людей и от их навыков. Моё пожелание им — управлять своими навыками, развивать их. Какую-то дополнительную оборону из технологий можно создавать годами. За три месяца перепрыгнуть в отражении кибератак из джунов в мидлы — быстрее и дешевле.

И пусть всё, чему мы научились, реже требуется в реальной жизни.

Очень интересное интервью! Желаем успеха в развитии киберполигона и связанных с ним услуг. Будем следить за результатами в наступившем году. Спасибо!