Зачем компании проводить киберучения и как сделать это с максимальной пользой? Насколько точным должен быть цифровой двойник для проведения тренировок? Как правильно поставить цели, подготовить сценарий и «продать» киберучения внутри компании? Обсуждаем практику построения киберполигонов и проведения тренировок по информационной безопасности.
- Введение
- Зачем компании нужны киберучения
- Практика проведения киберучений
- Будущее рынка киберучений
- Выводы
Введение
Практика проведения киберучений является одной из наиболее актуальных тем для российского рынка информационной безопасности. Крупные компании всё больше и больше начинают испытывать потребность в тренировке навыков ИБ-специалистов и рядового персонала — проверке их действий в условиях кибератаки. Вендоры и системные интеграторы предлагают как решения для локального создания киберполигонов (on-premise), так и услуги по проведению киберучений на своих площадках. Однако общего понимания и устоявшейся методологии таких мероприятий пока нет.
Рынок проходит стадию становления и находится в постоянном движении. Именно поэтому мы решили вернуться к теме киберучений в рамках проекта AM Live, чтобы посмотреть, как изменились взгляды поставщиков и заказчиков с момента прошлого эфира. Мы собрали в нашей студии представителей вендоров и системных интеграторов и попросили их рассказать о практических аспектах проведения киберучений. Как применять процессные инновации и технологические достижения для повышения безопасности компании? Кто должен инициировать киберучения и где их лучше проводить? Какие метрики нужно использовать, чтобы оценить эффективность проведённого мероприятия?
Участники дискуссии:
- Ольга Елисеева, руководитель сервиса Jet CyberCamp компании «Инфосистемы Джет».
- Лука Сафонов, генеральный директор компании «Киберполигон».
- Ярослав Бабин, руководитель отдела анализа защищённости веб-приложений компании Positive Technologies.
- Андрей Кузнецов, технический директор Национального киберполигона компании «Ростелеком-Солар».
- Александр Пушкин, технический директор компании «Перспективный мониторинг» (ГК «ИнфоТеКС»).
Ведущий и модератор — Лев Палей, начальник службы информационной безопасности АО «СО ЕЭС».
Зачем компании нужны киберучения
Ведущий предложил начать дискуссию с синхронизации терминологической базы и рассказать о том, кому и для чего нужны киберучения.
Ольга Елисеева:
— Киберучения нужны всем компаниям, которые заинтересованы в повышении технических навыков своих специалистов и подготовке их ко встрече с реальными злоумышленниками. В зависимости от целей заказчика к киберучениям могут быть привлечены как специалисты по информационной безопасности, так и сотрудники ИТ, пиара, маркетинга.
Ярослав Бабин:
— У компании могут быть различные потребности, а киберучения — это общее описание того, что может происходить в этой области. Киберучения могут проходить в формате киберполигона, пентеста, проникновений Red Team или Blue Team. Это могут быть киберучения в масштабе всей компании, где будут отрабатываться навыки взаимодействия разных подразделений.
Александр Пушкин:
— Киберучения очень полезны для компаний, которые только входят в отрасль ИБ, чтобы как можно быстрее погрузиться в технические проблемы, инструменты, понять вариативность атак, которые могут произойти. Кроме того, киберучения являются хорошей практикой для студентов профильных специальностей.
Лука Сафонов:
— Киберучения необходимы для специалистов по информационной безопасности, отвечающих за защиту данных, поскольку у них, в отличие от атакующей стороны (Red Team), нет другой возможности отработать свои навыки вне реальных атак. Киберучения помогают сотрудникам оставаться на передовой киберугроз и оперативно противодействовать атакам.
Андрей Кузнецов:
— В первую очередь у компании должна появиться потребность в киберучениях. Сначала необходимо создать работающую систему безопасности, выстроить все процессы и уже потом переходить к учениям. Формат киберучений призван закрепить навыки работы со средствами защиты и выполнение инструкций по безопасности.
Немногие заказчики готовы использовать собственную инфраструктуру для проведения киберучений и даже пентестов. По мнению экспертов AM Live, чтобы не навредить действующим бизнес-процессам компании, необходимо использовать для отработки ИБ-навыков отдельные, специально подготовленные площадки. При этом примеры использования имеющейся инфраструктуры всё же встречаются — например, киберучения можно проводить на оборудовании выведенном из технологического цикла и находящемся в стадии простоя.
Мы провели опрос среди зрителей прямого эфира, чтобы узнать, насколько хорошо им знакома тема технических киберучений. Как оказалось, почти половина респондентов (49 %) знают только теоретические основы подобных мероприятий. Участвовали в отработке навыков информационной безопасности лишь 19 % опрошенных. Хорошо знакомы с темой 22 % участников опроса, при этом 18 % проводили киберучения самостоятельно, а 4 % использовали внешний сервис. Вообще не были знакомы с темой до нашего эфира 10 % зрителей.
Рисунок 1. Насколько вам знакома тема технических киберучений?
Практика проведения киберучений
В продолжение беседы ведущий предложил обсудить ключевые этапы проведения киберучений. Как планировать такое мероприятие? Кем и какие должны быть поставлены цели? Как и в какие сроки должен быть организован полигон? Возможно ли оценить эффективность киберучений?
Рассуждая о том, кто должен инициировать киберучения в компании, спикеры онлайн-конференции отметили, что подобные мероприятия требуют определённой зрелости организации, а также наличия у неё работающей службы информационной безопасности. Прямых актов, регулирующих организацию киберучений и обязывающих организацию их проводить, нет, однако в энергетике и некоторых других отраслях растёт интерес к этой теме, поэтому эксперты не исключают возможности возникновения подобных регламентов. Как заметили гости студии, в СМИ периодически появляется информация о планах ЦБ по проведению киберучений в финансово-кредитных учреждениях.
Кто является лучшим исполнителем киберучений? Наши спикеры высказали точку зрения, что с этой задачей лучше справится сторона независимая от производителя тех ИБ-решений, которые используются на предприятии. Например — системный интегратор, который работает с разными вендорами. Попутно эксперты отметили, что киберполигон, в отличие от тестовой среды или виртуальной инфраструктуры, обладает «встроенным» набором сценариев атак, а также имеет некоторый интерфейс для управления и обработки событий.
Проведённый нами опрос зрителей онлайн-конференции показал, что большинство из них хотели бы проводить киберучения на приближенном к реальности цифровом двойнике. Такого мнения придерживаются 55 % респондентов. Использовать для тренировки действующую инфраструктуру считают правильным 10 % опрошенных, а использовать арендованный типовой киберполигон — 8 % участников опроса. Ещё 6 % наших зрителей предпочитают применять упрощённую учебную модель для отработки навыков по информационной безопасности. Затруднился дать ответ 21 % опрошенных.
Рисунок 2. На чьей инфраструктуре вам хотелось бы проводить киберучения?
Реализация киберполигона у разных поставщиков может иметь свои особенности. В одном случае это будут мультиплатформенность и гибкая подстройка под требования клиента, в другом — возможность автономной работы у заказчика после передачи ему программно-аппаратного комплекса вендором. Некоторые разработчики считают, что киберучения невозможно провести без приглашённой команды пентестеров и консультантов, другие, напротив, ратуют за готовый «коробочный» продукт с большим числом типовых сценариев. При этом подход к организации тренировок навыков по информационной безопасности во многом зависит от целей и задач. Так, для массового обучения студентов подойдут автоматизированные сценарии, а для отработки защиты от целевой атаки логичнее привлечь Red Team.
По просьбе модератора гости студии выделили следующие цели киберучений, с которыми к ним приходят заказчики:
- тренировка определённых навыков для ИБ-специалистов (например, операторов SOC);
- сплочение команды, когда киберучения выступают в роли своеобразного тимбилдинга;
- независимый пентест средства защиты с целью получить отчёт об уязвимостях;
- изучение опыта эксплуатации определённых уязвимостей, чтобы выработать меры борьбы с такими атаками.
Названные экспертами цели перекликаются с результатами опроса зрителей AM Live. Мы спросили их о том, какой главной пользы от проведения технических киберучений они ожидают. Как выяснилось, 42 % ответивших ждут от таких мероприятий повышения ИБ-навыков сотрудников. Ещё 27 % респондентов думают, что киберучения помогут им обнаружить слабые места в защите инфраструктуры своей компании, а 23 % надеются отработать командные взаимодействия. Вариант «Другое» выбрали 5 % участников опроса, а затруднились ответить 3 % наших зрителей.
Рисунок 3. Какой главной пользы вы ожидаете от проведения технических киберучений?
При подготовке сценариев киберучения специалисты учитывают особенности инфраструктуры заказчика, чтобы максимально приблизить полигон к реальным условиям. Кроме того, определяется набор уязвимостей и методов атак, которые необходимо использовать в процессе тренировки. Разрабатывается цепочка атак, которые должны привести «нападающего», находящегося за периметром, к возможности выполнения определённого вредоносного действия. Разработка такого сценария — итерационный процесс, к которому обязательно привлекаются и заказчик, и специалисты исполнителя.
Насколько энергоёмок процесс проведения киберучений? Сколько времени в среднем занимает подготовка такого мероприятия? Спикеры AM Live подчеркнули, что всё зависит от инфраструктуры, на которой будет проводиться тренировка. Если используются готовая модель и типовые сценарии вендора или интегратора, то сроки будут кратчайшими. Однако если требуются адаптация средств защиты и разработка дополнительных сценариев, то время может быть увеличено. В первом случае эксперты говорят об одной неделе, во втором — о месяце или более.
Как часто зрители прямого эфира хотели бы проводить киберучения в своей компании? Наш опрос показал, что 38 % респондентов предпочли бы тренировать навыки по информационной безопасности один раз в квартал, а 32 % — раз в год. Периодичность учений один раз в месяц считают оптимальной 6 % опрошенных. Будут руководствоваться требованиями регуляторов, когда таковые появятся, 8 % наших зрителей. Затруднились с ответом 16 % участников опроса.
Рисунок 4. Как часто вы бы хотели проводить технические киберучения в своей компании?
Чтобы оценить эффективность мероприятия, организаторы киберучений собирают телеметрию — статистику по каждому участнику, которая показывает, как конкретный сотрудник справился с определённой задачей. В качестве параметров эффективности участника киберучений могут оцениваться, например, скорость обнаружения и устранения инцидентов, время недоступности учебной инфраструктуры. Ещё один способ узнать, насколько хорошо сотрудники усвоили навыки защиты, — прибегнуть к помощи Red Team, которая проведёт тестовое «нападение» в условиях реальной инфраструктуры.
Отвечая на вопрос одного из зрителей, эксперты в студии рассказали, как «продать» идею киберучений внутри компании. В первую очередь подобные мероприятия позволяют быстро подготовить квалифицированных специалистов для SOC в условиях тотального дефицита на рынке труда. Киберучения позволяют подготовиться к будущим атакам, целью которых сегодня может стать абсолютно любая компания. По мнению спикеров, необходимость проведения киберучений может показать и уже свершившийся инцидент. Наконец, сейчас это — актуальная и в некотором роде «хайповая» тема, которая на слуху и в ИБ-сообществе.
Экономическую эффективность созданного киберполигона можно повысить используя «цифрового двойника» компьютерной инфраструктуры для целей напрямую не связанных с киберучениями. Так, система может быть использована для тестирования новых средств защиты, способов резервного копирования или проверки квалификации новых сотрудников. Данные киберполигона будут полезны не только для специалистов в области информационной безопасности, но и для ИТ-службы компании. Например, на «цифровом двойнике» можно проводить исследования для проверки новых регламентов или бизнес-процессов.
Будущее рынка киберучений
В завершение дискуссии ведущий предложил экспертам поделиться видением развития индустрии киберучений в ближайшие два-три года. Наши гости отметили, что киберучения — это зарождающийся тренд, который в будущем станет более востребованным на отечественном рынке. Спикеры выразили надежду, что подобные мероприятия станут доступнее для заказчиков, в том числе и за счёт использования сервисной модели.
По мнению экспертов, спрос на киберполигоны будет расти под воздействием продолжающегося дефицита кадров в отрасли. Рынок ждёт появления нормативных документов, регулирующих проведение киберучений — не исключено, что подобная активность простимулирует создание отраслевых локально развёртываемых решений для государственных предприятий. Собственные киберполигоны в крупных компаниях создадут возможности для гибридного взаимодействия с профильными вендорами, которые смогут делиться своей экспертизой и технологиями для более эффективного использования внутренних (in-house) решений.
Одной из ключевых тенденций ближайших лет по прогнозам наших спикеров станет уход киберполигонов в облако, а также расширение их возможностей для удовлетворения потребностей не только службы информационной безопасности, но и других подразделений компании.
Финальный опрос зрителей прямого эфира показал высокую заинтересованность темой киберучений среди потенциальных заказчиков. Треть опрошенных (33 %) уже проводят киберучения и планируют повышать их эффективность. Ещё 36 % проявляют интерес к подобным мероприятиям и готовы пробовать технологии отработки ИБ-навыков. Считают тему актуальной, но пока избыточной для своей компании 24 % опрошенных, а 5 % придерживаются мнения, что участники дискуссии не смогли доказать необходимость киберучений. Вообще не поняли, о чём шла речь на онлайн-конференции, 2 % опрошенных.
Рисунок 5. Каково ваше мнение относительно технических киберучений?
Выводы
Российские вендоры и системные интеграторы готовы предложить своим клиентам разнообразные инструменты для проведения киберучений — от готового «коробочного» продукта с типовыми сценариями до разработки индивидуального киберполигона и сценариев многоступенчатой атаки в условиях максимально приближенных к реальным. Заказчики со своей стороны тоже проявляют интерес к теме киберучений — в первую очередь это касается крупных компаний.
При этом рынок вряд ли пока можно назвать массовым. Возможно, драйвером его развития в будущем станет более широкое использование облачных технологий и предложение «киберучений как услуги». Другой вектор развития — ожидаемое появление регулирующих документов от государственных органов. Не исключено, например, что в будущем киберучения станут обязательными для учреждений финансовой сферы и предприятий энергетического сектора.
Как будут развиваться события на рынке киберучений — покажет время. Проект AM Live держит руку на пульсе отечественной индустрии информационной безопасности, регулярно собирая в своей студии ведущих экспертов и признанных профессионалов рынка. Чтобы не пропускать новые выпуски онлайн-конференции и в прямом эфире задавать вопросы гостям студии, не забудьте подписаться на YouTube-канал Anti-Malware.ru. До встречи в эфире!